.

Verordnung über die Verwendung des Verwaltungsprogramms „Die Evangelischen Gemeindedaten Online“ (EGON)

(EGON-Verordnung – EGON-VO)

ABl. Nr. 55/2018, 229/2018

####

Präambel

„Die Evangelischen Gemeindedaten Online“ (EGON) dient zur elektronischen Verwaltung von Personendaten, zur Verwaltung der Mitgliedschaft in den Kirchen A.B. und H.B. und deren Gemeinden, zur Verwaltung der diesbezüglichen Adressdaten und Kontaktinformationen, der Matriken und zur Kirchenbeitragseinhebung. EGON ist eine serverbasierte Datenbank zur gemeinsamen Datenverarbeitung über eine Client-Server-Lösung. Die Evangelische Kirche A.u.H.B. ist im Sinne der DSGVO in Bezug auf EGON Entwicklerin, Betreiberin und Verarbeitungsverantwortliche. Es liegt eine gemeinsame Verarbeitung der in § 1 Abs. 1 genannten Körperschaften im Sinne der DSGVO vor.
#

§ 1
Anwendungsbereich

( 1 ) Diese Verordnung gilt für die Evangelische Kirche A.u.H.B. als Verarbeitungsverantwortliche und für alle kirchlichen Stellen, die als Mitverarbeiter das Verwaltungsprogramm „Die Evangelischen Gemeindedaten Online“ (EGON) nutzen. Zu diesen zählen:
  • die Evangelische Kirche A.B. in Österreich
  • die Evangelische Kirche H.B. in Österreich
  • die Superintendenzen
  • Gemeindeverbände mit eigener Rechtspersönlichkeit gemäß Art. 31 Abs. 6 KV, sofern sie selbst EGON nutzen
  • Pfarrgemeinden, inklusive Tochter- und Muttergemeinden
  • Personalgemeinden gemäß Art. 25 KV.
( 2 ) Diese Verordnung führt §§ 3 und 5 Datenschutzgesetz näher aus. Sie befreit nicht von anderen rechtlichen Verpflichtungen in Zusammenhang mit dem Datenschutz. Es gelten die Bestimmungen der Matrikenordnung und des staatlichen Personenstandsgesetzes ohne Einschränkungen weiter, ebenso die Mitgliedschaftsordnung und die Kirchenbeitrags- und Finanzausgleichsordnung (KbFaO) und die zu ihr ergangenen Verordnungen.
( 3 ) Diese Verordnung gilt grundsätzlich nur für die Verarbeitung in EGON. Darüber hinaus ist der Export von Adress- und Kontaktdaten aus EGON von der gemeinsamen Verarbeitung ausnahmsweise umfasst, wenn die Daten
  • ausschließlich für eigene Aussendungen oder zur Kontaktaufnahme im Rahmen einmaliger Besuchs- oder Informationsmaßnahmen verwendet werden,
  • keine Informationen über besondere Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO enthalten
  • und nicht als eigenständige Datenquelle weitergepflegt, sondern nach Aussendung oder Abschluss der Maßnahme umgehend datenschutzkonform gelöscht werden.
( 4 ) Außerdem sind zum Zweck der Kirchenbeitragseinhebung die Erstellung aus EGON und Verwendung von folgenden Listen und Schriftstücken von der gemeinsamen Verarbeitung erfasst, wenn sie nicht als eigenständige Datenquellen weitergepflegt, sondern nach Verwendung umgehend gelöscht werden: die Vorschlags-, Selbsteinstufer-, Mahnvorschlags-, Rechtsanwalts-, Differenz- und Erstzahlerliste sowie die KB-Bescheiddruck-Freigabe, das KB-Vorschreibungsprotokoll, die offenen Posten, der Mahnungsdruck, das Mahnungsprotokoll, die Berufsgruppen-Schätzhilfe und die Erstzahlerdifferenz.
( 5 ) Daten, die den Vorgaben von Abs. 3 und 4 nicht entsprechen, sowie alle anderen Verarbeitungen außerhalb von EGON fallen in die alleinige Verantwortung der jeweiligen Verarbeiter. Das gilt insbesondere für vor dem 25. Mai 2018 aus EGON exportierte Daten. Eine eigene Verarbeitung von Daten, die das religiöse Bekenntnis oder besondere Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO enthält, kann die Verpflichtung, eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen, nach Maßgabe der österreichischen, staatlichen Verordnungen auslösen.
#

