Anordnung über den Kirchlichen Datenschutz - Katholische ...

146. Jahrgang Mainz, den 13. Januar 2004 Nr. 2Inhalt: Anordnung über den kirchlichen Datenschutz - KDO. ― Verordnung zur Durchführung der Anordnung überden kirchlichen Datenschutz (KDO-DVO). ― Anordnung über den kirchlichen Datenschutz (KDO) für dieDienststellen und Einrichtungen des Verbandes der Diözesen Deutschlands. ― Verordnung zur Durchführungder Anordnung über den kirchlichen Datenschutz (KDO-DVO) für die Dienststellen und Einrichtungen des Verbandesder Diözesen Deutschlands. ― Anordnung über den kirchlichen Datenschutz (KDO) im Bistum Mainz.― Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) für das BistumMainz. ― Hinweise zur KDO und KDO-DVO i.d.F. vom 23.06.2003 für das Bistum Mainz.Verlautbarungen der deutschen Bischöfe20. Anordnung über den Kirchlichen Datenschutz- KDO -PräambelAufgabe der Datenverarbeitung im kirchlichen Bereich istes, die Tätigkeit der Dienststellen und Einrichtungen derKatholischen Kirche zu fördern. Dabei muß gewährleistetsein, daß der einzelne durch den Umgang mit seinen personenbezogenenDaten in seinem Persönlichkeitsrecht geschütztwird. Aufgrund des Rechtes der Katholischen Kirche,ihre Angelegenheiten selbst zu regeln, wird zu diesemZweck die folgende Anordnung erlassen:3. die kirchlichen Körperschaften, Stiftungen, Anstalten,Werke, Einrichtungen und die sonstigenkirchlichen Rechtsträger ohne Rücksicht auf ihreRechtsform.(3) Soweit besondere kirchliche oder staatliche Rechtsvorschriftenauf personenbezogene Daten einschließlichderen Veröffentlichung anzuwenden sind, gehen sieden Vorschriften dieser Anordnung vor. Die Verpflichtungzur Wahrung des Beicht- und Seelsorgegeheimnisses,anderer gesetzlicher Geheimhaltungspflichtenoder von anderen Berufs - oder besonderen Amtsgeheimnissen,die nicht auf gesetzlichen Vorschriften beruhen,bleibt unberührt.§ 1Zweck und Anwendungsbereich(1) Zweck dieser Anordnung ist es, den einzelnen davorzu schützen, daß er durch den Umgang mit seinenpersonenbezogenen Daten in seinem Persönlichkeitsrechtbeeinträchtigt wird.(2) Diese Anordnung gilt für die Erhebung, Verarbeitungund Nutzung personenbezogener Daten durch:1. das Bistum, die Kirchengemeinden, die Kirchenstiftungenund die Kirchengemeindeverbände,2. den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen undihre Fachverbände ohne Rücksicht auf ihreRechtsform,— 15 —§ 2Begriffsbestimmungen(1) Personenbezogene Daten sind Einzelangaben überpersönliche oder sachliche Verhältnisse einer bestimmtenoder bestimmbaren natürlichen Person (Betroffener).(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitungoder Nutzung personenbezogener Daten unterEinsatz von Datenverarbeitungsanlagen. Eine nicht automatisierteDatei ist jede nicht automatisierte Sammlungpersonenbezogener Daten, die gleichartig aufgebautist und nach bestimmten Merkmalen zugänglichist und ausgewertet werden kann.(3) Erheben ist das Beschaffen von Daten über den Betroffenen.

Kirchliches Amtsblatt Mainz 2004 Nr. 2(4) Verarbeiten ist das Speichern, Verändern, Übermitteln,Sperren und Löschen personenbezogener Daten. Imeinzelnen ist, ungeachtet der dabei angewendeten Verfahren,1. Speichern das Erfassen, Aufnehmen oder Aufbewahrenpersonenbezogener Daten auf einem Datenträgerzum Zwecke ihrer weiteren Verarbeitungoder Nutzung,2. Verändern das inhaltliche Umgestalten gespeicherterpersonenbezogener Daten,3. Übermitteln das Bekanntgeben gespeicherter oderdurch Datenverarbeitung gewonnener personenbezogenerDaten an einen Dritten in der Weise,dassa) die Daten an den Dritten weitergegeben werdenoderb) der Dritte zur Einsicht oder zum Abruf bereitgehalteneDaten einsieht oder abruft,4. Sperren das Kennzeichnen gespeicherter personenbezogenerDaten, um ihre weitere Verarbeitungoder Nutzung einzuschränken,5. Löschen das Unkenntlichmachen gespeicherterpersonenbezogener Daten.(5) Nutzen ist jede Verwendung personenbezogener Daten,soweit es sich nicht um Verarbeitung handelt.(6) Anonymisieren ist das Verändern personenbezogenerDaten derart, daß die Einzelangaben über persönlicheoder sachliche Verhältnisse nicht mehr oder nur miteinem unverhältnismäßig großen Aufwand an Zeit,Kosten und Arbeitskraft einer bestimmten oder bestimmbarennatürlichen Person zugeordnet werdenkönnen.(7) Pseudonymisieren ist das Ersetzen des Namens undanderer Identifikationsmerkmale durch ein Kennzeichenzu dem Zweck, die Bestimmung des Betroffenenauszuschließen oder wesentlich zu erschweren.(8) Verantwortliche Stelle ist jede Person oder Stelle, diepersonenbezogene Daten für sich selbst erhebt, verarbeitetoder nutzt oder dies durch andere im Auftragvornehmen lässt(9) Empfänger ist jede Person oder Stelle, die Daten erhält.Dritter ist jede Person oder Stelle außerhalb der verantwortlichenStelle. Dritte sind nicht der Betroffenesowie diejenigen Personen und Stellen, die im Geltungsbereichdieser Anordnung personenbezogeneDaten im Auftrag erheben, verarbeiten oder nutzen.(10) Besondere Arten personenbezogener Daten sind Angabenüber die rassische und ethnische Herkunft, politischeMeinungen, religiöse oder philosophische Überzeugungen,Gewerkschaftszugehörigkeit, Gesundheitoder Sexualleben. Dazu gehört nicht die Zugehörigkeitzu einer Kirche oder sonstigen Religionsgemeinschaft.(11) Mobile personenbezogene Speicher- und Verarbeitungsmediensind Datenträger1. die an den Betroffenen ausgegeben werden,2. auf denen personenbezogene Daten über die Speicherunghinaus durch die ausgebende oder eineandere Stelle automatisiert verarbeitet werdenkönnen und3. bei denen der Betroffene diese Verarbeitung nurdurch den Gebrauch des Mediums beeinflussenkann.§ 2aDatenvermeidung und DatensparsamkeitGestaltung und Auswahl von Datenverarbeitungssystemenhaben sich an dem Ziel auszurichten, keine oder sowenig personenbezogene Daten wie möglich zu erheben,zu verarbeiten oder zu nutzen. Insbesondere ist von denMöglichkeiten der Anonymisierung und PseudonymisierungGebrauch zu machen, soweit dies möglich ist und derAufwand in einem angemessenem Verhältnis zu dem angestrebtenSchutzzweck steht.§ 3Zulässigkeit der Datenerhebung, -verarbeitungoder –nutzung(1) Die Erhebung, Verarbeitung oder Nutzung personenbezogenerDaten ist nur zulässig, soweit1. diese Anordnung oder eine andere kirchliche odereine staatliche Rechtsvorschrift sie erlaubt oderanordnet oder2. der Betroffene eingewilligt hat.(2) Wird die Einwilligung bei dem Betroffenen eingeholt,ist er auf den Zweck der Erhebung, Verarbeitung o-der Nutzung sowie, soweit nach den Umständen desEinzelfalles erforderlich oder auf Verlangen auf dieFolgen der Verweigerung der Einwilligung hinzuweisen.Die Einwilligung ist nur wirksam, wenn sie auf— 16 —

