.

Geltungszeitraum von: 02.10.2007

Geltungszeitraum bis: 30.09.2023

Rechtsverordnung
der Nordelbischen Evangelisch-Lutherischen Kirche
zur Durchführung und Ergänzung des
Kirchengesetzes über den Datenschutz
der Evangelischen Kirche in Deutschland
(Datenschutzverordnung – DSVO NEK)1#

Vom 27. August 2007

(GVOBl. S. 226)

Änderungen
Lfd.
Nr.:
Änderndes Recht
Datum
Fund- stelle
Geänderte
Paragrafen
Art der
Änderung
1
Rechtsverordnung zur Änderung der Datenschutzverordnung
2. Dezember 2008
Inhaltsübersicht neuer Abschnitt 8
eingefügt
bish. Abschnitt 8
wird Abschnitt 9 mit neuen Paragrafen-bezeichnungen
Abschnittsbezeichnung nach § 41
eingefügt
§§ 42 bis 45
eingefügt
bish. Abschnittsbezeichnung 8
wird neu nummeriert
bish. §§ 42 und 43
werden §§ 46 und 47
2
Rechtsverordnung zur Durchführung des EKD-Datenschutzgesetzes (Datenschutzdurchführungsverordnung – DSDVO)
5. April 2017
§§ 1 bis 14, § 46; Anlagen 1 bis 8
aufgehoben
3
Rechtsverordnung über die Benutzung kirchlichen Archivguts in der Evangelisch- Lutherischen Kirche in Norddeutschland (Archivbenutzungsordnung – ArchBenO)
17. Januar 2018
§ 35
aufgehoben
4
Artikel 3 der Rechtsverordnung zur Anpassung des Datenschutzrechts
2. Juni 2018
§§ 15 bis 18
aufgehoben
§§ 22 bis 34
aufgehoben
Die Kirchenleitung hat aufgrund von § 27 Absatz 2 des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland vom 12. November 1993 (GVOBl. 1994 S. 35), geändert durch das Kirchengesetz vom 7. November 2002 (Bekanntmachung in der ab 1. Januar 2003 geltenden Fassung vom 20. Februar 2003 und vom 7. April 2003, GVOBl. S. 74 und 117) in Verbindung mit Artikel 3 des Kirchengesetzes über die Zustimmung zum Kirchengesetz der Evangelischen Kirche in Deutschland über den Datenschutz vom 27. Mai 1978 (GVOBl. S. 253) und in Verbindung mit Artikel 81 Absatz 3 der Verfassung die folgende Rechtsverordnung erlassen:

Inhaltsübersicht2#

1.
Ergänzende Durchführungsvorschriften zum Datenschutzgesetz der EKD
§ 1
Geltungsbereich
§ 2
Führung der Übersicht über die kirchlichen Werke und Einrichtungen mit eigener Rechtspersönlichkeit
§ 3
Seelsorgedaten
§ 4
Verpflichtung auf das Datengeheimnis
§ 5
Videoüberwachung
§ 6
Private Anlagen
§ 7
Genehmigung der Einrichtung automatisierter Abrufverfahren mit nichtkirchlichen Stellen
§ 8
Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten im Auftrag
§ 9
Einhaltung und Durchführung des Datenschutzes
§ 10
Übersicht über automatisierte Verarbeitungen und Meldepflicht
§ 11
Löschung
§ 12
Die oder der Datenschutzbeauftragte der Nordelbischen Ev.-Luth. Kirche
§ 13
Beanstandungen der oder des Datenschutzbeauftragten
§ 14
Betriebsbeauftragte und örtlich Beauftragte für den Datenschutz
2.
Gemeindeglieder- und Amtshandlungsdaten
§ 15
Gemeindegliederdaten
§ 16
Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten
3.
Verkündigungsdienste
§ 17
Theologiestudierende, Theologinnen und Theologen
§ 18
Ehrenamtlich Tätige
4.
Bildungswesen
Schülerinnen und Schüler sowie deren Sorgeberechtigte
Lehrerinnen und Lehrer
Bildungs-, Ausbildungs- und religionspädagogische Einrichtungen
§ 22
Tagungen und sonstige kirchliche Veranstaltungen
§ 23
Fachhochschule
5.
Kirchliche Abgaben, Finanzwesen, Grundstückswesen
§ 24
Steuergeheimnis, Steuerdaten
§ 25
Kirchenbeiträge
§ 26
Nutzung von Grundstücken und Gebäuden
§ 27
Wohnungsbewerberinnen und Wohnungsbewerber, Mietbeihilfen
§ 28
Kirchliche Friedhöfe
6.
Daten von Beschäftigten, Verzeichnisse über Personen und Dienste
§ 29
Dienstwohnungen
§ 30
Darlehen, Gehaltsvorschüsse, Unterstützungen
§ 31
Personenangaben im Dienstbetrieb, Bearbeitung von Beihilfeangelegenheiten
§ 32
Mitglieder von Gremien und Ausschüssen
§ 33
Verzeichnisse, Dienstliche Veröffentlichungen
§ 34
Versorgungskassen
§ 35
Archivwesen
7.
Diakonische Arbeitsbereiche
Einrichtungen der Kinder- und Jugendhilfe
Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen
Forschung, Krebsregister
Beratungsstellen
Sonstige diakonische Einrichtungen
Geltung weiterer Vorschriften, Sozialgeheimnis
8.
Fundraising
Erhebung, Verarbeitung und Nutzung personenbezogener Daten
Datenverarbeitung im Auftrag
Datenübermittlung an andere kirchliche Stellen
Automatische Verarbeitung personenbezogener Daten
9.
Schlussbestimmungen
§ 46
Anlagen
Inkrafttreten, Außerkrafttreten
Anlagen
– Anlage 1 zu § 4:
Muster „Verpflichtung auf das Datengeheimnis“
– Anlage 2 zu § 4:
Merkblatt „Datenschutz in der Nordelbischen Ev.-Luth. Kirche“
– Anlage 3 zu § 6:
Muster „Vertrag über die Nutzung einer privaten Datenverarbeitungsanlage zur Verarbeitung personenbezogener dienstlicher Daten“
– Anlage 4 zu § 8:
Muster „Vereinbarung über eine Datenverarbeitung im Auftrag“
– Anlage 5 zu § 10:
Muster „Übersicht über automatisierte Verarbeitungen“
– Anlage 6 zu § 10:
Merkblatt „Erläuterungen zur Übersicht über automatisierte Verarbeitungen“
– Anlage 7 zu § 14:
Muster „Bestellung von Betriebs- und örtlich Beauftragten für den Datenschutz“
– Anlage 8 zu § 14:
Merkblatt „Datenschutz in der kirchlichen Stelle unter Einbeziehung der Betriebs- und örtlich Beauftragten für den Datenschutz“
– Anlage 9 zu § 16:
Merkblatt „Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten“
– Anlage 10 zu § 16:
Muster „Einwilligungserklärung zur Veröffentlichung von Gemeindeglieder- und Amtshandlungsdaten im Internet“
#

