Beschlüsse
7. Tagung der 9. Synode der EKD Timmendorfer Strand, 3. - 8. November 2002
Beschluss zum Ersten Kirchengesetz zur Änderung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland
Beschluss
der 9. Synode der Evangelischen Kirche in Deutschland
auf ihrer 7. Tagung
zum
Ersten Kirchengesetz
zur Änderung des Kirchengesetzes über den
Datenschutz der Evangelischen Kirche in Deutschland
vom 7. November 2002
Die Synode der Evangelischen Kirche in Deutschland hat aufgrund des Artikel 10 a Abs. 1 der Grundordnung der Evangelischen Kirche in Deutschland in Verbindung mit Artikel 3 des Kirchengesetzes zur Änderung der Grundordnung der Evangelischen Kirche in Deutschland vom 9. November 2000 (ABl.EKD S. 458) das folgende Kirchengesetz beschlossen:
Artikel 1
Änderung des Kirchengesetzes über den
Datenschutz der Evangelischen Kirche in Deutschland
Das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland vom 12. November 1993 (ABl.EKD S. 505) wird wie folgt geändert:
1. § 1 wird wie folgt geändert:
a) In Absatz 2 Satz 2 wird das Wort "können" durch das Wort "sollen" ersetzt.
b) In Absatz 3 Nr. 2 werden nach der Zahl 25 die Wörter "sowie die Regelungen über die Verarbeitung und
Nutzung von personenbezogenen Daten in Akten" gestrichen.
c) In Absatz 4 Satz 1 zweiter Halbsatz werden die Wörter "Diese dürfen nicht in automatisierten Verfahren verarbeitet werden" durch die Wörter "Diese dürfen Dritten nicht zugänglich sein" ersetzt.
2. § 2 wird wie folgt geändert:
a) Der bisherige Abs. 2 erhält folgende Fassung:
"(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugängig ist und ausgewertet werden kann."
b) Absatz 3 wird aufgehoben.
c) Der bisherige Abs. 4 wird Abs. 3 und wie folgt geändert:
Vor das Wort "Daten" wird das Wort "personenenbezogenen" eingefügt.
d) Der bisherige Abs. 5 wird Abs. 4 und wie folgt geändert:
aa) In Satz 1 wird vor dem Wort "Daten" das Wort "personenbezogener" eingefügt.
bb) In Nummer 1 und 2 wird vor dem Wort "Daten" jeweils das Wort "personenbezogener" eingefügt.
cc) In Nummer 3 wird nach dem Wort "gewonnener" das Wort "personenbezogener" eingefügt.
ee) In Nummer 3 a werden die Wörter "durch die speichernde an die aufnehmende Stelle" ersetzt durch die Wörter "an Dritte".
ff) In Nummer 3. b) werden die Wörter "von der speichernden Stelle" gestrichen.
gg) In Nummer 4 und 5 wird vor dem Wort "Daten" jeweils das Wort "personenbezogener" eingefügt.
e) Absatz 6 wird zu Abs. 5 und wie folgt geändert:
Vor das Wort "Daten" wird das Wort "personenbezogener" eingefügt.
f) Absatz 7 wird zu Abs. 6 und wie folgt geändert:
Vor das Wort "Daten" wird das Wort "personenbezogener" eingefügt.
g) Nach Absatz 6 wird folgender Abs. 7 eingefügt:
"(7) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung der betroffenen Person auszuschließen oder wesentlich zu erschweren."
h) Absatz 8 wird wie folgt geändert:
aa) Das Wort "Speichernde" wird durch das Wort "Verantwortliche" ersetzt.
bb) Vor dem Wort "Daten" wird das Wort "personenbezogene" eingefügt.
cc) Das Wort "speichert" wird ersetzt durch die Wörter "erhebt, verarbeitet oder nutzt".
dd) Nach dem Wort "oder" wird das Wort "dies" eingefügt.
