Information zum Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO)

Hinweis

Diese Seite wird laufend aktualisiert und ergänzt, um den Letztstand der Informationen und Vorgehensweisen zur Verfügung stellen zu können.

Die Verarbeitung personenbezogener Daten (mit oder ohne Hilfe der Informationstechnologie) unterliegt – auch im Feuerwehrwesen – dem Grundrecht auf Datenschutz. Die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), EU-ABl. 2016 L119/1, ist am 25.05.2016 in Kraft getreten und ab 25.05.2018 unmittelbar anzuwendendes Recht. Neben dem Verordnungstext sind auch die Erwägungen (d.h. die erläuternden Bemerkungen zur DSGVO) zu beachten. Die DSGVO ist zwar unmittelbar anwendbares EU-Recht, sie enthält jedoch Regelungsspielräume, die die Möglichkeit zu materienspezifischen Datenschutzregelungen durch den jeweils zuständigen Gesetzgeber (Bund oder Land im Rahmen ihrer jeweiligen Kompetenz) eröffnen.

Das bisher umfassend anzuwendende Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, bleibt – neben der DSGVO – weiterhin anwendbar. Es wurde in letzter Zeit jedoch mehrfach novelliert durch:

  • das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017,
  • das Datenschutz-Deregulierungs-Gesetz 2018, 98 BlgNR 26. GP (im BGBl. noch nicht kundgemacht), und
  • die Änderung des Datenschutzgesetzes, 99 BlgNR 26. GP (im BGBl. Noch nicht kundgemacht).

Die Novellierungen treten – gleichzeitig mit der DSGVO – am 25.05.2018 in Kraft.

Feuerwehrspezifische Sonderregelungen in Gesetzesform wären durch den jeweiligen Materiengesetzgeber zu erlassen. Beispielsweise wird im Burgenland dzt. in Zusammenarbeit zwischen der Landesregierung und dem Landesfeuerwehrverband ein neues Feuerwehrgesetz ausgearbeitet, in dem auch ein datenschutzrechtlicher Teil enthalten sein soll. Dieses Gesetz soll das derzeit geltende Bgld. FWG 1994 ablösen.

1. Wesentliche Regelungsinhalte der DSGVO und damit verbundene Neuerungen (im Überblick)

  • Das neue Datenschutzrecht betrifft nur noch (lebende) natürliche Personen, nicht mehr juristische Personen (Art. 1 Abs. 1 DSGVO). Betroffen sind nur Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Z 1 DSGVO).
  • Datenschutzrechtliche Grundsätze (Art. 5 Abs. 1 DSGVO): z.B.
    • Rechtmäßigkeit, Treu und Glauben sowie Transparenz bei der Datenverarbeitung (Rechtsgrundlagen für die Feuerwehr: insb. Art. 6 Abs. 1 lit. c und e DSGVO + nationales Recht)
    • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
    • Datenminimierung: nur die unmittelbar notwendigen Daten dürfen verarbeitet werden (v.a. für Gesundheitsdaten bedeutend).
    • Integrität und Vertraulichkeit: Datensicherheit (technische und organisatorische Maßnahmen), kein Zugriff durch Unbefugte.
  • Besondere Regelungen bestehen für „besondere Kategorien personenbezogener Daten“ (bisher „sensible Daten“), z.B. Gesundheitsdaten (siehe Art. 4 Z 15; Art. 9 Abs. 2 lit. b+h und Abs. 3 DSGVO; Erwägung 35)
  • Datenschutzrechtlicher Verantwortlicher (Art. 4 Z 7, Art. 5 Abs. 2 DSGVO, bisher „Auftraggeber“): weiterhin zentrale Bezugsperson („natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“). Für den Bereich der Feuerwehr sind das – je nach Zuständigkeit – die Verwaltungsbehörden (Bürgermeister, Bezirksverwaltungsbehörde, Landesregierung), die Feuerwehren und die Feuerwehrverbände
  • Die Feuerwehrverbände sind auch Auftragsverarbeiter (Art. 4 Z 8 DSGVO) für die Feuerwehren.
  • Die Meldepflichten beim Datenverarbeitungsregister entfallen. Anstelle dessen bestehen künftig verstärkte interne Dokumentationspflichten: Verpflichtung des Verantwortlichen (d.h. aller Einrichtungen der öffentlichen Verwaltung) zur selbständigen Führung eines Verfahrensverzeichnisses (Art. 30 DSGVO), in dem alle Datenverarbeitungen aufzulisten und zu beschreiben sind.
  • Datenschutzbeauftragter (DSB, Art. 37-39 DSGVO, § 5 DSG 2000 idF DSAnpG 2018):
    • Benennung durch jeden datenschutzrechtlichen Verantwortlichen (Art. 37 Abs. 1 lit. a DSGVO) oder für mehrere Verantwortliche gemeinsam (Art. 37 Abs. 2 DSGVO)
    • Besondere Qualifikation (Datenschutzrecht und -praxis, Art. 37 Abs. 5 DSGVO)
    • weisungsfrei, wegen Auftragserfüllung nicht absetzbar, unmittelbar der höchsten Führungsebene unterstellt (Art. 38 Abs. 3 DSGVO, § 5 Abs. 3 DSG idF DSAnpG 2018)
    • Mischverwendung zulässig, aber Interessenkonflikte hintanhalten (Art. 38 Abs. 6 DSGVO)
    • Schnittstelle zur Datenschutzbehörde (Art. 39 Abs. 1 lit. d und e DSGVO).