1. Ergänzende Durchführungsvorschriften zum Datenschutzgesetz der EKD

###

§§ 1 - 14
(weggefallen)

#

2. Gemeindeglieder- und Amtshandlungsdaten

###

§§ 15 - 16
(weggefallen)

#

3. Verkündigungsdienste

###

§§ 17 - 18
(weggefallen)

#

4. Bildungswesen

###

§ 19
Schülerinnen und Schüler sowie deren Sorgeberechtigte

( 1 ) Schulen in kirchlicher und in diakonischer Trägerschaft dürfen personenbezogene Daten ihrer Schülerinnen und Schüler sowie deren Sorgeberechtigter erheben, verarbeiten und nutzen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist. Die zuständige kirchliche Stelle hat neben der Schule die Befugnisse nach Satz 1.
( 2 ) Daten nach Absatz 1 Satz 1 dürfen im Zusammenhang des Übergangs von Schülerinnen und Schülern in eine andere Schule dieser Schule oder dem Schulträger übermittelt werden.
( 3 ) Verhaltensdaten von Schülerinnen und Schülern, Daten über gesundheitliche Auffälligkeiten und etwaige Behinderungen und Daten aus psychologischen und ärztlichen Untersuchungen dürfen nicht automatisiert verarbeitet werden. Daten über besondere pädagogische, soziale und therapeutische Maßnahmen und deren Ergebnisse dürfen nur erhoben und verarbeitet werden, soweit für Schülerinnen und Schüler eine besondere schulische Betreuung in Betracht kommt. Dies gilt auch für entsprechende außerschulische personenbezogene Daten, die der Schule amtlich bekannt geworden sind. Es ist durch technische und organisatorische Maßnahmen sicherzustellen, dass der Schutz der verarbeiteten personenbezogenen Daten gewährleistet ist und die Löschungsbestimmungen eingehalten werden.
( 4 ) Die in Absatz 1 Satz 1 genannten Daten dürfen einer kirchlichen Stelle sowie sonstigen Stellen außerhalb des kirchlichen Bereichs, insbesondere einer Schule, der Schulaufsichtsbehörde, dem Gesundheitsamt, dem Jugendamt, dem jeweiligen Jugendamt auf Länderebene, den Ämtern für Ausbildungsförderung und dem jeweiligen Amt für Ausbildungsförderung auf Länderebene nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden. Dem schulpsychologischen Dienst dürfen personenbezogene Daten nur mit Einwilligung der Betroffenen übermittelt werden.
( 5 ) Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten Datenverarbeitungsanlagen von Lehrerinnen und Lehrern für dienstliche Zwecke ist abweichend von § 6 zulässig, bedarf aber der schriftlichen Genehmigung durch die Schulleitung. Die Genehmigung darf nur erteilt werden, wenn die Verarbeitung der personenbezogenen Daten nach Art und Umfang für die Erfüllung der schulischen Aufgaben erforderlich ist und ein angemessener technischer Zugangsschutz nachgewiesen wird. Die Lehrerinnen und Lehrer sind verpflichtet, der Schulleitung sowie der oder dem jeweiligen Beauftragten für den Datenschutz alle Auskünfte zu erteilen, die für die datenschutzrechtliche Verantwortung erforderlich sind.
#