i) Nach Absatz 8 wird folgender Abs. 9 eingefügt:
"(9) Empfänger ist jede Person oder Stelle, die personenbezogene Daten erhält."
j) Absatz 9 wird Abs. 10 und wie folgt geändert:
aa) In Satz 1 wird das Wort "speichernden" ersetzt durch das Wort "verantwortlichen".
bb) In Satz 2 wird nach dem Wort "Auftrag" das Wort "erheben" und ein Komma eingefügt.
k) Nach Absatz 10 werden folgende Absätze angefügt:
"(11) Besondere Arten personenbezogener Daten sind Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Dazu gehört nicht die Zugehörigkeit zu einer Kirche oder sonstigen Religionsgemeinschaft.
(12) Mobile personenbezogene Speicher- und Bearbeitungsmedien sind Datenträger,
1. die an den Betroffenen ausgegeben werden,
2. auf deren personenbezogene Daten über die Speicherung hinaus durch die ausgebende Stelle oder eine andere Stelle automatisiert verarbeitet werden können und
3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann."
3. Nach § 2 wird folgender § 2 a angefügt:
" § 2 a
Datenvermeidung und Datensparsamkeit
Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder nur so wenig personenbezogene Daten wie nötig zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht."
4. § 3 wird zu § 4 und wie folgt geändert:
a) In Absatz 1 wird das Wort "erhebenden" durch das Wort "verantwortlichen" ersetzt.
b) In Absatz 2 Nr. 1 werden nach dem Wort "vorsieht" die Wörter ", zwingend voraussetzt" eingefügt.
c) Nach Absatz 4 wird folgender Absatz angefügt:
"(5) Das Erheben besonderer Arten personenbezogener Daten nach § 2 Abs. 11 ist nur zulässig, soweit
1. eine Rechtsvorschrift dies vorsieht,
2. der Betroffene nach Maßgabe des § 3a Abs. 3 eingewilligt hat,
3. dies zum Schutze lebenswichtiger Interessen der betroffenen Person oder Dritter erforderlich ist, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
4. es sich um Daten handelt, die die betroffene Person offenkundig öffentlich gemacht hat,
5. Grund zu der Annahme besteht, dass andernfalls die Wahrnehmung des Auftrages der Kirche oder die Glaubwürdigkeit ihres Dienstes ernsthaft gefährdet würde,
6. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder
7. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann."
5. § 4 wird wie folgt geändert:
a) § 4 Abs. 1 wird zu § 3.
aa) § 3 erhält folgende Überschrift "Erhebung, Verarbeitung und Nutzung".
bb) Die Wörter "Verarbeitung personenbezogener Daten und deren Nutzung" werden ersetzt durch die Wörter "Erhebung, Verarbeitung und Nutzung personenbezogener Daten".
b) § 4 Abs. 2 wird gestrichen.
6. Nach § 3 wird folgender § 3 a eingefügt:
"§ 3 a
Einwilligung der Betroffenen
(1) Die Einwilligung der Betroffenen ist nur wirksam, wenn sie auf deren freier Entscheidung beruht. Sie sind auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen,
(2) Im Bereich der wissenschaftlichen Forschung liegt ein besonderer Umstand im Sinne von Absatz 1 Satz 3 auch dann vor, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind der Hinweis nach Abs. 1 Satz 2 und die Gründe, aus denen sich die erhebliche Beeinträchtigung des bestimmten Forschungszwecks ergibt, schriftlich festzuhalten.
(3) Soweit besondere Arten personenbezogener Daten nach § 2 Abs. 11 erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen."