2. Konkreter Handlungsbedarf

Die in der Verbänden eingeführten IT-Systeme (insb. syBOS, FDisk) sind auf Vereinbarkeit mit dem Datenschutzrecht, insb. der DSGVO, zu überprüfen und anzupassen. Sie dürfen nur unter Beachtung der datenschutzrechtlichen Regelungen betrieben und weiterentwickelt werden. Die Entwicklung neuer Anwendungen hat erst nach positiver datenschutzrechtlicher Prüfung (verbandsintern und ggf. im Einvernehmen mit der Datenschutzbehörde) stattzufinden.

Die Bedeutung der datenschutzrechtlichen Neuerungen für das Feuerwehrwesen soll anhand konkreter Fragestellungen gezeigt werden:

Kap. A – Rechtliche Grundlagen

Frage A1: Welche rechtlichen Grundlagen bestehen künftig für den Datenschutz im Feuerwehrdienst?

  • Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), EU-ABl. 2016 L119/1 (samt Erwägungen),
  • Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, idgF,
  • Feuerwehrspezifische Sonderregelungen in Gesetzesform (Bundes- und Landesgesetze)
  • Feuerwehrinterne Regelungen in Form von Satzungen („Feuerwehrordnungen“, „Dienstordnungen“

Frage A2: Müssen Feuerwehrgesetze geändert werden?

Die geltenden Feuerwehrgesetze enthalten kaum datenschutzrechtliche Regelungen. Auf Grund der DSGVO besteht aber entsprechender Bedarf nach innerstaatlicher Umsetzung, die zweckmäßigerweise in einem möglichst hohen legistischen Standard, d.h. in Form von Gesetzen, erfolgen sollte.

Frage A3: Für wen gilt die DSGVO?

Die DSGVO gilt nur für (lebende) natürliche Personen, nicht für juristische Personen (Art. 1 Abs. 1 DSGVO). Betroffen sind nur Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Z 1 DSGVO).

Frage A4: Gilt die DSGVO auch für Verstorbene?

Nein. Die DSGVO gilt nicht für die personenbezogenen Daten Verstorbener (vgl. Erwägung 27). Dessen ungeachtet können aber sonstige rechtliche Grundlagen für den Umgang mit den Daten Verstorbener beachtlich sein.

