.

Rundschreiben Nr. 10/2018 des Landeskirchenamtes betreffend Durchführungsbestimmungen
zum EKD-Datenschutzgesetz

Vom 18. Mai 2018
(Az.: 615.121)

#
Ab dem 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (EU-DS-GVO) in allen Teilen verbindlich werden und unmittelbar in jedem Mitgliedstaat Geltung besitzen.
Nach Artikel 91 Absatz 1 EU-DS-GVO dürfen Kirchen und religiöse Vereinigungen oder Gemeinschaften, die bereits umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung anwenden, diese weiter anwenden, sofern sie mit der EUDS-GVO in Einklang gebracht werden.
Nach Artikel 10a Absatz 1 der Grundordnung der Evangelischen Kirche in Deutschland tritt dieses Kirchengesetz unmittelbar in den Gliedkirchen in Kraft: Nach § 56 DSG-EKD2# tritt § 55 des Gesetzes3# am Tag nach der Verkündung in Kraft. Die Verkündung erfolgte im Amtsblatt der EKD am 15. Dezember 2017, also ist § 55 DSG-EKD4# am 16. Dezember 2017 in Kraft getreten. Im Übrigen tritt das DSG-EKD am 24. Mai 2018 in Kraft.
Die Veröffentlichung des Gesetzestextes des DSG-EKD mit den vorstehenden Erläuterungen erfolgte im Kirchlichen Amtsblatt der Ev. Kirche von Westfalen am 28. Februar 2018.
In § 56 DSG-EKD5# ist weiterhin geregelt, dass das bisherige DSG-EKD in der Fassung der Bekanntmachung vom 1. Januar 2013 gleichzeitig außer Kraft tritt. Damit entfällt auch die rechtliche Grundlage für die bisherige Datenschutzdurchführungsverordnung nach dem DSG-EKD 2013.
Folglich hat die Kirchenleitung neue Durchführungsbestimmungen nach § 54 Absatz 2 DSG-EKD6# 2018 erlassen, die wir Ihnen in der Anlage 1 mit der Bitte um Kenntnisnahme überreichen.
Die Durchführungsbestimmungen treten gleichzeitig mit dem DSG-EKD am 24. Mai 2018 in Kraft, die Veröffentlichung im Kirchlichen Amtsblatt erfolgt in der nächsten Ausgabe am 30. Mai 2018.
Als Anlage 2 haben wir die Synopse zu den neuen Durchführungsbestimmungen beigefügt, weil sie dieser die Erläuterungen im Einzelnen entnehmen können.
Außerdem möchten wir folgend die Gründe darlegen, aus denen die neuen Durchführungsbestimmungen sehr knapp gehalten wurden:
Das DSG-EKD 2018 tritt über Art. 91 Absatz 1 EU-DS-GVO für den kirchlichen Regelungsbereich an die Stelle der EU-DS-GVO.
Hieraus ergibt sich, dass das DSG-EKD 2018 wesentlich umfangreicher und ausführlicher ist als das DSG-EKD 2013, um die Erfordernisse zu erfüllen, mit der EU-DSGVO im Einklang zu sein und so das gleichwertige Schutzniveau sicher zu stellen.
Diese rechtliche Situation, dass das DSG-EKD 2018 an die Stelle der EU-DS-GVO tritt, hat für die Durchführungsbestimmungen die Konsequenz, dass sie sehr knapp gehalten werden können und müssen:
  1. Sie können sehr knapp gehalten werden, da das neue DSG-EKD 2018 bereits sehr umfangreiche und ausführliche Regelungen enthält.
  2. Zusätzlich müssen sie auch sehr knapp gehalten werden:
    Da das DSG-EKD 2018 an die Stelle der EU-DS-GVO tritt, hat es teil an den Vorgaben, die für die europäische Verordnung gelten.
    Die Vorgaben werden definiert in Art. 288 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV): „Die Verordnung hat allgemeine Geltung.
    Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedsstaat.“
    Unter diesen so geregelten Rahmen fällt die Europäische Datenschutz-Grundverordnung (EU-DS-GVO).
    Eine europäische Verordnung nach Art. 288 AEUV ist somit ein unmittelbar geltendes Primärrecht, für das der Europäische Gerichtshof in seiner Rechtsprechung das „Wiederholungsverbot“ entwickelt hat, mit der Folge, dass nur Öffnungsklauseln mit nationalem Recht ausgefüllt werden dürfen und dabei deklaratorische Wiederholungen zu unterlassen sind.
    Da das DSG-EKD 2018 an die Stelle der EU-DS-GVO tritt, gilt auch für die Durchführungsbestimmungen zum DSG-EKD 2018 die Vorgabe des Wiederholungsverbotes, so dass nur die im Gesetz vorgesehenen Öffnungsklauseln berücksichtigt wurden.
Ein weiterer Aspekt, auf den wir noch extra hinweisen möchten, ist, dass die Öffnungsklausel in § 36 Absatz 2 Satz 2 DSG-EKD7# nicht ausgefüllt wurde. Den Erläuterungen in der Synopse können Sie dazu entnehmen, dass die Öffnungsklausel die mögliche Regelung in den Durchführungsbestimmungen enthält, dass mehrere verantwortliche Stellen zur gemeinsamen Bestellung eines örtlich Beauftragten verpflichtet werden.
Nach § 36 Absatz 2 Satz 1 DSG-EKD8# ist die Bestellung von örtlich Beauftragten gemeinsam für mehrere verantwortliche Stellen bereits möglich. Mit einer Regelung nach Satz 2 in den Durchführungsbestimmungen wäre die gemeinsame Bestellung verpflichtend im Sinne eines Anschluss- und Benutzungszwanges. Eine solche Regelung kann sinnvoll und auch erforderlich sein im Rahmen des Steuerrechtes (Befreiung nach § 2b Umsatzsteuergesetz). Diese Regelung müsste aber konkret die verantwortlichen Stellen benennen, um sie verpflichten zu können.
Deshalb fragen wir hiermit an, welche Verpflichtungen einer gemeinsamen Bestellung von örtlich Beauftragten geregelt werden müssen und bitten Sie um Ihre Rückmeldung. Die Durchführungsbestimmungen wären dann anschließend zu ändern, um die Verpflichtungen von gemeinsamen Bestellungen von örtlich Beauftragten aufzunehmen.
Hinweis zum Muster der EKD zum Fundraising (§§ 4 bis 11 der Durchführungsbestimmungen9#): Das Muster stammt noch aus dem Jahr 2008. Die EKD beabsichtigt eine Überarbeitung, die wir dann auch in den Durchführungsbestimmungen aufnehmen würden. Bis dahin sind die Begrifflichkeiten im Einzelnen kritisch mit dem neuen DSG-EKD 2018 abzugleichen. Gleichwohl haben wir uns entschieden, lediglich redaktionell die Bezüge zu den einzelnen Paragrafen zu aktualisieren, nicht aber in der inhaltlichen Überarbeitung der EKD vorzugreifen.
Aus dem Anlass der neuen Rechtslage zum Datenschutz ab dem 24. Mai 2018 geben wir Ihnen einen Überblick anhand der bisherigen Veröffentlichungen in der Online-Rechtssammlung (FIS-Kirchenrecht) mit Anmerkungen dazu (Anlage 3)
####

