.

Geltungszeitraum von: 01.04.1999

Geltungszeitraum bis: 29.02.2012

Rundschreiben des Landeskirchenamtes an die Kirchengemeinden und Kirchenkreise betreffend

Kirchlicher Datenschutz: Internet-Zugänge und Internet-Angebote
Vom 24. März 1999 (Az.: A 14-03/01.09)
#
Mit dem Wandel des Internets zu einem kommerziell genutzten, allgemeinen Informations- und Kommunikationsmedium wird mit zunehmender Tendenz auch die Anbindung kirchlicher Stellen diskutiert und realisiert. Neben der Nutzung des Netzes als Informationsquelle oder für die Erreichbarkeit via Internet-E-Mail steht dabei insbesondere die Möglichkeit im Vordergrund, der Öffentlichkeit Informationen interaktiv und in elektronischer Form zugänglich zu machen.
Die Struktur des Internets, die Art der eingesetzten Kommunikationsprotokolle, die Sicherheitslücken vieler Programme sowie die offene Zahl und Art der Teilnehmer bergen zudem Sicherheitsrisiken, denen durch geeignete Datenschutzmaßnahmen zu begegnen sind.
Internet-Angebote kirchlicher Stellen unterliegen darüber hinaus den Bestimmungen des Teledienstgesetzes bzw. des Mediendienststaatsvertrages.
Kirchliche Stellen haben nach § 9 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 12. November 1993 (DSG-EKD)1# die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten zu treffen. Auf die Anlage zu § 9 DSG-EKD2# wird in diesem Zusammenhang hingewiesen.
Soweit Sie Internet-Zugänge nutzen oder zukünftig Internet-Angebote anbieten wollen, bitten wir Sie, die nachfolgenden Hinweise und Empfehlungen für eine datenschutzgerechte Gestaltung der Nutzung zu beachten:
1.
Anschluss kirchlicher Stellen an das Internet und Nutzung der Internet-Dienste
1.1
Allgemeine Sicherheitsmaßnahmen beim Anschluss an das Internet
Personalcomputer und PC-Netze kirchlicher Stellen dürfen an das Internet angeschlossen werden, soweit dies zur Erfüllung der kirchlichen Aufgaben erforderlich ist und im Rahmen einer Kommunikations- und Risikoanalyse festgestellt wird, dass das Risiko des Anschlusses vertretbar ist.
Soweit auf Personalcomputern und in PC-Netzen besonders schutzwürdige personenbezogene Daten (z. B. Daten über religiöse oder politische Anschauungen, dienst- oder arbeitsrechtliche, finanzielle oder gesundheitliche Verhältnisse) verarbeitet werden, darf ein Zugriff auf das Internet nur über andere PC-Systeme erfolgen.
Beim Anschluss von PC-Netzen an das Internet ist die Sicherheit des Netzwerkes durch angemessene Sicherheitsmaßnahmen (Firewall) zu gewährleisten, die sich am höchsten Schutzbedarf orientieren. Es dürfen nur solche Firewall-Systeme eingesetzt werden, die eine differenzierte Kommunikationssteuerung und Rechtevergabe unterstützen.
Für die Erstellung einer Kommunikations- und Risikoanalyse sowie für die Festlegung angemessener Sicherheitsmaßnahmen ist die vom Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder erstellte Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet heranzuziehen. Die Orientierungshilfe kann vom Landeskirchenamt angefordert werden.
1.2
Besondere Sicherheitsmaßnahmen bei der Datenübermittlung per E-Mail
Vor der Übermittlung von Schriftstücken im Rechtsverkehr ist zu prüfen, ob die Wahrung der Schriftform bei vertraglichen und prozessualen Erklärungen vorgeschrieben ist. In diesen Fällen ist das Schriftstück im Original der empfangenden Stelle zuzuleiten; eine Übermittlung per E-Mail kann zusätzlich erfolgen.
Besonders schutzwürdige personenbezogene Daten (z. B. Daten über religiöse oder politische Anschauungen, dienst- oder arbeitsrechtliche, finanzielle oder gesundheitliche Verhältnisse) dürfen nur dann per E-Mail übermittelt werden, wenn die Übermittlung nach den Bestimmungen des Datenschutzes rechtlich zulässig ist, es von der Eilbedürftigkeit her geboten und durch besondere Vorkehrungen sichergestellt ist, dass die übermittelte Sendung den richtigen Empfänger sicher erreicht.
Zu den besonderen Sicherheitsvorkehrungen gehören insbesondere die Verschlüsselung und die digitale Signatur.
1.3
Organisatorische Regelungen
