.

Rundschreiben Nr. 30/2014 des Landeskirchenamtes an die Kirchengemeinden und Kirchenkreise,
Verbände Kirchlicher Körperschaften der EKvW
betreffend Kirchlicher Datenschutz:
Auftragsdatenverarbeitung mit Adressdaten1#

Vom 6. November 2014 (Az.: 615.53/02)
[zuletzt aktualisiert am 1. August 2015]

#
Mit der Erstellung und den Versand von Materialien (z. B. Flyer, Broschüren), Einladungen zu kirchlichen Veranstaltungen oder Fundraisingmaßnahmen werden häufig andere kirchlicher Stellen oder externe Firmen (z. B. Lettershops) in Anspruch genommen. Zu diesem Zweck werden Datensätze mit personenbezogenen Daten (in der Regel Namen und Adressen) an die Dienstleister übermittelt, damit die Materialien oder Schreiben professionell aufbereitet und versandt werden können.
Die Beauftragung anderer kirchlicher Stellen oder externer Personen oder Firmen (Dienstleister) erfolgt im Wege der Auftragsdatenverarbeitung. Die datenschutzrechtliche Verantwortung für die Einhaltung des Datenschutzes bei dem Dienstleister verbleibt auch im Falle der Auftragsdatenverarbeitung beim Auftraggeber.
Um die Aspekte des kirchlichen Datenschutzes angemessen zu berücksichtigen, sind die Dienstleister sorgfältig auszuwählen. Dabei sind vor einer Auftragsvergabe nach § 11 des Kirchengesetzes über den Datenschutz der EKD (DSG-EKD) insbesondere folgende Punkte zu beachten:
sind:
  • sorgfältige Auswahl des Dienstleisters;
  • schriftliche Auftragserteilung;
  • Gegenstand und Dauer des Auftrags;
  • Festlegung der zu übermittelnden Datensätze (Art und Umfang), der Zweckbindung und den Kreis der Betroffenen;
  • angemessene technische und organisatorische Maßnahmen beim Dienstleister sowie ihre Kontrollen durch den Auftragnehmer;
  • Berichtigung, Löschung und Sperrung von Daten;
  • Anwendung des kirchlichen Datenschutzrechts beim Dienstleister und die Verpflichtung der Beschäftigten des Auftragnehmers auf das Datengeheimnis;
  • Hinweis auf mögliche Unterauftragsverhältnisse;
  • Kontrollrechte des Auftraggebers, der für den Datenschutz zuständigen Personen sowie der oder des Beauftragten für den Datenschutz der EKD;
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen;
  • Umfang der Weisungsbefugnis;
  • Rückgabe überlassener Datenträger und die Löschung beim Dienstleister gespeicherter Daten nach Beendigung des Auftrags.
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Dienstleister getroffenen technischen und organisatorischen Maßnahmen zu überzeugen2#. Das Ergebnis ist schriftlich festzuhalten.
In der Anlage finden Sie das aktualisierte Muster einer Vereinbarung „Durchführung einer Auftragsdatenverarbeitung mit Adressdaten“ mit den Regelungen zum Datenschutz nach § 11 DSG-EKD, das für zukünftige Auftragserteilungen an externe Dienstleister verwandt werden sollte. Sofern eine andere kirchliche Stelle mit der Auftragsdatenverarbeitung beauftragt werden soll, gelten für den Dienstleister die kirchlichen Datenschutzbestimmungen und die Beschäftigten haben das kirchliche Datengeheimnis zu beachten. Es kann davon ausgegangen werden, dass die kirchliche Stelle als Auftragnehmer angemessene technische und organisatorische Maßnahmen getroffen hat. Daher besteht die Option, einzelne Bestimmungen der Mustervereinbarung entfallen zu lassen. Eine Kennzeichnung dieser Stellen ist durch Fußnoten in der Muster-Vereinbarung erfolgt.
Mit Wirkung vom 1. August 2015 wurde die Datenschutzdurchführungsverordnung durch die Dritte Verordnung zur Änderung der Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD vom 18. Juni 2015 (KABl. 2015 S. 139) geändert. Der Genehmigungsvorbehalt durch das Landeskirchenamt, soweit externe Stellen (nichtkirchliche Stellen) oder Personen mit der Auftragsdatenverarbeitung beauftragt werden, ist entfallen.
