Information zum Inkrafttreten der EU-Datenschutzgrundverordnung (V4)

Hinweis

Diese Seite wird laufend aktualisiert und ergänzt, um den Letztstand der Informationen und Vorgehensweisen zur Verfügung stellen zu können.

Die Verarbeitung personenbezogener Daten (mit oder ohne Hilfe der Informationstechnologie) unterliegt – auch im Feuerwehrwesen – dem Grundrecht auf Datenschutz. Die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), EU-ABl. 2016 L119/1, ist am 25.05.2016 in Kraft getreten und ab 25.05.2018 unmittelbar anzuwendendes Recht. Neben dem Verordnungstext sind auch die Erwägungen (d.h. die erläuternden Bemerkungen zur DSGVO) zu beachten. Die DSGVO ist zwar unmittelbar anwendbares EU-Recht, sie enthält jedoch Regelungsspielräume, die die Möglichkeit zu materienspezifischen Datenschutzregelungen durch den jeweils zuständigen Gesetzgeber (Bund oder Land im Rahmen ihrer jeweiligen Kompetenz) eröffnen.

Das bisher umfassend anzuwendende Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, bleibt – neben der DSGVO – weiterhin anwendbar. Es wurde in letzter Zeit jedoch mehrfach novelliert durch:

  • das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017,
  • das Datenschutz-Deregulierungs-Gesetz 2018, BGBl. I Nr. 24/2018, und
  • die Änderungen des Datenschutzgesetzes, BGBl. I Nr. 23/2018 und 14/2019.

Die Novellierungen unter BGBl. I Nr. 23 und 24/2018 sind – gleichzeitig mit der DSGVO – am 25.05.2018 in Kraft getreten.

Feuerwehrspezifische Sonderregelungen in Gesetzesform wären durch den jeweiligen Materiengesetzgeber zu erlassen. Beispielsweise wird im Burgenland dzt. in Zusammenarbeit zwischen der Landesregierung und dem Landesfeuerwehrverband ein neues Feuerwehrgesetz („Bgld. FwG 2019“) ausgearbeitet, in dem auch ein datenschutzrechtlicher Teil enthalten sein wird. Dieses Gesetz soll das derzeit geltende Bgld. FWG 1994 ablösen.

1. Wesentliche Regelungsinhalte der DSGVO und damit verbundene Neuerungen (im Überblick)

  • Das neue Datenschutzrecht betrifft nur noch (lebende) natürliche Personen, nicht mehr juristische Personen (Art. 1 Abs. 1 DSGVO). Betroffen sind nur Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Z 1 DSGVO).
  • Datenschutzrechtliche Grundsätze (Art. 5 Abs. 1 DSGVO): z.B.
    • Rechtmäßigkeit, Treu und Glauben sowie Transparenz bei der Datenverarbeitung (Rechtsgrundlagen für die Feuerwehr: insb. Art. 6 Abs. 1 lit. c und e DSGVO + nationales Recht)
    • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
    • Datenminimierung: nur die unmittelbar notwendigen Daten dürfen verarbeitet werden (v.a. für Gesundheitsdaten bedeutend).
    • Integrität und Vertraulichkeit: Datensicherheit (technische und organisatorische Maßnahmen), kein Zugriff durch Unbefugte.
  • Besondere Regelungen bestehen für „besondere Kategorien personenbezogener Daten“ (bisher „sensible Daten“), z.B. Gesundheitsdaten (siehe Art. 4 Z 15; Art. 9 Abs. 2 lit. b+h und Abs. 3 DSGVO; Erwägung 35)
  • Datenschutzrechtlicher Verantwortlicher (Art. 4 Z 7, Art. 5 Abs. 2 DSGVO, bisher „Auftraggeber“): weiterhin zentrale Bezugsperson („natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“). Für den Bereich der Feuerwehr sind das – je nach Zuständigkeit – die Verwaltungsbehörden (Bürgermeister, Bezirksverwaltungsbehörde, Landesregierung), die Feuerwehren und die Feuerwehrverbände.
  • Die Feuerwehrverbände sind auch Auftragsverarbeiter (Art. 4 Z 8 DSGVO) für die Feuerwehren.
  • Die Meldepflichten beim Datenverarbeitungsregister entfallen. Anstelle dessen bestehen künftig verstärkte interne Dokumentationspflichten: Verpflichtung des Verantwortlichen (d.h. aller Einrichtungen der öffentlichen Verwaltung) zur selbständigen Führung eines Verfahrensverzeichnisses (Art. 30 DSGVO), in dem alle Datenverarbeitungen aufzulisten und zu beschreiben sind.
  • Datenschutzbeauftragter (DSB, Art. 37-39 DSGVO, § 5 DSG 2000 idF DSAnpG 2018):
    • Benennung durch jeden datenschutzrechtlichen Verantwortlichen (Art. 37 Abs. 1 lit. a DSGVO) oder für mehrere Verantwortliche gemeinsam (Art. 37 Abs. 2 DSGVO)
    • Besondere Qualifikation (Datenschutzrecht und -praxis, Art. 37 Abs. 5 DSGVO)
    • weisungsfrei, wegen Auftragserfüllung nicht absetzbar, unmittelbar der höchsten Führungsebene unterstellt (Art. 38 Abs. 3 DSGVO, § 5 Abs. 3 DSG idF DSAnpG 2018)
    • Mischverwendung zulässig, aber Interessenkonflikte hintanhalten (Art. 38 Abs. 6 DSGVO)
    • Schnittstelle zur Datenschutzbehörde (Art. 39 Abs. 1 lit. d und e DSGVO).

2. Konkreter Handlungsbedarf

Die in der Verbänden eingeführten IT-Systeme (insb. SYBOS, FDISK) sind auf Vereinbarkeit mit dem Datenschutzrecht, insb. der DSGVO, zu überprüfen und anzupassen. Sie dürfen nur unter Beachtung der datenschutzrechtlichen Regelungen betrieben und weiterentwickelt werden. Die Entwicklung neuer Anwendungen hat erst nach positiver datenschutzrechtlicher Prüfung (verbandsintern und ggf. im Einvernehmen mit der Datenschutzbehörde) stattzufinden.