Anlage 1

Durchführungsbestimmungen
zum Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland
(Datenschutzdurchführungsbestimmungen - DSDB)
Vom 17. Mai 2018
Aufgrund von § 54 Absatz 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD)10# vom 15. November 2017 (ABl. EKD S. 353) erlässt die Kirchenleitung folgende Durchführungsbestimmungen:
#

I.
Allgemeine Regelungen

##

§ 1
Führen der Übersicht
(zu § 2 Absatz 1 DSG-EKD11#)

( 1 ) Das Landeskirchenamt führt die Übersicht über die kirchlichen und diakonischen Einrichtungen mit eigener Rechtspersönlichkeit.
( 2 ) 1 Die Übersicht besteht aus zwei Teilen:
  1. den zugeordneten kirchlichen Einrichtungen,
  2. den zugeordneten diakonischen Einrichtungen.
2 Die zugeordneten diakonischen Einrichtungen ergeben sich aus der Liste der Mitgliedseinrichtungen des Diakonischen Werkes Rheinland-Westfalen-Lippe e. V. (Diakonie RWL), die ihren Sitz auf dem Gebiet der Evangelischen Kirche von Westfalen haben.
( 3 ) 1 Um die Anwendung des DSG-EKD12# und dieser Durchführungsbestimmungen sicherzustellen, ist in den jeweiligen Satzungen der nach den Absätzen 1 und 2 zugeordneten kirchlichen Einrichtungen eine entsprechende Formulierung über die Anwendung des DSG-EKD13# und der Durchführungsbestimmungen aufzunehmen. 2 Für die diakonischen Einrichtungen ist dieses sichergestellt über die Satzung der Diakonie RWL: in § 3 Absatz 4 Buchstabe d für das Diakonische Werk selbst und in § 7 Absatz 7 Buchstabe d in Verbindung mit § 7 Absatz 2 für die Mitglieder im Diakonischen Werk.
#

§ 2
Aufsichtsbehörde für den Datenschutz
(zu § 39 Absatz 3 DSG-EKD14#)

Die Evangelische Kirche von Westfalen hat die Aufsicht über die Einhaltung des DSG-EKD15# an den Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland übertragen.
#

§ 3
Mustertexte der EKD

Soweit der Datenschutzbeauftragte der Evangelischen Kirche in Deutschland Mustertexte veröffentlicht hat, sind diese anzuwenden.
#

II.
Besondere Bestimmungen für das Fundraising16#

##

§ 4
Geltungsbereich

Diese Durchführungsbestimmungen regeln als ergänzende Bestimmungen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für das Fundraising.
#

