.

Rechtsverordnung
zur Durchführung des
EKD-Datenschutzgesetzes
(Datenschutzdurchführungsverordnung – DSDVO)

Vom 5. April 2017

(KABl. S. 221)

Änderungen
Lfd. Nr.
Änderndes Recht
Datum
Fundstelle
Geänderte
Paragrafen
Art der
Änderung
1
Artikel 1 der Rechtsverordnung zur Anpassung des Datenschutzrechts
2. Juni 2018
§ 1 Überschrift
neu gefasst
§ 2 Überschrift
neu gefasst
Wörter
gestrichen
Wörter
ersetzt
neu gefasst
neu gefasst
neu gefasst
neu gefasst
neu gefasst
neu gefasst
neu gefasst
Wort ersetzt
aufgehoben
neu gefasst
neu gefasst
neu gefasst
neu gefasst
eingefügt
bish. Teil 2
bish. § 14
wird § 19 und neu gefasst
bish. §§ 15 und 16
Aufgrund von § 27 Absatz 2 des EKD-Datenschutzgesetzes in der Fassung der Bekanntmachung vom 1. Januar 2013 (ABl. EKD S. 2, 34) in Verbindung mit § 1 des Datenschutzdurchführungsverordnungsgesetzes vom 6. Dezember 2016 (KABl. 2017 S. 2) verordnet die Erste Kirchenleitung:
#

Teil 1
Durchführungsbestimmungen zum
EKD-Datenschutzgesetz (DSG-EKD)

###

§ 1
Geltungsbereich
(zu § 2 Absatz 1 Satz 1 und 2 DSG-EKD)

Diese Rechtsverordnung gilt für die Landeskirche, die Kirchenkreise und Kirchenkreisverbände, die Kirchengemeinden und Kirchengemeindeverbände und – ohne Rücksicht auf deren Rechtsform – für deren zugeordnete, rechtlich selbstständige Dienste, Werke und Einrichtungen (kirchliche Stellen), insbesondere das Diakonische Werk Hamburg – Landesverband der Inneren Mission e. V., das Diakonische Werk Mecklenburg-Vorpommern e. V. und das Diakonische Werk Schleswig-Holstein – Landesverband der Inneren Mission e. V. sowie für deren Mitglieder, die der Evangelisch-Lutherischen Kirche in Norddeutschland durch Entscheidung der Diakonischen Werke zugeordnet sind.
#

§ 2
Führung der Übersicht über die kirchlichen Dienste, Werke
und Einrichtungen mit eigener Rechtspersönlichkeit
(zu § 2 Absatz 1 Satz 3 und 4 DSG-EKD)

( 1 ) 1 Das Landeskirchenamt führt die Übersicht über die zugeordneten kirchlichen Dienste, Werke und Einrichtungen mit eigener Rechtspersönlichkeit. 2 Die Kirchengemeinden, Kirchengemeindeverbände, Kirchenkreise und Kirchenkreisverbände sind verpflichtet, das Landeskirchenamt unverzüglich über die Bildung und Auflösung von zugeordneten kirchlichen Diensten, Werken und Einrichtungen nach Satz 1 in Kenntnis zu setzen. 3 Die Diakonischen Werke nach § 1 sind verpflichtet, das Landeskirchenamt unverzüglich über Entscheidungen, durch die sie Mitglieder der Evangelisch-Lutherischen Kirche in Norddeutschland zuordnen, in Kenntnis zu setzen. 4 Satz 3 gilt entsprechend für Entscheidungen, durch welche die Zuordnung zur Evangelisch-Lutherischen Kirche in Norddeutschland widerrufen oder zurückgenommen wird.
( 2 ) Die Übersicht sowie Aufnahmen in die und Löschungen aus der Übersicht werden der Aufsichtsbehörde nach § 11 durch das Landeskirchenamt zur Kenntnis gegeben.
#

§ 3
Seelsorgedaten
(zu § 3 DSG-EKD)

1 Personen, denen ein Seelsorgeauftrag erteilt wurde, dürfen in Wahrnehmung ihres Seelsorgeauftrags eigene Aufzeichnungen führen und verwenden (Seelsorgedaten). 2 Seelsorgedaten sind nach Gebrauch zu vernichten, wenn ihre Kenntnis für die Wahrnehmung des Seelsorgeauftrags nicht mehr erforderlich ist. 3 Eine Weitergabe dieser Unterlagen ist unzulässig.
#