Die Bedeutung der datenschutzrechtlichen Neuerungen für das Feuerwehrwesen soll anhand konkreter Fragestellungen gezeigt werden:

Kap. A – Rechtliche Grundlagen

Frage A1: Welche rechtlichen Grundlagen bestehen künftig für den Datenschutz im Feuerwehrdienst? (20.06.2019)

  • Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), EU-ABl. 2016 L119/1 (samt Erwägungen),
  • Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, idgF,
  • Feuerwehrspezifische Sonderregelungen in Gesetzesform (Bundes- und Landesgesetze)
  • Feuerwehrinterne Regelungen in Form von Satzungen („Feuerwehrordnungen“, „Dienstordnungen“) (siehe Erwägung 41 zur DSGVO)

Frage A2: Müssen Feuerwehrgesetze geändert werden?

Die geltenden Feuerwehrgesetze enthalten kaum datenschutzrechtliche Regelungen. Auf Grund der DSGVO besteht aber entsprechender Bedarf nach innerstaatlicher Umsetzung, die zweckmäßigerweise in einem möglichst hohen legistischen Standard, d.h. in Form von Gesetzen, erfolgen sollte.

Frage A3: Für wen gilt die DSGVO?

Die DSGVO gilt nur für (lebende) natürliche Personen, nicht für juristische Personen (Art. 1 Abs. 1 DSGVO). Betroffen sind nur Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Z 1 DSGVO).

Frage A4: Gilt die DSGVO auch für Verstorbene? (20.06.2019)

Nein. Die DSGVO gilt nicht für die personenbezogenen Daten Verstorbener (vgl. Erwägung 27 zur DSGVO). Dessen ungeachtet können aber sonstige rechtliche Grundlagen für den Umgang mit den Daten Verstorbener beachtlich sein.

Hinsichtlich der Feuerwehrmitgliedschaft gibt es jedoch keine Rechtsnachfolge. Die Mitgliedschaft ist ein höchstpersönliches Recht. Datenlöschungsanträge durch Angehörige/ Hinterbliebene sind daher nicht möglich.

Frage A5: Was kann eine geeignete rechtliche Grundlage für die Verarbeitung personenbezogener Daten sein? (20.06.2019)

  • die DSGVO
  • das Datenschutzgesetz (DSG)
  • einschlägige Materiengesetze und Verordnungen (z.B. Feuerpolizei- und Feuerwehrgesetze)
  • Feuerwehrsatzungen, d.h. im Rahmen der Selbstverwaltung erlassene, generelle Normen

Eine rechtliche Grundlage für eine Datenverarbeitung muss nicht notwendigerweise ein Gesetz im formellen Sinne sein. Die entsprechende Rechtsgrundlage muss jedoch klar und präzise sein und ihre Anwendung muss für die Rechtsunterworfenen vorhersehbar sein (vgl. Erwägung 41 zur DSGVO).

Frage A6: Ist es relevant, welche(s) Programm(e) eine Feuerwehr bzw. ein Feuerwehrverband verwendet?

Nein. Die rechtlichen Anforderungen an die Datenverarbeitung sind vom IT-System (insb. SYBOS und FDISK) völlig unabhängig.

Die konkrete Datenanwendung hat sich nach den rechtlichen Grundlagen (DSGVO, nationales Recht) zu richten und nicht nach den Möglichkeiten eines EDV-Programms. Die Berechtigung zur Ermittlung von Daten ergibt sich jedenfalls nicht aus dem Umstand, dass im EDV-Programm bestimmte Datenfelder oder Funktionalitäten programmiert sind (wenn auch nicht als Pflichtfeld).

Kap. B – Aufgaben und Zuständigkeiten

Frage B1: Wer ist datenschutzrechtlicher Verantwortlicher (Art. 4 Z 7 DSGVO) für die Mitgliederverwaltung der Feuerwehren?

Die datenschutzrechtliche Verantwortlichkeit für die Kernaufgabe „Mitgliederverwaltung“ liegt im Wesentlichen bei den Feuerwehren. Auch der LFV erzeugt Daten und ist damit auch Verarbeiter und datenschutzrechtlicher Verantwortlicher (z.B. Lehrgangsverwaltung, Eintragung absolvierter Lehrgänge in die Stammblätter, bestimmte Datenverarbeitungen bei höheren Feuerwehrführern und Bediensteten des LFV).

Frage B2: Was ist ein Auftragsverarbeiter (Art. 4 Z 8 DSGVO) im Feuerwehrwesen?

Die LFV stellen den Feuerwehren entsprechende EDV-Programme zentral zur Verfügung. Der Betreiber des Servers ist der Auftragsverarbeiter:

  • FDISK wird vom NÖ LFV betrieben.
  • SYBOS wird von den LFV bei der Firma Solaris Auftragsverarbeiter sind die LFV.

Frage B3: Müssen die Feuerwehren und der Landesfeuerwehrverband Vereinbarungen über die Verteilung der Verpflichtungen nach der DSGVO abschließen?

Art. 26 DSGVO verlangt grundsätzlich den Abschluss einer Vereinbarung, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten festlegen, sofern und soweit die jeweiligen Aufgaben nicht durch Rechtsvorschriften festgelegt sind. Die Feuerwehren und Feuerwehrverbände verarbeiten zwar – insb. im Rahmen der Mitgliederverwaltung – gemeinsam personenbezogene Daten. Die Feuerwehren sind aber ex lege Mitglieder des jeweiligen (Landes-)Feuerwehrverbandes. Das Verhältnis zwischen den Feuerwehren und dem Feuerwehrverband ist gesetzlich und satzungsmäßig – unter Aufteilung der Zuständigkeiten – festgelegt. Zusätzlicher Vereinbarungen auf datenschutzrechtlicher Basis bedarf es daher nicht.

