Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen (Kirchliche Datenschutzverordnung)

(Amtsblatt der Österreichischen Bischofskonferenz, Nr. 74 vom 1. Jänner 2018, II. 2., S. 9–13)

§ 1 Anwendungsbereich

(1) Dieses Dekret ist auf die Katholische Kirche in Österreich und alle ihre Einrichtungen anzuwenden, soweit diese auf Grund kirchenrechtlicher Bestimmungen eingerichtet sind und ihrem Bestande nach kirchenrechtlichen Vorschriften unterliegen. Diese Einrichtungen haben Rechtspersönlichkeit nach kanonischem Recht und nach staatlichem Recht oder sind von einer kanonischen Rechtsperson, welche auch Rechtspersönlichkeit des öffentlichen Rechts nach staatlichem Recht ist, umfasst.

(2) Dieses Dekret ist auf jene Rechtsträger nicht anzuwenden, welche ihrer tatsächlichen Geschäftsführung nach ausschließlich oder überwiegend kirchliche Zwecke verfolgen, aber nach der staatlichen Rechtsordnung eingerichtet sind und nur innerhalb dieser, nicht aber auch nach der kanonischen Rechtsordnung, Rechtspersönlichkeit genießen.

§ 2 Gegenstand des Datenschutzes im kirchlichen Bereich

(1) Der Schutz von personenbezogenen Daten stellt ein besonderes Anliegen der Katholischen Kirche in Österreich dar. In Einklang mit den in der Europäischen Union und in Österreich in Geltung stehenden Bestimm ungen zum Datenschutz und in Umsetzung von Art. 91 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 („DSGVO“) enthält dieses Dekret Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Es schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

(2) Gegenstand ist die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (im Folgenden kurz als „Daten“ bezeichnet).

(3) Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

(4) Die Verarbeitung von Daten unterliegt den geltenden datenschutzrechtlichen Bestimmungen und Vorgaben. Soweit besondere kirchliche, staatliche oder unionsrechtliche Rechtsvorschriften auf das Verarbeiten von Daten anzuwenden sind, gehen sie den Vorschriften dieses Dekretes vor.

(5) Die Verpflichtung zur Einhaltung des geistlichen Amtsgeheimnisses und dienstrechtlicher Schweigepflichten bleibt unberührt.

§ 3 Kirchliche Datenschutzkommission und Datenschutzbeauftragter gemäß DSGVO

(1) Zur Wahrung des Datenschutzes und zur Vertretung gegenüber den zuständigen staatlichen Behörden ist die Kirchliche Datenschutzkommission im Generalsekretariat der Österreichischen Bischofskonferenz eingerichtet.

(2) Die Kommission besteht aus drei Mitgliedern, von denen zwei, unter ihnen der Vorsitzende, von der Österreichischen Bischofskonferenz, das dritte von der Superiorenkonferenz der männlichen Ordensgemeinschaften Österreichs im Einvernehmen mit der Vereinigung der Frauenorden Österreichs ernannt werden.

(3) Die Kirchliche Datenschutzkommission wird namens der Katholischen Kirche in Österreich tätig. Sie ist berechtigt, sich eine Geschäftsordnung zu geben.

(4) Zur Wahrnehmung der Aufgaben iSd Art 39 DSGVO wird von der Österreichischen Bischofskonferenz der Datenschutzbeauftragte der Katholischen Kirche in Österreich ernannt. Die Ernennung bedarf der Einholung des vorherigen Einverständnisses der Superiorenkonferenz der männlichen Ordensgemeinschaften Österreichs sowie der Vereinigung der Frauenorden Österreichs. Der Datenschutzbeauftragte ist bezüglich der Erfüllung seiner Aufgaben weisungsfrei.

(5) Die Aufgaben des Datenschutzbeauftragten ergeben sich insbesondere aus Art 39 DSGVO sowie den mit ihm dazu ergänzend getroffenen Vereinbarungen.

(6) Der Datenschutzbeauftragte und die für ihn tätigen Personen sind unbeschadet sonstiger Verschwiegenheitspflichten bei der Erfüllung der Aufgaben zur Geheimhaltung verpflichtet. Dies gilt insbesondere in Bezug auf die Identität betroffener Personen, die sich an den Datenschutzbeauftragten gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, es sei denn, es erfolgte eine ausdrückliche Entbindung von der Verschwiegenheit durch die betroffene Person. Der Datenschutzbeauftragte und die für ihn tätigen Personen dürfen die zugänglich gemachten Informationen ausschließlich für die Erfüllung der Aufgaben verwenden und sind auch nach Ende ihrer Tätigkeit zur Geheimhaltung verpflichtet.

§ 4 Die Katholische Kirche in Österreich
und ihre Einrichtungen

(1) Für die Katholische Kirche in Österreich erfolgte die Registrierung im Datenverarbeitungsregister nach den Bestimmungen des Datenschutzgesetzes, BGBl. I 1999/165 in der zu diesem Zeitpunkt geltenden Fassung.

