.

Verwaltungsvorschrift
zur Umsetzung der Datenschutzdurchführungsverordnung (Datenschutzverwaltungsvorschrift – DSVwV)

Vom 1. Juni 2017

(KABl. S. 354)

Änderungen
Lfd. Nr.
Änderndes Recht
Datum
Fundstelle
Geänderte
Paragrafen
Art der
Änderung
1
Verwaltungsvorschrift zur Anpassung des
Datenschutzrechtes
8. Juni 2018
Nummer 1.1
Satz angefügt
Nummer 1.2
Satz angefügt
Nummer 1.3
Satz angefügt
Nummer 1.4
neu gefasst
Nummer 1.5
neu angefügt
Nummer 2
neu gefasst
#

###
Das Landeskirchenamt hat aufgrund von Artikel 105 Absatz 2 Nummer 3 der Verfassung in Verbindung mit § 141# der Datenschutzdurchführungsverordnung (DSDVO) vom 5. April 2017 (KABl. S. 221) die folgende Verwaltungsvorschrift erlassen:
1.
Muster
1.1
1 Die in § 4 Absatz 2 Satz 1 Datenschutzdurchführungsverordnung genannte Verpflichtung auf das Datengeheimnis erfolgt gemäß dem Muster der Anlage 1 unter Aushändigung eines Merkblattes über den Datenschutz in der Evangelisch-Lutherischen Kirche in Norddeutschland. 2 Das Original der Verpflichtungserklärung ist zur Personalakte der verpflichteten Person oder, sofern eine solche nicht geführt wird, zur Akte Datenschutz zu nehmen.
1.2
1 Die in § 5 Datenschutzdurchführungsverordnung genannte Dokumentation von Maßnahmen zur Videoüberwachung erfolgt gemäß dem Muster der Anlage 2. 2 Die Videoüberwachung ist mindestens alle zwei Jahre auf ihre weitere Erforderlichkeit zu überprüfen.
1.3
1 Die in § 8 Satz 1 Datenschutzdurchführungsverordnung genannte Vereinbarung über eine Datenverarbeitung im Auftrag erfolgt gemäß dem Muster der Anlage 3. 2 Abweichungen vom Muster sind vor Abschluss der Vereinbarung der kirchlichen Aufsichtsbehörde für den Datenschutz und der für die allgemeine Aufsicht zuständigen Stelle anzuzeigen.
1.4
1 Die in § 13 Absatz 1 Datenschutzdurchführungsverordnung genannte Bestellung von örtlich Beauftragten für den Datenschutz erfolgt gemäß dem Muster der Anlage 4unter Aushändigung eines Merkblatts für örtlich Beauftragte für den Datenschutz. 2 Die Bestellung ist der kirchlichen Aufsichtsbehörde für den Datenschutz und der für die allgemeine Aufsicht zuständigen Stelle unverzüglich schriftlich anzuzeigen; die Kontaktdaten sind zu veröffentlichen.
1.5
Die genannten Muster finden in der jeweils durch die kirchliche Aufsichtsbehörde für den Datenschutz aktualisierten und bekanntgegebenen Fassung Anwendung.
2.
Merkblätter
Die in Nummer 1.1 und 1.4 genannten Merkblätter werden durch die kirchliche Aufsichtsbehörde für den Datenschutz erstellt und zusammen mit den Mustern nach Nummer 1 auf der Internetseite https://www.datenschutz-nordkirche.de hinterlegt.
3.
Inkrafttreten
Diese Verwaltungsvorschrift tritt am Tag nach ihrer Bekanntmachung im Kirchlichen Amtsblatt in Kraft2#.
#

Anlage 13#

###
Verpflichtung auf das Datengeheimnis
Frau/Herr ____________________________________
(Nichtzutreffendes streichen)
wohnhaft ____________________________________
tätig als
_____________________________________
(Angabe der beruflichen oder ehrenamtlichen Tätigkeit)
bei ________________________________________
(kirchliche Körperschaft oder zugeordnete Einrichtung: „kirchliche Stelle“)
wird zur Wahrung des Datengeheimnisses nach § 6 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 12. November 1993 in der Fassung der Bekanntmachung vom 1. Januar 2013 (ABl. EKD S. 2, 34) darauf verpflichtet, personenbezogene Daten nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen.
Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.
Verstöße gegen das Datengeheimnis sind Pflichtverletzungen und können rechtliche Konsequenzen haben.
Das Merkblatt über den Datenschutz in der Evangelisch-Lutherischen Kirche in Norddeutschland wurde ausgehändigt.
______________________________________
Ort, Datum
______________________________________
Unterschrift der Verpflichteten bzw. des Verpflichteten
______________________________________
Unterschrift der Vertreterin bzw. des Vertreters der kirchlichen Stelle
Das Original dieser Verpflichtungserklärung wird zur Personalakte bzw. zur Akte Datenschutz genommen. Eine Ausfertigung ist für die Verpflichtete bzw. den Verpflichteten bestimmt.
#