§ 2
Verantwortliche

( 1 ) Verarbeitungsverantwortlicher für EGON ist die Evangelische Kirche A.u.H.B., vertreten durch den Evangelischen Oberkirchenrat A.u.H.B. Als Mitverarbeiter sind zudem alle EGON-verwendenden Stellen für die gemeinsame Verarbeitung verantwortlich. Sofern von Tochter- bzw. Muttergemeinden selbst EGON genutzt wird, sind diese für ihren Bereich als Mitverarbeiter verantwortlich, ansonsten sind im Falle von Teilgemeinden die Pfarrgemeinden verantwortlich.
( 2 ) Die konkrete Verantwortung für die Mitverarbeitung liegt bei den nach der Kirchenverfassung leitenden Organen, das sind insbesondere die Presbyterien für die Gemeinden und die Superintendentialausschüsse für die Superintendenzen.
( 3 ) Alle EGON-verwendenden Stellen haben zur Wahrnehmung ihrer Verantwortung einen Datenverarbeitungsverantwortlichen oder eine Datenverarbeitungsverantwortliche sowie einen Stellvertreter oder eine Stellvertreterin zu ernennen und einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte gemäß Art. 37 DSGVO zu bestellen. Ferner haben sie ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen. Dem Oberkirchenrat A.u.H.B. sind die bestellten Personen zu melden und es ist ihm zu bestätigen, dass ein Verzeichnis der Verarbeitungstätigkeiten erstellt wurde. Diese Meldung kann auf dem Postweg oder an die E-Mailadresse DSMeldung@okr-evang.at erfolgen. Übergeordnete Stellen sind parallel zu informieren, Pfarrgemeinden A.B. haben den Superintendenten oder die Superintendentin zu verständigen und Pfarrgemeinden H.B. den Oberkirchenrat H.B.
#

§ 3
Erlaubte Verwendung

EGON darf zur Verarbeitung personenbezogener Daten ausschließlich zu folgenden Zwecken verwendet werden:
  • Verwaltung von Personendaten und Kontaktinformationen inklusive der Verwaltung von kirchlichen Funktionen, der Übertragung von Aufgaben an Haupt- oder Ehrenamtliche und von Gruppenleitern und sonstigen Aufgaben;
  • Verwaltung von Familienbeziehungen;
  • Verwaltung von Gemeinde- und Mitgliedschaftsbeziehungen;
  • Verwaltung von Urkunden und Führung der Matriken;
  • Ermittlung und Einhebung des Kirchenbeitrages inklusive Vorschreibungsdruck und -versand durch einen Auftragsverarbeiter sowie Meldedatenabgleich;
  • Meldung von Kirchenbeiträgen gemäß Sonderausgaben-DÜV, BGBl. Nr. 289/2016, an die Finanzbehörden;
  • Verwaltung von Merkmalen zur Bildung von Verteilern und Personengruppen zur Organisation kirchlichen Lebens und zum Zweck der Kommunikation, Koordination, Information und Bewerbung von eigenen Veranstaltungen, Aktivitäten, Kreisen und Projekten.
#

§ 4
Zugangsregelung

( 1 ) Die Einrichtung und Verwaltung von Benutzerzugängen und die Vergabe von Benutzerrechten erfolgt durch das Kirchenamt A.B. Es werden ausschließlich individuelle, personenbezogene und befristete Zugänge eingerichtet.
( 2 ) Voraussetzungen für die Erteilung eines persönlichen Benutzerzuganges sind:
  1. Ein Ansuchen an die E-Mailadresse EGONBenutzer@okr-evang.at mit definierten Benutzerrechten auf Basis eines Beschlusses des für den Mitverarbeiter verantwortlichen Gremiums. Im Falle einer Pfarrgemeinde ist ein Beschluss des Presbyteriums erforderlich;
  2. ein Identitätsnachweis in Form einer aktuellen Ausweiskopie;
  3. die Ursprungsnummer des Benutzers oder der Benutzerin, sofern vorhanden;
  4. ein persönliches, zugangsgeschütztes E-Mail-Konto;
  5. eine unterzeichnete, aktuelle Datenschutzerklärung;
  6. eine unterzeichnete EGON-Verpflichtungserklärung.
( 3 ) Für Benutzerzugänge, die vor dem 25. Mai 2018 eingerichtet wurden, sind die in Abs. 2 genannten Voraussetzungen bis zum 30. August 2018 zu erbringen. Widrigenfalls können Zugänge beschränkt oder gesperrt werden.
#

