.

Verwaltungsvorschrift gemäß § 11 IT-Gesetz EKvW
des Landeskirchenamtes
der Evangelischen Kirche von Westfalen

Vom 19. April 2021

(KABl. 2021 I Nr. 43 S. 90)

Änderungen

Lfd.
Nr.
Änderndes Recht
Datum
Fundstelle
Geänderte
Paragrafen
Art der
Änderung
1
Erste Änderung der Verwaltungsvorschrift gemäß § 11 IT-Gesetz EKvW des Landeskirchenamtes der Evangelischen Kirche von Westfalen
13. September 2022
Abschn. II Nr. 1 Buchst. b Doppelbuchst. aa
neu gefasst
Abschn. II Nr. 1 Buchst. b Doppelbuchst. ff
neu gefasst
####
Diese Verwaltungsvorschrift regelt das Verfahren der Einführung der gemäß IT-Gesetz EKvW1# einheitlich festgelegten IT-Lösungen in den kirchlichen Körperschaften und ihren Ämtern und Einrichtungen.
I.
Allgemeine Vorschriften
  1. Die jeweilige kirchliche Körperschaft ist auf Grund des IT-Gesetzes EKvW2# verpflichtet, den Einsatz von einheitlichen IT-Lösungen unverzüglich nach Festlegung durch das Landeskirchenamt zu beschließen und die einheitliche IT-Lösung innerhalb eines Einführungszeitraums von längstens zwölf Monaten tatsächlich einzusetzen. Diese Regelung gilt auch rückwirkend für einheitliche IT-Lösungen (z. B. ARCHIKART, MACH und Outlook), die vor dem Inkrafttreten dieser Verwaltungsvorschrift vom Landeskirchenamt festgelegt wurden. Fristbeginn für den Einführungszeitraum ist in diesen Fällen das Datum der Festlegung.
  2. Von Nr. 1 ausgenommen sind solche kirchlichen Körperschaften, die in den letzten fünf Jahren vor Beschluss des Landeskirchenamtes eine vergleichbare IT-Lösung mit Genehmigung des Landeskirchenamtes eingesetzt haben (Investitionsschutz) oder unter Ausnahmen nach Abschnitt II fallen.
  3. Das Leitungsorgan fasst den Beschluss über den Einsatz der einheitlichen IT-Lösung oder delegiert den Beschluss auf eine andere Stelle (z. B. Dienststellenleitung).
  4. Im Beschluss sind der geplante Zeitpunkt des Einsatzes sowie die Voraussetzungen für den Einsatz der einheitlichen IT-Lösung zu nennen. Den Zeitpunkt des Einsatzes müssen Kirchengemeinden sowie deren Verbände, Ämter und Einrichtungen über das Kreiskirchenamt ihres Kirchenkreises mit dem Landeskirchenamt, Kirchenkreise und ihre Verbände, Ämter und Einrichtungen mit dem Landeskirchenamt im Einvernehmen festlegen. Das Landeskirchenamt kann den Zeitpunkt des Einsatzes für einzelne einheitliche IT-Lösungen gegenüber einer einzelnen kirchlichen Körperschaft oder mehreren kirchlichen Körperschaften einseitig auf einen späteren Zeitpunkt durch schriftliche Erklärung verschieben. In der Erklärung ist die Verschiebung zu begründen.
  5. Die Voraussetzungen für den Einsatz sind:
    1. Beteiligung der/des Betriebsbeauftragten bzw. örtlich Beauftragten für den Datenschutz im Sinne des § 9 ITG3# sowie des örtlichen IT-Sicherheitsbeauftragten,
    2. Beachtung der Bestimmungen des DSG-EKD4#, insbesondere Einführung der erforderlichen technischen und organisatorischen Maßnahmen des Datenschutzes sowie der IT-Sicherheit gemäß § 27 DSG-EKD5#,
    3. Information der örtlichen MAV über den geplanten Einsatz der IT-Lösung.
  6. Nach Erfüllung aller Voraussetzungen stellt das Leitungsorgan die Erfüllung der Voraussetzungen fest und gibt den tatsächlichen Zeitpunkt des Einsatzes bekannt.
  7. Das Leitungsorgan kann im Beschluss einzelne Ämter und Einrichtungen der Körperschaft vom Einsatz ausnehmen, wenn in diesen die Voraussetzungen der Nr. 2 vorliegen.
  8. Die IT-Sicherheit für den Einsatz wird seitens der Landeskirche gewährleistet, soweit die IT-Lösung (Betrieb und Hosting) durch die Landeskirche oder in deren Auftrag von Dritten bereitgestellt werden. Für die IT-Sicherheit bei der Nutzung der IT-Lösung ist die jeweilige Körperschaft selbst verantwortlich.
  9. Die Aufwendungen und/oder Investitionen des Einsatzes und der Nutzung der einheitlichen IT-Lösung trägt die jeweilige Körperschaft selbst, sofern nicht durch Gesetz oder Beschluss der Landessynode bzw. Kreissynode eine andere Kostenträgerschaft bestimmt wurde.
II.
Besondere Vorschriften für einzelne IT-Lösungen6#
