Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 1 von 25
Datenschutzordnung
(DSO – BUND)
des Bundes Evangelisch-Freikirchlicher Gemeinden in Deutschland Körperschaft des öffentlichen Rechts
Diese Ordnung tritt am 24. Mai 2018 in Kraft. Gleichzeitig tritt die Datenschutzordnung des Bundes vom 1. Januar 2010, zuletzt geändert am 6. Mai 2016, außer Kraft.
Diese Ordnung wurde geändert mit Beschluss des Bundesrates am 31.05.2019, am 6. November 2021 und am 19. Mai 2023.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 2 von 25
Inhalt
Präambel ................................................................................................................................................. 4
ERSTER ABSCHNITT: ALLGEMEINE BESTIMMUNGEN .............................................................................. 4
§ 1 Gegenstand, Ziele und Anwendungsbereich .............................................................................. 4
§ 2 Verantwortlichkeit für die Durchführung des Datenschutzes .................................................... 4
§ 3 Begriffsbestimmungen ............................................................................................................... 5
§ 4 Seelsorgegeheimnis und Amtsverschwiegenheit ....................................................................... 6
§ 5 Rechtmäßigkeit der Verarbeitung .............................................................................................. 6
§ 6 Bedingungen für die Einwilligung ............................................................................................... 7
§ 7 Datenübermittlung an Stellen des Bundes, öffentlich-rechtliche Religionsgemeinschaften und öffentliche Stellen....................................................................................................................... 8
§ 8 Verarbeitung besonderer Daten ................................................................................................ 9
ZWEITER ABSCHNITT: RECHTE DER BETROFFENEN PERSON................................................................... 9
§ 9 Transparente Information, Kommunikation .............................................................................. 9
§ 10 Informationspflichten bei Datenerhebung ............................................................................... 10
§ 11 Auskunftsrecht der betroffenen Person ................................................................................... 11
§ 12 Recht auf Berichtigung ............................................................................................................. 11
§ 13 Recht auf Löschung................................................................................................................... 11
§ 14 Recht auf Einschränkung der Verarbeitung .............................................................................. 12
§ 15 Informationspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung ......... 12
§ 16 Widerspruchsrecht ................................................................................................................... 13
DRITTER ABSCHNITT: PFLICHTEN DER VERANTWORTLICHEN STELLEN UND DER AUFTRAGSVERARBEITER ....................................................................................................................... 13
§ 17 Datengeheimnis und Verschwiegenheit................................................................................... 13
§ 18 Technische und organisatorische Maßnahmen ....................................................................... 13
§ 19 Verarbeitung von personenbezogenen Daten im Auftrag ....................................................... 14
§ 20 Verzeichnis von Verarbeitungstätigkeiten ............................................................................... 15
§ 21 Meldung von Verletzungen des Schutzes personenbezogener Daten an den Datenschutzrat 16
§ 22 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person .................................................................................................................. 16
§ 23 Datenschutz-Folgenabschätzung .............................................................................................. 16
§ 23a Pflichten bei gemeinsamer Verantwortung ............................................................................ 17
VIERTER ABSCHNITT: AUFSICHTSGREMIUM UND BEAUFTRAGTE FÜR DEN DATENSCHUTZ ............... 17
§ 24 Bestellung und Stellung des Bundesbeauftragten für Datenschutz ......................................... 17
§ 25 Aufgaben und Befugnisse des Beauftragten des Bundes für den Datenschutz ....................... 18
§ 26 Dezentrale Beauftragte für den Datenschutz ........................................................................... 19
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 3 von 25
§ 27 Aufsichtsgremium ..................................................................................................................... 19
§ 28 Geldbußen ................................................................................................................................ 21
§ 29 Recht auf Beschwerde .............................................................................................................. 21
§ 30 Schadensersatz durch verantwortliche Stelle .......................................................................... 21
FÜNFTER ABSCHNITT: VORSCHRIFTEN FÜR BESONDERE VERARBEITUNGS-SITUATIONEN .................. 22
§ 31 Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen ..................... 22
§ 32 Verarbeitung personenbezogener Daten für wissenschaftliche und statistische Zwecke ...... 23
§ 33 Verarbeitung personenbezogener Daten für journalistische Zwecke ...................................... 23
§ 34 Veranstaltungen von Stellen des Bundes ................................................................................. 23
§ 35 Videoüberwachung öffentlich zugänglicher Räume ................................................................ 24
SECHSTER ABSCHNITT: DATENSCHUTZ IN RECHTLICH SELBSTÄNDIGEN EINRICHTUNGEN .................. 24
§ 36 Geltung der Datenschutzordnung für selbständige Einrichtungen .......................................... 24
SIEBENTER ABSCHNITT: SCHLUSSBESTIMMUNGEN .............................................................................. 25
§ 37 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission .............................................................................................................................. 25
§ 38 Ergänzende Bestimmungen ...................................................................................................... 25
§ 39 Übergangsregelungen .............................................................................................................. 25
§ 40 Gleichstellung ........................................................................................................................... 25
§ 41 Inkrafttreten, Außerkrafttreten ................................................................................................ 25
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 4 von 25
DATENSCHUTZORDNUNG (DSO-BUND)
des Bundes Evangelisch-Freikirchlicher Gemeinden in Deutschland K. d. ö. R.
Präambel
Diese Ordnung wird erlassen in Ausübung des gemäß Artikel 140 Grundgesetz garantierten Rechts des Bundes Evangelisch-Freikirchlicher Gemeinden K. d. ö. R. (im Folgenden auch: Bund), seine Angelegen-heiten selbstständig innerhalb der Schranken der für alle geltenden Gesetze zu ordnen und zu verwal-ten. Dieses Recht ist europarechtlich geachtet und festgeschrieben in Artikel 91 der Verordnung EU 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Per-sonen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). In Wahrnehmung dieses Rechts regelt diese Ordnung die Datenverarbeitung im Bund.
ERSTER ABSCHNITT: ALLGEMEINE BESTIMMUNGEN
§ 1 Gegenstand, Ziele und Anwendungsbereich
(1) Diese Datenschutzordnung gilt für die im Bund Evangelisch-Freikirchlicher Gemeinden in Deutschland K. d. ö. R. (im Folgenden auch: Bund) zusammengeschlossenen Gemeinden, deren Landesverbände, die Arbeitsgemeinschaft der Brüdergemeinden, für die Arbeitszweige, Einrich-tungen und Organe dieses Bundes und deren Verwaltung, insbesondere des Sondervermögens der Ruhegeldordnung und der International Baptist Convention (Frankfurt).
(2) Diese Ordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung per-sonenbezogener Daten. Sie dient dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
(3) Diese Ordnung findet Anwendung auf jede Verarbeitung personenbezogener Daten im Rahmen der Tätigkeit einer verantwortlichen Stelle oder in deren Auftrag, Abweichend davon gilt sie für die nichtautomatisierte Verarbeitung personenbezogener Daten nur, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten und Aktensammlungen gelten nur als Dateisystem, wenn sie nach bestimmten Kriterien geordnet sind.
(4) Für rechtlich selbständige Einrichtungen im Status der Bekenntnisgemeinschaft mit dem Bund gilt diese Datenschutzordnung nach Maßgabe des sechsten Abschnittes.
(5) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
§ 2 Verantwortlichkeit für die Durchführung des Datenschutzes
(1) Das Präsidium des Bundes stellt die Einhaltung des Datenschutzes im Sinne dieser Ordnung in-nerhalb der Stellen des Bundes sicher, die nicht Landesverbände oder Mitgliedsgemeinden sind. Das Präsidium kann diese Aufgabe an die Geschäftsführung delegieren.
(2) Die jeweils satzungsgemäß berufenen Vertretungsorgane der Landesverbände stellen die Ein-haltung des Datenschutzes im Sinne dieser Ordnung innerhalb der Arbeitszweige und Einrich-tungen ihrer Landesverbände sicher. Sie können diese Aufgabe auf geeignete Mitarbeiter der Landesverbände delegieren.
(3) Die jeweils satzungsgemäß berufenen Vertretungsorgane der Gemeinden stellen die Einhaltung des Datenschutzes im Sinne dieser Ordnung innerhalb der Gemeinden, insbesondere für deren Arbeitszweige und Einrichtungen sicher.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 5 von 25
§ 3 Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identi-fizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizier-bar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Aus-druck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kultu-rellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
2. „besondere Daten“ personenbezogene Daten, aus denen die rassische und ethnische Her-kunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Ge-werkschaftszugehörigkeit hervorgehen, sowie genetisch oder biometrischen Daten zur ein-deutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Se-xualleben oder der sexuellen Orientierung einer natürlichen Person;
3. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Über-mittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Ver-knüpfung, die Einschränkung, das Löschen oder die Vernichtung;
4. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht;
5. „Drittland“ ein Land, das nicht Mitglied der Europäischen Union ist;
6. „Stelle des Bundes“ eine Gemeinde, die Mitglied des Bunds Evangelisch-Freikirchlicher Ge-meinden, K. d. ö. R. ist, ein Landesverband, die Arbeitsgemeinschaft der Brüdergemeinden, ein Arbeitszweig, eine Einrichtung oder ein Organ oder ein Sondervermögen dieses Bundes;
7. „Verantwortliche Stelle“ eine Stelle des Bundes, die über die Zwecke und Mittel der Verar-beitung von personenbezogenen Daten entscheidet;
8. „Gemeinsam Verantwortliche“: Stellen, die gemeinsam die Zwecke und die Mittel der Ver-arbeitung von personenbezogenen Daten festlegen.