§ 5
Notwendige Ausbildung der Nutzer

( 1 ) Personen, deren Benutzerzugänge vor dem 25. Mai 2018 eingerichtet wurden, müssen über jene Kenntnisse verfügen, die es ihnen ermöglichen, die ihnen über die gewährten Nutzerrechte zugänglichen Daten rechtskonform zu handhaben.
( 2 ) Neue Benutzer erhalten zunächst einen vorläufigen Benutzerzugang. Sie dürfen erst nach einer mindestens halbtägigen Einführung durch einen landeskirchlichen Kirchenbeitragsbeauftragten oder von diesem benannte(n) Mitarbeiter oder Mitarbeiterin des Kirchenamtes A.B. auf EGON zugreifen. Ausnahmsweise kann mit Zustimmung eines landeskirchlichen Kirchenbeitragsbeauftragten diese Anforderung entfallen, wenn eine Einschulung und laufende Betreuung durch einen erfahrenen EGON-Benutzer oder eine erfahrene EGON-Benutzerin sichergestellt ist.
( 3 ) Für den Erwerb eines befristeten Benutzerzugangs ist innerhalb von acht Monaten eine insgesamt viertägige Schulung zu absolvieren. Diese Schulung wird regelmäßig in ausreichender Anzahl österreichweit von landeskirchlichen Kirchenbeitragsbeauftragten oder von diesen benannten Mitarbeitern oder Mitarbeiterinnen des Kirchenamtes A.B. angeboten. Wird die Schulung nicht rechtzeitig absolviert, wird der vorläufige Benutzerzugang gesperrt. In Ausnahmefällen kann bei Vorliegen schwerwiegender Gründe durch einen landeskirchlichen Kirchenbeitragsbeauftragten eine Fristverlängerung gewährt werden. Im Falle einer besonderen persönlichen Eignung – z.B. absolvierte Ausbildung zum/zur betrieblichen Datenschutzbeauftragten – können durch einen landeskirchlichen Kirchenbeitragsbeauftragten einzelne Schulungsteile erlassen werden.
( 4 ) Für bestimmte Nutzergruppen, wie zum Beispiel Matrikenführer, können Benutzerzugänge mit eingeschränkten Rechten eingerichtet werden. Für den Erwerb eines solchen unbefristeten Zugangs können inhaltlich eingeschränkte, kürzere Schulungen absolviert werden.
( 5 ) Über die erfolgreiche Teilnahme an einer Schulung erhalten Benutzer und Benutzerinnen eine Bestätigung, die ausweist, für welche Verarbeitungen Kompetenzen erworben wurden. Der Schulungsleiter bzw. die Schulungsleiterin entscheidet, ob die Voraussetzungen hierfür erfüllt wurden.
#

§ 6
Aufsicht

( 1 ) Die Mitglieder der Superintendentialausschüsse und die Kirchenbeitragsreferenten und -referentinnen der Superintendenzen sind verpflichtet, im Rahmen ihres örtlichen und sachlichen Zuständigkeitsbereichs die Einhaltung der rechtlichen Vorgaben für die Nutzung von EGON zu überwachen und zu überprüfen.
( 2 ) Die landeskirchlichen Kirchenbeitragsbeauftragten und EGON-Administratoren sind berechtigt, die Einhaltung der rechtlichen Vorgaben in Bezug auf die Nutzung von EGON durch jeden Nutzer und jede Nutzerin jederzeit zu überprüfen.
( 3 ) Der Superintendent oder die Superintendentin hat sich im Zuge einer Visitation gemäß Art. 67 KV genaue Kenntnis über die Einhaltung der rechtlichen Vorgaben für die Nutzung von EGON zu verschaffen.
( 4 ) Alle zur Aufsicht Berufenen sind verpflichtet, auf Mängel hinzuweisen und deren Behebung zu veranlassen. Bei gravierenden Verstößen haben sie umgehend die Sperrung des Benutzerzuganges selbst vorzunehmen oder zu veranlassen. Im letzteren Fall sind hierzu der EGON-Administrator oder die -Administratorin im Kirchenamt oder ein landeskirchlicher Kirchenbeitragsbeauftragter telefonisch oder über die E-Mailadresse DSAlarm@okr-evang.at zu verständigen. Zur Aufsicht Berufene und der oder die Datenschutzbeauftragte der Kirche A.u.H.B., sind befugt, bei Gefahr in Verzug auch nur im Falle des Verdachts eines gravierenden Verstoßes Benutzerzugänge umgehend selbst einzuschränken oder zu sperren. Sie haben erforderlichenfalls dem Superintendentialausschuss oder dem zuständigen Oberkirchenrat Auflagen gemäß Abs. 5 vorzuschlagen.
( 5 ) Der Superintendentialausschuss oder der zuständigen Oberkirchenrat können unter Setzung einer angemessenen Frist Auflagen für die Aufrechterhaltung oder Wiedererteilung von Benutzerzugängen oder bestimmten Nutzerrechten beschließen. Diese Auflagen können beispielsweise konkrete administrative Maßnahmen oder die Absolvierung einer Schulungsmaßnahme umfassen. Bei fristgerechter Erfüllung der Auflagen wird auf Antrag des Nutzers oder der Nutzerin die Beschränkung der Nutzerrechte oder die Sperre des Zugangs wieder aufgehoben.
( 6 ) Dem oder der Datenschutzbeauftragten der Evangelischen Kirche A.u.H.B. obliegt laut Art. 39 DSGVO die Beratung, Unterrichtung und Überwachung in Angelegenheiten des Datenschutzes. Die Evangelische Kirche A.u.H.B. sowie die Mitverarbeiter haben ihn oder sie bei der Erfüllung seiner oder ihrer Aufgaben zu unterstützen, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen.
#

§ 7
Benutzersperre durch Mitverarbeiter

Das für die Verarbeitung verantwortliche Gremium eines Mitverarbeiters hat umgehend die Sperre eines Benutzerzuganges zu veranlassen, wenn der Benutzer oder die Benutzerin
  • die Aufgaben nicht mehr wahrnimmt, für die der Zugang erforderlich war
  • oder wesentlich gegen die Vorgaben zur Nutzung von EGON verstößt.
Hierzu sind der EGON-Administrator oder die -Administratorin im Kirchenamt oder die landeskirchlichen Kirchenbeitragsbeauftragten telefonisch oder über die E-Mailadresse DSAlarm@okr-evang.at zu verständigen.
#

