.

Datenschutzgesetz

Vom 25. Mai 2018

ABl. Nr. 168/2017, 54/2018, 83/2018, 114/2019, 230/2019, 7/2020, 195/2021, 89/2022

Lfd.
Nr.
Änderndes Recht
Datum
Fundstelle
Geänderte
Paragrafen
Art der
Änderung
1
Verfügung mit einstweiliger Geltung
25. Mai 2018
ABl. Nr. 54/2018
§ 1
geändert
§ 3 Abs. 1, 2
geändert
§ 4 Abs. 3, S. 1
geändert
§ 5 Abs. 1
ergänzt
§ 6 Abs. 1, 4
geändert
§ 6 Abs. 5
eingefügt
§ 6 Abs. 6, 7
neu nummeriert
§ 6 Abs. 6, 7
geändert
§§ 7 - 10
eingefügt
§ 11
neu nummeriert
2
Genehmigung von Verfügungen mit einstweiliger Geltung
ABl. Nr. 83/2018
3
Verfügung mit einstweiliger Geltung
5. Juli 2019
ABl. Nr. 114/2019
§ 6 Abs. 4 S. 1
geändert
§ 7 Abs. 2 S. 2
geändert
§ 7 Abs. 5, 6
eingefügt
§ 8 Abs. 3 S. 4
eingefügt
4
Datenschutzgesetz - Novelle 2019
27. Dezember 2019
ABl. Nr. 230/2019
§ 4 Abs. 4
angefügt
5
Genehmigung von Verfügungen mit einstweiliger Geltung
ABl. Nr. 7/2020
6
Amtswegige Berichtigung zu ABl. Nr. 54/2018
ABl. Nr. 195/2021
§ 10 Abs. 1, 5
korrigiert
7
Datenschutzgesetz - 1. Novelle 2022
22. Juli 2022
ABl. Nr. 89/2022
§ 4 Abs. 4
geändert
###

Geltungsbereich

#

§ 1

( 1 ) Dieses Kirchengesetz regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, ergänzend zu den staatlichen und europarechtlichen Rechtsvorschriften, insbesondere der Verordnung (EU) 2016/679, ABl. (EU) L 119 v. 4. Mai 2016 (Datenschutz-Grundverordnung, DSGVO), für Rechtspersonen (Körperschaften) im Sinne der §§ 3 und 4 des Protestantengesetzes, BGBI. Nr. 182/1961idgF.
( 2 ) Körperschaften im Sinne des Abs. 1 sind jedenfalls die in Art. 13 Abs. 1 der Kirchenverfassung (KV) genannten Körperschaften.
( 3 ) Soferne aufgrund der strukturellen Besonderheit einer Körperschaft Erweiterungen oder Beschränkungen des Geltungsbereichs dieses Gesetzes geboten sind, wird dies durch Verordnung des zuständigen Oberkirchenrates mit Zustimmung der jeweiligen Rechts- und Verfassungsausschüsse festgestellt.
( 4 ) Alle Körperschaften gemäß Abs. 2 und 3 sind Verantwortliche im datenschutzrechtlichen Sinn, sofern nicht anders festgelegt.
( 5 ) Verordnungen aufgrund dieses Gesetzes werden vom zuständigen Oberkirchenrat mit Zustimmung der jeweiligen Rechts- und Verfassungsausschüsse erlassen.
( 6 ) Soweit in der Kirchenverfassung, diesem Kirchengesetz sowie anderen Kirchengesetzen, Regelungen zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten im Bereich der Evangelischen Kirche A.u.H.B., der Evangelischen Kirche A.B. und der Evangelischen Kirche H.B. samt deren Körperschaften (Art. 13 Abs. 1 KV) nicht getroffen werden, gelten die Datenschutz-Grundverordnung (DSGVO) sowie die staatlichen Datenschutzbestimmungen.
#

Aufgabe

#

§ 2

( 1 ) Aufgabe des Datenschutzes im kirchlichen Bereich ist es, personenbezogene Daten in Bezug auf ihre Verarbeitung in einem Dateisystem vor Missbrauch zu schützen.
( 2 ) Die besonderen Bestimmungen über den Schutz des Beicht- und Seelsorgegeheimnisses sowie über die Amtsverschwiegenheit gemäß Art. 12 KV gehen den Vorschriften dieses Kirchengesetzes vor.
#

