.Rundschreiben Nr. 5/2011 des Landeskirchenamtes
Vom 19. Januar 2011 (Az.: 615.53/04)
#
Geltungszeitraum von: 19.01.2011
Geltungszeitraum bis: 23.05.2018
Rundschreiben Nr. 5/2011 des Landeskirchenamtes
an die Kirchengemeinden und Kirchenkreise, Superintendentinnen und Superintendenten,
Verbände Kirchlicher Körperschaften betreffend
Kirchlicher Datenschutz
Einbinden von Kirchenbüchern im Auftrag1#
Vom 19. Januar 2011 (Az.: 615.53/04)
[aktualisiert am 3. September 2014 – siehe auch Rundschreiben Nr. 27/2014 –,
am 23. Oktober 2014 und 1. August 2015]
#Die Kirchenbücher enthalten eine Vielzahl von personenbezogenen Daten, zum Teil auch sensible Daten. Das Einbinden der Kirchenbücher ist nach § 6 Abs. 2 Kirchenbuchordnung2# vorgeschrieben; diese Arbeit wird oft anderen kirchlichen Stellen (z. B. Behindertenwerkstätten der Diakonie), externen Personen oder Firmen (Dienstleister) im Wege der Auftragsdatenverarbeitung übertragen. Die datenschutzrechtliche Verantwortung für die Einhaltung des Datenschutzes bei dem Dienstleister verbleibt auch im Falle der Auftragsdatenverarbeitung beim Auftraggeber. Um die Aspekte des kirchlichen Datenschutzes angemessen zu berücksichtigen, sind die Dienstleister sorgfältig auszuwählen, insbesondere sollte man sich darüber informieren, ob der Dienstleister in der Lage und Willens ist, die erforderlichen Sicherheitsmaßnahmen durchzuführen. Nach § 11 des Kirchengesetzes über den Datenschutz der EKD (DSG-EKD)3# sind vor einer Auftragsvergabe insbesondere folgende Punkte zu beachten:
- sorgfältige Auswahl des Dienstleisters;
- schriftliche Auftragserteilung;
- Gegenstand und Dauer des Auftrags;
- Festlegung der zu einzubindenden Kirchenbücher (Art und Umfang), der Zweckbindung und den Kreis der Betroffenen;
- Berichtigung von Daten;
- Anwendung des kirchlichen Datenschutzrechts beim Dienstleister und die Verpflichtung der Beschäftigten des Auftragnehmers auf das Datengeheimnis;
- Hinweis auf mögliche Unterauftragsverhältnisse;
- Kontrollrechte des Auftraggebers, der für den Datenschutz zuständigen Personen sowie der oder des Beauftragten für den Datenschutz der EKD;
- mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen;
- Umfang der Weisungsbefugnis;
- Rückgabe überlassener Kirchenbücher.
In der Anlage finden Sie das aktualisierte Muster einer Vereinbarung „Einbinden von Kirchenbüchern im Auftrag“ mit den Regelungen zum Datenschutz nach § 11 DSG-EKD5#, das für zukünftige Auftragserteilungen an Dienstleister verwandt werden sollte. Sofern eine kirchliche Stelle (z. B. Behindertenwerkstatt der Diakonie) mit dem Einbinden der Kirchenbücher betraut werden soll, gelten für den Dienstleister die kirchlichen Datenschutzbestimmungen und die Beschäftigten haben das kirchliche Datengeheimnis zu beachten. Es kann davon ausgegangen werden, dass die kirchliche Stelle als Auftragnehmer angemessene technische und organisatorische Maßnahmen getroffen hat. Daher besteht die Option, einzelne Bestimmungen der Mustervereinbarung entfallen zu lassen. Eine Kennzeichnung dieser Stellen ist durch Fußnoten in der Muster-Vereinbarung erfolgt.