§ 20
Lehrerinnen und Lehrer

( 1 ) Schulen in kirchlicher und in diakonischer Trägerschaft dürfen von ihren Lehrkräften personenbezogene Daten erheben, verarbeiten und nutzen, soweit dies zur Aufgabenerfüllung, insbesondere bei der Unterrichtsorganisation sowie in dienstrechtlichen, arbeitsrechtlichen oder sozialen Angelegenheiten erforderlich ist.
( 2 ) Die in Absatz 1 genannten Daten dürfen kirchlichen Stellen, staatlichen Schulaufsichtsbehörden sowie weiteren Stellen außerhalb des kirchlichen Bereichs nur übermittelt werden, soweit sie von diesen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.
#

§ 21
Bildungs-, Ausbildungs- und religionspädagogische Einrichtungen

( 1 ) Bildungs-, Ausbildungs- und religionspädagogische Einrichtungen dürfen im Rahmen der von ihnen durchgeführten Maßnahmen personenbezogene Daten der Lehrenden und Teilnehmenden erheben, verarbeiten und nutzen, soweit dies zur Erfüllung ihrer Aufgaben erforderlich ist.
( 2 ) Die in Absatz 1 genannten personenbezogenen Daten dürfen für Zwecke der Aus-, Fort- und Weiterbildung an staatliche Schulaufsichtsbehörden, Schulen und andere kirchliche Stellen übermittelt werden, soweit dies zur Aufgabenerfüllung dieser Stellen erforderlich ist. Eine Veröffentlichung der personenbezogenen Daten bedarf der Einwilligung der Betroffenen.
( 3 ) Kirchliche Stellen dürfen den Ausbildungsstätten bei Anmeldung zu Studium und Prüfung sowie bei Zuweisung zum fachtheoretischen Unterricht personenbezogene Daten der Kircheninspektorenanwärterinnen und Kircheninspektorenanwärter übermitteln, soweit dies zur Aufgabenerfüllung der Ausbildungsstätten erforderlich ist; das Gleiche gilt hinsichtlich der für die praktische Ausbildung zuständigen Verwaltungsstellen und die Prüfungsämter für Verwaltungslaufbahnen. Für kirchliche Angestellte gilt Satz 1 entsprechend.
#

§§ 22 - 23
(weggefallen)

#

5. Kirchliche Abgaben, Finanzwesen, Grundstückswesen

###

§§ 24 - 28
(weggefallen)

#

6. Daten von Beschäftigten, Verzeichnisse über Personen und Dienste

###

§§ 29 - 35
(weggefallen)

#

7. Diakonische Arbeitsbereiche

###

§ 36
Einrichtungen der Kinder- und Jugendhilfe

( 1 ) Betreibt eine kirchliche Stelle eine Einrichtung der Jugendhilfe, insbesondere eine Tageseinrichtung für Kinder, und ist für den Betrieb durch den Leistungserbringer oder Träger die Erhebung, Verarbeitung, insbesondere Übermittlung, sowie Nutzung personenbezogener Daten erforderlich, sind die Vorschriften über den Schutz personenbezogener Daten des Sozialgesetzbuchs VIII entsprechend anzuwenden.
( 2 ) Tageseinrichtungen für Kinder dürfen personenbezogene Daten der Kinder und deren Sorgeberechtigter und der von diesen Beauftragten erheben, verarbeiten und nutzen, soweit dies zur Erfüllung des Auftrags der Tageseinrichtungen und ihrer Fürsorgeaufgaben erforderlich ist.
( 3 ) Personenbezogene Daten, die für die Festsetzung der Elternbeiträge erforderlich sind, dürfen die Träger ausschließlich zu diesem Zweck erheben, verarbeiten und nutzen. Die Daten nach Satz 1 sind bei den Betroffenen selbst zu erheben; sie dürfen nicht an andere Stellen übermittelt werden, es sei denn, eine kommunale Körperschaft benötigt sie zur Festsetzung oder Erhebung der Beiträge. Unterlagen dürfen nur in dem Umfang übermittelt werden, wie sie zur Festsetzung der Elternbeiträge erforderlich sind. Auf die Pflicht zur Auskunft für die Berechnung, Übernahme und die Ermittlung oder den Erlass von Teilnahme- oder Kostenbeiträgen nach dem Sozialgesetzbuch VIII soll hingewiesen werden.
( 4 ) Personenbezogene Daten der in den Einrichtungen nach Absatz 1 aufgenommenen Kinder dürfen mit Einverständnis der Sorgeberechtigten erhoben und durch den Träger oder die von ihm beauftragten Stellen verarbeitet und genutzt werden, sofern dies für Zwecke der Gemeindearbeit erforderlich ist. Das Gleiche gilt für Zwecke des öffentlichen Schulwesens nach Maßgabe der hierfür geltenden Bestimmungen.
#

