Interview mit Bischof Schwarz

Kirche bunt ABO

Banner Kirche Bunt

 
 

Datenschutz in der Diözese St. Pölten

Foto: zVg

Mit 25. Mai 2018 trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Kirche bunt sprach mit dem Datenschutzbeauftragten der Diözese St. Pölten, Mag. Stefan Stöger, über die Auswirkungen der DSGVO auf die Pfarren und andere kirchliche Einrichtungen.

Wie gut ist die Diözese St. Pölten auf die DSGVO vorbereitet?
Stefan Stöger: Wir sind gut vorbereitet. Die Diözese ist ein vielschichtiger und heterogener Körper mit Pfarren, Vereinen, mit Instituten und Gemeinschaften… Jede Einrichtung davon ist auf ihre Art einzigartig und hat ihre eigenen Problematiken – so auch was die Datenverwendung und -speicherung betrifft. Es war daher wichtig, die Zentrale der Diözese zu schulen und in das Thema einzuführen und alle anderen Bereiche davon ausstrahlend mitzunehmen sowie Dokumente zur Verfügung zu stellen. Ich bin guter Dinge, auch wenn vieles sich im Laufe der Zeit noch schärfen und verbessern wird.

Was bringt die DSGVO für die Pfarren und die kirchlichen Einrichtungen in der Diözese mit sich?
Stefan Stöger: Von den Herausforderungen hat sich zu den bisherigen Datenschutzregelungen eigentlich gar nicht viel verändert. Die Strafdrohungen sind jetzt allerdings wesentlich höher und es gibt verschärfte Dokumentationspflichten. Gleich wie bisher muss man darauf achten, dass personenbezogene Daten – wie Name, Adresse oder Geburtsdatum und insbesondere auch Religionsbekenntnis – nicht ohne die Zustimmung des Dateninhabers an dritte Personen weitergegeben oder veröffentlicht werden. Die Daten müssen vor unberechtigtem Lesen, Verändern, Löschen und Kopieren geschützt werden. Dies gilt auch für Schriftstücke wie Akten oder Briefe sowie auch für Matrikenbücher und Datenträger.

Was bedeutet das konkret für die Pfarren?
Stefan Stöger: Pfarren müssen bei Veröffentlichungen von Daten auf ihrer Homepage, im Pfarrblatt und bei Aushängen im Vorraum der Kirche darauf achten, die Zustimmung des Dateninhabers einzuholen. Dazu wird von der Diözese ein entsprechendes Formular zur Verfügung gestellt werden. Das kann auf der Homepage der Diözese downgeloadet werden.

Müssen noch andere Vorsorgemaßnahmen in den Pfarren vorgenommen werden?
Stefan Stöger: Ja. Wer in der Pfarre mit personenbezogenen Daten in Berührung kommt, das betrifft im Übrigen auch Ehrenamtliche, muss eine Verpflichtungserklärung auf das Datengeheimnis unterzeichnen.

Und was müssen die Pfarren bei den Daten, die sie in der Pfarre in irgendeiner Weise gespeichert haben, beachten?
Stefan Stöger: Dazu gibt es mit dem kommenden Diözesanblatt eine größere Beilage, wo Vorschläge für Datensicherheitsmaßnahmen aufgezählt sind, wie z. B. ein sicheres Pass­wort einzurichten, das Büro zuzusperren, wenn man es verlässt und verschiedene andere Möglichkeiten, wie man personenbezogene Daten in der Pfarre schützt.

Muss jede Pfarre und jede kirchliche Einrichtung ein eigenes Verzeichnis zur Verarbeitungstätigkeit führen, das anführt, zu welchem Zweck interne Daten verwendet werden?
Stefan Stöger: Ich habe mit allen Dienststellen so ein Verzeichnis konzipiert und gemeinsam erarbeitet. Für die Pfarren haben wir eine Mus­terpfarre, das war in diesem Fall die Dompfarre St. Pölten, evaluiert und zusammengestellt, sodass die Pfarren das selber nicht tun müssen. Ich werde in den kommenden Monaten auf die Pfarren zukommen und abfragen, ob sie weitere Datenanwendungen haben, die ich in der Musterpfarre nicht angeführt habe und darum ergänzt werden müssen.

Was müssen die Pfarren beachten, wenn Daten weitergegeben werden, also wenn sie z. B.  das Pfarrblatt einer Druckerei mit Adressenetikettierung in Auftrag geben?
Stefan Stöger: Werden Daten an Dritte weitergegeben, muss ein Auftragsverarbeitungsvertrag abgeschlossen werden, d. h. der Dritte muss sich zur Einhaltung des Datenschutzes verpflichten. Auch dieser Vertrag wird als Vorlage zum Download angeboten.