§ 5
Fundraising als Verwirklichungkirchlicher und diakonischer Aufgaben

1 Fundraising ist eine kirchliche Aufgabe. 2 Sie verbindet die Beziehungspflege mit dem Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke.
#

§ 6
Erhebung, Verarbeitung und Nutzung

( 1 ) Die kirchlichen Körperschaften gemäß § 2 Absatz 1 DSG-EKD17# dürfen für das Fundraising ihre im Gemeindegliederverzeichnis und in den Kirchenbüchern enthaltenen Daten von Kirchenmitgliedern und deren Familienangehörigen nutzen, soweit ein melderechtlicher Sperrvermerk oder Widerspruch (Teilnutzungssperre) dem nicht entgegensteht.
( 2 ) 1 Weitere Daten von Kirchenmitgliedern und deren Familienangehörigen dürfen von den zuständigen kirchlichen Stellen für das Fundraising erhoben, verarbeitet und genutzt werden, soweit dies für die Durchführung der Maßnahme erforderlich ist, insbesondere
  1. Name und Anschrift von Spendern, zugehörige Kirchengemeinde,
  2. Art, Betrag, Zweck und Zeitpunkt der geleisteten Spenden,
  3. Erteilung von Zuwendungsbestätigungen,
  4. Daten des Kontaktes,
  5. Daten der erforderlichen Buchhaltung,
  6. Daten zur statistischen analytischen Auswertung.
2 Entsprechendes gilt für Personen, die mit der kirchlichen und diakonischen Arbeit in Beziehung getreten sind.
( 3 ) Soweit Seelsorgedaten im Sinne von § 3 DSG-EKD18# in Wahrnehmung von Aufgaben des Fundraisings bekannt und gespeichert werden, ist durch geeignete Maßnahmen sicherzustellen, dass die Seelsorgedaten Dritten nicht zugänglich sind.
#

§ 7
Datenverarbeitung im Auftrag

( 1 ) 1 Werden personenbezogene Daten für das Fundraising im Auftrag durch andere kirchliche oder sonstige Stellen oder Personen erhoben, verarbeitet oder genutzt, ist vor einer Beauftragung die Genehmigung der nach kirchlichem Recht zuständigen Stelle einzuholen. 2 Die Erteilung einer allgemeinen Genehmigung ist zulässig. 3 § 30 DSG-EKD19# ist zu beachten.
( 2 ) 1 Bei der Datenverarbeitung im Auftrag hat die Speicherung der personenbezogenen Daten mandantenbezogen zu erfolgen. 2 Mandant ist, in dessen Auftrag oder zu dessen Gunsten das Fundraising durchgeführt wird.
( 3 ) Eine Weitergabe der personenbezogenen Daten durch den Auftragnehmer an Dritte ist auszuschließen.
( 4 ) Sofern örtlich Beauftragte für den Datenschutz für die beauftragenden kirchlichen Stellen bestellt sind, sind diese frühzeitig über die Auftragsdatenverarbeitung zu informieren.
#

§ 8
Datenübermittlung an andere kirchliche Stellen

( 1 ) 1 Für die Durchführung einer Fundraising-Maßnahme, die eine andere kirchliche Stelle durchführen will, können mit Zustimmung der zuständigen Stelle folgende Daten von Kirchenmitgliedern und deren Familienangehörigen aus dem Gemeindegliederverzeichnis und den Kirchenbüchern übermittelt werden:
  1. Name und gegenwärtige Anschrift,
  2. Geburtsdatum, Geschlecht, Staatsangehörigkeit(en), Familienstand, Stellung in der Familie,
  3. Zahl und Alter der minderjährigen Kinder,
  4. Religionszugehörigkeit und Zugehörigkeit zu einer Kirchengemeinde.
2 Soweit es für die Durchführung der Fundraising-Maßnahme erforderlich ist, können im Einzelfall weitere Daten aus den Kirchenbüchern und dem Gemeindegliederverzeichnis übermittelt werden.
( 2 ) Zusätzlich zu den Daten nach Absatz 1 dürfen kirchliche Stellen gemäß § 2 Absatz 1 DSG-EKD20# von ihnen erhobene und gespeicherte Daten im erforderlichen Umfang an andere kirchliche Stellen übermitteln.
( 3 ) Bei der Übermittlung der Daten nach den Absätzen 1 und 2 ist sicherzustellen, dass
  1. die Daten empfangende kirchliche Stelle diese ausschließlich für eigene Fundraising-Maßnahmen nutzt,
  2. die Daten empfangende kirchliche Stelle sicherstellt, dass der Umfang und der Zeitpunkt der Fundraising-Maßnahme mit der übermittelnden kirchlichen Stelle abgestimmt wird,
  3. die Daten empfangende kirchliche Stelle sicherstellt, dass Widersprüche von und melderechtliche Sperrvermerke zu betroffenen Personen beachtet und der übermittelnden kirchlichen Stelle mitgeteilt werden,
  4. ausreichende technische und organisatorische Datenschutzmaßnahmen unter Beachtung des Schutzbedarfs der Anforderungen der §§ 27 und 28 DSG-EKD21# vorliegen, von denen sich im Zweifelsfall die Daten übermittelnde kirchliche Stelle zu überzeugen hat,
  5. sofern örtlich Beauftragte für den Datenschutz der beteiligten kirchlichen Stellen bestellt sind, diese frühzeitig über Umfang und Zweck der Datenübermittlung informiert sind.
( 4 ) Die Daten übermittelnde kirchliche Stelle kann die Weitergabe der Daten mit Auflagen versehen.
#

