Evang.-Luth. Landeskirche Mecklenburgs

XIII Landessynode

10. Tagung

28. – 30. Oktober 2004

Bericht des Datenschutzbeauftragten für den Berichtszeitraum

1. Oktober 2003 bis 30. September 2004

Kirche und Datenschutz

Weiterhin in der Diskussion bleibt die Frage, wieweit das Bundesdatenschutzgesetz auf kirchliche Träger und kirchliche Stellen anwendbar ist.

Mit weitgehender Übereinstimmung aller an der Diskussion beteiligten Gremien und maßgeblicher Rechtwissenschaftler festgehalten werden kann mit der letzten Tagung der Datenschutzbeauftragten vom 11./12. Mai 2004, dass alle öffentlich-rechtlich organisierten kirchlichen Stellen jedenfalls – also die Behörden der Landeskirchen, Kirchengemeinden und der übrigen Organisationsebenen der verfassten Kirche – nicht dem Bundesdatenschutzgesetz unterliegen. Der Kirche ist es überlassen, eine eigenständige rechtliche Regelung zu treffen, auch „Exemtionslösung“ genannt.

§ 1 Abs. 2 DSG-EKD, wonach das kirchliche Datenschutzrecht für kirchliche Behörden und Dienststellen ,,ohne Rücksicht auf deren Rechtsform" für kirchliche Werke und Einrichtungen der Evangelischen Kirche in Deutschland und der Gliedkirchen gilt, umfasst darüber hinaus - zurecht - den vorbezeichneten weiteren Bereich. Rechtstheoretisch wird nun diskutiert, ob dabei differenziert werden muß für kirchliche Stellen, die in der Rechtsform einer juristischen Person des Privatrechts organisiert sind. Dort gelte zwar das Selbstbestimmungsrecht nach Art. 140 GG i.V.m. Art. 137 Abs. 3 WRV. Grundsätzlich komme aber das Bundesdatenschutzgesetz zur Anwendung, nur moderiert in den Rechtsfolgen im Sinne einer sogenannten „Subsumtionslösung“.

Die weitergehende Exemtion für den Bereich der privatrechtlich verfassten diakonischen und sonstigen selbständigen Träger wird damit in Frage gestellt.

Es geht dabei um die Gewichtung und gegebenenfalls zunehmende Öffnung in Hinblick auf Abwägungsansprüche, bei denen das Selbstbestimmungsrecht der Religionsgemeinschaft zu einem staatlich zu schützenden Schutzgut der informationellen Selbstbestimmung in Verhältnis gesetzt wird. Es wird mit diesem begrifflich konstruierten Gegensatz letztlich nach diesseitiger Auffassung das Problem aufgeworfen, dass einerseits mit dem Zwang, wirtschaftliche Wettbewerbsspielräume nicht verengen zu lassen oder besser sogar auszuweiten, verstärkt formell die Aufgabenwahrnehmung privatrechtlich gestaltet werden muß. Der Diskussionsansatz, der für jeden Fall einer solchen Entscheidung der Rechtsformwahl – ohne eigentlich den kirchenrechtlich verfassten materiellen Anspruch aufgeben zu wollen – andererseits jeweils sofort die neue Rechtspersönlichkeit aus dem Exemtionsbereich des materiell-rechtlich näher liegenden und gewollten kircheneigenen DSG-EKD quasi automatisch herausstellt, wirft damit dogmatisch nicht notwendige Risiken und damit Beschränkungen auf. Wettbewerbsspielräume werden eingeengt. Rechtsformwahlüberlegungen werden unter dem Gesichtpunkt verstärkter inhaltlicher Anwendungsdichte und Aufsichtsbefugnisse unter dem BDSG und dem Verlassen des kirchlichen DSG restriktiv beeinflusst.

Sein Ansatz, dass sich über Einzelabwägungen im Rahmen einer Subsumtion dieser materiell-rechtliche Spielraum des gewährleisteten Selbstbestimmungsrechts der Kirche wieder einstelle oder wieder hergestellt werden könne, weist in eine defensive Richtung, die mit dem Auftrag der Kirche - aktiv zu missionieren und aktiv zu agieren - so schwer in Übereinstimmung zu bringen ist.

