DATENSCHUTZERKLÄRUNG

FAKTEN

Sitz: Wustermark | OT Elstal
Mitgliedsunionen: 30
Projekte: ca. 300
Missionare: ca. 101

Datenschutzordnung

von EBM INTERNATIONAL Körperschaft des öffentlichen Rechts

Diese Datenschutzordnung wurde vom Exekutiv Komitee von EBM INTERNATIONAL am 24. Februar 2018 und von der Mitgliederversammlung von EBM INTERNATIONAL am 03. Mai 2018 beschlossen und ist am 03. Mai 2018 in Kraft getreten.

Inhalt

ERSTER ABSCHNITT: ALLGEMEINE BESTIMMUNGEN

§ 1. Gegenstand, Ziele und Anwendungsbereich 

§ 2. Verantwortlichkeit für die Durchführung des Datenschutzes

§ 3. Begriffsbestimmungen 

§ 4. Rechtmäßigkeit der Verarbeitung

§ 5. Bedingungen für die Einwilligung

§ 6. Datenübermittlung an Mitgliedsunionen von EBM INTERNATIONAL sowie öffentliche Stellen

§ 7. Verarbeitung besonderer Daten

 

ZWEITER ABSCHNITT: RECHTE DER BETROFFENEN PERSON

§ 8. Transparente Information, Kommunikation

§ 9. Informationspflichten bei Datenerhebung

§ 10. Auskunftsrecht der betroffenen Person

§ 11. Recht auf Berichtigung 10

§ 12. Recht auf Löschung

§ 13. Recht auf Einschränkung der Verarbeitung

§ 14. Informationspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung

§ 15. Widerspruchsrecht

 

DRITTER ABSCHNITT: PFLICHTEN DER VERANTWORTLICHEN STELLEN UND AUFTRAGSVERARBEITER 

§ 16. Datengeheimnis und Verschwiegenheit

§ 17. Technische und organisatorische Maßnahmen

§ 18. Verarbeitung von personenbezogenen Daten im Auftrag

§ 19. Verzeichnis von Verarbeitungstätigkeiten

§ 20. Meldung von Verletzungen des Schutzes personenbezogener Daten

§ 21. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

§ 22. Datenschutz-Folgenabschätzung

 

VIERTER ABSCHNITT: AUFSICHTSGREMIUM UND BEAUFTRAGTE FÜR DEN DATENSCHUTZ

§ 23. Bestellung und Stellung des Beauftragten von EBM INTERNATIONAL für den Datenschutz

§ 24. Aufgaben und Befugnisse des Beauftragten von EBM INTERNATIONAL für den Datenschutz

§ 25. Aufsichtsgremium 

§ 26. Geldbußen

§ 27. Recht auf Beschwerde

§ 28. Schadensersatz durch verantwortliche Stellen

 

FÜNFTER ABSCHNITT: VORSCHRIFTEN FÜR BESONDERE VERARBEITUNGSSITUATIONEN

§ 29. Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen
§ 30. Verarbeitung personenbezogener Daten für journalistische Zwecke 

§ 31. Veranstaltungen von EBM INTERNATIONAL

 

SECHSTER ABSCHNITT: SCHLUSSBESTIMMUNGEN

§ 32. Ergänzende Bestimmungen

§ 33. Inkrafttreten, Außerkrafttreten

 

§ 1. Gegenstand, Ziele und Anwendungsbereich

 

(1) Diese Datenschutzordnung gilt für die Religionsgemeinschaft EBM INTERNATIONAL, K. d. ö. R. (im Folgenden: EBM INTERNATIONAL) und ihre Verwaltung. 

 

(2) Diese Ordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung person-enbezogener Daten. Sie dient dem Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(3) Diese Ordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten und Aktensammlungen gelten nur als Dateisystem, wenn sie nach bestimmten Kriterien geordnet sind.

(4) Diese Ordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht bei EBMI angestellten Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung Zwecken von EBM INTERNATIONAL dient.

(5) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

(6) Diese Ordnung orientiert sich an der Regelung gemäß Artikel 91 der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

 

 

§ 2. Verantwortlichkeit für die Durchführung des Datenschutzes

 

(1) Das Exekutivkomitee von EBMINTERNATIONAL stellt die Einhaltung des Datenschutzes im Sinne dieser Ordnung sicher. Das Exekutivkomitee kann diese Aufgabe an die Geschäftsführung delegieren.

 

§ 3. Begriffsbestimmungen

 

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

(1). „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizier-bar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Aus-druck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „besondere Daten“ sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person und Gesundheitsdaten.

3. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

4. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht;

5. „Verantwortlicher“ eine Stelle bei EBMINTERNATIONAL, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet;

6. „verantwortliche Stelle“ siehe „Verantwortlicher“;

7. „Auftragsverarbeiter“ eine natürliche oder juristische Person oder - falls die verantwortliche Stelle zu einer anderen juristischen Person gehört - eine Stelle von EBMINTERNATIONAL, die personenbezogene Daten im Auftrag der verantwortlichen Stelle verarbeitet;

8. „Dritter“ eine natürliche oder juristische Person, Behörde, außer der betroffenen Person, der verantwortlichen Stelle, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung der verantwortlichen Stelle oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
 

9. „Anonymisierung“ ist die Verarbeitung personenbezogener Daten derart, dass die personenbezogenen Daten nicht mehr einer spezifischen betroffenen Person zugeordnet werden können oder nur mit einem großen Aufwand an Zeit, Kosten und Arbeitskraft einer identifizierten oder identifizierbaren Person zugeordnet werden können.

10. „Pseudonymisierung“ die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;

11. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
12. „Aufsichtsgremium“ eine unabhängige Stelle von EBM INTERNATIONAL, die über die Einhaltung der Datenschutzordnung wacht;

 

13. „Datenschutzbeauftragter“ der vom Exekutivkomitee von EBM INTERNATIONAL bestellte Beauftragte für den Datenschutz;

14. „Einschränkung der Verarbeitung“ die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken;

15. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

 

§ 4. Rechtmäßigkeit der Verarbeitung

(1) Die Verarbeitung ist nur zulässig, wenn

a) eine Ordnung von EBMINTERNATIONAL oder eine vorrangige staatliche Rechtsvorschrift die Verarbeitung der personenbezogenen Daten erlaubt oder sie anordnet;

b) die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat;

c) die Verarbeitung zur Erfüllung der Aufgaben der verantwortlichen Stelle erforderlich;

d) die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist;

e) die Verarbeitung erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

f) die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt oder

g) sie für journalistisch-redaktionelle Zwecke von EBMINTERNATIONAL erfolgt.

(2) Der Zweck der Datenverarbeitung und der Kreis der betroffenen Personen müssen festgelegt oder erkennbar sein.
(3) Die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden (Zweckänderung), ist nur zulässig, wenn die Möglichkeit der Pseudonymisierung geprüft wurde und

a) die betroffene Person eingewilligt hat;

b) offensichtlich ist, dass sie im Interesse der betroffenen Person liegt, und kein Grund zu der Annahme besteht, dass diese in Kenntnis des anderen Zweckes ihre Einwilligung verweigern würde;

c) die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen darf, es sei denn, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Zweckänderung offensichtlich überwiegt;

d) Grund zu der Annahme besteht, dass andernfalls die Wahrnehmung des kirchlichen Auftrages gefährdet würde;

e) es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist;

 

f) sie für statistische Zwecke zur Erfüllung des kirchlichen Auftrages erforderlich ist.

 

(4) Eine Verarbeitung für andere Zwecke ist zulässig, wenn sie der Wahrnehmung von Visitations-, Aufsichts- und Kontrollbefugnissen von EBM INTERNATIONAL, der Rechnungsprüfung, der Revision oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient.

 

§ 5. Bedingungen für die Einwilligung

 

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

(3) Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

 

(4) Sollen Daten von Kindern verarbeitet werden, so kann die Einwilligung nur durch den Träger der elterlichen Verantwortung für das Kind erfolgen, wenn das Kind das vierzehnte Lebensjahr noch nicht vollendet hat. Anderenfalls erfolgt die Einwilligung durch das Kind gemeinsam mit dem Träger der elterlichen Verantwortung.

 

§ 6. Datenübermittlung an Mitgliedsunionen von EBM INTERNATIONAL sowie öffentliche Stellen

 

(1) Die Übermittlung von personenbezogenen Daten an Mitgliedsunionen von EBM INTERNATIONAL ist zulässig, wenn

a) sie zur Erfüllung der in der Zuständigkeit der übermittelnden oder der empfangenden Stelle liegenden Aufgaben erforderlich ist und

b) die Zulässigkeitsvoraussetzungen des § 5 vorliegen.

(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt der Verantwortliche. Erfolgt die Übermittlung auf Ersuchen der empfangenden Stelle, trägt auch diese Verantwortung. In diesem Falle prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben der datenempfangenden Stelle liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht.

 

 

(3) Die datenempfangende Stelle darf die übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt werden. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 4 Abs. 2 zulässig.

 

(4) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten der betroffenen oder einer anderen Person so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen der betroffenen oder einer anderen Person an deren Geheimhaltung offensichtlich überwiegen; eine Verwendung dieser Daten ist unzulässig.

 

 

  1. Personenbezogene Daten dürfen an Stellen anderer öffentlich-rechtlicher Religions-gesellschaften übermittelt werden, wenn diese zur Erfüllung der Aufgaben des Verantwortlichen erforderlich ist, sofern sichergestellt ist, dass bei der empfangenden Stelle ausreichende Datenschutzmaßnahmen getroffen werden, und nicht berechtigte Interessen der betroffenen Person entgegenstehen.

 

(6) Personenbezogene Daten dürfen an staatliche und kommunale Stellen übermittelt werden, wenn dies eine Rechtsvorschrift zulässt und nicht berechtigte Interessen der betroffenen Person entgegenstehen.