7. § 5 wird wie folgt geändert:
a) In Absatz 1 Satz 1, zweiter Halbsatz wird das Wort "speichernden" ersetzt durch das Wort "verantwortlichen".
b) In Absatz 1 werden
aa) In Nummer 1 nach dem Wort "vorsieht" die Wörter "oder zwingend voraussetzt" angefügt.
bb) in Nummer 6 wird das Wort "speichernde" ersetzt durch das Wort "verantwortliche".
c) In Absatz 3 wird in Satz 1 und Satz 2 das Wort "speichernde" jeweils ersetzt durch das Wort "verantwortliche";
d) Nach Absatz 4 wird folgender Absatz 5 angefügt:
"(5) Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten nach § 2 Abs. 11 für andere Zwecke ist nur zulässig, wenn
1. die Voraussetzungen vorliegen, die eine Erhebung nach § 4 Abs. 5 Nr. 1 bis 5 zuließen oder
2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das kirchliche Interesse an der Durchführung des Forschungsvorhabens das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann. Bei dieser Abwägung ist im Rahmen des kirchlichen Interesses das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen."
8. § 6 Satz 1 wird wie folgt geändert:
a) Die Wörter "bei der Datenverarbeitung beschäftigten" werden ersetzt durch die Wörter "mit dem Umgang von Daten betrauten";
b) hinter dem Wort "unbefugt" werden die Wörter "zu erheben," eingefügt.
9. § 7 Abs. 2 wird wie folgt geändert:
a) In Satz 1 werden die Wörter
aa) "in einer Datei" ersetzt durch "automatisiert in der Weise";
bb) "bei der" ersetzt durch das Wort "dass";
cc) nach dem Wort "festzustellen" werden die Wörter "welche Stelle die Daten gespeichert hat," eingefügt.
b) In Satz 2 werden die Wörter "speichernde Stelle" ersetzt durch die Wörter ", die die Daten gespeichert hat,";
c) In Satz 3 werden die Wörter "die speichernde" werden ersetzt durch das Wort "jene".
10. Nach § 7 werden die §§ 7a und 7 b wie folgt eingefügt:
"§ 7 a
Beobachtung öffentlich zugänglicher Räume mit
optisch – elektronischen Einrichtungen
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch – elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen. Während der Gottesdienste ist eine Videoüberwachung unzulässig.
(2) Der Umstand der Beobachtung ist durch geeignete Maßnahmen erkennbar zu machen, soweit dies nicht offensichtlich ist.
(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist nur zulässig, soweit und solange dies zum Erreichen des verfolgten Zweckes erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Personen überwiegen.
(4) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der betroffenen Personen einer weiteren Speicherung entgegenstehen.
§ 7 b
Mobile personenbezogene Speicher - und Bearbeitungsmedien
(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereit hält, muss die betroffene Person
1. über ihre Identität und Anschrift,
2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten,
3. darüber, wie sie ihre Rechte nach den §§ 15, 15 a und 16 ausüben kann, und
4. über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen
unterrichten, soweit sie nicht bereits Kenntnis erlangt hat.
(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen.
(3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für die betroffene Person eindeutig erkennbar sein."
11. § 8 wird wie folgt geändert:
a) In Absatz 2 Satz 1 und Satz 2 wird die Angabe "250.000,-- Deutsche Mark" durch die Angabe "125.000,-- Euro" ersetzt;
b) In Absatz 3 wird das Wort "Datei" ersetzt durch die Wörter "automatisierte Verarbeitung";
c) In Absatz 5 wird die Angabe "§ 852" ersetzt durch die Angabe "sind die §§ 199, 852";
d) in Absatz 6 wird das Wort "speichernden" durch das Wort "verantwortlichen" und das Wort "speichernde" durch das Wort "verantwortliche" ersetzt.
12. § 9 wird wie folgt geändert:
Nach dem Wort "Daten" wird das Wort "verarbeiten" ersetzt durch die Wörter "erheben, verarbeiten oder nutzen".
13. Nach § 9 wird folgender § 9 a eingefügt:
"§ 9 a
Datenschutzaudit
Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und –programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch geeignete Stellen prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Näheres kann der Rat der EKD durch Rechtsverordnung regeln."