§ 9
Automatische Verarbeitungpersonenbezogener Daten

1 Programme zur automatischen Verarbeitung von Spenderdaten (Spendenverwaltungsprogramme, Fundraisingprogramme) dürfen nur verwendet werden, wenn sie von der zuständigen Stelle freigegeben worden sind. 2 Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person widerspricht (Teilnutzungssperre).
#

§ 10
Ausschluss der Nutzung

Es ist sicherzustellen, dass Personen, die den Erhalt von Spendenaufrufen ausdrücklich nicht wünschen, von der Durchführung des Fundraisings ausgenommen werden.
#

§ 11
Löschung

Die für das Fundraising erhobenen Daten sind zu löschen, soweit nicht ihrer Löschung ein konkreter kirchlicher Auftrag des Fundraisings, Rechtsvorschriften oder Aufbewahrungsfristen entgegenstehen.
#

III.
Inkrafttreten, Außerkrafttreten

##

§ 12
Inkrafttreten, Außerkrafttreten

1 Diese Durchführungsbestimmungen werden im Kirchlichen Amtsblatt veröffentlicht und treten am 24. Mai 2018 in Kraft. 2 Gleichzeitig tritt die Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzdurchführungsverordnung – DSVO) vom 18. September 2003 (KABl. 2003 S. 258) außer Kraft.
#

Anlage 2

Text der Durchführungsbestimmungen
Erläuterungen
Durchführungsbestimmungen
zum Kirchengesetz über den Datenschutz
der Evangelischen Kirche in Deutschland
(Datenschutzdurchführungsbestimmungen - DSDB)