 

§ 7. Verarbeitung besonderer Daten

 

(1) Die Verarbeitung besonderer Daten ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

 

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt,

 

b) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

c) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

d) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,

e) die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses erforderlich und der Verantwortliche hat angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorgesehen,

f) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin oder für die Beurteilung der Arbeitsfähigkeit des Beschäftigten und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich oder

g) die Verarbeitung ist für Archivzwecke, für wissenschaftliche oder historische Forschungszwecke, die im Interesse von EBM INTERNATIONAL sind, erforderlich und der Verantwortliche hat angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorgesehen.

 

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe f genannten Zwecken verarbeitet werden, wenn diese

 

Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Recht der europäischen Union oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt.

(4) Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln ist unter den Voraussetzungen von §6 zulässig, wenn dies das kirchliche oder staatliche Recht zulässt.

 

ZWEITER ABSCHNITT: RECHTE DER BETROFFENEN PERSON

§ 8. Transparente Information, Kommunikation

 

(1) Die verantwortliche Stelle trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen die nach dieser Ordnung hinsichtlich der Verarbeitung zu geben sind, in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln.

(2) Die verantwortliche Stelle stellt der betroffenen Person Informationen über die ergriffenen Maßnahmen gemäß den §§ 12 bis 15 innerhalb von drei Monaten nach Eingang des Antrags zur Verfügung. Diese Frist kann um zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der Anträge erforderlich ist. Die verantwortliche Stelle unterrichtet die betroffene Person innerhalb von drei Monaten nach Eingang über eine Fristverlängerung zusammen mit den Gründen für die Verzögerung.

(3) Wird die verantwortliche Stelle auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet sie die betroffene Person ohne Verzögerung, spätestens aber innerhalb von drei Monaten nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, beim Datenschutzrat Beschwerde einzulegen.

(4) Informationen werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann die verantwortliche Stelle sich weigern, aufgrund des Antrags tätig zu werden, oder ein angemessenes Entgelt verlangen.

(5) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die einen Antrag gemäß den §§ 11 bis 15 stellt, so kann er zusätzliche Informationen anfordern, die zur

 

 

Bestätigung der Identität der betroffenen Person erforderlich sind.

§ 9. Informationspflichten bei Datenerhebung

 

(1) Der Datenschutzbeauftragte des Bundes stellt folgende Informationen zur Datenerhebung öf-fentlich zur Verfügung:

  • das Bestehen eines Rechts auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit sowie eines Widerspruchsrechts gegen die Verarbeitung;
  • das Bestehen des Rechts eine gegebenenfalls erteilte Einwilligung zu widerrufen;
  • das Bestehen eines Beschwerderechts beim Datenschutzrat;

 

(2) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt die verantwortliche Stelle der betroffenen Person auf Verlangen Folgendes mit:

  • den Namen und die Kontaktdaten der verantwortlichen Stelle;
  • gegebenenfalls die Kontaktdaten des zuständigen Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
  • die Rechtsgrundlage für die Verarbeitung;
  • gegebenenfalls die Empfänger der personenbezogenen Daten

 

(3) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt die verantwortliche Stelle der betroffenen Person die folgenden Informationen mit:

  • die zur Person gespeicherten Daten
  • die Herkunft der Daten
  • die Empfänger der Daten

 

Von dieser Verpflichtung ist die verantwortliche Stelle befreit, soweit die Daten oder die Tatsache ihrer Speicherung aufgrund einer speziellen Rechtsvorschrift oder wegen überwiegen der berechtigter Interessen Dritter geheim gehalten werden müssen und das Interesse der betroffenen Person an der Auskunftserteilung zurücktreten muss oder wenn durch die Auskunft die Wahrnehmung des Auftrags der Kirche gefährdet wird.

(4) Beabsichtigt die verantwortliche Stelle, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt sie der betroffenen Person vor dieser

 

Weiterverarbeitung Informationen über diesen anderen Zweck und gegebenenfalls die Empfänger der personenbezogenen Daten zur Verfügung. Diese Informationspflicht gilt nicht im Fall von §10 Abs. 2.

§ 10. Auskunftsrecht der betroffenen Person

 

(1) Der betroffenen Person ist auf Antrag Auskunft zu erteilen über die zu ihr gespeicherten per-sonenbezogenen Daten. Die Auskunft muss folgende Informationen enthalten:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten;
  • die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind;
  • falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die verantwortliche Stelle oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts beim Datenschutzrat;

 

  • Information über die Herkunft der Daten.

 

(2) Auskunft darf nicht erteilt werden, soweit die Daten oder die Tatsache ihrer Speicherung aufgrund einer speziellen Rechtsvorschrift oder wegen überwiegender berechtigter Interessen Dritter geheim gehalten werden müssen und das Interesse der betroffenen Person an der Auskunftserteilung zurücktreten muss, oder wenn durch die Auskunft die Wahrnehmung des Auftrags von EBM INTERNATIONAL gefährdet wird.

(3) Die Auskunft ist unentgeltlich.

(4) Absatz 1 findet keine Anwendung, soweit die Auskunft einen unverhältnismäßigen Aufwand erfordern würde. 