Datenverarbeitung

#

§ 3

( 1 ) Die Körperschaften gemäß § 1 und ihre Mitarbeiter und Mitarbeiterinnen dürfen personenbezogene Daten ausschließlich zur Erfüllung ihrer und der ihnen übertragenen Aufgaben verarbeiten.
( 2 ) Die Übermittlung personenbezogener Daten zwischen den Körperschaften gemäß § 1 und an andere Personen sowie an staatliche Gerichte und Behörden, einschließlich Institutionen der Europäischen Union, ist nur nach Maßgabe der staatlichen und europarechtlichen Rechtsvorschriften zulässig. Ferner ist die Übermittlung personenbezogener Daten zwischen kirchlichen Körperschaften im Sinne des Art. 13 Abs. 1 Z. 1 bis 3 und 5 KV sowie der Evangelischen Jugend Österreich gemäß den, einen Bestandteil dieses Gesetzes bildenden Anlagen zulässig.
( 3 ) Für die Datenverarbeitung heranzuziehende Auftragsverarbeiter (Dienstleister) sind schriftlich zur Erfüllung ihrer datenschutzrechtlichen Vorschriften zu verpflichten.
#

Gewährleistung der Datensicherheit

#

§ 4

( 1 ) Alle datenschutzrechtlich Verantwortlichen haben Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten, nach Umfang und Zweck der Verwendung und unter Bedachtnahme auf den Stand der technischen Möglichkeiten sowie auf die wirtschaftliche Vertretbarkeit sicherzustellen, dass die Verwendung der Daten ordnungsgemäß erfolgt und dass die Daten Unbefugten nicht zur Kenntnis gelangen.
( 2 ) In diesem Sinne sind auch Maßnahmen zu treffen, die
  1. Unbefugten den Zugang zu Dateisystemen, mit denen personenbezogene Daten verarbeitet werden, verwehren (Zugangskontrolle),
  2. Personen, die bei der Verarbeitung personenbezogener Daten tätig sind, daran hindern, dass sie Datenträger unbefugt entfernen (Abgangskontrolle),
  3. die unbefugte Eingabe in das Dateisystem sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogener Daten verhindern (Dateisystemkontrolle),
  4. die Benutzung von Dateisystemen durch unbefugte Personen verhindern (Benutzerkontrolle),
  5. gewährleisten, dass die zur Benutzung eines Dateisystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können (Zugriffskontrolle),
  6. gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten übermittelt worden sind (Übermittlungskontrolle),
  7. gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Dateisysteme eingegeben worden sind (Eingabekontrolle),
  8. gewährleisten, dass personenbezogene Daten, die durch Auftragsverarbeiter verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  9. gewährleisten, dass bei der Übermittlung personenbezogener Daten sowie beim Transport entsprechender Datenträger diese ausschließlich in verschlüsselter Form erfolgt (Transportkontrolle),
  10. die Organisation des Dienstbetriebes so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). Insbesondere ist zu gewährleisten, dass nicht oder nicht mehr verwendete Ausdrucke personenbezogener Daten so vernichtet werden, dass Daten nicht mehr entnehmbar sind.
( 3 ) Wer im kirchlichen Bereich oder im Auftrag einer kirchlichen Körperschaft gemäß § 1, an welchem Ort immer, personenbezogene Daten verarbeitet, hat eine Verpflichtungserklärung über die Einhaltung der notwendigen Sicherungsmaßnahmen abzugeben; insbesondere dürfen Daten aus Datenverarbeitungen nur auf Grund von Anordnungen der zuständigen Verantwortlichen und gemäß § 3 Abs. 2 übermittelt werden. Das Datengeheimnis ist auch nach Beendigung der Tätigkeit oder des Auftrages zu wahren. Die Erklärung hat bei der zuständigen kirchlichen Stelle aufzuliegen. Näheres regelt eine Verordnung des Oberkirchenrates A.u.H.B., ein Muster der Verpflichtungserklärung ist im Amtsblatt zu veröffentlichen.
( 4 ) Das Kirchenamt A.B. kann zur Sicherstellung der Datensicherheit Körperschaften gemäß § 1 Abs. 2 und 3 sowie deren haupt-, neben- und ehrenamtlich Mitarbeitenden E-Mail-Adressen zur Verfügung stellen. Diese Adresse darf nicht privat genutzt werden und ist regelmäßig auf eingehende Nachrichten zu überprüfen. Für kircheninterne Nachrichten ist ausschließlich diese Adresse zu verwenden. Der Evangelische Oberkirchenrat A.u.H.B. regelt durch Verordnung nach Maßgabe der Verfügbarkeit und der technischen und finanziellen Möglichkeiten, welche Nutzergruppen eine E-Mail-Adresse erhalten.
#