  1. Videokonferenzen, Textverarbeitung, Tabellenkalkulation, Präsentation, Kollaboration sowie die dafür erforderliche Dateiablage und das dafür erforderlich Hosting der IT-Lösung Microsoft 365
    1. Von Abschnitt I Nr. 1 ausgenommen sind solche kirchlichen Körperschaften, die die Betriebsverantwortung für ihre IT nicht auf die Landeskirche – das Landeskirchenamt – übertragen haben. Mit Übertragung der Betriebsverantwortung auf die Landeskirche endet die Ausnahme mit sofortiger Wirkung und beginnt die Frist des Einführungszeitraums.
    2. Für die IT-Lösungen sind von der verantwortlichen Stelle folgende Maßnahmen des Datenschutzes zu ergreifen:
      aa)
      Sie beschließt ein Schema zur Klassifizierung von Dateien, welches auf die Klassen öffentlicher, vertraulicher, streng vertraulicher und streng geheimer Dateien beschränkt ist. Die Bezeichnungen der Klassen lauten EKvW-weit einheitlich „Öffentlich“, „Vertraulich“, „Streng vertraulich“ und „Streng geheim“. Sie legt die Kriterien für die Zuordnung ihrer Dateien zu den einzelnen Klassen fest. Es wird empfohlen, das von der Landeskirche erarbeitete Muster (Anhang zur Verwaltungsvorschrift) als Schema zur Klassifizierung der Dateien zu verwenden. Sie ordnet an, dass mittels Microsoft 365 erstellte oder geänderte Dateien und Dateianhänge grundsätzlich zu klassifizieren sind. E-Mails können hiervon ausgenommen werden.
      bb)
      sie beschränkt die Verarbeitung von personenbezogenen Daten in der neuen IT auf die Klassen „öffentlich“ und „vertraulich“, bis bei den Mitarbeitenden ein Kenntnisstand im Umgang mit der neuen IT-Lösung erreicht ist, der eine Erweiterung auf weitere Klassen rechtfertigt,
      cc)
      sie entscheidet über die Freischaltung der Funktionen „Rechtschreibprüfung“, „Grammatikprüfung“ und „Übersetzungsservice“ in den Klassen „öffentlich“, „vertraulich“, „streng vertraulich“ und aktiviert/deaktiviert die entsprechende Funktion,
      dd)
      sie deaktiviert die in Buchstabe cc genannten Funktionen bei Verarbeitung von Daten der Kategorie „streng geheim“,
      ee)
      sie beschränkt die Nutzung der Microsoft-365-Online-Tools (zunächst) auf das Gebiet (Region) sicherer Drittländer (= Geltungsbereich der DSGVO bzw. entsprechender Angemessenheitsbeschlüsse) und weist die Mitarbeitenden auf die technische Zugangsbeschränkung durch „Conditional Access“ hin,
      ff)
      sie befähigt ihre Mitarbeitenden darin
      • einzuordnen, welche Anwendung für welche Verarbeitung die geeignete ist (dies gilt insbesondere für die neuen Kooperationstools),
      • sämtliche im täglichen Betrieb mittels Microsoft 365 erstellten oder geänderten Dateien und Dateianhänge entsprechend dem vorgegebenen Schema zu klassifizieren.
      Es wird angeregt, dass die verantwortlichen Stellen mittels sogenannter Key-User die Anwendung des Klassifizierungsschemas einführen.
  2. Videokonferenzen der IT-Lösung Microsoft Teams
    Von Abschnitt I Nr. 1 ausgenommen sind solche kirchlichen Körperschaften, die das Produkt Zoom über einen Anbieter einsetzen, der die Voraussetzungen einer Datenverarbeitung im Auftrag gemäß § 30 Absatz 5 DSG-EKD7# erfüllt (z. B. Connect4Video).
  3. Firewall-Technik Fortinet
    Von Abschnitt I Nr. 3 ausgenommen sind in Bezug auf die einheitliche IT-Lösung für den Bereich Firewall der Firma Fortinet solche kirchlichen Körperschaften, die in den letzten fünf Jahren vor Beschluss des Landeskirchenamtes eine vergleichbare IT-Lösung eingesetzt haben (Investitionsschutz). Mit Ablauf der Fünfjahresfrist beginnt die Frist des Einführungszeitraums.
III.
Inkrafttreten
Diese Verwaltungsvorschrift und ihre Änderungen treten mit Veröffentlichung im Kirchlichen Amtsblatt in Kraft8#.

#
1 ↑ Nr. 858.
#
2 ↑ Nr. 858.
#
3 ↑ Nr. 858.
#
4 ↑ Nr. 850.
#
5 ↑ Nr. 850.
#
6 ↑ Abschnitt II Nr. 1 Buchst. b Doppelbuchst. aa sowie Doppelbuchst. ff neu gefasst durch Erste Änderung der Verwaltungsvorschrift gemäß § 11 IT-Gesetz EKvW des Landeskirchenamtes der Evangelischen Kirche von Westfalen vom 13. September 2022.
#
7 ↑ Nr. 850.
#
8 ↑ Redaktioneller Hinweis: Die Veröffentlichung im KABl. erfolgte am 31. Mai 2021. Das Inkrafttreten betrifft die ursprüngliche Fassung.