.905. Kirchliche Verordnung
####§ 1
§ 2
§ 3
§ 4
§ 5
§ 6
§ 7
§ 8
§ 9
905. Kirchliche Verordnung
zur Durchführung und Ergänzung
des EKD-Datenschutzrechts
(Datenschutzdurchführungs- und
-ergänzungsverordnung – DSDEVO)
Vom 14. Mai 2018
Aufgrund von § 25 Absatz 4 Kirchenverfassungsgesetz, § 54 Absatz 2 EKD-Datenschutzgesetz und § 6 Absatz 1 IT-Sicherheitsverordnung wird nach Beratung gemäß § 39 Absatz 1 Kirchenverfassungsgesetz verordnet:
§ 1
Führung der Übersicht
Zuständig für die Führung der Übersicht nach § 2 Absatz 1 Satz 3 EKD-Datenschutzgesetz ist der Oberkirchenrat.
#§ 2
Örtlich Beauftragte für den Datenschutz
(
1
)
Für den Bereich mehrerer, durch Verordnung des Oberkirchenrats2# festzulegender Kirchenbezirke wird eine örtlich Beauftragte oder ein örtlich Beauftragter gemeinsam für die Kirchenbezirke, Kirchengemeinden und Pfarrämter sowie die kirchlichen Verbände, Anstalten und Körperschaften des öffentlichen Rechts mit Sitz in den festgelegten Kirchenbezirken bestellt. Eine Verhinderungsstellvertretung ist vorzusehen.
(
2
)
Die Bestellung erfolgt durch einen Ausschuss, dem je zwei von den Kirchenbezirksausschüssen und Diakonischen Bezirksausschüssen der festgelegten Kirchenbezirke entsandte Mitglieder angehören, nach den Bestimmungen des § 36 Absatz 5 EKD-Datenschutzgesetz. Mit Zustimmung des Oberkirchenrats kann im Einzelfall eine abweichende Regelung für die Bestellung getroffen werden.
#§ 3
Verpflichtung auf das Datengeheimnis
(
1
)
Den Wortlaut der Verpflichtung nach § 26 Satz 2 und § 30 Absatz 3 Satz 2 Nummer 5 EKD-Datenschutzgesetz legt der Oberkirchenrat fest.
(
2
)
Das Original der Verpflichtung ist zu den Personalakten zu nehmen; bei ehrenamtlichen Mitarbeiterinnen und Mitarbeitern sind die Originale gesammelt aufzubewahren.
#§ 4
Verarbeitung personenbezogener Daten im Auftrag
(
1
)
Werden personenbezogene Daten im Auftrag verarbeitet, so ist die hierfür vom Oberkirchenrat festgelegte Mustervereinbarung zu verwenden. Auf schriftlichen Antrag der auftraggebenden kirchlichen Stelle kann im Einzelfall mit Genehmigung des Oberkirchenrats von der Mustervereinbarung abgesehen werden.
(
2
)
Bei der Beauftragung anderer kirchlicher Stellen wird von § 30 Absatz 3 Satz 2 Nummer 3, 5, 7 und 9 und Satz 4 EKD-Datenschutzgesetz abgesehen.
#§ 5
Verzeichnis von Verarbeitungstätigkeiten
Für einheitliche Verfahren gemäß § 31 Absatz 6 EKD-Datenschutzgesetz führt der Oberkirchenrat das Verzeichnis zentral.
#§ 6
Informationssicherheit
(
1
)
Den IT-Sicherheitskonzepten sind die Muster-IT-Sicherheitskonzepte der Evangelischen Kirche in Deutschland zugrunde zu legen. Es dürfen nur die vom Oberkirchenrat geprüften und freigegebenen Verfahren und Programme eingesetzt werden.
(
2
)
Für Vereinbarungen nach § 2 Absatz 2 Satz 2 IT-Sicherheitsverordnung ist die vom Oberkirchenrat festgelegte Mustervereinbarung zugrunde zu legen.
#§ 7
IT-Sicherheitsbeauftragte
(
1
)
Der Oberkirchenrat bestellt eine IT-Sicherheitsbeauftragte oder einen IT-Sicherheitsbeauftragten für die Landeskirche. Eine Verhinderungsstellvertretung ist vorzusehen.
(
2
)
Für den Bereich mehrerer, durch Verordnung des Oberkirchenrats3# festzulegender Kirchenbezirke wird eine örtlich Beauftragte oder ein örtlich Beauftragter für IT-Sicherheit gemeinsam für die Kirchenbezirke, Kirchengemeinden und Pfarrämter sowie die kirchlichen Verbände, Anstalten und Körperschaften des öffentlichen Rechts mit Sitz in den festgelegten Kirchenbezirken bestellt. Eine Verhinderungsstellvertretung ist vorzusehen. Für die Bestellung findet § 2 Absatz 2 entsprechende Anwendung.
#§ 8
Verordnungen und Richtlinien des Oberkirchenrats
Der Oberkirchenrat kann zur Durchführung und Ergänzung des EKD-Datenschutzrechts weitere Verordnungen4# und Richtlinien erlassen.
#§ 9
Inkrafttreten, Außerkrafttreten
Diese Kirchliche Verordnung tritt am 24. Mai 2018 in Kraft. Zugleich treten die Kirchliche Verordnung zur Durchführung und Ergänzung des Kirchengesetzes über den Datenschutz vom 14. Februar 1995 (Abl. 56 S. 371), geändert durch Kirchliche Verordnung vom 26. Mai 2014 (Abl. 66 S. 103), die Computervirenschutzverordnung vom 20. Dezember 2000 (Abl. 59 S. 201), die Datenverschlüsselungsverordnung vom 20. Dezember 2000 (Abl. 59 S. 352), geändert durch Verordnung vom 18. November 2003 (Abl. 60 S. 352), die Datensicherungsverordnung vom 20. Dezember 2000 (Abl. 59 S. 203) sowie die EDV-Richtlinien vom 25. März 1997 (Abl. 57 S. 288) außer Kraft.