§ 8
Zugangsdaten

( 1 ) Das persönliche Passwort muss aus mindestens sieben Zeichen bestehen, darunter mindestens ein Buchstabe, eine Ziffer und ein Sonderzeichen. Der Benutzername, der eigene Name oder Teile derselben dürfen nicht enthalten sein.
( 2 ) Das Passwort ist regelmäßig nach den Vorgaben des Kirchenamtes A.B. zu ändern, widrigenfalls ein Zugriff verwehrt werden kann.
( 3 ) Die Weitergabe, ungeschützte Aufbewahrung oder gemeinsame Nutzung von Zugangsdaten gelten als wesentlicher Verstoß und führen zum sofortigen Entzug des Benutzerzuganges.
#

§ 9
Physischer Zugang

( 1 ) Es ist durch organisatorische Maßnahmen sicherzustellen, dass Unbefugte keinen Zugang zu Systemen und Geräten haben, auf denen EGON genutzt wird. Räume mit Standgeräten, an denen EGON genutzt wird, sind in Abwesenheit der befugten Nutzer zu versperren, und der Zugang zu diesen Räumen ist vor Ort zu regeln. Bildschirme sind so zu positionieren, dass Unbefugte keinen Einblick nehmen können. Davon abweichend sind private Räumlichkeiten, in denen sich Geräte befinden, auf denen zulässigerweise EGON verwendet wird, entsprechend den örtlichen Möglichkeiten zu versperren. Jedenfalls ist sicherzustellen, dass Unbefugte das Passwort für den Zugriff auf EGON nicht einsehen können und die Bildschirmsperre aktiviert ist.
( 2 ) Mobile Geräte (z.B. Laptop, Tablet, Smartphone), auf denen EGON genutzt werden kann, sind bei Nichtverwendung zu versperren. Sie sind möglichst verschlossen und nicht sichtbar zu transportieren. Sie dürfen nicht sichtbar in einem parkenden Auto zurückgelassen werden. Werden sie außerhalb der Diensträume verwendet, ist eine automatische Sperre in Verbindung mit einem Passwort zur Reaktivierung vorzusehen und soweit möglich ein Kensington-Schloss zu verwenden. Bluetooth und W-LAN sind nur bei Bedarf zu aktivieren. Verbindungen mit unbekannten Netzen, offenen W-LAN-Netzwerken und Hotspots sind nicht gestattet. Bei der Verwendung von mobilen Geräten sind geeignete Maßnahmen zu treffen, damit Unbefugte den Bildschirm nicht einsehen können (Wegdrehen des Gerätes, dunkler Bildschirm, Verwendung einer Sichtschutzfolie etc.).
( 3 ) Externe Datenträger und Unterlagen mit personenbezogenen Daten sind zu versperren bzw. verschlüsseln und so zu transportieren, dass sie vor fremden Zugriff geschützt sind.
#

§ 10
Betriebssystem, Virenschutz und Software

( 1 ) Als Betriebssystem ist mindestens Windows Vista zu verwenden. Es wird eine aktuellere Version, wie zum Beispiel Windows 10, empfohlen.
( 2 ) Als Internetbrowser sind Microsoft Edge oder Internet Explorer zu verwenden. Ein PDF-Reader und ein Office-Paket müssen installiert sein.
( 3 ) Für einen ausreichenden Schutz vor Computerviren und sonstiger Schadsoftware ist Sorge zu tragen. Es muss mindestens Windows Defender verwendet werden.
( 4 ) Das verwendete Betriebssystem und die erforderliche Software müssen aktuell gehalten werden, indem die aktuellen Sicherheitsupdates laufend eingespielt werden.
#

§ 11
Zugriffssteuerung

Systeme und Geräte, auf denen EGON verwendet wird, müssen über eine kennwortgeschützte Zugriffssteuerung verfügen. Hierbei ist mindestens der Windows Standard einzuhalten. Für jeden Benutzer ist ein eigener Zugang vorzusehen. Für private Geräte in privaten Räumlichkeiten ist ein eigener Benutzer anzulegen, den nur der oder die EGON-Zugriffsberechtigte aktivieren kann. Kennwörter sind sicher zu verwahren.
#

