Decretum Generale über den Datenschutz in
der Katholischen Kirche in Österreich und ihren Einrichtungen
(Kirchliche Datenschutzverordnung)

(Amtsblatt der Österreichischen Bischofskonferenz, Nr. 52 vom 15. September 2010, II. 1.)

I. Allgemeine Ordnung

§ 1 Geltungsbereich

(1) Dieses Dekret gilt für die Katholische Kirche in Österreich und alle ihre Einrichtungen, soweit diese auf Grund kirchenrechtlicher Bestimmungen eingerichtet sind und ihrem Bestande nach kirchenrechtlichen Vorschriften unterliegen. Diese Einrichtungen haben Rechtspersönlichkeit nach kanonischem Recht und nach staatlichem Recht oder sind von einer kanonischen Rechtsperson, welche auch Rechtspersönlichkeit des öffentlichen Rechts nach staatlichem Recht ist, umfasst.

(2) Die Verordnung gilt nicht für jene Rechtsträger, welche ihrer tatsächlichen Geschäftsführung nach ausschließlich oder überwiegend kirchliche Zwecke verfolgen, aber nach der staatlichen Rechtsordnung eingerichtet sind und nur innerhalb dieser, nicht aber auch nach der kanonischen Rechtsordnung, Rechtspersönlichkeit genießen.

§ 2 Aufgabe und Gegenstand des Datenschutzes im kirchlichen Bereich

(1) Aufgabe des Datenschutzes im kirchlichen Bereich ist es, die Geheimhaltung von personenbezogenen Daten, soweit der Betroffene daran ein schutzwürdiges Interesse, insbesondere im Hinblick auf Achtung seines Privat- und Familienlebens, hat, zu gewährleisten.

(2) Gegenstand sind alle personenbezogenen Daten, welche von kirchlichen Einrichtungen in Dateien verarbeitet werden oder worden sind oder zu deren Verarbeitung eine kirchliche Einrichtung den Auftrag erteilt hat.

(3) Soweit besondere kirchliche oder staatliche Rechtsvorschriften auf das Verwenden von personenbezogenen Daten anzuwenden sind, gehen sie den Vorschriften dieses Decretum Generale vor.

(4) Die Verpflichtung zur Einhaltung des geistlichen Amtsgeheimnisses und dienstrechtlicher Schweigepflichten bleibt unberührt.

§ 3 Kirchliche Datenschutzkommission

(1) Zur Wahrung aller Angelegenheiten des Datenschutzes und zur Beratung der betroffenen kirchlichen Einrichtungen sowie zur Vertretung gegenüber den zuständigen staatlichen Behörden ist die kirchliche Datenschutzkommission im Generalsekretariat der Österreichischen Bischofskonferenz eingerichtet.

(2) Die Kommission besteht aus drei Mitgliedern, von denen zwei, unter ihnen der Vorsitzende, von der Österreichischen Bischofskonferenz, das dritte von der Österreichischen Superiorenkonferenz ernannt werden.

(3) Die Kirchliche Datenschutzkommission wird namens der Katholischen Kirche in Österreich tätig. Sie ist berechtigt, sich eine Geschäftsordnung zu geben.

§ 4 Registrierung

(1) Die Registrierung nach den Bestimmungen (§ 17 Absatz 1) des Datenschutzgesetzes, BGBl. I 1999/165 in geltender Fassung ist für die Katholische Kirche in Österreich und ihre Einrichtungen erfolgt. Die Katholische Kirche in Österreich und ihre Einrichtungen werden im öffentlichen Bereich tätig.

(2) Alle kirchlichen Einrichtungen, welche personenbezogene Daten in Dateien verarbeiten, haben diese Verarbeitung der Kirchlichen Datenschutzkommission zu melden. Die Aufnahme der Vollverarbeitung ist erst dann zulässig, wenn seitens der Kirchlichen Datenschutzkommission die DVR-Nummer samt Subnummer mitgeteilt ist.

(3) Die eigenständige Registrierung einer kirchlichen Einrichtung (§ 1 Absatz 1) beim staatlichen Datenverarbeitungsregister ist unzulässig.

(4) Die Kirchliche Datenschutzkommission hat ein Register über jene kirchlichen Einrichtungen zu führen, welche personenbezogene Daten in Dateien verarbeiten. Dieses Register hat die Bezeichnung der Einrichtung, die Anschrift und die erteilte Subnummer zu enthalten. Das Register wird beim Generalsekretariat der Österreichischen Bischofskonferenz geführt.

(5) Anlässlich der Anführung von Registernummern im Sinne § 25 Absatz 2 Datenschutzgesetz ist von kirchlichen Einrichtungen in Klammer auch die jeweilige Subnummer anzuführen.

§ 5 Auskunftserteilung, Richtigstellung und Löschung

(1) Anlässlich eines Verlangens nach Auskunft gemäß § 26 DSG ist die Auskunft nach Nachweis der Identität seitens der auskunftsverpflichteten kirchlichen Einrichtung namens der Katholischen Kirche in Österreich zu erteilen, falls keine Zweifel über Art und Umfang der Auskunft bestehen.