Müssen die Pfarren die Einhaltung der DSGVO in irgendeiner Weise bekanntmachen?
Stefan Stöger: Ja, auf der Homepage der Pfarre oder der jeweiligen kirchlichen Einrichtung. Wenn es keine Homepage gibt, dann im Pfarrblatt bzw. im jeweiligen Medium der kirchlichen Einrichtung. Ein Informationsblatt dazu stellte ich bereits zur Verfügung.

In vielen Pfarren ist es auch ein schöner Brauch, dass auf kranke und ältere Menschen in der Gemeinde hingewiesen wird und Pfarrangehörige eingeladen werden, diese zu besuchen. Darf das auch in Zukunft gemacht werden?
Stefan Stöger: Gesundheitsdaten zu veröffentlichen ist untersagt, außer man hat die Zustimmung des Betroffenen. Ich empfehle dringend, sehr vorsichtig mit Daten von kranken Pfarrangehörigen umzugehen – dazu ge­hört auch schon die Tatsache, dass jemand krank oder bettlägerig ist. Ein Besuch durch Mitarbeiter der Pfarre ist jedoch Teil unserer pastoralen Arbeit und möglich.

Wie schaut es mit Fotos aus, die man bei Gottesdiensten oder bei Pfarrfesten macht?
Stefan Stöger: Fotos sind natürlich auch personenbezogene Daten, denn gerade über eine Fotografie kann ich eine Person identifizieren. Das Veröffentlichen von Fotos bedarf also grundsätzlich der Zustimmung der Abgebildeten. Diese kann natürlich auf verschiedene Art und Weise erteilt werden. Wenn z. B. bei einem Gottesdienst oder bei einer Feier Fotos oder Filmaufnahmen gemacht werden, muss bei den Eingängen zur Kirche oder einem anderen Feierort mit einem Schild darauf hingewiesen werden. Da muss dann auch darauf stehen, dass Personen, die nicht fotografiert werden wollen, sich in einem definierten Bereich setzen sollen, wo nicht fotografiert wird bzw. dass sie sich an den Fotografen wenden sollen.

Wie schaut das bei Festen für Kinder und Jugendliche wie Erstkommunion oder Firmung aus?
Stefan Stöger: Die Abbildung von Kindern und Jugendlichen ist sehr sensibel – sie sind durch das Gesetz besonders geschützt. Wenn Eltern der Aufnahme nicht zustimmen, darf auf keinen Fall ein Foto oder Film aufgenommen und veröffentlicht werden.

Mit welchen Strafen müssen Pfarren und kirchliche Einrichtungen bei Zuwiderhandeln rechnen?
Stefan Stöger: Mit den gleichen Strafen wie sie für alle in der DSGVO vorgesehen sind. Grund­sätzlich wird man aber hier die ersten Gerichtsurteile abwarten müssen, um das realistisch einschätzen zu können. Das in der DSGVO genannte Maximalausmaß von 20 Millionen Euro ist für große Unternehmen gemeint. Ich gehe davon aus, dass kleinere Vergehen zu­nächst mit einer Verwarnung geahndet werden.

An wen können sich Interessierte wenden, die Auskunft über ihre Daten in den Pfarren oder in einer anderen kirchlichen Einrichtung in der Diözese St. Pölten haben oder diese löschen lassen wollen?
Stefan Stöger: Sie können sich an jeden Vertreter der katholischen Kirche wenden, letztlich befassen sich damit die Bereichsdatenschutzreferenten in der jeweiligen Diözese. Für die Diözese St. Pölten bin das ich und daher bitte ich darum, dass alle derartigen Anfragen, die in den Pfarren diesbezüglich eingehen, umgehend an mich weitergeleitet werden. Dazu haben wir übrigens eine eigene E-Mail-Adresse eingerichtet: .   
Interview: Sonja Planitzer

 

 

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der EU gilt seit dem 25. Mai 2018 für alle Unternehmen, alle öffentlichen Stellen und nicht-öffentlichen Stellen, die mit personenbezogenen Daten innerhalb der EU arbeiten. Die DSGVO besteht aus 99 Artikeln in elf Kapiteln und soll vor allem für einen höheren Schutz im Umgang mit personenbezogenen Daten (wie Namen, Geburtsdaten, Adressen, Telefonnummern etc.) sorgen. Insbesondere geschützt ist die Verarbeitung dieser Daten: von der Erhebung der Daten angefangen über den Schutz der gespeicherten Daten bis hin zur Auswertung der Daten. Bei Nichteinhaltung drohen Strafen bis zu 20 Millionen Euro beziehungsweise vier Prozent des Jahresumsatzes.

 

Information gemäß Artikel 13 DSGVO: http://www.kirchebunt.at/einrichtungen/kirchebunt/galerie/information-ge...