Information zum Inkrafttreten der EU-Datenschutzgrundverordnung (V6)

Hinweis

Diese Seite wird laufend aktualisiert und ergänzt, um den Letztstand der Informationen und Vorgehensweisen zur Verfügung stellen zu können.

1. Änderungen im Datenschutzrecht

(Stand: 19.09.2022)

Die Verarbeitung personenbezogener Daten (mit oder ohne Hilfe der Informationstechnologie) unterliegt – auch im Feuerwehrwesen – dem Grundrecht auf Datenschutz. Die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), EU-ABl. 2016 L119/1, ist am 25.05.2016 in Kraft getreten und ab 25.05.2018 unmittelbar anzuwendendes Recht. Neben dem Verordnungstext sind auch die Erwägungen (d.h. die erläuternden Bemerkungen zur DSGVO) zu beachten. Die DSGVO ist zwar unmittelbar anwendbares EU-Recht, sie enthält jedoch Regelungsspielräume, die die Möglichkeit zu materienspezifischen Datenschutzregelungen durch den jeweils zuständigen Gesetzgeber (Bund oder Land im Rahmen ihrer jeweiligen Kompetenz) eröffnen.

Das bisher umfassend anzuwendende Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, bleibt – neben der DSGVO – weiterhin anwendbar. Es wurde in letzter Zeit jedoch mehrfach novelliert durch:

  • das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017,
  • das Datenschutz-Deregulierungs-Gesetz 2018, BGBl. I Nr. 24/2018, und
  • die Änderungen des Datenschutzgesetzes, BGBl. I Nr. 23/2018 und 14/2019 und 148/2021.

Die Novellierungen unter BGBl. I Nr. 23 und 24/2018 sind – gleichzeitig mit der DSGVO – am 25.05.2018 in Kraft getreten.

Feuerwehrspezifische Sonderregelungen in Gesetzesform wären durch den jeweiligen Materiengesetzgeber zu erlassen. Beispielsweise wurde im Burgenland in Zusammenarbeit zwischen der Landesregierung und dem Landesfeuerwehrverband ein neues Bgld. Feuerwehrgesetz 2019 (Bgld. FwG 2019, LGBl. Nr. 100/2019) ausgearbeitet, das auch einen datenschutzrechtlichen Teil (§§ 76 – 81) enthält.

2. Wesentliche Regelungsinhalte der DSGVO und damit verbundene Neuerungen (im Überblick)

  • Das neue Datenschutzrecht betrifft nur noch (lebende) natürliche Personen, nicht mehr juristische Personen (Art. 1 Abs. 1 DSGVO). Betroffen sind nur Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Z 1 DSGVO).
  • Datenschutzrechtliche Grundsätze (Art. 5 Abs. 1 DSGVO): z.B.
    • Rechtmäßigkeit, Treu und Glauben sowie Transparenz bei der Datenverarbeitung (Rechtsgrundlagen für die Feuerwehr: insb. Art. 6 Abs. 1 lit. c und e DSGVO + nationales Recht)
    • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
    • Datenminimierung: nur die unmittelbar notwendigen Daten dürfen verarbeitet werden (v.a. für Gesundheitsdaten bedeutend).
    • Integrität und Vertraulichkeit: Datensicherheit (technische und organisatorische Maßnahmen), kein Zugriff durch Unbefugte.
  • Besondere Regelungen bestehen für „besondere Kategorien personenbezogener Daten“ (bisher „sensible Daten“), z.B. Gesundheitsdaten (siehe Art. 4 Z 15; Art. 9 Abs. 2 lit. b+h und Abs. 3 DSGVO; Erwägung 35)
  • Datenschutzrechtlicher Verantwortlicher (Art. 4 Z 7, Art. 5 Abs. 2 DSGVO, bisher „Auftraggeber“): weiterhin zentrale Bezugsperson („natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle“). Für den Bereich der Feuerwehr sind das – je nach Zuständigkeit – die Verwaltungsbehörden (Bürgermeister, Bezirksverwaltungsbehörde, Landesregierung), die Feuerwehren und die Feuerwehrverbände.
  • Die Feuerwehrverbände sind auch Auftragsverarbeiter (Art. 4 Z 8 DSGVO) für die Feuerwehren.
  • Die Meldepflichten beim Datenverarbeitungsregister entfallen. Anstelle dessen bestehen künftig verstärkte interne Dokumentationspflichten: Verpflichtung des Verantwortlichen (d.h. aller Einrichtungen der öffentlichen Verwaltung) zur selbständigen Führung eines Verfahrensverzeichnisses (Art. 30 DSGVO), in dem alle Datenverarbeitungen aufzulisten und zu beschreiben sind.
  • Datenschutzbeauftragter (DSB, Art. 37-39 DSGVO, § 5 DSG 2000 idF DSAnpG 2018):
    • Benennung durch jeden datenschutzrechtlichen Verantwortlichen (Art. 37 Abs. 1 lit. a DSGVO) oder für mehrere Verantwortliche gemeinsam (Art. 37 Abs. 2 DSGVO)
    • Besondere Qualifikation (Datenschutzrecht und -praxis, Art. 37 Abs. 5 DSGVO)
    • weisungsfrei, wegen Auftragserfüllung nicht absetzbar, unmittelbar der höchsten Führungsebene unterstellt (Art. 38 Abs. 3 DSGVO, § 5 Abs. 3 DSG idF DSAnpG 2018)
    • Mischverwendung zulässig, aber Interessenkonflikte hintanhalten (Art. 38 Abs. 6 DSGVO)
    • Schnittstelle zur Datenschutzbehörde (Art. 39 Abs. 1 lit. d und e DSGVO).