Das gleiche gilt für die Tätigkeit der Landesfeuerwehrverbände als Auftragsverarbeiter für die einzelnen Feuerwehren (Art. 28 DSGVO).

Frage B4: Was bedeutet es, dass die Feuerwehr und der (Landes-)Feuerwehrverband als gemeinsam Verantwortliche iSv Art. 26 DSGVO fungieren (insb. im Bereich der Mitgliederverwaltung)? (20.06.2019)

Da es die im § 50 DSG (alte Fassung) vorgesehenen Informationsverbundsysteme nicht mehr gibt, ist eine gesetzliche Regelung der Aufgabenverteilung im jeweiligen Feuerwehrgesetz oder mittels Satzung naheliegend.

Soweit dies nicht erfolgt, kann ein Betroffener seine Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).

Frage B5: Braucht es eine Vereinbarung zwischen ÖBFV und den LFV (z.B. hinsichtlich der Liste der Referats- und Sachgebietsmitarbeiter)? (20.06.2019)

Nein. ÖBFV und LFV übermitteln im Rahmen ihrer gesetzlichen oder statutarischen Aufgabenerfüllung jeweils Daten, die sie rechtmäßig verarbeiten. Die Mitarbeit in Gremien des ÖBFV ist freiwillig, sodass von einer zumindest konkludenten Zustimmung der nominierten Feuerwehrmitglieder zur Übermittlung der erforderlichen personenbezogenen Daten seitens des entsendenden Mitglieds (insb. LFV) an den ÖBFV ausgegangen werden kann.

Frage B6: Was ist ein Verarbeitungsverzeichnis?

Die Meldepflichten beim Datenverarbeitungsregister entfallen künftig. Anstelle dessen bestehen künftig für alle datenschutzrechtlichen Verantwortlichen und für alle Auftragsverarbeiter verstärkte interne Dokumentationspflichten. Alle Verantwortlichen und alle Auftragsverarbeiter müssen daher ein Verarbeitungsverzeichnis führen (Art. 30 Abs. 1 bzw. 2 DSGVO), in dem alle Datenverarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, aufzulisten und zu beschreiben sind. Dieses ist auf Verlangen der Datenschutzbehörde zur Verfügung zu stellen.

Der ÖBFV hat ein Musterverarbeitungsverzeichnis für die gängigsten Datenverarbeitungen der Feuerwehren erstellt (Herkunft der Daten, Verarbeitung, Weitergabe (Empfängerkreise), Fristen für Datenspeicherung).

Frage B7: Gilt für Feuerwehren und Feuerwehrverbände (bzw. deren Geschäftsstellen) eine Ausnahme von der Verpflichtung zur Führung eines Verarbeitungsverzeichnisses? (20.06.2019)

Nein. Gemäß Art. 30 Abs. 5 DSGVO gilt die Verpflichtung für Verantwortliche und Auftragsverarbeiter zur Führung eines Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 und 2 nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn,

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10.

Die o.a. Ausnahmetatbestände treffen auf Feuerwehren und Feuerwehrverbände nicht zu. Sie alle müssen daher ein Verarbeitungsverzeichnis führen. Siehe auch FAQ B4.

Frage B8: Was bedeutet das zentrale Datenverarbeitungsregister (DVR)? Was muss hier jede einzelne Feuerwehr auflisten und erarbeiten? (20.06.2019)

Siehe FAQ B6 und B7. Das DVR wird nicht mehr weitergeführt. Die Feuerwehr muss ein Verarbeitungsverzeichnis führen (Art. 30 DSGVO).

Kap. C – Datenarten, Datenermittlung und -übermittlung

Frage C1: Welche Daten dürfen im Feuerwehrdienst verarbeitet werden?

Es dürfen nur jene Daten verarbeitet werden, die tatsächlich für den Feuerwehrdienst notwendig sind (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO) und für die eine ausreichende rechtliche Grundlage besteht.

Beispiele:

  • Nicht relevant sind z.B.: Religionsbekenntnis, Familienstand, Datum der Eheschließung.
  • Identitätsdaten eines Unfallopfers (Name, Geburtsdatum, Wohnadresse) dürfen ermittelt werden (vgl. § 41 Abs. 3 Bgld. FWG 1994), weitere Daten nur bei konkreter Notwendigkeit. Daten über Art und Ausmaß von Verletzungen oder über Unfallursachen fallen nicht in die Zuständigkeit der Feuerwehr.

Frage C2: Ist für die Datenverarbeitung der Feuerwehr eine Zustimmung des Feuerwehrmitglieds erforderlich? (20.06.2019)

Die Mitgliedschaft bei der Feuerwehr ist ein hoheitliches Rechtsverhältnis, das nicht der privatautonomen Ausgestaltung unterliegt. Sobald man der Feuerwehr beitritt, akzeptiert man die für das Feuerwehrwesen geltenden Rechts- und Verwaltungsvorschriften, auf denen auch die Verarbeitung der für den Feuerwehrdienst notwendigen Mitgliederdaten erfolgt.

Es wird daher davon ausgegangen, dass – abgesehen von der Beitrittserklärung – keine (zusätzliche) Erklärung bzw. Einwilligung des Mitglieds über die Verarbeitung der einschlägigen, für den Feuerwehrdienst notwendigen personenbezogenen Daten erforderlich ist. Dessen ungeachtet wird empfohlen, in die Beitrittserklärung einen entsprechenden Passus über die Zustimmung zur Datenverarbeitung aufzunehmen. Dies ist vor allem dann von Bedeutung, wenn die Feuerwehr beabsichtigt, Daten von Mitgliedern (allenfalls sogar Portraitfotos) auf ihrer Homepage zu veröffentlichen.

Frage C3: Welche Arten von Daten können im Feuerwehrbereich anfallen?