Kirchliches Amtsblatt Mainz 2004 Nr. 22. zur Wahrnehmung berechtigter Interessen fürkonkret festgelegte Zweckeerforderlich ist und keine Anhaltspunkte bestehen,dass schutzwürdige Interessen der Betroffenenüberwiegen.(2) Der Umstand der Beobachtung und die verantwortlicheStelle sind durch geeignete Maßnahmen erkennbarzu machen.(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenenDaten ist zulässig, wenn sie zum Erreichendes verfolgten Zwecks erforderlich ist und keine Anhaltspunktebestehen, dass schutzwürdige Interessender Betroffenen überwiegen.(4) Werden durch Videoüberwachung erhobene Daten einerbestimmten Person zugeordnet, ist diese über eineVerarbeitung oder Nutzung entsprechend § 13 a zubenachrichtigen.(5) Die Daten sind unverzüglich zu löschen, wenn sie zurErreichung des Zwecks nicht mehr erforderlich sindoder schutzwürdige Interessen der Betroffenen einerweiteren Speicherung entgegenstehen.§5bMobile personenbezogene Speicher- undVerarbeitungsmedien(1) Die Stelle, die ein mobiles personenbezogenes Speicher-und Verarbeitungsmedium ausgibt oder einVerfahren zur automatisierten Verarbeitung personenbezogenerDaten, das ganz oder teilweise auf einemsolchen Medium abläuft, auf das Medium aufbringt,ändert oder hierzu bereithält, muss den Betroffenen1. über ihre Identität und Anschrift,2. in allgemein verständlicher Form über die Funktionsweisedes Mediums einschließlich der Art derzu verarbeitenden personenbezogenen Daten,3. darüber, wie er seine Rechte nach den §§ 13 und14 ausüben kann und über die bei Verlust oderZerstörung des Mediums zu treffenden Maßnahmenunterrichten, soweit der Betroffene nicht bereitsKenntnis erlangt hat.(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorgezu tragen, dass die zur Wahrnehmung des Auskunftsrechtserforderlichen Geräte oder Einrichtungenin angemessenem Umfang zum unentgeltlichenGebrauch zur Verfügung stehen.(3) Kommunikationsvorgänge, die auf dem Medium eineDatenverarbeitung auslösen, müssen für den Betroffeneneindeutig erkennbar sein.§ 6Technische und organisatorische MaßnahmenKirchliche Stellen im Geltungsbereich des § 1 Abs. 2, dieselbst oder im Auftrag personenbezogene Daten erheben,verarbeiten oder nutzen, haben die technischen und organisatorischenMaßnahmen zu treffen, die erforderlich sind,um die Ausführung der Vorschriften dieser Anordnung,insbesondere die in der Anlage zu dieser Anordnung genanntenAnforderungen zu gewährleisten. Erforderlichsind Maßnahmen nur, wenn ihr Aufwand in einem angemessenenVerhältnis zu dem angestrebten Schutzzwecksteht.§ 7Einrichtung automatisierter Abrufverfahren(1) Die Einrichtung eines automatisierten Verfahrens, dasdie Übermittlung personenbezogener Daten durchAbruf ermöglicht, ist zulässig, soweit dieses Verfahrenunter Berücksichtigung der schutzwürdigen Interessender Betroffenen und der Aufgaben oder Geschäftszweckeder beteiligten Stellen angemessen ist.Die Vorschriften über die Zulässigkeit des einzelnenAbrufes bleiben unberührt.(2) Die beteiligten Stellen haben zu gewährleisten, daßdie Zulässigkeit des Abrufverfahrens kontrolliertwerden kann. Hierzu haben sie schriftlich festzulegen:1. Anlass und Zweck des Abrufverfahrens,2. Dritte, an die übermittelt wird,3. Art der zu übermittelnden Daten,4. nach § 6 erforderliche technische undorganisatorische Maßnahmen.(3) Über die Einrichtung von Abrufverfahren ist der Diözesandatenschutzbeauftragteunter Mitteilung derFestlegungen des Abs. 2 zu unterrichten.(4) Die Verantwortung für die Zulässigkeit des einzelnenAbrufs trägt der Dritte, an den übermittelt wird. Die— 18 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2speichernde Stelle prüft die Zulässigkeit der Abrufenur, wenn dazu Anlass besteht. Die speichernde Stellehat zu gewährleisten, daß die Übermittlung personenbezogenerDaten zumindest durch geeigneteStichprobenverfahren festgestellt und überprüft werdenkann. Wird ein Gesamtbestand personenbezogenerDaten abgerufen oder übermittelt (Stapelverarbeitung),so bezieht sich die Gewährleistung der Feststellungund Überprüfung nur auf die Zulässigkeit desAbrufes oder der Übermittlung des Gesamtbestandes.(5) Die Absätze 1 bis 4 gelten nicht für den Abruf allgemeinzugänglicher Daten. Allgemein zugänglich sindDaten, die jedermann, sei es ohne oder nach vorherigerAnmeldung, Zulassung oder Entrichtung einesEntgelts nutzen kann.§ 8Erhebung, Verarbeitung oder Nutzungpersonenbezogener Daten im Auftrag(1) Werden personenbezogene Daten im Auftrag durchandere Stellen erhoben, verarbeitet oder genutzt, istder Auftraggeber für die Einhaltung der Vorschriftendieser Anordnung und anderer Vorschriften über denDatenschutz verantwortlich. Die in § 5 genanntenRechte sind ihm gegenüber geltend zu machen.(2) Der Auftragnehmer ist unter besonderer Berücksichtigungder Eignung der von ihm getroffenen technischenund organisatorischen Maßnahmen sorgfältigauszuwählen. Der Auftrag ist schriftlich zu erteilen,wobei die Datenerhebung (§ 2 Abs. 3), Datenverarbeitung(§ 2 Abs. 4) oder –nutzung (§ 2 Abs. 5), die technischenund organisatorischen Maßnahmen (§ 6) undetwaige Unterauftragsverhältnisse festzulegen sind.Der Auftraggeber hat sich von der Einhaltung derbeim Auftragnehmer getroffenen technischen und organisatorischenMaßnahmen zu überzeugen.(3) Der Auftragnehmer darf die Daten nur im Rahmender Weisungen des Auftraggebers erheben, verarbeitenoder nutzen. Ist er der Ansicht, daß eine Weisungdes Auftraggebers gegen diese Anordnung oder andereVorschriften über den Datenschutz verstößt, hater den Auftraggeber unverzüglich darauf hinzuweisen.(4) Die Absätze 1 bis 3 gelten entsprechend, wenn diePrüfung oder Wartung automatisierter Verfahren o-der von Datenverarbeitungsanlagen durch andereStellen im Auftrag vorgenommen wird und dabei einZugriff auf personenbezogene Daten nicht ausgeschlossenwerden kann§ 9Datenerhebung(1) Das Erheben personenbezogener Daten ist zulässig,wenn ihre Kenntnis zur Erfüllung der Aufgaben derverantwortlichen Stellen erforderlich ist.(2) Personenbezogene Daten sind beim Betroffenen zuerheben. Ohne seine Mitwirkung dürfen sie nur erhobenwerden, wenn1. eine Rechtsvorschrift dies vorsieht oder zwingendvoraussetzt oder2. a) die zu erfüllende Aufgabe ihrer Art nach eineErhebung bei anderen Personen oder Stellen erforderlichmacht oderb) die Erhebung beim Betroffenen einen unverhältnismäßigenAufwand erfordern würdeund keine Anhaltspunkte dafür bestehen, daß überwiegendeschutzwürdige Interessen des Betroffenenbeeinträchtigt werden.(3) Werden personenbezogene Daten beim Betroffenenerhoben, so ist er, sofern er nicht bereits auf andereWeise Kenntnis erlangt hat, von der verantwortlichenStelle über1. die Identität der verantwortlichen Stelle,2. die Zweckbestimmung der Erhebung, Verarbeitungoder Nutzung und3. die Kategorien von Empfängern nur, soweit derBetroffene nach den Umständen des Einzelfallesnicht mit der Übermittlung an diese rechnen muß,zu unterrichten. Werden sie beim Betroffenen aufgrund einerRechtsvorschrift erhoben, die zur Auskunft verpflichtet,oder ist die Erteilung der Auskunft Voraussetzung fürdie Gewährung von Rechtsvorteilen, so ist der Betroffenehierauf sonst auf die Freiwilligkeit seiner Angaben hinzuweisen.Soweit nach den Umständen des Einzelfalles erforderlichoder auf Verlangen ist er über die Rechtsvorschriftund über die Folgen der Verweigerung von Angabenaufzuklären.(4) Werden personenbezogene Daten statt beim Betroffenenbei einer nichtkirchlichen Stelle erhoben, so istdie Stelle auf die Rechtsvorschrift, die zur Auskunftermächtigt, sonst auf die Freiwilligkeit ihrer Angaben,hinzuweisen.