Liebe Kolleginnen und Kollegen,

da sich immer wieder Fragen zum Thema Datenschutz ergeben, möchten wir euch auf die “Häufig gestellten Fragen” hinweisen.

Diese findest du hier(klick!) als PDF.
Diese findest du hier(klick!) auf unserem Betriebsratsblog.

Für weitere Fragen stehen wir BetriebsrätInnen bzw. der Datenschutzbeauftragte Mag. Alexander Marktler (alexander.marktler@dioezese-linz.at)  gerne  zur Verfügung.

Wie bereits in der Betriebsversammlung angekündigt wurde die Betriebsvereinbarung zum Thema Datenschutz  abgeschlossen. Im Zuge dessen wurde auch die “Verpflichtungserklärung auf das Datengeheimnis” überarbeitet. Die Fragen und Antworten zum Thema Datenschutz findest du hier(klick!) auf unserem Betriebsratsblog.

Sollten sich weitere Fragen ergeben, so kannst du dich sowohl an dein Betriebsratsteam, wie auch an den Datenschutzbeauftragten Mag. Alexander Marktler wenden.

WhatsApp Gruppen, Telefonnummer Weitergabe

• Für die Weitergabe von Telefonnummern gilt grundsätzlich: ist die Telefonnummer bereits veröffentlicht (Telefonbuch, Homepage, Facebook…), so darf sie weitergegeben werden, ansonsten nur mit Zustimmung des Betroffenen.
  Telefonnummern dürfen beruflich auch nur für jenen Zweck verwendet werden, für den sie vom Betroffenen hergegeben wurden – z.B. darf die Telefonnummer, die vom Betroffenen der Kirchenbeitragsstelle oder der Katholischen Jugend gemeldet wurde, auch nur im jeweiligen Bereich verwendet werden. Sprich: die Weitergabe einer der Katholischen Jugend gemeldeten Telefonnummer darf wohl von einem Jugendleiter an einen anderen Jugendleiter erfolgen (für berufliche Zwecke!), nicht aber etwa an alle Mitglieder einer Jugendgruppe. Es gilt auch hier die Geheimhaltungsverpflichtung für „beruflich anvertraute Daten“.

2-3 Arbeitsplätze. Drop Box als einzige Chance in effektiverweise, Dokumente, Bilder zu Verfügung zu haben.

• Zum Thema „document sharing services“ (Dropbox, Cloud-Dienste…) gibt es vom Datenschutzbeauftragten eine eigene Stellungnahme, die zu dem Schluss führt, dass aufgrund verschiedenster Sicherheitsrisiken das Verwenden von sogenannten „Public Clouds“ grundsätzlich abzulehnen ist! Als größtes Manko wird empfunden, dass die Dateien zumeist unverschlüsselt auf dem Cloud-Speicher abgelegt werden. Verschafft sich also jemand Zugriff auf den entsprechenden Cloud-Server, kann diese Person auf die dort abgelegten Daten zugreifen!
  Firmeninterne Daten (egal ob personenbezogen oder nicht) dürfen somit nur gespeichert werden, wenn die Public Cloud bestimmte Voraussetzungen erfüllt (Verschlüsselung!), was aber in den allermeisten Fällen nicht der Fall sein wird – ansonsten dürfen diese Public Clouds nur für die Speicherung privater bzw. eigener Daten oder bei Zustimmung des/der Betroffenen verwendet werden!
  Die Diözese Linz hat daher eine Bedarfserhebung durchgeführt, welche sharing-Dienste von wem für welche Zwecke verwendet werden und welche Daten in die Cloud gestellt werden. Aufgrund dieses Ergebnisses wird derzeit evaluiert, ob die DIT eine „Private Cloud“-Lösung anbieten wird, welche die geforderten Sicherheitsvorgaben erfüllt. Das würde die Frage, WAS in der Cloud gespeichert werden darf, erheblich vereinfachen.Hinweis 1: die Verpflichtungserklärung auf das Datengeheimnis bzw. die allgemeinen Vorschriften zum Datenschutz und zur Datensicherheit gelten auch für Private Clouds und sind weiterhin zu beachten (z.B. erhöhte Vorsicht bei vertraulichen Dokumenten, nicht mehr benötigte Dateninhalte löschen…)! So sollen z.B. nur jene auf berufliche Daten zugreifen können, die sie auch für ihre Tätigkeit benötigen („kein unbeschränkter Zugriff“).Hinweis 2: bei personenbezogenen „privaten“ Daten (z.B. Fotos) darf nicht vergessen werden, dass das Grundrecht auf Datenschutz und somit das Datenschutzgesetz auch im privaten Bereich gelten!