9. „Auftragsverarbeiter“ eine natürliche oder juristische Person oder – falls die verantwortli-che Stelle zu einer anderen juristischen Person gehört – eine Stelle des Bundes, die perso-nenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitet.
10. „Dritter“ eine natürliche oder juristische Person, Behörde, selbständige Gemeinde oder Einrichtung außer der betroffenen Person, der verantwortlichen Stelle, dem Auftragsverar-beiter und den Personen, die unter der unmittelbaren Verantwortung der verantwortlichen Stelle oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verar-beiten; letztere Personen können Mitglieder oder Freunde von Gemeinden des Bundes sein, deren Status in einer Satzung oder Gemeindeordnung festgelegt wurde.
11. „Anonymisierung“ ist die Verarbeitung personenbezogener Daten derart, dass die perso-nenbezogenen Daten nicht mehr einer spezifisch betroffenen Person zugeordnet werden können oder nur mit einem großen Aufwand an Zeit, Kosten und Arbeitskraft einer identi-fizierten oder identifizierbaren Person zugeordnet werden können;
12. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifisch betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Infor-mationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnah-men unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identi-fizierten oder identifizierbaren natürlichen Person zugewiesen werden;
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 6 von 25
13. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimm-ten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral o-der nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
14. „Aufsichtsgremium“ bzw. „Datenschutzrat“ eine unabhängige Stelle des Bundes, die über die Einhaltung der Datenschutzordnung wacht;
15. „Bundesbeauftragter für Datenschutz“ den vom Präsidium des Bundes bestellten Beauf-tragten für den Datenschutz (im Folgenden auch kurz: Bundesbeauftragter);
16. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Da-ten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;
17. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informier-ter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.Seelsorgegeheimnis und Amtsverschwiegenheit
(1) Ordinierte Mitarbeiter (Pastoren, Diakone und Pastoralreferenten) unterliegen dieser Ordnung. Abweichend zu § 8 Abs. 1 dürfen sie zum Zweck ihres Seelsorgeauftrags eigene Aufzeichnungen führen, die auch besondere Daten enthalten. Das gilt auch für Personen, denen gemäß der Ord-nung zum Dienst der Seelsorge und dem Schutz des Seelsorgegeheimnisses - in der jeweils ak-tuellen Fassung - ein besonderer Seelsorgeauftrag erteilt worden ist. Diese Aufzeichnungen dür-fen niemandem zugänglich gemacht werden. Dazu sind geeignete technische oder organisatori-sche Maßnahmen zu treffen.
(2) Die besonderen Bestimmungen über die Schweigepflicht gemäß der Ordnung zum Dienstrecht des Bundes bleiben unberührt. Gleiches gilt für weitere Verpflichtungen zur Wahrung von Be-rufs- oder besonderen Amtsgeheimnissen, die auf Vorschriften des Kirchenrechts beruhen.
§ 5 Rechtmäßigkeit der Verarbeitung
(1) Grundsätzlich gilt: Personenbezogene Daten müssen:
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nach-vollziehbaren Weise verarbeitet werden (Prinzip von „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Prinzip der Zweckbindung“);
c) auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Prinzip der Da-tenminimierung“) und
d) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, oder für im Interesse des Bundes liegende Archivzwecke oder für wissenschaftliche und historische Forschungs-zwecke oder für statistische Zwecke erforderlich ist („Prinzip der Speicherzeitbegrenzung“).
(2) Die Verarbeitung ist nur zulässig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) eine Rechtsvorschrift des Bundes oder eine vorrangige staatliche Rechtsvorschrift erlaubt die Verarbeitung der personenbezogenen Daten oder ordnet sie an;
b) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden perso-nenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
c) die Verarbeitung ist zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich, ein-schließlich der Ausübung kirchlicher Aufsicht;
d) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 7 von 25
e) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der die verant-wortliche Stelle unterliegt;
f) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
g) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im Interesse des Bundes liegt;
h) die Verarbeitung ist zur Wahrung der berechtigten Interessen der verantwortlichen Stelle oder eines Dritten erforderlich, und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen nicht;
i) sie erfolgt für journalistisch-redaktionelle Zwecke des Bundes.
(3) Der Zweck der Datenverarbeitung und der Kreis der betroffenen Personen müssen vor der Ver-arbeitung festgelegt oder erkennbar sein.
(4) Die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden (Zweckänderung), ist nur zulässig, wenn die Möglichkeit der Pseudonymisierung geprüft wurde und mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) eine Rechtsvorschrift sieht dies vor und Interessen des Bundes stehen nicht entgegen;
b) die betroffene Person hat eingewilligt;
c) es ist offensichtlich, dass die Verarbeitung im Interesse der betroffenen Person liegt und kein Grund zu der Annahme besteht, dass diese in Kenntnis des anderen Zweckes ihre Einwilligung verweigern würde;
d) die Daten können aus allgemein zugänglichen Quellen entnommen werden oder die verant-wortliche Stelle darf sie veröffentlichen, es sei denn, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung offensichtlich überwiegt;
e) es besteht Grund zu der Annahme, dass andernfalls die Wahrnehmung des kirchlichen Auf-trages gefährdet würde;
f) die Verarbeitung ist zur Durchführung wissenschaftlicher Forschung im Interesses des Bun-des erforderlich, das wissenschaftliche Interesse an der Durchführung des Forschungsvorha-bens überwiegt das Interesse der betroffenen Person an dem Ausschluss der Zweckänderung erheblich und der Zweck der Forschung kann auf andere Weise nicht oder nur mit unverhält-nismäßigem Aufwand erreicht werden;
g) sie ist für statistische Zwecke zur Erfüllung des kirchlichen Auftrages erforderlich.
(5) Eine Verarbeitung für andere Zwecke ist ferner zulässig, wenn sie der Wahrnehmung von Auf-sichts- und Kontrollbefugnissen des Bundes, der Rechnungsprüfung, der Revision oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. Das gilt auch für die Verarbeitung zu Ausbildungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen der betroffenen Person entgegenstehen.
§ 6 Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss die verantwortliche Stelle nachweisen kön-nen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch an-dere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Ordnung darstellen.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 8 von 25
(3) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmög-lichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, ein-schließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
(4) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Wi-derruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung von Satz 1 und Satz 2 in Kenntnis gesetzt.
(5) Sollen Daten von Kindern verarbeitet werden, so ist, wenn das Kind das sechzehnte Lebensjahr noch nicht vollendet hat, eine Einwilligung nur wirksam, wenn sie durch den Träger der elterli-chen Sorge für das Kind erfolgt ist. Hat das Kind das sechzehnte Lebensjahr vollendet, darf die Einwilligung eigenständig durch das Kind erfolgen. Das Kind soll die Eltern über eine solche Ein-willigung in Kenntnis setzen.
(6) Erfolgt die Datenverarbeitung im Rahmen von elektronischen Angeboten von Stellen des Bundes und wird ein solches Angebot einem Kind direkt gemacht, so unternimmt die verantwortliche Stelle unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich zu vergewissern, dass die Einwilligung gemäß Abs. 5 erteilt wurde.
§ 7 Datenübermittlung an Stellen des Bundes, öffentlich-rechtliche Religionsgemeinschaf-ten und öffentliche Stellen
(1) Die Übermittlung von personenbezogenen Daten an Stellen des Bundes ist zulässig, wenn:
a) sie zur Erfüllung der in der Zuständigkeit der übermittelnden oder der empfangenden Stelle liegenden Aufgaben erforderlich ist und
b) die Zulässigkeitsvoraussetzungen des § 5 vorliegen.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die verantwortliche Stelle. Erfolgt die Übermittlung auf Ersuchen der empfangenden Stelle des Bundes, trägt auch diese Verant-wortung. In diesem Falle prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben der datenempfangenden Stelle des Bundes ist, es sei denn, dass beson-derer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht.
(3) Die datenempfangende Stelle des Bundes darf die übermittelten Daten für den Zweck verarbei-ten oder nutzen, zu dessen Erfüllung sie ihr übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 5 Abs. 4 zulässig.
(4) Sind mit personenbezogenen Daten, die nach Abs. 1 übermittelt werden dürfen, weitere perso-nenbezogene Daten der betroffenen oder einer anderen Person so verbunden, dass eine Tren-nung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch die-ser Daten zulässig, soweit nicht berechtigte Interessen der betroffenen oder einer anderen Per-son an deren Geheimhaltung offensichtlich überwiegen; eine Verwendung dieser Daten ist un-zulässig.