Vom 17. Mai 2018
Auf Grund von § 54 Absatz 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (EKD-Datenschutzgesetz – DSG-EKD)22# vom 15. November 2017 (ABl. EKD S. 353) erlässt die Kirchenleitung folgende Durchführungsbestimmungen:
I.
Allgemeine Regelungen
Die Unterteilung der Durchführungsbestimmungen in die Teile I, II und III ist sinnvoll wegen des umfangreichen Teiles für das Fundraising, der damit trotz der sieben Paragrafen, aus denen er besteht, als in sich abgeschlossener Teil zu erkennen ist.
§ 1
Führen der Übersicht
(zu
§ 2 Absatz 1 DSG-EKD23#)
( 1 ) Das Landeskirchenamt führt die Übersicht über die kirchlichen und diakonischen Einrichtungen mit eigener Rechtspersönlichkeit.
§ 2 Absatz 1 Satz 3 DSG-EKD: Regelung, welche Behörde in der Gliedkirche die Übersicht führt.
( 2 ) 1 Die Übersicht besteht aus zwei Teilen:
  1. den zugeordneten kirchlichen Einrichtungen,
  2. den zugeordneten diakonischen Einrichtungen.
2 Die zugeordneten diakonischen Einrichtungen ergeben sich aus der Liste der Mitgliedseinrichtungen des Diakonischen Werkes Rheinland-Westfalen-Lippe e. V. (Diakonie RWL), die ihren Sitz auf dem Gebiet der Evangelischen Kirche von Westfalen haben.
Zur Zuordnung der diakonischen Einrichtungen in Absatz 2:
Mit der Mitgliederliste der Diakonie RWL sind die zugeordneten diakonischen Einrichtungen nach § 2 Absatz 1 DSG-EKD 2018 vollumfänglich erfasst, die Zuordnung ergibt sich aus der jeweiligen Mitgliedschaft im Diakonischen Werk. In dieser Auflistung der Diakonie RWL sind auch Körperschaften der verfassten Kirche aufgeführt (z.B. Kirchengemeinden), die Mitglied im Diakonischen Werk sind. Für diese Körperschaften der verfassten Kirche gilt das DSG-EKD bereits direkt aus § 2 Absatz 1 DSG-EKD.
Eine regelmäßig aktualisierte Liste wird vom Landeskirchenamt bei der Diakonie RWL angefordert, da das Landeskirchenamt für die Erstellung der Übersicht nach § 2 Absatz 1 DSG-EKD verantwortlich ist und die Auflistung der Diakonie RWL ein Teil dieser Übersicht ist.
Erst die Übersicht in ihrer Gesamtheit wird dann vom Landeskirchenamt an den Beauftragen gesandt.
( 3 ) 1 Um die Anwendung des DSG-EKD24# und dieser Durchführungsbestimmungen sicherzustellen, ist in den jeweiligen Satzungen der nach den Absätzen 1 und 2 zugeordneten kirchlichen Einrichtungen eine entsprechende Formulierung über die Anwendung des DSG-EKD25# und der Durchführungsbestimmungen aufzunehmen. 2 Für die diakonischen Einrichtungen ist dieses sichergestellt über die Satzung der Diakonie RWL: in § 3 Absatz 4 Buchstabe d für das Diakonische Werk selbst und in § 7 Absatz 7 Buchstabe d in Verbindung mit § 7 Absatz 2 für die Mitglieder im Diakonischen Werk.
Zu Absatz 3:
Nach § 2 Absatz 1 Satz 2 DSG-EKD ist sicherzustellen, dass das DSG-EKD und die Durchführungsbestimmungen Anwendung finden. Da es sich bei den zugeordneten kirchlichen und diakonischen Einrichtungen um rechtlich selbständige juristische Personen (überwiegend wie beim e.V. des Privatrechts) handelt, ist aus der Perspektive der zugeordneten Einrichtungen eine „Zustimmung/Annahme“ der Zuordnung erforderlich, die über die Regelung in der Satzung erfolgen soll, soweit noch nicht geschehen.
Beispielhaft sei hingewiesen auf die Satzung des Diakonischen Werkes, in der die Verpflichtung zur Anwendung des Datenschutzgesetzes der EKD festgelegt ist:
In § 3 Absatz 4 Buchstabe d) für das Diakonische Werk selbst und in § 7 Absatz 7 Buchstabe d) für die Mitglieder im Diakonischen Werk. Außerdem ist in § 7 Absatz 2 der Satzung des Diakonischen Werkes festgelegt, dass die Satzungen […] der Mitglieder die Voraussetzungen für die Zuordnung rechtlich selbständiger diakonischer Einrichtungen zur Evangelischen Kirche erfüllen müssen („Richtlinie des Rates der Evangelischen Kirche in Deutschland nach Art. 15 Absatz 2 Grundordnung der EKD über die Zuordnung diakonischer Einrichtungen zur Kirche“ vom 8. Dezember 2007 und „Verordnung über die Zuordnung diakonischer Einrichtungen zur Evangelischen Kirche von Westfalen“ vom 13. Dezember 2007.)
Öffnungsklausel in § 31 Absatz 6 DSG-EKD: Mögliche Regelung, dass für einheitliche Verfahren das Verzeichnis von Verarbeitungstätigkeiten zentral geführt werden kann. Diese Öffnungsklausel wird nicht genutzt.