Anlage 24#

###
Dokumentation von Maßnahmen zur
Videoüberwachung nach § 7a Absatz 7 DSG-EKD
  1. Beschreibung der Maßnahme
    1.1 Name und Anschrift der kirchlichen Stelle
    1.2 Anschrift des videoüberwachten Gebäudes
    1.3 Überwachte Gebäudeteile, Außenflächen – Eigentumsverhältnisse
    1.4 Kurzbeschreibung der Videoüberwachungsanlage
    (Komponenten, Anzahl der Kameras, Übertragungswege u. Ä.)
  2. Zweck der Videoüberwachungsmaßnahme (§ 7a Absatz 1 DSG-EKD)
    • zum Schutz von Personen und Sachen
      (Personenkreis, Sachen sowie Gefährdungssituation darstellen)
    • zur Überwachung von Zugangsberechtigungen (konkretisieren: Zugang für welchen Bereich, wer ist berechtigt, wer soll bzw. muss am Zugang gehindert werden)
  3. Rechtsgrundlage
    • § 7a Absatz 1 DSG-EKD (Videobeobachtung)
    • § 7a Absatz 2 DSG-EKD (Videoaufzeichnung)
  4. Kreis der Betroffenen
    • Besucher
    • Mitarbeitende
    • Mitarbeitende bzw. Besucher anderer kirchlicher Stellen im Haus
    • Patienten
    • Passanten
    • sonstige Betroffene (näher beschreiben)
  5. Personenkreis mit Zugang zu den durch die Videoüberwachung erhobenen Bilddaten
    • Empfang
    • Mitarbeitende mit besonderen Funktionen (z. B. Administratoren)
    • Mitarbeitende im Sicherheitsdienst
    • Dienststellenleitung
    • sonstige Zugriffsberechtigte
  6. Abwägung der mit der Videoüberwachung verfolgten Ziele und den damit verbundenen Gefahren für die Rechte der Betroffenen
    6.1 Allgemeines
    1. Welche alternativen Maßnahmen zur Videoüberwachung wurden geprüft?
    2. Welche Interessen von Betroffenen können tangiert sein?
    3. Wie ist sichergestellt, dass die Videoüberwachung nicht höchstpersönliche Bereiche oder den Intimbereich der Betroffenen erfasst?
    6.2 Videobeobachtung
    1. Welche Gründe rechtfertigen den Einsatz der Videobeobachtung?
    2. Sind Anhaltspunkte für ein Überwiegen der Interessen der Betroffenen ausgeschlossen?
    3. Wie werden die Interessen der Betroffenen wirksam geschützt (bitte Maßnahmenpaket beschreiben)?
    6.3 Videoaufzeichnung
    1. Welche Rechtsgüter sollen geschützt werden?
    2. Warum kann der verfolgte Zweck durch eine bloße Videobeobachtung nicht erreicht werden?
    3. Welche Vorkommnisse in der Vergangenheit geben Anlass für eine Videoaufzeichnung (gegebenenfalls Nachweise als Anlage beifügen)?
    4. Welche Tatsachen rechtfertigen die Annahme, dass an dieser Stelle in Zukunft mit einer Verletzung von Rechtsgütern zu rechnen ist?
    5. Sind Anhaltspunkte für ein Überwiegen der Interessen der Betroffenen ausgeschlossen?
    6. Wie lange werden die Daten gespeichert?
    7. Welche schutzwürdigen Interessen können einer Speicherung für den festgelegten Zeitraum entgegenstehen?
    8. Wie ist sichergestellt, dass die Löschung nach § 7 Absatz 5 DSG-EKD5# spätestens innerhalb einer Woche stattfindet?
    9. Wie ist eine vorzeitige Löschung im Einzelfall sichergestellt?
    10. Wie ist der Zugriff auf die Videoaufzeichnungen geregelt und wie wird er dokumentiert?
    6.4 Verfahren zur weiteren Verarbeitung und betroffene Rechtsgüter (Zweckbindung)
    • Zweck, für den sie erhoben wurden
    • Verfolgung von Straftaten
    • Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person
    • Abwehr von Gefahren für bedeutende Sach- oder Vermögenswerte
    6.5 Gründe für die weitere Erforderlichkeit der Videoüberwachung nach Ablauf von zwei Jahren (§ 7a Absatz 8 DSG-EKD)
  7. Technische und organisatorische Schutzmaßnahmen (§ 7a Absatz 6 DSG-EKD)
    Folgende Maßnahmen wurden getroffen, um zu gewährleisten, dass:
    • nur Befugte die durch Videoüberwachung erhobenen Daten zur Kenntnis nehmen können (Vertraulichkeit),
    • die durch Videoüberwachung erhobenen Daten bei der Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben (Integrität),
    • die durch Videoüberwachung erhobenen Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
    • die durch Videoüberwachung erhobenen Daten ihrem Ursprung zugeordnet werden können (Authentizität),
    • festgestellt werden kann, wer wann welche durch Videoüberwachung erhobenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit).
  8. Art der Geräte, Standort und Überwachungsbereich
    8.1 Art der Geräte (Hersteller, Typenbezeichnung, besondere Leistungsmerkmale), z. B.
    • Kamera
    • Aufnahmegerät
    • Kodierer (Encoder)
    • Monitor
    • Kreuzschiene (Umschaltbox)
    • Drucker
    • weitere Geräte
    • Netz: Darstellung der Netzverbindungen (z. B. Funk-, Kabelverbindung) und der Einbindung in vorhandene Netze und deren Schnittstellen
    8.2 Standort der Geräte (Beschreibung der Installationsorte der Kameras und sonstiger eingesetzter Systemkomponenten)
    8.3 Räumlicher Überwachungsbereich (bildliche Darstellung des Überwachungsbereiches: bei mechanischer oder digitaler Schwenk-/Neige-/Zoom-Funktion u. Ä. Darstellung der maximalen Werte: Erfassungswinkel, Zoom etc.)
  9. Art der Überwachung
    • Videobeobachtung ohne Aufzeichnung
      („verlängertes Auge“ des Aufsichts- bzw. Sicherheitspersonals)
    • Videobeobachtung mit anlassbezogener Aufzeichnungsmöglichkeit
      („verlängertes Auge mit Gedächtnis im Einzelfall“)
    • Videobeobachtung mit Aufzeichnung
      („verlängertes Auge“ mit durchgehender Aufzeichnung von Bilddaten im Hintergrundsystem)
    • Videobeobachtung ohne Beobachtung über Livemonitor
      („Black-Box-Verfahren“)
    • Videoaufzeichnung mit nachgehender Auswertung
  10. Dauer der Überwachung
    • während der Dienst- bzw. Publikumszeiten
    • außerhalb der Dienst- bzw. Publikumszeiten
    • täglich in der Zeit von ___ bis ___ Uhr
    • 24 Stunden
    • sonstige Beobachtungs- bzw. Aufnahmezeiten
#