Hinsichtlich der Feuerwehrmitgliedschaft gibt es jedoch keine Rechtsnachfolge. Die Mitgliedschaft ist ein höchstpersönliches Recht. Datenlöschungsanträge durch Erben sind daher nicht möglich.

Frage A5: Was kann eine geeignete rechtliche Grundlage für die Verarbeitung personenbezogener Daten sein?

  • Die DSGVO
  • Das Datenschutzgesetz 2000 (DSG 2000)
  • Einschlägige Materiengesetze und Verordnungen (z.B. Feuerpolizei- und Feuerwehrgesetze)
  • Feuerwehrsatzungen, d.h. im Rahmen der Selbstverwaltung erlassene, generelle Normen

Eine rechtliche Grundlage für eine Datenverarbeitung muss nicht notwendigerweise ein Gesetz im formellen Sinne sein. Die entsprechende Rechtsgrundlage muss jedoch klar und präzise sein und ihre Anwendung muss für die Rechtsunterworfenen vorhersehbar sein.

Frage A6: Ist es relevant, welche(s) Programm(e) eine Feuerwehr bzw. ein Feuerwehrverband verwendet?

Nein. Die rechtlichen Anforderungen an die Datenverarbeitung sind vom IT-System (insb. SyBOS und FDisk) völlig unabhängig.

Die konkrete Datenanwendung hat sich nach den rechtlichen Grundlagen (DSGVO, nationales Recht) zu richten und nicht nach den Möglichkeiten eines EDV-Programms. Die Berechtigung zur Ermittlung von Daten ergibt sich jedenfalls nicht aus dem Umstand, dass im EDV-Programm bestimmte Datenfelder oder Funktionalitäten programmiert sind (wenn auch nicht als Pflichtfeld).

Kap. B – Aufgaben und Zuständigkeiten

Frage B1: Wer ist datenschutzrechtlicher Verantwortlicher (Art. 4 Z 7 DSGVO) für die Mitgliederverwaltung der Feuerwehren?

Die datenschutzrechtliche Verantwortlichkeit für die Kernaufgabe „Mitgliederverwaltung“ liegt im Wesentlichen bei den Feuerwehren. Auch der LFV erzeugt Daten und ist damit auch Verarbeiter und datenschutzrechtlicher Verantwortlicher (z.B. Lehrgangsverwaltung, Eintragung absolvierter Lehrgänge in die Stammblätter, bestimmte Datenverarbeitungen bei höheren Feuerwehrführern und Bediensteten des LFV).

Frage B2: Was ist ein Auftragsverarbeiter (Art. 4 Z 8 DSGVO) im Feuerwehrwesen?

Die LFV stellen den Feuerwehren entsprechende EDV-Programme zentral zur Verfügung. Der Betreiber des Servers ist der Auftragsverarbeiter:

  • FDISK wird vom NÖ LFV betrieben.
  • SYBOS wird von den LFV bei der Firma Solaris Auftragsverarbeiter sind die LFV.

Frage B3: Müssen die Feuerwehren und der Landesfeuerwehrverband Vereinbarungen über die Verteilung der Verpflichtungen nach der DSGVO abschließen?

Art. 26 DSGVO verlangt grundsätzlich den Abschluss einer Vereinbarung, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten festlegen, sofern und soweit die jeweiligen Aufgaben nicht durch Rechtsvorschriften festgelegt sind. Die Feuerwehren und Feuerwehrverbände verarbeiten zwar – insb. im Rahmen der Mitgliederverwaltung – gemeinsam personenbezogene Daten. Die Feuerwehren sind ex lege Mitglieder des jeweiligen (Landes-)Feuerwehrverbandes. Das Verhältnis zwischen den Feuerwehren und dem Feuerwehrverband ist gesetzlich und satzungsmäßig – unter Aufteilung der Zuständigkeiten – festgelegt. Zusätzlicher Vereinbarungen auf datenschutzrechtlicher Basis bedarf es daher nicht.

Das gleiche gilt für die Tätigkeit der Landesfeuerwehrverbände als Auftragsverarbeiter für die einzelnen Feuerwehren (Art. 28 DSGVO).