§ 12
Verschlüsselung

( 1 ) Dateien können auf Standgeräten, die den Vorgaben von § 11 entsprechen und entsprechend § 9 Abs. 1 betrieben werden, unverschlüsselt gespeichert werden. Auf mobilen Endgeräten, die den Vorgaben von § 11 entsprechen, können Dateien unverschlüsselt gespeichert werden, wenn alle lokalen Laufwerke verschlüsselt sind oder die Dateien auf verschlüsselten Partitionen gespeichert werden. Sonst müssen die Dateien selbst dem Stand der Technik entsprechend verschlüsselt werden. Auf unverschlüsselten Partitionen mobiler Endgeräte ist nur die Speicherung verschlüsselter Dateien zulässig.
( 2 ) Auf externen Datenträgern wie USB-Sticks, CDs, DVDs oder externen Festplatten dürfen Dateien nur unverschlüsselt gespeichert werden, wenn der gesamte Datenträger oder die Partitionen, in denen gespeichert wird, verschlüsselt sind. Ansonsten sind die Dateien selbst zu verschlüsseln.
( 3 ) Die Übermittlung personenbezogener Daten darf laut § 4 Abs. 2 Z 9 Datenschutzgesetz nur in verschlüsselter Form erfolgen und ist nur über Verbindungen und Protokolle zulässig, die den Anforderungen der DSGVO entsprechen.
#

§ 13
Rechte der betroffenen Personen

( 1 ) In EGON erfasste Personen haben grundsätzlich gemäß Art. 12 bis 23 DSGVO ein Recht auf Information über die Aufnahme in die Verarbeitung, Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, Datenübertragbarkeit und auf Widerspruch.
( 2 ) In Bezug auf Matriken gelten diese Rechte nur nach Maßgabe der kirchlichen Matrikenordnung und insbesondere in Bezug auf Altmatriken nur nach Maßgabe der Bestimmungen des staatlichen Personenstandsgesetzes.
#

§ 14
Information der von der Verarbeitung betroffenen Personen

( 1 ) Das Kirchenamt A.B. stellt den Text zur Information der von der Verarbeitung in EGON betroffenen Personen zur Verfügung und veröffentlicht ihn.
( 2 ) Die Informationen nach Abs. 1 sind durch alle Mitverarbeiter auszuhängen. Für Teil- und Pfarrgemeinden hat dies in der Pfarrkanzlei zu erfolgen. Unterhält ein Mitverarbeiter eine Homepage, muss ein Hinweis auf diese Informationen dort abrufbar sein. Werden durch einen Mitverarbeiter regelmäßig in elektronischer Form oder als Druckwerk Mitteilungen versandt, zum Beispiel in Form von Newslettern, Pfarrbriefen oder Mitteilungen der Superintendenz, ist ein Hinweis auf die Informationen laut Abs. 1 bis zum 30. August 2018 mindestens einmal dort wiederzugeben. Es ist besonders darauf zu achten, dass auch jene Mitglieder erreicht werden, die zwar konfirmiert sind, denen aber (noch) kein Kirchenbeitrag vorgeschrieben wird. Wird den Anforderungen dieses Absatzes Rechnung getragen, gelten alle betroffenen Personen, die zum 25. Mai 2018 als Mitglieder geführt werden, als hinreichend informiert.
( 3 ) Zusätzlich zu Abs. 2 sind vor dem 25. Mai 2018 in EGON durch Mitverarbeiter verarbeitete Personen bis 30. Juni 2018 durch das Kirchenamt schriftlich darauf hinzuweisen, dass und von welchem Mitverarbeiter ihre Daten in EGON verwaltet werden und darauf, wo sie die Informationen laut Abs. 1 einsehen können, sofern sie zu folgenden Personengruppen zählen:
  • Matrikengäste, die nicht Mitglieder der Evangelischen Kirche in Österreich sind,
  • in der Matrikenverwaltung verwaltete Personen, die nicht in den Matrikenbüchern aufscheinen, sofern sie keine Mitglieder der Evangelischen Kirche in Österreich sind,
  • Angehörige, die nicht Mitglieder der Evangelischen Kirche sind und in EGON verwaltet werden,
  • Gäste, die nicht Mitglieder der Evangelischen Kirche sind und in EGON verwaltet werden.
( 4 ) Personen, die nach dem 25. Mai 2018 neu in EGON erfasst werden oder einem neuen Mitverarbeiter zugeordnet werden, sind gemäß Art. 13 und 14 DSGVO darüber und über ihre damit verbundenen Rechte zu informieren. Hierzu genügt ein Hinweis darauf, wo die Informationen laut Abs. 1 eingesehen oder bezogen werden können. Es ist darauf hinzuweisen, dass in Folge über Änderungen nicht laufend informiert wird, die aktuell gültigen Informationen aber am angegebenen Ort öffentlich einsehbar sind. Werden die Daten bei der betroffenen Person selbst erhoben, z.B. im Rahmen eines Eintrittsgesprächs, in Vorbereitung von Kasualien oder in Zusammenhang mit der Kirchenbeitragseinhebung, hat die Information im Zuge der Erhebung zu erfolgen. Werden die Daten nicht bei der betroffenen Person selbst erhoben und verfügt die betroffene Person nicht bereits durch den Bekanntgebenden über diese Informationen, so sind die Informationen innerhalb eines Monats an die betroffene Person zu richten. Das Datum der Erstinformation und der Informationsweg sind in EGON zu erfassen.
#