Öffnungsklausel in § 36 Absatz 2 Satz 2 DSG-EKD: Mögliche Regelung, dass mehrere verantwortliche Stellen zur gemeinsamen Bestellung eines örtlich Beauftragten verpflichtet werden. Nach § 36 Absatz 2 Satz 1 DSG-EKD ist die Bestellung von örtlich Beauftragten gemeinsam für mehrere verantwortliche Stellen bereits möglich. Mit einer Regelung nach Satz 2 in diesen Durchführungsbestimmungen wäre die gemeinsame Bestellung verpflichtend im Sinne eines Anschluss- und Benutzungszwanges. Eine solche Regelung kann sinnvoll und auch erforderlich sein im Rahmen des Steuerrechtes (Befreiung nach § 2b Umsatzsteuergesetz).
Diese Regelung müsste aber konkret die verantwortlichen Stellen benennen, um sie verpflichten zu können. Deshalb ist zunächst (vor allem) bei den Kirchenkreisen nachzufragen, welche Verpflichtungen geregelt werden müssen. Die Durchführungsbestimmungen wären dann anschließend zu ändern, um die Verpflichtungen aufzunehmen.
§ 2
Aufsichtsbehörde für den Datenschutz
(zu § 39 Absatz 3 DSG-EKD
26#)
Die Evangelische Kirche von Westfalen hat die Aufsicht über die Einhaltung des DSG-EKD27# an den Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland übertragen.
Öffnungsklausel in § 39 Absatz 3 DSG-EKD.
§ 3
Mustertexte der EKD
Soweit der Datenschutzbeauftragte der Evangelischen Kirche in Deutschland Mustertexte veröffentlicht hat, sind diese anzuwenden.
Öffnungsklausel in § 30 Absatz 7 DSG-EKD mit zwei Aspekten:
  1. Mögliche Regelung der Genehmigung der Verarbeitung von personenbezogenen Daten im Auftrag:
    Von der Regelung eines Genehmigungsvorbehaltes wird abgesehen. Auch die ausdrückliche Regelung der Beteiligung der örtlich Beauftragten entsprechend dem bisherigen Recht ist entbehrlich wegen § 37 Absatz 6 DSG-EKD, nach dem die verantwortlichen Stellen sicherstellen, dass die örtlich Beauftragten ordnungsgemäß und frühzeitig […] beteiligt werden.
  2. Mögliche Regelung der Verwendung von Mustervereinbarungen bei der Verarbeitung von personenbezogenen Daten im Auftrag:
    Die beiden Mustervereinbarungen zur Durchführung einer Auftragsdatenverarbeitung mit Adressdaten (veröffentlicht auf der Homepage des Beauftragten für den Datenschutz) sind verbindlich anzuwenden.
Darüber hinausgehend sind auch die weiteren veröffentlichten Muster des Beauftragten, z. B. für
die Bestellung von örtlich Beauftragten für den Datenschutz,
die Verpflichtungserklärung von Mitarbeitenden auf das Datengeheimnis,
die Verpflichtungserklärung von Ehrenamtlichen auf das Datengeheimnis,
die Dokumentation bei Maßnahmen zur Videoüberwachung
verbindlich anzuwenden.
II.
Besondere Bestimmungen für das
Fundraising
28#
§ 4
Geltungsbereich
Diese Durchführungsbestimmungen regeln als ergänzende Bestimmungen die Erhebung, Verarbeitung und Nutzung personenbezogener Daten für das Fundraising.
Von der EKD wurde ausdrücklich darauf hingewiesen, das Muster „Abgestimmter Mustertext als ergänzende Durchführungsbestimmungen zum Datenschutzgesetz der Ev. Kirche in Deutschland (DSG-EKD) zur Gewährleistung des Datenschutzes beim Fundraising (Datenschutz-Durchführungsbestimmung-Fundraising – DSDBFR) vom 18. Juni 2008 (ABl. EKD 2009 S. 97)“ direkt in den Durchführungsbestimmungen aufzunehmen. Die Bezüge auf die Paragrafen des DSG-EKD wurden aktualisiert.
§ 5
Fundraising als Verwirklichung kirchlicher und diakonischer Aufgaben
1 Fundraising ist eine kirchliche Aufgabe. 2 Sie verbindet die Beziehungspflege mit dem Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke.
§ 6
Erhebung, Verarbeitung und Nutzung
( 1 ) Die kirchlichen Körperschaften gemäß § 2 Absatz 1 DSG-EKD29# dürfen für das Fundraising ihre im Gemeindegliederverzeichnis und in den Kirchenbüchern enthaltenen Daten von Kirchenmitgliedern und deren Familienangehörigen nutzen, soweit ein melderechtlicher Sperrvermerk oder Widerspruch (Teilnutzungssperre) dem nicht entgegensteht.
( 2 ) 1 Weitere Daten von Kirchenmitgliedern und deren Familienangehörigen dürfen von den zuständigen kirchlichen Stellen für das Fundraising erhoben, verarbeitet und genutzt werden, soweit dies für die Durchführung der Maßnahme erforderlich ist, insbesondere
  1. Name und Anschrift von Spendern, zugehörige Kirchengemeinde,
  2. Art, Betrag, Zweck und Zeitpunkt der geleisteten Spenden,
  3. Erteilung von Zuwendungsbestätigungen,
  4. Daten des Kontaktes,
  5. Daten der erforderlichen Buchhaltung,
  6. Daten zur statistischen analytischen Auswertung.
2 Entsprechendes gilt für Personen, die mit der kirchlichen und diakonischen Arbeit in Beziehung getreten sind.
( 3 ) Soweit Seelsorgedaten im Sinne von § 3 DSG-EKD30# in Wahrnehmung von Aufgaben des Fundraisings bekannt und gespeichert werden, ist durch geeignete Maßnahmen sicherzustellen, dass die Seelsorgedaten Dritten nicht zugänglich sind.