(5) Abs. 4 gilt entsprechend, wenn personenbezogene Daten innerhalb einer Stelle des Bundes wei-tergegeben werden.
(6) Personenbezogene Daten dürfen an Stellen anderer öffentlich-rechtlicher Religionsgesellschaf-ten übermittelt werden, wenn diese zur Erfüllung der Aufgaben der verantwortlichen Stelle er-forderlich ist, sofern sichergestellt ist, dass bei der empfangenden Stelle ausreichende Daten-schutzmaßnahmen getroffen werden, und nicht berechtigte Interessen der betroffenen Person entgegenstehen.
(7) Personenbezogene Daten dürfen an staatliche und kommunale Stellen übermittelt werden, wenn eine Rechtsvorschrift dies zulässt oder es zur Erfüllung der Aufgaben der übermittelnden Stelle des Bundes erforderlich ist und nicht berechtigte Interessen der betroffenen Person ent-gegenstehen.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 9 von 25
§ 8 Verarbeitung besonderer Daten
(1) Die Verarbeitung besonderer Daten gemäß § 3 Nummer 2 ist untersagt.
(2) Abs. 1 gilt nicht in folgenden Fällen:
a) die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach dem Recht des Bundes kann das Verbot nach Abs. 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden;
b) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder ei-ner anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben;
c) eine Gemeinde, die Mitglied im Bund ist, verarbeitet Name, Adresse, Geburtsdatum sowie Datum und Ort der Taufe ihrer eigenen Mitglieder;
d) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offen-sichtlich öffentlich gemacht hat;
e) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien (z. B. Verschlüsselung und/oder Pseudonymisierung) einer verantwortlichen Stelle ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen und für die Aufgabenerfüllung notwendigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Stelle oder auf Personen, die im Zusammenhang mit deren Tätig-keitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden;
f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprü-chen oder bei Handlungen des Kirchengerichts im Rahmen ihrer justiziellen Tätigkeit erfor-derlich;
g) die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich und die verantwortliche Stelle hat angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorgesehen;
h) die Verarbeitung findet für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin oder für die Beurteilung der Arbeitsfähigkeit des Beschäftigten statt und die Daten werden vom Fachpersonal oder unter dessen Verantwortung verarbeitet und das mit der Verarbei-tung befasste Personal unterliegt dem Berufsgeheimnis;
i) die Verarbeitung ist für wissenschaftliche Forschungszwecke, die im Interesse des Bundes sind, erforderlich und die verantwortliche Stelle hat angemessene und spezifische Maßnah-men zur Wahrung der Grundrechte und Interessen der betroffenen Person vorgesehen.
(3) Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sind unter den Voraussetzungen von § 5 zulässig, wenn dies das kirchliche oder staatliche Recht zulässt.
ZWEITER ABSCHNITT: RECHTE DER BETROFFENEN PERSON
§ 9 Transparente Information, Kommunikation
(1) Die verantwortliche Stelle trifft geeignete Maßnahmen, um der betroffenen Person alle Infor-mationen die nach dieser Ordnung hinsichtlich der Verarbeitung zu geben sind, in präziser, für die betroffene Person nachvollziehbarer, verständlicher und leicht zugänglicher Form zu über-mitteln.
(2) Die verantwortliche Stelle stellt der betroffenen Person Informationen über die ergriffenen Maßnahmen gemäß den §§ 12 bis 16 unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang eines entsprechenden Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 10 von 25
der Anträge erforderlich ist. Die verantwortliche Stelle unterrichtet die betroffene Person inner-halb eines Monates nach Eingang über eine Fristverlängerung zusammen mit den Gründen für die Verzögerung.
(3) Wird die verantwortliche Stelle auf den Antrag der betroffenen Person hin nicht tätig, so unter-richtet sie die betroffene Person unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, beim Datenschutzrat Beschwerde einzulegen.
(4) Informationen werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten o-der – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann die verantwortliche Stelle sich weigern, aufgrund des Antrags tätig zu werden, oder ein angemessenes Entgelt verlangen.
(5) Hat die verantwortliche Stelle begründete Zweifel an der Identität der natürlichen Person, die einen Antrag gemäß den §§ 11 bis 16 stellt, so kann sie zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
§ 10 Informationspflichten bei Datenerhebung
(1) Der Bundesbeauftragte für Datenschutz stellt folgende Informationen zur Datenerhebung öffentlich zur Verfügung:
1. das Bestehen eines Rechts auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie eines Widerspruchsrechts gegen die Ver-arbeitung;
2. das Bestehen des Rechts eine gegebenenfalls erteilte Einwilligung zu widerrufen;
3. das Bestehen eines Beschwerderechts beim Datenschutzrat.
(2) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt die verantwort-liche Stelle der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
1. den Namen und die Kontaktdaten der verantwortlichen Stelle;
2. die Kontaktdaten des zuständigen Datenschutzbeauftragten;
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;
4. die Rechtsgrundlage für die Verarbeitung;
5. gegebenenfalls die Empfänger der personenbezogenen Daten und
6. wenn die Verarbeitung auf § 5 Abs. 2 Buchstabe g) beruht, die berechtigten Interessen, die von der verantwortlichen Stelle oder einem Dritten verfolgt werden.
(3) Abs. 2 findet keine Anwendung, wenn und soweit die betroffene Person bereits über die Infor-mationen verfügt oder die Informationserteilung einen unverhältnismäßigen Aufwand erfordern würde.
(4) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt die verant-wortliche Stelle der betroffenen Person über die in Abs. 2 aufgeführten Informationen hinaus die zu ihr gespeicherten Daten mit, auch soweit sie sich auf Herkunft oder empfangende Stellen beziehen. Abs. 3 gilt entsprechend. Die verantwortliche Stelle ist weiterhin von dieser Verpflich-tung befreit, wenn die Daten oder die Tatsache ihrer Speicherung aufgrund einer speziellen Rechtsvorschrift oder wegen überwiegender berechtigter Interessen Dritter geheim gehalten werden müssen und das Interesse der betroffenen Person an der Auskunftserteilung zurücktre-ten muss oder wenn durch die Auskunft das Seelsorgegeheimnis oder die Amtsverschwiegenheit gemäß § 4 berührt wird.
(5) Beabsichtigt die verantwortliche Stelle, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt sie der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und gegebenenfalls die Empfänger der personenbezogenen Daten zur Verfügung. Diese Informationspflicht gilt nicht im Fall von § 5 Abs. 5.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 11 von 25
§ 11 Auskunftsrecht der betroffenen Person
(1) Die betroffene Person hat das Recht, von der verantwortlichen Stelle eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so ist der betroffenen Person auf Antrag Auskunft zu erteilen über die zum Zeitpunkt der An-tragstellung zu ihr gespeicherten personenbezogenen Daten. Die Auskunft muss folgende Infor-mationen enthalten:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten;
3. die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind;
4. falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personen-bezogenen Daten oder auf Einschränkung der Verarbeitung durch die verantwortliche Stelle oder eines Widerspruchsrechts gegen diese Verarbeitung;
6. das Bestehen eines Beschwerderechts beim Datenschutzrat;
7. Information über die Herkunft der Daten.
(2) Auskunft darf nicht erteilt werden, soweit die Daten oder die Tatsache ihrer Speicherung auf-grund einer speziellen Rechtsvorschrift oder wegen überwiegender berechtigter Interessen Drit-ter geheim gehalten werden müssen und das Interesse der betroffenen Person an der Aus-kunftserteilung zurücktreten muss, oder wenn durch die Auskunft das Seelsorgegeheimnis oder die Amtsverschwiegenheit gemäß § 4 berührt wird.
(3) Die Auskunft im Umfang einer Kopie ist unentgeltlich. Weitere Kopien müssen nicht erstellt wer-den. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.
§ 12 Recht auf Berichtigung
(1) Die betroffene Person hat das Recht, von der verantwortlichen Stelle die unverzügliche Berich-tigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.
(2) Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
(3) Das Recht auf Berichtigung besteht nicht, wenn die personenbezogenen Daten zu Archivzwe-cken im Interesse des Bundes verarbeitet wurden. Bestreitet die betroffene Person die Richtig-keit der personenbezogenen Daten, ist ihr die Möglichkeit einer Gegendarstellung einzuräumen. Das zuständige Archiv ist verpflichtet, die Gegendarstellung den Unterlagen hinzuzufügen.
§ 13 Recht auf Löschung
(1) Die betroffene Person hat das Recht, von der verantwortlichen Stelle zu verlangen, dass sie be-treffende personenbezogene Daten unverzüglich gelöscht werden, und die verantwortliche Stelle ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern mindestens ei-ner der folgenden Gründe zutrifft:
a) die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig;
b) die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung;
c) die betroffene Person legt gemäß § 16 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor;
d) die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
e) die Löschung der personenbezogenen Daten ist zur Erfüllung einer Verpflichtung nach dem Kirchenrecht des Bundes erforderlich;
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 12 von 25
f) die personenbezogenen Daten wurden im Rahmen eines elektronischen Angebotes einer Stelle des Bundes erhoben, das Kindern direkt gemacht wurde, falls die Kinder das sech-zehnte Lebensjahr zum Zeitpunkt der Erhebung noch nicht vollendet hatten.