Anlage 36#

###
Vereinbarung über die Verarbeitung
personenbezogener Daten im Auftrag
gemäß § 11 EKD-Datenschutzgesetz (DSG-EKD)
(Auftragsdatenverarbeitung – ADV)
zwischen
………………………………………………………
(Name der beauftragenden kirchlichen Stelle)
– nachfolgend „Auftraggeber“ genannt –
und
…………………………………………………………
(Name des beauftragten Dienstleisters)
– nachfolgend „Auftragnehmer“ genannt –
#

Präambel

Die vorliegende Vereinbarung – im Folgenden „ADV“ genannt – konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien aus § 11 DSG-EKD, die sich aus der Auftragsdatenverarbeitung basierend auf dem Vertrag vom … (nachstehend „Hauptvertrag“ genannt) ergeben.
Der Inhalt der ADV bezieht sich auf den Umgang mit personenbezogenen Daten (im Folgenden „Daten“ genannt), die der Auftraggeber an den Auftragnehmer übergibt bzw. die im Auftrag des Auftraggebers erhoben, verarbeitet oder genutzt werden. Die ADV gilt für alle Tätigkeiten und Anwendungen, bei denen Mitarbeitende des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit diesen personenbezogenen Daten in Berührung kommen können. Für rechtliche hier nicht näher definierte Begriffe oder Ausdrücke gelten die maßgeblichen gesetzlichen Definitionen des EKD-Datenschutzgesetzes (DSG-EKD).
#

§ 1
Gegenstand und Dauer des Auftrags

( 1 ) Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach dessen Weisung:
…………………………………………………………
( 2 ) 1 Diese ADV gilt ab dem ……….. 2 Sie endet nach der Beendigung des Hauptvertrages mit der Übergabe oder der Vernichtung aller personenbezogenen Daten des Auftraggebers gemäß § 10 dieser Vereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
#

