.

Kirchengesetz über die Digitalisierung
kirchlichen Handelns und den Einsatz
von Informations- und Kommunikationstechnik
in der Evangelischen Kirche in Mitteldeutschland
(Digitalisierungsgesetz – DigG)

Vom 25. November 2023 (ABl. S. 236).

Die Landessynode der Evangelischen Kirche in Mitteldeutschland hat aufgrund von Artikel 55 Absatz 2 Satz 2 Nummer 2 und Artikel 80 Absatz 1 Satz 2 der Verfassung der Evangelischen Kirche in Mitteldeutschland (Kirchenverfassung EKM – KVerfEKM) vom 5. Juli 2008 (ABl. S. 183), zuletzt geändert am 22. April 2023 (ABl. S. 106), das folgende Kirchengesetz beschlossen:
####

§ 1
Anwendungs- und Geltungsbereich

( 1 ) Dieses Gesetz regelt Einführung, Betrieb und Weiterentwicklung digitaler Verfahren und den Einsatz von Informations- und Kommunikationstechnik in der Evangelischen Kirche in Mitteldeutschland und den zu ihr gehörenden kirchlichen Körperschaften.
( 2 ) Der Evangelischen Kirche in Mitteldeutschland zugeordnete rechtlich selbständige Werke und Einrichtungen können beim Landeskirchenamt beantragen, dass dieses Kirchengesetz ganz oder in Teilen für sie gilt.
#

1. Abschnitt:
Grundsätzliche Bestimmungen

###

§ 2
Grundsätze zur Digitalisierung und zum Einsatz von Informations-
und Kommunikationstechnik

( 1 ) Digitale Verfahren und der Einsatz von Informations- und Kommunikationstechnik dienen der Erfüllung des kirchlichen Auftrags in der Evangelischen Kirche in Mitteldeutschland auf allen Ebenen. Sie werden dabei sowohl als Mittel der Kommunikation des Evangeliums eingesetzt als auch unterstützend zur Organisation und Verwaltung kirchlichen Handelns.
( 2 ) Informations- und Kommunikationstechnik (IT) umfasst Hardware und Software, das heißt Systeme, Dienste und Programme.
( 3 ) Ziele sind eine anwenderfreundliche, wirtschaftliche und nachhaltige Einsetzbarkeit, die Verbesserung der Zusammenarbeit und die Gewährleistung eines angemessenen Sicherheitsniveaus. Zur Förderung dieser Ziele sollen Standards, einheitliche digitale Verfahren und der Einsatz einheitlicher IT entwickelt werden.
( 4 ) Bei der Weiterentwicklung digitaler Verfahren und dem Einsatz von IT werden die Bedürfnisse der sie anwendenden Personen beachtet, wobei neben den kirchlichen Beschäftigten auch die Interessen der ehrenamtlich Mitarbeitenden berücksichtigt werden.
#

§ 3
Einsatz von Informations- und Kommunikationstechnik

( 1 ) Über den Einsatz und die wesentlichen Änderungen von IT beschließen die Leitungsorgane der jeweiligen kirchlichen Körperschaft oder die von diesen festgelegten Stellen im Rahmen der kirchlichen Ordnung.
( 2 ) Vor der Einführung neuer IT oder weiteren wesentlichen Entscheidungen auf diesem Gebiet sind die Prüfempfehlungen des Beirates nach § 5 zu berücksichtigen sowie die Nutzung bereits eingesetzter Lösungen und die Möglichkeiten einer gemeinsamen Beschaffung zu prüfen.
( 3 ) Das Landeskirchenamt kann durch Verwaltungsanordnung
  1. Mindestanforderungen beim Einsatz bestehender und bei der Einführung neuer IT festlegen und
  2. den Einsatz von Systemen, Diensten und Programmen ausschließen, wenn er mit dem kirchlichen Auftrag unvereinbar ist oder mit erheblichen rechtlichen oder technischen Sicherheitsrisiken verbunden ist.
#