(2) Hat die verantwortliche Stelle die personenbezogenen Daten öffentlich gemacht und ist sie ge-mäß Abs. 1 zu deren Löschung verpflichtet, so trifft sie unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, um die Löschung al-ler Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser perso-nenbezogenen Daten anzustreben.
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist:
1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach staatlichem oder kirchlichen Recht, dem die verantwortliche Stelle unterliegt, erfordert;
3. zur Wahrnehmung einer Aufgabe aufgrund eines wichtigen Interesses des Bundes;
4. für im Interesse des Bundes liegende Archivzwecke, wissenschaftliche oder historische For-schungszwecke, soweit das in Abs. 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt oder
5. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
(4) Ist eine Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich, tritt an die Stelle des Rechts auf Löschung das Recht auf Einschränkung der Verarbeitung gemäß § 14. In diesen Fällen trifft der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Frei-heiten sowie der berechtigten Interessen der betroffenen Person.
§ 14 Recht auf Einschränkung der Verarbeitung
(1) Die betroffene Person hat das Recht, von der verantwortlichen Stelle die Einschränkung der Ver-arbeitung personenbezogener Daten zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
a) die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten und die Prüfung der Richtigkeit durch die verantwortliche Stelle ist noch nicht abgeschlossen,
b) die verantwortliche Stelle benötigt die personenbezogenen Daten für die Zwecke der Verar-beitung nicht mehr, die betroffene Person benötigt sie jedoch zur Geltendmachung, Aus-übung oder Verteidigung von Rechtsansprüchen,
c) die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß § 16 eingelegt und es steht noch nicht fest, ob die berechtigten Gründe der verantwortlichen Stelle gegenüber de-nen der betroffenen Person überwiegen.
(2) Wurde die Verarbeitung gemäß Abs. 1 eingeschränkt, so dürfen diese personenbezogenen Da-ten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aufgrund eines wichtigen Inte-resses des Bundes verarbeitet werden.
(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Abs. 1 erwirkt hat, wird von der verantwortlichen Stelle unterrichtet, bevor die Einschränkung aufgehoben wird.
§ 15 Informationspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung
(1) Die verantwortliche Stelle teilt der betroffenen Person jede Berichtigung oder Löschung ihrer personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach § 12, § 13 oder § 14 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.
(2) Die verantwortliche Stelle unterrichtet die betroffene Person über alle Empfänger, denen personenbezogenen Daten offengelegt wurden, wenn die betroffene Person dies verlangt.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 13 von 25
§ 16 Widerspruchsrecht
(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation erge-ben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten gemäß § 5 Abs. 2 Buchstaben f) und g) Widerspruch einzulegen.
(2) Der Widerspruch verpflichtet die verantwortliche Stelle dazu, die Verarbeitung zu unterlassen, soweit nicht an der Verarbeitung ein zwingendes Interesse des Bundes besteht, das Interesse einer dritten Person überwiegt, Recht des Bundes zur Verarbeitung verpflichtet oder die Verar-beitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
(3) Die betroffene Person muss bei Datenverarbeitung gemäß § 5 Abs. 2 Buchstaben f) und g) spä-testens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in Abs. 1 genannte Recht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Infor-mationen getrennten Form zu erfolgen.
DRITTER ABSCHNITT: PFLICHTEN DER VERANTWORTLICHEN STELLEN UND DER AUFTRAGSVERARBEITER
§ 17 Datengeheimnis und Verschwiegenheit
Den mit dem Umgang von personenbezogenen Daten betrauten Personen ist es untersagt, perso-nenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Das gilt insbesondere für das Offenle-gen solcher Daten. Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zu verpflichten, soweit sie nicht aufgrund anderer Ordnungen des Bundes zur Verschwie-genheit in diesem Sinne verpflichtet wurden. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.
§ 18 Technische und organisatorische Maßnahmen
(1) Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter haben unter Berücksich-tigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Um-stände und der Zwecke der Verarbeitung sowie der damit verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und zu dokumentieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewähr-leisten.
(2) Diese Maßnahmen erfordern die Betrachtung folgender Aspekte:
1. die Pseudonymisierung und die Verschlüsselung personenbezogener Daten;
2. die Fähigkeit, die Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit) der datenverarbeitenden Systeme und Dienste auf Dauer sicherzustellen;
3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
4. die Implementierung von Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirk-samkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicher-heit der Verarbeitung.
(3) Bei der Beurteilung des angemessenen Sicherheitsniveaus sind die Risiken zu berücksichtigen, die mit der Verarbeitung personenbezogener Daten verbunden sind, insbesondere durch Ver-nichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang.
(4) Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter treffen technische und organisatorische Maßnahmen, die geeignet sind, durch Voreinstellung grundsätzlich nur perso-nenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck er-forderlich ist, zu verarbeiten. Diese Verpflichtung gilt für die Menge der erhobenen personen-bezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 14 von 25
Solche Maßnahmen müssen insbesondere geeignet sein, sicherzustellen, dass personenbezo-gene Daten nicht ohne Eingreifen der verantwortlichen Stelle durch Voreinstellungen einer un-bestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
(5) Bei der Auswahl der Maßnahmen darf berücksichtigt werden, dass ihr Aufwand in einem ange-messenen Verhältnis zum angestrebten Sicherheitsniveau steht.
(6) Die Einhaltung eines nach dem EU-Recht anerkannten Verfahrens zur Feststellung der Sicherheit der personenbezogenen Daten kann als Indiz für die Erfüllung der Pflichten gemäß den Absätzen 1 bis 4 gewertet werden.
(7) Die verantwortliche Stelle unternimmt Schritte, um sicherzustellen, dass ihnen unterstellte na-türliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur gemäß den Wei-sungen der verantwortlichen Stelle verarbeiten.
(8) Unbeschadet in Rechtsvorschriften festgesetzter Speicher- oder Löschfristen soll die verantwort-liche Stelle für die Löschung von personenbezogenen Daten angemessene Fristen vorsehen und sicherstellen, dass diese Fristen eingehalten werden.
§ 19 Verarbeitung von personenbezogenen Daten im Auftrag
(1) Erfolgt eine Verarbeitung personenbezogener Daten im Auftrag einer verantwortlichen Stelle, so ist die verantwortliche Stelle für die Einhaltung der Vorschriften dieser Ordnung und anderer anzuwendender Vorschriften über den Datenschutz verantwortlich. Die im ZWEITEN ABSCHNITT genannten Rechte sind ihr gegenüber geltend zu machen. Zuständig für die Aufsicht ist der Da-tenschutzrat.
(2) Erfolgt eine Verarbeitung im Auftrag einer verantwortlichen Stelle, so arbeitet diese nur mit Auf-tragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und orga-nisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung den Schutz der Rechte der betroffenen Person gewährleistet und
a) konform zu den Anforderungen dieser Ordnung erfolgt, wenn der Auftragsverarbeiter eine Stelle des Bundes ist oder anderenfalls;
b) konform zu den Anforderungen dieser Ordnung oder der Verordnung EU 2016/679 erfolgt.
(3) Hat eine natürliche oder juristische Person Ihren Sitz oder eine Betriebsstätte, die für die Verar-beitung im Auftrag benötigt werden, in einem Drittland, so ist die Erteilung eines Auftrags zur Verarbeitung von personenbezogenen Daten durch die verantwortliche Stelle nur zulässig, wenn die EU-Kommission für dieses Land beschlossen hat, dass es ein angemessenes Datenschutzni-veau bietet.
(4) Der Auftragsverarbeiter wird dazu verpflichtet, keine weiteren Auftragsverarbeiter ohne vorhe-rige gesonderte oder allgemeine schriftliche Genehmigung der verantwortlichen Stelle in An-spruch zu nehmen. Bedingung für eine Genehmigung durch die verantwortliche Stelle ist insbe-sondere die Verpflichtung des Auftragsverarbeiters zu gewährleisten, dass der weitere Auf-tragsverarbeiter gleichwertige Bedingungen gemäß § 18 und § 19 akzeptiert.
(5) Der Auftrag ist schriftlich zu erteilen. Dieser Auftrag beinhaltet insbesondere, dass der Auf-tragsverarbeiter:
a) die personenbezogenen Daten nur auf dokumentierte Weisung der verantwortlichen Stelle verarbeitet;
b) gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Perso-nen auf das Datengeheimnis gemäß § 17 verpflichtet haben oder einer angemessenen ge-setzlichen Verschwiegenheitspflicht unterliegen;
c) alle gemäß § 18 für Auftragsverarbeiter erforderlichen Maßnahmen oder gleichwertige Maß-nahmen ergreift;
d) die Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters gemäß Abs. 5 einhält;
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 15 von 25
e) angesichts der Art der Verarbeitung die verantwortliche Stelle nach Möglichkeit mit geeigne-ten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur Be-antwortung von Anträgen auf Wahrnehmung der im ZWEITEN ABSCHNITT genannten Rechte der betroffenen Person nachzukommen;
f) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl der verantwortlichen Stelle entweder löscht oder zurückgibt;
g) der verantwortlichen Stelle alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die von der verantwortlichen Stelle oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt und
h) die verantwortliche Stelle unverzüglich informiert, falls er der Auffassung ist, dass eine Wei-sung der verantwortlichen Stelle gegen diese Ordnung oder gegen andere anzuwendende Datenschutzbestimmungen verstößt;
i) der Verpflichtung gemäß § 21 Abs. 2 nachzukommen hat.
