Wenn Sie als Ehrenamtliche oder Ehrenamtlicher in Kirche einschließlich ihrer Diakonie regelmäßig mit personenbezogenen Daten umgehen, muss diejenige Stelle, für die Sie tätig sind, Sie auf das Datengeheimnis verpflichten. In diesem Merkblatt erhalten Sie einige Informationen über den wesentlichen Inhalt des Datengeheimnisses und den Sinn der Verpflichtungserklärung.
Welchen Grund hat die Verpflichtung auf das Datengeheimnis?
Wer seine persönlichen Daten einer kirchlichen Stelle anvertraut, hat einen Anspruch darauf, dass mit diesen Daten verantwortungsvoll umgegangen wird. Dies gilt etwa für den Umgang mit den Daten von Gemeindegliedern oder Hilfesuchenden im diakonischen Bereich, aber auch für den Umgang mit den Inhalten eines vertraulich geführten Gesprächs. Deshalb sind Ehrenamtliche auf das Datengeheimnis zu verpflichten.
Die Verpflichtungserklärung sollte nicht als Ausdruck eines grundsätzlichen Misstrauens gegenüber Ehrenamtlichen missverstanden werden. Sie ist vielmehr ein Qualitätsmerkmal für die ehrenamtlich geleistete Arbeit! Denn für die betroffene Person (z. B. Gemeindeglied, Patient, Klient) ist es oft sehr wichtig, darüber Gewissheit zu haben, dass über ihre Daten Verschwiegenheit gewahrt wird. Ein vertrauliches Gespräch in Kirche einschließlich ihrer Diakonie wird ohne diese Gewissheit nicht zustande kommen. Dabei macht es aus Sicht der betroffenen Person keinen Unterschied, ob das Gespräch mit einer Pfarrerin, einem Pfarrer oder Ehrenamtlichen geführt wird.
Alle personenbezogenen Informationen, die Sie im Rahmen Ihrer Tätigkeit an und mit Akten, Dateien, Listen und Karteien und über Gespräche erhalten, sind grundsätzlich vertraulich zu behandeln. Diese Pflicht besteht auch nach Beendigung Ihrer Tätigkeit fort.
Weshalb ist Datenschutz notwendig?
Ziel des Datenschutzes ist es, jede einzelne Person davor zu schützen, dass sie durch den Umgang mit ihren personenbezogenen Daten in ihrem Persönlichkeitsrecht beeinträchtigt wird.
Auf dieser Grundlage regelt das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD; https://www.kirchenrecht-ekd.de/document/41335), unter welchen Voraussetzungen Daten verwendet werden dürfen. Die Rechte der betroffenen Personen sind in die-sem Gesetz näher beschrieben. Ebenso ist festgelegt, wer über die Einhaltung der Datenschutzvor-schriften wacht.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Dazu gehören z. B. Name, Geburtsdatum, Anschrift, Beruf, Familienstand, Konfession, Gesundheitszustand sowie Fotos und Videoaufzeichnungen. Wenn Sie etwa als Mitglied eines Besuchskreises Gespräche mit einem Gemeindeglied führen, handelt es sich bei dem, was Ihr Gesprächspartner Ihnen über sich selbst oder über eine andere Person erzählt, um personenbezogene Daten. Diese Daten werden durch die Datenschutzregelungen geschützt.
Welche rechtlichen Grundlagen gelten für den Datenschutz?
Zunächst gelten die allgemeinen Datenschutzbestimmungen. Dies sind jeweils in ihrer geltenden Fassung
- das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) – kirchenrecht-ekd.de/document/41335
- die IT-Sicherheitsverordnung der Evangelischen Kirche in Deutschland (ITSVO-EKD) – kirchenrecht-ekir.de/document/32757
- Datenschutzdurchführungsverordung (DSVO) der EKiR – kirchenrecht-ekir.de/document/2854
Was bedeutet die Verarbeitung von personenbezogenen Daten?
Die Verarbeitung personenbezogener Daten umfasst jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit perso-nenbezogenen Daten. Dazu gehören insbesondere das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereit-stellung, den Abgleich oder die Verknüpfung von Daten. Auch die Einschränkung der Verarbeitung, das Löschen oder die Vernichtung von Daten gehören dazu.
Der Begriff der „Verarbeitung“ erfasst damit jede Form des Umgangs mit personenbezogenen Da-ten. Die Verarbeitung beginnt mit der Erhebung und endet mit der Löschung. Dies gilt unabhängig davon, ob die Daten automatisiert oder manuell verarbeitet werden.