3. Konkreter Handlungsbedarf

Die in den Verbänden eingeführten IT-Systeme (insb. SYBOS, FDISK) sind auf Vereinbarkeit mit dem Datenschutzrecht, insb. der DSGVO, zu überprüfen und anzupassen. Sie dürfen nur unter Beachtung der datenschutzrechtlichen Regelungen betrieben und weiterentwickelt werden. Die Entwicklung neuer Anwendungen hat erst nach positiver datenschutzrechtlicher Prüfung (verbandsintern und ggf. im Einvernehmen mit der Datenschutzbehörde) stattzufinden.

Die Bedeutung der datenschutzrechtlichen Neuerungen für das Feuerwehrwesen soll anhand konkreter Fragestellungen gezeigt werden:

Kap. A – Rechtliche Grundlagen

  • Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), EU-ABl. 2016 L119/1 (samt Erwägungen),
  • Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, idgF,
  • Feuerwehrspezifische Sonderregelungen in Gesetzesform (Bundes- und Landesgesetze)
  • Feuerwehrinterne Regelungen in Form von Satzungen („Feuerwehrordnungen“, „Dienstordnungen“) (siehe Erwägung 41 zur DSGVO)

Die geltenden Feuerwehrgesetze enthalten kaum datenschutzrechtliche Regelungen. Auf Grund der DSGVO besteht aber entsprechender Bedarf nach innerstaatlicher Umsetzung, die zweckmäßigerweise in einem möglichst hohen legistischen Standard, d.h. in Form von Gesetzen, erfolgen sollte.

Die DSGVO gilt nur für (lebende) natürliche Personen, nicht für juristische Personen (Art. 1 Abs. 1 DSGVO). Betroffen sind nur Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Z 1 DSGVO).

Nein. Die DSGVO gilt nicht für die personenbezogenen Daten Verstorbener (vgl. Erwägung 27 zur DSGVO). Dessen ungeachtet können aber sonstige rechtliche Grundlagen für den Umgang mit den Daten Verstorbener beachtlich sein.

Hinsichtlich der Feuerwehrmitgliedschaft gibt es jedoch keine Rechtsnachfolge. Die Mitgliedschaft ist ein höchstpersönliches Recht. Datenlöschungsanträge durch Angehörige/ Hinterbliebene sind daher nicht möglich.

  • die DSGVO
  • das Datenschutzgesetz (DSG)
  • einschlägige Materiengesetze und Verordnungen (z.B. Feuerpolizei- und Feuerwehrgesetze)
  • Feuerwehrsatzungen, d.h. im Rahmen der Selbstverwaltung erlassene, generelle Normen

Eine rechtliche Grundlage für eine Datenverarbeitung muss nicht notwendigerweise ein Gesetz im formellen Sinne sein. Die entsprechende Rechtsgrundlage muss jedoch klar und präzise sein und ihre Anwendung muss für die Rechtsunterworfenen vorhersehbar sein (vgl. Erwägung 41 zur DSGVO).

Nein. Die rechtlichen Anforderungen an die Datenverarbeitung sind vom IT-System (insb. SYBOS und FDISK) völlig unabhängig.

Die konkrete Datenanwendung hat sich nach den rechtlichen Grundlagen (DSGVO, nationales Recht) zu richten und nicht nach den Möglichkeiten eines EDV-Programms. Die Berechtigung zur Ermittlung von Daten ergibt sich jedenfalls nicht aus dem Umstand, dass im EDV-Programm bestimmte Datenfelder oder Funktionalitäten programmiert sind (wenn auch nicht als Pflichtfeld).

Kap. B – Aufgaben und Zuständigkeiten

Die datenschutzrechtliche Verantwortlichkeit für die Kernaufgabe „Mitgliederverwaltung“ liegt im Wesentlichen bei den Feuerwehren. Auch der LFV erzeugt Daten und ist damit auch Verarbeiter und datenschutzrechtlicher Verantwortlicher (z.B. Lehrgangsverwaltung, Eintragung absolvierter Lehrgänge in die Stammblätter, bestimmte Datenverarbeitungen bei höheren Feuerwehrführern und Bediensteten des LFV).

Die LFV stellen den Feuerwehren entsprechende EDV-Programme zentral zur Verfügung. Der Betreiber des Servers ist der Auftragsverarbeiter:

  • FDISK wird vom NÖ LFV betrieben.
  • SYBOS wird von den LFV bei der Firma Solaris Auftragsverarbeiter sind die LFV.

