Kirchengesetz über den Einsatz
von Informationstechnologie (IT)
in der kirchlichen Verwaltung
(IT-Gesetz EKvW – ITG)

( 1 ) Dieses Gesetz regelt den Einsatz von Informationstechnologie (IT) in der Evangelischen Kirche von Westfalen (EKvW). Dazu gehören im Wesentlichen folgende Bereiche:

• Einheitlichkeit,
• Einsatz von Programmen,
• IT-Sicherheit,
• Elektronische Information und Kommunikation,
• Intranet (Kirchliches Netz-Westfalen – KiNet-W).

( 2 ) Der EKvW zugeordnete rechtlich eigenständige Einrichtungen können dieses Gesetz ganz oder in Teilen für anwendbar erklären.

( 1 ) IT dient der Erfüllung des kirchlichen Auftrags.

( 2 ) IT hat die sichere Verarbeitung und Übermittlung von Daten und Informationen zu gewährleisten.

( 3 ) Zur Verbesserung der Zusammenarbeit auf allen Ebenen der EKvW werden einheitliche IT-Lösungen entwickelt und eingesetzt.

( 1 ) 1 In den Bereichen Meldewesen, Haushalts-, Kassen- und Rechnungswesen, Personalwesen, Gebäude-, Liegenschafts- und Friedhofswesen sowie E-Mail-Verfahren werden einheitliche IT-Lösungen eingesetzt. 2 Das Landeskirchenamt legt nach Anhörung der Kirchenkreise die einheitlichen IT-Lösungen fest.

( 2 ) 1 Für weitere Bereiche im gesamtkirchlichen Interesse kann die Kirchenleitung durch Verordnung festlegen, dass einheitliche IT-Lösungen eingesetzt werden. 2 Solange die Kirchenleitung von dieser Regelung keinen Gebrauch gemacht hat, sind die in den weiteren Bereichen eingesetzten Programme dem Landeskirchenamt mitzuteilen. 3 Absatz 1 Satz 2 findet entsprechend Anwendung.

( 3 ) 1 Vor weiteren wesentlichen Entscheidungen auf dem Gebiet der IT ist die Beratung des Landeskirchenamtes in Anspruch zu nehmen. 2 Die oder der Betriebsbeauftragte oder die oder der örtlich Beauftragte für den Datenschutz ist frühzeitig zu informieren. 3 Wesentliche Entscheidungen auf dem Gebiet der IT sind dem Landeskirchenamt mitzuteilen.

( 1 ) Mindestvoraussetzungen für den Einsatz eines Anwendungsprogramms ist, dass

• ein Anforderungsprofil und eine Programmdokumentation vorliegen,
• keine datenschutzrechtlichen Bedenken bestehen,
• das Programm getestet worden ist und gültige Lizenzen vorhanden sind.

( 2 ) 1 Der Einsatz sowie die wesentlichen Änderungen von Programmen sind von dem Leitungsorgan der kirchlichen Körperschaft zu beschließen. 2 Die Entscheidungen können delegiert werden.

( 1 ) IT-Systeme und dienstliche Daten sind vor unberechtigtem Zugriff und vor unerlaubter Änderung zu schützen (IT-Sicherheit), um deren Verfügbarkeit, Integrität und Vertraulichkeit zu gewährleisten.

( 2 ) 1 Jede kirchliche Körperschaft ist verpflichtet, IT-Sicherheit zu gewährleisten. 2 Dafür ist das jeweilige Leitungsorgan verantwortlich.

( 3 ) 1 Zur Umsetzung der IT-Sicherheit ist jede kirchliche Körperschaft verpflichtet, ein IT-Sicherheitskonzept zu erstellen. 2 Das vom Landeskirchenamt herausgegebene Muster-IT-Sicherheitskonzept ist zu verwenden. 3 Das IT-Sicherheitskonzept muss geeignete Maßnahmen gegen Gefährdungen von innen und außen enthalten. 4 Die IT-Sicherheitsmaßnahmen müssen in einem angemessenen Verhältnis zum Wert der schützenswerten Daten und IT-Systeme stehen. 5 Es kann ein einheitliches IT-Sicherheitskonzept in einem Kirchenkreis verabschiedet werden. 6 Das IT-Sicherheitskonzept bedarf der Genehmigung des Landeskirchenamtes.

( 4 ) 1 Zur Wahrnehmung der IT-Sicherheit hat jede kirchliche Körperschaft eine IT-sicherheitsbeauftragte Person zu benennen. 2 Die Benennung für mehrere kirchliche Körperschaften ist zulässig.