Nach § 4 Satz 2 DSVO3# soll vor dem Abschluss von Verträgen zur Auftragsdatenverarbeitung die oder der örtlich Beauftragte oder die oder der Betriebsbeauftragte für den Datenschutz beteiligt werden.
###

Vereinbarung „Durchführung einer Auftragsdatenverarbeitung mit Adressdaten“
nach § 11 Kirchengesetz über den Datenschutz der EKD (DSG-EKD)
(Arbeitshilfe – Muster-Vereinbarung – der EKD/EKvW - Stand 01.08.2015)4#

zwischen
____________________
____________________ (nachfolgend Auftragnehmer genannt) und
____________________
(kirchliche Stelle), nachfolgend Auftraggeber genannt,
wird folgende Vereinbarung geschlossen:
  1. Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer: ......................................................................................................................................
    ......................................................................................................................................
    ......................................................................................................................................
    [Definition des Umfangs, Art der Datenverarbeitung sowie weitere Details: z. B. Abholung oder Übergabe der Unterlagen, Beschreibung der Verarbeitung, Rückgabe oder Vernichtung der Unterlagen nach Auftragsabwicklung, Anzahl der Datensätze]
     Der Auftrag wird zur einmaligen Ausführung erteilt.
    [oder]
     Die Dauer dieses Auftrags (Laufzeit) ist befristet bis zum ......................................
    Die Durchführung des Auftrags erfolgt ......................................................................
    ......................................................................................................................................
    [Details: Bezeichnung des Ortes mit Adresse und ggf. Hinweis auf die Räumlichkeiten].
  2. Die Vergütung beträgt .................................................................................................
    ......................................................................................................................................
    ....................................................................................................................... [Details]
  3. Der Auftragnehmer verarbeitet für den Auftraggeber in dessen Auftrag und nach dessen Weisungen auf seiner technischen Anlage .......................................................... [z. B. PC, Kopierer, Drucker] Daten ausschließlich zum Zwecke von
    ......................................................................................................................................
    [z. B. Erstellung und Versand von Materialien, Mailing-Aktion des Fundraisings].
    Dazu werden Datensätze mit folgenden Angaben5# .....................................................
    ...................................................................................................................................... geliefert. Die Datensätze betreffen folgenden Personenkreis:
    ....................................................................................................................................
    ....................................................................................................................................
    [Der Personenkreis ist so konkret wie möglich zu beschreiben und kann auch Teilmengen enthalten, z. B. Gemeindeglieder, Gemeindeglieder mit 25-jährigem Konfirmationsjubiläum, Angehörige von Gemeindegliedern, ehrenamtlich oder neben- oder hauptberuflich Tätige, an der kirchlichen und diakonischen Arbeit interessierte Personen]
    Die Zweckbindung der Daten erstreckt sich auf die konkrete Maßnahme dieser Vereinbarung.
  4. Über die dem Auftragnehmer überlassenen Daten und die aus deren Verarbeitung entstehenden neuen Daten ist ausschließlich der Auftraggeber verfügungsberechtigt. Eine anderweitige Verwendung der Daten ist nicht zulässig. Soweit der Auftraggeber Datenträger zur Verfügung stellt, bleiben diese in seinem Eigentum.
  5. Der Auftragnehmer sichert zu, dass von ihm folgende technische und organisatorische Maßnahmen unter Beachtung von § 9 Absatz 1 DSG-EKD und der dazu gehörenden Anlage getroffen werden
    [Zutreffendes bitte ankreuzen oder Aufzählung der Maßnahmen ergänzen]
     Abschließen der Räume bei Abwesenheit
     Unterbinden des Aufenthalts von Dritten in den Arbeitsräumen
     Sicherung der Daten in speziellen Mandanten-Dateien durch Passwort
     Verschlüsselung der Daten
     Passwortschutz am PC mit Begrenzung der Zugriffsversuche
     Benutzerrechteverwaltung für den PC-Arbeitsplatz
     .............................................................................................................................