Verwaltungsprogramm EGON

#

§ 5

( 1 ) Das Verwaltungsprogramm „Die Evangelischen Gemeindedaten Online“ (EGON) wird von der Evangelischen Kirche in Österreich betrieben und dient den in Art. 13 Abs. 1 Z. 1 bis 3 KV genannten Körperschaften sowie Gemeindeverbänden im Sinne des Art. 31 Abs. 6 KV zur elektronischen Verwaltung von Personendaten, zur Verwaltung der Mitgliedschaft in den Kirchen A.B., H.B. und deren Gemeinden, zur Verwaltung der diesbezüglichen Adressdaten, der Matriken und zur Kirchenbeitragseinhebung.
( 2 ) Datenschutzrechtlich Verantwortlicher für EGON im Sinne der DSGVO ist die Evangelische Kirche A.u.H.B. Die gemeinsame Nutzung von EGON stellt eine gemeinsame Verarbeitung im Sinne der DSGVO dar.
( 3 ) Die das Programm EGON anwendenden Stellen haben den Oberkirchenrat A.u.H.B. bei der Erfüllung der ihn nach datenschutzrechtlichen Vorschriften treffenden Pflichten zu unterstützen. Die Durchführungsregelungen, einschließlich der Regelung der gemeinsamen Verarbeitung (Corporate Policy), werden vom Oberkirchenrat A.u.H.B. mit Zustimmung der Rechts- und Verfassungsausschüsse in Form von Verordnungen erlassen. Im Verordnungswege ist insbesondere zu regeln, welche Maßnahmen der Oberkirchenrat A.u.H.B. zu ergreifen hat, wenn die Verordnungen nicht umgesetzt werden.
#

Datenschutzbeauftragte(r)

#

§ 6

( 1 ) Jede Körperschaft im Sinne des § 1 hat für ihre Verarbeitungen eine(n) Datenschutzbeauftragte(n) schriftlich zu bestellen. Die Bestellung gemeinsamer Datenschutzbeauftragter für mehrere Körperschaften ist zulässig, sofern die ordnungsgemäße Aufgabenerfüllung hinsichtlich aller beteiligten Körperschaften gesichert bleibt.
( 2 ) Ausgeschlossen von der Bestellung als Datenschutzbeauftragte(r) ist jedenfalls, wer einem Oberkirchenrat oder einem Superintendentialausschuss angehört. Wiederbestellung ist zulässig.
( 3 ) Der bzw. die Datenschutzbeauftragte unterliegt der Verschwiegenheitspflicht gemäß Art. 12 KV. Er bzw. sie ist in Ausübung dieses Amtes an Weisungen nicht gebunden.
( 4 ) Zu den Aufgaben des bzw. der Datenschutzbeauftragten zählt, festgestellte Verstöße gegen Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten, die voraussichtlich ein Risiko für den Schutz natürlicher Personen beinhalten, unverzüglich nach Bekanntwerden gegenüber der zuständigen kirchlichen Stelle zu beanstanden, sofern die zuständige kirchliche Stelle noch nicht davon in Kenntnis gesetzt wurde. Über diesbezügliche Wahrnehmungen hat er bzw. sie den kirchlichen Vertretungskörper, der ihn bzw. sie bestellt hat, im Rahmen eines Tätigkeitsberichts jährlich zu informieren. Alle kirchlichen Datenschutzbeauftragten haben regelmäßigen Erfahrungsaustausch, insbesondere in Hinblick auf die Gewährleistung eines einheitlichen Datenschutzstandards, zu pflegen und die Ergebnisse in den jeweiligen Jahresberichten mitzuteilen.
( 5 ) Die Datenschutzbeauftragten haben mit dem Datenschutzsenat (Art. 122 ff KV) zusammenzuarbeiten und dienen auch dem Datenschutzsenat als Anlaufstelle bezüglich der die Zusammenarbeit betreffenden Fragen einschließlich Konsultationen gemäß Art. 36 DSGVO und zur Beratung von sonstigen Fragen des Datenschutzes.
( 6 ) Die Körperschaften im Sinne des § 1 sind verpflichtet, die Datenschutzbeauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Ihnen ist Auskunft auf alle Fragen sowie Einsicht in alle Unterlagen und Akten über die Verarbeitung personenbezogener Daten zu geben, insbesondere in die gespeicherten Daten und in die Datenverarbeitungsprogramme; ihnen ist jederzeit Zutritt zu allen Diensträumen zu gewähren.
( 7 ) Steht der/die Datenschutzbeauftragte in einem Dienstverhältnis zur Evangelischen Kirche A.B. oder H.B. oder A.u.H.B. in Österreich oder einer Superintendenz A.B., einer Gemeinde, einem selbstständigen Gemeindeverband oder zur Evangelischen Jugend Österreich, kann die Kündigung dieses Dienstverhältnisses seitens des kirchlichen Dienstgebers nur mit Zustimmung des Schlichtungsausschusses gemäß der Ordnung der Vertretung der Mitarbeiter und Mitarbeiterinnen 2016 ausgesprochen werden.
#