— 19 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2(5) Das Erheben besonderer Arten personenbezogenerDaten (§ 2 Abs. 10) ist nur zulässig, soweit1. eine Rechtsvorschrift dies vorsieht oder dies ausGründen eines wichtigen öffentlichen Interesseszwingend erforderlich ist,2. der Betroffene nach Maßgabe des § 3 Abs. 4 eingewilligthat,3. dies zum Schutz lebenswichtiger Interessen desBetroffenen oder eines Dritten erforderlich ist, sofernder Betroffene aus physischen oder rechtlichenGründen außerstande ist, seine Einwilligungzu geben,4. es sich um Daten handelt, die der Betroffene offenkundigöffentlich gemacht hat oder es zur Geltendmachung,Ausübung oder Verteidigungrechtlicher Ansprüche vor Gericht erforderlich ist,5. dies zur Abwehr einer erheblichen Gefahr für dieöffentliche Sicherheit erforderlich ist oder dies zurAbwehr erheblicher Nachteile für das Gemeinwohloder zur Wahrung erheblicher Belange desGemeinwohls zwingend erforderlich ist,6. der Auftrag der Kirche oder die Glaubwürdigkeitihres Dienstes dies erfordert,7. dies zum Zweck der Gesundheitsvorsorge, dermedizinischen Diagnostik, der Gesundheitsversorgungoder Behandlung oder für die Verwaltungvon Gesundheitsdiensten erforderlich ist unddie Verarbeitung dieser Daten durch ärztlichesPersonal oder durch sonstige Personen erfolgt, dieeiner entsprechenden Geheimhaltungspflicht unterliegen,8. dies zur Durchführung wissenschaftlicher Forschungerforderlich ist, das wissenschaftliche Interessean der Durchführung des Forschungsvorhabensdas Interesse des Betroffenen an dem Ausschlussder Erhebung erheblich überwiegt und derZweck der Forschung auf andere Weise nicht odernur mit unverhältnismäßigem Aufwand erreichtwerden kann,9. dies zur Eingehung, Durchführung, Beendigungoder Abwicklung des Dienst- oder Arbeitsverhältnisseserforderlich ist.§ 10Datenspeicherung, -veränderung und –nutzung(1) Das Speichern, Verändern oder Nutzen personenbezogenerDaten ist zulässig, wenn es zur Erfüllung derin der Zuständigkeit der verantwortlichen Stelle liegendenAufgaben erforderlich ist und es für die Zweckeerfolgt für die die Daten erhoben worden sind. Istkeine Erhebung vorausgegangen, dürfen die Datennur für die Zwecke geändert oder genutzt werden,für die sie gespeichert worden sind.(2) Das Speichern, Verändern oder Nutzen für andereZwecke ist nur zulässig, wenn1. eine Rechtsvorschrift dies vorsieht oder zwingendvoraussetzt und kirchliche Interessen nicht entgegenstehen,2. der Betroffene eingewilligt hat,3. offensichtlich ist, daß es im Interesse des Betroffenenliegt, und kein Grund zu der Annahme besteht,daß er in Kenntnis des anderen Zwecks seineEinwilligung verweigern würde,4. Angaben des Betroffenen überprüft werden müssen,weil tatsächliche Anhaltspunkte für derenUnrichtigkeit bestehen,5. die Daten allgemein zugänglich sind oder die verantwortlicheStelle sie veröffentlichen dürfte, es seiden, dass das schutzwürdige Interesse des Betroffenenan dem Ausschluss der Zweckänderung offensichtlichüberwiegt,6. es zur Abwehr einer Gefahr für die öffentliche Sicherheitoder erheblicher Nachteile für das Gemeinwohloder zur Wahrung erheblicher Belangedes Gemeinwohls erforderlich ist,7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten,zur Vollstreckung oder zum Vollzugvon Strafen oder Maßnahmen im Sinne des § 11Abs. 1 Nr. 8 des Strafgesetzbuches oder von Erziehungsmaßregelnoder Zuchtmitteln im Sinne desJugendgerichtsgesetzes oder zur Vollstreckungvon Bußgeldentscheidungen erforderlich ist,8. es zur Abwehr einer schwerwiegenden Beeinträchtigungder Rechte einer anderen Person erforderlichist oder9. es zur Durchführung wissenschaftlicher Forschungerforderlich ist, das wissenschaftliche Interessean der Durchführung des Forschungsvorhabensdas Interesse des Betroffenen an dem Ausschlussder Zweckänderung erheblich überwiegtund der Zweck der Forschung auf andere Weisenicht oder nur mit unverhältnismäßigem Aufwanderreicht werden kann.10. der Auftrag der Kirche oder die Glaubwürdigkeitihres Dienstes dies erfordert.(3) Eine Verarbeitung oder Nutzung für andere Zweckeliegt nicht vor, wenn sie der Wahrnehmung von Aufsichts-und Kontrollbefugnissen, der Rechnungsprüfungoder der Durchführung von Organisationsuntersuchungenfür die verantwortliche Stelle dient. Das— 20 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs-und Prüfungszwecken durch die verantwortlicheStelle, soweit nicht überwiegende schutzwürdigeInteressen des Betroffenen entgegenstehen.(4) Personenbezogene Daten, die ausschließlich zu Zweckender Datenschutzkontrolle, der Datensicherungoder zur Sicherstellung eines ordnungsgemäßen Betriebeseiner Datenverarbeitungsanlage gespeichertwerden, dürfen nur für diese Zwecke verwendetwerden.(5) Das Speichern, Verändern oder Nutzen von besonderenArten personenbezogener Daten (§ 2 Abs.10) fürandere Zwecke ist nur zulässig, wenn1. die Voraussetzungen vorliegen, die eine Erhebungnach § 9 Abs. 5 Nr. 1 bis 6 oder 9 zulassen würdenoder2. dies zur Durchführung wissenschaftlicher Forschungerforderlich ist, das kirchliche Interesse an derDurchführung des Forschungsvorhabens das Interessedes Betroffenen an dem Ausschluss der Zweckänderungerheblich überwiegt und der Zweck der Forschungauf andere Weise nicht oder nur mit unverhältnismäßigemAufwand erreicht werden kann.Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen deskirchlichen Interesses das wissenschaftliche Interesse andem Forschungsvorhaben besonders zu berücksichtigen.(6) Die Speicherung, Veränderung oder Nutzung von besonderenArten personenbezogener Daten (§ 2 Abs.10) zu den in § 9 Abs. 5 Nr. 7 genannten Zweckenrichtet sich nach den für die in § 9 Abs. 5 Nr. 7 genanntenPersonen geltenden Geheimhaltungspflichten.§ 11Datenübermittlung an kirchliche und öffentliche Stellen(1) Die Übermittlung personenbezogener Daten an Stellenim Geltungsbereich des § 1 ist zulässig, wenn1. sie zur Erfüllung der in der Zuständigkeit der ü-bermittelnden Stelle oder der empfangenden kirchlichenStelle liegenden Aufgaben erforderlich ist und2. die Voraussetzungen vorliegen, die eine Nutzungnach § 10 zulassen würden.(2) Die Verantwortung für die Zulässigkeit der Übermittlungträgt die übermittelnde Stelle. Erfolgt die Übermittlungauf Ersuchen der empfangenden kirchlichenStelle, trägt diese die Verantwortung. In diesem Falleprüft die übermittelnde Stelle nur, ob das Übermittlungsersuchenim Rahmen der Aufgaben der empfangendenkirchlichen Stelle liegt, es sei denn, dassbesonderer Anlass zur Prüfung der Zulässigkeit derÜbermittlung besteht. § 7 Abs. 4 bleibt unberührt.(3) Die empfangende kirchliche Stelle darf die übermitteltenDaten für den Zweck verarbeiten oder nutzen,zu dessen Erfüllung sie ihr übermittelt werden. EineVerarbeitung oder Nutzung für andere Zwecke istnur unter den Voraussetzungen des § 10 Abs. 2 zulässig(4) Für die Übermittlung personenbezogener Daten anöffentliche Stellen und an kirchliche Stellen außerhalbdes Geltungsbereichs des § 1 gelten die Abs. 1-3 entsprechend,sofern sichergestellt ist, daß bei dem Empfängerausreichende Datenschutzmaßnahmen getroffenwerden.(5) Sind mit personenbezogenen Daten, die nach Abs. 1übermittelt werden dürfen, weitere personenbezogeneDaten des Betroffenen oder eines Dritten in Aktenso verbunden, daß eine Trennung nicht oder nur mitunvertretbarem Aufwand möglich ist, so ist die Ü-bermittlung auch dieser Daten zulässig, soweit nichtberechtigte Interessen des Betroffenen oder einesDritten an deren Geheimhaltung offensichtlich überwiegen;eine Nutzung dieser Daten ist unzulässig.(6) Abs. 5 gilt entsprechend, wenn personenbezogeneDaten innerhalb einer kirchlichen Stelle weitergegebenwerden.§ 12Datenübermittlung an nicht kirchliche und nichtöffentliche Stellen(1) Die Übermittlung personenbezogener Daten an nichtkirchliche Stellen, nicht öffentliche Stellen oder Personenist zulässig, wenn1. sie zur Erfüllung der in der Zuständigkeit der ü-bermittelnden Stelle liegenden Aufgaben erforderlichist und die Voraussetzungen vorliegen, die eineNutzung nach § 10 zulassen würden, oder2. der Dritte, an den die Daten übermittelt werden,ein berechtigtes Interesse an der Kenntnis der zuübermittelnden Daten glaubhaft darlegt und der— 21 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2Betroffene kein schutzwürdiges Interesse an demAusschluss der Übermittlung hat. Das Übermittelnvon besonderen Arten personenbezogener Daten(§ 2 Abs. 10) ist abweichend von Satz 1 Nr. 2 nurzulässig, wenn die Voraussetzungen vorliegen, dieeine Nutzung nach § 10 Abs. 5 und 6 zulassenwürden oder soweit dies zur Geltendmachung,Ausübung oder Verteidigung rechtlicher Ansprücheerforderlich ist.