Veröffentlichung auf FB via Button „teilen“ – rechtliches Problem?

• Beim „teilen“-Button besteht das datenschutzrechtliche Problem darin, dass Daten des Anklickers (also EIGENE Daten) im Hintergrund an den jeweiligen Betreiber des sozialen Netzwerkes gesendet werden. Dort können dann Surfprofile erstellt werden. Laut Telekommunikationsgesetz dürfen aber keine Daten ohne Zustimmung des Betroffenen an Dritte übermittelt werden. Auch im Datenschutzgesetz gibt es eine derartige Bestimmung. Daher entschließen sich immer mehr Seitenbetreiber für die Variante des „zweistufigen“ Buttons, um die User zu warnen bzw. zu informieren.
  Siehe dazu: http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.htmlUnabhängig, ob ein einstufiges oder zweistufiges Verfahren verwendet wird, letztlich entscheidet der Benutzer selbst, ob er „seine“ Daten (z.B. die URL der aktuellen Seite!) an Dritte weitergibt oder nicht – bei der Verwendung firmeninterner „kirchlicher“ Accounts ist daher große Sorgfalt geboten, welche Inhalte man „teilt“, da im Hintergrund Surfprofile erstellt werden können!Ebensolches gilt für den „like“-Button – hier kommt allerdings noch dazu, dass der zustimmende Account auf der besuchten Seite sichtbar ist! Man stimmt also einem Inhalt, einer Aussage zu – auch hier ist, wie oben, besondere Vorsicht bei nicht privaten Identitäten geboten und im Zweifelsfall eher abzuraten!Dass auf privaten Facebookseiten etc. keine firmeninternen Daten/Informationen (personenbezogen oder nicht) veröffentlicht werden dürfen, sei sicherheitshalber noch erwähnt.

Müssen Ehrenamtliche in einem Jungschar-Dekanatsteam eine Geheimhaltungserklärung

unterschreiben?

• JA, wenn für den Ehrenamtlichen bei der Ausübung seiner Tätigkeit ein Zugang zu Daten (personenbezogene oder sonstige kirchliche Daten) möglich oder erforderlich ist (Anwesenheitslisten, Teilnehmerlisten, Steuerlisten…). Zum Teil handelt es sich dabei sogar um sensible Daten (Sozialfälle, Obdachlose).
  Die gesetzlichen Bestimmungen zum Datengeheimnis finden sich in § 15 Absatz 1 DSG 2000 und in § 9 Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen („Kirchliche Datenschutzverordnung“).

(Mag. Alexander Marktler, Datenschutzbeauftragter der Diözese Linz)

Wir haben bei der Betriebsversammlung im Herbst viele Fragen rund um das Thema Datenschutz gesammelt. Diese wurden nun von Mag.a Silke Lanzl (Rechtsreferentin DFK) und Mag. Alexander Marktler (Datenschutzbeauftragter der Diözese Linz) beantwortet. Diese Fragen sind auch unter der Kategorie “Datenschutz in Frage und Antwort” am Betriebsratsblog abgerufen werden.

Außerdem dienen die von uns gesammelten Fragen bzw. die daraus folgenden Antworten der nächsten Dechantenkonferenz, zur Auseinandersetzung mit Thema. Weiteres werden in einer der nächsten Aussendungen von Pastorale Berufe die gesammelten Fragen als .pdf zur Verfügung gestellt.

Natürlich werden zu diesem Thema noch weitere Fragen auftauchen. Manche davon wird auch die noch in Arbeit befindliche Betriebsvereinbarung beanworten. Für deine weiteren Fragen zum Thema Datenschutz steht dir sowohl der Datenschutzbeauftragten unter: alexander.marktler@dioezese-linz.at zu Verfügung und selbstverständlich auch wir BetriebsrätInnen.

Ab wann ist eine Veranstaltung öffentlich?