§ 37
Krankenhäuser, Vorsorge- und Rehabilitationseinrichtungen

( 1 ) Daten von Patientinnen und Patienten (Patientendaten) dürfen in kirchlichen Krankenhäusern, Vorsorge- oder Rehabilitationseinrichtungen erhoben, verarbeitet und genutzt werden, soweit
  1. dies im Rahmen des Behandlungsverhältnisses einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreites erforderlich ist oder
  2. eine staatliche oder kirchliche Rechtsvorschrift dies vorsieht oder
  3. die oder der Betroffene schriftlich eingewilligt hat.
Zu den Patientendaten zählen auch personenbezogene Daten Dritter, die dem Krankenhaus, der Vorsorge- oder Rehabilitationseinrichtung im Zusammenhang mit der Behandlung und Pflege bekannt werden.
( 2 ) Für die Qualitätssicherung einschließlich Leistungsauswertung und -entwicklung im Krankenhaus und die Aus-, Fort- oder Weiterbildung ist der Zugriff auf Patientendaten nur insofern zulässig, als diese Zwecke nicht mit anonymisierten Daten erreicht werden können.
( 3 ) Die Verarbeitung und Nutzung von Patientendaten durch den Sozialdienst und die Krankenhausseelsorge ist zulässig, soweit dies für die soziale Betreuung und zur Erfüllung seelsorgerlicher Aufgaben erforderlich ist.
( 4 ) An die Seelsorgerinnen und Seelsorger der für die Patientin oder den Patienten zuständigen Gemeinde dürfen zur Erfüllung seelsorgerlicher Aufgaben Name, Vorname, Geburtsdatum, Bekenntnisstand, Wohnsitz und Aufnahmedatum übermittelt werden, sofern die Patientin oder der Patient der Übermittlung nicht widersprochen hat oder keine Anhaltspunkte dafür bestehen, dass eine Übermittlung nicht angebracht ist. Zu der Ermittlung der zuständigen Gemeinde können die Daten nach Satz 1 an die für das kirchliche Meldewesen zuständige Stelle übermittelt und von dort an die Seelsorgerinnen und Seelsorger der für die Patientinnen und Patienten zuständigen Gemeinde weitergeleitet werden. Die Patientin oder der Patient ist bei der Aufnahme darauf hinzuweisen, dass der Übermittlung widersprochen werden kann.
( 5 ) Die Übermittlung von Patientendaten an Stellen und Personen außerhalb des Krankenhauses und deren Nutzung ist neben der Erfüllung von Pflichten aufgrund bestehender Rechtsvorschriften nur zulässig, soweit dies erforderlich ist zur
  1. Behandlung einschließlich der Mit-, Weiter- und Nachbehandlung, wenn die Patientin oder der Patient nach Hinweis auf die beabsichtigte Übermittlung nicht etwas Anderes bestimmt hat;
  2. Abwehr einer gegenwärtigen Gefahr für das Leben, die Gesundheit oder die persönliche Freiheit der Patientin oder des Patienten oder Dritter, sofern diese Rechtsgüter das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich überwiegen und die Abwendung der Gefahr ohne die Übermittlung nicht möglich ist;
  3. Abrechnung und Durchsetzung von Ansprüchen aufgrund der Behandlung, zur Überprüfung der Leistungserbringung sowie zur Rechnungsprüfung;
  4. Unterrichtung von Angehörigen, soweit es zur Wahrung ihrer berechtigten Interessen erforderlich ist, schutzwürdige Belange der Patientin oder des Patienten nicht beeinträchtigt werden und die Einholung der Einwilligung für die Patientin oder den Patienten gesundheitlich nachteilig wäre oder nicht möglich ist.
Im Übrigen ist eine Übermittlung nur mit Einwilligung der Patientin oder des Patienten zulässig.
Als Übermittlung gilt auch die Weitergabe der Patientendaten zwischen Behandlungseinrichtungen verschiedener Fachrichtungen in einem Krankenhaus (Fachabteilungen), sofern diese Fachabteilungen nicht unmittelbar mit Untersuchung oder Behandlung und Pflege befasst sind.
Die übermittelnde Stelle hat die Empfängerinnen oder Empfänger, die Art der übermittelten Daten und die betroffenen Patientinnen und Patienten aufzuzeichnen.
Die Daten empfangenden Stellen und Personen dürfen die übermittelten Patientendaten nur zu dem Zweck verwenden, zu dem sie ihnen übermittelt wurden, und haben sie in demselben Umfang geheim zu halten wie das Krankenhaus selbst.
( 6 ) Patientendaten sind unverzüglich zu löschen, wenn sie zur Erfüllung der Aufgaben, für die sie erhoben wurden, nicht mehr erforderlich sind, die vorgeschriebenen Aufbewahrungsfristen abgelaufen sind und kein Grund zu der Annahme besteht, dass durch die Löschung schutzwürdige Belange Betroffener beeinträchtigt werden.
Bei Daten, die im automatisierten Verfahren mit der Möglichkeit des Direktabrufs gespeichert sind, ist die Möglichkeit des Direktabrufs zu sperren, sobald die Behandlung der Patientin oder des Patienten im Krankenhaus oder der Vorsorge- oder Rehabilitationseinrichtung abgeschlossen, der Behandlungsbericht erstellt ist und die damit zusammenhängenden Zahlungsvorgänge abgewickelt sind, spätestens jedoch ein Jahr nach Abschluss der Behandlung der Patientin oder des Patienten.
( 7 ) Das Krankenhaus darf sich zur Verarbeitung der Patientendaten, zur Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen anderer Personen und Stellen nur dann bedienen, wenn die Einhaltung der geltenden Datenschutzbestimmungen und der Geheimhaltungspflichten nach § 203 StGB gewährleistet ist.
( 8 ) Das Krankenhaus soll die Auskunft nach § 15 DSG-EKD über die die Patientin oder den Patienten betreffenden ärztlichen Daten und die Einsicht in die Behandlungsdokumentation nur durch eine Ärztin oder einen Arzt vermitteln lassen. Ein Anspruch auf Auskunft oder Einsichtnahme steht der Patientin oder dem Patienten nicht zu, soweit berechtigte Geheimhaltungsinteressen Dritter, deren Daten zusammen mit denen der Patientin oder des Patienten aufgezeichnet sind, überwiegen.
#