Frage B4: Was ist ein Verarbeitungsverzeichnis?

Die Meldepflichten beim Datenverarbeitungsregister entfallen künftig. Anstelle dessen bestehen künftig für alle datenschutzrechtlichen Verantwortlichen und für alle Auftragsverarbeiter verstärkte interne Dokumentationspflichten. Alle Verantwortlichen und alle Auftragsverarbeiter müssen daher ein Verarbeitungsverzeichnis führen (Art. 30 Abs. 1 bzw. 2 DSGVO), in dem alle Datenverarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, aufzulisten und zu beschreiben sind. Dieses ist auf Verlangen der Datenschutzbehörde zur Verfügung zu stellen.

Der ÖBFV beabsichtigt, ein Musterverarbeitungsverzeichnis für die gängigsten Datenverarbeitungen der Feuerwehren zu erstellen (Herkunft der Daten, Verarbeitung, Weitergabe (Empfängerkreise), Fristen für Datenspeicherung).

Kap. C – Datenarten, Datenermittlung und -übermittlung

Frage C1: Welche Daten dürfen im Feuerwehrdienst verarbeitet werden?

Es dürfen nur jene Daten verarbeitet werden, die tatsächlich für den Feuerwehrdienst notwendig sind (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO) und für die eine ausreichende rechtliche Grundlage besteht.

Beispiele:

  • Nicht relevant sind z.B.: Religionsbekenntnis, Familienstand, Datum der Eheschließung.
  • Identitätsdaten eines Unfallopfers (Name, Geburtsdatum, Wohnadresse) dürfen ermittelt werden (vgl. § 41 Abs. 3 Bgld. FWG 1994), weitere Daten nur bei konkreter Notwendigkeit. Daten über Art und Ausmaß von Verletzungen oder über Unfallursachen fallen nicht in die Zuständigkeit der Feuerwehr.

Frage C2: Ist für die Datenverarbeitung der Feuerwehr eine Zustimmung des Feuerwehrmitglieds erforderlich?

Die Mitgliedschaft bei der Feuerwehr ist ein hoheitliches Rechtsverhältnis, das nicht der privatautonomen Ausgestaltung unterliegt. Sobald man der Feuerwehr beitritt, akzeptiert man die für das Feuerwehrwesen geltenden Rechts- und Verwaltungsvorschriften, auf denen auch die Verarbeitung der Mitgliederdaten erfolgt.

Es wird daher davon ausgegangen, dass – abgesehen von der Beitrittserklärung – keine (zusätzliche) Erklärung bzw. Einwilligung des Mitglieds über die Verarbeitung der einschlägigen personenbezogenen Daten erforderlich ist. Dessen ungeachtet wird empfohlen, in die Beitrittserklärung einen entsprechenden Passus über die Zustimmung zur Datenverarbeitung aufzunehmen.

Frage C3: Welche Arten von Daten können im Feuerwehrbereich anfallen?

Personenbezogene Daten können in allen Tätigkeitsbereichen der Feuerwehr anfallen. Das sind insbesondere:

  • Mitgliederverwaltung
  • Personalverwaltung der Feuerwehrverbände und Feuerwehren (für Personen in einem Dienstverhältnis)
  • Alarmierungsdaten
  • Alarm- und Einsatzplanung einschließlich der Sonderalarmpläne
  • Einsatzdokumentation
  • Einsatzberichterstattung
  • Öffentlichkeitsarbeit
  • Privatwirtschaftsverwaltung (wirtschaftliche Betätigung der Feuerwehr)

Frage C4: Welche Arten von Daten werden im Rahmen der Mitgliederverwaltung benötigt?