(6) Die verantwortliche Stelle hat sich von der Einhaltung der Vertragsbedingungen gemäß Abs. 5 zu überzeugen. Das Ergebnis ist zu dokumentieren. Dokumentiert die verantwortliche Stelle die Einhaltung eines nach dem EU-Recht anerkannten Verfahrens zur Feststellung der Sicherheit der personenbezogenen Daten durch den Auftragsverarbeiter, kann dies als Nachweis gemäß § 37 Abs. 1 gewertet werden.
(7) Der Datenschutzrat kann Standardvertragsklauseln festlegen, auf denen der Auftrag gemäß Abs. 5 beruht.
(8) Bei der Beauftragung eines Auftragsverarbeiters, der keine Stelle des Bundes, keine rechtlich selbständige Einrichtung im Status der Bekenntnisgemeinschaft mit dem Bund und - im Falle einer natürlichen Person - kein Mitglied einer Gemeinde des Bundes ist, ist die Entscheidung für die Beauftragung schriftlich zu begründen und verfügbar zu halten.
(9) Rechtsvorschriften des Bundes können bestimmen, dass vor der Auftragserteilung die Geneh-migung einer Stelle des Bundes einzuholen ist oder Mustervereinbarungen zu verwenden sind.
§ 20 Verzeichnis von Verarbeitungstätigkeiten
(1) Jede verantwortliche Stelle muss ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zu-ständigkeit unterliegen, führen. Dieses Verzeichnis enthält folgende Angaben:
1. den Namen und die Kontaktdaten der verantwortlichen Stelle sowie gegebenenfalls des Auf-tragsverarbeiters und des dezentral Beauftragten;
2. die Zwecke der Verarbeitung;
3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezo-gener Daten sowie
4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offenge-legt worden sind oder offengelegt werden sollen, einschließlich Empfängern in Drittländern.
(2) Ist der Auftragsverarbeiter Stelle des Bundes oder ein Mitglied einer Gemeinde des Bundes, führt er ein Verzeichnis von allen im Auftrag einer verantwortlichen Stelle durchgeführten Tä-tigkeiten der Verarbeitung, das Folgendes enthält:
1. die Angaben gemäß Abs. 1 sowie
2. eine Beschreibung der technischen und organisatorischen Maßnahmen gemäß § 18.
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen. Ein gängiges elek-tronisches Format ist zulässig.
(4) Die verantwortliche Stelle und der Auftragsverarbeiter, soweit er dieser Ordnung unterliegt, stellen dem Datenschutzrat die Verzeichnisse auf Anfrage zur Verfügung.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Stellen des Bundes, wenn sie weniger als 50 Beschäftigte beschäftigen, es sei denn, dass die vorgenommene Verarbeitung ein erhöhtes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt, eine Verarbeitung besonderer Datenkategorien gemäß § 8 erfolgt
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 16 von 25
oder die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen bzw. Straftaten geschieht.
(6) Rechtsvorschriften des Bundes können vorsehen, dass für bestimmte Verfahren ein zentral ge-führtes Verzeichnis gepflegt wird.
§ 21 Meldung von Verletzungen des Schutzes personenbezogener Daten an den Daten-schutzrat
(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem nicht unerheblichen Risiko für die Rechte natürlicher Personen führt, meldet die verantwortliche Stelle dies unverzüglich und möglichst binnen 72 Stunden dem Datenschutzrat.
(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten be-kannt wird, meldet er diese der verantwortlichen Stelle unverzüglich.
(3) Die Meldung gemäß Abs. 1 enthält insbesondere eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten und der mutmaßlichen Folgen der Verletzung des Schutzes.
(4) Die verantwortliche Stelle hat Verletzungen des Schutzes personenbezogener Daten samt den ergriffenen Abhilfemaßnahmen zu dokumentieren.
§ 22 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte natürlicher Personen zur Folge, so benachrichtigt die verantwortliche Stelle die betroffenen Personen unverzüglich von der Verletzung.
(2) Die Benachrichtigung der betroffenen Person hat in klarer und einfacher Sprache zu erfolgen und enthält zumindest die in § 21 Absätze 3 und 4 genannten Informationen und Maßnahmen sowie den Namen und die Kontaktdaten des Bundesbeauftragten für Datenschutz oder vorran-gig des zuständigen dezentralen Beauftragten.
(3) Von der Benachrichtigung der betroffenen Person kann abgesehen werden, wenn eine der fol-genden Bedingungen erfüllt ist:
a) Die verantwortliche Stelle hat durch nachträgliche Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte der betroffenen Personen gemäß Abs. 1 aller Wahrscheinlichkeit nach nicht mehr besteht;
b) die verantwortliche Stelle hat geeignete technische und organisatorische Sicherheitsvorkeh-rungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezoge-nen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;
c) die Benachrichtigung ist mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine Bekanntmachung in einem Publikationsinstrument des Bundes oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirk-sam informiert werden.
§ 23 Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt die verantwortliche Stelle vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbei-tungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 17 von 25
(2) Eine Datenschutz-Folgenabschätzung gemäß Abs. 1 ist insbesondere in folgenden Fällen erfor-derlich:
1. umfangreiche Verarbeitung besonderer personenbezogener Daten oder von personenbezo-genen Daten über strafrechtliche Verurteilungen und Straftaten und
2. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
(3) Die Folgenabschätzung umfasst insbesondere:
1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von der verantwortlichen Stelle verfolgten berechtigten Interessen;
2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten si-chergestellt und der Nachweis dafür erbracht wird, dass die datenschutzrechtlichen Regelun-gen eingehalten werden.
(4) Die verantwortliche Stelle holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des dezentral Beauftragten ein, sofern ein solcher benannt wurde.
§ 23a Pflichten bei gemeinsamer Verantwortung
(1) Gemeinsam Verantwortliche legen in einer Vereinbarung fest, wer von ihnen welche Verpflich-tung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der be-troffenen Person angeht, und wer welchen Informationspflichten nachkommt. Dabei sind gege-benenfalls andere Rechtsvorschriften, denen die Verantwortlichen unterliegen, zu berücksichti-gen.
(2) Die Informationspflichten der gemeinsam verantwortlichen Stellen bei Datenerhebung beziehen sich auch auf die Informationen, die gemäß Absatz 1 dokumentiert sind.
(3) Ungeachtet der Einzelheiten der Vereinbarung gemäß Absatz 1 kann die betroffene Person ihre Rechte im Rahmen dieser Verordnung bei jeder einzelnen der gemeinsam verantwortlichen Stel-len geltend machen.
VIERTER ABSCHNITT: AUFSICHTSGREMIUM UND BEAUFTRAGTE FÜR DEN DATENSCHUTZ
§ 24 Bestellung und Stellung des Bundesbeauftragten für Datenschutz
(1) Das Präsidium des Bundes bestellt einen Bundesbeauftragten für Datenschutz im Einklang mit § 27 per Beschluss.
(2) Der Bundesbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbeson-dere des Fachwissens bestellt, das er auf dem Gebiet des Datenschutzrechts und der Daten-schutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in § 25 genann-ten Aufgaben.
(3) Der Bundesbeauftragte kann Beschäftigter des Bundes sein oder seine Aufgaben auf der Grund-lage eines Dienstvertrags oder Dienstleistungsvertrags erfüllen.
(4) Die Arbeitszweige und Einrichtungen des Bundes stellen sicher, dass der Bundesbeauftragte frühzeitig über Projekte für Verfahren, bei denen es zur Verarbeitung von personenbezogener Daten kommen wird, informiert wird, falls diese Stellen keinen dezentralen Beauftragten für den Datenschutz bestellt haben.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 18 von 25
(5) Die Geschäftsführung des Bundes unterstützt den Bundesbeauftragten, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
(6) Das Präsidium des Bundes stellt sicher, dass der Bundesbeauftragte bei der Erfüllung seiner Auf-gaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Bundesbeauf-tragte darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
(7) Der Bundesbeauftragte berichtet dem Datenschutzrat.
(8) Der Bundesbeauftragte ist jederzeit zur Anrufung des Präsidiums des Bundes berechtigt.
(9) Betroffene Personen können den Bundesbeauftragten zu allen mit der Verarbeitung ihrer per-sonenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Vorrangig ist die Anrufung des dezentralen Datenschutzbeauftragten gemäß § 26.
(10) Der Bundesbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung des Datengeheim-nisses und der Vertraulichkeit gebunden.
(11) Der Bundesbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Die Geschäftsfüh-rung des Bundes stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessen-konflikt führen.