2. Beobachtungen und Anfragen

2.1. Rechtssammlung Datenschutz in der Evangelischen Kirche in Deutschland

Durch den Datenschutzbeauftragten der Evangelisch-Lutherischen Landeskirche Sachsens wurde eine Rechtssammlung zu dem EKD-Datenschutzgesetz erstellt. Die Sammlung von Rechtsvorschriften, Verordnungen und Richtlinien zum Datenschutz aus den Gliedkirchen der Evangelischen Kirche in Deutschland mit dem novellierten DSG-EKD und das Kirchengesetz über die Anwendung des Kirchengesetzes über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) in der Evangelisch-Lutherischen Landeskirche Mecklenburgs kann über den Unterzeichnenden auch angefordert werden gegen eine geringe Kostenpauschale.

.

Die CD-R enthält auch Links zu kirchlichen und staatlichen Internetseiten, die sich mit Datenschutz befassen.

2.2. Kirchlicher Datenschutz: Internet- und E-Mail-Nutzung

In Anknüpfung an die in dem Vorjahresbericht dargestellten Grundsätze zu dem Anschluss von PCs und PC-Netzen kirchlicher Stellen an das Internet darf ich in diesem Jahr über die von Seiten der Datenschutzbeauftragten anlässlich des Treffens im Mai verglichenen praktischen Lösungsansätze berichten.

Es besteht danach ein weites Spektrum, das von einem völligen Verbot privater Nutzung bis hin zu einem sehr liberalen Umgang reicht.

Konsens herrschte darüber, dass eine Dienstvereinbarung in allen anderen als dem erstgenannten Fall abzuschließen ist.

Da hierzu ein voll ausformuliertes Muster nützlich ist, darf ich diesem Bericht die Dienstvereinbarung in der Dienststelle des Bevollmächtigten der EKD, die sich an einer Empfehlung des Bundesdatenschutzbeauftragten orientiert, zur weiteren Verwendung beifügen (Anlage). Bei einem beabsichtigten Abschluss einer solchen Vereinbarung wird die Unterstützung des Datenschutzbeauftragten angeboten.

Damit werden Regelungen zu der Frage, inwieweit nur eine dienstliche oder auch eine private Nutzung zugelassen werden soll und in welchem Umfang und zu welchem Zweck eine Protokollierung der E-Mail-Nutzung und Internet-Nutzung erfolgen soll, getroffen und Rechtssicherheit für die Beteiligten hergestellt..

2.3. Anfragen

Die in diesem Jahr erfolgten Anfragen an die Datenschutzbeauftragten haben sich wiederum im wesentlichen um den Kernbereich des Austausches von Datenbeständen gehandelt.

Die Zahl der Anfragen ist etwas gestiegen. Sie waren, und das ist eine erfreuliche Entwicklung, weil sie die vertiefte Verankerung des Bewusstseins über den Stellenwert des Datenschutzes zeigt, dabei durchgängig auf die Auskunft, wie richtig zu verfahren sei, gerichtet.

Beschwerden waren dieses Berichts-Jahr keine zu verzeichnen.

3. Datenschutzkontakt

Die jährliche Tagung der Beauftragten für Datenschutz der Mitgliedskirchen der EKD hat wiederum in Berlin am 11./12. Mai 2004 stattgefunden. Gegenstand der Tagung waren aktuelle Fragen des Datenschutzes, Datenschutz im Internet, Datenschutz in der europäischen Union, die Zuordnung privatrechtlich organisierter diakonischer Einrichtungen zur evangelischen Kirche und die Anwendung von BDSG oder DSG und die Einsichtnahme der Kranken- und Pflegekassen in die Pflegedokumentation.

Das jährliche diesjährig 10. Treffen der Datenschutzbeauftragten der neuen Bundesländer findet vom 06. 10. -/8.10.2004 in Juliusruh auf Rügen statt.

4. Datenschutzaufklärung

Zu der Frage nach der Anwendbarkeit der verschiedenen Datenschutzgesetze wird auf die Ausführungen zu Punkt 1 verwiesen. Folgende Thesen möchte ich mit diesem Bericht zur Diskussion stellen:

Unter dem Obersatz, dass eine defensive Einstellung bei Datenschutzrechten dem Auftrag der Kirche - aktiv zu missionieren und aktiv zu agieren – nicht gerecht wird ergeben sich Grundsätze für die weitere Diskussion, die ich ausschnittsweise wie folgt fassen möchte:

1. Dem Gesetzgeber kann es nicht wertungsfrei überlassen werden, die Rechtsformwahl als präjudizierend für den Maßstab des kirchlichen Selbstbestimmungsrechts zu verankern.

