Merkblatt und Verpflichtungserklärung
Download: Verpflichtungserklärung (Stand 2012)
Download: Merkblatt (Stand 2012)
Hinweis:
a) Wenn nachfolgend von "automatisierten Verfahren" die Rede ist, sind damit typischerweise Computerprogramme gemeint. Allerdings kann auch eine Excel- oder Calc-Tabelle ein automatisiertes Verfahren sein.
b) Nichtautomatisierte Dateien sind Karteien, heute wohl nur noch selten im Einsatz.
Download: Merkblatt (Stand 2012)
Hinweis:
a) Wenn nachfolgend von "automatisierten Verfahren" die Rede ist, sind damit typischerweise Computerprogramme gemeint. Allerdings kann auch eine Excel- oder Calc-Tabelle ein automatisiertes Verfahren sein.
b) Nichtautomatisierte Dateien sind Karteien, heute wohl nur noch selten im Einsatz.
Merkblatt über den Datenschutz in der
Evangelischen Landeskirche in Württemberg
Evangelischen Landeskirche in Württemberg
1. Das Datenschutzgesetz der EKD (DSG-EKD) gilt für automatisierte und nichtautomatisierte Dateien und für Akten. Eine automatisierte Datei ist jede Sammlung personenbezogener Daten, die durch automatisierte Verfahren nach bestimmten Merkmalen ausgewertet werden kann. Auch die Gesamtheit der mit einem Textverarbeitungsprogramm erstellten Texte ist eine Datei.
Eine Akte ist jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage, auch Bild- und Tonträger.
2. Daten dürfen nur erhoben werden, wenn ihre Kenntnis erforderlich ist, um die jeweilige konkrete und aktuelle kirchliche Aufgabe vollständig und in angemessener Zeit erfüllen zu können. Eine Erhebung "auf Vorrat" ist unzulässig. Bis auf wenige geregelte Ausnahmen dürfen Daten nur direkt bei Betroffenen erhoben werden (§ 4 DSG-EKD). Verfügungsberechtigt über erhobene Daten sind nur die erhebende Stelle, soweit eine Rechtsgrundlage besteht, und die betroffenen Personen.
3. Personenbezogene Daten dürfen nur zweckgebunden verwendet werden. Gebunden sind sie an den Zweck, zu dem sie erhoben wurden. Eine Verwendung zu anderen Zwecken muss durch Gesetz (§ 5 DSG-EKD) oder Einwilligung der Betroffenen zulässig sein. Es muss gewährleistet sein, dass Beschäftigten oder Ehrenamtlichen nur die Daten und Datenträger zugänglich sind, die sie zur Erledigung ihrer Aufgaben benötigen.
4. Auch eine Datenweitergabe an andere kirchliche oder sonstige Stellen oder Personen bedarf einer Rechtsgrundlage oder der Einwilligung der Betroffenen (Paragraphen 12, 13 u. 15 DSG-EKD oder spezialgesetzliche Regelungen) und darf nur an Verpflichtete erfolgen. Auskünfte zur geschäftlichen oder gewerblichen Verwendung sind unzulässig, es sei denn, die Betroffenen haben eingewilligt. Bei mündlichen oder telephonischen Auskunftersuchen muss bei nicht persönlich bekannten Personen deren Identität festgestellt werden (Rückruf, Rückschreiben, Meldebehörde). Gesperrte Daten dürfen nicht weitergegeben werden.
5. Eigene Aufzeichnungen dürfen nur angefertigt werden, wenn es zur Erfüllung einer konkreten und aktuellen kirchlichen Aufgabe (auch im Ehrenamt) unumgänglich ist. Sie müssen auf das Notwendige beschränkt, auch im privaten Bereich an einem sicheren Ort aufbewahrt und vernichtet werden, sobald sie nicht mehr erforderlich sind.
Bei einer Speicherung in automatisierten Verfahren müssen insbesondere Nr. 6 und Nr. 11 beachtet werden.
6.Datenträger (Akten, Listen, Dokumentationen, Gemeindegliederverzeichnisse, sonstige Aufzeichnungen, Karteien, Speicherkarten, CDs und DVDs, Wechsel-Festplatten, USB-Sticks, ...) müssen so aufbewahrt werden, dass Unbefugte keinen Zugriff haben; ggf. müssen entsprechende Möglichkeiten eingerichtet werden. Bei mit automatisierten Verfahren gespeicherten Daten ist der Datenverschlüsselungsverordnung (Abl. 59, 202), der Datensicherungsverordnung (Abl. 59, 203) und der Computervirenschutzverordnung (Abl. 59, 201) nachzukommen.
Das sog. Cloud-Computing ist nur mit verschlüsselten Daten zulässig; die Schlüssel dürfen nur der speichernden Stelle bekannt sein.
7. Mehrfertigungen bzw. Kopien von Daten und Datenträgern dürfen nur angefertigt werden, wenn es zur Durchführung einer konkreten und aktuellen kirchlichen Aufgabe erforderlich ist. Sperrvermerke müssen mitgeführt werden und sind ggf. nachzutragen. Es ist zu prüfen, ob Verbleib und Rücklauf geregelt werden müssen (z.B. bei Listen, Protokollen), um die Einhaltung der Datenschutzbestimmungen zu gewährleisten. Das Kopieren von Softwareprodukten ist nur mit Zustimmung der Eigentümer und unter Beachtung der Lizenzbestimmungen zulässig.
8. Verwendete Pass- oder Kennworte sind geheim zu halten. Regelungen zum Einsatz solcher Pass- oder Kennworte (Länge, Häufigkeit des Wechsels, Vermeidung bestimmter Wortarten, schriftliche Hinterlegung, Verwendung einer Bildschirmsperre) müssen beachtet werden.
9. Nicht mehr benötigte Datenträger (s. Nr. 6) oder EDV-Geräte (PC, Festplatten) müssen in einer Weise vernichtet, gelöscht oder entsorgt werden, die jede unbefugte Kenntnisnahme von Daten ausschließt. Bis zu ihrer Vernichtung, Löschung oder Entsorgung müssen sie vor einem unbefugten Zugriff geschützt aufbewahrt werden.
10. Bei der Nutzung von EDV sind bestimmte Handlungen durch das Strafgesetzbuch mit Strafe bedroht, so eine rechtswidrige Veränderung, Löschung oder Beseitigung von Daten, eine Zerstörung von Datenverarbeitungsanlagen oder Datenträgern, eine dadurch erfolgte Störung des Ablaufs der Datenverarbeitung einer Stelle, das unbefugte sich Verschaffen von besonders gesicherten EDV-Daten oder das Schädigen fremden Vermögens durch unbefugtes Einwirken auf einen Datenverarbeitungsvorgang (vergleiche insbesondere die Paragraphen § 202a, 263a, 269, 270, 303a, 303b StGB).
11. Die Nutzung privater PC oder anderer speicherfähiger Geräte zu dienstlichen Zwecken ist nur zulässig im Rahmen einer Datenverarbeitung im Auftrag (§ 11 DSG-EKD), die vom Oberkirchenrat genehmigt werden muß.