Informationspflicht und Einwilligung zur Verarbeitung personenbezogener Daten

#

§ 7

( 1 ) Soferne dies kirchenrechtliche Vorschriften nicht anders anordnen, ist die betroffene Person bei der erstmaligen Erhebung der sie betreffenden Daten von jener kirchlichen Körperschaft zu informieren, die diese Daten erhebt.
( 2 ) Bei Verletzung des Schutzes personenbezogener Daten ist unter den Voraussetzungen des Art. 34 DSGVO von der zuständigen Körperschaft bzw. dem Verantwortlichen die betreffende Person von der Verletzung unverzüglich zu benachrichtigen. Unabhängig davon hat jede Körperschaft gemäß § 1 Abs. 1 im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem Risiko für natürliche Personen führt, den Datenschutzsenat unverzüglich, längstens jedoch binnen 72 Stunden schriftlich zu informieren, durchschriftlich den Oberkirchenrat A.u.H.B.
( 3 ) Die Erklärung einer Person bzw. der obsorgeberechtigten Eltern für minderjährige Kinder, einzutreten oder eine Amtshandlung vornehmen zu lassen sowie die Bereitschaft, an Amtshandlungen mitzuwirken (als z.B. Paten oder Trauzeugen), beinhaltet die Zustimmungserklärung zur Verarbeitung der entsprechenden Daten im Matrikenprogramm EGON gemäß den datenschutzrechtlichen Bestimmungen und gemäß der Matrikenordnung 2009.
( 4 ) Die Erklärung, als ehrenamtliche/r Mitarbeiter/Mitarbeiterin im Bereich der in § 1 genannten Körperschaften sowie auch die Erklärung, für ein kirchliches Amt zu kandidieren und im Falle der Wahl/Bestellung dieses Amt anzunehmen, beinhaltet die Zustimmungserklärung zur elektronischen Verarbeitung der personenbezogenen Daten, dies auch unter Berücksichtigung der Anlagen gemäß § 3 Abs. 2.
( 5 ) Im Einklang mit dem österreichischen Datenschutzgesetz und der Religionsmündigkeit können mündige Minderjährige ab Vollendung des 14. Lebensjahrs der Verarbeitung personenbezogener Daten bei Angeboten von Diensten der Informationsgesellschaft selbst einwilligen und ab diesem Zeitpunkt ihre Datenschutzrechte ausüben.
( 6 ) Auch vor Erreichen der Religionsmündigkeit ist die Einwilligung in eine Datenverarbeitung durch die Obsorgeberechtigten bei Seelsorge nicht erforderlich, insbesondere, wenn sie elektronisch angeboten wird.
#