2. Die Schlussfolgerung aus den für kirchliche Werke und Einrichtungen geltenden bereichspezifischen Datenschutzrechten - wie Telekommunikation- und Medienschutzrecht - dahin, dass ein Festhalten an dem Obersatz einer Exemtionslösung bereits widerlegt sei, darf nicht ausdehnend dazu führen, den Obersatz in seiner Anwendung einzuschränken oder aufzuheben.

3. Technische und inhaltliche Abwägungen geben ein ausreichendes Instrumentarium, um dem mit dem DSG konkretisierten Schutzgut zu genügen.

4. Ein Hineinwirken des staatlichen DSG und seiner aufsichtsrechtlichen Implikationen in das kirchliche Datenschutzrecht ist unter keinem Gesichtpunkt daher hinzunehmen oder geboten.

5. Entwicklungen, Perspektiven und Ausblick auf künftige Handlungsfelder

Die Internet-Seite zum Datenschutz befindet sich nunmehr im Netz, gemeinsam für die Evangelisch-Lutherische Landeskirche Mecklenburgs und die Pommersche Kirche. Sie ist zu finden unter www.kirche-mv.de/Daten.3623.0.html, also der Internetseite der Landeskirche, zu finden.

Die Seite ist offen für weitere Anregungen und Ergänzungen, zu denen gern hiermit aufgerufen wird.

Bad Doberan,

Dieter B. Schütte

Datenschutzbeauftragter

der Ev.-Luth. Landeskirche Mecklenburgs

Anlagen:

Dienstvereinbarung

zur Nutzung des Internets und der E-Mail-Dienste in der Dienststelle des Bevollmächtigten des Rates der EKD bei der Bundesrepublik und der Europäischen Union

§ 1

Zielsetzung

Die Nutzung des Internetzes soll die Mitarbeiterinnen und Mitarbeiter in die Lage versetzen

- sich über das Internet die für Ihre Arbeit benötigten Informationen in kurzer Zeit zu verschaffen

- über den E-Mail-Dienst die rasche Kommunikation und den Austausch von

elektronischen Daten vorzunehmen.

§ 2

Die Nutzung des Internets und der E-Mail-Dienste erfolgt zu dienstlichen Zwecken und ist auf das notwendige Maß zu beschränken. Die Nutzung entgeltpflichtiger Angebote im Rahmen der Informationsbeschaffung (z.B. juristische Abfragen aus Datenbanken) bedarf einer Genehmigung.

Im geringen Umfang ist auch die private Nutzung durch die Mitarbeiterinnen und Mitarbeiter gestattet. Die private Nutzung darf keine negativen Auswirkungen auf die Bewältigung der Arbeitsaufgaben haben. Kostenpflichtiges Abrufen von Informationen aus dem Internet für den Privatgebrauch ist unzulässig. Da bei der Protokollierung und Auswertung der anfallenden Daten nicht zwischen privater und dienstlicher Nutzung entschieden werden kann, wird eine private Nutzung nur gestattet, wenn die betr. Mitarbeiterinnen und Mitarbeiter die „persönliche Erklärung“ gemäß Anlage 1 dieser Vereinbarung unterzeichnet haben.

§ 3

E-Mail-Nutzung

1) Allen Mitarbeitenden wird das E-Mail-Programm Outlook zur dienstlichen internen und externen Nutzung zur Verfügung gestellt.

2) Einzelheiten zur Nutzung der E-Mail-Dienste werden durch Dienstanweisung geregelt.

§ 4

Allgemeine Schutzmaßnahmen

1) Die Mitarbeiterinnen und Mitarbeiter haben die Bestimmungen des Datenschutzes zu

beachten.

2) Aus Sicherheitsgründen ist es untersagt,

- Änderungen in den Voreinstellungen des Internet-Zugangs am Arbeitsplatz-

PC vorzunehmen;

- Programme (auch Spiele) aus dem Internet per Download auf den Arbeitsplatz-PC zu laden;

- Seiten mit pornographischen, gewaltverherrlichenden oder rassistischen Inhalten aufzurufen;

- sich fremde Zugangsberechtigungen zu verschaffen oder eigene Zugangsberechtigungen an Dritte weiterzugeben.

- vertrauliche personenbezogene Daten über das Internet zu übermitteln.