Art. 26 DSGVO verlangt grundsätzlich den Abschluss einer Vereinbarung, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung personenbezogener Daten festlegen, sofern und soweit die jeweiligen Aufgaben nicht durch Rechtsvorschriften festgelegt sind. Die Feuerwehren und Feuerwehrverbände verarbeiten zwar – insb. im Rahmen der Mitgliederverwaltung – gemeinsam personenbezogene Daten. Die Feuerwehren sind aber ex lege Mitglieder des jeweiligen (Landes-)Feuerwehrverbandes. Das Verhältnis zwischen den Feuerwehren und dem Feuerwehrverband ist gesetzlich und satzungsmäßig – unter Aufteilung der Zuständigkeiten – festgelegt. Zusätzlicher Vereinbarungen auf datenschutzrechtlicher Basis bedarf es daher nicht.

Das gleiche gilt für die Tätigkeit der Landesfeuerwehrverbände als Auftragsverarbeiter für die einzelnen Feuerwehren (Art. 28 DSGVO).

Da es die im § 50 DSG (alte Fassung) vorgesehenen Informationsverbundsysteme nicht mehr gibt, ist eine gesetzliche Regelung der Aufgabenverteilung im jeweiligen Feuerwehrgesetz oder mittels Satzung naheliegend.

Soweit dies nicht erfolgt, kann ein Betroffener seine Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen (Art. 26 Abs. 3 DSGVO).

Nein. ÖBFV und LFV übermitteln im Rahmen ihrer gesetzlichen oder statutarischen Aufgabenerfüllung jeweils Daten, die sie rechtmäßig verarbeiten. Die Mitarbeit in Gremien des ÖBFV ist freiwillig, sodass von einer zumindest konkludenten Zustimmung der nominierten Feuerwehrmitglieder zur Übermittlung der erforderlichen personenbezogenen Daten seitens des entsendenden Mitglieds (insb. LFV) an den ÖBFV ausgegangen werden kann.

Die Meldepflichten beim Datenverarbeitungsregister entfallen künftig. Anstelle dessen bestehen künftig für alle datenschutzrechtlichen Verantwortlichen und für alle Auftragsverarbeiter verstärkte interne Dokumentationspflichten. Alle Verantwortlichen und alle Auftragsverarbeiter müssen daher ein Verarbeitungsverzeichnis führen (Art. 30 Abs. 1 bzw. 2 DSGVO), in dem alle Datenverarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, aufzulisten und zu beschreiben sind. Dieses ist auf Verlangen der Datenschutzbehörde zur Verfügung zu stellen.

Der ÖBFV hat ein Musterverarbeitungsverzeichnis für die gängigsten Datenverarbeitungen der Feuerwehren erstellt (Herkunft der Daten, Verarbeitung, Weitergabe (Empfängerkreise), Fristen für Datenspeicherung).

Nein. Gemäß Art. 30 Abs. 5 DSGVO gilt die Verpflichtung für Verantwortliche und Auftragsverarbeiter zur Führung eines Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 und 2 nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn,

  • die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10.

Die o.a. Ausnahmetatbestände treffen auf Feuerwehren und Feuerwehrverbände nicht zu. Sie alle müssen daher ein Verarbeitungsverzeichnis führen. Siehe auch FAQ B4.

Siehe FAQ B6 und B7. Das DVR wird nicht mehr weitergeführt. Die Feuerwehr muss ein Verarbeitungsverzeichnis führen (Art. 30 DSGVO).

Kap. C – Datenarten, Datenermittlung und -übermittlung

Es dürfen nur jene Daten verarbeitet werden, die tatsächlich für den Feuerwehrdienst notwendig sind (Grundsatz der Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO) und für die eine ausreichende rechtliche Grundlage besteht.

Beispiele:

  • Nicht relevant sind z.B.: Religionsbekenntnis, Familienstand, Datum der Eheschließung.
  • Identitätsdaten eines Unfallopfers (Name, Geburtsdatum, Wohnadresse) dürfen ermittelt werden (vgl. § 77 Abs. 1 und § 78 Abs. 1 Bgld. FwG 2019), weitere Daten nur bei entsprechender rechtlicher Grundlage. Daten über Art und Ausmaß von Verletzungen oder über Unfallursachen fallen nicht in die Zuständigkeit der Feuerwehr.

Die Mitgliedschaft bei der Feuerwehr ist ein hoheitliches Rechtsverhältnis, das nicht der privatautonomen Ausgestaltung unterliegt. Sobald man der Feuerwehr beitritt, akzeptiert man die für das Feuerwehrwesen geltenden Rechts- und Verwaltungsvorschriften, auf denen auch die Verarbeitung der für den Feuerwehrdienst notwendigen Mitgliederdaten erfolgt.

Es wird daher davon ausgegangen, dass – abgesehen von der Beitrittserklärung – keine (zusätzliche) Erklärung bzw. Einwilligung des Mitglieds über die Verarbeitung der einschlägigen, für den Feuerwehrdienst notwendigen personenbezogenen Daten erforderlich ist. Dessen ungeachtet wird empfohlen, in die Beitrittserklärung einen entsprechenden Passus über die Zustimmung zur Datenverarbeitung aufzunehmen. Dies ist vor allem dann von Bedeutung, wenn die Feuerwehr beabsichtigt, Daten von Mitgliedern (allenfalls sogar Portraitfotos) auf ihrer Homepage zu veröffentlichen.