(2) Die Katholische Kirche in Österreich ist Verantwortliche des öffentlichen Bereiches gemäß § 26 DSG idF Datenschutz-Anpassungsgesetz 2018. Sie und ihre Einrichtungen werden im öffentlichen Bereich tätig. Die Katholische Kirche in Österreich genießt öffentlich-rechtliche Stellung gemäß Artikel II Konkordat vom 5. Juni 1933 zwischen dem Heiligen Stuhl und der Republik Österreich, BGBl II Nr 2/1934. Sie und ihre Einrichtungen sind öffentliche Stellen iSd der DSGVO und des DSG idF Datenschutz-Anpassungsgesetz 2018.

(3) Es wird ein Verzeichnis von Verarbeitungstätigkeiten im Sinne des Art 30 DSGVO geführt. Das Verzeichnis wird bei der Kirchlichen Datenschutzkommission zentral verwaltet und ist nicht öffentlich zugänglich.

(4) Alle kirchlichen Einrichtungen, welche Daten verarbeiten, haben diese Verarbeitung dem Datenschutzbeauftragten der Katholischen Kirche in Österreich zu melden. Die Aufnahme der Verarbeitung ist erst dann zulässig, wenn seitens der Kirchlichen Datenschutzkommission die Registernummer samt Subnummer mitgeteilt ist und die Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten gemäß Art 30 DSGVO eingetragen wurde. Anlässlich der Anführung von Registernummern ist von kirchlichen Einrichtungen in Klammer auch die jeweilige Subnummer anzuführen.

(5) Das Generalsekretariat der Österreichischen Bischofskonferenz steht der Kirchlichen Datenschutzkommission für die Erledigung ihrer Aufgaben zur Verfügung.

§ 5 Rechte betroffener Personen

(1) Die Rechte betroffener Personen ergeben sich aus Kapitel III DSGVO, den Bestimmungen des DSG in der jeweils gültigen Fassung, dies jeweils iZm den Bestimmungen dieses Dekretes.

(2) Die Bereichs-Datenschutzreferenten und die Datenschutzzuständigen der Einrichtungen nehmen die Verpflichtungen der Katholischen Kirche in Österreich wahr, die sich aus den Rechten betroffener Personen in ihrem Zuständigkeitsbereich (vgl § 9) ergeben. Die Erledigungen ergehen im Namen der Katholischen Kirche in Österreich.

§ 6 Datenweitergabe im kirchlichen Bereich

(1) Die Weitergabe von Daten an eine andere kirchliche Einrichtung ist zulässig, wenn sie zur Erfüllung des kirchlichen Auftrages erforderlich ist, welche entweder der weitergebenden Einrichtung oder der empfangenden Einrichtung obliegt.

(2) Unterliegen die weiterzugebenden Daten einem kirchlichen Dienst- oder Amtsgeheimnis, so ist die Weitergabe nur dann zulässig, wenn die empfangende kirchliche Einrichtung die Daten zur Erfüllung des gleichen Zweckes benötigt, für den sie die weiterleitende kirchliche Einrichtung ermittelt hat.

(3) Das Siegel der geistlichen Amtsverschwiegenheit und staatliche Berufsgeheimnisse sind jedenfalls zu wahren. Daten, die diesen Geheimnissen unterliegen, dürfen nur mit schriftlicher Zustimmung des Betroffenen weitergegeben werden, soweit anzuwendende Rechtsvorschriften die Weitergabe nicht absolut untersagen.

§ 7 Datenübermittlung an nicht-kirchliche Empfänger

(1) Die Weitergabe von Daten an andere als kirchliche Einrichtungen oder den Betroffenen ist nur unter Einhaltung der gesetzlichen Voraussetzungen, insbesondere jener nach Art 6 DSGVO, zulässig.

(2) Ist die Übermittlung von Daten nicht im Verzeichnis der Verarbeitungstätigkeiten (laut Artikel 30 DSGVO) erfasst, gehört die Übermittlung aber zum berechtigten Zweck der kirchlichen Einrichtung oder ist die Übermittlung zur Wahrung überwiegender Interessen eines Dritten notwendig, so ist deren Genehmigung bei der Kirchlichen Datenschutzkommission zu beantragen.

(3) Werden Daten an Dritte übermittelt oder überlassen, so ist das von der Katholischen Kirche in Österreich geforderte und gesetzlich vorgegebene Datenschutzniveau weiterhin sicherzustellen. Dafür sind mit den Empfängern entsprechende Vereinbarungen und Regelungen zu treffen und deren Einhaltung gegebenenfalls auch zu auditieren und zu prüfen.

§ 8 Bereichs-Datenschutzreferenten und Datenschutzzuständige der Einrichtungen

(1) Jeder Diözesanbischof, der Militärbischof, der Territorialabt von Wettingen-Mehrerau sowie die Superiorenkonferenz der männlichen Ordensgemeinschaften Österreichs und die Vereinigung der Frauenorden Österreichs ernennen für ihren jeweiligen Bereich einen Bereichs-Datenschutzreferenten.

