.

Kirchengesetz über den Einsatz von Informationstechnik in der Evangelischen Kirche in Hessen und Nassau
(IT-Gesetz)

Vom 23. November 2012

(ABl. 2013 S. 17)

Die Kirchensynode der Evangelischen Kirche in Hessen und Nassau hat das folgende Kirchengesetz beschlossen:
####

§ 1
Anwendungsbereich

( 1 ) Dieses Gesetz regelt den Einsatz von Informationstechnik in der Evangelischen Kirche in Hessen und Nassau (EKHN).
( 2 ) Der EKHN organisatorisch zugeordnete rechtlich selbstständige Werke und Einrichtungen können dieses Gesetz ganz oder in Teilen für anwendbar erklären.
#

§ 2
Grundsätze

( 1 ) Der Einsatz von Informationstechnik unterstützt die Erfüllung des kirchlichen Auftrags.
( 2 ) Informationstechnik hat die Sicherheit der automatisierten Verarbeitung von Daten zu gewährleisten. Sie soll im Interesse der Anwenderinnen und Anwender gebrauchstauglich sein.
( 3 ) Einheitliche Informations- und Kommunikationstechnik wird zur Verbesserung der Zusammenarbeit, der Gewährleistung eines einheitlichen Sicherheitsstandards, der Wirtschaftlichkeit und Nachhaltigkeit auf allen Ebenen der EKHN entwickelt und eingesetzt.
#

§ 3
Begriffsbestimmungen

( 1 ) Die Informationstechnik im Sinne dieses Gesetzes umfasst alle technischen Mittel zur automatisierten Verarbeitung von Daten.
( 2 ) Kommunikationstechnik der EKHN ist die Informationstechnik, die von einer oder mehreren kirchlichen Einrichtungen oder im Auftrag einer oder mehrerer kirchlicher Einrichtungen betrieben wird und die der Kommunikation oder dem Datenaustausch untereinander oder mit Dritten dient.
( 3 ) Sicherheitsrisiken sind Eigenschaften von Programmen oder sonstigen informationstechnischen Systemen, durch deren Ausnutzung es möglich ist, dass sich Dritte gegen den Willen des Berechtigten Zugang zu fremden informationstechnischen Systemen verschaffen oder die Funktion informationstechnischer Systeme beeinflussen können.
#

§ 4
Aufgaben der Kirchenverwaltung

( 1 ) Die Kirchenverwaltung fördert die Sicherheit in der Informationstechnik. Hierzu nimmt sie folgende Aufgaben wahr:
  1. Abwehr von Gefahren für die Sicherheit der Informationstechnik der EKHN;
  2. Untersuchung von Sicherheitsrisiken bei Anwendung der Informationstechnik sowie Entwicklung von Sicherheitsvorkehrungen, soweit dies zur Erfüllung der Aufgaben der EKHN erforderlich ist;
  3. Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen und Komponenten sowie Prüfung und Bewertung der Konformität im Bereich der IT-Sicherheit;
  4. Prüfung, Bewertung und Einführung einheitlicher informations- und kommunikationstechnischer Systeme für alle Ebenen der EKHN;
  5. Sicherung der Datenqualität bei einheitlichen Lösungen und
  6. Sicherstellung des laufenden Betriebes bei einheitlichen Lösungen
( 2 ) Die Kirchenverwaltung fördert die Nachhaltigkeit bei einheitlichen Lösungen.
#

§ 5
Einheitlichkeit

Die Kirchenleitung kann einheitliche Lösungen in der Informationstechnik festlegen, um die Ziele des § 2 Abs. 3 zu erreichen. Vorhandene informationstechnische Lösungen sind angemessen zu berücksichtigen. Kirchliche Einrichtungen sind verpflichtet, die von der Kirchenleitung festgelegten einheitlichen informationstechnischen Lösungen für ihren Bereich einzusetzen. Solange die Kirchenleitung von dieser Regelung keinen Gebrauch macht, sind die eingesetzten informationstechnischen Lösungen der Kirchenverwaltung zu melden. Die Kosten für die von der Kirchenleitung angeordnete Einführung und die Wartung einheitlicher IT-Systeme sind durch die Gesamtkirche zu tragen. Hierzu zählen auch Kosten für die Schulung der Mitarbeitenden, einschließlich Reise- und Vertretungskosten. Zahlungsverpflichtungen Dritter bleiben unberührt.
#