(2) Die Verantwortung für die Zulässigkeit der Übermittlungträgt die übermittelnde Stelle.(3) In den Fällen der Übermittlung nach Abs.1 Nr. 2 unterrichtetdie übermittelnde Stelle den Betroffenenvon der Übermittlung seiner Daten. Dies gilt nicht,wenn damit zu rechnen ist, daß er davon auf andereWeise Kenntnis erlangt, wenn die Unterrichtung wegender Art der personenbezogenen Daten unter Berücksichtigungder schutzwürdigen Interessen desBetroffenen nicht geboten erscheint, wenn die Unterrichtungdie öffentliche Sicherheit gefährden oderdem kirchlichen Wohl Nachteile bereiten würde.(4) Der Dritte, an den die Daten übermittelt werden, darfdiese nur für den Zweck verarbeiten oder nutzen, zudessen Erfüllung sie ihm übermittelt werden. Die ü-bermittelnde Stelle hat ihn darauf hinzuweisen. EineVerarbeitung oder Nutzung für andere Zwecke istzulässig, wenn eine Übermittlung nach Absatz 1 zulässigwäre und die übermittelnde Stelle zugestimmthat.§ 13Auskunft an den Betroffenen(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilenüber:1. die zu seiner Person gespeicherten Daten, auchsoweit sie sich auf die Herkunft dieser Daten beziehen,2. die Empfänger oder Kategorien von Empfängern,an die die Daten weitergegeben werden, und3. den Zweck der Speicherung.In dem Antrag soll die Art der personenbezogenen Daten,über die Auskunft erteilt werden soll, näher bezeichnetwerden. Sind die personenbezogenen Daten weder automatisiertnoch in nicht automatisierten Dateien gespeichert,wird die Auskunft nur erteilt, soweit der BetroffeneAngaben macht, die das Auffinden der Daten ermöglichenund der für die Erteilung der Auskunft erforderliche Aufwandnicht außer Verhältnis zu dem vom Betroffenen geltendgemachten Informationsinteresse steht. Das Bistumbestimmt das Verfahren, insbesondere die Form der Auskunftserteilung.(2) Abs.1 gilt nicht für personenbezogene Daten, die nurdeshalb gespeichert sind, weil sie aufgrund gesetzlicher,satzungsgemäßer oder vertraglicher Aufbewahrungsvorschriftennicht gelöscht werden dürfen oderausschließlich Zwecken der Datensicherung oder derDatenschutzkontrolle dienen und eine Auskunftserteilungeinen unverhältnismäßigen Aufwand erfordernwürde.(3) Die Auskunftserteilung unterbleibt soweit,1. die Auskunft die ordnungsgemäße Erfüllung derin der Zuständigkeit der verantwortlichen Stelleliegenden Aufgaben gefährden würde,2. die Auskunft dem kirchlichen Wohl Nachteile bereitenwürde,3. die Auskunft die öffentliche Sicherheit oder Ordnunggefährden würde,4. 4.die Daten oder die Tatsache ihrer Speicherungnach einer Rechtsvorschrift oder ihrem Wesennach, insbesondere wegen der überwiegenden berechtigtenInteressen eines Dritten, geheim gehaltenwerdenmüssen5. und deswegen das Interesse des Betroffenen ander Auskunftserteilung zurücktreten muß.(4) Die Ablehnung der Auskunftserteilung bedarf einerBegründung nicht, soweit durch die Mitteilung dertatsächlichen oder rechtlichen Gründe auf die dieEntscheidung gestützt wird, der mit der Auskunftsverweigerungverfolgte Zweck gefährdet würde. Indiesem Fall ist der Betroffene darauf hinzuweisen,daß er sich an den Diözesandatenschutzbeauftragtenwenden kann.(5) Wird dem Betroffenen keine Auskunft erteilt, so istsie auf sein Verlangen dem Diözesandatenschutzbeauftragtenzu erteilen, soweit nicht das Bistum imEinzelfall feststellt, daß dadurch das kirchliche Wohlbeeinträchtigt wird. Die Mitteilung des Diözesandatenschutzbeauftragtenan den Betroffenen darf keineRückschlüsse auf den Erkenntnisstand der verantwortlichenStelle zulassen, sofern diese nicht einerweitergehenden Auskunft zustimmt.(6) Die Auskunft ist unentgeltlich.— 22 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2§ 13aBenachrichtigung(1) Werden Daten ohne Kenntnis des Betroffenen erhoben,so ist er von der Speicherung, der Identität derverantwortlichen Stelle sowie über die Zweckbestimmungender Erhebung, Verarbeitung oder Nutzungzu unterrichten. Der Betroffene ist auch über dieEmpfänger oder Kategorien von Empfängern von Datenzu unterrichten, soweit er nicht mit der Übermittlungan diese rechnen muss. Sofern eine Übermittlungvorgesehen ist, hat die Unterrichtung spätestensbei der ersten Übermittlung zu erfolgen.(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn1. der Betroffene auf andere Weise Kenntnis von derSpeicherung oder der Übermittlung erlangt hat,2. die Unterrichtung des Betroffenen einen unverhältnismäßigenAufwand erfordert oder3. die Speicherung oder Übermittlung der personenbezogenenDaten durch eine Rechtsvorschrift ausdrücklichvorgesehen ist.(3) § 13 Abs. 2 und 3 gelten entsprechend.§ 14Berichtigung, Löschung oder Sperrung von Daten;Widerspruchsrecht(1) Personenbezogene Daten sind zu berichtigen, wennsie unrichtig sind. Wird festgestellt, dass personenbezogeneDaten, die weder automatisiert verarbeitetnoch in nicht automatisierten Dateien gespeichertsind, unrichtig sind, oder wird ihre Richtigkeit vondem Betroffenen bestritten, so ist dies in geeigneterWeise festzuhalten.(2) Personenbezogene Daten, die automatisiert verarbeitetoder in nicht automatisierten Dateien gespeichertsind, sind zu löschen, wenn1. ihre Speicherung unzulässig ist oder2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllungder in ihrer Zuständigkeit liegenden Aufgabennicht mehr erforderlich ist.(3) An die Stelle einer Löschung tritt eine Sperrung, soweit1. einer Löschung gesetzliche, satzungsmäßige odervertragliche Aufbewahrungsfristen entgegenstellen,2. Grund zu der Annahme besteht, daß durch eineLöschung schutzwürdige Interessen des Betroffenenbeeinträchtigt würden, oder3. eine Löschung wegen der besonderen Art derSpeicherung nicht oder nur mit unverhältnismäßighohem Aufwand möglich ist.(4) Personenbezogene Daten, die automatisiert verarbeitetoder in nicht automatisierten Dateien gespeichertsind, sind ferner zu sperren, soweit ihre Richtigkeitvom Betroffenen bestritten wird und sich weder dieRichtigkeit noch die Unrichtigkeit feststellen lässt.(5) Personenbezogene Daten dürfen nicht für eine automatisierteVerarbeitung oder Verarbeitung in nichtautomatisierten Dateien erhoben, verarbeitet oder genutztwerden, soweit der Betroffene dieser bei derverantwortlichen Stelle widerspricht und eine Prüfungergibt, dass das schutzwürdige Interesse des Betroffenenwegen seiner besonderen persönlichen Situationdas Interesse der verantwortlichen Stelle an dieserErhebung, Verarbeitung oder Nutzung überwiegt.Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung,Verarbeitung oder Nutzung verpflichtet.(6) Personenbezogene Daten, die weder automatisiertverarbeitet noch in einer nicht automatisierten Dateigespeichert sind, sind zu sperren, wenn die verantwortlicheStelle im Einzelfall feststellt, dass ohne dieSperrung schutzwürdige Interessen des Betroffenenbeeinträchtigt würden und die Daten für die Aufgabenerfüllungder Behörde nicht mehr erforderlichsind.