(2) Bestehen über Art oder Umfang der Auskunft oder über die Verpflichtung zur Erteilung der Auskunft Zweifel, ist das Verlangen nach Auskunft unter Bekanntgabe der über den Antragsteller gespeicherten Daten unverzüglich an die Kirchliche Datenschutzkommission weiterzuleiten, welche dann die Auskunft erteilt.

(3) Ebenso sind Ansuchen auf Richtigstellung von Daten und Anträge auf Löschung gemäß § 27 DSG im Zweifelsfalle der Kirchlichen Datenschutzkommission zur Entscheidung weiterzuleiten.

§ 6 Datenübermittlung, Datenermittlung

(1) Die Weitergabe von Daten an andere als kirchliche Einrichtungen oder den Betroffenen (Übermittlung im Sinne § 4 Ziffer 12 DSG) ist nur dann zulässig, wenn diese Übermittlung beim Datenverarbeitungsregister registriert ist oder der Betroffene der Übermittlung schriftlich zugestimmt hat.

(2) Ist die Übermittlung von Daten nicht registriert, gehört die Übermittlung aber zum berechtigten Zweck der kirchlichen Einrichtung oder ist die Übermittlung zur Wahrung überwiegender Interessen eines Dritten notwendig, so ist bei der Kirchlichen Datenschutzkommission die Registrierung beim Datenverarbeitungsregister zu beantragen.

(3) Das Gleiche gilt für die Ermittlung von Daten, welche nicht registriert ist, und für Zwecke der Verarbeitung, welche nicht registriert sind.

(4) Über den Inhalt der Registrierung wird an die kirchliche Einrichtung anlässlich der Zuteilung der Subnummer von Seiten der Kirchlichen Datenschutzkommission Mitteilung gemacht.

§ 7 Datenweitergabe im kirchlichen Bereich

(1) Die Weitergabe von automationsunterstützt verarbeiteten Daten an eine andere kirchliche Einrichtung ist zulässig, wenn sie zur Erfüllung des kirchlichen Auftrages erforderlich ist, welche entweder der weitergebenden Einrichtung oder der empfangenden Einrichtung obliegt.

(2) Unterliegen die weiterzugebenden Daten einem kirchlichen Dienst- oder Amtsgeheimnis, so ist die Weitergabe nur dann zulässig, wenn die empfangende kirchliche Einrichtung die Daten zur Erfüllung des gleichen Zweckes benötigt, für den sie die weiterleitende kirchliche Einrichtung ermittelt hat.

(3) Das Siegel der geistlichen Amtsverschwiegenheit und staatliche Berufsgeheimnisse sind jedenfalls zu wahren. Daten, die diesen Geheimnissen unterliegen, dürfen nur mit schriftlicher Zustimmung des Betroffenen weitergegeben werden, soweit anzuwendende Rechtsvorschriften die Weitergabe nicht absolut untersagen.

§ 8 Datenschutzbeauftragte

Von der Leitung der kirchlichen Einrichtung ist eine Person zu bestimmen, welche die Aufgabe hat, die für den Datenschutz notwendigen Maßnahmen in der betreffenden Einrichtung zur Anwendung zu bringen.

§ 9 Datenschutzverpflichtungen von Dienstnehmern und sonstigen Mitarbeitern

Gemäß § 15 DSG sind Personen, denen berufsmäßig Daten anvertraut sind oder zugänglich gemacht werden, gleich, ob dies auf Grund eines Dienstverhältnisses oder einer anderen Leistung für die kirchliche Einrichtung erfolgt, vor Aufnahme ihrer Tätigkeit zur Einhaltung des Datengeheimnisses ausdrücklich vertraglich zu verpflichten. Der Vertrag ist dem jeweiligen Personalakt beizuschließen.

§ 10 Datensicherheit

Jede kirchliche Einrichtung, welche Dateien im Sinne des Datenschutzgesetzes verwendet, hat Datensicherheitsmaßnahmen gemäß § 14 Datenschutzgesetz ausreichend zu treffen. Der Datenschutzbeauftragte hat über die Durchführung ausreichender Datensicherheitsmaßnahmen zu wachen.

II. Inkrafttreten und Änderung

§ 11

(1) Dieses Decretum Generale tritt mit Veröffentlichung im Amtsblatt der Österreichischen Bischofskonferenz in Kraft. Zum gleichen Zeitpunkt treten die Bestimmungen der Kirchlichen Datenschutzverordnung, welche in den einzelnen Amtsblättern der österreichischen Erzdiözesen und Diözesen veröffentlicht ist, außer Kraft.

(2) Zur Abänderung oder Aufhebung dieses Decretum Generale ist der Beschluss der Österreichischen Bischofskonferenz und die Veröffentlichung im Amtsblatt der Österreichischen Bischofskonferenz erforderlich.

(3) Der Beschluss ist seitens der Österreichischen Bischofskonferenz nach den Normen des Canon 455 § 4 CIC zu fassen.

Dieses Decretum Generale wurde von der Österreichischen Bischofskonferenz in ihrer Sommervollversammlung vom 21. bis 23. Juni 2010 in Mariazell beschlossen und tritt mit der Veröffentlichung im Amtsblatt der Österreichischen Bischofskonferenz in Kraft.