§ 2
Konkretisierung des Auftragsinhalts

( 1 ) Der Auftraggeber bleibt verantwortliche Stelle gemäß § 11 Absatz 1 Satz 1 DSG-EKD.
( 2 ) Der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten, die Art der Daten und der Kreis der Betroffenen wird wie folgt festgelegt:
  1. Gegenstand der Erhebung, Verarbeitung oder Nutzung von Daten (dazu gehören auch neu entstehende Daten) durch den Auftragnehmer sind folgende Datenarten bzw. -kategorien:
    ………………………………………
  2. Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch den Auftragnehmer für den Auftraggeber sind in den folgenden Dokumenten näher beschrieben:
    ………………………………………
    bzw. werden wie folgt näher beschrieben:
    ………………………………………
  3. Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst:
    ………………………………………
#

§ 3
Technische und organisatorische Maßnahmen

( 1 ) 1 Die Erhebung, Verarbeitung oder Nutzung von Daten durch den Auftragnehmer findet nur auf Datenverarbeitungsanlagen statt, für die technische und organisatorische Maßnahmen zum Schutz der Daten getroffen wurden. 2 In diesem Zusammenhang verpflichtet sich der Auftragnehmer, auf seine Kosten alle Maßnahmen gemäß der Anlage zu § 9 Absatz 1 DSG-EKD zu treffen, die für die Erfüllung des in § 1 beschriebenen Auftrages erforderlich sind.
( 2 ) 1 Die in diesem Sinne derzeit erforderlichen und vom Auftragnehmer getroffenen Maßnahmen werden von diesem in einer Anlage zu dieser Vereinbarung als verbindlich festgelegt. 2 Soweit diese aus Sicht des Auftragnehmers durch technischen Fortschritt unwirtschaftlich geworden sind oder keinen zeitgemäßen Schutz mehr bieten, benachrichtigt der Auftragnehmer den Auftraggeber. 3 Es ist dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. 4 Der Auftraggeber ist berechtigt, Anpassungen der Sicherheitsmaßnahmen durch den Auftragnehmer zu veranlassen. 5 Die erforderlichen Anpassungsmaßnahmen dürfen das bisherige Sicherheitsniveau nicht unterschreiten. 6 Wesentliche Änderungen sind zu dokumentieren und werden dem Auftraggeber ohne gesonderte Aufforderung mitgeteilt. 7 Der Auftragnehmer hat auf Anforderung dem Auftraggeber die Angaben nach § 21a DSG-EKD zur Verfügung zu stellen.
( 3 ) 1 Verarbeitet der Auftragnehmer auch andere Daten als solche des Auftraggebers, garantiert der Auftragnehmer, dass diese Daten durch technische und organisatorische Maßnahmen von den Daten des Auftraggebers getrennt sind und bleiben.
#

§ 4
Berichtigung, Sperrung und Löschung von Daten

( 1 ) 1 Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. 2 Die Pflichten des Auftragnehmers nach § 10 bleiben unberührt.
( 2 ) 1 Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. 2 Auskünfte an Dritte und an Betroffene darf der Auftragnehmer nur nach vorheriger Zustimmung seitens des Auftraggebers erteilen.
( 3 ) Ist der Auftraggeber gegenüber einem Betroffenen verpflichtet, diesem Auskünfte zur Auftragsdatenverarbeitung zu erteilen, wird der Auftragnehmer auf eigene Kosten den Auftraggeber bei der Ermittlung der zu diesem Zweck benötigten Informationen unterstützen.
#

§ 5
Kontrollen und sonstige Pflichten des Auftragnehmers

( 1 ) 1 Der Auftragnehmer stellt in seinem Verantwortungsbereich die Einhaltung der Vorschriften des EKD-Datenschutzgesetzes, ergänzender Bestimmungen der Evangelisch-Lutherischen Kirche in Norddeutschland sowie anderer anwendbarer Vorschriften über den Datenschutz sicher. 2 Der Auftragnehmer überwacht fortlaufend die Einhaltung datenschutzrechtlicher Vorschriften durch die eingesetzten Beschäftigten und sonstigen Personen. 3 Der Auftragnehmer verpflichtet sich, das Datengeheimnis nach § 6 DSG-EKD zu wahren. 4 Der Auftragnehmer setzt für die Datenverarbeitung nur solche Beschäftigten oder sonstigen Personen ein, die gemäß § 6 DSG-EKD unter Hinweis auf die möglichen Folgen auf das Datengeheimnis schriftlich verpflichtet und mit den kirchlichen Datenschutzvorschriften vertraut gemacht worden sind. 5 Auf Verlangen des Auftraggebers wird der Auftragnehmer die Verpflichtung der Beschäftigten und sonstigen Personen gemäß § 6 DSG-EKD dem Auftraggeber nachweisen.
( 2 ) 1 Der Auftragnehmer verwendet die Daten für keine anderen als die in dieser ADV festgelegten Zwecke. 2 Der Auftragnehmer verpflichtet sich, dass die Inhalte, die ihm anlässlich der Auftragsdatenverarbeitung zur Kenntnis gelangt sind, sowie die Arbeitsergebnisse keinem Unbefugten zur Kenntnis gelangen. 3 Diese Verpflichtung besteht auch nach Beendigung des Vertrags fort. 4 Kopien und Duplikate werden nur mit Zustimmung des Auftraggebers erstellt. 5 Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten durch den Auftragnehmer erforderlich sind, dürfen erstellt werden.
( 3 ) 1 Der Auftragnehmer ist verpflichtet, Kontrollen durch regelmäßige Prüfungen im Hinblick auf die Vertragsausführung bzw. Vertragserfüllung durchzuführen. 2 Dazu gehören auch technische und organisatorische Maßnahmen nach § 3 dieser ADV. 3 Das Ergebnis der Prüfung ist zu protokollieren. 4 Dem Auftraggeber sind die Prüfprotokolle auf Verlangen unverzüglich vorzulegen.
( 4 ) 1 Der Auftragnehmer unterstellt sich der Kontrolle der oder des Beauftragten für den Datenschutz der Evangelisch-Lutherischen Kirche in Norddeutschland. 2 Diese oder dieser nimmt insbesondere die Aufgaben und Rechte nach § 19 DSG-EKD und § 20 DSG-EKD unmittelbar gegenüber dem Auftragnehmer wahr.
( 5 ) Ist der Auftraggeber verpflichtet, Auskünfte über die Verarbeitung von Daten zu geben, so wird der Auftragnehmer ihn darin unterstützen.
( 6 ) 1 Die Datenverarbeitung durch den Auftragnehmer findet im Gebiet der Bundesrepublik Deutschland statt. 2 Jede Verlagerung der Datenverarbeitung in einen anderen Mitgliedsstaat der Europäischen Union bedarf der vorherigen schriftlichen Einwilligung durch den Auftraggeber. 3 Dem Auftraggeber steht für den Fall der Verlagerung der Datenverarbeitung in ein anderes Land ein Recht zur außerordentlichen Kündigung des Hauptvertrages zu. 4 Der Auftragnehmer hat die konkreten Orte der Leistungserbringung stets aktuell zu dokumentieren und auf Verlangen des Auftraggebers nachzuweisen.
( 7 ) 1 Der Auftraggeber kann jederzeit während des Bestehens des Vertragsverhältnisses schriftlich die Daten herausverlangen. 2 Soweit die Daten auf einem Speichermedium herausgegeben werden, ist der Schutz der Daten durch technische und organisatorische Maßnahmen sicherzustellen.
( 8 ) 1 Die Verarbeitung von Daten in Privatwohnungen ist grundsätzlich nicht zulässig. 2 Ausnahmen bedürfen der vorherigen schriftlichen Einwilligung des Auftraggebers. 3 Für den jeweiligen Einzelfall sind die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der Daten festzulegen. 4 Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung durch den Auftraggeber oder die Beauftragte für den Datenschutz der Evangelisch-Lutherischen Kirche in Norddeutschland oder den Beauftragten für den Datenschutz der Evangelisch-Lutherischen Kirche in Norddeutschland vorher mit dem Auftragnehmer abzustimmen. 5 Der Auftragnehmer sichert zu, dass auch die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.
( 9 ) 1 Der Auftragnehmer bestätigt, dass er einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten bestellt hat und verpflichtet sich, die Bestellung eines betrieblichen Datenschutzbeauftragten während der Dauer des Vertrages aufrechtzuhalten, auch wenn die gesetzlichen Voraussetzungen für eine Bestellpflicht entfallen sollten. 2 Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit. 3 Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten ist unverzüglich schriftlich mitzuteilen.
#