     .............................................................................................................................
     .............................................................................................................................
     .............................................................................................................................
    [weitere Datenschutzmaßnahmen, z. B. eine Regelung zum Löschen der Daten]
    Soweit vorhanden stellt der Auftragnehmer dem Auftraggeber das aktuelle Datenschutzkonzept und/oder das IT-Sicherheitskonzept zur Verfügung.
  6. Der Umgang mit den Daten erfolgt ausschließlich im Rahmen dieser Vereinbarung und nach Weisung des Auftraggebers. Der Auftragnehmer wird den Auftraggeber darauf hinweisen, wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen Datenschutzbestimmungen oder gegen diese Vereinbarung verstößt. Diese Hinweispflicht beinhaltet keine umfassende rechtliche Prüfung.
  7. 6#Der Auftragnehmer verpflichtet sich, die Bestimmungen des kirchlichen Datenschutzrechts und die ergänzenden landeskirchlichen Regelungen einzuhalten. Der Auftragnehmer und die zur Durchführung erforderlichen Mitarbeiterinnen und Mitarbeiter müssen sich schriftlich zur Einhaltung des kirchlichen Datenschutzrechts verpflichtet haben7#.
    Werden Daten auf einer technischen Anlage verarbeitet, so darf außer dem Auftragnehmer und seinen Beschäftigten niemand Zugang zu der Datenverarbeitungsanlage haben.
    Eine Nutzung der überlassenen Daten durch Dritte (z. B. Besucher, Wartungspersonen, Familienangehörige) ist unzulässig.
    Die Verarbeitung von Daten in Privatwohnungen ist nicht zulässig.
  8. Der Auftragnehmer wird seine Leistung selbst bzw. durch eigene Beschäftigte erbringen. Ein Unterauftragsverhältnis bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers.
  9. Der Auftraggeber, von ihm beauftragte Personen und die für die Aufsicht zuständige kirchliche Stelle sind berechtigt, jederzeit den Stand der Arbeiten einschließlich der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu prüfen. Der Auftragnehmer unterstellt sich der Kontrolle der oder des Beauftragten für den Datenschutz der EKD, Böttcherstraße 7, 30419 Hannover8#. Zum Prüfungs- und Kontrollrecht gehören insbesondere die Auskunftserteilung und die Gestattung von Kontrollen in den Geschäftsräumen des Auftragnehmers.
  10. Bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen bzw. bei Verstoß gegen diese Vereinbarung, bei wesentlichen Unregelmäßigkeiten bei der Datenverarbeitung, bei Maßnahmen von Strafverfolgungsorganen [oder von Aufsichtsbehörden nach dem BDSG]9# unterrichtet der Auftragnehmer unverzüglich den Auftraggeber. Gleiches gilt, wenn eine Einstellung des Geschäftsbetriebs droht oder Kontrollen bzw. Maßnahmen der oder des Datenschutzbeauftragten der EKD [oder der oder des staatlichen Datenschutzbeauftragten]10# erfolgt sind, sofern hierdurch die Datenverarbeitung für den Auftraggeber betroffen ist.
  11. Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Auskünfte an Dritte und an Betroffene darf der Auftragnehmer nur nach vorheriger Zustimmung seitens des Auftraggebers erteilen.
  12. Bei Beendigung des Auftragsverhältnisses hat der Auftragnehmer dem Auftraggeber und die ihm überlassenen Daten in der Form, wie sie ihm vorliegen (elektronisch oder schriftlich) herauszugeben und/oder die bei ihm vorhandenen Daten zu löschen oder die Datenträger sachgerecht zu vernichten. Zuvor hat der Auftragnehmer das Recht, sie zur Abrechnung auszuwerten, wenn dies zur Wahrung seiner Interessen erforderlich ist und unverzüglich geschieht. Ein Zurückbehaltungsrecht gegenüber dem Auftraggeber steht ihm nicht zu. Der Auftraggeber kann die Herausgabe und das Löschen der Daten im Falle einer fristlosen Kündigung jederzeit verlangen.