Mit Wirkung vom 1. August 2015 wurde die Datenschutzdurchführungsverordnung durch die Dritte Verordnung zur Änderung der Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD vom 18. Juni 2015 (KABl. 2015 S. 139) geändert. Der Genehmigungsvorbehalt durch das Landeskirchenamt, soweit externe Stellen (nichtkirchliche Stellen) oder Personen mit der Auftragsdatenverarbeitung beauftragt werden, ist entfallen.
Nach § 4 Satz 2 DSVO6# soll vor dem Abschluss von Verträgen zur Auftragsdatenverarbeitung die oder der örtlich Beauftragte oder die oder der Betriebsbeauftragte für den Datenschutz beteiligt werden.
Vereinbarung „Einbinden von Kirchenbüchern im Auftrag“
mit den Regelungen zum Datenschutz
nach § 11 Kirchengesetz über den Datenschutz der EKD (DSG-EKD)7#
mit den Regelungen zum Datenschutz
nach § 11 Kirchengesetz über den Datenschutz der EKD (DSG-EKD)7#
(Arbeitshilfe – Muster-Vereinbarung – der Ev. Kirche von Westfalen
zur Auftragsdatenverarbeitung - Stand 01.08.2015)8#
zur Auftragsdatenverarbeitung - Stand 01.08.2015)8#
zwischen
nachfolgend Auftragnehmer genannt, und
(kirchliche Stelle) nachfolgend Auftraggeber genannt,
wird folgende Vereinbarung geschlossen:
- Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer: „Einbinden von Kirchenbüchern“ ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. .............................................................................................................................[Definition des Umfangs sowie weitere Details: z. B. Abholung oder Übergabe der Unterlagen, Beschreibung der Verarbeitung, Rückgabe der Unterlagen nach Auftragsabwicklung, Jahrgänge von ... bis ... ; Amtshandlungen ....; Regelungen zur Ausgestaltung des Einbindens, zum Transport oder zur Versicherung] Der Auftrag wird zur einmaligen Ausführung erteilt.[oder] Die Dauer dieses Auftrags (Laufzeit) ist befristet bis zum .............................. [ oder] Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von ........................................... zum ........................................... gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt.Die Durchführung des Auftrags erfolgt............................................................................................................................. [Bezeichnung des Ortes mit Adresse und ggf. Hinweis auf die Räumlichkeiten].
- Die Vergütung beträgt............................................................................................................................................................................................................................................................. [Details]
- Der Auftragnehmer verarbeitet für den Auftraggeber in dessen Auftrag und nach dessen Weisungen die Kirchenbücher ausschließlich zum Zwecke des Einbindens. Der Auftragnehmer wird seine Leistung selbst bzw. durch eigene Beschäftigte erbringen. Die Beauftragung von Unterauftragnehmern wird ausgeschlossen.
- Der Umgang mit den Kirchenbüchern erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Über die dem Auftragnehmer überlassenen Unterlagen ist ausschließlich der Auftraggeber verfügungsberechtigt. Eine anderweitige Verwendung der Unterlagen ist nicht zulässig.
- Der Auftragnehmer sichert zu, dass von ihm folgende technische und organisatorische Maßnahmen unter Beachtung von § 9 Absatz 1 DSG-EKD10# und der dazu gehörenden Anlage getroffen werden: Abschließen der Räume bei Abwesenheit; Unterbinden des Aufenthalts von Dritten in den Arbeitsräumen Einschließen der Kirchenbücher bei längeren Arbeitsunterbrechungen ............................................................................................................................. .............................................................................................................................[weitere Datenschutzmaßnahmen]Soweit vorhanden stellt der Auftragnehmer dem Auftraggeber das aktuelle Datenschutzkonzept und/oder das IT-Sicherheitskonzept zur Verfügung.
- Der Auftragnehmer ist nicht berechtigt die in den Kirchenbüchern enthaltenen Daten zu verändern oder zu berichtigen. Auskünfte an Dritte und an Betroffene darf der Auftragnehmer nicht erteilen.