§ 38
Forschung, Krebsregister

( 1 ) Die Verarbeitung der Patientendaten aus kirchlichen Krankenhäusern und anderen diakonischen Einrichtungen ist zu Zwecken der wissenschaftlichen Forschung nur zulässig, soweit die Patientin oder der Patient eingewilligt hat.
( 2 ) Ohne Einwilligung dürfen diese Daten für eigene wissenschaftliche Forschungsvorhaben nur von den bei den kirchlichen Stellen beschäftigten Personen, die der ärztlichen Schweigepflicht unterliegen, verarbeitet oder genutzt werden.
( 3 ) Ohne Einwilligung dürfen diese Daten zum Zwecke einer bestimmten wissenschaftlichen Forschung an Dritte übermittelt, durch diese verarbeitet oder genutzt werden, wenn der Zweck dieses Forschungsvorhabens nicht auf andere Weise erreicht werden kann und
  1. das berechtigte Interesse der Allgemeinheit an der Durchführung des Forschungsvorhabens das Geheimhaltungsinteresse der Patientin oder des Patienten erheblich überwiegt oder
  2. es entweder nicht möglich oder für die Patientin oder den Patienten aufgrund des derzeitigen Gesundheitszustandes nicht zumutbar ist, eine Einwilligung einzuholen.
Die übermittelnde Stelle hat die Empfängerinnen oder Empfänger, den Zweck des Forschungsvorhabens, die betroffenen Patientinnen und Patienten und die Art der übermittelten Daten aufzuzeichnen.
( 4 ) Sobald es der Forschungszweck gestattet, sind die personenbezogenen Daten zu anonymisieren oder zu pseudonymisieren. Merkmale, mit deren Hilfe ein Personenbezug wieder hergestellt werden kann, sind gesondert zu speichern; sie sind zu löschen, sobald der Forschungszweck es erlaubt.
( 5 ) Veröffentlichungen von Forschungsergebnissen dürfen keinen Rückschluss auf die Personen zulassen, deren Daten verarbeitet wurden, es sei denn, die Patientin oder der Patient hat in die Veröffentlichung ausdrücklich eingewilligt.
( 6 ) Soweit die Bestimmungen dieser Verordnung auf die empfangenden Stellen oder Personen keine Anwendung finden, dürfen Patientendaten nur übermittelt werden, wenn diese sich verpflichten
  1. die Daten nur für das von ihnen genannte Forschungsvorhaben zu verwenden,
  2. die Bestimmungen der Absätze 4 und 5 einzuhalten und
  3. der oder dem Beauftragten für den Datenschutz auf Verlangen Einsicht und Auskunft zu gewähren.
Die Empfängerinnen oder Empfänger müssen nachweisen, dass die technischen und organisatorischen Voraussetzungen zur Erfüllung der Verpflichtung nach Nummer 2 vorliegen.
( 7 ) Für die Erhebung und Übermittlung von Daten für das Krebsregister gelten die jeweiligen bundes- bzw. landesrechtlichen Regelungen entsprechend.
#