(2) Die Bereichs-Datenschutzreferenten unterstützen den unter § 3 (4) genannten Datenschutzbeauftragten der Katholischen Kirche in Österreich bei der Erfüllung seiner Aufgaben.

(3) Ebenso unterstützen die Bereichs-Datenschutzreferenten die unter § 3 (1) genannte Kirchliche Datenschutzkommission bei der Erfüllung ihrer Aufgaben, haben in dieser Funktion deren Empfehlungen und Richtlinien zu beachten und werden in dieser Funktion nach außen namens der Katholischen Kirche in Österreich tätig. Die Rechte der zuständigen Ordinarien bleiben unberührt.

(4) Betrifft das Tätigwerden des Bereichs-Datenschutzreferenten grundsätzliche Rechts- oder Sachfragen, so ist rechtzeitig der Datenschutzbeauftragte der Katholischen Kirche in Österreich einzubinden und die Zustimmung der Kirchlichen Datenschutzkommission einzuholen.

(5) Darüber hinaus ist für jede kirchliche Einrichtung von deren Leitung eine Person zu bestimmen, welche für die Einhaltung des Datenschutzes Sorge trägt und die damit verbundenen operativen Aufgaben erfüllt („Datenschutzzuständiger der Einrichtung“). Mehrere kirchliche Einrichtungen können auch einen gemeinsamen Zuständigen benennen. Diese Person ist in dieser Funktion an die Empfehlungen und Richtlinien des für sie zuständigen Bereichs-Datenschutzreferenten gebunden und kann diesen zu Rate ziehen. Außerdem hat diese Person in dieser Funktion ebenfalls die Empfehlungen und Richtlinien der Kirchlichen Datenschutzkommission zu beachten. Die Rechte der zuständigen Ordinarien bleiben unberührt.

(6) Die Datenschutzreferenten berichten den für sie zuständigen Ordinarien, denen sie dienstrechtlich unterstehen, regelmäßig über ihre Tätigkeit.

§ 9 Datengeheimnis

(1) Alle Personen, denen iZm ihrer Tätigkeit für die Katholische Kirche in Österreich und ihren Einrichtungen Daten anvertraut sind oder zugänglich gemacht werden, gleich, ob dies auf Grund eines Dienstverhältnisses oder einer anderen Leistung für die kirchliche Einrichtung erfolgt, haben das Datengeheimnis iSd § 6 DSG idF Datenschutz-Anpassungsgesetz 2018 zu wahren. Diese Personen sind vor Aufnahme ihrer Tätigkeit zur Einhaltung des Datengeheimnisses, dies auch nach Beendigung ihrer Tätigkeit, ausdrücklich vertraglich zu verpflichten.

(2) Daten dürfen nur aufgrund einer ausdrücklichen Anordnung des zuständigen dienstlichen Vorgesetzten verarbeitet werden.

§ 10 Datensicherheit

Jede kirchliche Einrichtung, welche Daten verarbeitet, hat ausreichende Datensicherheitsmaßnahmen, insbesondere jene gemäß Art 24, 25 und 32 DSGVO sowie § 54 DSG idF Datenschutz-Anpassungsgesetz 2018, zu treffen. Der Datenschutzbeauftragte der Katholischen Kirche in Österreich hat über die Durchführung ausreichender Datensicherheitsmaßnahmen zu wachen.

§ 11 Bildverarbeitung

Für die Zulässigkeit der Bildverarbeitung durch die Katholische Kirche in Österreich und ihre Einrichtungen gilt § 30 DSG idF Datenschutz-Anpassungsgesetz 2018. Nähere Bestimmungen werden durch die Kirchliche Datenschutzkommission erlassen.

§ 12 Inkrafttreten und Änderung

(1) Dieses Dekret wurde von der Österreichischen Bischofskonferenz in ihrer Herbstvollversammlung vom 6. bis 9. November 2017 beschlossen und tritt am 25. Mai 2018 in Kraft. Zum gleichen Zeitpunkt tritt die im Amtsblatt Nr. 52 der Österreichischen Bischofskonferenz vom 15. September 2010 veröffentlichte Kirchliche Datenschutzverordnung außer Kraft.

(2) Zur Abänderung oder Aufhebung dieses Dekretes ist ein Beschluss der Österreichischen Bischofskonferenz und die Veröffentlichung im Amtsblatt erforderlich. Der Beschluss ist seitens der Österreichischen Bischofskonferenz nach den Normen des can. 455 § 4 CIC 1983 zu fassen.

Die Diözesanbischöfe haben dem vorliegenden Decretum Generale über den Datenschutz in der Katholischen Kirche in Österreich und ihren Einrichtungen (Kirchliche Datenschutzverordnung) einzeln ihre Zustimmung im Sinne can. 455 § 4 CIC 1983 gegeben.