§ 4
Einheitliche Dienste und Programme

( 1 ) Die kirchlichen Körperschaften setzen in den Bereichen Finanzwesen, Meldewesen, Personalwesen, Gebäude- und Liegenschaftswesen, der IT-Sicherheit und der Kommunikation über E-Mail und Intranet nach Maßgabe von § 8 und § 10 die jeweils durch das Landeskirchenamt festgelegten Dienste und Programme ein, wobei eine zentrale Beschaffung oder gemeinschaftliche Beschaffungswege vorgegeben werden können. Kirchliche Körperschaften können mit Genehmigung des Landeskirchenamtes ausnahmsweise hiervon abweichen, wenn die Grundsätze nach § 2 hierdurch nicht beeinträchtigt werden.
( 2 ) Für weitere Bereiche kann das Landeskirchenamt festlegen, dass einheitliche Dienste und Programme eingesetzt werden, um die Ziele nach § 2 Absatz 3 zu fördern. Bei der Festlegung berücksichtigt das Landeskirchenamt in den kirchlichen Körperschaften vorhandene Lösungen, insbesondere durch Übergangszeiträume für die Einführung, und prüft landeskirchenübergreifende Kooperationen und eine gemeinsame Beschaffung. Absatz 1 Satz 2 gilt entsprechend.
( 3 ) Den Kirchenkreisen, den Kreiskirchenämtern und dem Beirat nach § 5 wird vor der Entscheidung über die Einführung neuer Dienste und Programme in den in Absatz 1 genannten Bereichen sowie vor Festlegung weiterer einheitlicher Dienste und Programme gemäß Absatz 2 Gelegenheit zur Stellungnahme geboten. Die betroffenen Anwendergruppen sind angemessen zu beteiligen.
( 4 ) Die Kosten für gemäß Absatz 1 und 2 festgelegte einheitliche Dienste und Programme in den Kirchengemeinden und Kirchenkreisen werden aus dem Plansummenanteil der Kirchenkreise für die weiteren kirchenkreisübergreifenden Anteile (§ 6 Absatz 2 Nummer 5 Finanzgesetz) finanziert. Die aufgrund der einheitlichen Dienste und Programme entstehenden Kosten für die Kreiskirchenämter werden aus dem Verwaltungsanteil (§ 6 Absatz 2 Nummer 3 Finanzgesetz) finanziert.
#

§ 5
Beirat für Digitalisierung und IT

( 1 ) Auf Ebene der Landeskirche wird ein Beirat gebildet, der Fragen der Digitalisierung des kirchlichen Handelns und des Einsatzes und der Weiterentwicklung der IT berät (Beirat für Digitalisierung und IT). Zu seinen Aufgaben gehören insbesondere:
  1. die Beratung und Vorbereitung von Konzeptionen zur Digitalisierung kirchlichen Handelns und über die Weiterentwicklung digitaler Verfahren in der Evangelischen Kirche in Mitteldeutschland (Digitalstrategie),
  2. die Beratung und Vorbereitung von Konzeptionen zum Einsatz von IT in der Evangelischen Kirche in Mitteldeutschland (IT-Strategie),
  3. Empfehlungen für den Einsatz bestehender IT und für die Entscheidungsfindung bei der Einführung neuer IT,
  4. Anregungen und Stellungnahmen zur Einführung digitaler Verfahren, einheitlicher Dienste und Programme nach § 4 sowie zur gemeinschaftlichen Beschaffung von IT und
  5. die grundlegende Sammlung, Vernetzung und der Wissenstransfer zu den Themen Digitalisierung und Einsatz von IT durch Veranstaltungen und Informationsmaterial für die kirchlichen Körperschaften.
( 2 ) Der Beirat für Digitalisierung und IT wird vom Landeskirchenrat berufen. Bei seiner Zusammensetzung sind die Anwendergruppen und kirchlichen Körperschaften angemessen zu berücksichtigen.
( 3 ) Das Nähere regelt der Landeskirchenrat durch Verordnung.
#

§ 6
Zuständigkeiten des Landeskirchenamtes

Das Landeskirchenamt verantwortet selbst oder durch von ihm beauftragte Stellen
  1. bei den einheitlichen Diensten und Programmen nach § 4 und den gemeinschaftlich unter Verantwortung der Landeskirche beschafften Diensten und Programmen
    1. die Administration, die Sicherung der Datenqualität, die Sicherstellung des laufenden Betriebes und die Weiterentwicklung,
    2. die Bereitstellung von Anwendungshilfen, Schulungsangeboten, Ansprech- und Hilfestellen bei Einführung und Betrieb,
  2. die zentrale Beschaffung von Diensten und Programmen nach § 4 und die Organisation gemeinschaftlicher Beschaffungswege und Rahmenverträge,
  3. den fachlichen Austausch und die Vernetzung mit den für die IT und die IT-Sicherheit in den Kirchenkreisen und Kreiskirchenämtern Verantwortlichen,
  4. einen fachlichen Austausch über bestehende Aktivitäten in den kirchlichen Körperschaften in Fragen der Digitalisierung von Arbeitsabläufen und kirchlichen Angeboten sowie ihre Koordinierung und Vernetzung,
  5. eine allgemeine Beratung kirchlicher Körperschaften in Fragen der Digitalisierung von Arbeitsabläufen und kirchlichen Angeboten,
  6. den grundlegenden fachlichen Austausch mit anderen Landeskirchen, der EKD und Dritten in den Bereichen der Digitalisierung und IT.
#