Die Feuerwehren und die Feuerwehrverbände dürfen von Feuerwehrmitglieder nur jene Daten verarbeiten, die für den jeweiligen Verarbeitungszweck – z.B. die Mitgliederverwaltung – benötigt werden. Das sind:

  • Identifizierungsdaten:
    • Familien- und Vorname(n), einschl. frühere Namen,
    • Akademischer Grad oder Ingenieur-Grad
    • Geburtsdatum,
    • (Pass-)Foto des Mitglieds,
  • Erreichbarkeitsdaten:
    • Wohn- und Zustelladressen,
    • E-Mail-Adressen,
    • Telefonnummern
  • Mitgliedschaftsdaten:
    • Stammblatt- bzw. Standesbuchnummer,
    • Eintritt, Austritt, Übertritt
    • Frühere Mitgliedschaften,
    • Status (Aktiv, Jugend, Reserve, Ehrenmitgliedschaft usw.)
    • Dienstgrade,
    • Funktionen,
    • Auszeichnungen,
  • Bildung:
    • Schul- und Hochschulstudium,
    • Berufliche (Aus-)Bildung,
    • sonstige Qualifikationen
  • Feuerwehrausbildung:
    • Lehrgänge, Seminare u.ä.
    • Leistungsabzeichen und Leistungsprüfungen
  • Militärdienst / Zivildienst (soweit für den Feuerwehrdienst relevant)
  • Besondere Berechtigungen und Befähigungen:
    • Sprachkenntnisse,
    • Führerschein und spezielle Lenkberechtigungen (z.B. ADR),
    • Sprengbefugnis, usw.
  • Disziplinarmaßnahmen
  • Bekleidung und sonstige persönliche Ausrüstung

Frage C5: Dürfen von der Feuerwehr Gesundheits- und Sozialversicherungsdaten verarbeitet werden?

Die Verarbeitung „besonderer Kategorien personenbezogener Daten“ (Art. 9 DSGVO, bisher „sensible Daten“) ist generell nur unter sehr eingeschränkten Voraussetzungen zulässig. Für die Feuerwehr sind in diesem Zusammenhang auch nur ganz wenige Daten relevant:

  • Tauglichkeitsstatus: Die Tauglichkeit für den Feuerwehrdienst ist Grundvoraussetzung für die Mitgliedschaft. Befunde dürfen nur vom Feuerwehrarzt verarbeitet werden (Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO).
  • Sozialversicherungsnummer: Alle Feuerwehrmitglieder sind gemäß § 176 ASVG sozialversichert.
  • Impfdaten: soweit diese für die Inanspruchnahme der von der AUVA zu finanzierenden Hepatitis-Impfung unbedingt erforderlich sind (§ 188b ASVG idF BGBl. I Nr. 125/2017)

Frage C6: Welche personenbezogenen Daten sind für die Feuerwehr typischerweise nicht relevant und dürfen daher nicht verarbeitet werden?

  • Familienstand
  • Religionsbekenntnis
  • Blutgruppe

Frage C7: Welche Daten dürfen im Zuge der Einsatzdokumentation und -berichterstattung verarbeitet werden?

Die Feuerwehren sind öffentliche Einrichtungen, die gesetzlich festgelegte Aufgaben im Bereich der Hoheitsverwaltung erfüllen. Mit der Aufgabenerfüllung untrennbar verbunden ist die Verpflichtung der Feuerwehr, ihre Tätigkeit im erforderlichen Ausmaß nachvollziehbar zu dokumentieren. Dazu gehören insb.:

  • Einsatzort und -zeit
  • Daten des/der Geschädigten (Identitätsdaten (Ausweisdokument), Erreichbarkeitsdaten),
  • Daten von Verfügungsberechtigten (z.B. über Liegenschaften oder Fahrzeuge),
  • eingesetzte Feuerwehrkräfte,
  • Einsatzablauf (Einsatztagebuch).

Die Verarbeitung von Daten über Art und Schwere von Verletzungen (nur für Zwecke der Dokumentation) oder über Verschuldensfragen am einsatzauslösenden Ereignis ist nicht Aufgabe der Feuerwehr.