• Eine Veranstaltung ist immer öffentlich, wenn sie allgemein zugänglich Eine konkrete Zahl kann im Zusammenhang mit Bildveröffentlichungen nicht genannt werden – es kommt immer auf den Kontext des Bildes (und somit auf den Einzelfall) an.Siehe dazu den sehr informativen Beitrag der Rechtsanwaltskanzlei „DBJ“:
  http://www.dbj.at/publications/vorsicht-bei-ver%C3%B6ffentlichung-von-event-fotos
  
  Fazit:
  „Vor der Veröffentlichung von Fotos von Personen sollte nach Möglichkeit deren Zustimmung eingeholt werden. Ist das im konkreten Fall nicht machbar, so ist bei der Wahl des Motivs (Person und Situation) sowie der Begleittexte Vorsicht geboten. Fotos “prominenter” Personen bzw. Aufnahmen im öffentlichen Bereich sind grundsätzlich risikoärmer, aber auch hier gibt es Grenzen. Im Zweifel sollte daher die Wahl auf ein neutrales Foto fallen, denn ein Gerichtsverfahren erzeugt außer Kosten auch negative Publicity.“Was ist speziell im kirchlichen Bereich zu beachten?Daten (= auch Bilder) von Personen über ihre religiöse Überzeugung sind laut § 4 Z 2 DSG 2000 „sensible Daten“ und daher besonders schutzwürdig! Bilder also, die Personen bei der Ausübung einer religiösen Tätigkeit zeigen, können somit berechtigte schutzwürdige Geheimhaltungsinteressen verletzen -> die Zustimmung des Betroffenen zur Bildveröffentlichung ist daher auf jeden Fall einzuholen!

  Gemäß § 78 Urheberrechtsgesetz („Recht am eigenen Bild“) dürfen Bilder von Personen dann nicht veröffentlicht werden, wenn die Veröffentlichung berechtigte (schutzwürdige) Interessen des Abgebildeten verletzen würde. Das ist u.a. dann der Fall, wenn die Fotos für Werbezwecke (auch für pfarrliche Aktivitäten/Veranstaltungen) verwendet werden oder die Person in einem negativen Kontext darstellen („bloßstellen“). Die Judikatur hat bzgl. Bildveröffentlichungen allerdings eine Rechtsprechungswende vollzogen: demnach ist eine Fotoaufnahme, auf welcher der Abgebildete deutlich zu identifizieren ist, in der Regel nur mit Einwilligung des Abgebildeten zulässig – dies gilt dann wohl erst recht für die Veröffentlichung!
  
  Generell gilt bei öffentlichen Veranstaltungen ein weniger strenger Maßstab als bei nicht öffentlichen Veranstaltungen (wer z.B. zu einer Kirchweihe geht, muss eher damit rechnen, dass er auf einem Foto dieser Feierlichkeit veröffentlicht wird, während die Teilnehmenden an einer Bibelrunde das wohl nicht müssen). Jedoch kann selbst die Veröffentlichung eines bei einer öffentlichen Veranstaltung entstandenen Fotos gegen berechtigte Interessen einer abgebildeten Person verstoßen (z.B. eine Person wird sichtlich betrunken beim Pfarrfasching fotografiert). Es empfiehlt sich also vor jeder Veröffentlichung zu überlegen, ob ein objektiver Grund gegen diese sprechen könnte, wobei im Zweifelsfall die Genehmigung der betroffenen Person einzuholen ist.

  Ist das Ziel eines Fotos, dass darauf bestimmte Personen (also nicht „die Menge“) abgebildet werden und werden in der Bildunterschrift unter Umständen auch noch deren Namen genannt (Gruppenfoto der Erstkommunionkinder, Firmlinge, etc.), ist vor der Veröffentlichung jedenfalls eine Zustimmung der Personen oder ihrer gesetzlichen Vertreter einzuholen.

  Ausnahmen bestehen hinsichtlich Personen des öffentlichen Lebens (z.B. Mitglieder des PGR), welche grundsätzlich damit rechnen müssen, dass ihr öffentliches Handeln auch auf Fotos abgebildet und später veröffentlicht wird. Selbstverständlich dürfen aber auch in diesem Fall die Bilder nicht „wahllos“ veröffentlicht werden!