§ 4
Verpflichtung auf das Datengeheimnis
(zu § 26 DSG-EKD)

Beschäftigte und Ehrenamtliche, die personenbezogene Daten verarbeiten, sind bei der Aufnahme ihrer Tätigkeit schriftlich auf das Datengeheimnis zu verpflichten.
#

§ 5
Videoüberwachung
(zu § 52 DSG-EKD)

1 Werden öffentlich zugänglich Räume durch optisch-elektronische Einrichtungen überwacht, sind die Erforderlichkeit sowie Art und Umfang der Videoüberwachung zu dokumentieren. 2 Die Dokumentation soll auch eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten beinhalten. 3 Die Videoüberwachung ist mindestens alle zwei Jahre auf ihre weitere Erforderlichkeit zu überprüfen.
#

§ 6
IT-Sicherheit
(zu § 27 Absatz 6 DSG-EKD)

( 1 ) Die IT-Sicherheitsverordnung vom 29. Mai 2015 (ABl. EKD S. 146) in der jeweils geltenden Fassung und weitere Regelungen des Rates der Evangelischen Kirche in Deutschland zur Gewährleistung der IT-Sicherheit nach § 27 Absatz 6 DSG-EKD finden Anwendung.
( 2 ) Die Verarbeitung personenbezogener Daten, die einer besonderen Geheimhaltungspflicht unterliegen (wie Beicht- und Seelsorgegeheimnis, Steuergeheimnis, Sozialgeheimnis), auf einer privaten Datenverarbeitungsanlage ist nicht gestattet.
( 3 ) Für die Beauftragung von IT-Sicherheitsbeauftragten für mehrere kirchliche Stellen gilt § 13 entsprechend.
#

§ 7
Verzeichnis von Verarbeitungstätigkeiten
(zu § 31 Absatz 6 DSG-EKD)

1 In Abstimmung mit den Kirchenkreisen soll insbesondere in den Bereichen Finanzen, Meldewesen und Personal eine standardisierte IT-Struktur in der Evangelisch-Lutherischen Kirche in Norddeutschland hergestellt werden. 2 Für einheitliche Verfahren wird das Verzeichnis von Verarbeitungstätigkeiten beim Landeskirchenamt zentral geführt.
#

§ 8
Verarbeitung von personenbezogenen Daten im Auftrag
(zu § 30 Absatz 7 DSG-EKD)

1 Sollen personenbezogene Daten einer kirchlichen Stelle im Auftrag durch andere Stellen oder Personen verarbeitet werden, so ist hierüber eine Vereinbarung nach Maßgabe des § 30 Absatz 3 und Absatz 7 Satz 2 DSG-EKD zu schließen. 2 Die Vereinbarung ist vor Abschluss auf Verlangen der Aufsichtsbehörde nach § 11 und der für die allgemeine Aufsicht zuständigen Stelle anzuzeigen.
#

§ 9
Einhaltung und Durchführung des Datenschutzes
(zu §§ 27, 28 DSG-EKD)

( 1 ) Für die Einhaltung und die Durchführung des Datenschutzes in den kirchlichen Stellen sind jeweils deren gesetzlich oder verfassungsmäßig berufene Organe zuständig.
( 2 ) Die kirchlichen Stellen sollen Dienst- und Organisationsanweisungen für die Einhaltung und die Durchführung des Datenschutzes, insbesondere für den Einsatz und den Betrieb der Informations- und Kommunikationstechnik, erlassen.
#

§ 10
Löschung
(zu § 21 Absatz 5 DSG-EKD)

Bereichsspezifische Regelungen über die Aufbewahrung, Aussonderung und Löschung personenbezogener Daten, insbesondere die entsprechenden Vorschriften des Archivrechts, bleiben unberührt.
#

§ 11
Aufsichtsbehörde
(zu § 39 DSG-EKD)