§ 7
Datenverarbeitung im Auftrag
( 1 ) 1 Werden personenbezogene Daten für das Fundraising im Auftrag durch andere kirchliche oder sonstige Stellen oder Personen erhoben, verarbeitet oder genutzt, ist vor einer Beauftragung die Genehmigung der nach kirchlichem Recht zuständigen Stelle einzuholen. 2 Die Erteilung einer allgemeinen Genehmigung ist zulässig. 3 § 30 DSG-EKD31# ist zu beachten.
( 2 ) 1 Bei der Datenverarbeitung im Auftrag hat die Speicherung der personenbezogenen Daten mandantenbezogen zu erfolgen. 2 Mandant ist, in dessen Auftrag oder zu dessen Gunsten das Fundraising durchgeführt wird.
( 3 ) Eine Weitergabe der personenbezogenen Daten durch den Auftragnehmer an Dritte ist auszuschließen.
( 4 ) Sofern örtlich Beauftragte für den Datenschutz für die beauftragenden kirchlichen Stellen bestellt sind, sind diese frühzeitig über die Auftragsdatenverarbeitung zu informieren.
§ 8
Datenübermittlung an andere
kirchliche Stellen
( 1 ) 1 Für die Durchführung einer Fundraising-Maßnahme, die eine andere kirchliche Stelle durchführen will, können mit Zustimmung der zuständigen Stelle folgende Daten von Kirchenmitgliedern und deren Familienangehörigen aus dem Gemeindegliederverzeichnis und den Kirchenbüchern übermittelt werden:
  1. Name und gegenwärtige Anschrift,
  2. Geburtsdatum, Geschlecht, Staatsangehörigkeit(en), Familienstand, Stellung in der Familie,
  3. Zahl und Alter der minderjährigen Kinder,
  4. Religionszugehörigkeit und Zugehörigkeit zu einer Kirchengemeinde.
2 Soweit es für die Durchführung der Fundraising-Maßnahme erforderlich ist, können im Einzelfall weitere Daten aus den Kirchenbüchern und dem Gemeindegliederverzeichnis übermittelt werden.
( 2 ) Zusätzlich zu den Daten nach Absatz 1 dürfen kirchliche Stellen gemäß § 2 Absatz 1 DSG-EKD32# von ihnen erhobene und gespeicherte Daten im erforderlichen Umfang an andere kirchliche Stellen übermitteln.
( 3 ) Bei der Übermittlung der Daten nach den Absätzen 1 und 2 ist sicherzustellen, dass
  1. die Daten empfangende kirchliche Stelle diese ausschließlich für eigene Fundraising-Maßnahmen nutzt,
  2. die Daten empfangende kirchliche Stelle sicherstellt, dass der Umfang und der Zeitpunkt der Fundraising-Maßnahme mit der übermittelnden kirchlichen Stelle abgestimmt wird,
  3. die Daten empfangende kirchliche Stelle sicherstellt, dass Widersprüche von und melderechtliche Sperrvermerke zu betroffenen Personen beachtet und der übermittelnden kirchlichen Stelle mitgeteilt werden,
  4. ausreichende technische und organisatorische Datenschutzmaßnahmen unter Beachtung des Schutzbedarfs der Anforderungen der §§ 27 und 28 DSG-EKD33# vorliegen, von denen sich im Zweifelsfall die Daten übermittelnde kirchliche Stelle zu überzeugen hat,
  5. sofern örtlich Beauftragte für den Datenschutz der beteiligten kirchlichen Stellen bestellt sind, diese frühzeitig über Umfang und Zweck der Datenübermittlung informiert sind.
( 4 ) Die Daten übermittelnde kirchliche Stelle kann die Weitergabe der Daten mit Auflagen versehen.
§ 9
Automatische Verarbeitung personenbezogener Daten
1 Programme zur automatischen Verarbeitung von Spenderdaten (Spendenverwaltungsprogramme, Fundraisingprogramme) dürfen nur verwendet werden, wenn sie von der zuständigen Stelle freigegeben worden sind. 2 Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person widerspricht (Teilnutzungssperre).
§ 10
Ausschluss der Nutzung
Es ist sicherzustellen, dass Personen, die den Erhalt von Spendenaufrufen ausdrücklich nicht wünschen, von der Durchführung des Fundraisings ausgenommen werden.
Das Muster der EKD enthält in der Überschrift von § 10 den Zusatz („Robinsonliste“).
Der Begriff wurde gestrichen, da er nicht selbsterklärend ist. Bei der EKD wurde die Bedeutung in diesem Zusammenhang nachgefragt. Ggfls. wird der Begriff bei einer künftigen Änderung der Durchführungsbestimmungen ergänzt.
§ 11
Löschung
Die für das Fundraising erhobenen Daten sind zu löschen, soweit nicht ihrer Löschung ein konkreter kirchlicher Auftrag des Fundraisings, Rechtsvorschriften oder Aufbewahrungsfristen entgegenstehen.
III.
Inkrafttreten, Außerkrafttreten
§ 12
Inkrafttreten, Außerkrafttreten
1 Diese Durchführungsbestimmungen werden im Kirchlichen Amtsblatt veröffentlicht und treten am 24. Mai 2018 in Kraft. 2 Gleichzeitig tritt die Verordnung zur Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzdurchführungsverordnung – DSVO) vom 18. September 2003 (KABl. 2003 S. 258) außer Kraft.
#