§ 7
Zuständigkeiten der Kirchenkreise

( 1 ) Die Kirchenkreise unterstützen die kirchlichen Körperschaften ihres Bereichs beim Einsatz der IT und bei der Digitalisierung von Arbeitsabläufen und kirchlichen Angeboten. Dabei sind sie insbesondere zuständig für
  1. die Organisation eines Austauschs und der Koordination über die Digitalisierung von Arbeitsabläufen und kirchlichen Angeboten zwischen den kirchlichen Körperschaften in ihrem Bereich,
  2. die Organisation einer gemeinschaftlichen Beschaffung von IT, die auf Beschluss des Kreiskirchenrates auch zum verbindlichen Beschaffungsweg im Bereich des Kirchenkreises erklärt werden kann,
  3. die Bereitstellung von Schulungsangeboten, Ansprechpersonen und Hilfestellungen für den Einsatz der IT, soweit nicht das Landeskirchenamt zuständig ist,
  4. die ihnen vom Landeskirchenamt übertragenen Unterstützungsaufgaben bei der Administration und der Sicherstellung des laufenden Betriebs bei den einheitlichen Diensten und Programmen nach § 4 und den gemeinschaftlich beschafften Diensten und Programmen.
Die Kirchenkreise achten auf einen ordnungsgemäßen, wirtschaftlichen und nachhaltigen Einsatz der IT in den kirchlichen Körperschaften ihres Bereichs.
( 2 ) Die Aufgaben nach Absatz 1 können von mehreren Kirchenkreisen gemeinschaftlich wahrgenommen werden. Die Kirchenkreise sollen Kooperationsmöglichkeiten wahrnehmen und ihr Vorgehen untereinander abstimmen und koordinieren.
#

2. Abschnitt:
Einsatz von Kommunikationsmitteln

###

§ 8
Nutzung von Internet und E-Mail durch Beschäftigte

( 1 ) Dienstlich zur Verfügung gestellte Internetzugänge dürfen nur zur Aufgabenerfüllung im Rahmen von § 2 genutzt werden. Das Leitungsorgan der kirchlichen Körperschaft oder die von diesem festgelegte Stelle entscheidet über die Zulassung und den Umfang einer Internetnutzung zu privaten Zwecken.
( 2 ) Die den Beschäftigten zur Verfügung gestellte dienstliche E-Mail-Adresse des landeskirchlich betriebenen E-Mail-Systems ist zur dienstlichen Kommunikation zu nutzen. Private E-Mail-Adressen sind für die dienstliche Kommunikation der Beschäftigten nicht zulässig.
( 3 ) Die Beschäftigten sind bei der Nutzung des Internets und der E-Mail-Kommunikation verpflichtet, die datenschutzrechtlichen Bestimmungen sowie die Maßnahmen zur Datensicherheit einzuhalten. Sie haben die Daten und deren Übertragung vor unbefugter Kenntnisnahme, Veränderung, Zerstörung und Verlust im Rahmen der geltenden Regelungen zu schützen.
( 4 ) Die Zugangsberechtigungen für das landeskirchlich betriebene E-Mail-System sowie die damit verbundenen Dienste und Programme werden für die in den Kirchenkreisen und Kirchengemeinden genutzten Konten vom jeweiligen Kreiskirchenamt im Auftrag des Landeskirchenamtes verwaltet. Das Landeskirchenamt legt unter Berücksichtigung der Hinweise aus den Kirchenkreisen fest, für welchen Benutzerkreis ein System zur Ausstellung digitaler Zertifikate angewendet wird. Bei Missachtung der Verpflichtungen gemäß Absatz 1 und 3 sowie daraus folgender Beeinträchtigung der Sicherheit des Systems kann neben dienst- und arbeitsrechtlichen Folgen die Zugangsberechtigung eingeschränkt oder widerrufen werden.
( 5 ) Das Landeskirchenamt ist zur Durchführung von nach dem Stand der Technik und der IT-Sicherheitsverordnung der EKD notwendigen Sicherheitsmaßnahmen befugt.
#

§ 9
Dienstliche und private Informations- und
Kommunikationstechnik bei Beschäftigten