Personenbezogene Daten können in allen Tätigkeitsbereichen der Feuerwehr anfallen. Das sind insbesondere:

  • Mitgliederverwaltung
  • Personalverwaltung der Feuerwehrverbände und Feuerwehren (für Personen in einem Dienstverhältnis)
  • Alarmierungsdaten
  • Alarm- und Einsatzplanung einschließlich der Sonderalarmpläne
  • Einsatzdokumentation
  • Einsatzberichterstattung
  • Öffentlichkeitsarbeit
  • Privatwirtschaftsverwaltung (wirtschaftliche Betätigung der Feuerwehr)

Frage C4: Welche Arten von Daten werden im Rahmen der Mitgliederverwaltung benötigt?

Die Feuerwehren und die Feuerwehrverbände dürfen von Feuerwehrmitglieder nur jene Daten verarbeiten, die für den jeweiligen Verarbeitungszweck – z.B. die Mitgliederverwaltung – benötigt werden. Das sind:

  • Identifizierungsdaten:
    • Familien- und Vorname(n), einschl. frühere Namen,
    • Akademischer Grad oder Ingenieur-Grad
    • Geburtsdatum,
    • (Pass-)Foto des Mitglieds,
  • Erreichbarkeitsdaten:
    • Wohn- und Zustelladressen,
    • E-Mail-Adressen,
    • Telefonnummern
  • Mitgliedschaftsdaten:
    • Stammblatt- bzw. Standesbuchnummer,
    • Eintritt, Austritt, Übertritt
    • Frühere Mitgliedschaften,
    • Status (Aktiv, Jugend, Reserve, Ehrenmitgliedschaft usw.)
    • Dienstgrade,
    • Funktionen,
    • Auszeichnungen,
  • Bildung:
    • Schul- und Hochschulstudium,
    • Berufliche (Aus-)Bildung,
    • sonstige Qualifikationen
  • Feuerwehrausbildung:
    • Lehrgänge, Seminare u.ä.
    • Leistungsabzeichen und Leistungsprüfungen
  • Militärdienst / Zivildienst (soweit für den Feuerwehrdienst relevant)
  • Besondere Berechtigungen und Befähigungen:
    • Sprachkenntnisse,
    • Führerschein und spezielle Lenkberechtigungen (z.B. ADR),
    • Sprengbefugnis, usw.
  • Disziplinarmaßnahmen
  • Bekleidung und sonstige persönliche Ausrüstung

Frage C5: Darf eine Feuerwehr eine Adressdatenbank der Mitglieder führen? (20.06.2019)

Ja. Die Kenntnis der Adressen der Mitglieder ist für den Feuerwehrdienst notwendig.

Frage C6: Dürfen von der Feuerwehr Gesundheits- und Sozialversicherungsdaten verarbeitet werden?

Die Verarbeitung „besonderer Kategorien personenbezogener Daten“ (Art. 9 DSGVO, bisher „sensible Daten“) ist generell nur unter sehr eingeschränkten Voraussetzungen zulässig. Für die Feuerwehr sind in diesem Zusammenhang auch nur ganz wenige Daten relevant:

  • Tauglichkeitsstatus: Die Tauglichkeit für den Feuerwehrdienst ist Grundvoraussetzung für die Mitgliedschaft. Befunde dürfen nur vom Feuerwehrarzt verarbeitet werden (Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO).
  • Sozialversicherungsnummer: Alle Feuerwehrmitglieder sind gemäß § 176 ASVG sozialversichert.
  • Impfdaten: soweit diese für die Inanspruchnahme der von der AUVA zu finanzierenden Hepatitis-Impfung unbedingt erforderlich sind (§ 188b ASVG idF BGBl. I Nr. 125/2017)

Frage C7: Wie ist die Datenverarbeitung im Versicherungsfall nach Unfällen von Feuerwehrmitgliedern zu beurteilen (Meldeformulare, Weiterleitungen an die AUVA, Prüfung durch LFA)? (20.06.2019)

Feuerwehrmitglieder sind jedenfalls nach § 176 ASVG sozialversichert. Die Erhebung der für die Prüfung des Versicherungsanspruches erforderlichen Daten und Übermittlung an die zuständige Sozialversicherungsanstalt erfolgt somit auf einer gesetzlichen Grundlage.

Frage C8: Wie ist die Datenverarbeitung zur Geltendmachung von Ansprüchen von Feuerwehrmitgliedern gegenüber einem Unterstützungsfonds des LFV zu beurteilen? (20.06.2019)

Die Schaffung von Einrichtungen, die Wohlfahrts- und Fürsorgezwecken für Feuerwehrmitglieder dienen, ist typischerweise eine Aufgabe der LFV nach den einschlägigen Landesgesetzen (vgl. z.B. § 50 Abs. 2 Z 5 NÖ FG 2015, § 34 Abs. 2 Z 10 OÖ FWG 2015, § 22 Abs. 2 Z 5 Bgld. FWG 1994). Zweckmäßigerweise sollten die LFV mittels Satzung Durchführungsbestimmungen zu diesen sehr allgemein gehaltenen gesetzlichen Regelungen schaffen, die sodann die rechtliche Grundlage iSv Art. 6 Abs. 1 DSGVO für die entsprechenden Datenermittlungen und -übermittlungen bilden.

Frage C9: Welche personenbezogenen Daten sind für die Feuerwehr typischerweise nicht relevant und dürfen daher nicht verarbeitet werden? (20.06.2019)

  • Familienstand
  • Religionsbekenntnis
  • Blutgruppe
  • Arbeitgeber

Frage C10: Welche Daten dürfen im Zuge der Einsatzdokumentation und -berichterstattung verarbeitet werden?