Anlage 3

Nr. im FIS-Kirchenrecht und
Name der Veröffentlichung
Art der Veröffentlichung und
weiteres Vorgehen
850
EKD-Datenschutzgesetz
Archivierung des DSG-EKD 2013 und Aufnahme des DSG-EKD 2018
850.10
Rundschreiben Kirchlicher Datenschutz
Archivierung des Rundschreibens zur Änderung des DSG-EKD 2013
852
Datenschutzdurchführungsverordnung
Archivierung der Datenschutzdurchführungsverordnung zum DSG-EKD 2013 und Aufnahme der Datenschutzdurchführungsbestimmungen zum DSG-EKD 2018
852.10
Rundschreiben Datenschutzdurchführungsverordnung
Archivierung des Rundschreibens zur Änderung der Datenschutzdurchführungsverordnung zum DSG-EKD 2013 und Aufnahme dieses Rundschreibens vom 18.05.2018 zu den Datenschutzdurchführungsbestimmungen zum DSG-EKD 2018
855.1
Datenschutz, Umgang mit Passwörtern
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.2
Bestellung von örtlich Beauftragten für den Datenschutz
Archivierung des Rundschreibens, da das DSGEKD 2018 neue Regelungen enthält
855.3
Datenschutz und Datensicherheit
Telefax-Dienste
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.4
Datenschutz und Datensicherheit
Telefonanrufbeantworter
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.5
Datenschutz – Schnurlos- und Mobiltelefone
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.6
Datenschutz-Auftragsdatenverarbeitung (Muster)
Archivierung des Rundschreibens, da das Muster der EKD nach den Durchführungsbestimmungen zum DSG-EKD 2018 verbindlich ist
855.7
Datenschutz – kirchliche Webseiten - Impressum, Webseiten-Check
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.8
Datenschutz – Internet- und E-Mail-Nutzung
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.9
Datenschutz – Veröffentlichung von Daten im Internet
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.10
Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten
Archivierung des Rundschreibens, da die bisherigen landeskirchlichen Regelungen entfallen, Hinweis auf die Handreichung der EKD zum Gemeindebrief
855.11
Datenschutz – Kindergartenkinder
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.12
Datenschutz - BSI-Richtlinie Langzeitspeicherung
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.13
Datenschutz "Google Street View"
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.14
Datenschutz – Auftragsdatenverarbeitung mit Adressdaten
Archivierung des Rundschreibens, da das Muster der EKD nach den Durchführungsbestimmungen zum DSG-EKD 2018 verbindlich ist
855.15
Datenschutz "Einbinden von Kirchenbüchern im Auftrag"
Archivierung des Rundschreibens, da das Muster der EKD für die Auftragsdatenverarbeitung nach den Durchführungsbestimmungen zum DSG-EKD 2018 verbindlich ist
855.16
Datenschutz – Webanalyseprogramme auf kirchlichen Websites
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.17
Datenschutz in der Mitarbeitervertretung
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.18
Datenschutz – Anlassspenden
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.19
Stellenanteile für örtlich Beauftragte/Betriebsbeauftragte für den Datenschutz
Rundschreiben
Überprüfung, ggfls. Aktualisierung
855.20
Praxishilfe Fotos veröffentlichen
Rundschreiben
Weiterhin aktuell, also keine Änderung
855.21
Datenschutzerklärung auf Webseiten
Rundschreiben
Überprüfung, ggfls. Aktualisierung

#
1 ↑ Nr. 850.
#
2 ↑ Nr. 850.
#
3 ↑ Nr. 850.
#
4 ↑ Nr. 850.
#
5 ↑ Nr. 850.
#
6 ↑ Nr. 850.
#
7 ↑ Nr. 850.
#
8 ↑ Nr. 850.
#
9 ↑ Nr. 852.
#
10 ↑ Nr. 850.
#
11 ↑ Nr. 850.
#
12 ↑ Nr. 850.
#
13 ↑ Nr. 850.
#
14 ↑ Nr. 850.
#
15 ↑ Nr. 850.
#
16 ↑ Der Teil „II. Besondere Bestimmungen für das Fundraising“ entspricht dem von der EKD empfohlenen Muster: „Abgestimmter Mustertext als ergänzende Durchführungsbestimmungen zum Datenschutzgesetz der Ev. Kirche in Deutschland (DSG-EKD) zur Gewährleistung des Datenschutzes beim Fundraising (Datenschutz-Durchführungsbestimmung-Fundraising – DSDBFR) vom 18. Juni 2008 (ABl. EKD 2009 S. 97)“ mit aktualisierten Bezügen zum DSG-EKD 2018.
#
17 ↑ Nr. 850.
#
18 ↑ Nr. 850.
#
19 ↑ Nr. 850.
#
20 ↑ Nr. 850.
#
21 ↑ Nr. 850.
#
22 ↑ Nr. 850.
#
23 ↑ Nr. 850.
#
24 ↑ Nr. 850.
#
25 ↑ Nr. 850.
#
26 ↑ Nr. 850.
#
27 ↑ Nr. 850.
#
28 ↑ Der Teil „II. Besondere Bestimmungen für das Fundraising“ entspricht dem von der EKD empfohlenen Muster: „Abgestimmter Mustertext als ergänzende Durchführungsbestimmungen zum Datenschutzgesetz der Ev. Kirche in Deutschland (DSG-EKD) zur Gewährleistung des Datenschutzes beim Fundraising (Datenschutz-Durchführungsbestimmung-Fundraising – DSDBFR) vom 18. Juni 2008 (ABl. EKD 2009 S. 97)“ mit aktualisierten Bezügen zum DSG-EKD 2018.
#
29 ↑ Nr. 850.
#
30 ↑ Nr. 850.
#
31 ↑ Nr. 850.
#
32 ↑ Nr. 850.
#
33 ↑ Nr. 850.