Personenbezogene Daten können in allen Tätigkeitsbereichen der Feuerwehr anfallen. Das sind insbesondere:

  • Mitgliederverwaltung
  • Personalverwaltung der Feuerwehrverbände und Feuerwehren (für Personen in einem Dienstverhältnis)
  • Alarmierungsdaten
  • Alarm- und Einsatzplanung einschließlich der Sonderalarmpläne
  • Einsatzdokumentation
  • Einsatzberichterstattung
  • Öffentlichkeitsarbeit
  • Privatwirtschaftsverwaltung (wirtschaftliche Betätigung der Feuerwehr)

Die Feuerwehren und die Feuerwehrverbände dürfen von Feuerwehrmitglieder nur jene Daten verarbeiten, die für den jeweiligen Verarbeitungszweck – z.B. die Mitgliederverwaltung – benötigt werden (vgl. § 79 Abs. 1 Bgld. FwG 2019). Das sind:

  • Identifizierungsdaten:
    • Familien- und Vorname(n), einschl. frühere Namen,
    • Akademischer Grad oder Ingenieur-Grad
    • Geburtsdatum,
    • (Pass-)Foto des Mitglieds,
  • Erreichbarkeitsdaten:
    • Wohn- und Zustelladressen,
    • E-Mail-Adressen,
    • Telefonnummern
  • Mitgliedschaftsdaten:
    • Stammblatt- bzw. Standesbuchnummer,
    • Eintritt, Austritt, Übertritt
    • Frühere Mitgliedschaften,
    • Status (Aktiv, Jugend, Reserve, Ehrenmitgliedschaft usw.)
    • Dienstgrade,
    • Funktionen,
    • Auszeichnungen,
  • Bildung:
    • Schul- und Hochschulstudium,
    • Berufliche (Aus-)Bildung,
    • sonstige Qualifikationen
  • Feuerwehrausbildung:
    • Lehrgänge, Seminare u.ä.
    • Leistungsabzeichen und Leistungsprüfungen
  • Militärdienst / Zivildienst (soweit für den Feuerwehrdienst relevant)
  • Besondere Berechtigungen und Befähigungen:
    • Sprachkenntnisse,
    • Führerschein und spezielle Lenkberechtigungen (z.B. ADR),
    • Sprengbefugnis, usw.
  • Disziplinarmaßnahmen
  • Bekleidung und sonstige persönliche Ausrüstung

Ja. Die Kenntnis der Adressen der Mitglieder ist für den Feuerwehrdienst notwendig.

Die Verarbeitung „besonderer Kategorien personenbezogener Daten“ (Art. 9 DSGVO, bisher „sensible Daten“) ist generell nur unter sehr eingeschränkten Voraussetzungen zulässig. Für die Feuerwehr sind in diesem Zusammenhang auch nur ganz wenige Daten relevant:

  • Tauglichkeitsstatus: Die Tauglichkeit für den Feuerwehrdienst ist Grundvoraussetzung für die Mitgliedschaft. Befunde dürfen nur vom Feuerwehrarzt verarbeitet werden (Art. 9 Abs. 2 lit. h iVm Abs. 3 DSGVO).
  • Sozialversicherungsnummer: Alle Feuerwehrmitglieder sind gemäß § 176 ASVG sozialversichert.
  • Impfdaten: soweit diese für die Inanspruchnahme der von der AUVA zu finanzierenden Hepatitis-Impfung unbedingt erforderlich sind (§ 188b ASVG idF BGBl. I Nr. 125/2017)

Feuerwehrmitglieder sind jedenfalls nach § 176 ASVG sozialversichert. Die Erhebung der für die Prüfung des Versicherungsanspruches erforderlichen Daten und Übermittlung an die zuständige Sozialversicherungsanstalt erfolgt somit auf einer gesetzlichen Grundlage.

Die Schaffung von Einrichtungen, die Wohlfahrts- und Fürsorgezwecken für Feuerwehrmitglieder dienen, ist typischerweise eine Aufgabe der LFV nach den einschlägigen Landesgesetzen (vgl. z.B. § 50 Abs. 2 Z 5 NÖ FG 2015, § 34 Abs. 2 Z 10 OÖ FWG 2015, § 47 Abs. 2 Z 10 Bgld. FwG 2019). Zweckmäßigerweise sollten die LFV mittels Satzung Durchführungsbestimmungen zu diesen sehr allgemein gehaltenen gesetzlichen Regelungen schaffen, die sodann die rechtliche Grundlage iSv Art. 6 Abs. 1 DSGVO für die entsprechenden Datenermittlungen und -übermittlungen bilden.

  • Familienstand
  • Religionsbekenntnis
  • Blutgruppe
  • Arbeitgeber

Die Feuerwehren sind öffentliche Einrichtungen, die gesetzlich festgelegte Aufgaben im Bereich der Hoheitsverwaltung erfüllen. Mit der Aufgabenerfüllung untrennbar verbunden ist die Verpflichtung der Feuerwehr, ihre Tätigkeit im erforderlichen Ausmaß nachvollziehbar zu dokumentieren. Dazu gehören insb.:

  • Einsatzort und -zeit
  • Daten des/der Geschädigten (Identitätsdaten (Ausweisdokument), Erreichbarkeitsdaten),
  • Daten von Verfügungsberechtigten (z.B. über Liegenschaften oder Fahrzeuge),
  • eingesetzte Feuerwehrkräfte,
  • Einsatzablauf (Einsatztagebuch).

