Datenschutz

Das Ziel des Datenschutzes ist es, die Grundrechte der Personen zu schützen, deren personenbezogene Daten bearbeitet werden (Art. 1 DSchG). In Wirklichkeit werden nicht die Daten selbst geschützt, sondern die Persönlichkeit der betroffenen Personen.

Auf Verfassungsebene garantiert Art. 13 Abs. 2 BV, dass «jede Person […] Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten» hat. Das Bundesgesetz über den Datenschutz (DSG) regelt die Bearbeitung von Daten, die sich auf natürliche und juristische Personen beziehen. Im Kanton Freiburg gilt das Freiburger Gesetz über den Datenschutz (DSchG) für öffentliche Organe des Staates, der Gemeinden und andere juristische Personen des öffentlichen Rechts (einschliesslich der römisch-katholischen Kirche), die personenbezogene Daten verarbeiten. Es gilt auch für Privatpersonen und Organe privater Institutionen, soweit sie öffentliche Aufgaben erfüllen (Art. 2 DSchG), zum Beispiel für Caritas (Privatrecht), die im Auftrag der römisch-katholischen Kirche im Kanton Freiburg (öffentliches Recht) für die Diakonie zuständig ist.

Das DSchG unterscheidet zwei Arten von Daten:

1. Personendaten: Jegliche Art von Informationen in Form von Wörtern, Zeichen oder Bildern, die sich auf eine bestimmte oder bestimmbare natürliche oder juristische Person beziehen. Beispiele hierfür sind eine Telefonnummer, eine E-Mail-Adresse, eine Kontoidentifikation, eine Autonummer (Kontrollschild), eine SIM-Karte, Computerdateien mit Namen, Fotos, ein E-Mail-Postfach oder auch der Inhalt eines Kontos in sozialen Netzwerken (Art. 4 Abs. 1 lit. a und b DSchG).

2. Besonders schützenswerte Personendaten: Diese stellen eine spezielle Kategorie von Personendaten dar und umfassen unter anderem die Religion, was bedeutet, dass Daten, die im Rahmen des kirchlichen Auftrags verarbeitet werden, als besonders schützenswert gelten (Art. 4 Abs. 1 lit. c DSchG). Dazu gehören Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Daten zur Gesundheit, zur Intimsphäre oder zur Zugehörigkeit zu einer Rasse oder Ethnie, genetische Daten (z.B. DNA-Profile) oder biometrische Daten, die eine natürliche Person eindeutig identifizieren. Auch Daten über Sozialhilfemassnahmen sowie über strafrechtliche und administrative Sanktionen fallen in diese Kategorie.

Nicht personenbezogene Daten, d.h. wenn die Person weder direkt noch durch Zusammenführung von Informationen erkennbar ist (z. B. eine Statistik), unterliegen nicht dem DSchG.

Der Begriff „öffentliche Daten“ existiert im DSchG nicht. Grundsätzlich gilt: Auch wenn eine Person ihre privaten Daten im Internet zugänglich gemacht hat, gibt dies nicht das Recht, diese zu verbreiten, da sie diese Daten zurückziehen könnte oder die Daten ohne ihre direkte Zustimmung veröffentlicht worden sein könnten.

Die aktive Teilnahme einer Person am Leben der Pfarrei erfordert häufig die Bearbeitung personenbezogener Daten (Adresse, E-Mail, Telefonnummer, Geburtsdatum, Fotos usw.). Vor der Erhebung der Daten müssen die folgenden Grundsätze beachtet werden:

Das Prinzip der Zweckbindung: Personenbezogene Daten dürfen nur zu festgelegten und für die betroffene Person erkennbaren Zwecken erhoben werden und dürfen nur gemäss diesen Zwecken weiterverarbeitet werden.

Das Prinzip der Transparenz: Die Pfarreiangehörigen müssen darüber informiert werden, wenn ihre personenbezogenen Daten an Dritte weitergegeben werden, und es muss angegeben werden, an wen und zu welchem Zweck dies geschieht.

Das Prinzip der Verhältnismässigkeit: Es dürfen nur die Daten verarbeitet werden, die zur Erreichung des Ziels der Pfarrei unbedingt erforderlich sind.

Das Prinzip der Legalität: Jede Verarbeitung personenbezogener Daten muss in einer gesetzlichen Bestimmung vorgesehen sein.

Dokumente mit persönlichen Informationen über Mitarbeitende, Freiwillige und Mitglieder der Pfarrei zirkulieren häufig innerhalb der Pfarrei. Wenn dies auf elektronischem Weg geschieht, ist darauf zu achten, dass die Funktion „Blindkopie“ verwendet wird, um zu verhindern, dass E-Mail-Adressen allen Empfängern offengelegt werden.

Darüber hinaus erfordert die Weitergabe personenbezogener Daten von Mitgliedern der Pfarrei (z.B. die Übermittlung der Liste der Freiwilligen der Pfarrei oder der Mitglieder einer Jugendgruppe) grundsätzlich die vorherige Zustimmung der betroffenen Personen, mit einer klaren Erklärung des Zwecks dieser Weitergabe (z.B. zur Kontaktaufnahme zwischen den Mitgliedern oder für Aktivitäten im Zusammenhang mit der Pfarrei).