( 1 ) Der Zugriff auf dienstliche Daten erfolgt grundsätzlich über dienstliche IT. Die Beschäftigten haben gegenüber ihrem Dienstgeber Anspruch auf Ausstattung mit der für ihre Aufgabenerfüllung notwendigen dienstlichen IT.
( 2 ) Private Geräte können zur dienstlichen Nutzung zugelassen werden, wenn die IT-Sicherheit nicht gefährdet oder beeinträchtigt wird. Beschäftigte sind weder zum Einsatz ihrer privaten Geräte für dienstliche Zwecke verpflichtet, noch haben sie Anspruch auf Nutzung ihrer privaten Geräte für dienstliche Zwecke.
( 3 ) Voraussetzung für die Nutzung privater Geräte für dienstliche Zwecke ist der Abschluss einer individuellen Vereinbarung, die insbesondere regelt, dass
  1. bei der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten die Bestimmungen des kirchlichen Datenschutzes eingehalten werden,
  2. die notwendigen technischen und organisatorischen Maßnahmen zur IT-Sicherheit und zum Datenschutz getroffen sind,
  3. eine Haftung des Dienstgebers ausgeschlossen ist, wenn im Zusammenhang mit der dienstlichen Nutzung des Geräts private Daten verloren gehen oder andere Schäden entstehen, und
  4. Möglichkeiten der Trennung zwischen dienstlichen und privaten Daten auf dem Gerät genutzt werden.
Bei Zuwiderhandlung ist die individuelle Vereinbarung zu kündigen. Die Vereinbarung kann eine Kostenerstattung vorsehen, wobei die steuerrechtlichen Vorschriften zu beachten sind.
( 4 ) Bei privaten mobilen Geräten, die synchronisiert für dienstliche Zwecke benutzt werden, kann der Dienstgeber für die Verarbeitung dienstlicher Daten eine einheitlich gesteuerte Verwaltung der mobilen Geräte vorgeben. Der Zugriff auf nicht lokal gespeicherte dienstliche Daten ist beim Einsatz privater Geräte zu dienstlichen Zwecken ausschließlich über die vom Dienstgeber nach Maßgabe des Schutzbedarfs der Daten zur Verfügung gestellten Zugangsmöglichkeiten zulässig.
( 5 ) Die dauerhafte und planmäßige Verarbeitung von Daten, die in Ausübung eines Seelsorgeauftrages erlangt werden (Seelsorgedaten), ist auf einem privaten Gerät unzulässig. Dies gilt entsprechend für Daten, die aus der Betreuung und Versorgung hilfebedürftiger Personen im Rahmen diakonischer Arbeit gewonnen werden.
#

§ 10
IT bei Ehrenamtlichen

( 1 ) Ehrenamtlich Mitarbeitenden soll die zu ihrer Aufgabenerfüllung notwendige IT zur Verfügung gestellt werden.
( 2 ) Ehrenamtlich Mitarbeitende müssen mit E-Mail-Konten des landeskirchlich betriebenen E-Mail-Systems und den weiteren notwendigen dienstlichen Zugriffsberechtigungen ausgestattet werden, wenn die ehrenamtliche Tätigkeit den dauerhaften Umgang mit besonders vertraulichen und schützenswerten Daten umfasst. Dies gilt insbesondere bei ehrenamtlichen Seelsorgeaufträgen und einer Mitgliedschaft in Leitungsorganen und -gremien mit regelmäßigen Aufgaben der Personalverantwortung, wie etwa Landeskirchenrat, Kreiskirchenrat, Verwaltungsrat eines Kreiskirchenamtes, sowie Vorsitz und Geschäftsführung im Gemeindekirchenrat. § 8 Absatz 4 gilt entsprechend.
( 3 ) Darüber hinaus ist eine Ausstattung mit dienstlichen Geräten vorzusehen, wenn sich aufgrund des Inhalts der Tätigkeit nur durch dienstliche Geräte die notwendige Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Daten sicherstellen lässt. Private Geräte können nach Maßgabe von § 9 Absatz 3 bis 5 zugelassen werden, wobei im Falle einer Kostenerstattung die steuerlichen Regelungen durch die ehrenamtlich Mitarbeitenden in eigener Verantwortung zu beachten sind.
#