Die Verarbeitung von Daten über Art und Schwere von Verletzungen (nur für Zwecke der Dokumentation) oder über Verschuldensfragen am einsatzauslösenden Ereignis ist nicht Aufgabe der Feuerwehr.

Für den Datenaustausch mit der Polizei gibt es in den einzelnen Feuerwehrgesetzen entsprechende Regelungen (vgl. § 19 Abs. 2 und 3, § 77 Abs. 2 und § 78 Abs. 3 Bgld. FwG 2019).

Die Feuerwehr ist nicht verpflichtet, ihre Datenverarbeitungen so zu gestalten, dass sie jedes denkbare Auskunftsbegehren ohne Weiteres beantworten kann. Erforderlichenfalls ist der Auskunftswerber zu einer Präzisierung seines Begehrens aufzufordern, damit die gewünschte Auskunft erteilt werden kann.

Ja. Die Dokumentation von Einsätzen, von einzelnen Tätigkeiten, von Eingriffen in Rechte von Personen etc. kann aus rechtsstaatlichen Gründen notwendig oder zumindest zweckmäßig sein. Gegen eine fotografische Dokumentation ist grundsätzlich nichts einzuwenden. Diese Befugnis erwächst aus den gesetzlichen oder statutarischen Aufgabenstellungen der Feuerwehr. Dazu gehört auch die Öffentlichkeitsarbeit (vgl. OGH-Erkenntnis vom 20.02.2018, GZ: 10ObS139/17i).

Zu beachten ist allerdings, dass eine Dokumentation zu Einsatzzwecken nicht auch die Veröffentlichung von Fotos rechtfertigt.

Siehe Kap. D (Öffentlichkeitsarbeit).

Die Feuerwehren können sich im Rahmen ihrer Tätigkeiten außerhalb des gesetzlichen oder statutarischen Aufgabenbereiches nicht auf einen hoheitlichen (Sonder-)Status berufen. Sie haben daher die gleichen rechtlichen Rahmenbedingungen wie Privatpersonen zu beachten. Die Ermittlung von Daten beruht in diesem Fall ausschließlich auf Freiwilligkeit des Gegenübers. Einschlägige Daten können sein:

  • Erreichbarkeitsdaten von feuerwehrfremden Personen (Adressenverzeichnisse, Einladungslisten, Begrüßungslisten)
  • Kunden- und Lieferantendaten
  • Rechnungswesen
  • Spenderdaten: Ist im Zusammenhang mit der Arbeitnehmerveranlagung rechtlich besonders geregelt (Sonderausgaben-Datenübermittlungsverordnung; Name, Geburtsdatum, Adressdaten)
  • sonstige Daten nur mit Zustimmung der betroffenen Personen (z.B. Geburtstagsliste)

Zur Datenverarbeitung bei Veranstaltungen siehe Kap. D (Öffentlichkeitsarbeit).

Für die sicherheits- und kriminalpolizeiliche Aufgabenerfüllung durch die Sicherheitsbehörden und ihre Organe gibt es spezifische gesetzliche Grundlagen (insb. das Sicherheitspolizeigesetz und die Strafprozessordnung). Bei Ersuchen der Sicherheitsorgane wird davon auszugehen sein, dass diese auf einer ausreichenden gesetzlichen Grundlage beruhen. Diesen Ersuchen wird daher grundsätzlich zu entsprechen sein. Allerdings soll die Kommunikation dabei über offizielle Wege erfolgen, nicht z.B. über die private E-Mail-Adresse des Kommandanten.

Die Geburtsdaten wurden der Feuerwehr von den Spendern freiwillig bekanntgegeben und müssen daher für Zwecke der Spendendatenerfassung evident gehalten werden, solange der jeweilige Spender dem nicht widerspricht.

Genauere Informationen finden sich auf der Homepage des Bundesministeriums für Finanzen (www.bmf.gv.at).

Grundsätzlich ja. Jeder Spender weiß, wie die Sammelaktion abläuft und dass seine persönlichen Daten zumindest den nachfolgenden Spendern bekannt werden. Es kann von einer konkludenten Zustimmung jener Spender, die sich in die Liste eintragen, ausgegangen werden. Zweckmäßigerweise sollte auf der Liste ein entsprechender Hinweis angebracht sein.

Wer nicht aufscheinen möchte, muss die Möglichkeit haben, einen gesonderten Beleg zu erhalten.

Alle Käufer von Losen geben ihre Daten freiwillig bekannt und wissen, dass diese auch anderen Personen zur Kenntnis gelangen (können). Nach der Verlosung sollten die Lose vernichtet werden.

Kap. D – Öffentlichkeitsarbeit

Ja. Die einschlägigen Regelungen finden sich insb. in Art. 6 Abs. 1 lit. e und Art. 85 Abs. 1 DSGVO, die beide innerstaatlich durch den nationalen Gesetzgeber umgesetzt werden müssen. Dies ist durch den Gesetzgeber jedoch in unbefriedigender Form geschehen. Siehe FAQ D2.