Die Feuerwehren sind öffentliche Einrichtungen, die gesetzlich festgelegte Aufgaben im Bereich der Hoheitsverwaltung erfüllen. Mit der Aufgabenerfüllung untrennbar verbunden ist die Verpflichtung der Feuerwehr, ihre Tätigkeit im erforderlichen Ausmaß nachvollziehbar zu dokumentieren. Dazu gehören insb.:

  • Einsatzort und -zeit
  • Daten des/der Geschädigten (Identitätsdaten (Ausweisdokument), Erreichbarkeitsdaten),
  • Daten von Verfügungsberechtigten (z.B. über Liegenschaften oder Fahrzeuge),
  • eingesetzte Feuerwehrkräfte,
  • Einsatzablauf (Einsatztagebuch).

Die Verarbeitung von Daten über Art und Schwere von Verletzungen (nur für Zwecke der Dokumentation) oder über Verschuldensfragen am einsatzauslösenden Ereignis ist nicht Aufgabe der Feuerwehr.

Für den Datenaustausch mit der Polizei gibt es in den einzelnen Feuerwehrgesetzen entsprechende Regelungen (vgl. § 41 Bgld. FWG 1994).

Frage C11: Wie ist mit der Erfassung der Namen von Betroffenen in Einsatzberichten umzugehen? Müssen die Personennamen im Falle von Auskunftsbegehren auffindbar sein? (20.06.2019)

Die Feuerwehr ist nicht verpflichtet, ihre Datenverarbeitungen so zu gestalten, dass sie jedes denkbare Auskunftsbegehren ohne Weiteres beantworten kann. Erforderlichenfalls ist der Auskunftswerber zu einer Präzisierung seines Begehrens aufzufordern, damit die gewünschte Auskunft erteilt werden kann.

Frage C12: Dürfen Fotos zu Dokumentationszwecken angefertigt werden? (20.06.2019)

Ja. Die Dokumentation von Einsätzen, von einzelnen Tätigkeiten, von Eingriffen in Rechte von Personen etc. kann aus rechtsstaatlichen Gründen notwendig oder zumindest zweckmäßig sein. Gegen eine fotografische Dokumentation ist grundsätzlich nichts einzuwenden. Diese Befugnis erwächst aus den gesetzlichen oder statutarischen Aufgabenstellungen der Feuerwehr. Dazu gehört auch die Öffentlichkeitsarbeit.

Zu beachten ist allerdings, dass eine Dokumentation zu Einsatzzwecken nicht auch die Veröffentlichung von Fotos rechtfertigt.

Frage C13: Welche Daten dürfen im Rahmen der Privatwirtschaftsverwaltung der Feuerwehr verarbeitet werden?

Die Feuerwehren können sich im Rahmen ihrer Tätigkeiten außerhalb des gesetzlichen oder statutarischen Aufgabenbereiches nicht auf einen hoheitlichen (Sonder-)Status berufen. Sie haben daher die gleichen rechtlichen Rahmenbedingungen wie Privatpersonen zu beachten. Die Ermittlung von Daten beruht in diesem Fall ausschließlich auf Freiwilligkeit des Gegenübers. Einschlägige Daten können sein:

  • Erreichbarkeitsdaten von feuerwehrfremden Personen (Adressenverzeichnisse, Einladungslisten, Begrüßungslisten)
  • Kunden- und Lieferantendaten
  • Rechnungswesen
  • Spenderdaten: Ist im Zusammenhang mit der Arbeitnehmerveranlagung rechtlich besonders geregelt (Sonderausgaben-Datenübermittlungsverordnung; Name, Geburtsdatum, Adressdaten)
  • sonstige Daten nur mit Zustimmung der betroffenen Personen (z.B. Geburtstagsliste)

Frage C14: Wie ist mit Auskunftsanfragen durch die Polizei bezüglich vorhandener Daten (z.B. Einsatzdokumentation) im Zuge polizeilicher Ermittlungstätigkeit umzugehen?

Für die sicherheits- und kriminalpolizeiliche Aufgabenerfüllung durch die Sicherheitsbehörden und ihre Organe gibt es spezifische gesetzliche Grundlagen (insb. das Sicherheitspolizeigesetz und die Strafprozessordnung). Bei Ersuchen der Sicherheitsorgane wird davon auszugehen sein, dass diese auf einer ausreichenden gesetzlichen Grundlage beruhen. Diesen Ersuchen wird daher grundsätzlich zu entsprechen sein. Allerdings soll die Kommunikation dabei über offizielle Wege erfolgen, nicht z.B. über die private E-Mail-Adresse des Kommandanten.

Frage C15: Darf eine Feuerwehr im Rahmen der Spendenerfassung z.B. auch die Geburtsdaten jener Spender speichern, die schon einmal mitgeteilt haben, dass sie eine Meldung ans Finanzamt wünschen, oder müssen diese Daten bei jeder Haussammlung erneut erhoben werden? (20.06.2019)

Die Geburtsdaten wurden der Feuerwehr von den Spendern freiwillig bekanntgegeben und müssen daher für Zwecke der Spendendatenerfassung evident gehalten werden, solange der jeweilige Spender dem nicht widerspricht.

Genauere Informationen finden sich auf der Homepage des Bundesministeriums für Finanzen (www.bmf.gv.at).

Frage C16: Dürfen die üblichen Spendenlisten, auf denen sich die Spender der Reihe nach eintragen, weiterhin verwendet werden? (20.06.2019)

Grundsätzlich ja. Jeder Spender weiß, wie die Sammelaktion abläuft und dass seine persönlichen Daten zumindest den nachfolgenden Spendern bekannt werden. Es kann von einer konkludenten Zustimmung jener Spender, die sich in die Liste eintragen, ausgegangen werden. Zweckmäßigerweise sollte auf der Liste ein entsprechender Hinweis angebracht sein.

Wer nicht aufscheinen möchte, muss die Möglichkeit haben, einen gesonderten Beleg zu erhalten.

Frage C17: Gibt es bei Tombola-Verlosungen ein Problem mit der DSGVO (Kenntnis von ausgefüllten Losen)? (20.06.2019)

Alle Käufer von Losen geben ihre Daten freiwillig bekannt und wissen, dass diese auch anderen Personen zur Kenntnis gelangen (können). Nach der Verlosung sollten die Lose vernichtet werden.