(12) Die Abberufung des Bundesbeauftragten ist nur mit Zustimmung des Bundesrats zulässig. Eine vorläufige Suspendierung durch das Präsidium ist nur aus wichtigem Grund möglich. In diesem Fall nimmt der Vertreter die Rechte und Pflichten des Bundesbeauftragten wahr. Die Suspendie-rung ist schriftlich zu begründen und längstens bis zum nächsten Bundesrat wirksam.
§ 25 Aufgaben und Befugnisse des Beauftragten des Bundes für den Datenschutz
(1) Der Bundesbeauftragte sensibilisiert, informiert und berät die Stellen des Bundes über Fragen und maßgebliche Entwicklungen des Datenschutzes sowie über die Vermeidung von Risiken.
(2) Er unterrichtet betroffene Personen auf Anfrage über deren persönliche Rechte aus dieser Ord-nung.
(3) Er nimmt Beschwerden von betroffenen Personen und von bei Stellen des Bundes Beschäftigten entgegen und übergibt sie dem Datenschutzrat zur Bearbeitung.
(4) Er wirkt bei der Überwachung der Einhaltung dieser Ordnung durch Durchführung von Prüfun-gen mit. Dabei kann er sich durch ein Mitglied des Datenschutzrates vertreten oder unterstützen lassen. Für die Durchführung von Prüfungen gelten die folgenden Regeln:
a) Der Prüfer wird von der betroffenen verantwortlichen Stelle bei der Erfüllung seiner unter-stützt. Auf Verlangen ist ihm Auskunft sowie Einsicht in alle Unterlagen und Akten über die Verarbeitung personenbezogener Daten zu geben, und es sind alle diesbezüglich gespeicher-ten Daten bereitzustellen;
b) der Prüfer teilt die Ergebnisse seiner Prüfungen der betroffenen verantwortlichen Stelle und dem Datenschutzrat mit. Damit können Vorschläge zur Verbesserung des Datenschutzes, ins-besondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung personenbezo-gener Daten und eine Aufforderung zur Stellungnahme verbunden sein;
c) Aufzeichnungen gemäß § 4 sowie personenbezogene Daten, die dem Arztgeheimnis unter-liegen, sind von solchen Prüfungen ausgenommen;
d) Das Kirchengericht unterliegt der Prüfung durch den Datenschutzrat nur, soweit es in eigenen Angelegenheiten als Verwaltung tätig wird.
(5) Der Bundesbeauftragte kann Musterverträge und Standards zur Verarbeitung personenbezoge-ner Daten erstellen, deren Einsatz und Umsetzung überprüfen und die Ergebnisse veröffentli-chen.
(6) Der Bundesbeauftragte ist stimmberechtigtes Mitglied des Archivbeirats des Bundes.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 19 von 25
§ 26 Dezentrale Beauftragte für den Datenschutz
(1) Arbeitszweige, Einrichtungen und Landesverbände des Bundes bestellen einen dezentralen Be-auftragten für den Datenschutz, wenn bei ihnen in der Regel mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beauftragt sind. Eine freiwillige Bestel-lung ist jederzeit möglich. Ein solcher Beauftragter ist auch von Gemeinden zu bestellen, wenn sie in der Regel mehr als 200 Mitglieder haben.
(2) Eine Bestellung soll befristet für mindestens drei Jahre erfolgen. Die erneute Bestellung ist zu-lässig.
(3) Die Bestellung kann sich auf mehrere verantwortliche Stellen erstrecken.
(4) Zu dezentralen Beauftragten dürfen nur Personen bestellt werden, die das zur Erfüllung ihrer Aufgaben erforderliche Fachwissen und die notwendige Zuverlässigkeit besitzen.
(5) Zu dezentralen Beauftragten sollen diejenigen nicht bestellt werden, die mit der Leitung der Da-tenverarbeitung beauftragt sind oder denen die Leitung einer Stelle des Bundes obliegt.
(6) Die Bestellung von dezentralen Beauftragten erfolgt schriftlich und ist dem Datenschutzrat an-zuzeigen.
(7) Die Kontaktdaten sind durch die beauftragende Stelle des Bundes zu veröffentlichen.
(8) Ist der dezentral Beauftragte weder Beschäftigter einer Stelle des Bundes noch Mitglied einer Gemeinde des Bundes, so sind seine Leistungen vertraglich zu regeln.
(9) Die verantwortliche Stelle stellt sicher, dass der Beauftragte frühzeitig über Projekte für Verfah-ren, bei denen es zur Verarbeitung von personenbezogener Daten kommen wird, informiert wird.
(10) Betroffene Personen und Beschäftigte können sich unmittelbar an die örtlich Beauftragten wenden.
(11) Soweit bei Stellen des Bundes keine Verpflichtung für die Bestellung von Personen als dezentrale Beauftragte für den Datenschutz besteht, hat die Leitung die Erfüllung der Aufgaben gemäß Abs. 16 in anderer Weise sicherzustellen.
(12) Die dezentralen Beauftragten sind der Leitung der jeweiligen Stelle des Bundes unmittelbar un-terstellt. Der oder die Beauftragte berichtet an die Leitung.
(13) Die dezentralen Beauftragten sind im Rahmen ihrer Aufgaben gemäß Abs. 16 weisungsfrei. Sie dürfen wegen dieser Tätigkeit nicht benachteiligt werden. Sie können Auskünfte verlangen, Ein-sicht in Unterlagen nehmen und erhalten Zugang zu personenbezogenen Daten und den Verar-beitungsvorgängen. Die Stelle des Bundes unterstützt die dezentralen Beauftragten bei der Er-füllung ihrer Aufgaben.
(14) Zur Erlangung und zur Erhaltung des erforderlichen Fachwissens hat die verantwortliche Stelle den dezentral Beauftragten die Teilnahme an Fortbildungsveranstaltungen zu ermöglichen und die Kosten zu tragen.
(15) Ist der dezentral Beauftragte Beschäftigter einer Stelle des Bundes, so ist die Abberufung nur aus wichtigem Grund zulässig.
(16) Für die Stelle, die den dezentral Beauftragten bestellt hat, übernimmt der Beauftragte folgende Aufgaben:
a) Unterrichtung und Beratung zu dieser Ordnung;
b) Hinwirkung auf die Einhaltung dieser Ordnung;
c) Zusammenarbeit mit dem Datenschutzrat.
§ 27 Aufsichtsgremium
(1) Über die Einhaltung dieser Ordnung wacht ein unabhängiges Aufsichtsgremium für den Daten-schutz (Datenschutzrat).
(2) Der Datenschutzrat wird vom Bundesbeauftragten für den Datenschutz geleitet und nach außen vertreten.
(3) Der Leiter des Datenschutzrats und sein Stellvertreter werden vom Präsidium des Bundes beru-fen. Weiterhin sollte eine dritte Person als Mitglied berufen werden. Der Datenschutzrat besteht
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 20 von 25
aus mindestens zwei Mitgliedern. Die Berufung erfolgt unter Berücksichtigung von Fachwissen, Zuverlässigkeit, Erfahrung und Interessenkonflikten. Die Berufung der Mitglieder erfolgt in der Regel auf fünf Jahre befristet. Die erneute Bestellung ist zulässig.
(4) Die dezentralen Beauftragten des Bundes können aus ihrem Kreis ein Mitglied in den Daten-schutzrat per Beschluss entsenden.
(5) Der stellvertretende Leiter des Datenschutzrats ist gleichzeitig Stellvertreter des Bundesbeauf-tragten für den Datenschutz.
(6) Der Datenschutzrat handelt bei der Erfüllung seiner Aufgaben und bei der Ausübung seiner Be-fugnisse völlig unabhängig. Er unterliegt weder direkter noch indirekter Beeinflussung von au-ßen und nimmt keine Weisungen entgegen.
(7) Der Datenschutzrat erstellt in der Regel einmal pro Jahr einen Tätigkeitsbericht. Der Tätigkeits-bericht wird dem Präsidium des Bundes übermittelt und dem Bundesrat zur Kenntnis gegeben. Er kann eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnah-men enthalten.
(8) Der Datenschutzrat kann Verwaltungsaufgaben auf die Geschäftsführung des Bundes übertra-gen.
(9) Dem Datenschutzrat werden seitens des Bundes die Finanzmittel zur Verfügung gestellt, um seine Aufgaben effektiv wahrnehmen zu können.
(10) Werden dem Datenschutzrat Verstöße gegen die Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten bekannt, so beanstandet er dies gegen-über der verantwortlichen Stelle oder gegenüber dem Auftragsverarbeiter und fordert zur Stel-lungnahme innerhalb einer von ihm gesetzten Frist auf. Von einer Beanstandung kann abgese-hen werden, wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Mit der Aufforderung zur Stellungnahme können Vorschläge zur Beseitigung der Mängel oder zur sons-tigen Verbesserung des Datenschutzes verbunden werden. Die Stellungnahme der verantwort-lichen Stelle bzw. gegebenenfalls des Auftragsverarbeiters soll eine Darstellung der Maßnahmen enthalten, die aufgrund der Mitteilung des Datenschutzrats getroffen worden sind.