Für den Datenaustausch mit der Polizei gibt es in den einzelnen Feuerwehrgesetzen entsprechende Regelungen (vgl. § 41 Bgld. FWG 1994).

Frage C8: Welche Daten dürfen im Rahmen der Privatwirtschaftsverwaltung der Feuerwehr verarbeitet werden?

Die Feuerwehren können sich im Rahmen ihrer Tätigkeiten außerhalb des gesetzlichen oder statutarischen Aufgabenbereiches nicht auf einen hoheitlichen (Sonder-)Status berufen. Sie haben daher die gleichen rechtlichen Rahmenbedingungen wie Privatpersonen zu beachten. Die Ermittlung von Daten beruht in diesem Fall ausschließlich auf Freiwilligkeit des Gegenübers. Einschlägige Daten können sein:

  • Erreichbarkeitsdaten von feuerwehrfremden Personen (Adressenverzeichnisse, Einladungsliste, Begrüßungslisten)
  • Kunden- und Lieferantendaten
  • Rechnungswesen
  • Spenderdaten: Ist im Zusammenhang mit der Arbeitnehmerveranlagung rechtlich besonders geregelt (Sonderausgaben-Datenübermittlungsverordnung; Name, Geburtsdatum, Adressdaten)
  • sonstige Daten nur mit Zustimmung der betroffenen Personen (z.B. Geburtstagsliste)

Frage C9: Wie ist mit Auskunftsanfragen durch die Polizei bezüglich vorhandener Daten (z.B. Einsatzdokumentation) im Zuge polizeilicher Ermittlungstätigkeit umzugehen?

Für die sicherheits- und kriminalpolizeiliche Aufgabenerfüllung durch die Sicherheitsbehörden und ihre Organe gibt es spezifische gesetzliche Grundlagen (insb. das Sicherheitspolizeigesetz und die Strafprozessordnung). Bei Ersuchen der Sicherheitsorgane wird davon auszugehen sein, dass dies auf einer ausreichenden gesetzlichen Grundlage beruhen. Diesen Ersuchen wird daher grundsätzlich zu entsprechen sein. Allerdings soll die Kommunikation dabei über offizielle Wege erfolgen, nicht z.B. über die private E-Mail-Adresse des Kommandanten.

Kap. D – Öffentlichkeitsarbeit

Frage D1: Ist die DSGVO auch auf die Öffentlichkeitsarbeit der Feuerwehr anwendbar?

Ja. Die einschlägigen Regelungen finden sich insb. in Art. 6 Abs. 1 lit. e und Art. 85 Abs. 1 DSGVO, die beide innerstaatlich durch den nationalen Gesetzgeber umgesetzt werden müssen. Die innerstaatliche Rechtsentwicklung ist dzt. noch nicht absehbar und muss daher seitens der Feuerwehr gut im Auge behalten werden.

Kap. E – Datensicherheit

Frage E1: Wie ist der Zugang zu personenbezogenen Daten zu regeln?

Der Zugang zu personenbezogenen Daten ist auf ein unbedingt notwendiges Maß zu beschränken. Unbefugte sollen keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können (Art. 29 und 32 DSGVO, Erwägung 39 letzter Satz).

Frage E2: Auf welche Daten darf eine Feuerwehr Zugriff haben?

Jede Feuerwehr darf grundsätzlich nur Zugriff auf ihre eigenen Daten haben (auch der Administrator der Feuerwehr). Darüber hinaus darf sie Zugriff auf Daten anderer Feuerwehren und des LFV nur insoweit haben, als sie diese zur Wahrnehmung ihrer Aufgaben unbedingt benötigt.

Frage E3: Auf welche Daten darf ein Feuerwehrmitglied Zugriff haben?

Der allgemeine Zugriff von Feuerwehrmitgliedern auf Daten der eigenen Feuerwehr oder anderer Feuerwehren (wie z.B. Geburtsdatum, Telefon-Nummern und E-Mail-Adressen) ist datenschutzrechtlich nicht zulässig (Art. 29 und 32 Abs. 4 DSGVO, Erwägung 39).