- Der Auftraggeber, von ihm beauftragte Personen und die für die Aufsicht zuständige kirchliche Stelle sind berechtigt, jederzeit den Stand der Arbeiten einschließlich der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu prüfen. Der Auftragnehmer unterstellt sich der Kontrolle der oder des Beauftragten für den Datenschutz der EKD, Böttcherstraße 7, 30419 Hannover13#. Zum Prüfungs- und Kontrollrecht gehören insbesondere die Auskunftserteilung und die Gestattung von Kontrollen in den Geschäftsräumen des Auftragnehmers.
- Bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen bzw. bei Verstoß gegen Regelungen dieser Vereinbarung, bei wesentlichen Unregelmäßigkeiten beim Arbeitsauflauf, bei Maßnahmen von Strafverfolgungsorganen oder von Aufsichtsbehörden nach dem BDSG14# unterrichtet der Auftragnehmer unverzüglich den Auftraggeber.
- Bei Beendigung des Auftragsverhältnisses hat der Auftragnehmer dem Auftraggeber alle Unterlagen herauszugeben. Der Auftraggeber kann dies im Falle einer fristlosen Kündigung jederzeit verlangen.
- Der Auftrag zur Bindung der Kirchenbücher kann bei schwerwiegenden Vertragsverletzungen des Auftragnehmers, insbesondere bei Verstoß gegen die datenschutzrechtlichen Bestimmungen fristlos gekündigt werden.
- Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
(Auftragnehmer – Datum, Unterschrift)
(Auftraggeber – Datum, Unterschrift)
#
1 ↑ Die Synode der EKD hat am 7. November 2012 das Kirchengesetz zur Änderung des Kirchengesetzes über den Datenschutz der EKD und zur Änderung des Kirchengerichtsgesetzes der EKD (ABl. EKD 2012 S. 452) beschlossen. Die Änderungen sind für die Evangelische Kirche von Westfalen zum 1. Januar 2013 in Kraft getreten. Das geänderte EKD-Datenschutzgesetz (DSG-EKD) ist online über das Fachinformationssystem Kirchenrecht (FIS-Kirchenrecht – www.kirchenrecht-westfalen.de) unter der Nr. 850 aufrufbar. Die Änderungen des EKD-Datenschutzgesetzes werden durch das Rundschreiben Nr. 13/2013 des Landeskirchenamtes betreffend Kirchlicher Datenschutz erläutert. Die Bestimmung zur Auftragsdatenverarbeitung wurde wesentlich geändert, sodass eine Anpassung dieses Rundschreibens und der Vereinbarung „Einbinden von Kirchenbüchern im Auftrag“ erforderlich wurde.
Mit Wirkung vom 1. Mai 2014 wurde die Datenschutzaufsicht auf die EKD übertragen, Ziffer 8 der Vereinbarung war entprechend anzupassen.
Durch die Dritte Verordnung zur Änderung der Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD vom 18. Juni 2015 sind die Ausführungsbestimmungen zur Auftragsdatenverarbeitung geändert worden. Das Rundschreiben wurde mit Wirkung vom 1. August 2015 aktualisiert.
1 ↑ Die Synode der EKD hat am 7. November 2012 das Kirchengesetz zur Änderung des Kirchengesetzes über den Datenschutz der EKD und zur Änderung des Kirchengerichtsgesetzes der EKD (ABl. EKD 2012 S. 452) beschlossen. Die Änderungen sind für die Evangelische Kirche von Westfalen zum 1. Januar 2013 in Kraft getreten. Das geänderte EKD-Datenschutzgesetz (DSG-EKD) ist online über das Fachinformationssystem Kirchenrecht (FIS-Kirchenrecht – www.kirchenrecht-westfalen.de) unter der Nr. 850 aufrufbar. Die Änderungen des EKD-Datenschutzgesetzes werden durch das Rundschreiben Nr. 13/2013 des Landeskirchenamtes betreffend Kirchlicher Datenschutz erläutert. Die Bestimmung zur Auftragsdatenverarbeitung wurde wesentlich geändert, sodass eine Anpassung dieses Rundschreibens und der Vereinbarung „Einbinden von Kirchenbüchern im Auftrag“ erforderlich wurde.