§ 39
Beratungsstellen

( 1 ) Kirchliche Beratungsstellen dürfen diejenigen personenbezogenen Daten erheben, verarbeiten und nutzen, die für die jeweils beantragte Beratung erforderlich sind.
( 2 ) Die personenbezogenen Daten Betroffener, insbesondere alle Einzelangaben über persönliche und sachliche Verhältnisse, über Familienangehörige und ihre Lebensverhältnisse werden bei der oder dem Betroffenen erhoben. Informationen von der oder dem Betroffenen über Dritte, die nicht zur Familie gehören, dürfen nicht mit Hilfe von Datenverarbeitungsprogrammen verarbeitet werden.
( 3 ) Die Daten nach Absatz 2 dürfen für Fallbesprechungen nur offenbart werden, wenn die oder der Betroffene eingewilligt hat. Bei Verweigerung der Einwilligung dürfen die Daten nur in anonymisierter Form offenbart werden.
( 4 ) Die Beratungsdokumentation mit den Daten nach Absatz 2, die persönlichen Aufzeichnungen, der Tätigkeitsnachweis der Beraterin oder des Beraters und die statistischen Unterlagen sind sicher aufzubewahren. Die regelmäßigen Aufbewahrungs-, Löschungs- und Vernichtungsfristen sind zu beachten.
( 5 ) Nach Ablauf der Aufbewahrungsfristen und wenn keine Haftungsansprüche aus der Beratungstätigkeit gegen die Beraterin oder den Berater anhängig sind, wird die Beratungsdokumentation – ohne ärztliche und sonstige Schweigepflichtentbindungen – dem zuständigen kirchlichen Archiv angeboten. Nicht übernommene Unterlagen werden vernichtet.
( 6 ) Die Verarbeitung und Nutzung der Daten nach Absatz 2 in nichtanonymisierter Form für Zwecke der wissenschaftlichen Forschung bedarf der Zustimmung der oder des Betroffenen.
#

§ 40
Sonstige diakonische Einrichtungen

( 1 ) Sonstige diakonische Einrichtungen dürfen personenbezogene Daten der von ihnen betreuten oder behandelten Personen, ihrer Angehörigen, Bevollmächtigten sowie ihrer rechtlichen Betreuerinnen und Betreuer erheben, verarbeiten und nutzen, soweit dies im Rahmen eines Behandlungs-, Betreuungs- oder sonstigen Vertragsverhältnisses einschließlich der verwaltungsmäßigen Abwicklung und Leistungsberechnung, zur Erfüllung der mit der Behandlung im Zusammenhang stehenden Dokumentationspflichten oder eines damit zusammenhängenden Rechtsstreites erforderlich ist.
( 2 ) Personenbezogene Daten nach Absatz 1 dürfen an kirchliche Stellen übermittelt werden, soweit dies für die verwaltungsmäßige Abwicklung und Leistungsberechnung erforderlich ist.
( 3 ) Für seelsorgerliche Aufgaben ist die Übermittlung von Name, Vorname, Anschrift, Geburtsdatum und Bekenntnisstand an die Seelsorgerin oder den Seelsorger der für die betreute oder behandelte Person zuständigen Gemeinde zulässig, sofern die betroffene Person der Übermittlung nicht widersprochen hat. Die oder der Betroffene ist bei Aufnahme des Behandlungs-, Betreuungs- oder sonstigen Vertragsverhältnisses darauf hinzuweisen, dass der Übermittlung widersprochen werden kann.
( 4 ) Die Übermittlung personenbezogener Daten betreuter oder behandelter Personen an Stellen und Personen außerhalb der diakonischen Einrichtung und deren Nutzung richtet sich nach § 37 Absatz 5.
( 5 ) Für die Datenverarbeitung im Auftrag sowie für die Fernwartung gilt § 37 Absatz 7 entsprechend.
#

§ 41
Geltung weiterer Vorschriften, Sozialgeheimnis

( 1 ) Neben den kirchlichen Datenschutzbestimmungen ist insbesondere § 203 des Strafgesetzbuches zu beachten. Auf die Erhebung, Verarbeitung, insbesondere Übermittlung, und Nutzung personenbezogener Daten in diakonischen Einrichtungen sind die jeweiligen Teile des Sozialgesetzbuches entsprechend anzuwenden, soweit in dieser Rechtsverordnung nichts anderes geregelt ist.
( 2 ) Die Mitarbeiterinnen und Mitarbeiter der kirchlichen Stellen, die mit Sozialdaten im Sinne des Sozialgesetzbuches umgehen, sind zusätzlich auf die Einhaltung des Sozialgeheimnisses nach den Vorschriften des Sozialgesetzbuches zu verpflichten.
#