 

§ 11. Recht auf Berichtigung

 

(1) Unrichtige personenbezogene Daten sind unverzüglich zu berichtigen. Das gilt insbesondere auf Antrag der betroffenen Person.

(2) Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht,

 

die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

 

(3) Das Recht auf Berichtigung besteht nicht, wenn die personenbezogenen Daten zu Archivzwecken im kirchlichen Interesse verarbeitet werden. Bestreitet die betroffene Person die Richtigkeit der personenbezogenen Daten, ist ihr die Möglichkeit einer Gegendarstellung einzuräumen. Das zuständige Archiv ist verpflichtet, die Gegendarstellung den Unterlagen hinzuzufügen.

 

§ 12. Recht auf Löschung

 

(1) Die betroffene Person hat das Recht, von der verantwortlichen Stelle zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und die verantwortliche Stelle ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

 

b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

c) Die betroffene Person legt gemäß §15 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

(2) Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, um die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten anzustreben.

(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach staatlichem oder kirchlichen Recht, dem die verantwortliche Stelle unterliegt, erfordert;
  • zur Wahrnehmung einer Aufgabe aufgrund eines wichtigen Interesses von EBM INTERNATIONAL;
  • für im Interesse von EBM INTERNATIONAL liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

(4) Ist eine Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich, tritt an die Stelle des Rechts auf Löschung das Recht auf Einschränkung der Verarbeitung gemäß § 13.

 

§ 13. Recht auf Einschränkung der Verarbeitung

 

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung personenbezogener Daten zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

a) Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten und die Prüfung der Richtigkeit durch die verantwortliche Stelle ist noch nicht abgeschlossen.

b) Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

c) Die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß §15 eingelegt und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

(2) Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aufgrund eines wichtigen Interesses von EBM INTERNATIONAL verarbeitet werden.

(3) Eine betroffene Person, die eine Einschränkung der Verarbeitung gemäß Absatz 1 erwirkt hat, wird von der verantwortlichen Stelle unterrichtet, bevor die Einschränkung aufgehoben wird.

 

 

§ 14. Informationspflicht bei Berichtigung, Löschung oder Einschränkung der Verarbeitung

 

Die verantwortliche Stelle teilt jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung der betroffenen Person mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Die verantwortliche Stelle unterrichtet die betroffene Person über die Empfänger der Daten, wenn die betroffene Person dies verlangt.

§ 15. Widerspruchsrecht

 

(1) Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten gemäß § 4 Absatz 1 Buchstaben f) und g) Widerspruch einzulegen.

 

(2) Der Widerspruch verpflichtet die verantwortliche Stelle dazu, die Verarbeitung zu unterlassen, soweit nicht an der Verarbeitung ein zwingendes kirchliches Interesse besteht, das Interesse einer dritten Person überwiegt oder Recht des Bundes zur Verarbeitung verpflichtet.

 

DRITTER ABSCHNITT: PFLICHTEN DER VERANTWORTLICHEN STELLEN UND AUF-TRAGSVERARBEITER

§ 16. Datengeheimnis und Verschwiegenheit

 

Den mit dem Umgang von personenbezogenen Daten betrauten Personen ist es untersagt, perso-nenbezogene Daten unbefugt zu verarbeiten (Datengeheimnis). Das gilt insbesondere für das Offenlegen solcher Daten. Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

§ 17. Technische und organisatorische Maßnahmen

 

(1) Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der damit verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und zu dokumentieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

(2) Diese Maßnahmen schließen unter anderem folgende Aspekte ein:

  • die Pseudonymisierung, die Anonymisierung und die Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Sicherheit (Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit) der datenverarbeitenden Systeme und Dienste auf Dauer sicherzustellen;

 

 

  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(3) Bei der Beurteilung des angemessenen Sicherheitsniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung personenbezogenen Daten verbunden sind, insbesondere durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang.

(4) Die verantwortliche Stelle und gegebenenfalls der Auftragsverarbeiter treffen technische und organisatorische Maßnahmen, die geeignet sind, durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, zu verarbeiten. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere geeignet sein, dass personenbezogene Daten nicht ohne Eingreifen der verantwortlichen Stelle durch Voreinstellungen einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

(5) Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Sicherheitsniveau steht.

 

(6) Die Einhaltung eines nach dem EU-Recht anerkannten Verfahrens zur Feststellung der Sicherheit der personenbezogenen Daten kann als Indiz für die Erfüllung der Pflichten gemäß den Absätzen 1 bis 4 gewertet werden.

(7) Die verantwortliche Stelle und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur gemäß den Weisungen des Verantwortlichen verarbeiten.

§ 18. Verarbeitung von personenbezogenen Daten im Auftrag

 

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen oder Personen verarbeitet, ist die Auftrag gebende Stelle von EBM INTERNATIONAL für die Einhaltung der Vorschriften dieser Ordnung und anderer anzuwendender Vorschriften über den Datenschutz verantwortlich. Die in im ZWEITEN ABSCHNITT genannten Rechte sind ihr gegenüber geltend zu machen. Zuständig für die Aufsicht ist der Datenschutzrat.