§ 6
Unterauftragsverhältnisse

( 1 ) Der Auftragnehmer erbringt die nachfolgend aufgeführten Leistungen ausschließlich durch folgende Unterauftragnehmer:
…………………………………………
( 2 ) 1 Die Verträge des Auftragnehmers mit seinen Unterauftragnehmern sind derart gestaltet, dass sie den Anforderungen der jeweils anwendbaren gesetzlichen Bestimmungen über den Datenschutz genügen und dass die Unterauftragnehmer unmittelbar gegenüber dem Auftraggeber dieselben Verpflichtungen übernehmen, die dem Auftragnehmer gemäß dieser ADV obliegen. 2 Der Auftragnehmer haftet für das Handeln von Unterauftragnehmern wie für eigenes Handeln. 3 Die Verträge sind auf Wunsch dem Auftraggeber in Kopie zu übergeben. 4 Die mit den Unterauftragnehmern ausgehandelten Preise können geschwärzt werden.
( 3 ) 1 Der Abschluss von neuen Verträgen mit den aufgezählten oder anderen Unterauftragnehmern bedarf der vorherigen schriftlichen Einwilligung des Auftraggebers. 2 Holt der Auftragnehmer die erforderliche vorherige Einwilligung des Auftraggebers nicht ein und schließt gleichwohl einen neuen Vertrag mit einem Unterauftragnehmer, berechtigt dies den Auftraggeber zur außerordentlichen Kündigung des Hauptvertrages mit dem Auftragnehmer.
( 4 ) 1 Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. 2 Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungspersonal oder Wirtschaftsprüfung. 3 Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
#

§ 7
Kontrollrechte des Auftraggebers

( 1 ) 1 Der Auftraggeber hat das Recht, die nach § 11 Absatz 3 Satz 3 DSG-EKD vorgesehene Überprüfung sowie die in Nummer 6 der Anlage zu § 9 Absatz 1 Satz 1 DSG-EKD vorgesehene Auftragskontrolle durchzuführen oder durch im Einzelfall zu benennende Personen durchführen zu lassen. 2 Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. 3 Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.
( 2 ) 1 Im Hinblick auf die Kontrollverpflichtungen des Auftraggebers nach § 11 Absatz 3 Satz 3 DSG-EKD und im Wege der Vorabkontrolle nach § 21 Absatz 3 DSG-EKD stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. 2 Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß § 3 dieses Vertrages nach. 3 Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen erbracht werden.
( 3 ) Die Prüfungs-, Zutritts- und Auskunftsrechte stehen auch der oder dem Beauftragten für den Datenschutz der Evangelisch-Lutherischen Kirche in Norddeutschland zu.
#

§ 8
Informations- und Unterstützungspflichten des Auftragnehmers

( 1 ) 1 Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich zu benachrichtigen, wenn der Verdacht besteht, dass der Auftragnehmer, seine Unterauftragnehmer oder die bei ihm oder seinen Unterauftragnehmern beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder gegen die in dieser ADV getroffenen Festlegungen verstoßen haben bzw. verstoßen. 2 Die Informationsverpflichtung des Auftragnehmers besteht auch bei schwerwiegenden Betriebsstörungen, bei Verstößen gegen die in dieser Vereinbarung getroffenen Festlegungen (dazu gehören auch vertragsrelevante technische oder organisatorische Störungen) oder anderen Unregelmäßigkeiten bei der Erhebung, Verarbeitung und Nutzung der Daten im Auftrag des Auftraggebers. 3 Im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von Daten durch Dritte behält sich der Auftraggeber das Recht vor, die Betroffenen und Dritte zu benachrichtigen. 4 In diesem Fall informiert der Auftragnehmer unverzüglich den Auftraggeber und unterstützt ihn kostenfrei bei der Erfüllung derartiger Benachrichtigungen. 5 Der Auftragnehmer hat in diesen Fällen angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. 6 Der Auftraggeber ist über die getroffenen Maßnahmen zu informieren.
( 2 ) Über Maßnahmen von Strafverfolgungsorganen wird der Auftragnehmer den Auftraggeber unaufgefordert unverzüglich in Kenntnis setzen, sofern hierdurch die Datenverarbeitung für den Auftraggeber betroffen ist oder sein kann.
( 3 ) Über Kontrollen und Maßnahmen der staatlichen Aufsichtsbehörden nach § 38 BDSG oder der oder des Beauftragten für den Datenschutz der Evangelisch-Lutherischen Kirche in Norddeutschland wird der Auftragnehmer den Auftraggeber unaufgefordert unverzüglich in Kenntnis setzen, sofern hierdurch die Datenverarbeitung für den Auftraggeber betroffen ist.
#