8. Fundraising

###

§ 42
Erhebung, Verarbeitung und Nutzung personenbezogener Daten

( 1 ) Fundraising verbindet die Beziehungspflege mit dem Werben um persönlichen und finanziellen Einsatz für kirchliche und diakonische Zwecke und dient damit der Erfüllung des kirchlichen Auftrags.
( 2 ) Die kirchlichen Stellen gemäß § 1 Absatz 2 DSG-EKD dürfen für das Fundraising ihre im Gemeindegliederverzeichnis und in den Kirchenbüchern enthaltenen Daten von Gemeindegliedern und deren Familienangehörigen nutzen, soweit ein melderechtlicher Sperrvermerk oder Widerspruch (Teilnutzungssperre) dem nicht entgegensteht. § 15 bleibt unberührt.
( 3 ) Weitere Daten von Gemeindegliedern und deren Familienangehörigen dürfen von den zuständigen kirchlichen Stellen für das Fundraising erhoben, verarbeitet und genutzt werden, soweit dies für die Durchführung der Maßnahme erforderlich ist, insbesondere
  1. Name und Anschrift von Spenderinnen und Spendern sowie die zugehörige Kirchengemeinde,
  2. Art, Betrag, Zweck und Zeitpunkt der geleisteten Spenden,
  3. Erteilung von Zuwendungsbestätigungen,
  4. Daten des Kontaktes,
  5. Daten der erforderlichen Buchhaltung,
  6. Daten zur statistischen analytischen Auswertung.
Entsprechendes gilt für Personen, die mit der kirchlichen und diakonischen Arbeit in Beziehung getreten sind.
( 4 ) Soweit Seelsorgedaten im Sinne von § 1 Absatz 4 DSG-EKD in Wahrnehmung von Aufgaben des Fundraisings bekannt und gespeichert werden, ist durch geeignete Maßnahmen sicherzustellen, dass die Seelsorgedaten Dritten nicht zugänglich sind.
( 5 ) Es ist sicherzustellen, dass Personen, die den Erhalt von Spendenaufrufen ausdrücklich nicht wünschen, von der Durchführung des Fundraisings ausgenommen werden.
( 6 ) Die für das Fundraising erhobenen Daten sind zu löschen, soweit nicht ihrer Löschung ein konkreter kirchlicher Auftrag des Fundraisings, Rechtsvorschriften oder Aufbewahrungsfristen entgegenstehen.
#

§ 43
Datenverarbeitung im Auftrag

( 1 ) Werden personenbezogene Daten für das Fundraising im Auftrag durch andere kirchliche oder sonstige Stellen oder Personen erhoben, verarbeitet oder genutzt, ist vor einer Beauftragung die Genehmigung der nach kirchlichem Recht zuständigen Stelle einzuholen. Die Erteilung einer allgemeinen Genehmigung ist zulässig. § 11 DSG-EKD und § 8 dieser Verordnung sind zu beachten.
( 2 ) Bei der Datenverarbeitung im Auftrag hat die Speicherung der personenbezogenen Daten mandantenbezogen zu erfolgen. Mandant ist, in dessen Auftrag oder zu dessen Gunsten das Fundraising durchgeführt wird.
( 3 ) Eine Weitergabe der personenbezogenen Daten durch den Auftragnehmer an Dritte ist auszuschließen.
( 4 ) Sofern Betriebsbeauftragte für den Datenschutz oder örtliche Beauftragte für den Datenschutz für die beauftragenden kirchlichen Stellen bestellt sind, sind diese frühzeitig über die Auftragsdatenverarbeitung zu informieren.
#

§ 44
Datenübermittlung an andere kirchliche Stellen

( 1 ) Für die Durchführung einer Fundraisingmaßnahme durch eine andere kirchliche Stelle können mit Zustimmung der zuständigen Stelle folgende Daten von Gemeindegliedern und deren Familienangehörigen aus dem Gemeindegliederverzeichnis und den Kirchenbüchern übermittelt werden:
  1. Name und gegenwärtige Anschrift,
  2. Geburtsdatum, Geschlecht, Staatsangehörigkeit(en), Familienstand, Stellung in der Familie,
  3. Zahl und Alter der minderjährigen Kinder,
  4. Religionszugehörigkeit und Zugehörigkeit zu einer Kirchengemeinde.
Soweit es für die Durchführung der Fundraisingmaßnahme erforderlich ist, können im Einzelfall weitere Daten aus den Kirchenbüchern und dem Gemeindegliederverzeichnis übermittelt werden.
( 2 ) Zusätzlich zu den Daten nach Absatz 1 können kirchliche Stellen gemäß § 1 Absatz 2 DSG-EKD von ihnen erhobene und gespeicherte Daten im erforderlichen Umfang an andere kirchliche Stellen übermitteln.
( 3 ) Bei der Übermittlung der Daten nach Absatz 1 und 2 ist sicherzustellen, dass
  1. die Daten empfangende kirchliche Stelle diese ausschließlich für eigene Fundraisingmaßnahmen nutzt,
  2. die Daten empfangende kirchliche Stelle gewährleistet, dass der Umfang und der Zeitpunkt der Fundraisingmaßnahme mit der übermittelnden kirchlichen Stelle abgestimmt wird,
  3. die Daten empfangende kirchliche Stelle gewährleistet, dass Widersprüche von und melderechtliche Sperrvermerke zu betroffenen Personen beachtet und der übermittelnden kirchlichen Stelle mitgeteilt werden,
  4. ausreichende technische und organisatorische Datenschutzmaßnahmen unter Beachtung des Schutzbedarfs der Anforderungen der Anlage zu § 9 Satz 1 DSG-EKD vorliegen, von denen sich im Zweifelsfall die Daten übermittelnde kirchliche Stelle zu überzeugen hat,
  5. sofern Betriebsbeauftragte für den Datenschutz oder örtliche Beauftragte für den Datenschutz der beteiligten kirchlichen Stellen bestellt sind, diese frühzeitig über Umfang und Zweck der Datenübermittlung informiert sind.
( 4 ) Die Daten übermittelnde kirchliche Stelle kann die Weitergabe der Daten mit Auflagen versehen.
#