§ 15
Recht auf Auskunft

( 1 ) Betroffene Personen haben ein Recht auf eine Bestätigung darüber, dass sie betreffende personenbezogene Daten in EGON verarbeitet werden. Diese Bestätigung kann von den Mitverarbeitern erteilt werden. Antragsteller haben ihre Identität in geeigneter Weise nachzuweisen, sofern sie nicht bekannt sind.
( 2 ) Personen, von denen in EGON Daten verarbeitet werden, haben ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Art. 15 DSGVO genannten Informationen. Das Auskunftsbegehren ist auf dem Postweg an den Evangelischen Oberkirchenrat A.u.H.B. oder an die E-Mailadresse DSAuskunft@okr-evang.at zu richten. Die Identität muss zweifelsfrei entweder durch eine aktuelle Ausweiskopie oder ein elektronisches Identitätsprüfungsverfahren belegt sein. Mitverarbeiter haben betroffene Personen entweder an den Evangelischen Oberkirchenrat A.u.H.B. zu verweisen oder das Auskunftsbegehren unverzüglich an diesen weiterzuleiten. Die Erledigung erfolgt durch das Kirchenamt A.B. Auskünfte in Papierform sind an die vom Betroffenen angegebene Adresse, in Ermangelung dieser an die hinterlegte Adresse für den Versand der Kirchenbeitragsvorschreibung zuzustellen.
( 3 ) Betroffene Personen haben laut Art. 15 Abs. 3 DSGVO Anspruch auf eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind. Für weitere Kopien, die die betroffene Person beantragt, kann ein angemessenes Entgelt auf Basis der Verwaltungskosten verlangt werden. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
#

§ 16
Recht auf Berichtigung

( 1 ) Betroffene Personen haben das Recht, vom zuständigen Mitverarbeiter unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ebenso kann eine in EGON erfasste Person unter Berücksichtigung der Zwecke der Verarbeitung der sie betreffenden Daten die Vervollständigung unvollständiger personenbezogener Daten verlangen.
( 2 ) Können Daten nicht durch den zuständigen Mitverarbeiter selbst berichtigt oder ergänzt werden, ist mit dem Kirchenamt A.B. die Zuständigkeit zu klären. Kann vom Mitverarbeiter nicht beurteilt werden, ob Daten zu berichtigen sind, ist mit dem Kirchenamt Rücksprache zu halten. Kommt es hierdurch zu einer wesentlichen Verzögerung der Bearbeitung, ist die betroffene Person durch den Mitverarbeiter zu informieren.
#

§ 17
Recht auf Löschung

( 1 ) Folgende Daten werden durch das zuständige Pfarramt oder die sonst zuständige matrikenführende Stelle auf Antrag der betroffenen Person gelöscht:
  1. Angehörigendaten in der Matrikenverwaltung, die in den Matrikenbüchern nicht aufscheinen, wie zum Beispiel Daten von Angehörigen in Zusammenhang mit Todesfällen;
  2. Kontaktdaten von Mitgliedern, wie zum Beispiel bestimmte private oder dienstliche Telefonnummern oder E-Mailadressen. Der Hauptwohnsitz und nicht geheime Telefonnummern sind ausgenommen;
  3. Postanschriften außer dem Hauptwohnsitz und sonstige Kontaktdaten von Nichtmitgliedern;
  4. Eltern-Kind-Beziehungen, wenn die Voraussetzungen für den Kinderabsetzbetrag im Zuge der Kirchenbeitragsvorschreibung nicht gegeben sind, dieses Recht kann das Kind ab Vollendung des 14. Lebensjahres selbst ausüben und den Antrag stellen;
  5. gemeindeinterne Funktionen, wie Leiter von Gruppen oder Arbeitskreisen, ausgenommen gewählte Funktionen wie Gemeindevertreter oder Presbyterinnen;
  6. sonstige Anmerkungen zur Person ohne Relevanz für die Kirchenbeitragsvorschreibung.
( 2 ) Folgende Daten werden durch das Kirchenamt A.B. gelöscht oder anonymisiert:
  1. Zur Wahrung von gesetzlichen Aufbewahrungs- und Verjährungsfristen nach zehn Jahren, Daten, die für die Vorschreibung des Kirchenbeitrags verwendet wurden, außer es ist ein gerichtliches oder verwaltungsbehördliches Verfahren anhängig. In diesem Fall hat die am Verfahren beteiligte kirchliche Stelle einen Sperrvermerk vorzunehmen oder zu veranlassen.
  2. Auf Antrag der betroffenen Person Stammdatensätze und Informationen zum religiösen Bekenntnis von ehemaligen Mitgliedern, wenn sie zur Dokumentation von Kirchenbeitragsvorschreibungen gemäß Z. 1 nicht mehr notwendig sind.
  3. Auf Antrag der betroffenen Person Stammdatensätze und Daten über ehemalige Mitgliedschaftsbeziehungen von Nichtmitgliedern und Ausgetretenen, wenn bereits alle Kirchenbeitragsdaten gelöscht/anonymisiert wurden und keine Forderungen mehr offen sind und keine gerichtlichen oder verwaltungsbehördlichen Verfahren anhängig sind, für die diese Daten relevant sind.
  4. Auf Antrag Beziehungen zu ehemaligen Ehegatten, Lebensgefährten und eingetragenen Partnern, außer es liegen offene Kirchenbeitragsforderungen vor, oder es ist eine gerichtliches oder verwaltungsbehördliches Verfahren anhängig, auf die bzw. das die Beziehung einen Einfluss hat oder haben könnte.
( 3 ) Folgende Daten werden nicht gelöscht oder anonymisiert:
  1. Stammdatensätze inklusive akademischer Titel aufrechter Mitglieder;
  2. Daten in Matrikenbüchern, es sei denn, es besteht eine Pflicht zur Löschung laut Matrikenordnung oder Personenstandsgesetz;
  3. kirchliche Funktionen aufgrund einer Wahl oder Bestellung.
( 4 ) Ist ein Begehren auf Löschung seinem Inhalt oder Umfang nach unklar, ist die beantragende Person um Klarstellung zu ersuchen. Sie ist im Zuge dessen über ihre Rechte nach der DSGVO und dieser Verordnung zu informieren. Es ist insbesondere darauf hinzuweisen, dass zunächst auch nur eine Auskunft nach § 15 verlangt werden könnte.
#