(7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenennur übermittelt oder genutzt werden, wenn1. es zu wissenschaftlichen Zwecken, zur Behebungeiner bestehenden Beweisnot oder aus sonstigen,im2. die Daten hierfür übermittelt oder genutzt werdendürften, wenn sie nicht gesperrt wären.(8) Von der Berichtigung unrichtiger Daten, der Sperrungbestrittener Daten sowie der Löschung oderSperrung wegen Unzulässigkeit der Speicherung sinddie Stellen zu verständigen, denen im Rahmen einerDatenübermittlung diese Daten zur Speicherung weitergegebenwurden, wenn dies keinen unverhältnismäßigenAufwand erfordert und schutzwürdige Interessendes Betroffenen nicht entgegenstehen.— 23 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2§ 15Anrufung des DiözesandatenschutzbeauftragtenJedermann kann sich an den Diözesandatenschutzbeauftragtenwenden, wenn er der Ansicht ist, bei der Erhebung,Verarbeitung oder Nutzung seiner personenbezogenenDaten durch Stellen gemäß § 1 Abs. 2 in seinen Rechtenverletzt worden zu sein.§ 16Bestellung und Rechtsstellung desDiözesandatenschutzbeauftragten(1) Der Bischof bestellt für den Bereich seines Bistums einenDiözesandatenschutzbeauftragten. Die Bestellungerfolgt für die Dauer von drei Jahren. Wiederbestellungist möglich. Bei Vorliegen eines wichtigenGrundes, kann der Bischof vorzeitig die Bestellungzurücknehmen. Auf Antrag des Beauftragten nimmtder Bischof die Bestellung zurück.(2) Zum Diözesandatenschutzbeauftragten darf nur bestelltwerden, wer die zur Erfüllung seiner Aufgabenerforderliche Fachkunde und Zuverlässigkeit besitzt.Er ist auf die gewissenhafte Erfüllung seiner Pflichtenund die Einhaltung des kirchlichen und des für dieKirchen verbindlichen staatlichen Rechts zu verpflichten.(3) Der Diözesandatenschutzbeauftragte ist in Ausübungseiner Tätigkeit unabhängig und nur dem kirchlichenRecht und dem für die Kirchen verbindlichen staatlichenRecht unterworfen.(4) Der Diözesandatenschutzbeauftragte ist, auch nachBeendigung seines Auftrages, verpflichtet, über dieihm in seiner Eigenschaft als Diözesandatenschutzbeauftragtembekannt gewordenen AngelegenheitenVerschwiegenheit zu bewahren. Dies gilt nicht fürMitteilungen im dienstlichen Verkehr oder über Tatsachen,die offenkundig sind oder ihrer Bedeutungnach keiner Geheimhaltung bedürfen.(5) Der Diözesandatenschutzbeauftragte darf, auch wennsein Auftrag beendet ist, über solche Angelegenheitenohne Genehmigung des Bischofs weder vor Gerichtnoch außergerichtlich Aussagen oder Erklärungenabgeben. Die Genehmigung, als Zeuge auszusagen,wird in der Regel erteilt. Unberührt bleibt die gesetzlichbegründete Pflicht, Straftaten anzuzeigen.§ 17Aufgaben des Diözesandatenschutzbeauftragten(1) Der Diözesandatenschutzbeauftragte wacht über dieEinhaltung der Vorschriften dieser Anordnung sowieanderer Vorschriften über den Datenschutz. Er kannEmpfehlungen zur Verbesserung des Datenschutzesgeben. Des weiteren kann er die bischöfliche Behördeund sonstige kirchliche Dienststellen in seinem Bereichin Fragen des Datenschutzes beraten. Auf Anforderungder bischöflichen Behörde hat der DiözesandatenschutzbeauftragteGutachten zu erstellenund Berichte zu erstatten.(2) Die in § 1 Abs. 2 genannten Stellen sind verpflichtet,den Diözesandatenschutzbeauftragten bei der Erfüllungseiner Aufgaben zur unterstützen. Ihm ist dabeiinsbesondere1. Auskunft zu seinen Fragen sowie Einsicht in alleUnterlagen und Akten zu gewähren, die im Zusammenhangmit der Verarbeitung personenbezogenerDaten stehen, namentlich in die gespeichertenDaten und in die Datenverarbeitungsprogramme;2. während der Dienstzeit Zutritt zu allen Diensträumen,die der Verarbeitung und Aufbewahrungautomatisierter Dateien dienen, zu gewähren,soweit nicht sonstige kirchliche Vorschriften entgegenstehen.(3) Der Diözesandatenschutzbeauftragte erstattet demBischof alle 3 Jahre einen Tätigkeitsbericht. Der Tätigkeitsberichtsoll auch eine Darstellung der wesentlichenEntwicklungen des Datenschutzes im nichtkirchlichenBereich enthalten.(4) Der Diözesandatenschutzbeauftragte wirkt auf dieZusammenarbeit mit den kirchlichen Stellen, insbesonderemit den anderen Diözesandatenschutzbeauftragten,hin.(5) Zu seinem Aufgabenbereich gehört die Zusammenarbeitmit den staatlichen Beauftragten für den Datenschutz§ 18Beanstandungen durch denDiözesandatenschutzbeauftragten(1) Stellt der Diözesandatenschutzbeauftragte Verstößegegen die Vorschriften dieser Anordnung oder gegen— 24 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2andere Datenschutzbestimmungen oder sonstigeMängel bei der Verarbeitung personenbezogener Datenfest, so beanstandet er diese gegenüber der zuständigenaufsichtsführenden Stelle und fordert zurStellungnahme innerhalb einer von ihm zu bestimmendenFrist auf.(2) Der Diözesandatenschutzbeauftragte kann von einerBeanstandung absehen oder auf eine Stellungnahmeder betroffenen Stelle verzichten, wenn es sich umunerhebliche Mängel handelt.(3) Mit der Beanstandung kann der DiözesandatenschutzbeauftragteVorschläge zur Beseitigung derMängel und zur sonstigen Verbesserung des Datenschutzesverbinden.(4) Die gem. Abs. 1 abzugebende Stellungnahme sollauch eine Darstellung der Maßnahmen enthalten, dieaufgrund der Beanstandungen des Diözesandatenschutzbeauftragtengetroffen worden sind.§ 18 aBetrieblicher Beauftragter für den Datenschutz(1) Kirchliche Stellen im Sinne des § 1 Abs. 2, die personenbezogeneDaten automatisiert erheben, verarbeitenoder nutzen, können einen betrieblichen Datenschutzbeauftragtenschriftlich bestellen.(2) Zum betrieblichen Datenschutzbeauftragten darf nurbestellt werden, wer die zur Erfüllung seiner Aufgabenerforderliche Fachkunde und Zuverlässigkeit besitzt.Mit dieser Aufgabe kann auch eine Person außerhalbder kirchlichen Stelle betraut werden. Ein betrieblicherDatenschutzbeauftragter kann von mehrerenkirchlichen Stellen bestellt werden.(3) Der betriebliche Datenschutzbeauftragte ist dem Leiterder kirchlichen Stelle unmittelbar zu unterstellen.Er ist in Ausübung seiner Fachkunde auf dem Gebietdes Datenschutzes weisungsfrei. Er darf wegen derErfüllung seiner Aufgaben nicht benachteiligt werden.(4) Die kirchlichen Stellen haben den betrieblichen Datenschutzbeauftragtenbei der Erfüllung seiner Aufgabenzu unterstützen. Betroffene können sich jederzeitan den betrieblichen Datenschutzbeauftragtenwenden.(5) Im Übrigen findet § 16 entsprechende Anwendung.§ 18 bAufgaben des betrieblichen Datenschutzbeauftragten(1) Der betriebliche Datenschutzbeauftragte wirkt auf dieEinhaltung dieser Anordnung und anderer Vorschriftenüber den Datenschutz hin. Zu diesem Zweckkann er sich in Zweifelsfällen an den Diözesandatenschutzbeauftragtengemäß § 16 KDO wenden. Er hatinsbesondere1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme,mit deren Hilfe personenbezogeneDaten verarbeitet werden sollen, zu ü-berwachen; zu diesem Zweck ist er über Vorhabender automatisierten Verarbeitung personenbezogenerDaten rechtzeitig zu unterrichten,2. die bei der Verarbeitung personenbezogener Datentätigen Personen durch geeignete Maßnahmenmit den Vorschriften dieser Anordnung sowie andererVorschriften über den Datenschutz und mitden jeweiligen besonderen Erfordernissen des Datenschutzesvertraut zu machen.(2) Dem betrieblichen Datenschutzbeauftragten ist vonder verantwortlichen Stelle eine Übersicht nach § 3 aAbs. 2 zur Verfügung zu stellen.(3) Der betriebliche Datenschutzbeauftragte macht dieAngaben nach § 3 a Abs. 2 Nr. 1 bis 7 auf Antrag jedermannin geeigneter Weise verfügbar, der ein berechtigtesInteresse nachweist.