§ 45
Automatische Verarbeitung personenbezogener Daten

Programme zur automatischen Verarbeitung von Spenderdaten (Spendenverwaltungsprogramme, Fundraisingprogramme) dürfen nur verwendet werden, wenn sie vom Nordelbischen Kirchenamt freigegeben worden sind. Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung erhoben, verarbeitet oder genutzt werden, soweit die betroffene Person widerspricht (Teilnutzungssperre).
#

9. Schlussbestimmungen

###

§ 46
(weggefallen)

#

§ 47
Inkrafttreten, Außerkrafttreten

( 1 ) Diese Rechtsverordnung tritt am Tage nach der Verkündung im Gesetz- und Verordnungsblatt in Kraft.3#
( 2 ) Gleichzeitig treten die Rechtsverordnung der Nordelbischen Evangelisch-Lutherischen Kirche zur Durchführung und Ergänzung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (Datenschutzverordnung – NEK VO DSG-EKD) vom 9. Dezember 1997 (GVOBl. 1998 S. 2) sowie die Rechtsverordnung zum Datenschutz in kirchlichen Krankenhäusern vom 8./9. Oktober 1990 (GVOBl. S. 328) außer Kraft.
#

Anlagen4#


#
1 ↑ Red. Anm.: Die Rechtsverordnung trat gemäß Artikel 2 Absatz 2 Nummer 2 der Zweiten Rechtsverordnung zur Anpassung des Datenschutzrechts vom 28. September 2023 (KABl. A Nr. 86 S. 201, 202) mit Ablauf des 30. September 2023 außer Kraft. Sie galt zuvor auf dem Gebiet der ehemaligen Nordelbischen Ev.-Luth. Kirche bis zu einer anderweitigen Regelung durch die Evangelisch-Lutherische Kirche in Norddeutschland weiter, soweit sie der Verfassung, dem Einführungsgesetz und den weiteren von der Verfassunggebenden Synode beschlossenen Kirchengesetzen nicht widersprach oder im Einführungsgesetz keine abweichende Regelung getroffen wurde, vgl. Teil 1 § 2 Absatz 2 des Einführungsgesetzes vom 7. Januar 2012 (KABl. S. 30, 127, 234) in der jeweils geltenden Fassung.
#
2 ↑ Red. Anm.: Das amtliche Inhaltsverzeichnis wurde versehentlich nicht angepasst. Die aufgehobenen Paragrafen und Anlagen wurden in der Online-Ansicht der Rechtssammlung durch das Entfernen der Verlinkungen kenntlich gemacht.
#
3 ↑ Red. Anm.: Die Rechtsverordnung trat am 2. Oktober 2007 in Kraft.
#
4 ↑ Red. Anm.: Die Anlagen 1 bis 8 traten gemäß Teil 2 § 16 Absatz 2 Nummer 1 der Datenschutzdurchführungsverordnung vom 5. April 2017 (KABl. S. 221) mit Wirkung vom 3. Mai 2017 außer Kraft. Die Anlagen 9 und 10 sind durch die Neufassung des § 19 der Datenschutzdurchführungsverordnung mit Ablauf des 2. Juli 2018 gegenstandslos geworden. Die Aufsichtsbehörde gibt die aktuellen Muster und Merkblätter auf der Internetseite https://www.datenschutz-nordkirche.de bekannt, vgl. Nummer 2 der Datenschutzverwaltungsvorschrift vom 1. Juni 2017 (KABl. S. 354), die durch Artikel 1 der Verwaltungsvorschrift vom 8. Juni 2018 (KABl. S. 286) geändert worden ist, in der jeweils geltenden Fassung.