14. § 10 wird wie folgt geändert:
a) In Absatz 2 Nr. 2 werden die Wörter "die Daten empfangenden Stellen" gestrichen und ersetzt durch die Wörter "Dritte, an die übermittelt wird";
b) in Absatz 3 wird
aa) nach dem Wort "Datenschutzbeauftragte" werden die Wörter "sowie der oder die Betriebsbeauftragte für den Datenschutz" eingefügt;
bb) nach Satz 1 wird folgender Satz angefügt: "Die Errichtung von automatisierten Abrufverfahren mit nicht-kirchlichen Stellen kann von der Genehmigung einer anderen kirchlichen Stelle abhängig gemacht werden."
15. § 11 wird wie folgt geändert:
a) In der Überschrift wird vor dem Wort "Verarbeitung" das Wort "Erhebung," eingefügt;
b) in Absatz 1 Satz 1 wird nach dem Wort "Personen" das Wort "erhoben," eingefügt;
c) Absatz 2 erfährt folgende Änderung:
aa) In Satz 2 wird das Wort "Datenverarbeitung" durch die Wörter "Datenerhebung, -verarbeitung" ersetzt;
bb) nach Satz 3 wird folgender Satz 4 angefügt: "Die beauftragende Stelle soll sich von der Einhaltung der bei der beauftragten Stelle getroffenen technischen und organisatorischen Maßnahmen überzeugen.";
d) in Absatz 3 Satz 2 wird nach dem Wort "Stelle" das Wort "erheben," eingefügt;
e) nach Absatz 4 wird folgender Absatz 5 angefügt:
"(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann."
16. § 12 wie folgt geändert:
In Absatz 7 werden nach dem Wort "wenn" die Wörter "dies eine Rechtsvorschrift zulässt oder dies" eingeschoben.
17. § 13 wird wie folgt geändert:
a) In Absatz 1 wird
aa) nach Nr. 1 folgende Nr. 2 eingefügt: "2. eine Rechtsvorschrift dies zulässt oder";
bb) Nummer 2 wird Nummer 3;
b) Nach Absatz 1 wird folgender Absatz 2 eingefügt:
"(2) Das Übermitteln von besonderen Arten personenbezogener Daten nach § 2 Abs. 11 ist abweichend von Satz 1 Nr. 3 nur zulässig, soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche erforderlich ist."
c) Der bisherige Absatz 2 wird Absatz 3;
d) Der bisherige Absatz 3 wird Absatz 4 und wie folgt geändert:
aa) In Satz 1 wird die Angabe "Absatz 1 Nr. 2" geändert in "Absatz 1 Nr. 3";
bb) An Satz 2 wird folgender Halbsatz angefügt: "oder die Wahrnehmung des Auftrages der Kirche gefährdet würde."
18. a) § 14 wird wie folgt geändert:
aa) Absatz 2 Nr. 1 erhält folgende Fassung:
"1. Name der verantwortlichen Stelle,"
bb) die bisherige Nummer 1 wird Nummer 2 und wie folgt geändert:
Das Wort "Dateien" wird ersetzt durch das Wort "Datenverarbeitungsprogramme";
cc) Die bisherigen Nummern 2 bis 7 werden die Nummern 3 bis 8;
dd) nach Nummer 8 wird folgende Nummer 9 eingefügt:
"9. die Rechtsgrundlage der Verarbeitung."
b) Absatz 3 wird ersetzt durch den bisherigen Absatz 4 und erhält folgende Fassung:
"(3) Absatz 2 Satz 1 gilt nicht für
1. Dateien, die nur vorübergehend vorgehalten und innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden und
2. automatisierte Verarbeitungen, die allgemeinen Verwaltungszwecken dienen, einschließlich deren Datensicherung."
c) Nach Absatz 3 wird folgender Absatz 4 angefügt:
"(4) Für automatisierte Verarbeitungen, die in gleicher oder ähnlicher Weise mehrfach geführt werden, können die Festlegungen zusammengefasst werden. ".