Jede kirchliche Stelle hat für die Nutzung des Internets die Zuständigkeiten und Verantwortlichkeiten sowie angemessene Sicherheitsvorkehrungen festzulegen.
Bei der Planung und Einführung von Firewall-Systemen ist die Mitarbeitervertretung zu beteiligen, da über die Protokollierung eine Verhaltens- und Leistungskontrolle der Mitarbeiterinnen und Mitarbeiter möglich ist.
Es ist festzulegen, inwieweit das Internet privat genutzt werden darf und in welchem Umfang die Mitarbeiterinnen und Mitarbeiter Datenübertragungen für eigene Zwecke vornehmen dürfen.
Die Mitarbeiterinnen und Mitarbeiter sind in geeigneter Weise über die Möglichkeiten der Nutzung des Internets sowie über die Sicherheits- und Datenschutzmaßnahmen zu informieren.
2.
Internet-Angebote kirchlicher Stellen
2.1
Nutzung kirchlicher Daten für das Internet
Im Internet dürfen nur solche personenbezogene Daten zum Abruf für die Gemeindeglieder oder für die Allgemeinheit bereitgestellt werden, die
aus allgemein zugänglichen Quellen entnommen werden können oder die die speichernde kirchliche Stelle veröffentlichen dürfte (§ 5 Abs. 2 Ziffer 6 DSG-EKD)3#.
Dazu gehören auch solche Daten aus den Anschriftenverzeichnissen der kirchlichen Stellen, die nicht dem informationellen Selbstbestimmungsrecht unterliegen (Name, Anschrift der kirchlichen Stellen sowie Namen, Amts- und Funktionsbezeichnung sowie dienstliche Erreichbarkeitsangaben kirchlicher Funktionsträgerinnen und Funktionsträger, die nach außen gegenüber den Gemeindegliedern tätig werden).
Auf Basis einer freiwilligen Einwilligung, die den Anforderungen des § 4 Abs. 2 DSG-EKD4# zu entsprechen hat, können auch sonstige personenbezogene Daten zum Abruf bereitgestellt werden, wenn dies zur Aufgabenerfüllung der kirchlichen Stelle dient.
2.2
Zusätzliche Anforderungen zum Nutzer-Datenschutz aus den Mediengesetzen
Internet-Angebote kirchlicher Stellen fallen entweder unter den Begriff der „Teledienste“, die im Teledienstegesetz (TDG) und im Teledienstdatenschutzgesetz (TDDSG) geregelt sind, oder unter den der „Mediendienste“, für die der Mediendienstestaatsvertrag (MDStV) gilt.
Im Regelfall werden die Internet-Angebote kirchlicher Stellen, in denen sie vorwiegend ihre Aufgaben und Kompetenzen präsentieren, als „Teledienste“ anzusehen sein. Eine Ausnahme besteht für die regelmäßige Einstellung von Presseerklärungen ins Internet; in diesem Fall gelten die für den Bereich der Mediendienste erlassenen Bestimmungen.
Aus beiden Rechtsgrundlagen folgen Anforderungen, die im Wesentlichen gleich sind und die insbesondere den Datenschutz der Nutzerinnen und Nutzer bezwecken, also der abrufenden Gemeindeglieder/Privatpersonen. Strittig könnten in diesem Zusammenhang noch die Zuständigkeiten hinsichtlich der datenschutzrechtlichen Kontrolle sein. Unter Hinweis auf das Selbstbestimmungsrecht der Kirchen sind wir der Auffassung, dass es ggf. Aufgabe des kirchlichen Datenschutzbeauftragten ist, die Einhaltung der datenschutzrechtlichen Anforderungen im Einzelfall zu überprüfen. Es ist möglich, dass staatliche Stellen aufgrund von § 91 Abs. 4 Telekommunikationsgesetz (TKG), § 8 TDDSG und § 18 Abs. 1 MDStV eine andere Auffassung vertreten.
Für kirchliche Stellen, die ein Internet-Angebot verbreiten wollen, sind insbesondere folgende inhaltliche Anforderungen aus dem TDG, dem TDDSG sowie dem MDStV bedeutsam:
Pflicht zur Anbieterkennzeichnung (§ 6 MDStV, § 6 TDG).
Beachtung anerkannter journalistischer Grundsätze bei Berichterstattung und Informationsangeboten (§ 7 Abs. 2 MDStV).
Besondere Kennzeichnungspflicht bei der Wiedergabe von Meinungsumfragen; Angabe, ob Repräsentativität besteht (§ 7 Abs. 3 MDStV).
Der Anbieter darf die Erbringung von Diensten nicht von einer Einwilligung der nutzenden Person in eine Verarbeitung oder Nutzung seiner Daten für andere Zwecke abhängig machen (§ 12 Abs. 4 MDStV, § 3 Abs. 3 TDDSG).
Das Prinzip der „Datenvermeidung“ ist zu beachten (§ 12 Abs. 5 MDStV, § 3 Abs. 4 TDDSG).