Auskunftsrecht, Recht auf Berichtigung und Löschung

#

§ 8

( 1 ) Jede Person, die von der Erhebung ihrer personenbezogenen Daten informiert ist oder bei der eine Erhebung personenbezogener Daten bei einer in § 1 genannten Körperschaft sehr wahrscheinlich ist, kann bei der zuständigen Körperschaft (§ 1) eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Im Zweifel ist die zuständige Körperschaft jene Pfarr- bzw. Teilgemeinde, der die betroffene Person angehört oder die erstmals die Daten verarbeitete. Ist die zuständige Körperschaft für die betroffene Person nicht feststellbar, kann die Anfrage an das Kirchenamt A.B. gerichtet werden, welches diese Anfrage an die zuständige Körperschaft weiterzuleiten hat.
( 2 ) Betroffene Personen, deren personenbezogene Daten von einer Körperschaft gemäß § 1 verarbeitet werden, können nach Maßgabe der Art. 16 ff DSGVO sowie kirchenrechtlicher Vorschriften von der nach den kirchenrechtlichen Vorschriften zuständigen Körperschaft die Berichtigung sie betreffender unrichtiger personenbezogener Daten und/oder die Löschung sie betreffender personenbezogener Daten schriftlich begehren. Ist für die antragstellende Person die zuständige kirchliche Körperschaft nicht leicht feststellbar, können diese Anträge im Kirchenamt A.B. eingereicht werden, welche sie dann an die zuständige kirchliche Körperschaft weiterzuleiten hat.
( 3 ) Die zuständige kirchliche Körperschaft gemäß § 1 hat das Auskunftsbegehren bzw. die Anträge auf Berichtigung oder Löschung binnen einem Monat nach Einlangen bei ihr zu erledigen. Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter der Berücksichtigung der Komplexität und der Anzahl von sonstigen Anträgen bei der Körperschaft erforderlich ist. Im letztgenannten Fall ist die betroffene antragstellende Person innerhalb eines Monats nach Einlangen des Antrages von der Fristverlängerung elektronisch oder schriftlich zu verständigen. Kirchliche Stellen dürfen den Obsorgeberechtigten keine Auskunft über die Inanspruchnahme oder den Inhalt von Seelsorge an Minderjährigen geben (seelsorgerliche Verschwiegenheit).
( 4 ) Bei Anträgen auf Berichtigung und/oder Löschung von personenbezogenen Daten hat die zuständige Körperschaft die betroffene Person formlos von ihrer Erledigung schriftlich zu informieren. Ist die betroffene Person mit dem Inhalt der Erledigung nicht einverstanden, hat sie das Recht, sich binnen einem Monat nach Verständigung mittels schriftlich eingereichtem, begründetem Antrag an den Datenschutzsenat zu wenden, der darüber ein entsprechendes Verfahren mit Untersuchungen einzuleiten und über diesen Antrag mit Bescheid zu entscheiden hat. Gleiches gilt, wenn innerhalb der im Abs. 3 festgesetzten Frist keine Erledigung durch die zuständige Körperschaft gemäß § 1 bzw. den Verantwortlichen erfolgt.
( 5 ) Von Bescheiden des Datenschutzsenates in den Fällen des Abs. 4 sind auch Abschriften an den Oberkirchenrat A.u.H.B. zuzustellen, der allenfalls im Rahmen seines Aufsichtsrechtes weitere Veranlassungen, sei es direkt oder an andere kirchliche Organe, treffen kann.
#

Datenschutzsenat

#

§ 9

( 1 ) Der Datenschutzsenat (Art. 122 ff KV) hat seinen Sitz im Kirchenamt A.B. in Wien.
( 2 ) Die Ersatzmitglieder vertreten das jeweilige Mitglied des Datenschutzsenates bei Verhinderung oder Ausscheiden aus dem Amt.
( 3 ) Der Datenschutzsenat entscheidet bei Anwesenheit aller seiner Mitglieder. In dringenden Fällen kann eine Entscheidung auch durch Umlaufbeschluss, der in der nächsten Sitzung zu bestätigen ist, herbeigeführt werden.
( 4 ) Der Datenschutzsenat gibt sich eine im Amtsblatt kundzumachende Geschäftsordnung, in der die Erledigung einzelner Verfahrensschritte, nicht jedoch die Entscheidung in der Sache selbst, einem seiner Mitglieder übertragen werden kann.
( 5 ) Soweit in der Geschäftsordnung keine eigenen Regelungen enthalten sind, gilt der erste Teil der Verfahrensordnung (KVO) sinngemäß.
( 6 ) Dem Datenschutzsenat sind zur Durchführung seiner Aufgaben die notwendige Infrastruktur des Kirchenamtes A.B. sowie eine angemessene Zahl von Dienstnehmer/innen zur Verfügung zu stellen, wobei in Angelegenheiten des Datenschutzsenates nur Mitglieder des Datenschutzsenates gegenüber den Dienstnehmer/innen in fachlicher Hinsicht weisungsbefugt sind.
( 7 ) Für die Aufwendungen des Datenschutzsenates ist eine angemessene budgetäre Vorsorge zu treffen.
#