19. § 15 wird wie folgt geändert:
a) In Absatz 1
aa) wird nach der Nummer 1 folgende Nummer 2 eingefügt:
"2 .die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben werden, und"
bb) die bisherige Nummer 2 wird Nummer 3.
b) In Absatz 2 Satz 3 wird das Wort "speichernde" ersetzt durch das Wort "verantwortliche".
20. Nach § 15 wird folgender § 15 a eingefügt:
"§ 15 a
Benachrichtigung
Werden personenbezogene Daten ohne Kenntnis der betroffenen Person erhoben, so ist diese darüber zu unterrichten. Dies gilt nicht, wenn
1. die betroffene Person davon auf andere Weise Kenntnis erlangt hat,
2. die Unterrichtung einen unverhältnismäßigen Aufwand erfordert oder
3. die Speicherung oder Übermittlung der erhobenen Daten durch Rechtsvorschrift ausdrücklich vorgesehen ist.
Die betroffene Person ist auch bei regelmäßigen Übermittlungen von Daten über die Empfänger oder Kategorien von Empfängern von Daten zu unterrichten, soweit sie nicht mit der Übermittlung an diese rechnen muss."
21. § 16 wird wie folgt geändert:
a) In der Überschrift werden nach dem Wort "Daten" ein Semikolon und das Wort "Widerspruchsrecht" eingefügt;
b) in Absatz 1 Satz 2 werden
aa) nach den Wörtern "personenbezogene Daten" die Wörter "in Akten" ersetzt durch die Wörter ",die weder automatisiert verarbeitet noch in nicht automatisierten Dateien gespeichert sind,";
bb) die Wörter "der Akte zu vermerken oder auf sonstige" werden ersetzt durch das Wort "geeigneter";
c) in Absatz 2
aa) werden die Wörter "in Dateien" ersetzt durch die Wörter ", die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind,";
bb) in Absatz 2 Nummer 2 wird das Wort "speichernde" ersetzt durch das Wort "verantwortliche";
d) In Absatz 4 werden die Wörter "in Dateien" ersetzt durch die Wörter ", die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind";
e) Nach Absatz 4 wird folgender Absatz 4 a eingefügt:
"(4a) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person dem bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse der betroffenen Person wegen ihrer besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.";
f) in Absatz 5 werden die Wörter "in Akten" ersetzt durch ", die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind,";
g) in Absatz 6 Nummer 1 wird das Wort "speichernden" ersetzt durch das Wort "verantwortlichen".
22. § 21 wird wie folgt neu gefasst:
"§ 21
Meldepflicht
(1) Die kirchlichen Stellen sind verpflichtet, Verfahren automatisierter Verarbeitung vor Inbetriebnahme dem oder der zuständigen Beauftragten für den Datenschutz zu melden.
(2) Die Meldung hat die in § 14 Abs. 2 Nummer 1 bis 9 aufgeführten Angaben zu enthalten. Sie kann von jeder Person eingesehen werden, die ein berechtigtes Interesse nachweist.
(3) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten oder eine Beauftragte für den Datenschutz nach § 22 bestellt hat oder bei ihr höchstens sechs Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut sind."
23. § 22 erhält folgende Fassung:
"Betriebsbeauftragte für den Datenschutz
(1) Bei kirchlichen Werken und Einrichtungen mit eigener Rechtspersönlichkeit sollen Betriebsbeauftragte, bei den übrigen kirchlichen Stellen sollen örtlich Beauftragte für den Datenschutz bestellt werden. Die Bestellung kann sich auf mehrere Werke, Einrichtungen und kirchliche Körperschaften erstrecken und soll erfolgen, wenn mehr als sechs Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betraut sind. (§ 4 f I) Die Vertretung ist zu regeln.