§ 19ErmächtigungenDie zur Durchführung dieser Anordnung erforderlichenRegelungen trifft der Generalvikar. Er legt insbesonderefest:a) den Inhalt der Meldung gemäß § 3 ab) den Inhalt der schriftlichen Verpflichtungserklärunggem. § 4 Satz 2,c) die technischen und organisatorischen Maßnahmengem. § 6 Satz 1.§ 20SchlussbestimmungDiese Anordnung tritt am 01.01.2004 in Kraft.— 25 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2Gleichzeitig tritt die Anordnung über den kirchlichen Datenschutz- KDO vom 01.01.1994 außer Kraft.Würzburg, 24.11.2003Karl Kardinal LehmannVorsitzender der Vollversammlung desVerbandes der Diözesen Deutschlands21. Verordnung zur Durchführung der Anordnung überden kirchlichen Datenschutz (KDO-DVO)i.d.F. des Beschlusses der Vollversammlung des Verbandesder Diözesen Deutschlands vom 23.06.2003für den Aufgabenbereich des Mitarbeiterswesentlichen Grundsätze und im übrigenauf die Texte in der jeweils gültigen Fassung.Diese Texte werden zur Einsichtnahmeund etwaigen kurzfristigen Ausleihebereitgehalten; dies wird dem Mitarbeiterbekannt gegeben,2. die Verpflichtung zur Beachtung der inNummer 1 genannten Vorschriften bei ihrerTätigkeit in der Datenverarbeitung,3. mögliche disziplinarrechtliche bzw. arbeitsrechtliche/rechtlicheFolgen eines Verstoßesgegen die KDO und andere für ihreTätigkeit geltende Datenschutzvorschriften,4. das Fortbestehen des Datengeheimnissesnach Beendigung der Tätigkeit bei der Datenverarbeitung.Aufgrund des § 19 der Anordnung über den kirchlichenDatenschutz (KDO) i.d.F. vom 23.06.2003 werden mit Wirkungvom 01.01.2004 die folgenden Regelungen getroffen:I. Zu § 3 a KDO (Meldung von Verfahren automatisierter Verarbeitung)(1) Sofern Verfahren automatisierter Verarbeitungenmeldepflichtig sind, sind diese vor Inbetriebnahmeschriftlich dem Diözesandatenschutzbeauftragten zumelden. Sofern ein betrieblicher Datenschutzbeauftragterbestellt ist, ist diesem gemäß § 18 b Abs. 2KDO eine Übersicht nach § 3a Abs. 2 KDO zur Verfügungzu stellen.(2) Für die Meldung von Verfahren automatisierterVerarbeitung vor Inbetriebnahme beziehungsweisedie dem betrieblichen Datenschutzbeauftragten zurVerfügung zu stellende Übersicht soll das Mustergemäß der Anlage verwandt werden.II. Zu § 4 KDO:(1) Zum Kreis der bei der Datenverarbeitung tätigenPersonen im Sinne des § 4 KDO gehören die in denStellen gemäß § 1 Abs. 2 KDO gegen Entgelt beschäftigtenund ehrenamtlich tätigen Personen. Siewerden belehrt über:1. den Inhalt der KDO und anderer für ihreTätigkeit geltender Datenschutzvorschriften;dies geschieht durch Hinweis auf die— 26 —(2) Über die Beachtung der Verpflichtung ist von denbei der Datenverarbeitung tätigen Personen eineschriftliche Erklärung nach näherer Maßgabe desAbschnittes III abzugeben. Die Urschrift der Verpflichtungserklärungwird zu den Personalakten derbei der Datenverarbeitung tätigen Personen genommen,welche eine Ausfertigung der Erklärungerhalten.(3) Die Verpflichtung auf das Datengeheimnis erfolgtdurch den Dienstvorgesetzten der in der Datenverarbeitungtätigen Personen oder einen von ihm Beauftragten.III. Zu § 4 KDO:(1) Die schriftliche Verpflichtungserklärung der beider Datenverarbeitung tätigen Personen gemäß § 4Satz 2 KDO hat zum Inhalt,1. Angaben zur Identifizierung (Vor- undZuname, Geburtsdatum und Anschriftsowie Beschäftigungsdienststelle),2. die Bestätigung,a. dass auf die für den Aufgabenbereichdes Mitarbeiters wesentlichen Grundsätzeund im übrigen auf die Texte inder jeweils gültigen Fassung sowieb. auf die Möglichkeit der Einsichtnahmeund etwaigen kurzfristigen Ausleihedieser Textehingewiesen wurde,

Kirchliches Amtsblatt Mainz 2004 Nr. 23. die Verpflichtung, die KDO und anderefür ihre Tätigkeit geltende Datenschutzvorschriftenin der jeweils gültigen Fassungsorgfältig einzuhalten,4. die Bestätigung, dass sie über disziplinarrechtlichebzw. arbeitsrechtliche/rechtlicheFolgen eines Verstoßes gegen die KDO belehrtwurden.(2) Die schriftliche Verpflichtungserklärung ist vonder bei der Datenverarbeitung tätigen Person unterAngabe des Ortes und des Datums der Unterschriftsleistungzu unterzeichnen.(3) Für die schriftliche Verpflichtungserklärung ist dasMuster gemäß der Anlage zu verwenden.5. zu gewährleisten, dass nachträglich überprüft undfestgestellt werden kann, ob und von wem personenbezogeneDaten in Datenverarbeitungssystemeeingegeben, verändert oder entfernt worden sind(Eingabekontrolle),6. zu gewährleisten, dass personenbezogene Daten,die im Auftrag verarbeitet werden, nur entsprechendden Weisungen des Auftraggebers verarbeitetwerden können (Auftragskontrolle),7. zu gewährleisten, dass personenbezogene Datengegen zufällige Zerstörung oder Verlust geschütztsind (Verfügbarkeitskontrolle),8. zu gewährleisten, dass zu unterschiedlichen Zweckenerhobene Daten getrennt verarbeitet werdenkönnen.V. Zu § 12 Abs. 3 KDO:IV.Anlage zu § 6 KDO:Werden personenbezogene Daten automatisiert verarbeitetoder genutzt, ist die innerbehördliche oder innerbetrieblicheOrganisation so zu gestalten, dass sie den besonderenAnforderungen des Datenschutzes gerecht wird. Dabeisind insbesondere Maßnahmen zu treffen, die je nach derArt der zu schützenden personenbezogenen Daten oderDatenkategorien geeignet sind,1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen,mit denen personenbezogene Daten verarbeitetoder genutzt werden, zu verwehren (Zutrittskontrolle),2. zu verhindern, dass Datenverarbeitungssystemevon Unbefugten genutzt werden können (Zugangskontrolle),3. zu gewährleisten, dass die zur Benutzung einesDatenverarbeitungssystems Berechtigten ausschließlichauf die ihrer Zugriffsberechtigung unterliegendenDaten zugreifen können, und dasspersonenbezogene Daten bei der Verarbeitung,Nutzung und nach der Speicherung nicht unbefugtgelesen, kopiert, verändert oder entfernt werdenkönnen (Zugriffskontrolle),4. zu gewährleisten, dass personenbezogene Datenbei der elektronischen Übertragung oder währendihres Transports oder ihrer Speicherung auf Datenträgernicht unbefugt gelesen, kopiert, verändertoder entfernt werden können und dass überprüftund festgestellt werden kann, an welche Stellen eineÜbermittlung personenbezogener Daten durchEinrichtungen zur Datenübertragung vorgesehenist (Weitergabekontrolle),— 27 —(1) Die Unterrichtung des Betroffenen (§ 2 Abs. 1KDO) über eine Übermittlung gemäß § 12 Abs. 3Satz 1 KDO erfolgt schriftlich.(2) Sie enthältVI.1. die Bezeichnung der übermittelnden Stelleeinschließlich der Anschrift,2. die Bezeichnung des Dritten, an den die Datenübermittelt werden, einschließlich der Anschrift,3. die Bezeichnung der übermittelten Daten.Zu § 13 Abs. 1 KDO:(1) Der Antrag des Betroffenen (§ 2 Abs. 1 KDO) aufAuskunft ist schriftlich an die verantwortliche Stelle(§ 2 Abs. 8 KDO) zu richten oder dort zu Protokollzu erklären.(2) Der Antrag soll die Art der personenbezogenenDaten, über die Auskunft begehrt wird, näher bezeichnen.Der Antrag auf Auskunft über personenbezogeneDaten, die weder automatisiert verarbeitetnoch in einer nicht automatisierten Datei gespeichertsind, muss Angaben enthalten, die dasAuffinden der Daten ermöglichen.(3) Der Antrag kann beschränkt werden auf Auskunftüber1. die zur Person des Betroffenen gespeichertenDaten oder2. die Herkunft dieser Daten oder

