Datenschutz im Bund Pfingstlicher Freikirchen

Informationen für Gemeinden und Interessierte

Einordnung

Gemeinden verarbeiten im Rahmen ihrer Tätigkeit personenbezogene Daten, etwa im Zusammenhang mit Mitgliedschaft, Veranstaltungen oder organisatorischen Abläufen.

Jede Gemeinde ist dabei eigenständige datenschutzrechtlich verantwortliche Stelle im Sinne des Art. 4 Z 7 DSGVO. Der Bund Pfingstlicher Freikirchen in Österreich (BPF) ist nicht gemeinsam verantwortlich für die Datenverarbeitungen seiner Mitgliedsgemeinden, sondern unterstützt diese mit Orientierung, Vorlagen und fachlicher Beratung.

Der Bund Pfingstlicher Freikirchen in Österreich (BPF) stellt hierfür Orientierung und unterstützende Unterlagen zur Verfügung. Diese Seite bietet einen ersten Überblick über den Umgang mit Datenschutz in Gemeinden.

Weiterführende Details und konkrete Umsetzungen erfolgen über die jeweiligen internen Leitfäden und Vorlagen.

Grundverständnis

Datenschutz bedeutet, dass personenbezogene Daten:

• nur im notwendigen Umfang verarbeitet werden
• für klare Zwecke verwendet werden
• vor unbefugtem Zugriff geschützt sind

Gemeinden orientieren sich dabei an den geltenden gesetzlichen Rahmenbedingungen, insbesondere der Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG).

Typische Datenverarbeitungen in Gemeinden

Im Rahmen der Gemeindearbeit können unter anderem folgende Bereiche relevant sein:

• Verwaltung von Gemeindemitgliedern
• Organisation von Veranstaltungen und Gruppenangeboten
• Mitarbeit und Dienstverhältnisse
• Kommunikation (z. B. E-Mail, Newsletter)
• Verwaltung von Spenden und Unterstützern (einschließlich der gesetzlich vorgeschriebenen Sonderausgaben-Datenübermittlung an das Finanzministerium nach § 18 Abs. 8 EStG)

Diese Verarbeitungen sind im Verzeichnis von Verarbeitungstätigkeiten (VVT) zu dokumentieren. Details dazu im Abschnitt „Dokumentation (VVT)“.

Organisation innerhalb der Gemeinde

Für den Datenschutz empfiehlt sich:

• eine Datenschutzzuständige bzw. einen Datenschutzzuständigen innerhalb der Gemeinde zu benennen (interne Ansprechperson, kein Datenschutzbeauftragter im Sinne der DSGVO - siehe Abschnitt „Datenschutzbeauftragter“)
• klare Zuständigkeiten festzulegen
• Datenverarbeitungen nachvollziehbar zu dokumentieren

Die Verantwortung bleibt dabei stets bei der jeweiligen Gemeinde als Rechtsträger.

Datenschutzbeauftragter

Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter (DSB) zu bestellen, wenn die Kerntätigkeit einer Stelle in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht. Da die religiöse Überzeugung der Mitglieder regelmäßig verarbeitet wird, ist dies für Gemeinden im Einzelfall zu prüfen.

Für die Freikirchen in Österreich (FKÖ) und damit auch den BPF wurde Michael MRAK als gemeinsamer Datenschutzbeauftragter bestellt. Er steht den Gemeinden des BPF beratend zur Verfügung und ist der zuständige DSB im Sinne des Art. 37 DSGVO.

Die innergemeindliche Datenschutzzuständige bzw. der Datenschutzzuständige (siehe oben) ist davon zu unterscheiden: Diese Funktion erfüllt die interne Ansprech- und Koordinationsrolle, ersetzt aber nicht den DSB.

Dokumentation (VVT)

Ein zentrales Element im Datenschutz ist das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO.

Es ist von jeder Gemeinde als Verantwortlicher zu führen und umfasst insbesondere:

• welche Daten verarbeitet werden
• zu welchen Zwecken dies geschieht
• wer Zugriff auf diese Daten hat
• wie lange Daten aufbewahrt werden
• welche Schutzmaßnahmen getroffen wurden
• an wen Daten gegebenenfalls weitergegeben werden (etwa Verband, IT-Dienstleister, Behörden)

Das VVT dient als interne Dokumentation und bildet die Grundlage für einen strukturierten Umgang mit Daten. Es ist auf Verlangen der Datenschutzbehörde vorzulegen und sollte zumindest jährlich auf Aktualität geprüft werden.

Umgang mit sensiblen Daten

In Gemeinden werden regelmäßig besonders schützenswerte Daten im Sinne des Art. 9 DSGVO verarbeitet, insbesondere Daten über die religiöse Überzeugung. Solche Verarbeitungen sind nur unter den engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zulässig.

Daher ist insbesondere zu beachten:

• Zugriff nur für berechtigte Personen
• sorgfältiger Umgang bei Weitergabe
• besondere Zurückhaltung bei Veröffentlichung (z. B. Fotos)

Die Veröffentlichung personenbezogener Daten - insbesondere in digitalen Medien wie Webseite, Livestream oder Social Media - erfolgt nur auf Grundlage einer wirksamen Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a, Art. 7 DSGVO) oder einer anderen tragfähigen Rechtsgrundlage.