 

(2) Hat eine natürliche oder juristische Person Ihren Sitz oder eine Betriebsstätte, die für die Verarbeitung im Auftrag benötigt werden, in einem Drittland, so ist die Erteilung eines Auftrags zur Verarbeitung von personenbezogenen Daten durch die verantwortliche Stelle nur zulässig, wenn die EU-Kommission für dieses Land beschlossen hat, dass es ein angemessenes Datenschutzniveau bietet.

(3) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auf-tragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

(4) Bei der Beauftragung eines Auftragsverarbeiters ausserhalb von EBM INTERNATIONAL  ist die Entscheidung für diesen Auftragsverarbeiter schriftlich zu begründen und verfügbar zu halten.

 

(5) Der Auftragsverarbeiter wird dazu verpflichtet, dass er keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch nimmt. Bedingung für eine Genehmigung durch den Verantwortlichen ist insbesondere die Verpflichtung des Auftragsverarbeiters zu gewährleisten, dass der weitere Auftragsverarbeiter gleichwertige Bedingungen gemäß §19 und § 20 akzeptiert.

(6) Der Auftrag ist schriftlich zu erteilen. Dieser Auftrag beinhaltet insbesondere, dass der Auf-tragsverarbeiter

 

a) die personenbezogenen Daten nur auf Weisung des Verantwortlichen verarbeitet;

 

  1. gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen auf das Datengeheimnis gemäß §16 verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

 

c) alle gemäß §17 für Auftragsverarbeiter erforderlichen Maßnahmen ergreift;

d) die Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters gemäß Absatz 5 einhält;

e) angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, seiner Pflicht zur

Beantwortung von Anträgen auf Wahrnehmung der in ZWEITEN ABSCHNITT genannten Rechte der betroffenen Person nachzukommen;

f) nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl der verantwortlichen Stelle entweder löscht oder zurückgibt;

g) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt;

h) den Verantwortlichen unverzüglich informiert, falls er der Auffassung ist, dass eine Weisung der verantwortlichen Stelle gegen diese Ordnung oder gegen andere anzuwendende Datenschutzbestimmungen verstößt.

(7) Die verantwortliche Stelle hat sich vor Beginn der Datenverarbeitung und in geplanten Abständen von der Einhaltung der Vertragsbedingungen gemäß Absatz 6 zu überzeugen. Das Ergebnis ist zu dokumentieren. Es sind auch Fachwissen und Ressourcen zu beurteilen. Die Einhaltung eines nach dem EU-Recht anerkannten Verfahrens zur Feststellung der Sicherheit der personenbezogenen Daten durch den Auftragsverarbeiter ist als Begründung für erleichterte Kontrollen vor Auftragserteilung oder während des Vertragsverhältnisses zulässig.

(8) Handelt es sich um einen Druckauftrag durch EBM INTERNATIONAL selbst, so muss die verantwortliche Stelle nicht gemäß Absatz 7 handeln.

 

§ 19. Verzeichnis von Verarbeitungstätigkeiten

 

(1) EBM INTERNATIONAL führt ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält folgende Angaben:

  • den Namen und die Kontaktdaten der verantwortlichen Stelle sowie gegebenenfalls des Auftragsverarbeiters und des dezentral Beauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten sowie
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder offengelegt werden sollen, einschließlich Empfängern in Drittländern.

(2) Auftragsverarbeiter, die nicht dieser Ordnung unterliegen, sind auf die Einhaltung der EU-Verordnung 2016/679 verpflichtet.

(3) Verantwortliche Stellen und Auftragsverarbeiter stellen dem Datenschutzrat die Verzeichnisse auf Anfrage zur Verfügung.

 

§ 20. Meldung von Verletzungen des Schutzes personenbezogener Daten

(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem nicht unerheblichen Risiko für die Rechte natürlicher Personen führt, meldet die verantwortliche Stelle dies unverzüglich dem Datenschutzrat.

(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese der verantwortlichen Stelle unverzüglich.

(3) Die Meldung gemäß Absatz 1 enthält insbesondere eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten und der mutmaßlichen Folgen der Verletzung des Schutzes.

 

(4) Die verantwortliche Stelle hat Verletzungen des Schutzes personenbezogener Daten samt den ergriffenen Abhilfemaßnahmen zu dokumentieren.

 

§ 21. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte natürlicher Personen zur Folge, so benachrichtigt die verantwortliche Stelle die betroffenen Personen unverzüglich von der Verletzung.

(2) Die Benachrichtigung der betroffenen Person hat in klarer und einfacher Sprache zu erfolgen.

(3) Von der Benachrichtigung der betroffenen Person kann abgesehen werden, wenn

  • die verantwortliche Stelle durch nachträgliche Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht, oder
  • die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

§ 22. Datenschutz-Folgenabschätzung

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) Die Folgenabschätzung umfasst insbesondere:

 

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von der verantwortlichen Stelle verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht

 

 

wird, dass die datenschutzrechtlichen Regelungen eingehalten werden.