§ 18
Bearbeitungsfristen und Verständigung

( 1 ) Ansuchen gemäß §§ 15 bis 17 sind gemäß § 8 Abs. 3 Datenschutzgesetz binnen einem Monat nach Einlangen zu erledigen. Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter der Berücksichtigung der Komplexität und der Anzahl von sonstigen Anträgen erforderlich ist. Der Antragsteller oder die Antragstellerin ist innerhalb eines Monats nach Einlangen des Antrages von der Fristverlängerung elektronisch oder schriftlich zu verständigen.
( 2 ) Die betroffene Person ist über die Erledigung von Anträgen auf Berichtigung oder Löschung formlos schriftlich zu informieren.
#

§ 19
Untersagung von Zusendungen

( 1 ) Mitglieder können der Teil- und Pfarrgemeinde, der sie angehören, die Zusendung von Informationen über das kirchliche Leben, über dessen Finanzierung und Organisation, sowie Informationen über kirchennahe Veranstaltungen und Tätigkeiten nicht untersagen. Dasselbe gilt für einen Verband, die Superintendenz und die Kirche, dem oder der die Gemeinde eines Mitglieds angehört. Nicht untersagt werden können zudem Zusendungen der Kirche A.u.H.B. sowie von kirchlichen Werken, wenn zu diesen eine Mitgliedschaftsbeziehung besteht und dieses Werk vom Anwendungsbereich des kirchlichen Datenschutzgesetzes und dieser Verordnung erfasst ist.
( 2 ) Mitglieder können anderen als den in Abs. 1 genannten Gemeinden, Verbänden, Superintendenzen und Werken sowie der Kirche, der ihre Pfarrgemeinde nicht angehört, die Nutzung Ihrer Kontaktdaten zum Zweck der Zusendung von Informationen über das kirchliche Leben untersagen. Solche Untersagungen sind in EGON bei der Person zentral zu vermerken. Bei Neuanlage einer Beziehung zu einer Person macht EGON auf vermerkte Untersagungen aufmerksam, diese sind zu respektieren. Untersagungen werden unwirksam, sofern die Voraussetzungen aufgrund einer Änderung der Mitgliedschaftsbeziehungen wegfallen.
( 3 ) Betroffene Personen können die Nutzung einzelner Kommunikationswege untersagen. Zum Beispiel kann verlangt werden, dass Zusendungen nicht mehr an eine bestimmte Post oder E-Mailadresse erfolgen dürfen, oder nur mehr auf dem Postweg. Abs. 1 bleibt hiervon unberührt. Eine Löschung von Kontaktinformationen ist nach den Vorgaben von § 17 Abs. 2 Z. 2 und 3 möglich. Das Begehren der betroffenen Person ist in EGON zu vermerken. Sofern die Verwendung nur einer bestimmten Adresse untersagt wird, ist diese zu löschen und kann der Vermerk entfallen.
( 4 ) Personen, die keine Mitglieder sind, können Zusendungen untersagen. Ausgenommen sind persönliche Anschreiben aufgrund von zum Beispiel offenen Kirchenbeitragsforderungen, Geschäftsbeziehungen oder einem ehemaligen oder aktuellen Dienstverhältnis.
( 5 ) Die Regelungen des § 18 gelten nicht für eigene Verarbeitungen der Mitverarbeiter, sondern nur für eine Verarbeitung in EGON. Mitverarbeiter haben für eigene Verarbeitungen selbst Regelungen vorzusehen, diese sollten den obigen Bestimmungen entsprechen.
#