Technische und organisatorische Maßnahmen

Zum Schutz personenbezogener Daten werden geeignete Maßnahmen nach Art. 32 DSGVO getroffen, beispielsweise:

• geregelte Zugriffsrechte innerhalb der Gemeinde
• Absicherung von IT-Systemen (Passwörter, Zugriffsschutz)
• Datensicherungen (Backups)
• Schutz bei elektronischer Übertragung (z. B. verschlüsselte Verbindungen)
• Vereinbarungen mit Auftragsverarbeitern nach Art. 28 DSGVO (z. B. Cloud-Dienste, Newsletter-Anbieter, Buchhaltung)

Die konkrete Ausgestaltung richtet sich nach Größe und Struktur der jeweiligen Gemeinde.

Aufbewahrung und Löschung

Personenbezogene Daten werden nicht unbegrenzt gespeichert.

Dabei gelten insbesondere:

• gesetzliche Aufbewahrungsfristen (z. B. im Finanzbereich)
• Löschung nicht mehr benötigter Daten
• besondere Regelungen für Veröffentlichungen (z. B. Fotos auf Anfrage entfernen)

Rechte der betroffenen Personen

Personen, deren Daten verarbeitet werden, haben nach der DSGVO unter anderem folgende Rechte:

• Auskunft über die verarbeiteten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger Daten (Art. 16 DSGVO)
• Löschung der Daten (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Anfragen sind an die jeweilige Gemeinde als Verantwortliche zu richten. Zusätzlich besteht das Recht auf Beschwerde bei der österreichischen Datenschutzbehörde (Art. 77 DSGVO).

Vorgehen bei Datenpannen

Eine Verletzung des Schutzes personenbezogener Daten („Data Breach“) - etwa ein verlorener USB-Stick, ein versehentlicher Mailversand an den falschen Verteiler oder ein Hackerangriff - ist nach Art. 33 DSGVO innerhalb von 72 Stunden an die Datenschutzbehörde zu melden, sofern ein Risiko für die betroffenen Personen besteht.

Gemeinden des BPF werden gebeten, einen entsprechenden Vorfall umgehend - idealerweise innerhalb von 24 Stunden nach Bekanntwerden - an die zuständige Datenschutzreferentin bzw. den zuständigen Datenschutzreferenten oder direkt an den Datenschutzbeauftragten zu melden, damit die gesetzliche Frist gewahrt werden kann.

Weiterführende Informationen

Diese Seite stellt eine allgemeine Orientierung dar.

Für die konkrete Umsetzung stehen Gemeinden folgende Unterlagen zur Verfügung:

• Leitfaden zum Verzeichnis von Verarbeitungstätigkeiten
• Muster-VVT zur praktischen Anwendung
• ergänzende interne Richtlinien

Kontakt und Zuständigkeiten

Für weiterführende Fragen stehen die jeweiligen Ansprechpartner zur Verfügung:

Datenschutzreferenten der Verbände bzw. Regionen:

Afrikanischer Verband: Gospel Ogbonna ULELU, gospel.ulelu@fcgoe.at

Freie Christengemeinden Österreich (FCGÖ):

• Nord: Thomas HÜTTNER, thomas.huettner@fcgoe.at
• Ost: Chris SCHMITZER, chris.schmitzer@fcgoe.at
• Süd: Adela DIB, adela.dib@fcgoe.at
• West: Holger KUDLICH, holger.kudlich@fcgoe.at

LIFE Church Verband: Franz SCHNEEBERGER, datenschutz@lifechurch.at

Rumänischer Verband: Daniel Emanuel MOLDOVAN, daniel.moldovan@fcgoe.at

Datenschutzbeauftragter der Freikirchen in Österreich (FKÖ): Michael MRAK, datenschutz@freikirchen.at

Datenpanne melden

Bei Verdacht auf eine Datenpanne (z. B. Datenverlust, Fehlversand, Hackerangriff) bitte umgehend Kontakt aufnehmen mit der zuständigen Datenschutzreferentin bzw. dem zuständigen Datenschutzreferenten oder direkt mit datenschutz@freikirchen.at.

Nützliche Unterlagen

Für die Umsetzung datenschutzrechtlicher Anforderungen in Gemeinden stellt die Freikirchen in Österreich (FKÖ) zentrale Dokumente und Vorlagen zur Verfügung.

Diese Unterlagen dienen als praktische Unterstützung und können je nach Bedarf in der eigenen Gemeinde verwendet und angepasst werden.

Verfügbare Dokumente:

• FKÖ Datenschutzordnung
• FAQs Datenschutz in den Freikirchen in Österreich
• Muster Datenschutzerklärung für Gemeinden (derzeit in Überarbeitung)
• Muster Geheimhaltungserklärung
• Muster Verzeichnis für Verarbeitungstätigkeiten (derzeit in Überarbeitung)
• Leitfaden Verzeichnis für Verarbeitungstätigkeiten
• Leitfaden Social Media
• Leitfaden Videoüberwachung und Livestreaming
• FAQ zur EU-KI-Verordnung

Download und weitere Informationen:

https://freikirchen.at/datenschutz/

Hinweis

Diese Informationen dienen der allgemeinen Orientierung. Die konkrete Umsetzung erfolgt auf Basis der jeweils bereitgestellten Unterlagen sowie der individuellen Gegebenheiten der Gemeinde.

Weiterführende Antworten, Leitfäden und Mustervorlagen finden Gemeinden gebündelt im Informationsportal Datenschutz der FKÖ.