VIERTER ABSCHNITT: AUFSICHTSGREMIUM UND BEAUFTRAGTE FÜR DEN DA-TENSCHUTZ

 

§ 23. Bestellung und Stellung des Beauftragten von EBM INTERNATIONAL für den Datenschutz

 

(1) Das Exekutivkomitee von EBM INTERNATIONAL bestellt einen Beauftragten für den Datenschutz per Beschluss.

(2) Die Bestellung wird in der Regel auf fünf Jahre befristet. Die erneute Bestellung ist zulässig.

(3) Der oder die Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens bestellt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in §24 genannten Aufgaben.

(4) Der oder die Datenschutzbeauftragte kann Beschäftigter von EBM INTERNATIONAL sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

(5) Die Geschäftsführung von EBM INTERNATIONAL unterstützt den Datenschutzbeauftragten oder die Datenschutzbeauftragte, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.

(6) Der oder die Datenschutzbeauftragte berichtet dem Datenschutzrat.

(7) Der oder die Datenschutzbeauftragte ist jederzeit zur Anrufung des Exekutivkomitees von EBM INTERNATIONAL berechtigt.

 

(8) Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

(9) Der oder die Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung des Da-tengeheimnisses und der Vertraulichkeit gebunden.

(10) Die Vertretung ist zu regeln.

(11) Die Abberufung des oder der Datenschutzbeauftragten ist nur mit Zustimmung des Missionsrates von EBM INTERNATIONAL zulässig. Eine vorläufige Suspendierung durch das Exekutivkomitee von EBM INTERNATIONAL aus wichtigem Grund ist möglich.

 

§ 24. Aufgaben und Befugnisse des/der Datenschutzbeauftragten

(1) Der oder die Datenschutzbeauftragte sensibilisiert, informiert und berät die verantwortlichen Stellen und internen Auftragsverarbeiter über Fragen und maßgebliche Entwicklungen des Datenschutzes sowie über die Vermeidung von Risiken.

(2) Er bzw. sie unterrichtet betroffene Personen auf Anfrage über deren persönliche Rechte aus dieser Ordnung.

(3) Er bzw. sie nimmt Beschwerden von betroffenen Personen und von bei EBM INTERNATIONAL Beschäftigten entgegen und übergibt sie dem Datenschutzrat zur Bearbeitung.

 

(4) Prüfungen durch den oder die Datenschutzbeauftragte werden unter folgenden Bedingungen durchgeführt:

a) Der oder die Beauftragte wird von der betroffenen verantwortlichen Stelle bei der Erfüllung seiner bzw. ihrer Aufgaben unterstützt. Auf Verlangen ist ihm bzw. ihr Auskunft sowie Einsicht in alle Unterlagen und Akten über die Verarbeitung personenbezogener Daten zu geben, und es sind alle diesbezüglich gespeicherten Daten bereitzustellen.

b) Der oder die Beauftragte teilt die Ergebnisse seiner Prüfungen den betroffenen verantwortlichen Stellen und dem Datenschutzrat mit. Damit können Vorschläge zur Verbesserung des Datenschutzes, insbesondere zur Beseitigung von festgestellten Mängeln bei der Verarbeitung personenbezogener Daten und eine Aufforderung zur Stellungnahme verbunden sein.

c) Der Prüfung durch den oder die Datenschutzbeauftragte unterliegen nicht Aufzeichnungen gemäß §4 sowie personenbezogene Daten, die dem Arztgeheimnis unterliegen.

§ 25. Aufsichtsgremium

 

(1) Über die Einhaltung dieser Ordnung wacht ein unabhängiges Aufsichtsgremium für den Datenschutz (Datenschutzrat).

 

(2) Der Datenschutzrat wird von dem oder der Beauftragten für den Datenschutz geleitet und nach außen vertreten.

(3) Das Exekutivkomitee von EBM INTERNATIONAL wählt die Mitglieder des Datenschutzrats unter Berücksichtigung von Fachwissen, Zuverlässigkeit und Erfahrung aus.

 

Der Datenschutzrat besteht aus mindestens zwei Mitgliedern. Die Bestellung der Mitglieder erfolgt für mindestens zwei Jahre. Die Mitwirkung im Datenschutzrat erfolgt in der Regel ehrenamtlich.

 

(4) Der Datenschutzrat handelt bei der Erfüllung seiner Aufgaben und bei der Ausübung seiner Befugnisse völlig unabhängig. Er unterliegt weder direkter noch indirekter Beeinflussung von außen und nimmt keine Weisungen entgegen.

(5) Der Datenschutzrat erstellt in der Regel einmal pro Jahr einen Tätigkeitsbericht. Der Tätigkeitsbericht wird dem Exekutivkomitee von EBM INTERNATIONAL übermittelt. Er kann eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen enthalten.

(6) Der Datenschutzrat kann Verwaltungsaufgaben auf die Geschäftsführung von EBM INTERNATIONAL übertragen.