§ 6
Kommunikationstechnik

( 1 ) Informations- und Kommunikationstechnik im Sinne von § 3 Abs. 1 und 2 darf nur im Rahmen des kirchlichen Auftrags genutzt werden. Soweit die private Nutzung gestattet wird, sind die Einzelheiten im Rahmen einer Dienstvereinbarung zu regeln.
( 2 ) Die Nutzung des gesamtkirchlichen E-Mail-Systems dient der dienstlichen Kommunikation.
#

§ 7
Datenverarbeitung im Auftrag

Die Kirchenverwaltung schließt im Rahmen von einheitlichen informationstechnischen Lösungen als gesetzliche Stellvertreterin Vereinbarungen über die Auftragsdatenverarbeitung personenbezogener Daten mit dem oder den Auftragsnehmern für die beteiligten kirchlichen Einrichtungen ab.
#

§ 8
Weitere Aufgaben der Kirchenverwaltung

( 1 ) Die Kirchenverwaltung ist berechtigt, im Rahmen ihrer gesetzlichen Aufgaben bei einheitlichen Verfahren die Daten automatisiert zu verarbeiten.
( 2 ) Der Kirchenverwaltung obliegt weiterhin
  1. die Erhebung, Verarbeitung und Übermittlung der für die gesetzliche Prüfung erforderlichen Daten der Kirchengemeinden, Dekanate und der Gesamtkirche an die staatliche Finanzverwaltung sowie die staatlichen Sozialversicherungsträger. Die kirchlichen Einrichtungen sind zur Übermittlung der für die gesetzliche Prüfung erforderlichen Daten an die Kirchenverwaltung verpflichtet;
  2. die Übermittlung von personenbezogenen Daten an andere Evangelische Kirchen, die Mitglied der Evangelischen Kirche in Deutschland sind, und die Evangelische Kirche in Deutschland im Rahmen des kirchlichen Meldewesens, von statistischen Daten im Rahmen der staatlichen Statistikgesetze an staatliche Behörden sowie die automatisierte Verarbeitung von statistischen Daten im Rahmen der Überprüfung der Erfüllung des Organisationszwecks.
#

§ 9
Rechnungsprüfung

Zum Zweck der gesetzlichen Rechnungsprüfung können für das Rechnungsprüfungsamt der Evangelischen Kirche in Hessen und Nassau automatisierte Verfahren eingerichtet werden, die die Übermittlung der personenbezogenen Daten der Kirchengemeinden, kirchlichen Verbände, Dekanate und der Gesamtkirche einschließlich ihrer Sondervermögen und unselbstständigen Einrichtungen auf Abruf ermöglichen, die für die Durchführung der gesetzlichen Prüfung erforderlich sind. Anlass der automatisierten Abrufverfahren ist die Prüfung der gespeicherten personenbezogenen Daten vom Dienstsitz des Rechnungsprüfungsamtes. Die nach § 9 sowie § 10 Absatz 2 DSG-EKD und nach diesem Gesetz erforderlichen technischen und organisatorischen Maßnahmen sind einzuhalten. Der Datenschutzbeauftragte ist über die Einrichtung der Abrufverfahren sowie deren Änderungen zu unterrichten. Das Rechnungsprüfungsamt unterrichtet die geprüften Einrichtungen oder die die abgerufenen Daten führenden Einrichtungen jeweils über Zeitpunkt, Art und Umfang des erfolgten Datenabrufs.
#

§ 10
Verwaltungsvorschriften

Die Kirchenleitung kann ergänzende Regelungen zu diesem Gesetz im Rahmen einer Rechtsverordnung3#, die der Zustimmung des Kirchensynodalvorstands bedarf, sowie Verwaltungsvorschriften zur Ausführung dieses Gesetzes erlassen.
#

§ 11
Inkrafttreten

Dieses Gesetz tritt am Tag der Verkündung im Amtsblatt in Kraft.4#

#
1 ↑ Nr. 978.
#
2 ↑ Nr. 760.
#
3 ↑ Nr. 973.
#
4 ↑ Dieses Kirchengesetz ist am 1. Januar 2013 in Kraft getreten.