3. Abschnitt:
IT-Sicherheit

###

§ 11
IT-Sicherheit

( 1 ) Jede kirchliche Stelle im Sinne von § 2 Absatz 2 des EKD-Datenschutzgesetzes ist verpflichtet, IT-Sicherheit zu gewährleisten und zu diesem Zweck ein IT-Sicherheitskonzept zu beschließen. Das Landeskirchenamt stellt Muster für einheitliche IT-Sicherheitskonzepte zur Verfügung.
( 2 ) Die Landeskirche und die Kirchenkreise bestellen für ihren jeweiligen Bereich eine IT-Sicherheitsbeauftragte bzw. einen IT-Sicherheitsbeauftragten gemäß § 5 IT-Sicherheitsverordnung der Evangelischen Kirche in Deutschland. Die Bestellung kann sich auf mehrere Kirchenkreise erstrecken. Die Bestellung ist dem Landeskirchenamt anzuzeigen.
#

§ 12
Aufgaben des Landeskirchenamtes bei der IT-Sicherheit

( 1 ) Das Landeskirchenamt fördert die Sicherheit der in der Evangelischen Kirche in Mitteldeutschland eingesetzten digitalen Verfahren und IT. Zu seinen Aufgaben für den gesamten Bereich der Evangelischen Kirche in Mitteldeutschland gehören dabei insbesondere:
  1. die allgemeine Beratung und Koordination bei IT-Sicherheitsprozessen,
  2. die Erstellung von Mustern für IT-Sicherheitskonzepte und für Regelungen zur IT-Sicherheit sowie die Entwicklung von Handlungsempfehlungen,
  3. die Untersuchung von Sicherheitsrisiken beim Einsatz von IT sowie Entwicklung von Sicherheitsvorkehrungen,
  4. die Abwehr von Gefahren für die Sicherheit der einheitlichen Dienste und Programme nach § 4,
  5. die Prüfung und Bewertung der Sicherheit von informationstechnischen Systemen und Komponenten im Bereich der Evangelischen Kirche in Mitteldeutschland,
  6. ein Angebot von Schulungen für den sicheren und datenschutzkonformen Einsatz von IT,
  7. der Austausch und die Vernetzung der IT-Sicherheitsbeauftragten nach § 11 Absatz 2.
( 2 ) Die Kirchenkreise unterstehen im Bereich der IT-Sicherheit und bei der Ausübung ihrer Aufgaben nach § 13 der Rechts- und Fachaufsicht des Landeskirchenamtes.
#

§ 13
Aufgaben der Kirchenkreise bei der IT-Sicherheit

( 1 ) Die Kirchenkreise unterstützen die kirchlichen Körperschaften in ihrem Bereich bei der sicheren Nutzung der IT. Hierzu zählen insbesondere
  1. die Untersuchung von IT-Sicherheitsvorfällen unter Einbeziehung des Landeskirchenamtes und das Erarbeiten von Abhilfemaßnahmen und
  2. die allgemeine Beratung bei IT-Sicherheitsprozessen.
Sie melden IT-Sicherheitsvorfälle in ihrem jeweiligen Bereich unverzüglich an das Landeskirchenamt.
( 2 ) Kirchenkreise können die Durchführung der Aufgaben nach Absatz 1 Dritten übertragen, wobei die Leistungen vertraglich zu regeln sind. Sie können die Aufgaben nach Absatz 1 gemeinschaftlich wahrnehmen.
( 3 ) Die Kirchenkreise sind in Bezug auf die IT-Sicherheit Rechts- und Fachaufsicht über die kirchlichen Körperschaften in ihrem Bereich.
#

§ 14
IT-Sicherheitsvorfälle

Die aufsichtsführenden Stellen können nach Maßgabe des Verwaltungs- und Aufsichtsgesetzes die erforderlichen Maßnahmen treffen, um Gefahren für die IT-Sicherheit abzuwehren.
#

4. Abschnitt:
Übergangs- und Schlussvorschriften

###

§ 15
Übergangsvorschriften

( 1 ) Der Einsatz bestehender Geräte und Systeme sowie die Beibehaltung der Nutzung privater Geräte für dienstliche Zwecke nach den bisherigen Grundsätzen ist für den Zeitraum von drei Jahren nach Inkrafttreten dieses Kirchengesetzes zulässig. Abweichungen von Programmen nach § 4 durch bestehende, rechtmäßig eingesetzte Programme sind noch für den Zeitraum eines Jahres nach Inkrafttreten dieses Kirchengesetzes zulässig.
( 2 ) Die Kirchenkreise dürfen für den Zeitraum eines Jahres nach Inkrafttreten dieses Kirchengesetzes von den Pflichten nach §§ 7, 11 und 13 abweichen.
#

§ 16
Inkrafttreten

Dieses Kirchengesetz tritt am 1. Januar 2024 in Kraft.