( 1 ) Das Internet darf dienstlich nur im Rahmen von § 2 Absatz 1 genutzt werden.

( 2 ) Die Nutzung des landeskirchlichen Intranets (Kirchliches Netz Westfalen – KiNet-W) dient zur Bereitstellung und zum Austausch dienstlicher Daten.

( 3 ) Die Nutzung des landeskirchlichen E-Mailsystems dient zur dienstlichen Kommunikation.

( 1 ) 1 Alle kirchlichen Stellen und Personen, die auf elektronischem Weg dienstliche Daten verarbeiten und abrufen, sind in KiNet-W einzubinden. 2 Sie übermitteln die dienstlichen Daten über KiNet-W.

( 2 ) 1 Die Freigabe für den Zugang zu KiNet-W erteilt das Landeskirchenamt. 2 Voraussetzung für die Freigabe ist ein genehmigtes IT-Sicherheitskonzept.

( 3 ) 1 Der Zugang zu KiNet-W für den dienstlichen Gebrauch kann auch über private Rechner erfolgen. 2 Beim Zugang zu KiNet-W über private Rechner ist durch Vereinbarung insbesondere Folgendes zu regeln:

• geeignete Maßnahmen gegen Gefährdungen von innen und außen,
• Anwendung des kirchlichen Datenschutzrechtes,
• technische und organisatorische Maßnahmen zur Datensicherheit und zum Datenschutz.

( 4 ) Sonstige von einer kirchlichen Körperschaft beauftragte Stellen, die im Interesse der kirchlichen Arbeit einen Zugang zu KiNet-W benötigen, können zugelassen werden.

( 5 ) Personen und Stellen, die gemäß Absatz 3 und 4 Zugang zu KiNet-W haben, sind für die Einhaltung des für die jeweilige kirchliche Körperschaft geltenden IT-Sicherheitskonzeptes verantwortlich.

( 6 ) Wird der im genehmigten IT-Sicherheitskonzept definierte Standard oder der bereits dokumentierte Standard nicht eingehalten oder verändert, so dass die Sicherheit von KiNet-W beeinträchtigt wird, kann die Zugangsberechtigung vom Landeskirchenamt ausgesetzt oder widerrufen werden.

( 1 ) Die IT-sicherheitsbeauftragte Person der jeweiligen Körperschaft ist für IT-Sicherheit im Sinne dieses Gesetzes zuständig.

( 2 ) 1 Die IT-sicherheitsbeauftragte Person hat das IT-Sicherheitskonzept zu erstellen, anzupassen sowie Erweiterungen aufzunehmen und dem jeweiligen Leitungsorgan zur Beschlussfassung vorzulegen. 2 Das Leitungsorgan verantwortet gemäß § 5 Absatz 2 die Umsetzung.

( 3 ) Die IT-sicherheitsbeauftragte Person berät und unterstützt Personen, die gemäß § 7 Absatz 3 Zugang zu KiNet-W haben, bei der Einhaltung des für die jeweilige kirchliche Körperschaft geltenden IT-Sicherheitskonzeptes.

( 1 ) Bei der Erstellung des IT-Sicherheitskonzeptes und bei der Entscheidung zur Auswahl von Programmen, über die personenbezogene Daten verwaltet werden, ist die oder der Betriebsbeauftragte oder die oder der örtlich Beauftragte für den Datenschutz frühzeitig zu beteiligen.

( 2 ) Die Beteiligung der Mitarbeitervertretung entsprechend dem Mitarbeitervertretungsgesetz in der jeweils geltenden Fassung²# ist zu gewährleisten.

1 Die Vorschriften des Kirchengesetzes über den Datenschutz der EKD³# für die Datenverarbeitung im Auftrag finden entsprechend Anwendung. 2 Vor einer Beauftragung ist die Genehmigung des Landeskirchenamtes einzuholen.

Das Landeskirchenamt kann Verwaltungsvorschriften zu diesem Gesetz erlassen.

( 1 ) Dieses Gesetz tritt am 1. Januar 2007 in Kraft.

( 2 ) Gleichzeitig tritt die Verordnung über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung, IT-Verordnung (ITVO), in der Fassung der Bekanntmachung vom 16. Dezember 2004 außer Kraft.

( 3 ) Dieses Gesetz soll spätestens nach Ablauf von 5 Jahren nach dem Inkrafttreten vom Landeskirchenamt überprüft werden.