Art. 85 Abs. 1 DSGVO verpflichtet die EU-Mitgliedstaaten, ihre nationale Rechtsordnung im Hinblick auf das Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken mit der DSGVO in Einklang zu bringen.

In der Folge wurden zwar in § 9 DSG innerstaatliche Regelungen geschaffen, die Ausnahmen von der DSGVO und vom DSG vorsehen, und zwar

  • (Abs. 1) für Medien im Sinne des Mediengesetzes, BGBl. Nr. 314/1981, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes, und
  • (Abs. 2) um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen, zu Gunsten von wissenschaftlichen, künstlerischen oder literarischen Zwecken.

§ 9 DSG bildet somit keine rechtliche Grundlage für die Öffentlichkeitsarbeit der Feuerwehr. Das sog. Medienprivileg nach § 9 Abs. 1 DSG gilt für Journalisten, kommt aber bei der Medienarbeit der Feuerwehr nicht zum Tragen. Die ÖBFV Medien GmbH ist hingegen ein Medienunternehmen, für welches das Medienprivileg gilt.

Weiters zu beachten ist das Recht am eigenen Bild (§ 78 Urheberrechtsgesetz). Dieses Recht schützt nicht vor fotografischen Aufnahmen, sondern vor der nachfolgenden Veröffentlichung. Dieser Schutz ist nicht absolut, vielmehr ist eine Interessenabwägung im Einzelfall geboten. Der Schutz bezieht sich z.B. auf unvorteilhafte Aufnahmen oder unerwünschte kommerzielle Verwertung der Bilder.

Das DSG erlaubt Bildaufnahmen im „Einzelfall“ und unter Wahrung der „Verhältnismäßigkeit“, wenn die „Bildaufnahme ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen (…) gerichtet ist“ (§ 12 Abs. 2 Z 4 und Abs. 3 Z 3 DSG).

Die Einsatzdokumentation und die Öffentlichkeitsarbeit, soweit sie sich auf den gesetzlichen oder statutarischen Aufgabenbereich der Feuerwehr beziehen, sind als Bestandteil dieses Aufgabenbereiches bzw. Auftrages der Feuerwehr anzusehen. Das Aufnehmen von Bildern wird daher in diesem Zusammenhang als zulässig erachtet, auch wenn Personen auf den Fotos erkennbar sind. Bei der Veröffentlichung solcher Bilder ist aber der Datenschutz zu beachten und daher insb. Gesichter und Kfz-Kennzeichen unkenntlich zu machen (z.B. zu verpixeln).

Im privatwirtschaftlichen Bereich ist jedoch Sorge zu tragen, dass die Bildaufnahme so erfolgt, dass daraus nicht der Zweck einer identifizierenden Erfassung unbeteiligter Personen abgeleitet werden kann (§ 12 Abs. 3 Z 3 DSG). Andernfalls ist die Zustimmung des/der Betroffenen einzuholen. So z.B. beim Anfertigen eines Portraits eines Besuchers beim Feuerwehrfest.

Jedenfalls sind die so erfassten Daten (die angefertigten Bilder) entsprechend sorgfältig zu behandeln. Bei der Veröffentlichung sind die bisherigen Grundsätze anzuwenden: Keine Veröffentlichung von Bildern, die Personen herabwürdigen! Im Zweifelsfall trotz allem eine Zustimmung der betroffenen Person(en) einholen.

Nein, nicht ohne Weiteres. Für die Mitgliedschaft und die Tätigkeit bei einer Feuerwehr ist die Veröffentlichung von Mitgliederlisten oder gar von Fotos der Mitglieder nicht notwendig. Solche Veröffentlichungen sind nur mit Zustimmung des jeweiligen Mitglieds, d.h. also jedes einzelnen, zulässig.

Siehe auch FAQ C2.

Bildaufnahmen, die nicht auf die identifizierende Erfassung unbeteiligter Personen (…) gerichtet sind, sind grundsätzlich zulässig (§ 12 Abs. 2 Z 4 und Abs. 3 Z 3 DSG), nicht jedoch das Anfertigen von Besucherportraits ohne deren Zustimmung. Das Anfertigen von Fotos einer Veranstaltung kann allenfalls auch mit einem berechtigten Interesse des Veranstalters begründet werden, sofern dieses nicht von den – im Einzelfall zu prüfenden – schutzwürdigen Interessen des/der Betroffenen überwogen wird (Art. 6 Abs. 1 lit. f DSGVO).

Im Zweifelsfall sollte daher eine Zustimmung der betroffenen Person(en) eingeholt werden. Auch eine konkludente Zustimmung ist denkbar. (Anm.: Als konkludente Zustimmung bezeichnet man eine eindeutige Handlung, durch welche man davon ausgehen kann, dass die handelnde Person mit der Aufnahme einverstanden ist und sich der weiteren Verwendung im Klaren ist.)

Siehe FAQ D3.