Kirchliches Amtsblatt Mainz 2004 Nr. 23. die Empfänger oder Kategorien von Empfängern,an die die Daten weitergegeben wordensind oder4. den Zweck, zu dem diese Daten gespeichertsind.(4) Vorbehaltlich der Regelung in § 13 Abs. 3 KDOwird die Auskunft in dem beantragten Umfangvon der verantwortlichen Stelle (§ 2 Abs. 8 KDO)schriftlich erteilt.(5) Wenn die Erteilung der beantragten Auskunft gemäߧ 13 Abs. 2 oder 3 KDO zu unterbleiben hat,so ist dies dem Antragsteller schriftlich mitzuteilen.Die Versagung der beantragten Auskunft sollbegründet werden. Für den Fall, dass eine Begründunggemäß § 13 Abs. 4 KDO nicht erforderlichist, ist der Antragsteller darauf hinzuweisen,dass er sich an den Diözesandatenschutzbeauftragtenwenden kann; die Anschrift des Diözesandatenschutzbeauftragtenist ihm mitzuteilen.VII. Zu § 13 a KDO(1) Die Benachrichtigung des Betroffenen (§ 2 Abs. 1KDO) gemäß § 13 a Abs. 1 KDO erfolgt, soweit diePflicht zur Benachrichtigung nicht nach § 13a Abs.2 und 3 entfällt, schriftlich durch die verantwortlicheStelle.(2) Sie enthält1. die zur Person des Betroffenen gespeichertenDaten,2. die Bezeichnung der verantwortlichen Stelle,3. den Zweck, zu dem die Daten erhoben, verarbeitetoder genutzt werden.4. die Empfänger oder Kategorien von Empfängern,soweit der Betroffene nicht mitder Übermittlung an diese rechnen muss.VIII. Zu § 14 KDO:(2) In dem Antrag auf Berichtigung sind die Daten zubezeichnen, deren Unrichtigkeit behauptet wird.Der Antrag muss Angaben über die Umständeenthalten, aus denen sich die Unrichtigkeit der Datenergibt.(3) In dem Antrag auf Löschung sind die personenbezogenenDaten zu bezeichnen, deren Speicherungfür unzulässig gehalten wird. Der Antrag mussAngaben über die Umstände enthalten, aus denensich die Unzulässigkeit der Speicherung ergibt.(4) Die zuständige Stelle entscheidet schriftlich überAnträge gemäß Abs. 1. Die Entscheidung ist demAntragsteller bekannt zu geben. Im Falle des § 14Abs. 8 KDO sind ihm die Stellen anzugeben, dievon der Berichtigung, Löschung oder Sperrungverständigt worden sind. Ist eine Verständigungaufgrund des § 14 Abs. 8 KDO unterblieben, sinddem Antragsteller die Gründe dafür mitzuteilen.(5) Der Widerspruch gemäß § 14 Abs. 5 KDO istschriftlich oder zur Niederschrift bei der verantwortlichenStelle (§ 2 Abs. 8 KDO) einzulegen. DieUmstände, aus denen sich das schutzwürdige Interessedes Betroffenen wegen seiner besonderen persönlichenSituation ergibt, sind von dem Betroffenendarzulegen. Die verantwortliche Stelle entscheidetüber den Widerspruch in geeigneter Form.Die Entscheidung ist dem Betroffenen bekannt zugeben.Anlagen1. Zu Abschnitt I. KDO-DVO ( § 3 a KDO Meldung vonVerfahren automatisierter Verarbeitungen)Die Notwendigkeit für die in den nachfolgenden Formularen(Muster 1 und Muster 2) geforderten Angaben ergibtsich aus § 3 a KDO. Für jedes automatisierte Verfahren einerverantwortlichen Stelle füllt der Rechtsträger (§ 1 Abs.2 KDO) ein Formular nach Muster 1 und Muster 2 aus.(1) Der Betroffene (§ 2 Abs. 1 KDO) kann schriftlichbeantragen, ihn betreffende personenbezogene Datenzu berichtigen oder zu löschen. Der Antrag istschriftlich an die Stellen gemäß § 1 Abs. 2 Nr. 2und 3, im Falle des § 1 Abs. 2 Nr. 1 an das Bistumzu richten.— 28 —

Kirchliches Amtsblatt Mainz 2004 Nr. 2Muster 1Allgemeine Angaben (§ 3a Abs.2 Nr. 1 und Nr. 2 KDO)1. Name und Anschrift1.1 des Rechtsträgers (§ 1 Abs. 2 KDO) (z.B. Kirchengemeinde)1.2 der verantwortlichen Stelle ( Jede Person oderStelle, die personenbezogene Daten für sichselbst erhebt, verarbeitet oder nutzt oder diesdurch andere im Auftrag vornehmen lässt [§ 2Abs. 8 KDO]) (z.B. Kindergarten der Kirchengemeinde)2. Vertretung der verantwortlichen Stelle2.1 der nach der Verfassung (Statut, Geschäftsordnung,Satzung) berufene Leiter der verantwortlichenStelle (z.B. Leiterin des Kindergartens derKirchengemeinde)2.2 mit der Leitung der Datenverarbeitung in derverantwortlichen Stelle beauftragte Personen(z.B. beauftragte Gruppenleiterin im Kindergartender Kirchengemeinde)Besondere Angaben (§ 3a Abs.2 Nr. 3 bis Nr. 7 KDO)3. Zweckbestimmung der Datenerhebung, -verarbeitungoder -nutzung (z.B. Mitglieder- und Bestandspflege)4. Betroffene Personengruppen und Daten oder Datenkategorien6. Regelfristen für die Löschung der Daten7. Geplante Datenübermittlung ins AuslandOrt, Datum, UnterschriftMuster 2Allgemeine Angaben (§ 3a Abs.2 Nr. 1 und Nr. 2 KDO)1. Name und Anschrift1.1 des Rechtsträgers (§ 1 Abs. 2 KDO) (z.B. Kirchengemeinde)1.2 der verantwortlichen Stelle ( Jede Person oderStelle, die personenbezogene Daten für sichselbst erhebt, verarbeitet oder nutzt oder diesdurch andere im Auftrag vornehmen lässt [§ 2Abs. 8 KDO]) (z.B. Kindergarten der Kirchengemeinde)2. Vertretung der verantwortlichen Stelle2.1 der nach der Verfassung (Statut, Geschäftsordnung,Satzung) berufene Leiter der verantwortlichenStelle (z.B. Leiterin des Kindergartens derKirchengemeinde)2.2 mit der Leitung der Datenverarbeitung in derverantwortlichen Stelle beauftragte Personen(z.B. beauftragte Gruppenleiterin im Kindergartender Kirchengemeinde)4.1 Beschreibung der betroffenen Personengruppen(z. B. Arbeitnehmer, Gemeindemitglieder, Patientenusw.)Besondere Angaben (§ 3a Abs.2 Nr. 8 und Nr. 9 KDO)3. Maßnahmen zur Gewährleistung der Sicherheit derVerarbeitung (z.B. Konfigurationsübersicht, Netzwerkstruktur,Betriebs- und Anwendungssoftware,spezielle Sicherungssoftware usw.)4.2 Beschreibung der diesbezüglichen Daten oderDatenkategorien (Mit „Daten“ sind„personenbezogene Daten“ i. S. d. § 2 Abs. 1KDO gemeint, wie z.B. Name, Anschrift, 4. Zugriffsberechtigte PersonenGeburtsdatum, Religionszugehörigkeit.Grundsätzlich reicht jedoch die Angabe von Ort, Datum, UnterschriftDatenkategorien, z.B. Personaldaten, aus.Sogenannte „besondere Arten personenbezogenerDaten“ (vgl. § 2 Abs. 10 KDO) sindentsprechend anzugeben.)5. Empfänger oder Kategorien von Empfängern, denendie Daten mitgeteilt werden können (Jede Person oderStelle, die Daten erhält [§ 2 Abs. 9 KDO]) (z.B. Behörden,kirchliche Stellen, Versicherungen, ärztl. Personalusw.)— 29 —

Kirchliches Amtsblatt Mainz 2004 Nr. 22. Zu Abschnitt III. KDO-DVO ( § 4 Satz 2 KDO) :VerpflichtungserklärungIch verpflichte mich,1. die Anordnung über den kirchlichen Datenschutz –KDO - des Bistums ................... vom ........... sowie dieanderen für meine Tätigkeit geltenden Datenschutzregelungeneinschließlich der zu ihrer Durchführung ergangenenBestimmungen sorgfältig einzuhalten undbestätige, dass ich auf die wesentlichen Grundsätzeder für meine Tätigkeit geltenden Bestimmungen hingewiesenwurde. Ich wurde ferner darauf hingewiesen,dass die KDO und die Texte der übrigen für meineTätigkeit geltenden Datenschutzvorschriften bei ...eingesehen und auch für kurze Zeit ausgeliehen werdenkönnen.2. das Datengeheimnis auch nach Beendigung meiner Tätigkeitzu beachten.Ich bin darüber belehrt worden, dass ein Verstoß gegendas Datengeheimnis gleichzeitig einen Verstoß gegen dieSchweigepflicht darstellt, der disziplinarrechtliche beziehungsweisearbeitsrechtliche/rechtliche Folgen habenkann.Diese Erklärung wird zu den Akten genommen.Vor- und Zuname, Anschrift:___________________Ort, DatumWürzburg, 24.11.2003___________________________UnterschriftKarl Kardinal LehmannVorsitzender der Vollversammlung desVerbandes der Diözesen DeutschlandsVerband der Diözesen Deutschlands22. Anordnung über den kirchlichen Datenschutz(KDO) für die Dienststellen und Einrichtungen desVerbandes der Diözesen DeutschlandsMit der Inkraftsetzung der Anordnung über den kirchlichenDatenschutz (KDO) i.d.F. vom 23.06.2003, wird diesemit Wirkung vom 01.01.2004 auch für die Dienststellenund Einrichtungen des Verbandes der Diözesen Deutschlandsin Kraft gesetzt.Mit der Inkraftsetzung dieser Anordnung tritt die Anordnungdes