  Die Veröffentlichung von Bildern, auf denen die Abgebildeten nicht oder nur sehr flüchtig erkennbar sind, bedürfen dagegen keiner Zustimmung der Abgebildeten – zumal wenn es sich, wie zuvor gesagt, um Abbildungen öffentlicher Veranstaltungen handelt (z.B. Foto vom Sommerfest der Pfarre).

  Zuletzt sei noch auf Folgendes hingewiesen: das Veröffentlichen von Daten (Bildern) aus Datenanwendungen (also „gespeicherten“ Daten aus Archiven etc.) entspricht datenschutzrechtlich einer Übermittlung an die Öffentlichkeit, deren Zulässigkeit geprüft werden muss (-> Zustimmung des Betroffenen)!

  Achtung: es ist immer auch die Zustimmung des (Bild-)Autors = Fotografen einzuholen!

Weiterlesen →

DVR-Nummer für Jugendleiter für E-Mails?

• Ja! Die Datenschutzbehörde empfiehlt, die DVR-Nummer standardmäßig in jedem Schreiben an Betroffene anzuführen. Dies kann beispielsweise durch Aufnahme der DVR-Nummer in den Brief- bzw. E-Mail-Kopf und/oder Fuß geschehen. Jugendleiter/Jugendleiterinnen sind Mitarbeiter/Mitarbeiterinnen der Abteilung Pastorale Berufe und haben als solche in ihren Signaturen (Brief, Mail) die DVR-Nummer der Abteilung Pastorale Berufe zu verwenden. DVR: 0029874(1871)
  

Innerbetriebliche Datenweitergabe? Zugang Pfarrkarteien, Jugendleiter und Dekanatsassistent?

• Ein zentraler Grundsatz im Datenschutzgesetz ist der sogenannte „Zweckbindungsgrundsatz“ im § 6 Absatz 1 Z 2 DSG 2000: „Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden.“ Wenn Daten also für einen bestimmten Zweck rechtmäßig ermittelt wurden, dürfen sie auch nur für diesen Zweck verwendet werden (z.B. im Kirchenbeitrag). Weiters gilt, dass Mitarbeiter nur Zugang zu jenen Daten haben sollen, welche sie für ihre Tätigkeit benötigen („nur jene für die Arbeit notwendigen Daten“). Eine innerbetriebliche Datenweitergabe ist demnach in gewissen Grenzen möglich, wenn (rechtmäßig erhobene) Daten innerhalb ihres „Zweckes“ bleiben bzw. nur dort verwendet werden (z.B. für den Zweck „Pfarrliche Seelsorge“), ansonsten wären es Übermittlungen, für die man jeweils Rechtfertigungsgründe (z.B. die Zustimmung der Betroffenen zur Datenweitergabe) bräuchte. Die Kirchliche Datenschutzverordnung („Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen“) erlaubt im § 7 Absatz 1 und Absatz 2 die Datenweitergabe im kirchlichen Bereich (also zwischen kirchlichen Einrichtungen) unter gewissen Voraussetzungen, nämlich dann, wenn:
• sie zur Erfüllung des kirchlichen Auftrages erforderlich ist, welche entweder der weitergebenden oder der empfangenden Einrichtung obliegt („Pastoraler Zweck“).
• die empfangende kirchliche Einrichtung die Daten zur Erfüllung des gleichen Zweckes (z.B. „Pfarrliche Seelsorge“ oder „Kirchenbeitragswesen“) benötigt, für den sie die weiterleitende kirchliche Einrichtung ermittelt hat.

Bei jeglicher Datenweitergabe ist natürlich immer auch zu beachten, dass keine schutzwürdigen Geheimhaltungsinteressen der Betroffenen verletzt werden bzw. dass das Datengeheimnis gewahrt bleibt. Im Zweifelsfall ist daher immer Rücksprache mit dem Datenschutzbeauftragten zu halten.

Regeln für die innerbetriebliche Datenweitergabe bzw. für die Zugriffe auf Daten allgemein („Wer darf auf welche Daten zugreifen?“) sind ein zentraler Punkt für das Design der ÖKD-Neu (Österreichische Katholikendatei – Neu) und werden derzeit laufend diskutiert und ausgearbeitet.