Innerhalb der Feuerwehr sind Rollen für die Festlegung von Zugangsberechtigungen zu definieren: insb. für Kdt(Stv), Verwalter, Kassier, Jugendbetreuer, Gerätewart. Umfang der Lese- und Bearbeitungsberechtigung ist je nach Aufgabe/Funktion (Rolle) zu differenzieren und auf das Notwendige zu beschränken.E

Vorgesetzte (höhere Kommandanten) dürfen (nur) insoweit Zugriff auf Daten der ihnen unterstellten Feuerwehrmitglieder bzw. Feuerwehren haben, als sie diese Daten zur Ausübung ihrer Funktion brauchen (z.B. AFKdt nur auf notwendige Daten seines Abschnitts, BFKdt auf notwendige Daten seines Bezirks).

Kap. F – Datenschutzbeauftragter

Frage F1: Benötigt die Feuerwehr einen Datenschutzbeauftragen (DSB; Art. 37 ff DSGVO, § 5 DSG)?

Die Feuerwehren und die Feuerwehrverbände sind öffentliche Stellen und benötigen daher einen Datenschutzbeauftragten (DSB). Allerdings kann für mehrere öffentliche Stellen ein gemeinsamer DSB bestellt werden (Art. 37 Abs. 1 lit. a und Abs. 3 DSGVO). Der DSB muss nämlich nicht zwingend Funktionär oder Bediensteter der öffentlichen Stelle sein, für die er tätig wird. In der Praxis ist es daher möglich, dass die Feuerwehrverbände DSB z.B. auf Landes- und/oder Bezirksebene bestellen, derer sich die Feuerwehren bedienen können.

Frage F2: Wie ist die organisatorische Stellung des DSB in der Feuerwehr?

Der DSB kann innerhalb der Feuerwehr auch andere Aufgaben wahrnehmen. In seiner Eigenschaft als DSB ist er aber weisungsfrei zu stellen und untersteht unmittelbar der höchsten Führungsebene des Verantwortlichen, also dem jeweiligen Kommandanten (Art. 38 DSGVO, § 5 Abs. 3 DSG).

Frage F3: Was ist die Rolle des DSB?

Der DSB ist in alle mit personenbezogenen Daten zusammenhängenden Fragen einzubinden. Er informiert und berät den Verantwortlichen, den Auftragsverarbeiter, die Funktionäre und die Bediensteten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften sowie der Strategien seines Auftraggebers für den Schutz personenbezogener Daten. Überdies ist er die Anlaufstelle für die Datenschutzbehörde (Art. 38, 39 und 51 ff DSGVO iVm §§ 18 ff Datenschutzgesetz (DSG).

Frage F4: Welche Qualifikation soll ein DSB haben?

Der DSB soll eine ausreichende Qualifikation auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen (Art. 37 Abs. 5 DSGVO).

Kap. G – Sonstiges

Frage G1: Wann sind Daten zu löschen bzw. wie ist mit historischen Daten umzugehen?

Die DSGVO legt keine fixen Speicherfristen fest. Sofern keine innerstaatlichen Rechtsvorschriften über Speicherfristen und Löschungspflichten bestehen, sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind (Art. 17 DSGVO).

Daten, die bspw. im Rahmen des Rechnungswesens der Feuerwehr verarbeitet werden, dürfen jedenfalls während der verpflichtenden Belegaufbewahrungsdauer nicht gelöscht werden. Auch Mitgliederdaten müssen nach Ende der Mitgliedschaft aus rechtsstaatlichen und historischen Gründen weiter verarbeitet werden.

Dessen ungeachtet hat jede betroffene Person das Recht, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der Verantwortliche hat diesfalls zu prüfen, ob seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben (Art. 21 DSGVO, Erwägung 69).

Bearbeiter: BFR Dr. Thomas Schindler

Stand: 15. Mai 2018