Wann ist die Verarbeitung von personenbezogenen Daten zulässig?
Im Datenschutz gilt das sogenannte Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass eine Verarbeitung personenbezogener Daten nur zulässig ist,
- wenn das kirchliche Datenschutzrecht oder
- wenn eine andere Rechtsvorschrift dies erlaubt oder anordnet oder
- soweit die betroffene Person eingewilligt hat.
Das kirchliche Recht sieht vor, dass
- Daten nur in dem Umfang verarbeitet werden dürfen, wie dies zur Wahrnehmung Ihrer ehrenamtlichen Tätigkeit erforderlich ist,
- Daten grundsätzlich nicht in einer Weise weiterverarbeitet werden dürfen, die mit dem ursprünglichen Zweck der Erhebung nicht vereinbar sind,
- Daten auch innerhalb der verantwortlichen Stelle nur solchen Personen bekannt gegeben werden dürfen, die diese zur Erfüllung ihrer Aufgaben benötigen und zur Verschwiegenheit verpflichtet sind,
- Auskünfte aus oder Kopien von Datensammlungen an Dritte außerhalb der eigenen ver-antwortlichen Stelle nur erteilt bzw. angefertigt werden dürfen, wenn eine Rechtsvorschrift dies erlaubt oder die betroffene Person eingewilligt hat.
Grundsätzlich haben Sie über alle personenbezogenen Daten, die Sie auf Grund ihrer kirchlichen Tätigkeit erfahren, Verschwiegenheit zu wahren. So ist es nicht zulässig, Familienmitglieder oder andere Personen über das Erfahrene zu informieren. Dies gilt nicht, wenn die betroffene Person diese Daten selbst öffentlich gemacht hat. Unabhängig davon dürfen Daten in keinem Fall zum Zwecke der Werbung an Versicherungen, Zeitungen oder Firmen herausgegeben werden.
Welche Maßnahmen sind aus Gründen des Datenschutzes und der Datensicherheit zu treffen?
Um den Anforderungen des kirchlichen Datenschutzes zu genügen, sind auch technische und or-ganisatorische Maßnahmen zu treffen. Bitte bewahren Sie deshalb alle Informationen mit personenbezogenen Daten (z. B. Notizzettel, Karteikarten, USB-Sticks) stets sicher und verschlossen auf, damit ein unbefugter Zugriff Dritter nach Möglichkeit ausgeschlossen ist.
Falls Sie personenbezogene Daten auf Ihren privaten Endgeräten (z. B. Laptop, Smartphone, Tablet) speichern wollen, müssen Sie dies vorher mit der verantwortlichen Stelle absprechen. Dadurch soll sichergestellt werden, dass alle rechtlichen und technischen Vorgaben eingehalten werden. Folgende Maßnahmen sind mindestens notwendig:
- Benutzerkennung und Passwortschutz,
- Familienangehörige oder andere Personen dürfen keinen Zugriff auf die kirchlichen Daten haben (so können z. B. separate Benutzerkonten eingerichtet werden),
- Programm- und Browserversionen sind stets aktuell zu halten,
- Virenschutzprogramme (einschließlich Firewall) sind regelmäßig zu aktualisieren,
- nur für Ihre Arbeit erforderliche Daten dürfen gespeichert werden,
- nicht mehr benötigte Datenbestände sind sicher zu löschen,
- Datensicherungen sind regelmäßig durchzuführen,
- sensible personenbezogene Daten auf privaten Endgeräten sind stets verschlüsselt zu speichern. Dies gilt auch für Datensicherungen.
Wo erhält man weitere Auskünfte?
Wenn Sie weitere Fragen zum Datenschutz haben oder in einem Einzelfall eine Rechtsauskunft benötigen, wenden Sie sich an die Mitarbeitenden oder an die örtlich Beauftragte oder den örtlich Beauftragten für den Datenschutz. Den Namen und die Kontaktdaten erhalten Sie über die ver-antwortliche Stelle, die Sie für Ihre Aufgabe beauftragt.
Die Aufgabe der Datenschutzaufsicht obliegt der oder dem zuständigen Beauftragten für den Datenschutz Ihrer Landeskirche. Weitere Informationen und die Kontaktdaten erhalten Sie über das Internet unter datenschutz.ekd.de.