Die Weitergabe der Daten von Mitgliedern der Pfarrei an Dritte ist nur zulässig, wenn diese über den Zweck der Weitergabe informiert wurden und ausdrücklich der Weitergabe zugestimmt haben oder die Möglichkeit hatten, ihr zu widersprechen. Die Informationen müssen angeben, welche Daten (Adresse, Geburtsdatum, Telefonnummer usw.) weitergegeben werden, an wen und zu welchem Zweck.

Vor jeder Veröffentlichung ist zu prüfen, ob dies im jeweiligen Kontext und im Hinblick auf den angestrebten Zweck angemessen und notwendig ist (Pfarreibrief, Webseite). Die betroffenen Personen müssen informiert werden, und es ist wichtig, sich daran zu erinnern, dass eine Veröffentlichung im Internet ein erhöhtes Risiko für den Schutz personenbezogener Daten darstellt (Persönlichkeitsverletzung).

Gemäss Artikel 328 des Obligationenrechts (OR) ist der Arbeitgeber verpflichtet, die Persönlichkeit des Arbeitnehmers zu schützen und zu achten. Die Pfarrei muss daher alle notwendigen technischen und organisatorischen Massnahmen ergreifen, um die Sicherheit der personenbezogenen Daten ihrer Mitarbeitenden zu gewährleisten und diese vor unbefugtem Zugriff, unrechtmässiger Verarbeitung, Verlust, Änderung oder Offenlegung zu schützen. Der Arbeitgeber darf Daten über seine Mitarbeitenden nur bearbeiten, wenn sie für das Arbeitsverhältnis relevant oder zur Durchführung des Arbeitsvertrages erforderlich sind (Art. 328b OR).

Eine ausdrückliche Einwilligung bedeutet, dass die Zustimmung der betroffenen Person in erkennbarer Weise (wie durch eine schriftliche Erklärung), unmissverständlich und eindeutig erfolgt. Die schriftliche Form wird als Beweismittel empfohlen.

Die Einwilligung muss ausdrücklich sein, wenn sie sich auf die Bearbeitung schützenswerter Daten oder auf Profiling-Aktivitäten bezieht (Art. 6 Abs. 2 DSchG). Besonders schützenswerte Personendaten (sensible Daten) sind insbesondere Daten über religiöse, weltanschaulichen, politische oder gewerkschaftliche Ansichten oder Tätigkeiten (Art. 4 Abs. 1 lit. c DSchG). Profiling bedeutet jede Art der automatisierten Verarbeitung von Personendaten, die darin besteht, dass diese Personendaten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser Person zu analysieren oder vorherzusagen (Art. 4 lit. f DSchG).

Soziale Netzwerke sind ein fester Bestandteil unseres Alltags, aber ihre Nutzung sollte nicht leichtfertig erfolgen, da sie oft eine übermässige Erfassung persönlicher Daten beinhalten. Es wird empfohlen, das Datenschutzniveau und die Nutzungsbedingungen jeder Plattform gründlich zu verstehen, bevor man sich entscheidet, sie zu nutzen. Es ist auch wichtig, die Datenschutzeinstellungen so anzupassen, dass die eigenen Daten besser geschützt sind. Im Zusammenhang mit den Aktivitäten der Pfarrei ist es entscheidend, interne Richtlinien für die Nutzung von sozialen Netzwerken festzulegen. Ohne diese Massnahmen sollte es vermieden werden, Videos, Fotos oder andere persönliche Informationen zu veröffentlichen. Im Allgemeinen ist es ratsam, Zurückhaltung bei der Veröffentlichung von persönlichen Daten oder Fotos im Internet zu üben.

Jede Person hat ein Recht am eigenen Bild, was bedeutet, dass sie entscheiden kann, ob und wie dieses verwendet wird (Aufnahme, Veröffentlichung, Format). Sobald eine Person auf einem Foto oder in einem Video identifizierbar ist, gilt dieses Bild als personenbezogene Daten, auch in Gruppenfotos oder Versammlungen. Grundsätzlich ist es verboten, das Bild einer Person ohne deren vorherige Zustimmung zu veröffentlichen. Diese Zustimmung muss ausdrücklich sein (Unterschrift oder eindeutige mündliche Erklärung), wenn es um besonders schützenswerte Personendaten geht, wie etwa religiöse Meinungen oder Aktivitäten (Art. 4 Abs. 1 lit. c DSchG). Die betroffene Person willigt nur gültig ein, wenn sie ihren Willen frei ausdrückt und nachdem sie in angemessener Weise über den Zweck der Bearbeitung aufgeklärt wurde (Art. 6 Abs. 2 DSchG). Bei Fotos oder Videos von Minderjährigen muss zudem das Einverständnis der Eltern (der gesetzlichen Vertreter) eingeholt werden.