( 1 ) 1 Für den Bereich der Evangelisch-Lutherischen Kirche in Norddeutschland wird eine unabhängige kirchliche Aufsichtsbehörde für den Datenschutz errichtet. 2 Der Zuständigkeitsbereich erstreckt sich auf die kirchlichen Stellen nach § 1 einschließlich der Diakonischen Werke und ihrer Mitglieder, die der Evangelisch-Lutherischen Kirche in Norddeutschland zugeordnet sind. 3 Der Sitz der Aufsichtsbehörde befindet sich in der Regel am Sitz des Landeskirchenamtes. 4 Die Errichtung von Außenstellen ist möglich; sie bedarf der Zustimmung der Kirchenleitung.
( 2 ) 1 Die bzw. der Beauftragte für den Datenschutz wird von der Kirchenleitung bestellt. 2 Die Bestellung wird im Kirchlichen Amtsblatt bekannt gegeben. 3 Satz 2 gilt entsprechend für die Stellvertreterin bzw. den Stellvertreter der bzw. des Beauftragten für den Datenschutz.
( 3 ) Die Verantwortung der für die allgemeine Aufsicht über die kirchlichen Körperschaften zuständigen Stellen bleibt unberührt.
#

§ 12
Aufgaben und Befugnisse
(zu §§ 43, 44 DSG-EKD)

( 1 ) 1 Bei Rechtssetzungsvorhaben, die sich auf den Schutz von personenbezogenen Daten auswirken, ist der bzw. dem Beauftragten für den Datenschutz Gelegenheit zu geben, sich zu beteiligen und gegebenenfalls gutachterlich zu äußern. 2 Ihr bzw. ihm ist dazu in den Sitzungen der Landessynode das Wort zu erteilen.
( 2 ) Die bzw. der Beauftragte für den Datenschutz berichtet alle zwei Jahre der Kirchenleitung und der Landessynode.
#

§ 13
Örtlich Beauftragte für den Datenschutz
(zu § 36 DSG-EKD)

( 1 ) Die Bestellung von örtlich Beauftragten für den Datenschutz erfolgt durch das nach § 9 Absatz 1 für die Einhaltung und die Durchführung des Datenschutzes zuständige Organ der kirchlichen Stelle.
( 2 ) 1 Die Bestellung von örtlich Beauftragten für den Datenschutz kann für mehrere kirchliche Stellen gemeinsam erfolgen. 2 Vor der Bestellung gemeinsamer Beauftragter hat jede beteiligte kirchliche Stelle ihre Zustimmung zur Bestellung zu erklären. 3 Die beteiligten kirchlichen Stellen sollen Vereinbarungen zum Arbeitsumfang und zur Finanzierung der gemeinsamen Beauftragten treffen.
( 3 ) 1 Die Kirchenkreise sind gehalten, für sich und für die Kirchengemeinden und Kirchengemeindeverbände ihres Bereichs eine gemeinsame örtliche Beauftragte bzw. einen gemeinsamen örtlichen Beauftragten für den Datenschutz zu bestellen. 2 Sie bzw. er wird vom Kirchenkreisrat bestellt und ist diesem unmittelbar unterstellt; sie bzw. er soll beim Kirchenkreis beschäftigt sein. 3 Der Kirchenkreis trägt Sorge dafür, dass die durch ihre bzw. seine Tätigkeit erforderlichen Kosten im Kirchenkreishaushalt bereitgestellt werden.
#

Teil 2
Ergänzende Bestimmungen zum
EKD-Datenschutzgesetz (DSG-EKD)

###

§ 14
Gemeindegliederdaten

( 1 ) 1 Die durch die Meldebehörden gemäß § 42 des Bundesmeldegesetzes (BMG) vom 3. Mai 2013 (BGBl. I S. 1084), das zuletzt durch Gesetz vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, in seiner jeweils geltenden Fassung und der jeweiligen Landesmeldegesetze übermittelten Meldedaten dürfen für die Führung der Gemeindegliederverzeichnisse und weitere kirchliche Aufgaben verarbeitet werden, nicht jedoch zu arbeitsrechtlichen Zwecken. 2 Daten aus dem Kirchenbuchwesen dürfen mit Meldewesendaten wechselseitig verknüpft werden.
( 2 ) 1 Soweit die Kirchengemeinden von den Gemeindegliedern freiwillige Beiträge erheben, dürfen die für die Beitragserhebung benötigten personenbezogenen Daten aus dem Gemeindegliederverzeichnis verarbeitet werden. 2 Die Verarbeitung zur Durchführung einer Fundraisingmaßnahme durch eine kirchliche Stelle oder im Auftrag einer kirchlichen Stelle erfolgt nach Maßgabe gesonderter Vorschriften.
( 3 ) Die aus den Melderegistern übermittelten Auskunfts- und Übermittlungssperren sind in die Gemeindegliederverzeichnisse aufzunehmen und zu beachten.
( 4 ) Auskünfte aus dem Gemeindegliederverzeichnis an die betroffene Person erteilen die zu dessen Führung verpflichteten kirchlichen Stellen nur nach Maßgabe des § 19 DSG-EKD.
( 5 ) Die Weitergabe von personenbezogenen Daten von Gemeindegliedern zur gewerblichen, politischen oder vergleichbaren privaten Nutzung ist nicht zulässig.
#