(2) Zu Beauftragten nach Absatz 1 dürfen nur Personen bestellt werden, die die zur Erfüllung ihrer Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen. (§ 4 f II, 1)
(3) Die Beauftragten nach Absatz 1 sind den gesetzlich oder verfassungsmäßig berufenen Organen der Werke, Einrichtungen oder kirchlichen Körperschaften unmittelbar zu unterstellen. Sie sind im Rahmen ihrer Aufgaben weisungsfrei. Sie dürfen wegen dieser Tätigkeit nicht benachteiligt werden. Sie sind bei der Erfüllung ihrer Aufgaben zu unterstützen. § 18 Abs. 7 gilt entsprechend.
(4) Die Beauftragten nach Absatz 1 wirken auf die Einhaltung der Bestimmungen für den Datenschutz hin und unterstützen die kirchlichen Werke und Einrichtungen bei der Sicherstellung des in ihrer Verantwortung liegenden Datenschutzes. Zu diesem Zweck können sie sich in Zweifelsfällen an die für die Datenschutzkontrolle zuständige Stelle wenden. Sie haben insbesondere
1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen;
2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Bestimmungen über den Datenschutz, bezogen auf die besonderen Verhältnisse ihres Aufgabenbereiches, vertraut zu machen.
(5) Zu Beauftragten nach Absatz 1 sollen diejenigen nicht bestellt werden, die mit der Leitung der Datenverarbeitung beauftragt sind oder denen die Aufsicht über die Einhaltung eines ausreichenden Datenschutzes obliegt.
(6) Die Bestellung von Beauftragten nach Absatz 1 ist dem Datenschutzbeauftragten und der nach dem jeweiligen Recht für die Aufsicht zuständigen Stelle anzuzeigen."
24. § 23 wird wie folgt geändert:
In Absatz 1 Satz 1 wird
a) das Wort "kirchlichen" Stelle nach dem Wort "verpflichteten" gestrichen
b) das Wort "speichernden" wird in das Wort "verantwortlichen" geändert.
25. § 24 wird wie folgt geändert:
a) In Absatz 1 wird das Wort "Eingliederung" durch das Wort "Eingehung" ersetzt.
b) In Absatz 2 Nummer 2. wird am Ende nach dem Wort "erfordert" das Wort "oder" eingefügt.
c) In Absatz 4 Satz 3 am Ende werden die Wörter "nur mit Einwilligung der betroffenen Person zulässig" ersetzt durch die Wörter "ohne schriftliche Einwilligung der betroffenen Person nur zu dem Zweck zulässig, zu dem sie erhoben worden sind.".
d) In Absatz 5 wird nach Satz 1 folgender Satz 2 Satz eingefügt: "Dies gilt nicht, soweit überwiegende berechtigte Interessen der speichernden Stelle der Löschung entgegenstehen oder die betroffene Person in die weitere Speicherung einwilligt.".
26. § 25 wird wie folgt geändert:
In Absatz 1 werden die Wörter "bestimmte Forschungsvorhaben" ersetzt durch die Wörter "Zwecke der wissenschaftlichen Forschung".
27. § 26 erhält folgende Änderungen:
a) In der Überschrift wird vor dem Wort "Verarbeitung" das Wort "Erhebung," eingefügt.
b) Absatz 1 Satz 1:
aa) Nach dem Wort "journalistisch-redaktionellen" wird das Wort eingefügt "oder literarischen";
bb) die Angabe "§§ 6 und 9" wird geändert in die Angabe "§§ 6, 8 und 9",
c) In Absatz 1 Satz 2 wird nach dem Wort " journalistisch-redaktionelle" das Wort "oder literarische" eingefügt.
Artikel 2
Schlussvorschriften
1. Dieses Kirchengesetz tritt am 1. Januar 2003 in Kraft.
2. Anlage zu § 9 wird wie folgt gefasst:
" Anlage zu § 9 Satz 1
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können."
Timmendorfer Strand, den 7. November 2002
Der Präses der Synode der Evangelischen Kirche in Deutschland
Die Veröffentlichung der Beschlüsse erfolgt unter dem Vorbehalt der endgültigen Ausfertigung durch den Präses der Synode!