Mit Wirkung vom 1. Mai 2014 wurde die Datenschutzaufsicht auf die EKD übertragen, Ziffer 8 der Vereinbarung war entprechend anzupassen.
Durch die Dritte Verordnung zur Änderung der Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD vom 18. Juni 2015 sind die Ausführungsbestimmungen zur Auftragsdatenverarbeitung geändert worden. Das Rundschreiben wurde mit Wirkung vom 1. August 2015 aktualisiert.
#
4 ↑ Der Auftraggeber soll sich vor Beginn der Auftragsdatenverarbeitung und bei Folgeaufträgen von der Einhaltung der beim Dienstleister getroffenen technischen und organisatorischen Maßnahmen überzeugen. Das Ergebnis ist schriftlich festzuhalten. Soweit eine kirchliche Stelle mit dem Einbinden der Kirchenbücher beauftragt werden soll, kann es ausreichend sein, dass die oder der örtlich Beauftragte für den Datenschutz oder die oder Betriebsbeauftragte für den Datenschutz der beauftragten kirchlichen Stelle bestätigt, dass angemessene technische und organisatorische Maßnahmen getroffen worden sind.
4 ↑ Der Auftraggeber soll sich vor Beginn der Auftragsdatenverarbeitung und bei Folgeaufträgen von der Einhaltung der beim Dienstleister getroffenen technischen und organisatorischen Maßnahmen überzeugen. Das Ergebnis ist schriftlich festzuhalten. Soweit eine kirchliche Stelle mit dem Einbinden der Kirchenbücher beauftragt werden soll, kann es ausreichend sein, dass die oder der örtlich Beauftragte für den Datenschutz oder die oder Betriebsbeauftragte für den Datenschutz der beauftragten kirchlichen Stelle bestätigt, dass angemessene technische und organisatorische Maßnahmen getroffen worden sind.
#
7 ↑ Kirchengesetz über den Datenschutz der EKD - DSG-EKD (online aufrufbar über das Fachinformationssystem Kirchenrecht www.kirchenrecht-westfalen.de unter Nr. 850).
7 ↑ Kirchengesetz über den Datenschutz der EKD - DSG-EKD (online aufrufbar über das Fachinformationssystem Kirchenrecht www.kirchenrecht-westfalen.de unter Nr. 850).
#
9 ↑ Die Verordnung für die Führung der Kirchenbücher in der Evangelischen Kirche von Westfalen kann über das Fachinformationssystem Kirchenrecht (www.kirchenrecht-westfalen.de; Nr. 870) aufgerufen werden.
9 ↑ Die Verordnung für die Führung der Kirchenbücher in der Evangelischen Kirche von Westfalen kann über das Fachinformationssystem Kirchenrecht (www.kirchenrecht-westfalen.de; Nr. 870) aufgerufen werden.
#
11 ↑ Soweit eine kirchliche Stelle mit dem Einbinden der Kirchenbücher beauftragt wird, kann Ziffer 7 entfallen.
11 ↑ Soweit eine kirchliche Stelle mit dem Einbinden der Kirchenbücher beauftragt wird, kann Ziffer 7 entfallen.
#
12 ↑ Die Verpflichtung auf das Datengeheimnis nach § 6 DSG-EKD ist nach einem in der Datenschutzdurchführungsverordnung (siehe § 2 DSVO) enthaltenen Formblätter der Anlage 1 vorzunehmen. (online aufrufbar über das Fachinformationssystem Kirchenrecht www.kirchenrecht-westfalen.de unter Nr. 852).
12 ↑ Die Verpflichtung auf das Datengeheimnis nach § 6 DSG-EKD ist nach einem in der Datenschutzdurchführungsverordnung (siehe § 2 DSVO) enthaltenen Formblätter der Anlage 1 vorzunehmen. (online aufrufbar über das Fachinformationssystem Kirchenrecht www.kirchenrecht-westfalen.de unter Nr. 852).