§ 20
Weitergabe von Daten an Dritte

( 1 ) Personenbezogene Daten aus EGON dürfen nur auf Anordnung der zuständigen Verantwortlichen und unter Einhaltung von § 3 Abs. 2 Datenschutzgesetz übermittelt werden, insbesondere hat die Übermittlung verschlüsselt zu erfolgen.
( 2 ) Die Übermittlung personenbezogener Daten zwischen kirchlichen Körperschaften darf nur nach Maßgabe der DSGVO und des staatlichen und kirchlichen Datenschutzgesetzes erfolgen. Die Zulässigkeit einer Weitergabe von Daten zwischen kirchlichen Gliederungen ist den Anlagen in Tabellenform zum Datenschutzgesetz zu entnehmen.
#

§ 21
Datenweitergabe an Auftragsverarbeiter (Dienstleister)

( 1 ) Werden personenbezogene Daten im Sinne von § 1 Abs. 3 aus EGON exportiert und an einen Dienstleister übermittelt, ist dieser schriftlich zur Einhaltung der Datenschutzvorschriften zu verpflichten. Die Datenweitergabe darf nur unter Einhaltung der Bestimmungen des § 20 erfolgen.
( 2 ) Es ist zu gewährleisten, dass personenbezogene Daten vom Dienstleister nur entsprechend den Weisungen des Auftraggebers und zum vorgegebenen Zweck verarbeitet werden und unbeschadet allfälliger gesetzlicher Aufbewahrungsfristen nach Verarbeitung gelöscht oder anonymisiert werden.
#

§ 22
Melde- und Mitteilungspflichten

( 1 ) Verletzungen des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für den Schutz und die Freiheiten der betroffenen Personen bilden, sind durch den oder die Datenverarbeitungsverantwortlichen oder dessen bzw. deren Stellvertreter oder Stellvertreterin oder hierzu befugte Mitarbeiter und Mitarbeiterinnen des Kirchenamtes A.B. unverzüglich, möglichst jedoch binnen 72 Stunden, nachdem ihnen die Verletzung bekannt wurde, dem Datenschutzsenat zu melden. Diese Meldepflicht gilt nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen. Die Meldung hat inhaltlich den Anforderungen von Art. 33 DSGVO zu entsprechen.
( 2 ) Von einer Verletzung betroffene Personen sind durch den oder die Datenverarbeitungsverantwortlichen oder dessen bzw. deren Stellvertreter oder Stellvertreterin oder hierzu befugte Mitarbeiter und Mitarbeiterinnen des Kirchenamtes A.B. nach Maßgabe von Art. 34 DSGVO zu verständigen.
( 3 ) Der oder die Datenschutzbeauftragte der Kirche A.u.H.B. sowie betroffene Mitverarbeiter sind über eine Meldung nach Abs. 1 möglichst umgehend zu informieren.
( 4 ) Wird einem Mitverarbeiter oder einer zur Aufsicht berufenen Stelle eine Datenschutzverletzung iSd Art. 33 DSGVO, oder die Einleitung eines Verfahrens, oder eine Aufforderung zur Bekanntgabe durch die staatliche Datenschutzbehörde oder den kirchlichen Datenschutzsenat bekannt, hat er oder sie umgehend telefonisch den oder die Datenverarbeitungsverantwortlichen oder dessen bzw. deren Stellvertreter oder Stellvertreterin oder die hierfür bekanntgegebenen Mitarbeiter des Kirchenamtes A.B. zu informieren. Es sind zusätzlich umgehend schriftlich an die E-Mailadresse DSAlarm@okr-evang.at mindestens die in Art. 33 Abs. 3 DSGVO genannten Angaben bekannt zu geben.
( 5 ) Erwächst der Kirche A.u.H.B. als Verarbeitungsverantwortliche ein Schaden aus einer nicht gerechtfertigt verzögerten Meldung, kann sie sich am verantwortlichen Mitverarbeiter schad- und klaglos halten.
( 6 ) Wird ein EGON-Nutzer oder eine Nutzerin auf Risiken für die Sicherheit von personenbezogenen Daten durch eine Verarbeitung mittels EGON aufmerksam, die er oder sie nicht selbst abstellen kann, hat er oder sie das verantwortliche Leitungsgremium zu informieren. Kann auch dieses das Risiko, zum Beispiel durch organisatorische Maßnahmen vor Ort, nicht ausräumen oder hinreichend minimieren, ist das Kirchenamt A.B. zu verständigen. Der oder die Datenschutzbeauftragte der Kirche A.u.H.B. kann beratend beigezogen werden.
( 7 ) EGON-Nutzer und Nutzerinnen sollen Vorschläge für die Verbesserung der Sicherheit von personenbezogenen Daten an die verantwortlichen Leitungsgremien oder den Oberkirchenrat A.u.H.B. herantragen. Derartige Vorschläge sind in Behandlung zu nehmen.
#

§ 23
Schlussbestimmungen

( 1 ) Diese Verordnung tritt mit 25. Mai 2018 in Kraft.
( 2 ) Änderungen dieser Verordnung bedürfen laut § 5 Abs. 3 Datenschutzgesetz der Zustimmung der Rechts- und Verfassungsausschüsse.