(11) Der Datenschutzrat ist befugt, bei Bedarf anzuordnen:
1. Verarbeitungsvorgänge auf bestimmte Weise in Einklang mit dieser Ordnung zu bringen;
2. Verarbeitungsvorgänge vorübergehend oder dauerhaft zu beschränken oder zu unterlassen;
3. personenbezogene Daten zu berichtigen, zu sperren oder zu löschen;
4. die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entspre-chend zu benachrichtigen.
(12) Der Datenschutzrat gibt sich eine Geschäftsordnung.
(13) Die Mitglieder sind bei der Erfüllung ihrer Aufgaben an die Wahrung des Datengeheimnisses und der Vertraulichkeit gebunden. Dies gilt nicht für Mitteilungen zwischen den Mitgliedern. Ehema-lige Mitglieder dürfen sich zu Angelegenheiten, die während ihrer Mitgliedschaft der Verschwie-genheit unterlagen, ohne Genehmigung des Datenschutzrates nicht äußern.
(14) Die Abberufung eines Mitglieds des Datenschutzrats ist nur mit Zustimmung des Bundesrats zu-lässig. Eine vorläufige Suspendierung durch das Präsidium ist nur aus wichtigem Grund möglich. Die Suspendierung ist schriftlich zu begründen und längstens bis zum nächsten Bundesrat wirk-sam.
(15) Der Datenschutzrat kann mit Zustimmung des Präsidiums des Bundes Durchführungsbestim-mungen zu dieser Ordnung und ergänzende Bestimmungen zum Datenschutz beschließen. Diese dürfen dieser Ordnung nicht widersprechen.
(16) Der Datenschutzrat ist oberste Aufsichtsbehörde im Sinne des Art. 91 Abs. 2 DSGVO.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 21 von 25
§ 28 Geldbußen
(1) Verstößt eine verantwortliche Stelle oder ein Auftragsverarbeiter, der dieser Ordnung unter-liegt, vorsätzlich oder fahrlässig gegen Bestimmungen dieser Ordnung, so kann der Datenschutz-rat Geldbußen verhängen oder für den Wiederholungsfall androhen.
(2) Der Datenschutzrat stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirk-sam, verhältnismäßig und abschreckend ist.
(3) Geldbußen werden je nach den Umständen des Einzelfalls verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Höhe ist insbesondere Folgendes zu berücksich-tigen:
1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
2. Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
3. jegliche von der verantwortlichen Stelle oder dem Auftragsverarbeiter getroffenen Maßnah-men zur Minderung des den betroffenen Personen entstandenen Schadens;
4. etwaige einschlägige frühere Verstöße der verantwortlichen Stelle oder des Auftragsverar-beiters;
5. die Bereitschaft zur Zusammenarbeit mit dem Aufsichtsgremium, um dem Verstoß abzuhel-fen und seine möglichen nachteiligen Auswirkungen zu mindern;
6. die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
7. die Art und Weise, wie der Verstoß dem Aufsichtsgremium bekannt wurde;
8. jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmit-telbar oder mittelbar durch den Verstoß erlangte wirtschaftliche Vorteile oder vermiedene Nachteile;
9. die wirtschaftlichen Verhältnisse der verantwortlichen Stelle bzw. des Auftragsverarbeiters.
(4) Bei Verstößen werden im Einklang mit Abs. 3 Geldbußen von bis zu 100.000 Euro verhängt. Nimmt die Stelle nicht als Unternehmen am Wettbewerb teil, so gilt als Höchstgrenze 50.000 Euro.
(5) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich oder anstelle von Maßnah-men nach § 27 Abs. 11 verhängt.
(6) Die gegebenenfalls vereinnahmten Gelder werden auf Beschluss des Datenschutzrats Stellen des Bundes zur Verwendung in Mission oder Diakonie zur Verfügung gestellt.
§ 29 Recht auf Beschwerde
(1) Jede Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an den Datenschutzrat wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezoge-nen Daten in ihren Rechten verletzt worden zu sein.
(2) Der Datenschutzrat unterrichtet die betroffene Person über den Stand der Bearbeitung und das Ergebnis der Beschwerde.
(3) Niemand darf wegen der Mitteilung von Tatsachen, die geeignet sind, den Verdacht aufkommen zu lassen, diese Ordnung oder eine andere anzuwendende Rechtsvorschrift über den Daten-schutz sei verletzt worden, gemaßregelt oder benachteiligt werden. Beschäftigte müssen für Mitteilungen an den Datenschutzrat nicht den Dienstweg einhalten.
(4) Gegen Entscheidungen des Datenschutzrats kann beim Kirchengericht geklagt werden. Im Fall von § 28 Abs. 3 hat die Klage aufschiebende Wirkung.
§ 30 Schadensersatz durch verantwortliche Stelle
(1) Jede Person, der wegen einer Verletzung der Regelungen dieser Ordnung ein Schaden entstan-den ist, hat einen Anspruch auf Schadensersatz gegen die verantwortliche Stelle. Wegen eines
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 22 von 25
Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Ent-schädigung in Geld verlangen.
(2) Eine verantwortliche Stelle wird von der Haftung gemäß Abs. 1 befreit, wenn sie nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
(3) Auf das Mitverschulden der betroffenen Person ist § 254 des Bürgerlichen Gesetzbuches und auf die Verjährung sind die Verjährungsfristen für unerlaubte Handlungen des Bürgerlichen Gesetz-buches entsprechend anzuwenden.
(4) Mehrere Ersatzpflichtige haften als Gesamtschuldner im Sinne des Bürgerlichen Gesetzbuches.
(5) Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben unberührt.
(6) Beansprucht ein Betroffener Schadensersatz, so soll zunächst das Kirchengericht des Bundes eine Anhörung mit dem Ziel einer Einigung vornehmen.
FÜNFTER ABSCHNITT: VORSCHRIFTEN FÜR BESONDERE VERARBEITUNGS-SITU-ATIONEN
§ 31 Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen
(1) Daten von Beschäftigten dürfen nur verarbeitet werden, soweit dies zur Begründung, Durchfüh-rung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses oder zur Durchführung or-ganisatorischer, personeller und sozialer Maßnahmen, insbesondere auch für Zwecke der Per-sonalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Vertrag oder eine Dienstvereinbarung dies vorsieht.
(2) Im Zusammenhang mit dem Verdacht auf Straftaten und Amtspflichtverletzungen, die durch Be-schäftigte begangen worden sein sollen, insbesondere zum Schutz möglicher Betroffener, dür-fen unter Beachtung des Verhältnismäßigkeitsgrundsatzes personenbezogene Daten von Be-schäftigten verarbeitet werden, solange der Verdacht nicht ausgeräumt ist und die Interessen von möglichen Betroffenen dies erfordern.
(3) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Um-stände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder die verantwortliche Stelle und die beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Die verantwortliche Stelle hat die beschäftigte Per-son über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht aufzuklären.
(4) Eine Offenlegung der Daten von Beschäftigten an Strafverfolgungsbehörden ist zulässig, wenn sie zur Aufdeckung einer Straftat oder Amtspflichtverletzung oder zum Schutz möglicher Be-troffener erforderlich erscheint.
(5) Die Offenlegung von Daten von Beschäftigten an künftige Dienst- oder Arbeitgeber ist nur mit Einwilligung der betroffenen Person zulässig.
(6) Verlangt die verantwortliche Stelle zur Begründung oder im Rahmen eines Beschäftigungsver-hältnisses notwendige medizinische oder psychologische Untersuchungen und Tests zur Fest-stellung der Eignung des Bewerbers, darf die verantwortliche Stelle lediglich die Offenlegung des Ergebnisses der Begutachtung verlangen.
(7) Personenbezogene Daten, die vor Begründung eines Beschäftigungsverhältnisses erhoben wur-den, sind spätestens ein Jahr, nachdem feststeht, dass ein solches nicht zustande kommt, zu löschen Dies gilt nicht, soweit überwiegende berechtigte Interessen der verantwortlichen Stelle der Löschung entgegenstehen oder die betroffene Person in die weitere Speicherung einwilligt.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 23 von 25
(8) Für die Verarbeitung von Sozialdaten gemäß Sozialgesetzbuch X. Buch (SGB X) gelten die Best-immungen dieses Gesetzbuchs.
(9) Nach Beendigung eines Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, soweit diese Daten nicht mehr benötigt werden.
§ 32 Verarbeitung personenbezogener Daten für wissenschaftliche und statistische Zwecke
(1) Für Zwecke der wissenschaftlichen Forschung und der Statistik erhobene oder gespeicherte per-sonenbezogene Daten dürfen nur für diese Zwecke verarbeitet werden.
(2) Die personenbezogenen Daten sind zu anonymisieren, sobald dies möglich ist. Bis dahin sind die Merkmale gesondert zu speichern, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können. Sie dür-fen mit den Einzelangaben nur zusammengeführt werden, soweit der Zweck dies erfordert.