§ 9
Weisungsbefugnis des Auftraggebers

( 1 ) 1 Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. 2 Der Auftraggeber behält sich im Rahmen der in dieser ADV getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. 3 Der Auftragnehmer wird die Weisungen des Auftraggebers beachten und befolgen und einer ihm angemessenen Nachkontrolle auf Richtigkeit und Plausibilität unterziehen. 4 Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren.
( 2 ) Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder in Textform (§ 126b BGB) bestätigen.
( 3 ) 1 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften oder gegen diese ADV. 2 Der Auftragnehmer ist berechtigt, die Durchführung einer Weisung, die seiner Meinung nach gegen datenschutzrechtliche Vorschriften verstößt, so lange auszusetzen, bis diese durch den Weisungsberechtigten beim Auftraggeber bestätigt oder geändert wird. 3 Über seine Bedenken hat er den Auftraggeber unverzüglich zu informieren.
( 4 ) 1 Zur Erteilung von Weisungen betreffend die Auftragsdatenverarbeitung sind aufseiten des Auftraggebers folgende Personen berechtigt:
…………………………………………………
2 Zum Empfang von Weisungen betreffend die Auftragsdatenverarbeitung sind aufseiten des Auftragnehmers ausschließlich folgende Personen berechtigt:
…………………………………………………
3 Jede Partei ist berechtigt, die Benennung der berechtigten Personen jederzeit durch schriftlich Mitteilung gegenüber der jeweils anderen Partei mit einer Ankündigungsfrist von zwei Wochen zu ändern. 4 Bei einem Wechsel oder einer dauerhaften Verhinderung einer benannten Person ist dies der anderen Partei unverzüglich schriftlich unter Benennung eines Vertreters mitzuteilen.
#

§ 10
Löschung von Daten und Rückgabe von Datenträgern, Dokumentation

( 1 ) 1 Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber, spätestens jedoch mit der Beendigung des Hauptvertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Einwilligung datenschutzgerecht zu vernichten. 2 Gleiches gilt für Vervielfältigungen der Auftraggeber-Daten (insbesondere Archivierungs- und Sicherungsdateien) in allen Systemen des Auftragnehmers sowie für Test- und Ausschussmaterial. 3 Die Löschung der Daten ist zu protokollieren, und das Protokoll der Löschung ist dem Auftraggeber auf Anforderung vorzulegen.
( 2 ) 1 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind vom Auftragnehmer entsprechend den jeweiligen gesetzlichen oder zwischen den Parteien vereinbarten Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. 2 Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
#

§ 11
Formklausel

Änderungen und Ergänzungen dieser ADV, der mit Bezug hierauf zwischen den Parteien getroffenen weiteren Vereinbarungen sowie alle unmittelbar den Inhalt oder den Umfang der von den Parteien unter diesem Vertrag geschuldeten Leistungen ändernden oder sonst beeinflussenden Erklärungen bedürfen zu ihrer Wirksamkeit der Schriftform.
#

§ 12
Haftung

1 Entstehen dem Auftraggeber oder einem Dritten durch Fehler in der Auftragsdatenverarbeitung oder durch den Einsatz fehlerhafter Hard- oder Software hierbei Schäden, so hat der Auftragnehmer dem Auftraggeber seine Schäden zu ersetzen und ihn von Schadensersatzansprüchen Dritter freizustellen. 2 Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.
#

§ 13
Salvatorische Klausel mit Ersetzungsklausel

1 Sollte eine der Regelungen dieser ADV oder einer mit Bezug hierauf geschlossenen weiteren Vereinbarung unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Regelungen nicht. 2 An die Stelle der unwirksamen oder undurchführbaren Regelung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der Zielsetzung am nächsten kommen, die die Parteien mit den unwirksamen bzw. undurchführbaren Regelungen verfolgt haben. 3 Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich der Vertrag als lückenhaft erweist.
Für den Auftraggeber:
Für den Auftragnehmer:
……………………………….
……………………………….
(Ort, Datum)
(Ort, Datum)
……………………………….
……………………………….
(Unterschriften mit Amts- bzw. Funktionsbezeichnungen)
(Unterschriften mit Amts- bzw. Funktionsbezeichnungen)
#

