.

Verwaltungsvorschrift gemäß § 11 IT-Gesetz EKvW
des Landeskirchenamtes
der Evangelischen Kirche von Westfalen

Vom 19. April 2021

(KABl. 2021 I Nr. 43 S. 90)

####
Diese Verwaltungsvorschrift regelt das Verfahren der Einführung der gemäß IT-Gesetz EKvW1# einheitlich festgelegten IT-Lösungen in den kirchlichen Körperschaften und ihren Ämtern und Einrichtungen.
I.
Allgemeine Vorschriften
  1. Die jeweilige kirchliche Körperschaft ist auf Grund des IT-Gesetzes EKvW2# verpflichtet, den Einsatz von einheitlichen IT-Lösungen unverzüglich nach Festlegung durch das Landeskirchenamt zu beschließen und die einheitliche IT-Lösung innerhalb eines Einführungszeitraums von längstens zwölf Monaten tatsächlich einzusetzen. Diese Regelung gilt auch rückwirkend für einheitliche IT-Lösungen (z. B. ARCHIKART, MACH und Outlook), die vor dem Inkrafttreten dieser Verwaltungsvorschrift vom Landeskirchenamt festgelegt wurden. Fristbeginn für den Einführungszeitraum ist in diesen Fällen das Datum der Festlegung.
  2. Von Nr. 1 ausgenommen sind solche kirchlichen Körperschaften, die in den letzten fünf Jahren vor Beschluss des Landeskirchenamtes eine vergleichbare IT-Lösung mit Genehmigung des Landeskirchenamtes eingesetzt haben (Investitionsschutz) oder unter Ausnahmen nach Abschnitt II fallen.
  3. Das Leitungsorgan fasst den Beschluss über den Einsatz der einheitlichen IT-Lösung oder delegiert den Beschluss auf eine andere Stelle (z. B. Dienststellenleitung).
  4. Im Beschluss sind der geplante Zeitpunkt des Einsatzes sowie die Voraussetzungen für den Einsatz der einheitlichen IT-Lösung zu nennen. Den Zeitpunkt des Einsatzes müssen Kirchengemeinden sowie deren Verbände, Ämter und Einrichtungen über das Kreiskirchenamt ihres Kirchenkreises mit dem Landeskirchenamt, Kirchenkreise und ihre Verbände, Ämter und Einrichtungen mit dem Landeskirchenamt im Einvernehmen festlegen. Das Landeskirchenamt kann den Zeitpunkt des Einsatzes für einzelne einheitliche IT-Lösungen gegenüber einer einzelnen kirchlichen Körperschaft oder mehreren kirchlichen Körperschaften einseitig auf einen späteren Zeitpunkt durch schriftliche Erklärung verschieben. In der Erklärung ist die Verschiebung zu begründen.
  5. Die Voraussetzungen für den Einsatz sind:
    1. Beteiligung der/des Betriebsbeauftragten bzw. örtlich Beauftragten für den Datenschutz im Sinne des § 9 ITG3# sowie des örtlichen IT-Sicherheitsbeauftragten,
    2. Beachtung der Bestimmungen des DSG-EKD4#, insbesondere Einführung der erforderlichen technischen und organisatorischen Maßnahmen des Datenschutzes sowie der IT-Sicherheit gemäß § 27 DSG-EKD5#,
    3. Information der örtlichen MAV über den geplanten Einsatz der IT-Lösung.
  6. Nach Erfüllung aller Voraussetzungen stellt das Leitungsorgan die Erfüllung der Voraussetzungen fest und gibt den tatsächlichen Zeitpunkt des Einsatzes bekannt.
  7. Das Leitungsorgan kann im Beschluss einzelne Ämter und Einrichtungen der Körperschaft vom Einsatz ausnehmen, wenn in diesen die Voraussetzungen der Nr. 2 vorliegen.
  8. Die IT-Sicherheit für den Einsatz wird seitens der Landeskirche gewährleistet, soweit die IT-Lösung (Betrieb und Hosting) durch die Landeskirche oder in deren Auftrag von Dritten bereitgestellt werden. Für die IT-Sicherheit bei der Nutzung der IT-Lösung ist die jeweilige Körperschaft selbst verantwortlich.