§ 10

(1) Für Anträge gemäß § 8 gelten die Bestimmungen der Verfahrensordnung (KVO) sinngemäß. Über die entsprechenden Anträge hat der Datenschutzsenat mittels Bescheid in der Sache selbst zu entscheiden.
(2) Der Datenschutzsenat hat bei Sachverhaltsbekanntgaben (Anzeigen, Beschwerden) über Verletzungen im Bereich des Datenschutzes oder von amtswegen Untersuchungen durchzuführen (Art. 124 Abs. 4 KV). Diesbezüglich ist den Mitgliedern (Ersatzmitgliedern) des Datenschutzsenates Zutritt zu allen Räumlichkeiten der Körperschaften gemäß § 1 zu gewähren.
(3) Der Datenschutzsenat kann gegenüber Körperschaften gemäß § 1 Bescheide erlassen, um den Datenschutz im Sinne dieses Kirchengesetzes zu gewährleisten. Eine Ausfertigung des Bescheides ist dem Oberkirchenrat A.u.H.B. (soferne dieser nicht Bescheidadressat selbst ist) abschriftlich zur Verfügung zu stellen, damit dieser allenfalls nötige Maßnahmen, aber auch die Einleitung von Disziplinarverfahren gegen Amtsträger veranlassen kann. Gegen solche Bescheide kann binnen vier Wochen Beschwerde an den Revisionssenat vom Bescheidadressat erhoben werden. Darüber hinaus können aus Anlass solcher Untersuchungen Berichte (außerhalb des jährlichen Berichtes an die Generalsynode) an die Oberkirchenräte sowie das Präsidium der Generalsynode weiter geleitet werden, wobei das Präsidium der Generalsynode mit diesem Bericht die Kontrollausschüsse A.B. und H.B. in gemeinsamer Sitzung (Art. 113 KV) zu befassen hat.
(4) Der Datenschutzsenat hat über seine Tätigkeit jährlich der Generalsynode schriftlich zu berichten (Art. 124 Abs. 6 KV). Nach Beschlussfassung der Generalsynode ist der Bericht des Datenschutzsenates im Amtsblatt kundzumachen.
(5) Entscheidet der Datenschutzsenat über Anträge gemäß § 8 nicht innerhalb von sechs Monaten ab Antragstellung mittels Bescheid, kann die antragstellende Person eine Säumnisbeschwerde gemäß Art. 119 Abs. 1 Z. 10 KV beim Revisionssenat einbringen, wenn die Verzögerung bei der Bescheiderlassung nicht auf ein überwiegendes Verschulden des Datenschutzsenates zurückzuführen ist. Der Revisionssenat hat dem Datenschutzsenat bei Verletzung der Entscheidungsfrist eine Nachfrist in der Dauer von maximal vier Monaten zu gewähren. Nach erfolglosem Verstreichen dieser Nachfrist geht die Zuständigkeit zur Entscheidung über diese Anträge in der Sache selbst auf den Revisionssenat über.
(6) Bei Verstößen gegen kirchliches Datenschutzrecht kann der Datenschutzsenat unbeschadet aller sonstigen Rechtsfolgen aus der Datenschutzverletzung gegen die kirchlichen Körperschaften (§ 1) Geldbußen bis höchstens EUR 20.000 verhängen. Die Höhe der Geldbuße richtet sich nach dem Grad des Verschuldens und nach den Folgen des Verstoßes.
#

Inkrafttreten und Übergangsbestimmungen

#

§ 11

( 1 ) Dieses Gesetz tritt mit 25. Mai 2018 in Kraft. Die Datenschutzordnung, zuletzt geändert mit ABI. Nr. 7/2015, sowie die darauf beruhenden Verordnungen treten mit Ablauf des 24. Mai 2018 außer Kraft.
( 2 ) Verordnungen auf Grund dieses Gesetzes können bereits vor dem 25. Mai 2018 erlassen werden, sie treten aber nicht vor diesem Zeitpunkt in Kraft, es sei denn, sie sind für das Vorbereiten der neuen Rechtslage unerlässlich und stehen zur bisherigen Gesetzeslage nicht in Widerspruch.
( 3 ) Verletzungen der Datenschutzordnung, die bis 25. Mai 2018 noch nicht anhängig gemacht wurden, sind nach der Rechtslage ab dem 25. Mai 2018 zu beurteilen. Am 25. Mai 2018 anhängige Disziplinarverfahren sind mit der Maßgabe fortzuführen, dass § 9 der Datenschutzordnung nicht mehr anzuwenden ist.
( 4 ) Die datenschutzrechtlich Verantwortlichen haben sicherzustellen, dass die Verträge mit Auftragsverarbeitern mit Wirkung ab 25. Mai 2018 den Erfordernissen des § 3 Abs. 3 dieses Gesetzes und den allenfalls gemäß Abs. 2 erlassenen Verordnungen entsprechen.
( 5 ) Die Bestellung des/der Datenschutzbeauftragten muss mit Wirkung ab 25. Mai 2018 erfolgt sein.
#