Die nutzende Person ist vor der Erhebung über Art, Ort und Zwecke der Erhebung, Verarbeitung und Nutzung ihrer personenbezogenen Daten zu unterrichten. Bei automatisierten Verfahren, die eine spätere Identifizierung der nutzenden Person ermöglichen und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vorbereiten, ist die nutzende Person vor Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für die nutzende Person jederzeit abrufbar sein. Die nutzende Person kann auf die Unterrichtung verzichten. Die Unterrichtung und der Verzicht sind zu protokollieren (§ 12 Abs. 6 MDStV, § 3 Abs. 5 TDDSG).
Die nutzende Person ist vor einer Einwilligung auf ihr Recht auf jederzeitigen Widerruf mit Wirkung für die Zukunft hinzuweisen (§ 12 Abs. 7 MDStV, § 3 Abs. 6 TDDSG).
Der Anbieter hat der nutzenden Person die Inanspruchnahme von Diensten anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Die nutzende Person ist über diese Möglichkeit zu informieren (§ 13 Abs. 1 MDStV, § 4 Abs. 1 TDDSG).
Der Anbieter hat durch technische und organisatorische Vorkehrungen sicherzustellen, dass
die nutzende Person die Verbindung mit dem Anbieter jederzeit abbrechen kann,
die anfallenden Daten über den Ablauf des Abrufs oder Zugriffs oder der sonstigen Nutzung unmittelbar nach deren Beendigung gelöscht werden,
die nutzende Person Mediendienste gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann (§ 13 Abs. 2 Nrn. 1 – 3 MDStV, § 4 Abs. 2 Nrn. 1 – 3 TDDSG).
Die Weitervermittlung zu einem anderen Anbieter ist der nutzenden Person anzuzeigen (§ 13 Abs. 3 MDStV, § 4 Abs. 3 TDDSG).
Nutzungsprofile sind nur bei Verwendung von Pseudonymen zulässig (§ 13 Abs. 4 MDStV, § 4 Abs. 4 TDDSG).
Die nutzende Person ist berechtigt, jederzeit die zu ihrer Person oder zu ihrem Pseudonym gespeicherten Daten unentgeltlich beim Anbieter von Mediendiensten einzusehen. Die Auskunft ist auf Verlangen der nutzenden Person auch elektronisch zu erteilen (§ 16 Abs. 1 MDStV, § 7 TDDSG).
Anforderungen an das Impressum kirchlicher
Internetauftritte
Eine Anbieterkennzeichnung für Internetauftritte von Kirchengemeinden, kirchlichen Verbänden, Kirchenkreisen und allen anderen kirchlichen Stellen und Einrichtungen (einschließlich Diakonie) muss nach der derzeitigen Rechtslage folgende Informationen enthalten:
Name und Anschrift der kirchlichen Stelle sowie Name und Anschrift der vertretungsberechtigten Person einschließlich Telefonnummer, Faxnummer und E-Mail-Adresse.
Die genannten Informationen müssen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar gehalten werden. Sie müssen daher an gut wahrnehmbarer Stelle stehen und ohne langes Suchen jederzeit auffindbar sein. Ausreichend ist ein auf allen Seiten der Website erreichbarer Link mit den Informationen – wir empfehlen diesen als „Impressum“ zu bezeichnen. Die Anbieterkennzeichnung schafft auch aus Datenschutzsicht Transparenz.
Bei redaktionellen Angeboten (z.B. bei Presseerklärungen) kommt es besonders auf die Angabe der inhaltlich verantwortlichen Person an, das ist erforderlich im Sinne des Presserechts. Es können auch mehrere für den Inhalt verantwortliche Personen genannt werden, dann muss allerdings exakt ausgewiesen werden, wer für welche Teile des Angebots Verantwortung trägt.
Die folgende Vorlage wurde vom Team der Arbeitsstelle Internet beim GEP mit dem Deutschen Multimedia Verband abgestimmt, sie gilt für nicht kommerzielle Angebote von Kirchengemeinden. Bei kommerziellen Angeboten gelten andere Regeln für das Impressum!
Vorlage: Impressum einer Gemeinde
Evangelische Matthäusgemeinde
Vorsitzender des Presbyteriums: Hans Muster
Kirchstraße 1, 12345 Grünstadt
Telefon: +49 9876 5432, Telefax: +49 9876 5431
E-Mail: gemeindebuero@example.com
Internet: www.matthaeusgemeinde.de
Inhaltlich Verantwortlicher gemäß § 6 MDStV:
Fred Friedlich (abweichende Anschrift wäre aufzuführen)
Die Evangelische Matthäusgemeinde gehört der Evangelischen Kirche von Westfalen – Das Landeskirchenamt – Altstädter Kirchplatz 5, 33602 Bielefeld (www.ekvw.de) an.
Hinweis zu externen Links:
Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für die Inhalte externer Links. Für den Inhalt der verlinkten Seiten sind ausschließlich deren Betreiber verantwortlich.

#
1 ↑ Nr. 850
#
2 ↑ Nr. 850
#
3 ↑ Nr. 850
#
4 ↑ Nr. 850