§ 15
Veröffentlichung von Gemeindegliederdaten

( 1 ) 1 Die Kirchengemeinden dürfen personenbezogene Daten im Zusammenhang mit Amtshandlungen und mit Geburtstagen oder Jubiläen von Gemeindegliedern in Gemeindebriefen und anderen örtlichen kirchlichen Publikationen mit Namen sowie Tag und Ort des Ereignisses veröffentlichen, soweit die Betroffenen im Einzelfall nicht widersprochen haben. 2 Auf das Widerspruchsrecht sind die Betroffenen rechtzeitig vor der Veröffentlichung schriftlich hinzuweisen. 3 Bei regelmäßigen Veröffentlichungen ist es ausreichend, wenn ein Hinweis auf das Widerspruchsrecht an derselben Stelle wie die Veröffentlichung erfolgt.
( 2 ) Eine allgemein zugängliche elektronische Veröffentlichung personenbezogener Daten nach Absatz 1 ist nur zulässig, wenn die Einwilligung der betroffenen Person vorher schriftlich eingeholt worden ist.
( 3 ) Personenbezogene Daten von Personen, für die eine Auskunftssperre nach § 51 BMG oder ein bedingter Sperrvermerk nach § 52 BMG besteht, dürfen für Veröffentlichungen nur genutzt werden, wenn vorher die schriftliche Einwilligung der betroffenen Personen eingeholt wurde.
#

§ 16
Personenverzeichnisse

( 1 ) Für die Zusammenarbeit der kirchlichen Stellen, insbesondere zur Information der ehrenamtlichen Mitglieder kirchlicher Gremien und der Mitarbeiterinnen und Mitarbeiter dürfen Personenverzeichnisse erstellt werden.
( 2 ) 1 Die Verzeichnisse dürfen die Namen, die Dienst- oder Amtsbezeichnung, die innegehabte Stelle bzw. die ausgeübte Tätigkeit und die dienstlichen Kontaktdaten (Anschriften, E-Mail-Adressen und Telefonnummern) von Pastorinnen und Pastoren, Kirchenbeamtinnen und Kirchenbeamten, Mitarbeiterinnen und Mitarbeitern sowie ehrenamtlichen Mitgliedern kirchlicher Gremien enthalten. 2 Entsprechendes gilt für Pastorinnen und Pastoren sowie Kirchenbeamtinnen und Kirchenbeamten im Ruhestand mit deren Einwilligung.
( 3 ) 1 In die Verzeichnisse dürfen weitere personenbezogene Daten (z. B. Geburtsdatum, Ordination, Dienstantritt, Ernennung, private Anschriften) aufgenommen werden, wenn die Einwilligung der Betroffenen vorliegt. 2 Für ein Verzeichnis, das ausschließlich im Bereich der Personalverwaltung und der bischöflichen und pröpstlichen Visitation zur Verfügung steht, dürfen diese Daten auch ohne Einwilligung der Betroffenen verarbeitet werden; dies gilt nicht für die Daten von ehrenamtlichen Mitgliedern kirchlicher Gremien.
( 4 ) 1 Im Kirchlichen Amtsblatt der Evangelisch-Lutherischen Kirche in Norddeutschland dürfen die personenbezogenen Daten nach Absatz 2 veröffentlicht werden, wenn dies im kirchlichen Interesse liegt. 2 Gleiches gilt für eine allgemein zugängliche elektronische Veröffentlichung. 3 Die Veröffentlichung privater Kontaktdaten bedarf der Einwilligung der Betroffenen.
#