Anlagen gemäß § 3 Abs. 2 Datenschutzgesetz:

###

Anlage 1
Übermittlung von Personendaten in der Evangelischen Kirche A.B.

Anlage 1:
Übermittlung von Personendaten in der Evangelischen Kirche A.B.
ausgenommen Matrikendaten gemäß Anlage 3
von an
Gemeinde
Gemeindeverband
Superintendenz
Gesamtgemeinde
Gemeinde
JA
JA
JA
JA
Gemeindeverband
JA
JA
JA
JA
Superintendenz
JA
JA
JA
JA
Gesamtgemeinde
JA
JA
JA
---
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 2
Übermittlung von Daten von Amtsträgern in der Evangelischen Kirche A.B.

Anlage 2:
Übermittlung von Daten von Amtsträgern in der Evangelischen Kirche A.B.
von an
Gemeinde
Gemeindeverband
Superintendenz
Gesamtgemeinde
Gemeinde
JA
JA
JA
JA
Gemeindeverband
JA
JA
JA
JA
Superintendenz
JA
JA
JA
JA
Gesamtgemeinde
JA
JA
JA
---
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 3
Übermittlung von Matrikendaten in der Evangelischen Kirche A.B.

Anlage 3:
Übermittlung von Matrikendaten in der Evangelischen Kirche A.B.
von an
Gemeinde
Gemeindeverband
Superintendenz
Gesamtgemeinde
Gemeinde
JA
JA
JA
JA
Gemeindeverband
JA
JA
JA
JA
Superintendenz
JA
JA
JA
JA
Gesamtgemeinde
JA
JA
JA
---
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 4
Übermittlung von Kirchenbeitragsdaten in der Evangelischen Kirche A.B.

Anlage 4:
Übermittlung von Kirchenbeitragsdaten in der Evangelischen Kirche A.B.
von an
Gemeinde
KBO-Gemeindeverband
Superintendenz
Gesamtgemeinde
Gemeinde
JA
JA
JA
NEIN (JA)
KBO-Gemeindeverband
JA
JA
JA
NEIN (JA)
Superintendenz
JA
JA
NEIN
NEIN (JA)
Gesamtgemeinde
JA
JA
NEIN
---
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 5
Übermittlung von Personendaten in der Evangelischen Kirche H.B.

Anlage 5:
Übermittlung von Personendaten in der Evangelischen Kirche H.B.
ausgenommen Matrikendaten gemäß Anlage 7
von an
Gemeinde
Gemeindeverband
Gesamtgemeinde
Gemeinde
JA
NEIN
NEIN (JA)
Gemeindeverband
NEIN
NEIN
NEIN
Gesamtgemeinde
JA
NEIN
---
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 6
Übermittlung von Daten von Amtsträgern in der Evangelischen Kirche H.B.

Anlage 6:
Übermittlung von Daten von Amtsträgern in der Evangelischen Kirche H.B.
von an
Gemeinde
Gemeindeverband
Gesamtgemeinde
Gemeinde
JA
JA
JA
Gemeindeverband
JA
JA
JA
Gesamtgemeinde
JA
NEIN
---
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 7
Übermittlung von Matrikendaten in der Evangelischen Kirche H.B.

Anlage 7:
Übermittlung von Matrikendaten in der Evangelischen Kirche H.B.
von an
Gemeinde
Gemeindeverband
Gesamtgemeinde
Gemeinde
JA
NEIN
NEIN (JA)
Gemeindeverband
NEIN
NEIN
NEIN
Gesamtgemeinde
NEIN (JA)
NEIN
---
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 8
Übermittlung von Kirchenbeitragsdaten in der Evangelischen Kirche H.B.