Ein deutlich sichtbarer Hinweis des Veranstalters schon im Eingangsbereich, dass Fotos angefertigt und in weiterer Folge in bestimmter Weise veröffentlicht werden (z.B. Feuerwehr-Homepage), ist auf jeden Fall vorteilhaft. Nach der Judikatur des Bundesverwaltungsgerichtes (Erkenntnis vom 29.06.2022, GZ: W245 2232755-1/44E, betreffend XXXX Golfverband) ist dies jedoch nicht ausreichend, um eine Einwilligung zu ersetzen. Einwilligung setzt Information (insb. über das Recht auf Widerspruch) und eine bewusste Handlung (Erklärung oder eindeutig bestätigende Handlung) voraus, Stillschweigen oder Untätigkeit reicht nicht aus.

Siehe oben. Bei Minderjährigen unter 16 Jahren („Kinder“ iSv Art. 8 Abs. 1 DSGVO) ist von besonderer Schutzbedürftigkeit auszugehen. Die Einholung einer schriftlichen Einverständniserklärung der Eltern schon bei der Anmeldung ist eine zweckmäßige Vorgangsweise. Siehe dazu das Erkenntnis des Bundesverwaltungsgerichtes vom 29.06.2022, GZ: W245 2232755-1/44E, betreffend XXXX Golfverband.

Die DSGVO wirkt nicht auf abgeschlossene Sachverhalte zurück, die sich vor ihrem Inkrafttreten ereignet haben. Das (rechtmäßige) Anfertigen und Veröffentlichen von Bildern wird durch die DSGVO nicht nachträglich rechtswidrig. Aus Erwägung 171 zur DSGVO ergibt sich aber, dass Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen haben, innerhalb von zwei Jahren nach dem Inkrafttreten der DSGVO mit ihr in Einklang gebracht werden sollen (z.B. die eigene Homepage). Beruht eine Verarbeitung auf einer Einwilligung, muss diese nicht neuerlich eingeholt werden.

Kap. E – Datensicherheit

Der Zugang zu personenbezogenen Daten ist auf ein unbedingt notwendiges Maß zu beschränken. Unbefugte sollen keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können (Art. 29 und 32 DSGVO, Erwägung 39 letzter Satz).

Jede Feuerwehr darf grundsätzlich nur Zugriff auf ihre eigenen Daten haben (auch der Administrator der Feuerwehr). Darüber hinaus darf sie Zugriff auf Daten anderer Feuerwehren und des LFV nur insoweit haben, als sie diese zur Wahrnehmung ihrer Aufgaben unbedingt benötigt (Adresse, E-Mail-Adresse und Telefonnummer der Feuerwehr).

Der allgemeine Zugriff von Feuerwehrmitgliedern auf Daten der eigenen Feuerwehr oder anderer Feuerwehren (wie z.B. Geburtsdaten, Telefon-Nummern und persönliche E-Mail-Adressen) ist datenschutzrechtlich nicht zulässig (Art. 29 und 32 Abs. 4 DSGVO, Erwägung 39).

Innerhalb der Feuerwehr sind Rollen für die Festlegung von Zugangsberechtigungen zu definieren: insb. für Kdt(Stv), Verwalter, Kassier, Jugendbetreuer, Gerätewart. Der Umfang der Lese- und Bearbeitungsberechtigung ist je nach Aufgabe/Funktion (Rolle) zu differenzieren und auf das Notwendige zu beschränken.E

Vorgesetzte (höhere Kommandanten) dürfen (nur) insoweit Zugriff auf Daten der ihnen unterstellten Feuerwehrmitglieder bzw. Feuerwehren haben, als sie diese Daten zur Ausübung ihrer Funktion brauchen (z.B. AFKdt nur auf notwendige Daten seines Abschnitts, BFKdt auf notwendige Daten seines Bezirks).

Siehe FAQ E1 und E2 (sinngemäß)

Kap. F – Datenschutzbeauftragter

Die Feuerwehren und die Feuerwehrverbände sind öffentliche Stellen und benötigen daher einen Datenschutzbeauftragten (DSB). Allerdings kann für mehrere öffentliche Stellen ein gemeinsamer DSB bestellt werden (Art. 37 Abs. 1 lit. a und Abs. 3 DSGVO). Der DSB muss nämlich nicht zwingend Funktionär oder Bediensteter der öffentlichen Stelle sein, für die er tätig wird. In der Praxis ist es daher möglich, dass die Feuerwehrverbände DSB z.B. auf Landes- und/oder Bezirksebene bestellen, derer sich die Feuerwehren bedienen können.

Der DSB kann innerhalb der Feuerwehr auch andere Aufgaben wahrnehmen. In seiner Eigenschaft als DSB ist er aber weisungsfrei zu stellen und untersteht unmittelbar der höchsten Führungsebene des Verantwortlichen, also dem jeweiligen Kommandanten (Art. 38 DSGVO, § 5 Abs. 3 DSG).

Der DSB ist in alle mit personenbezogenen Daten zusammenhängenden Fragen einzubinden. Er informiert und berät den Verantwortlichen, den Auftragsverarbeiter, die Funktionäre und die Bediensteten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften sowie der Strategien seines Auftraggebers für den Schutz personenbezogener Daten. Überdies ist er die Anlaufstelle für die Datenschutzbehörde (Art. 38, 39 und 51 ff DSGVO iVm §§ 18 ff Datenschutzgesetz (DSG).

Der DSB soll eine ausreichende Qualifikation auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen (Art. 37 Abs. 5 DSGVO).