Hinweis: Die Einwilligung wird vermutet, wenn die Person ihre Daten selbst frei zugänglich gemacht hat (Art. 6 Abs. 2 DSchG). In einem Kontext wie der Kirche, wo sensible Daten verarbeitet werden, ist jedoch grosse Vorsicht geboten. Es kann schwierig sein zu überprüfen, ob die betreffende Person ihre Daten tatsächlich freiwillig öffentlich zugänglich gemacht hat. Darüber hinaus darf man nicht davon ausgehen, dass diese Person der Verbreitung ihrer Daten in einem anderen Kontext als dem, in dem sie ursprünglich veröffentlicht wurden, zustimmt. Ausserdem muss der Verantwortliche in der Lage sein, das Vorhandensein einer Einwilligung zu beweisen (Art. 6 Abs. 4 DSchG). Diese Zustimmung kann zudem jederzeit und ohne Angabe von Gründen widerrufen werden (Art. 6 Abs. 5 DSchG).

Es wird daher empfohlen, die Erlaubnis der betroffenen Personen (oder ihrer gesetzlichen Vertreter) einzuholen, bevor sie fotografiert oder Bilder von ihnen veröffentlicht werden. Um sicherzustellen, dass eine gültige Zustimmung vorliegt, ist es vorzuziehen, eine schriftliche Einwilligungserklärung anzufordern, die die Modalitäten der Veröffentlichung (Internet, Pfarrblatt usw.) spezifiziert. Ein Musterformular für die Einwilligungserklärung ist hier verfügbar.

In diesem Fall handelt es sich um das Sammeln und Verarbeiten von Daten durch Aufzeichnung und Übertragung. Um die Datenverarbeitung gesetzeskonform zu gestalten, ist es wichtig, die betroffenen Personen (Gläubige, Priester, Besucher usw.) vor der Aufzeichnung und Übertragung der Messe an die Öffentlichkeit zu informieren und deren ausdrückliche Einwilligung einzuholen. Es obliegt der Pfarrei oder den für die Kommunikation zuständigen Personen, im Einzelfall zu entscheiden, welche Art der Information erforderlich ist und in welcher Form das ausdrückliche Einwilligung der betroffenen Personen vorliegen sollte. Zur Klarstellung sei angemerkt, dass eine einfache Ankündigung zu Beginn der Messe, dass diese aufgezeichnet und öffentlich übertragen wird, aus Sicht des Datenschutzes als unzureichend erscheint, ebenso wie die Ankündigung, dass diejenigen, die in der Messe verbleiben, automatisch ihr Einverständnis zur Aufzeichnung geben. Darüber hinaus wäre es beispielsweise möglich, durch Piktogramme und erklärende Texte am Eingang der Kirche darauf hinzuweisen, dass die Messe gefilmt wird, gegebenenfalls eine Information an die Gläubigen während der vorhergehenden Messe oder eine Mitteilung auf der Website der Pfarrei oder in einem Bulletin.

Die Bilder müssen unverzüglich entfernt werden. Im Falle einer unbefugten Veröffentlichung kann die betroffene Person nicht nur gerichtlich die Entfernung der Bilder verlangen, sondern auch Schadensersatz oder eine Entschädigung für immateriellen Schaden fordern. Hinzu kommen wahrscheinlich die Gerichtskosten und die Anwaltskosten der Gegenpartei.

Ja, vorausgesetzt, die Veröffentlichung ist notwendig und die freie und informierte Einwilligung der betroffenen Person oder ihres gesetzlichen Vertreters wurde eingeholt.

Die Veröffentlichung von Fotos der Mitarbeitenden im Intranet oder Internet erfordert die Zustimmung der betroffenen Personen. Dies gilt auch für Fotos, die bei Pfarreiveranstaltungen wie einem gemeinsamen Essen, einem Aperitif oder anderen festlichen Anlässen aufgenommen wurden. Es wird empfohlen, im Voraus zu prüfen, ob diese Veröffentlichung für die Erfüllung der Aufgaben der Pfarrei notwendig ist. Dies gilt ebenso für Veröffentlichungen in Printmedien (z. B. L’Essentiel, Pfarrblatt, etc.).

Nein. Entlassene oder ausgeschiedene Mitarbeiter dürfen nicht in einer Pressemitteilung, im Internet oder im Pfarrblatt genannt werden, es sei denn, sie haben ihre ausdrückliche Zustimmung gegeben.

Das Impressum muss die Kontaktdaten der für die Website verantwortlichen Organisation enthalten: den vollständigen Namen der Organisation (die Pfarrei oder die Seelsorgeeinheit) sowie gegebenenfalls eine Kontaktperson oder einen Kontaktservice innerhalb der Pfarrei, die Postanschrift, die E-Mail-Adresse und idealerweise eine Telefonnummer. Ausserdem wurde von der kantonalen Behörde für Öffentlichkeit, Datenschutz und Mediation (ÖDSMB) ein Modell einer Datenschutzerklärung für Webseiten erstellt, das hier eingesehen werden kann.