Kap. D – Öffentlichkeitsarbeit

Frage D1: Ist die DSGVO auch auf die Öffentlichkeitsarbeit der Feuerwehr anwendbar? (20.06.2019)

Ja. Die einschlägigen Regelungen finden sich insb. in Art. 6 Abs. 1 lit. e und Art. 85 Abs. 1 DSGVO, die beide innerstaatlich durch den nationalen Gesetzgeber umgesetzt werden müssen. Dies ist durch den Gesetzgeber jedoch in unbefriedigender Form geschehen. Siehe FAQ D2.

Frage D2: Welche (zentralen) Rechtsgrundlagen bestehen für die Medienarbeit der Feuerwehr? (20.06.2019)

Art. 85 Abs. 1 DSGVO verpflichtet die EU-Mitgliedstaaten, ihre nationale Rechtsordnung im Hinblick auf das Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken mit der DSGVO in Einklang zu bringen.

In der Folge wurden zwar in § 9 DSG innerstaatliche Regelungen geschaffen, die Ausnahmen von der DSGVO und vom DSG vorsehen, und zwar

  • (Abs. 1) für Medien im Sinne des Mediengesetzes, BGBl. Nr. 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes, und
  • (Abs. 2) um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, zu Gunsten von wissenschaftlichen, künstlerischen oder literarischen Zwecken.
  • 9 DSG bildet somit keine rechtliche Grundlage für die Öffentlichkeitsarbeit der Feuerwehr. Das sog. Medienprivileg nach § 9 Abs. 1 DSG gilt für Journalisten, kommt aber bei der Medienarbeit der Feuerwehr nicht zum Tragen.

Weiters zu beachten ist das Recht am eigenen Bild (§ 78 Urheberrechtsgesetz). Dieses Recht schützt nicht vor fotografischen Aufnahmen, sondern vor der nachfolgenden Veröffentlichung. Dieser Schutz ist nicht absolut, vielmehr ist eine Interessenabwägung im Einzelfall geboten. Der Schutz bezieht sich z.B. auf unvorteilhafte Aufnahmen oder unerwünschte kommerzielle Verwertung der Bilder.

Frage D3: Ist das Fotografieren von Personen ohne deren Einwilligung erlaubt? (20.06.2019)

Das DSG erlaubt Bildaufnahmen im „Einzelfall“ und unter Wahrung der „Verhältnismäßigkeit“, wenn die „Bildaufnahme ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen (…) gerichtet ist“ (§ 12 Abs. 2 Z 4 und Abs. 3 Z 3 DSG).

Die Einsatzdokumentation und die Öffentlichkeitsarbeit, soweit sie sich auf den gesetzlichen oder statutarischen Aufgabenbereich der Feuerwehr beziehen, sind als Bestandteil dieses Aufgabenbereiches bzw. Auftrages der Feuerwehr anzusehen. Das Aufnehmen von Bildern wird daher in diesem Zusammenhang als zulässig erachtet, auch wenn Personen auf den Fotos erkennbar sind. Bei der Veröffentlichung solcher Bilder ist aber der Datenschutz zu beachten und daher insb. Gesichter und Kfz-Kennzeichen unkenntlich zu machen (z.B. zu verpixeln).

Im privatwirtschaftlichen Bereich ist jedoch Sorge zu tragen, dass die Bildaufnahme so erfolgt, dass daraus nicht der Zweck einer identifizierenden Erfassung unbeteiligter Personen abgeleitet werden kann (§ 12 Abs. 3 Z 3 DSG). Andernfalls ist die Zustimmung des/der Betroffenen einzuholen. So z.B. beim Anfertigen eines Portraits eines Besuchers beim Feuerwehrfest.

Jedenfalls sind die so erfassten Daten (die angefertigten Bilder) entsprechend sorgfältig zu behandeln. Bei der Veröffentlichung sind die bisherigen Grundsätze anzuwenden: Keine Veröffentlichung von Bildern, die Personen herabwürdigen! Im Zweifelsfall trotz allem eine Zustimmung der betroffenen Person(en) einholen.

Frage D4: Darf eine Feuerwehr auf der Homepage die Mannschaft auflisten? (20.06.2019)

Nein, nicht ohne Weiteres. Für die Mitgliedschaft und die Tätigkeit bei einer Feuerwehr ist die Veröffentlichung von Mitgliederlisten oder gar von Fotos der Mitglieder nicht notwendig. Solche Veröffentlichungen sind nur mit Zustimmung des jeweiligen Mitglieds, d.h. also jedes einzelnen, zulässig.

Siehe auch FAQ C2.

Frage D5: Dürfen bei einer öffentlichen Veranstaltung Bilder angefertigt werden (z.B. für Öffentlichkeitsarbeit bzw. Flyer) bei denen Gesichter zu erkennen sind, oder sind alle Gesichter unkenntlich zu machen? (20.06.2019)

Bildaufnahmen, die nicht auf die identifizierende Erfassung unbeteiligter Personen (…) gerichtet sind, sind grundsätzlich zulässig (§ 12 Abs. 2 Z 4 und Abs. 3 Z 3 DSG), nicht jedoch das Anfertigen von Besucherportraits ohne deren Zustimmung. Das Anfertigen von Fotos einer Veranstaltung kann allenfalls auch mit einem berechtigten Interesse des Veranstalters begründet werden, sofern dieses nicht von den – im Einzelfall zu prüfenden – schutzwürdigen Interessen des/der Betroffenen überwogen wird (Art. 6 Abs. 1 lit. f DSGVO).

Im Zweifelsfall sollte daher eine Zustimmung der betroffenen Person(en) eingeholt werden. Auch eine konkludente Zustimmung ist denkbar. (Anm.: Als konkludente Zustimmung bezeichnet man eine eindeutige Handlung, durch welche man davon ausgehen kann, dass die handelnde Person mit der Aufnahme einverstanden ist und sich der weiteren Verwendung im Klaren ist.)