Anlage 8:
Übermittlung von Kirchenbeitragsdaten in der Evangelischen Kirche H.B.
ausgenommen Matrikendaten gemäß Anlage 3
von an
Gemeinde
Gemeindeverband
Gesamtgemeinde
Gemeinde
JA
NEIN
NEIN (JA)
Gemeindeverband
NEIN
NEIN
NEIN
Gesamtgemeinde
NEIN
NEIN
---
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 9 a
Übermittlung von Personendaten zwischen der
Evangelischen Kirche A.B., H.B., A.u.H.B.

Anlage 9 a:
Übermittlung von Personendaten zwischen der Evangelischen Kirche A.B., H.B., A.u.H.B.
Von an
Gemeinde A.B.
Gemeindeverband A.B.
Gemeinde H.B.
Gesamtgemeinde H.B.
Kirche A.u.H.B.
Gemeinde A.B.
JA
Gemeindeverband A.B.
JA
Gemeinde H.B.
JA
JA
Gesamtgemeinde H.B.
Kirche A.u.H.B.
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 9 b
Übermittlung von Amtsträgerdaten zwischen der
Evangelischen Kirche A.B., H.B., A.u.H.B.

Anlage 9 b:
Übermittlung von Amtsträgerdaten zwischen der Evangelischen Kirche A.B., H.B., A.u.H.B.
Von an
Gemeinde A.B.
Gemeindeverband A.B.
Gemeinde H.B.
Gesamtgemeinde H.B.
Kirche A.u.H.B.
Gemeinde A.B.
Gemeindeverband A.B.
Gesamtgemeinde A.B.
JA
Gemeinde H.B.
Gesamtgemeinde H.B.
JA
Kirche A.u.H.B.
JA
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 9 c
Übermittlung von Matrikendaten zwischen der Evangelischen Kirche A.B., H.B., A.u.H.B.

Anlage 9 c:
Übermittlung von Matrikendaten zwischen der Evangelischen Kirche A.B., H.B., A.u.H.B.
Von an
Gemeinde A.B.
Gemeindeverband A.B.
Gemeinde H.B.
Gesamtgemeinde H.B.
Kirche A.u.H.B.
Gemeinde A.B.
JA
Gemeindeverband A.B.
Gemeinde H.B.
JA
Gesamtgemeinde H.B.
Kirche A.u.H.B.
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
###

Anlage 9 d
Übermittlung von Kirchenbeitragsdaten zwischen der Evangelischen Kirche A.B., H.B., A.u.H.B.

Anlage 9 d:
Übermittlung von Kirchenbeitragsdaten zwischen der Evangelischen Kirche A.B., H.B., A.u.H.B.
Von an
Gemeinde A.B.
Gemeindeverband A.B.
Gemeinde H.B.
Gesamtgemeinde H.B.
Kirche A.u.H.B.
Gemeinde A.B.
JA
Gemeindeverband A.B.
JA
Gemeinde H.B.
JA
JA
Gesamtgemeinde H.B.
Kirche A.u.H.B.
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.
#

Anlage 10
Übermittlung von Jugendmitarbeiter- und Jugendfreizeitteilnehmerdaten zwischen der Evangelischen Kirche A.B., H.B., A.u.H.B. und den Gliederungen der Evangelischen Jugend Österreich

Anlage 10:
Übermittlung von Jugendmitarbeiter- und Jugendfreizeitteilnehmerdaten zwischen der Evangelischen Kirche A.B., H.B., A.u.H.B. und den Gliederungen der Evangelischen Jugend Österreich
Von an
Diözesane Jugend A.B.
Jugend H.B.
Burg
EJÖ
Gemeinde A.B.
JA
NEIN
JA
JA
Gemeinde H.B.
NEIN
JA
JA
JA
Gemeindeverband A.B.
JA
NEIN
JA
JA
Gemeindeverband H.B.
NEIN
JA
JA
JA
Superintendenz A.B.
JA
NEIN
JA
JA
Gesamtgemeinde H.B.
NEIN
JA
JA
JA
Kirche A.B.
JA
NEIN
JA
JA
Kirche A.u.H.B.
JA
JA
JA
JA
Diözesane Jugend A.B.
NEIN (JA)
JA
JA
Jugend H.B.
NEIN (JA)
JA
JA
Burg
JA
JA
JA
EJÖ
JA
JA
JA
Legende:
JA
Datenübermittlung zulässig
NEIN
Datenübermittlung nicht zulässig
NEIN (JA)
Datenübermittlung nur zulässig auf Grund kirchenrechtlicher Vorschriften oder nach Beschluss des zuständigen Gremiums.