Austrittswillige – Kontakt – aufnehmen – Erlaubt?

• Das Kontakt-Aufnehmen zu Austrittswilligen durch dafür autorisierte Mitarbeiter gehört zu den Aufgaben der pfarrlichen Seelsorge und ist an sich kein datenschutzrechtliches Problem, wenn die Pfarre offiziell vom Austrittswillen verständigt wurde (eine Kontaktaufnahme aufgrund „Hörensagens“ halte ich nicht für sinnvoll bzw. hängt diese vom Einzelfall ab, da die Frage im Raum steht, „woher man das weiß“). Grundsätzlich gilt natürlich auch hier – wie bei allen anderen Informationen, die den Mitarbeitern ausschließlich aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind – das Datengeheimnis. Somit sind Informationen über Austrittswillige oder bereits Ausgetretene geheim zu halten (nach „Außen“) und („Innen“) nur an jene Mitarbeiter weiterzugeben, die diese Information für ihre Tätigkeit tatsächlich benötigen (Seelsorge).Hinweis: da es sich bei oben genannten Informationen um Daten über die religiöse Überzeugung handelt, sind diese zudem als sensibel einzustufen!

Mag. Alexander Marktler (Datenschutzbeauftragter der Diözese Linz)

Bei der Betriebsversammlung im Herbst 2014 wurden zahlreiche Fragen zum Thema Datenschutz gesammelt. Wir haben diese an die zuständigen ExpertInnen weitergeleitet. Um die Lesbarkeit zu erleichtern, werden diese in regelmäßigen Abständen auf dem Betriebsratsblog veröffentlicht. In der Kategorie “Datenschutz in Frage und Antwort” sind die Texte jederzeit abrufbar. Sollten sich daraus weitere Fragen ergeben bitten wir, das Betriebsratsteam von Pastorale Berufe, um deine Rückmeldung.

Welche DVR-Nummer schreibe ich unter E-Mails, wenn ich in einer Pfarre und einer Institution arbeite?

• Streng genommen müsste man sagen, je nachdem, woher die Daten der Empfänger stammen (z.B. aus der Pfarrkartei oder einer Institutions-spezifischen Datenanwendung). Da es aber einen verwaltungstechnisch hohen Aufwand darstellt, hier zu unterscheiden bzw. die DVR-Nummer in der E-Mail-Signatur jeweils zu wechseln, empfehle ich, beide Nummern anzuführen. Im Zweifelsfall ist es aber immer noch besser, nur eine der beiden Nummern anzugeben, als gar keine.
  MitarbeiterInnen der Abteilung Pastorale Berufe verwenden in ihren Signaturen (Brief, Mail) die DVR-Nummer der Abteilung Pastorale Berufe. DVR: 0029874(1871)

 Hat ein Dekanat eine DVR-Nummer?

• Dekanate haben keine eigene DVR-Nummer, da sie keine eigenständigen Rechtsträger sind (sondern eher „Verwaltungsbezirke“). MitarbeiterInnen, die einem Dekanat zugeteilt sind (z.B. DekanatsassistentInnen), verwenden daher in ihren Signaturen (Brief, Mail) die DVR-Nummer der Abteilung Pastorale Berufe. DVR: 0029874(1871)

Bei Vergabe der EDV-Wartung: Braucht man hier eine Geheimhaltungserklärung?

• Wenn der Dienstleister (EDV-Warter) bei seiner Tätigkeit die Möglichkeit hat, Kenntnis von personenbezogenen Daten oder anderen vertraulichen, firmeninternen Daten/Informationen des Auftraggebers (Diözese, Pfarre…) zu erlangen, so ist eine sogenannte Dienstleistervereinbarung gemäß § 10 Datenschutzgesetz abzuschließen (Muster beim Datenschutzbeauftragten vorhanden). Ist also durch die EDV-Wartung ein solcher Zugang zu Daten möglich/gegeben (z.B. im Sinne eines Administrators), dann ist eine Dienstleistervereinbarung mit dem Wartungs-Dienstleister abzuschließen, wenn nicht (z.B. bei reiner Hardware-Wartung), dann ist dies nicht notwendig.

Mag. Alexander Marktler (Datenschutzbeauftragter der Diözese Linz)