Siehe FAQ D3.

Frage D6: Kann ein Aushang, der darauf hinweist, dass alle Besucher mit der Anwesenheit auch der Aufnahme von Bildern übereinstimmen, das Problem lösen? (20.06.2019)

Ein deutlich sichtbarer Hinweis des Veranstalters schon im Eingangsbereich, dass Fotos angefertigt und in weiterer Folge in bestimmter Weise veröffentlicht werden (z.B. Feuerwehr-Homepage), ist auf jeden Fall vorteilhaft.

Frage D7: Wie ist die Situation bei einem Kinderlauf, bei dem mitgefilmt wird? Ist eine Erlaubnis bei den Eltern der teilnehmenden Kinder einzuholen, in Form einer schriftlichen Einverständniserklärung bei der Anmeldung? (20.06.2019)

Siehe oben. Die Einholung einer schriftlichen Einverständniserklärung bei der Anmeldung ist eine zweckmäßige Vorgangsweise.

Frage D8: Wie ist mit Bildern umzugehen, die vor Inkrafttreten der DSGVO angefertigt oder veröffentlicht wurden? (20.06.2019)

Die DSGVO wirkt nicht auf abgeschlossene Sachverhalte zurück, die sich vor ihrem Inkrafttreten ereignet haben. Das (rechtmäßige) Anfertigen und Veröffentlichen von Bildern wird durch die DSGVO nicht nachträglich rechtswidrig. Aus Erwägung 171 zur DSGVO ergibt sich aber, dass Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO mit ihr in Einklang gebracht werden sollen (z.B. die eigene Homepage). Beruht eine Verarbeitung auf einer Einwilligung, muss diese nicht neuerlich eingeholt werden.

Kap. E – Datensicherheit

Frage E1: Wie ist der Zugang zu personenbezogenen Daten zu regeln?

Der Zugang zu personenbezogenen Daten ist auf ein unbedingt notwendiges Maß zu beschränken. Unbefugte sollen keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können (Art. 29 und 32 DSGVO, Erwägung 39 letzter Satz).

Frage E2: Auf welche Daten darf eine Feuerwehr Zugriff haben? (20.06.2019)

Jede Feuerwehr darf grundsätzlich nur Zugriff auf ihre eigenen Daten haben (auch der Administrator der Feuerwehr). Darüber hinaus darf sie Zugriff auf Daten anderer Feuerwehren und des LFV nur insoweit haben, als sie diese zur Wahrnehmung ihrer Aufgaben unbedingt benötigt (Adresse, E-Mail-Adresse und Telefonnummer der Feuerwehr).

Frage E3: Auf welche Daten darf ein Feuerwehrmitglied Zugriff haben? (20.06.2019)

Der allgemeine Zugriff von Feuerwehrmitgliedern auf Daten der eigenen Feuerwehr oder anderer Feuerwehren (wie z.B. Geburtsdaten, Telefon-Nummern und persönliche E-Mail-Adressen) ist datenschutzrechtlich nicht zulässig (Art. 29 und 32 Abs. 4 DSGVO, Erwägung 39).

Innerhalb der Feuerwehr sind Rollen für die Festlegung von Zugangsberechtigungen zu definieren: insb. für Kdt(Stv), Verwalter, Kassier, Jugendbetreuer, Gerätewart. Der Umfang der Lese- und Bearbeitungsberechtigung ist je nach Aufgabe/Funktion (Rolle) zu differenzieren und auf das Notwendige zu beschränken.E

Vorgesetzte (höhere Kommandanten) dürfen (nur) insoweit Zugriff auf Daten der ihnen unterstellten Feuerwehrmitglieder bzw. Feuerwehren haben, als sie diese Daten zur Ausübung ihrer Funktion brauchen (z.B. AFKdt nur auf notwendige Daten seines Abschnitts, BFKdt auf notwendige Daten seines Bezirks).

Frage E4: Darf ein BFKdo im SYBOS Zugriff auf Daten seines Nachbarbezirks haben (inkl. Kontaktdaten)? (20.06.2019)

Siehe FAQ E1 und E2 (sinngemäß)

Kap. F – Datenschutzbeauftragter

Frage F1: Benötigt die Feuerwehr einen Datenschutzbeauftragen (DSB; Art. 37 ff DSGVO, § 5 DSG)?

Die Feuerwehren und die Feuerwehrverbände sind öffentliche Stellen und benötigen daher einen Datenschutzbeauftragten (DSB). Allerdings kann für mehrere öffentliche Stellen ein gemeinsamer DSB bestellt werden (Art. 37 Abs. 1 lit. a und Abs. 3 DSGVO). Der DSB muss nämlich nicht zwingend Funktionär oder Bediensteter der öffentlichen Stelle sein, für die er tätig wird. In der Praxis ist es daher möglich, dass die Feuerwehrverbände DSB z.B. auf Landes- und/oder Bezirksebene bestellen, derer sich die Feuerwehren bedienen können.

Frage F2: Wie ist die organisatorische Stellung des DSB in der Feuerwehr?

Der DSB kann innerhalb der Feuerwehr auch andere Aufgaben wahrnehmen. In seiner Eigenschaft als DSB ist er aber weisungsfrei zu stellen und untersteht unmittelbar der höchsten Führungsebene des Verantwortlichen, also dem jeweiligen Kommandanten (Art. 38 DSGVO, § 5 Abs. 3 DSG).

Frage F3: Was ist die Rolle des DSB?

Der DSB ist in alle mit personenbezogenen Daten zusammenhängenden Fragen einzubinden. Er informiert und berät den Verantwortlichen, den Auftragsverarbeiter, die Funktionäre und die Bediensteten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften sowie der Strategien seines Auftraggebers für den Schutz personenbezogener Daten. Überdies ist er die Anlaufstelle für die Datenschutzbehörde (Art. 38, 39 und 51 ff DSGVO iVm §§ 18 ff Datenschutzgesetz (DSG).

