Kapitel 4, § 27

Technische und organisatorische Maßnahmen, IT-Sicherheit

(1) Die verantwortliche Stelle und der kirchliche Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs,
der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher
Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten und einen Nachweis hierüber führen zu können. Diese Maßnahmen schließen unter anderem ein:

1. die Pseudonymisierung, die Anonymisierung und die Verschlüsselung personenbezogener Daten; 

2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall unverzüglich wiederherzustellen;

4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung, unbefugte Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

(4) Die Einhaltung eines nach dem EU-Recht zertifizierten Verfahrens kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten der verantwortlichen Stelle gemäß Absatz 1 nachzuweisen.

(5) Die verantwortliche Stelle und der kirchliche Auftragsverarbeiter stellen sicher, dass natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf ihre Weisung verarbeiten.

(6) Verantwortliche Stellen und Auftragsverarbeiter sind verpflichtet, IT-Sicherheit zu gewährleisten. Das Nähere regelt der Rat der Evangelischen Kirche in Deutschland durch Rechtsverordnung mit Zustimmung der Kirchenkonferenz.

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies