Grundsätzliches zu Daten und Datenschutz

Wie bereits seit Jahren gut vertraut, verstehen wir unter Daten alle Angaben über Personen, deren Identität damit bestimmt wird oder bestimmbar ist. Besonders geschützt sind dabei u. a. Angaben über die ethnische Herkunft oder die Zugehörigkeit zu einer Kirche; sie gelten als "sensible Daten". Bei der Erfassung und Verarbeitung, Speicherung, Verwendung und möglichen Weitergabe von Daten ist immer auf den Anspruch der Betroffenen auf einen korrekten Umgang zu achten, vor allem auf die Geheimhaltung. Ausnahmen bestehen z. B. bei Daten, die ohnehin öffentlich zugänglich sind. In unserer Arbeit beachten wir die gesetzlichen Verpflichtungen, die auch durch kirchliches Recht aufgetragen werden. 


Die Einhaltung dieser Verpflichtungen beginnt mit ganz konkreten Maßnahmen und einfachen Schritten, z. B. bei der Arbeit am Computer, wenn Sie Daten in der Pfarre oder der Verwaltung in der Erzdiözese erfassen und verwenden und auch für eine ordnungsgemäße Speicherung sorgen.

Dabei achten Sie darauf, diese Daten im Rahmen Ihrer Arbeit nicht anderen – unberechtigt – zugänglich zu machen, im Büro am Computer oder auch in direkten Gesprächen und Telefonaten.

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten zählt jede Information, die sich auf einen bestimmten identifizierten – oder zumindest identifizierbaren – Menschen bezieht, vor allem Name, Geburtsdatum, Personenstand, Religionsbekenntnis, Ausbildung, Beruf, Adresse, Telefonnummer, Einkommensverhältnisse … alle Angaben, die zu einem Bild einer bestimmten Person ergänzt werden können, wenn man sie verarbeitet, d. h. erfasst, speichert, nutzt, eventuell auch weitergibt. 

Besondere Kategorien personenbezogener Daten (bisher "sensible Daten")

Einige Angaben zur Person sind besonders geschützt, vor allem die religiöse oder weltanschauliche oder politische Überzeugung, aber auch eine Gewerkschaftszugehörigkeit, Gesundheitsdaten, Angaben zur sexuellen Orientierung, ethnische Herkunft und schließlich alle genetischen und biometrischen Daten, die zu einer eindeutigen Identifizierung einer bestimmten Person führen können. 

Diese Daten stehen nicht jedermann beliebig zur Verfügung, sie sind besonders zu schützen.

Als Mitarbeiter*in der kath. Kirche haben wir fast immer auch mit der Frage nach dem Religionsbekenntnis zu tun – daher mit besonders geschützten Daten! Auf die Wahrung der nötigen Vertraulichkeit ist besonders zu achten, darauf besteht ein Grundrecht.  

Was bedeutet das Grundrecht auf Datenschutz?

Das Grundrecht auf Datenschutz bedeutet die Geheimhaltung der personenbezogenen Daten, wenn (und soweit) ein schutzwürdiges Interesse besteht. Erfasst sind alle personenbezogenen Daten, wobei die Form der Erhebung und Speicherung keine Rolle spielt – Angaben in handschriftlich geführten Matrikenbüchern sind ebenso geschützt wie automationsunterstützt verarbeitete Mitgliederlisten, z. B. in Form von Excel-Dateien! Ausgenommen sind dagegen die privaten Aufzeichnungen, wie z. B. Ihre eigene private Telefonliste.

Sie müssen grundsätzlich davon ausgehen, dass in Ihrer Tätigkeit für kirchliche Organisationen mit Personen und deren Daten immer ein schutzwürdiges Interesse an der Geheimhaltung besteht. Ausnahmen: Ausgeschlossen ist dieses Schutzinteresse immer dann, wenn Daten ohnehin öffentlich zugänglich sind (z. B. im Firmenbuch oder Telefonbuch) oder aber anonymisiert wurden. 

Wenn ein schutzwürdiges Interesse anzunehmen ist, dann brauchen Sie für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage, wobei für unsere Arbeit in erster Linie die Einwilligung der des Betroffenen relevant ist: Wer zu Ihnen in die Pfarre kommt, um sich z. B. für eine Trauung anzumelden, wird Ihnen seine Daten geben, damit die Trauungsvorbereitung ordnungsgemäß erfolgen kann; wer eine Spende bringt, sich an der nächsten Pfarrwallfahrt beteiligen will, sein Kind zum Kinderchor anmeldet … alle Daten, die zur Abwicklung des gewünschten Zieles nötig sind, werden Ihnen dazu freiwillig, d. h. mit der klaren Einwilligung des Betroffenen gegeben, und diese Daten können Sie für dieses spezifisch benannte Ziel nutzen, speichern und verwenden.

Eine Rechtsgrundlage unabhängig von der ausdrücklichen Einwilligung des Betroffenen besteht z. B. auch, wenn ein berechtigtes Interesse des Verantwortlichen oder eines Dritten vorliegt – für den kirchlichen Bereich ist das beste Beispiel dafür die Videoüberwachung wegen häufiger Einbrüche oder Vandalenakte.

Was bedeutet die neue Informationspflicht?

Wenn Sie Daten erheben, müssen Sie Auskunft geben können, welche Angaben erfragt werden – zu beantworten mit W-Wörtern, vor allem den folgenden:

  • was zu welchem Zweck erfragt und gespeichert wird,
  • warum, d. h. mit welcher Rechtsgrundlage dies geschieht,
  • wer Auftraggeber (bzw. Organisationseinheit), Empfänger und jeweils Ansprechpartner ist, 
  • wie lange man gespeicherte Daten behalten wird, soweit dies zu bezeichnen ist; dass eine Einwilligung auch (mit Ausnahmen) →widerrufbar ist, schließlich noch,
  • an wen man sich mit möglichen Anliegen wie z. B. Berichtigung oder Löschung und auch mit Beschwerden wenden kann.
  • wie werden die Betroffenen informiert.


Werden z. B. für Newsletters oder andere Zwecke Daten online erhoben, dann brauchen Sie für die Einwilligung eine ausdrückliche Handlung, z. B. das Setzen eines Hakerls in einem Kästchen.

Die drei Formulare zu Art. 13 DSGVO zu Pastoral allgemein, Verträgen und Personalverwaltung finden Sie hier.

Was bedeutet das Auskunftsrecht der Betroffenen?

Bei der Erhebung von Daten besteht eine Informationspflicht – in der Folge wirkt dann das Auskunftsrecht der Betroffenen. Jeder hat das Recht, von den Verantwortlichen eine Auskunft darüber zu verlangen, ob bzw. welche Daten zu seiner Person verarbeitet werden. Wenn Daten erfasst sind, dann muss man diese Daten benennen und sensible Daten speziell bezeichnen, ebenso den Zweck der Verarbeitung, die Empfänger, denen sie offengelegt werden, dazu auch noch die Dauer der Datenspeicherung (oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer). Zusätzlich ist zu informieren, dass ein Recht auf Berichtigung oder Löschung und auf Einschränkung der Verarbeitung bzw. Widerspruch gegen die Verarbeitung besteht und dass es ein Beschwerderecht bei einer Aufsichtsbehörde gibt.

Sie dürfen diese Anfrage nicht selbst beantworten! Wenden Sie sich bitte unverzüglich an den/die Datenschutzzuständige/n Ihrer Einrichtung und an die Datenschutzreferentin der Erzdiözese Salzburg. 

Für die Beantwortung einer Datenschutz-Anfrage steht nun eine Frist von einem Monat ab Einlangen der Anfrage zur Verfügung, nur bei komplexen Anfragen ist eine Verlängerung der Frist möglich. Daher die Bitte: Bitte erstellen Sie bei einer Anfrage einen Aktenvermerk und leiten Sie die Anfrage dann möglichst bald weiter! Die Antwort wird mit Ihrer Mitarbeit erstellt werden.

Einen Handlungsleitfaden finden Sie hier.