§ 17
Kirchliche Veranstaltungen

( 1 ) Kirchliche Stellen dürfen bei ihren Veranstaltungen personenbezogene Daten der Teilnehmenden und sonstigen Mitwirkenden verarbeiten, soweit dies für die Durchführung der Veranstaltung notwendig ist.
( 2 ) 1 Die Teilnehmerlisten von Veranstaltungen dürfen allen Teilnehmerinnen und Teilnehmern übermittelt werden, soweit nicht eine Betroffene bzw. ein Betroffener der Übermittlung ihrer bzw. seiner Daten widersprochen hat. 2 Eine Übermittlung an weitere Dritte sowie die Veröffentlichung bedürfen der Einwilligung der Betroffenen. 3 Eine allgemein zugängliche elektronische Veröffentlichung ist unzulässig.
( 3 ) Die personenbezogenen Daten von Teilnehmerinnen und Teilnehmern dürfen verarbeitet werden, soweit die kirchlichen Stellen diesen Personen weitere Schulungshinweise, Arbeits- und Informationsmaterial sowie weitere Auskünfte über Veranstaltungen und Entwicklungen einzelner Fortbildungssachgebiete vermitteln oder zielgruppengerichtete Einladungen zu weiteren kirchlichen Veranstaltungen ermöglichen wollen.
#

§ 18
Kirchliche Friedhöfe

( 1 ) Zur Bewirtschaftung und Verwaltung der kirchlichen Friedhöfe, insbesondere zum Zweck der Bestattung oder Beisetzung, zur Übertragung von Nutzungsrechten an einer Grabstätte und zur Erhebung von Gebühren und Entgelten dürfen vom Friedhofsträger oder in seinem Auftrag die erforderlichen personenbezogenen Daten der Verstorbenen, der Nutzungsberechtigten und der Auftraggeber verarbeitet werden.
( 2 ) Zum Zwecke der Vollstreckung von Friedhofsgebühren dürfen den zuständigen Behörden die notwendigen personenbezogenen Daten übermittelt werden.
( 3 ) Die Lage von Grabstätten darf Dritten auf entsprechende Nachfrage bekannt gegeben werden, wenn anzunehmen ist, dass schutzwürdige Belange der verstorbenen und der nutzungsberechtigten Person nicht beeinträchtigt werden.
#

Teil 3
Schlussbestimmungen

###

§ 19
Muster, Merkblätter

Die Aufsichtsbehörde nach § 11 kann zur Sicherstellung einer einheitlichen Anwendung des kirchlichen Datenschutzrechts verbindliche Muster und Merkblätter erstellen.1#
#

§ 20
Übergangsbestimmung

Die im Beschluss der Gemeinsamen Kirchenleitung vom 24. Februar 2012 festgelegte Amtszeit des bei Inkrafttreten dieser Rechtsverordnung im Amt befindlichen Datenschutzbeauftragten der Evangelisch-Lutherischen Kirche in Norddeutschland bis September 2023 bleibt unberührt.
#

§ 21
Inkrafttreten, Außerkrafttreten

( 1 ) Diese Rechtsverordnung tritt am Tag nach ihrer Verkündung im Kirchlichen Amtsblatt in Kraft2#.
( 2 ) Gleichzeitig treten außer Kraft:
  1. §§ 1 bis 14 und § 46 sowie die Anlagen 1 bis 8 der Rechtsverordnung der Nordelbischen Evangelisch-Lutherischen Kirche zur Durchführung und Ergänzung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung – DSVO NEK) vom 27. August 2007 (GVOBI. S. 226), die zuletzt durch Rechtsverordnung vom 2. Dezember 2008 (GVOBl. 2009 S. 3) geändert worden ist, und
  2. §§ 1 bis 16 und §§ 49, 50 und 52 sowie die Anlagen 1 bis 8 der Verordnung über die Anwendung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) in der Evangelisch-Lutherischen Landeskirche Mecklenburgs vom 4. Dezember 2009 (Datenschutzanwendungsverordnung) (KABl S. 122).

#
1 ↑ Red. Anm.: Die Aufsichtsbehörde gibt die Muster und Merkblätter auf der Internetseite https://www.datenschutz-nordkirche.de bekannt, vgl. Nummer 2 der Datenschutzverwaltungsvorschrift vom 1. Juni 2017 (KABl. S. 354), die durch Artikel 1 der Verwaltungsvorschrift vom 8. Juni 2018 (KABl. S. 286) geändert worden ist, in der jeweils geltenden Fassung.
#
2 ↑ Red. Anm.: Die Rechtsverordnung trat am 3. Mai 2015 in Kraft.