3) Beim Auftreten sicherheitsrelevanter Ereignisse (ungewöhnliches Systemver-

halten, unerklärlicher Verlust oder Veränderung von Daten und Programmen, Verdacht auf unzulässige Internetnutzung) ist die Systemverwaltung umgehend zu informieren.

4) Sofern die Installation von Programmen dienstlich notwendig ist, darf sie nur

nach Rücksprache mit den Systemadministratoren vorgenommen werden.

§ 5

1) Die Nutzung des Arbeitsplatzcomputers erfolgt ausschließlich durch die einzelnen Mitarbeiter persönlich.

2) Bei Abwesenheit des Mitarbeiters (Dienstreisen, Urlaub, Krankheit) ist

eigenverantwortlich zu regeln, dass eingehende dienstliche E-Mails zur Kenntnis

genommen werden können.

§ 6

Schutzmaßnahmen (Inhaltskontrolle, Protokollierung)

1) Auf sämtlichen am E-Mail-Verkehr und an der Internet-Nutzung beteiligten PCs und Servern werden Informationen zum Übertragungs- und Nutzungsverhalten gespeichert. Zum Schutz des internen Computernetzes vor Angriffen durch Hacker, vor Viren und anderen schädlichen Inhalten finden Inhaltskontrollen und Protokollierungen (z.B. zum Erkennen von Missbrauch) des Datenverkehrs automatisiert statt.

2) Als Inhaltskontrollen werden durchgeführt:

- die Kontrolle der empfangenen / zu versendenden E-Mails auf Viren (zentrale

Virenscannung) sowie weitere relevante Inhalte.

- Kontrolle der eingehenden http-Daten auf ActiveX-Controlls und Java-Applets.

Es werden folgende Daten protokolliert:

1. Dienstliche Kennung des Benutzers oder des PCs, von dem aus zugegriffen wurde,

2. Datum und Uhrzeit,

3. die Dauer der Übertragung der Daten,

4. Menge der übertragenen Daten in Byte,

5. Adresse des Zielrechners, auf den zugegriffen wird,

6. URL (interner Pfad auf dem Zielrechner, der angibt, wo sich die abgerufene In-

formation dort befindet),

Die Protokolldaten werden für einen Zeitraum von einem Monat aufbewahrt und dann wochenweise von der DV-Systemverwaltung gelöscht.

3) Weitere Kontrollmaßnahmen finden nicht statt. Insbesondere werden eingehende

Informationen (E-Mails und WWW-Abrufe) nicht anhand von Suchwörtern auf be-

stimmte Inhalte geprüft.

§ 7

Durchführung der Inhaltskontrollen

1) Die Kontrolle der eingehenden E-Mail erfolgt grundsätzlich automatisiert. Finden sich in eingehenden E-Mails Viren oder andere schädliche Inhalte, so entscheidet die DV-Systemverwaltung, ob sie zurückgeschickt, gelöscht oder geöffnet werden. Die Mitarbeiterin oder der Mitarbeiter, an die oder den die E-Mail gerichtet war, wird informiert.

2) Die Mitarbeiterinnen und Mitarbeiter werden darauf hingewiesen, dass ihnen bestimmte Funktionen einiger Internet-Angebote nicht zur Verfügung stehen, weil ActiveX-Controls und Java-Applets ausgefiltert werden.

§ 8

Auswertung der Protokolldaten

1) Die Protokolldaten dürfen ausschließlich für die im folgenden aufgeführten Zwecke verwendet werden. Eine nachträgliche Änderung des Zwecks oder eine Verwendung zu anderen Zwecken (z.B. Verhaltens-/Leistungskontrolle) ist ausgeschlossen.

2) Für das Erkennen und Beseitigen technischer Probleme, für die Optimierung der Netzlastverteilung, zum Erkennen und zur Abwehr von Angriffen dürfen die oben in § 6 Abs. 2 unter den Nummern 2 bis 7 genannten Protokolldaten verwendet werden. Der Zugriff auf diese Daten zu den genannten Zwecken ist nur den mit der DV-Systemverwaltung betrauten Mitarbeiterinnen und Mitarbeitern gestattet.

3) Für Zwecke der Kontrolle der dienstlichen Nutzung des Internet-Anschlusses und der E-Mail-Nutzung dürfen die oben in § 6 Abs. 2 unter den Nummern 2 bis 7 genannten Protokolldaten verwendet werden.

Die Kontrolle darf nur gemeinsam durch Vertreter der Dienststellenleitung und der Mitarbeitervertretung erfolgen. Es werden dabei keine Protokolldaten verwendet, die älter als ein Monat sind.