Anlage 47#

###
Bestellung
einer bzw. eines Betriebsbeauftragten
einer bzw. eines örtlich Beauftragten
für den Datenschutz
Frau/Herr ______________________________
wird mit Wirkung vom _____________________
für ____________________________________
(Name und Adresse der kirchlichen Körperschaft oder zugeordneten Einrichtung [„kirchliche Stelle“] für die diese Beauftragung gilt, bei gemeinsamen Betriebs- oder örtlich Beauftragten sind alle beteiligten kirchlichen Stellen aufzuführen)
  • zur bzw. zum Betriebsbeauftragten für den Datenschutz
    (Dienste, Werke und Einrichtungen mit eigener Rechtspersönlichkeit, z. B. diakonische Einrichtungen als e. V. oder GmbH, kirchliche Stiftungen)
  • als Vertretung der oder des Betriebsbeauftragten für den Datenschutz
  • zur bzw. zum örtlich Beauftragten für den Datenschutz
    (kirchliche Körperschaften, z. B. Kirchengemeinde, Kirchenkreis)
  • als Vertretung der oder des örtlich Beauftragten für den Datenschutz bestellt.
Die Bestellung erfolgt
  • auf unbestimmte Zeit
  • zeitlich befristet bis zum ____________________
Ihre Aufgaben ergeben sich aus dem kirchlichen Datenschutzrecht und werden in dem ausgehändigten Merkblatt für Betriebs- und örtlich Beauftragte für den Datenschutz näher beschrieben. Im Rahmen dieser Aufgaben sind Sie weisungsfrei und dürfen nicht benachteiligt werden (§ 22 Absatz 3 EKD-Datenschutzgesetz).
Als Beauftragte für den Datenschutz sind Sie unmittelbar unterstellt:
_______________________________________
(Bezeichnung des gesetzlich oder verfassungsmäßig berufenen Organs bzw. bei gemeinsamen Beauftragten sind die Organe für alle beteiligten kirchlichen Stellen aufzuführen)
_______________________________________
Ort, Datum, Unterschrift (Vertreter bzw. Vertreterin des Organs)
Empfangsbestätigung
Mit meiner Bestellung zur bzw. zum Betriebsbeauftragten bzw. örtlich Beauftragten für den Datenschutz bin ich einverstanden. Das Schreiben zur Bestellung sowie ein Exemplar des Merkblatts für Betriebs- und örtlich Beauftragte für den Datenschutz habe ich erhalten.
_______________________________________
(Ort, Datum, Unterschrift der bestellten Person)
  • Exemplar an Mitarbeiterin bzw. Mitarbeiter
  • Exemplar zur Personalakte
  • Exemplar an die Datenschutzbeauftragte bzw. den Datenschutzbeauftragten der Evangelisch-Lutherischen Kirche in Norddeutschland (§ 11 DSDVO)
  • Exemplar an die aufsichtführende Stelle (§ 9 Absatz 3 DSDVO)
    (bei Betriebsbeauftragten: jeweiliges Diakonisches Werk
    bei örtlichen Beauftragten: jeweiliger Kirchenkreisrat bzw. Landeskirchenamt bzw. Kirchenleitung)
  • Die Bestellung ist den Beschäftigten der beteiligten kirchlichen Stellen in geeigneter Weise bekannt zu geben.

#
1 ↑ Red. Anm.: Der einstige § 14 der Datenschutzdurchführungsverordnung wurde gemäß Nummer 16 der Rechtsverordnung zur Anpassung des Datenschutzrechts vom 2. Juni 2018 (KABl. S. 282) zu § 19 und neu gefasst.
#
2 ↑ Red. Anm.: Die Verwaltungsvorschrift trat am 2. Juli 2017 in Kraft.
#
3 ↑ Red. Anm.: Der Mustertext wird durch die kirchliche Aufsichtsbehörde für den Datenschutz regelmäßig überarbeitet und in der jeweils aktuellen Fassung auf der Internet-Seite www.datenschutz-nordkirche.de bekanntgegeben, vgl. Nummer 2 dieser Verwaltungsvorschrift und § 19 der Datenschutzdurchführungsverordnung vom 5. April 2017 (KABl. S. 221).
#
4 ↑ Red. Anm.: Der Mustertext wird durch die kirchliche Aufsichtsbehörde für den Datenschutz regelmäßig überarbeitet und in der jeweils aktuellen Fassung auf der Internet-Seite www.datenschutz-nordkirche.de bekanntgegeben, vgl. § 19 der Datenschutzdurchführungsverordnung vom 5. April 2017 (KABl. S. 221).
#
5 ↑ Red. Anm.: Es muss lauten § 7a Absatz 5 DSG-EKD.
#
6 ↑ Red. Anm.: Der Mustertext wird durch die kirchliche Aufsichtsbehörde für den Datenschutz regelmäßig überarbeitet und in der jeweils aktuellen Fassung auf der Internet-Seite www.datenschutz-nordkirche.de bekanntgegeben, vgl. § 19 der Datenschutzdurchführungsverordnung vom 5. April 2017 (KABl. S. 221).
#
7 ↑ Red. Anm.: Der Mustertext wird durch die kirchliche Aufsichtsbehörde für den Datenschutz regelmäßig überarbeitet und in der jeweils aktuellen Fassung auf der Internet-Seite www.datenschutz-nordkirche.de bekanntgegeben, vgl. Nummer 2 dieser Verwaltungsvorschrift und § 19 der Datenschutzdurchführungsverordnung vom 5. April 2017 (KABl. S. 221).