  9. Die Aufwendungen und/oder Investitionen des Einsatzes und der Nutzung der einheitlichen IT-Lösung trägt die jeweilige Körperschaft selbst, sofern nicht durch Gesetz oder Beschluss der Landessynode bzw. Kreissynode eine andere Kostenträgerschaft bestimmt wurde.
II.
Besondere Vorschriften für einzelne IT-Lösungen
  1. Videokonferenzen, Textverarbeitung, Tabellenkalkulation, Präsentation, Kollaboration sowie die dafür erforderliche Dateiablage und das dafür erforderlich Hosting der IT-Lösung Microsoft 365
    1. Von Abschnitt I Nr. 1 ausgenommen sind solche kirchlichen Körperschaften, die die Betriebsverantwortung für ihre IT nicht auf die Landeskirche – das Landeskirchenamt – übertragen haben. Mit Übertragung der Betriebsverantwortung auf die Landeskirche endet die Ausnahme mit sofortiger Wirkung und beginnt die Frist des Einführungszeitraums.
    2. Für die IT-Lösungen sind von der verantwortlichen Stelle folgende Maßnahmen des Datenschutzes zu ergreifen:
      aa)
      Sie beschließt entsprechend dem von der Landeskirche vorgegebenen Muster (Anhang 1 zur Verwaltungsvorschrift) ein Schema zur Klassifizierung von zu verarbeitenden Daten und ordnet an, dass alle in Microsoft 365 genutzten Daten nach dem beschlossenen Schema klassifiziert werden müssen,
      bb)
      sie beschränkt die Verarbeitung von personenbezogenen Daten in der neuen IT auf die Klassen „öffentlich“ und „vertraulich“, bis bei den Mitarbeitenden ein Kenntnisstand im Umgang mit der neuen IT-Lösung erreicht ist, der eine Erweiterung auf weitere Klassen rechtfertigt,
      cc)
      sie entscheidet über die Freischaltung der Funktionen „Rechtschreibprüfung“, „Grammatikprüfung“ und „Übersetzungsservice“ in den Klassen „öffentlich“, „vertraulich“, „streng vertraulich“ und aktiviert/deaktiviert die entsprechende Funktion,
      dd)
      sie deaktiviert die in Buchstabe cc genannten Funktionen bei Verarbeitung von Daten der Kategorie „streng geheim“,
      ee)
      sie beschränkt die Nutzung der Microsoft-365-Online-Tools (zunächst) auf das Gebiet (Region) sicherer Drittländer (= Geltungsbereich der DSGVO bzw. entsprechender Angemessenheitsbeschlüsse) und weist die Mitarbeitenden auf die technische Zugangsbeschränkung durch „Conditional Access“ hin,
      ff)
      sie befähigt ihre Mitarbeitenden darin
      • einzuordnen, welche Anwendung für welche Verarbeitung die geeignete ist (dies gilt insbesondere für die neuen Kooperationstools),
      • sämtliche im täglichen Betrieb verarbeiteten Daten entsprechend dem vorgegebenen Schema zu klassifizieren.
  2. Videokonferenzen der IT-Lösung Microsoft Teams
    Von Abschnitt I Nr. 1 ausgenommen sind solche kirchlichen Körperschaften, die das Produkt Zoom über einen Anbieter einsetzen, der die Voraussetzungen einer Datenverarbeitung im Auftrag gemäß § 30 Absatz 5 DSG-EKD6# erfüllt (z. B. Connect4Video).
  3. Firewall-Technik Fortinet
    Von Abschnitt I Nr. 3 ausgenommen sind in Bezug auf die einheitliche IT-Lösung für den Bereich Firewall der Firma Fortinet solche kirchlichen Körperschaften, die in den letzten fünf Jahren vor Beschluss des Landeskirchenamtes eine vergleichbare IT-Lösung eingesetzt haben (Investitionsschutz). Mit Ablauf der Fünfjahresfrist beginnt die Frist des Einführungszeitraums.
III.
Inkrafttreten
Diese Verwaltungsvorschrift und ihre Änderungen treten mit Veröffentlichung im Kirchlichen Amtsblatt in Kraft7#.

#
1 ↑ Nr. 858.
#
2 ↑ Nr. 858.
#
3 ↑ Nr. 858.
#
4 ↑ Nr. 850.
#
5 ↑ Nr. 850.
#
6 ↑ Nr. 850.
#
7 ↑ Redaktioneller Hinweis: Die Veröffentlichung im KABl. erfolgte am 31. Mai 2021.