(7) Werden dem Datenschutzrat Verstöße gegen die Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten bekannt, so beanstanden sie dies gegenüber der verantwortlichen Stelle oder gegenüber dem Auftragsverarbeiter und fordern zur Stellungnahme innerhalb einer gesetzten Frist auf. Von einer Beanstandung kann abgesehen werden, wenn es sich um unerhebliche oder inzwischen beseitigte Mängel handelt. Mit der Aufforderung zur Stellungnahme können Vorschläge zur Beseitigung der Mängel oder zur sonstigen Verbesserung des Datenschutzes verbunden werden. Die Stellungnahme soll eine Darstellung der Maßnahmen enthalten, die aufgrund der Mitteilung des Datenschutzrats getroffen worden sind.

(8) Der Datenschutzrat ist befugt, bei Bedarf anzuordnen:

  • Verarbeitungsvorgänge auf bestimmte Weise in Einklang mit dieser Ordnung zu bringen;

 

  • Verarbeitungsvorgänge vorübergehend oder dauerhaft zu beschränken oder zu unterlassen;
  • personenbezogene Daten zu berichtigen, zu sperren oder zu löschen;
  • die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen.

(9) Die Mitglieder sind bei der Erfüllung ihrer Aufgaben an die Wahrung des Datengeheimnisses und der Vertraulichkeit gebunden. Dies gilt nicht für Mitteilungen zwischen den Mitgliedern. Ehemalige Mitglieder dürfen sich zu Angelegenheiten, die während ihrer Mitgliedschaft der Verschwiegenheit unterlagen, ohne Genehmigung des Datenschutzrates nicht äußern.

(10) Die Vertretung der Leitung ist zu regeln.

 

§ 26. Geldbußen

 

(1) Verstößt eine verantwortliche Stelle oder Auftragsverarbeiter von EBM INTERNATIONAL, vorsätzlich oder fahrlässig gegen Bestimmungen dieser Ordnung, so kann der Datenschutzrat dem Exekutivkomitee von EBM INTERNATIONAL vorschlagen, Geldbußen zu verhängen.

(2) Der Datenschutzrat stellt sicher, dass die Verhängung von Geldbußen in jedem Einzelfall ver-hältnismäßig und abschreckend ist.

(3) Geldbußen werden je nach den Umständen des Einzelfalls verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall insbesondere Folgendes gebührend berücksichtigt:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

 

  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  • jegliche von der verantwortlichen Stelle oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  • etwaige einschlägige frühere Verstöße der verantwortlichen Stelle oder des Auftragsverarbeiters;
  • die Bereitschaft zur Zusammenarbeit mit dem Aufsichtsgremium, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  • die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  • die Art und Weise, wie der Verstoß dem Aufsichtsgremium bekannt wurde.
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall

(4) Bei Verstößen werden im Einklang mit Absatz 3 Geldbußen von bis zu 10.000 Euro verhängt.

 

 

 

 

(5) Die gegebenenfalls vereinnahmten Gelder werden auf Beschluss des Datenschutzrats zur Verwendung in Mission oder Diakonie zur Verfügung gestellt.

§ 27. Recht auf Beschwerde

 

(1) Jede Person kann sich unbeschadet anderweitiger Rechtsbehelfe mit einer Beschwerde an den Datenschutzrat wenden, wenn sie der Ansicht ist, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein.

(2) Der Datenschutzrat unterrichtet die betroffene Person über den Stand und das Ergebnis der Beschwerde.

(3) Niemand darf wegen der Mitteilung von Tatsachen, die geeignet sind, den Verdacht aufkommen zu lassen, diese Ordnung oder eine andere anzuwendende Rechtsvorschrift über den Datenschutz sei verletzt worden, gemaßregelt oder benachteiligt werden. Beschäftigte müssen für Mitteilungen an den Datenschutzrat nicht den Dienstweg einhalten.

§ 28. Schadensersatz durch verantwortliche Stellen

 

(1) Jede Person, der wegen einer Verletzung der Regelungen dieser Ordnung ein Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen die verantwortliche Stelle. Wegen eines Schadens, der nicht Vermögensschaden ist, kann die betroffene Person eine angemessene Entschädigung in Geld verlangen.

(2) Eine verantwortliche Stelle wird von der Haftung gemäß Absatz 1 befreit, wenn sie nachweist, dass sie für den eingetretenen Schaden nicht verantwortlich ist.

(3) Auf das Mitverschulden der betroffenen Person ist § 254 des Bürgerlichen Gesetzbuches und auf die Verjährung sind die Verjährungsfristen für unerlaubte Handlungen des Bürgerlichen Gesetzbuches entsprechend anzuwenden.

(4) Mehrere Ersatzpflichtige haften als Gesamtschuldner im Sinne des Bürgerlichen Gesetzbuches.

 

(5) Vorschriften, nach denen Ersatzpflichtige in weiterem Umfang als nach dieser Vorschrift haften oder nach denen andere für den Schaden verantwortlich sind, bleiben unberührt.

(6) Beansprucht ein Betroffener Schadensersatz, so soll zunächst das Kirchengericht vom Bund Evangelisch-Freikirchlicher Gemeinden in Deutschland K.d.ö.R. eine Anhörung vornehmen.