Verbandes der Diözesen Deutschlands vom01.01.1994, veröffentlicht im Kirchlichen Amtsblatt der DiözeseMainz Nr. 2/1995, S. 13 ff. gleichzeitig außer Kraft.Würzburg, 24.11.2003Karl Kardinal LehmannVorsitzender der Vollversammlung desVerbandes der Diözesen Deutschlands23. Verordnung zur Durchführung der Anordnung ü-ber den kirchlichen Datenschutz (KDO-DVO) fürdie Dienststellen und Einrichtungen des Verbandesder Diözesen DeutschlandsMit der Inkraftsetzung der Verordnung zur Durchführungder Anordnung über den kirchlichen Datenschutz (KDO-DVO) i.d.F. vom 23.06.2003, wird diese mit Wirkung vom01.01.2004 auch für die Dienststellen und Einrichtungendes Verbandes der Diözesen Deutschlands in Kraft gesetzt.Mit der Inkraftsetzung dieser Verordnung tritt die Verordnungzur Durchführung der Anordnung über denkirchlichen Datenschutz (KDO-DVO) für die Dienststellenund Einrichtungen des Verbandes der Diözesen Deutschlandsvom 22.11.1994, veröffentlicht im Kirchlichen Amtsblattder Diözese Mainz Nr. 2/1995, S. 18 ff. gleichzeitigaußer Kraft.Würzburg, 24.11.2003— 30 —Karl Kardinal LehmannVorsitzender der Vollversammlung desVerbandes der Diözesen Deutschlands

Kirchliches Amtsblatt Mainz 2004 Nr. 2Erlasse des hochw. Herrn Bischofs24. Anordnung über den kirchlichen Datenschutz(KDO) für das Bistum MainzMit der Inkraftsetzung der Anordnung über den kirchlichenDatenschutz (KDO) i.d.F. vom 23.06.2003, wird diesemit Wirkung vom 01.01.2004 auch für das Bistum Mainz inKraft gesetzt.Mit der Inkraftsetzung dieser Anordnung tritt die Anordnungdes Bistums Mainz über den Kirchlichen Datenschutz(KDO) vom 16. Februar 1994, veröffentlicht imKirchlichen Amtsblatt für die Diözese Mainz Nr. 5/1994, S.39 gleichzeitig außer Kraft.Mainz, 12.12.2003Karl Kardinal LehmannBischof von MainzVerordnungen des Generalvikars25. Verordnung zur Durchführung der Anordnungüber den kirchlichen Datenschutz (KDO-DVO) fürdas Bistum MainzMit der Inkraftsetzung der Verordnung zur Durchführungder Anordnung über den kirchlichen Datenschutz (KDO-DVO) i.d.F. vom 23.06.2003, tritt die Verordnung zurDurchführung der Anordnung über den kirchlichen Datenschutz(KDO-DVO) vom 01.07.1994, veröffentlicht imKirchlichen Amtsblatt für die Diözese Mainz Nr. 10/1994,S. 66 ff., außer Kraft.Die KDO-DVO i.d.F. vom 23.06.2003 wird hiermit auch fürdas Bistum Mainz mit Wirkung vom 01.01.2004 verordnet.Mainz, 15.12.2003Dietmar GiebelmannGeneralvikar26. Hinweise zur KDO und KDO-DVO i.d.F. vom23.06.2003 für das Bistum Mainz1. Die gesamte Neufassung der kirchlichen Datenschutzverordnunghebt in mehreren Vorschriften die Stellung„besonderer Arten personenbezogener Daten“hervor. Diese werden in § 2 Abs. 10 KDO n.F. als Angabenüber rassische und ethnische Herkunft etc. definiert.Die gesonderte Behandlung solcher „besondererArten personenbezogener Daten“ ergibt sich insbesondereaus den §§ 3 Abs. 4, 9 Abs. 5, 10 Abs. 5 und 612 Abs. 1 Nr. 2 KDO n.F., die verschärfte Anforderungenan Erhebung, Verarbeitung, Speicherung, Nutzungoder Übermittlung dieser Daten stellen.2. Durch die Einfügung eines § 2 a wird die Datenvermeidungund die Datensparsamkeit als Ziel der Gestaltungund Auswahl von Dateienverarbeitungssystemenexplizit festgeschrieben. Darüber hinaus fordert §2 a die verstärkte Nutzung von den Möglichkeiten derAnonymisierung und dem neu in § 2 Abs. 7 aufgenommenenInstitut der „Pseudonymisierung“.3. Als weiteres Novum hat die KDO den eingefügten § 3a zu verzeichnen. Diese Vorschrift spezifiziert die in §17 Abs. 3 KDO a.F. ehemals enthaltene Meldepflichtvon Verfahren automatisierter Verarbeitung vor Inbetriebnahme.Danach entfällt (Abs. 3) die Meldepflichtan den Diözesandatenschutzbeauftragten nach § 18a.n.F. (siehe unter 8) bestellt hat oder bei ihr höchstenszehn Personen mit der Erhebung, Verarbeitung oderNutzung personenbezogener Daten betraut sind. DieAnforderungen an eine solche „Meldung“ werden inAbs. 2 dargelegt und durch die in der KDO-DVO inAnlage 1 aufgeführten Muster näher ausgestaltet.4. Durch Einfügung der §§ 5 a und 5 b berücksichtigt dieKDO auch die Nutzung moderner Techniken. Die Vorschriftenenthalten Kriterien, nach denen die Beobachtungöffentlich zugänglicher Räume mit optischelektronischenEinrichtungen ( § 5 a) und die Nutzungmobiler personenbezogener Speicher- und Verarbeitungsmedienzulässig sein können.5. Eine weitere neue Vorschrift wurde in Form des § 13 ain die KDO aufgenommen. Diese Norm sieht eine Benachrichtigungspflichtdes Betroffenen vor, wenn Datenohne seine Kenntnis von der verantwortlichen Stelleerhoben worden sind. Im Einzelnen werden die Anforderungenan eine Unterrichtung und die Ausnahmenvon einer solchen in Abs. 2 festgeschrieben.— 31 —

Kirchliches Amtsblatt Mainz 2004 Nr. 26. Eine weitere Neuerung sieht § 14 Abs. 5 vor, der demBetroffenen hinsichtlich der Verarbeitung personenbezogenerDaten ein Widerspruchsrecht einräumt, dasunter bestimmten festgelegten Voraussetzungen dieVerarbeitung dieser Daten verbietet.Die neue Vorschrift des § 18 a ermöglicht es den kirchlichenStellen im Sinne des § 1 Abs. 2, die personenbezogeneDaten automatisiert erheben, verarbeiten oder nutzen, unterbestimmten Voraussetzungen, einen betrieblichen Datenschutzbeauftragtenzu bestellen. Dieser ist dem Leiterder kirchlichen Stelle unmittelbar unterstellt und soll vonden kirchlichen Stellen bei der Erfüllung seiner Aufgabenunterstützt werden. Die Aufgaben des betrieblichen Datenschutzbeauftragtensind in § 18 b konstatiert.„Meldepflicht bei Erhebung, Verarbeitung oder Nutzung personenbezogenerDaten mittels Verfahren automatisierter Verarbeitung“3. Die in der Meldung enthaltenen Angaben werden vonder kirchlichen Stelle in einem Verzeichnis geführt, dasauf Antrag jedermann in geeigneter Weise verfügbargemacht werden kann, sofern dieser ein berechtigtesInteresse nachweist.4. Für die Meldung von Verfahren automatisierterVerarbeitung vor Inbetriebnahme enthält die KDO-DVO, die ebenfalls mit Wirkung zum 12.12.2003novelliert wurde, in ihrer Anlage zwei Muster zurzweckentsprechenden Verwendung. Sollte die Stellevon der in § 18a KDO n.F. enthaltenen Befugnis zurBestellung eines betrieblichen DatenschutzbeauftragtenGebrauch machen, so ist diesem gem. §18b Abs. 2 KDO n.F. eine Übersicht nach § 3a Abs.2KDO zur Verfügung zu stellen. Hierfür sollen die inder Anlage der KDO-DVO n.F. angeführten Musterverwendet werden. Die Meldungen sind demDiözesandatenschutzbeauftragten für das BistumMainz zuzusenden.1. Unter Berücksichtigung der Novellierung der „Anordnungüber den kirchlichen Datenschutz-KDO“ mitWirkung zum 12.12.2003 wird darauf hingewiesen,dass alle Stellen, die dazu übergegangen sind, personenbezogeneDaten mittels Verfahren automatisierterVerarbeitung i.S. d. § 2 II KDO zu erheben, zu verarbeitenoder zu nutzen, den Verpflichtungen gemäßdieser Anordnung nachkommen müssen.2. Hierzu gehört auch die nunmehr in § 3 a KDO n.F. geregeltePflicht, Verfahren automatisierter Verarbeitungvor Inbetriebnahme dem Diözesandatenschutzbeauftragtenmit dem in § 3 a Abs. 2 KDO genannten Angabenzu melden. Diese Meldepflicht entfällt jedoch,wenn für die verantwortliche Stelle ein betrieblicherDatenschutzbeauftragter nach § 18a KDO n.F. bestelltwurde oder bei ihr höchstens zehn Personen mit derErhebung, Verarbeitung oder Nutzung personenbezogenerDaten betraut sind.Herausgegeben vom Bischöflichen Ordinariat Mainz - Prälat Dietmar Giebelmann, GeneralvikarDruck: Bischöfliche KanzleiBezugspreis jährlich € 15,-- einschl. Versandkosten— 32 —