Frage F4: Welche Qualifikation soll ein DSB haben?

Der DSB soll eine ausreichende Qualifikation auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen (Art. 37 Abs. 5 DSGVO).

Frage F5: Wer soll Datenschutzbeauftragter sein ? (20.06.2019)

Siehe FAQ F1 und F4.

Kap. G – Datenaufbewahrung und -löschung

Frage G1: Wann sind Daten zu löschen bzw. wie ist mit historischen Daten umzugehen? (20.06.2019)

Die DSGVO legt keine fixen Speicherfristen fest. Sofern keine innerstaatlichen Rechtsvorschriften über Speicherfristen und Löschungspflichten bestehen, sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind (Art. 17 DSGVO).

Daten, die bspw. im Rahmen des Rechnungswesens der Feuerwehr verarbeitet werden, dürfen jedenfalls während der verpflichtenden Belegaufbewahrungsdauer (§ 212 Abs. 1 Unternehmensgesetzbuch und § 132 Abs. 1 Bundesabgabenordnung: 7 Jahre) nicht gelöscht werden. Auch Mitgliederdaten müssen nach Ende der Mitgliedschaft aus rechtsstaatlichen und historischen Gründen (Traditionspflege) weiter verarbeitet werden. Die Mitgliederdaten sind mit der Traditionspflege untrennbar verbunden. Ihre Archivierung liegt daher im öffentlichen Interesse (Art. 5 Abs. 1 lit. e DSGVO, Erwägung 50 und 158 zur DSGVO).

Dessen ungeachtet hat jede betroffene Person das Recht, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der Verantwortliche hat diesfalls zu prüfen, ob seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben (Art. 21 Abs. 1 DSGVO, Erwägung 69 zur DSGVO). Für die Beurteilung der Löschungspflicht ist Art. 17 Abs. 3 lit. d DSGVO zu beachten.

Frage G2: Wie werden Aufbewahrungs- bzw. Löschungsfristen festgelegt? (20.06.2019)

Daten dürfen nur solange gespeichert bleiben, als dies zur Zweckerreichung notwendig ist (Art. 5 Abs. 1 lit. e DSGVO). Der Gesetzgeber kann jedoch konkrete Aufbewahrungsfristen festlegen. Für die Feuerwehr kommt grundsätzlich auch eine Regelung mittels Dienstordnung bzw. Büroordnung in Betracht (vgl. Art. 6 Abs. 3 lit. b DSGVO und Erwägung 41, 50 und 158 zur DSGVO).

Frage G3: Muss eine Feuerwehr alle Daten von ausgetretenen Mitgliedern (die noch leben) vernichten? (20.06.2019)

Nein. Siehe zunächst FAQ G1 und G2.

Es ist davon auszugehen, dass die Feuerwehr die Daten ehemaliger Mitglieder sowohl aus rechtsstaatlichen Gründen (z.B. Dokumentation von erworbenen Qualifikationen und Auszeichnungen), als auch aus Gründen der Traditionspflege weiterhin verarbeiten darf. Traditionspflege ist entweder eine gesetzliche oder statutarische Aufgabe der Feuerwehr und stellt daher ein Archivinteresse der Feuerwehr iSv Art. 5 Abs. 1 lit. e DSGVO dar. Erwägung 158 zur DSGVO spricht im Zusammenhang mit Aufzeichnungen von öffentlichem Interesse davon, „Aufzeichnungen von bleibendem Wert für das allgemeine öffentliche Interesse zu erwerben, zu erhalten, zu bewerten, aufzubereiten, zu beschreiben, mitzuteilen, zu fördern, zu verbreiten sowie Zugang dazu bereitzustellen.“

Kap. H – Informationspflichten

Frage H1: Welche Informationspflichten bestehen bei der Erhebung personenbezogener Daten gegenüber Betroffenen, von denen die Daten direkt erhoben werden? (20.06.2019)

Art. 13 f DSGVO, angepasst an die Feuerwehr, verlangt folgende Informationen:

  • Identität des Verantwortlichen
  • Verarbeitungszwecke
  • Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Rechtsgrundlage der Verarbeitung
  • Berechtigte Interessen (bei Verarbeitung von Daten gemäß Art. 6 Abs. 1 lit. f DSGVO)
  • Empfänger bzw. Kategorien von Empfängern
  • Beabsichtigte Übermittlungen an ein Drittland (Art. 44 ff DSVGO)
  • Informationen über einen geplanten anderen Verarbeitungszweck (bei späterer Zweckänderung)
  • Speicherdauer
  • Betroffenenrechte
  • Information über das Widerspruchsrecht
  • Beschwerdemöglichkeit bei der Datenschutzbehörde
  • Rechtspflicht oder Freiwilligkeit der Bereitstellung von Daten durch den Betroffenen

Frage H2: Wie kann der Verantwortliche seiner Informationspflicht nachkommen? (20.06.2019)

Dies wird von der DSGVO nicht explizit vorgegeben. Anbieten wird sich insbesondere die Homepage des Verantwortlichen. Bei Datenerhebungen mittels Papierformularen sollte ausdrücklich und deutlich sichtbar auf Informationen hingewiesen werden, die außerhalb des Formulars bereitgestellt werden.

Frage H3: Müssen bei einem Auskunftsbegehren sämtliche Archivdateien oder Sicherungskopien durchforstet bzw. beauskunftet werden? (20.06.2019)

Nein. Das Auskunftsrecht bezieht sich nur auf den aktiven Datenbestand.

Frage H4: Müssen bei einem Löschungsbegehren auch alle einschlägigen Daten aus Sicherungskopien entfernt werden? (20.06.2019)

Nein. Zu beachten ist aber, dass im Falle einer Datenwiederherstellung nur jene Daten aktiviert werden dürfen, die noch nicht als gelöscht gelten.

Bearbeiter: BFR Dr. Thomas Schindler

Stand: 20. Juni 2019