(3) Die Veröffentlichung personenbezogener Daten, die für Zwecke wissenschaftlicher oder historischer Forschung sowie der Statistik übermittelt wurden, ist zulässig, wenn
a) die betroffene Person eingewilligt hat oder
b) dies für die Darstellung von Forschungsergebnissen über Ereignisse der Zeitgeschichte un-erlässlich ist, es sei denn, dass das Präsidium des Bundes beschließt, dass Grund zu der An-nahme besteht, dass durch die Veröffentlichung der Auftrag des Bundes gefährdet würde oder erhebliche Risiken für die Rechte betroffener Personen bestehen.
(4) Die Offenlegung personenbezogener Daten an andere als Stellen des Bundes für Zwecke der wissenschaftlichen Forschung und der Statistik ist nur zulässig, wenn diese Stelle sich verpflich-ten, die offengelegten Daten nicht für andere Zwecke zu verarbeiten und die Vorschriften der Absätze 2 und 3 einzuhalten. Der Auftrag der Stellen des Bundes darf durch die Offenlegung nicht gefährdet werden.
§ 33 Verarbeitung personenbezogener Daten für journalistische Zwecke
(1) Führt eine Verarbeitung gemäß § 5 Abs. 2 Buchstabe h) zur Veröffentlichung von Gegendarstel-lungen der betroffenen Person, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.
(2) Wird jemand durch eine Berichterstattung gemäß § 5 Abs. 2 Buchstabe h) in seinem Persönlich-keitsrecht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrundeliegen-den, zu seiner Person gespeicherten Daten verlangen. Die Auskunft kann verweigert werden, soweit aus den Daten auf die berichtenden oder einsendenden Personen oder die Gewährsleute von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann.
§ 34 Veranstaltungen von Stellen des Bundes
(1) Die Aufzeichnung, Übertragung oder sonstige Veröffentlichung von Gottediensten oder anderen öffentlichen Veranstaltungen einer Stelle des Bundes ist vorbehaltlich der Abs. 2 und 3 (auch auszugsweise) zulässig. Die Zulässigkeit erstreckt sich auf visuelle, audiovisuelle und auditive Medien.
(2) Die Veröffentlichung ist nur zulässig, wenn die betroffenen Personen vor oder zu Veranstal-tungsbeginn durch geeignete Maßnahmen über Art und Umfang sowie den konkreten Ort der Veröffentlichung informiert werden. Diese Information ist für die verantwortliche Stelle verbind-lich, eine nachträgliche Ergänzung und Erweiterung, insbesondere des Veröffentlichungsum-fangs, unzulässig.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 24 von 25
(3) Die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern könnten, sind vor einer Veröffentlichung zu prüfen (Risiko-analyse). Droht ein erhöhtes Risiko, das den Schutz personenbezogener Daten erforderlich scheinen lässt, ist eine Veröffentlichung nur zulässig, sofern sichergestellt ist, dass eine Identifi-zierung der betroffenen Person über das veröffentlichte Material ausgeschlossen ist.
§ 35 Videoüberwachung öffentlich zugänglicher Räume
(1) Die Beobachtung öffentlich zugänglicher Bereiche innerhalb und außerhalb von Dienstgebäuden mittels optisch-elektronischer Einrichtungen ist nur zulässig, soweit sie
1. in Ausübung des Hausrechts der kirchlichen Stelle oder
2. zum Schutz von Personen und Sachen
erforderlich ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Be-troffenen überwiegen. Das Interesse an der nicht überwachten Teilnahme an Veranstaltungen von Gemeinden des Bundes ist besonders schutzwürdig.
(2) Der Umstand der Beobachtung und der Name und die Kontaktdaten der verantwortlichen Stelle sind gegebenenfalls durch geeignete Maßnahmen erkennbar zu machen.
(3) Die Speicherung oder Verwendung von nach Abs. 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zweckes erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
(4) Die gespeicherten Daten dürfen von der verantwortlichen Stelle an eine Strafverfolgungsbe-hörde übermittelt werden, falls diese die Daten anfordert.
(5) Die Daten sind unverzüglich, in jedem Fall aber innerhalb eines Monats zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffe-nen einer weiteren Speicherung entgegenstehen.
SECHSTER ABSCHNITT: DATENSCHUTZ IN RECHTLICH SELBSTÄNDIGEN EINRICH-TUNGEN
§ 36 Geltung der Datenschutzordnung für selbständige Einrichtungen
(1) Befindet sich eine rechtlich selbständige Einrichtung im Status der Bekenntnisgemeinschaft mit dem Bund und unterwirft sie sich durch schriftliche Erklärung gegenüber dem Präsidium oder der Geschäftsführung des Bund den Regelungen dieser Ordnung, so gilt die Einrichtung als Stelle des Bundes und die Regelungen dieser Ordnung gelten gegebenenfalls sinngemäß.
(2) Einrichtungen gemäß Abs. 1 regeln die Verantwortlichkeit für die Einhaltung dieser Ordnung und der allgemein gültigen Regelungen und Gesetze zum Datenschutz innerhalb ihrer jeweiligen Or-ganisation.
(3) Einrichtungen gemäß Abs. 1 müssen einen Beauftragten für den Datenschutz (Betriebsbeauf-tragter) im Sinne von § 26 bestellen, wenn in der Einrichtung regelmäßig mindestens fünf Per-sonen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Der Betriebsbe-auftragte muss nicht Mitglied bzw. Beschäftigter der Einrichtung sein.
(4) Der Bund führt eine Übersicht über die Einrichtungen, für die die Datenschutzordnung entspre-chend Abs. 1 gilt. In die Übersicht sind auf Basis der Mitteilung der Einrichtung jeweils aufzuneh-men:
1. Name und Anschrift der Einrichtung und
2. Name und Anschrift des für den Datenschutz der Einrichtung Verantwortlichen und des Be-triebsbeauftragten.
5) Bei Einrichtungen gemäß § 36 Abs. 1 wird eine jährliche Gebühr erhoben, die zu Datenschutz-zwecken verwendet wird. Näheres regelt eine Gebührenordnung, die von der Bundesgeschäfts-führung festgelegt wird.
Datenschutzordnung des Bundes Evangelisch-Freikirchlicher Gemeinden K.d.ö.R. – Stand 05/2023 Seite 25 von 25
SIEBENTER ABSCHNITT: SCHLUSSBESTIMMUNGEN
§ 37 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses der EU-Kommission
(1) Ein von der EU-Kommission auf der Grundlage des Art. 45 DSGVO beschlossener Durchfüh-rungsrechtsakt (Angemessenheitsbeschluss) gilt für die Dauer seiner Rechtskraft auf EU-Ebene unmittelbar auch im Anwendungsbereich dieser Datenschutzordnung.
(2) Bereits rechtskräftige Angemessenheitsbeschlüsse der EU-Kommission im Sinne des Abs. 1 gel-ten mit Inkrafttreten dieser Ordnung auch in deren Anwendungsbereich.
§ 38 Ergänzende Bestimmungen
(1) Die verantwortliche Stelle muss die Einhaltung dieser Ordnung nachweisen können.
(2) Die Stellen des Bundes können im Rahmen ihrer Befugnisse für ihren Bereich Durchführungsbe-stimmungen zu dieser Ordnung und ergänzende Bestimmungen zum Datenschutz beschließen. Diese dürfen dieser Ordnung nicht widersprechen. Die vom Datenschutzrat beschlossenen Bestimmungen sind vorrangig.
(3) Soweit personenbezogene Daten von Sozialleistungsträgern nach außen offengelegt werden sol-len, gelten zum Schutz dieser Daten ergänzend die staatlichen Bestimmungen entsprechend.
§ 39 Übergangsregelungen
(1) Bisherige Bestellungen der Beauftragten für den Datenschutz gemäß den §§ 20 und 21 der Da-tenschutzordnung des Bundes vom 1. Januar 2010, zuletzt geändert am 6. Mai 2016, bleiben unberührt. Für diese Bestellungen gelten die Regelungen des § 26 mit Inkrafttreten dieser Ord-nung.
(2) Bisherige Unterwerfungen gemäß § 18 der Datenschutzordnung des Bundes vom 1. Januar 2010, zuletzt geändert am 6. Mai 2016, verlieren zum 31. Dezember 2018 ihre Gültigkeit. Die Möglich-keit einer erneuten ausdrücklichen Unterwerfung gemäß § 36 dieser Ordnung bleibt unberührt.
§ 40 Gleichstellung
Wird in dieser Ordnung die männliche sprachliche Form der Personenbeschreibung verwendet, erlaubt dieses keinen Rückschluss auf das Geschlecht einer Person.
§ 41 Inkrafttreten, Außerkrafttreten
Diese Ordnung tritt am 24. Mai 2018 in Kraft. Gleichzeitig tritt die Datenschutzordnung des Bundes vom 1. Januar 2010, zuletzt geändert am 6. Mai 2016, außer Kraft.
Diese Ordnung wurde geändert mit Beschluss des Bundesrates am 31.05.2019, am 6. November 2021 und am 19. Mai 2023.