Stellen sich bei der Kontrolle Anhaltspunkte für eine missbräuchliche Nutzung des Internet-Anschlusses heraus, so werden alle Mitarbeiterinnen und Mitarbeiter darauf hingewiesen, dass im Wiederholungsfall die Kontrolle des persönlichen Nutzungsverhaltens erfolgen kann. Missbräuchliche Nutzung ist vor allem der über das in § 2 erlaubte Maß hinausgehende Zugriff auf solche Informationen im Internet, die dienstlich nicht erforderlich sind. Häufen sich die missbräuchlichen Zugriffe auf bestimmte URL, werden diese gesperrt.

Finden sich bei einer erneuten Kontrolle wiederum Anhaltspunkte für eine missbräuchliche Nutzung, so werden auch die nach § 6 Abs. 2 Nr. 1 gespeicherten Protokolldaten herangezogen, um festzustellen, welche Mitarbeiterin oder welcher Mitarbeiter für den Missbrauch verantwortlich ist Es wird sichergestellt, dass auf diese Daten nur durch Vertreter der Dienststellenleitung, die für den Datenschutz fachlich zuständigen Personen sowie Vertreterinnen und Vertreter der Mitarbeitervertretung gemeinsam zugegriffen werden kann.

Den betreffenden Mitarbeiterinnen und Mitarbeitern ist Gelegenheit zur Stellungnahme zu geben, wobei die Protokolldaten möglichst nicht älter als 2 Wochen sein sollten. Im Einzelfall kann den Mitarbeiterinnen und Mitarbeitern, denen eine missbräuchliche Nutzung nachgewiesen werden kann, der Zugang zum Internet oder zum E-Mail-Programm entzogen werden. Weitere dienst- oder arbeitsrechtliche Maßnahmen bleiben unberührt.

4) Wurden Informationen aus Protokolldaten unter Nichtbeachtung der o.a. Regelungen gewonnnen, so dürfen sie nicht zur Grundlage personeller Einzelmaßnahmen gemacht werden. Ihre Verwendung als Beweismittel für solche Maßnahmen ist nicht zulässig.

§ 9

Wartung

Externe Personen, die Wartungsarbeiten an der Hard- und Software des Internetzugangs oder des E-Mail-Dienstes durchführen, sind zu verpflichten, dass sie die ihnen zur Kenntnis gelangten personenbezogenen Daten und Informationen weder weitergeben noch verwenden dürfen.

§ 10

Technische Weiterentwicklung

Die Mitarbeitervertretung sowie die für den Datenschutz zuständigen Personen werden durch die Dienststellenleitung über geplante Verfahrens- und Programmänderungen frühzeitig informiert.

§ 11

Einhaltung der Dienstvereinbarung

Die Einhaltung der Datenverarbeitungsbestimmungen dieser Dienstvereinbarung wird durch die für den Datenschutz zuständigen Personen und durch die Mitarbeitervertretung überwacht.

§ 12

In-Kraft-Treten

1) Die Dienstvereinbarung tritt am Tag nach ihrer Unterzeichnung in Kraft.

2) Alle Mitarbeitenden erhalten ein Exemplar der Dienstvereinbarung.

Ort, Datum, Unterschriften

Anlage 1 zur Dienstvereinbarung

Erklärung zur privaten Nutzung des Internet im WM

Ich möchte den WWW-Dienst in dem von der Dienstvereinbarung erlaubten Umfang auch privat nutzen. Ich verpflichte mich, dabei diese Dienstvereinbarung, sonstige Bestimmungen sowie die allgemeinen Gesetze einzuhalten und für private E-Mails ausschließlich über WWW zugängliche Web-Mail-Dienste zu nutzen.

Mir ist bekannt, dass technisch nicht zwischen dienstlicher und privater Nutzung unterschieden wird. Ich bin daher damit einverstanden, dass

• unter den in der Dienstvereinbarung genannten Voraussetzungen auch Daten meiner privaten Nutzung, die dem Fernmeldegeheimnis nach Art. 10 Grundgesetz und § 85 Telekommunikationsgesetz unterliegen, protokolliert und auswertet sowie

• unter Auswertung dieser Protokolle festgestellte Verstöße gemäß § 8 der Dienstvereinbarung ggf. dienst- oder arbeits- und u. U. auch strafrechtliche Konsequenzen haben können.

Datum/ Unterschrift