Siehe FAQ F1 und F4.

Kap. G – Datenaufbewahrung und -löschung

Die DSGVO legt keine fixen Speicherfristen fest. Sofern keine innerstaatlichen Rechtsvorschriften über Speicherfristen und Löschungspflichten bestehen, sind personenbezogene Daten zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind (Art. 17 DSGVO).

Daten, die bspw. im Rahmen des Rechnungswesens der Feuerwehr verarbeitet werden, dürfen jedenfalls während der verpflichtenden Belegaufbewahrungsdauer (§ 212 Abs. 1 Unternehmensgesetzbuch und § 132 Abs. 1 Bundesabgabenordnung: 7 Jahre) nicht gelöscht werden. Auch Mitgliederdaten müssen nach Ende der Mitgliedschaft aus rechtsstaatlichen und historischen Gründen (Traditionspflege) weiter verarbeitet werden. Die Mitgliederdaten sind mit der Traditionspflege untrennbar verbunden. Ihre Archivierung liegt daher im öffentlichen Interesse (Art. 5 Abs. 1 lit. e DSGVO, Erwägung 50 und 158 zur DSGVO).

Dessen ungeachtet hat jede betroffene Person das Recht, Widerspruch gegen die Verarbeitung der sich aus ihrer besonderen Situation ergebenden personenbezogenen Daten einzulegen. Der Verantwortliche hat diesfalls zu prüfen, ob seine zwingenden berechtigten Interessen Vorrang vor den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person haben (Art. 21 Abs. 1 DSGVO, Erwägung 69 zur DSGVO). Für die Beurteilung der Löschungspflicht ist Art. 17 Abs. 3 lit. d DSGVO zu beachten.

Daten dürfen nur solange gespeichert bleiben, als dies zur Zweckerreichung notwendig ist (Art. 5 Abs. 1 lit. e DSGVO). Der Gesetzgeber kann jedoch konkrete Aufbewahrungsfristen festlegen. Für die Feuerwehr kommt grundsätzlich auch eine Regelung mittels Dienstordnung bzw. Büroordnung in Betracht (vgl. Art. 6 Abs. 3 lit. b DSGVO und Erwägung 41, 50 und 158 zur DSGVO). Für den Bereich der Privatwirtschaftsverwaltung der Feuerwehr kann aus den Regelungen in § 24 Abs. 4 DSG über die Beschwerdefristen eine Rechtfertigung für die Aufbewahrung von Daten in der Dauer von drei Jahren abgeleitet werden (vgl. auch Art. 17 Abs. 3 lit. e DSGVO, Recht auf Löschung).

Nein. Siehe zunächst FAQ G1 und G2.

Es ist davon auszugehen, dass die Feuerwehr die Daten ehemaliger Mitglieder sowohl aus rechtsstaatlichen Gründen (z.B. Dokumentation von erworbenen Qualifikationen und Auszeichnungen), als auch aus Gründen der Traditionspflege weiterhin verarbeiten darf. Traditionspflege ist entweder eine gesetzliche oder statutarische Aufgabe der Feuerwehr und stellt daher ein Archivinteresse der Feuerwehr iSv Art. 5 Abs. 1 lit. e DSGVO dar. Erwägung 158 zur DSGVO spricht im Zusammenhang mit Aufzeichnungen von öffentlichem Interesse davon, „Aufzeichnungen von bleibendem Wert für das allgemeine öffentliche Interesse zu erwerben, zu erhalten, zu bewerten, aufzubereiten, zu beschreiben, mitzuteilen, zu fördern, zu verbreiten sowie Zugang dazu bereitzustellen.“

Kap. H – Informationspflichten

Art. 13 f DSGVO, angepasst an die Feuerwehr, verlangt folgende Informationen:

  • Identität des Verantwortlichen
  • Verarbeitungszwecke
  • Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Rechtsgrundlage der Verarbeitung
  • Berechtigte Interessen (bei Verarbeitung von Daten gemäß Art. 6 Abs. 1 lit. f DSGVO)
  • Empfänger bzw. Kategorien von Empfängern
  • Beabsichtigte Übermittlungen an ein Drittland (Art. 44 ff DSVGO)
  • Informationen über einen geplanten anderen Verarbeitungszweck (bei späterer Zweckänderung)
  • Speicherdauer
  • Betroffenenrechte
  • Information über das Widerspruchsrecht
  • Beschwerdemöglichkeit bei der Datenschutzbehörde
  • Rechtspflicht oder Freiwilligkeit der Bereitstellung von Daten durch den Betroffenen

Dies wird von der DSGVO nicht explizit vorgegeben. Anbieten wird sich insbesondere die Homepage des Verantwortlichen. Bei Datenerhebungen mittels Papierformularen sollte ausdrücklich und deutlich sichtbar auf Informationen hingewiesen werden, die außerhalb des Formulars bereitgestellt werden.

Nein. Das Auskunftsrecht bezieht sich nur auf den aktiven Datenbestand.

Nein. Zu beachten ist aber, dass im Falle einer Datenwiederherstellung nur jene Daten aktiviert werden dürfen, die noch nicht als gelöscht gelten.

Bearbeiter: BFR Dr. Thomas Schindler

Stand: 19.09.2022