  13. Der Auftrag kann bei schwerwiegenden Vertragsverletzungen des Auftragnehmers, insbesondere bei Verstoß gegen die datenschutzrechtlichen Bestimmungen fristlos gekündigt werden.
  14. Entstehen dem Auftraggeber oder einem Dritten durch Fehler bei der Abwicklung der Auftragsdatenverarbeitung oder durch den Einsatz fehlerhafter Hard- oder Software Schäden, so hat der Auftragnehmer dem Auftraggeber seine Schäden zu ersetzen und ihn von Schadenersatzansprüchen Dritter freizustellen. Werden Ansprüche von Betroffenen, deren Daten verarbeitet worden sind, gegenüber dem Auftraggeber wegen unzulässiger Datenverarbeitung oder Datenübermittlung geltend gemacht, so hat der Auftragnehmer den Auftraggeber bei der Aufklärung des Sachverhalts zu unterstützen. Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.
  15. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
Auftragnehmer:
__________________________________________________________________
[Datum, Unterschrift, ]
Auftraggeber:
__________________________________________________________________
[Datum, Unterschrift]

#
1 ↑ Das Rundschreiben Nr. 6/2011 des Landeskirchenamtes vom 15. Februar 2011 betreffend "Fundraisingmaßnahmen im Auftrag" ist gegenstandslos geworden.Durch die Dritte Verordnung zur Änderung der Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD vom 18. Juni 2015 sind die Ausführungsbestimmungen zur Auftragsdatenverarbeitung geändert worden. Das Rundschreiben wurde mit Wirkung vom 1. August 2015 aktualisiert.
#
2 ↑ Die kirchliche Stelle bleibt gegenüber den Betroffenen nach außen verantwortlich für die Zulässigkeit der Datenverarbeitung. Um das Haftungsrisiko gegenüber den Betroffenen zu minimieren, muss die kirchliche Stelle als Auftraggeber ein großes Interesse daran haben, sich jederzeit, auch nach Beginn der Datenverarbeitung, von der ordnungsgemäßen Vertragsdurchführung durch den Auftragnehmer überzeugen zu können. Die Überprüfung kann vor Ort erfolgen, oder es können auch die von Dritten durchgeführten Begutachtungen akzeptiert werden, wenn entsprechende Nachweise vorgelegt werden. Soweit eine kirchliche Stelle mit der Auftragsdatenverarbeitung beauftragt werden soll, kann es ausreichend sein, dass die oder der örtlich Beauftragte für den Datenschutz oder die oder Betriebsbeauftragte für den Datenschutz der beauftragten kirchlichen Stelle bestätigt, dass angemessene technische und organisatorische Maßnahmen getroffen worden sind.
#
3 ↑ Nr. 852.
#
4 ↑ Diese Muster-Vereinbarung mit dem Stand 1. August 2015 wird zur Anwendung empfohlen.
#
5 ↑ Der Datensatz darf maximal die Angaben "Name, Vorname, Straße, Hausnummer, Postleitzahl, Ort, Anrede und ID bzw. Spendernummer" enthalten, da sich die Arbeitshilfe ausschließlich auf „Adressdaten“ bezieht.
#
6 ↑ Soweit eine andere kirchliche Stelle mit der Auftragsdatenverarbeitung beauftragt wird, kann Ziffer 7 Satz 1 und 2 entfallen.
#
7 ↑ Die Verpflichtung auf das Datengeheimnis nach § 6 DSG-EKD ist nach einem in der Datenschutzdurchführungsverordnung (siehe § 2 DSVO) enthaltenen Formblätter der Anlage 1 vorzunehmen.
#
8 ↑ Satz 2 kann entfallen, wenn eine kirchliche Stelle beauftragt wird.
#
9 ↑ Bei einer kirchlichen Stelle können die Hinweise auf die „Aufsichtsbehörden nach dem BDSG“ oder auf die „staatlichen Datenschutzbeauftragten“ entfallen.
#
10 ↑ Bei einer kirchlichen Stelle können die Hinweise auf die „Aufsichtsbehörden nach dem BDSG“ oder auf die „staatlichen Datenschutzbeauftragten“ entfallen.