 

FÜNFTER ABSCHNITT: VORSCHRIFTEN FÜR BESONDERE VERARBEITUNGSSITUATIONEN

§ 29. Verarbeitung personenbezogener Daten bei Dienst- und Arbeitsverhältnissen

 

(1) Daten von Beschäftigten dürfen nur verarbeitet werden, soweit dies zur Begründung, Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere auch für Zwecke der Personalplanung und des Personaleinsatzes, erforderlich ist oder eine Rechtsvorschrift, ein Vertrag oder eine Dienstvereinbarung dies vorsieht.

(2) Im Zusammenhang mit dem Verdacht auf Straftaten und Amtspflichtverletzungen, die durch Beschäftigte begangen wurden, insbesondere zum Schutz möglicher Betroffener, dürfen unter Beachtung des Verhältnismäßigkeitsgrundsatzes personenbezogene Daten von Beschäftigten verarbeitet werden, solange der Verdacht nicht ausgeräumt ist und die Interessen von möglichen Betroffenen dies erfordern.

(3) Eine Offenlegung der Daten von Beschäftigten an Strafverfolgungsbehörden ist zulässig, wenn sie zur Aufdeckung einer Straftat oder Amtspflichtverletzung oder zum Schutz möglicher Betroffener erforderlich erscheint.

(4) Die Offenlegung an künftige Dienst- oder Arbeitgeber ist nur mit Einwilligung der betroffenen Person zulässig.

 

(5) Verlangt die verantwortliche Stelle zur Begründung oder im Rahmen eines Beschäftigungsverhältnisses notwendige medizinische oder psychologische Untersuchungen und Tests zur Feststellung der Eignung des Bewerbers, dann darf die verantwortliche Stelle die Offenlegung des Ergebnisses der Begutachtung verlangen.

(6) Personenbezogene Daten, die vor Begründung eines Beschäftigungsverhältnisses erhoben wurden, sind spätestens ein Jahr, nachdem feststeht, dass ein solches nicht zustande kommt, zu löschen. Dies gilt nicht, soweit überwiegende berechtigte Interessen der verantwortlichen Stelle der Löschung entgegenstehen oder die betroffene Person in die weitere Speicherung einwilligt.

 

(7) Für die Verarbeitung von Sozialdaten gemäß Sozialgesetzbuch X. Buch – (SGB X) gelten die Bestimmungen dieses Gesetzbuchs.

 

(8) Nach Beendigung eines Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, falls diese Daten nicht mehr benötigt werden.

§ 30. Verarbeitung personenbezogener Daten für journalistische Zwecke

 

(1) Führt eine Verarbeitung gemäß § 5 Absatz 1 Buchstabe h) zur Veröffentlichung von Gegendarstellungen der betroffenen Person, so sind diese Gegendarstellungen zu den gespeicherten Daten zu nehmen und für dieselbe Zeitdauer aufzubewahren wie die Daten selbst.

(2) Wird jemand durch eine Berichterstattung gemäß § 5 Absatz 1 Buchstabe h) in seinem Persönlichkeits-recht beeinträchtigt, so kann er Auskunft über die der Berichterstattung zugrundeliegenden, zu seiner Person gespeicherten Daten verlangen. Die Auskunft kann verweigert werden, soweit aus den Daten auf die berichtenden oder einsendenden Personen oder die Gewährsleute von Beiträgen, Unterlagen und Mitteilungen für den redaktionellen Teil geschlossen werden kann.

§ 31. Veranstaltungen von EBMINTERNATIONAL

 

(1) Die Aufzeichnung oder Übertragung von Gottesdiensten oder anderen öffentlichen Veranstaltungen mittels audiovisueller Medien und die Veröffentlichung der Daten ist zulässig, wenn die Teilnehmenden durch geeignete Maßnahmen über Art und Umfang der Aufzeichnung oder Übertragung informiert werden.

(2) Betroffene können Widerspruch gemäß §16 erheben, wenn schutzwürdige Interessen der Betroffenen das Interesse des Verantwortlichen überwiegen. 

SECHSTER ABSCHNITT: SCHLUSSBESTIMMUNGEN

§ 32. Ergänzende Bestimmungen

 

(1) Das Exekutivkomitee von EBM INTERNATIONAL kann mit Zustimmung des Datenschutzrates ergänzende Bestimmungen zum Datenschutz beschließen. Diese dürfen dieser Ordnung nicht widersprechen. 

 

(2) Soweit personenbezogene Daten von Sozialleistungsträgern offengelegt werden, gelten zum Schutz dieser Daten ergänzend die staatlichen Bestimmungen entsprechend.

 

 

§ 33. Inkrafttreten
Diese Datenschutzordnung von EBM INTERNATIONAL wurde vom Exekutivkomitee von EBM INTERNATIONAL am 24. Februar 2018 beschlossen und tritt durch Beschluss des Missionsrates von EBM INTERNATIONAL am 03.Mai 2018 in Gandia, Spanien in Kraft

Rechtsverbindlich ist die Version in Deutscher Sprache