Besonderer Schutz für religiöse Aktivitäten
Die Datenschutzbeauftragte wird immer wieder gefragt, welches Datenschutzgesetz für die Kirchgemeinden anwendbar ist. Auch Vereine mit karitativen Zwecken möchten wissen, welche Bestimmungen für sie gelten. Auch die Voraussetzungen bei der Bekanntgabe und die Zweckbindung sind immer wieder Thema in der Beratung.
Das Kirchengesetz hält fest, dass die Evangelisch-reformierte Landeskirche, die Römisch-katholische Körperschaft und die Christkatholische Kirchgemeinde zu den kantonalen kirchlichen Körperschaften zählen. Das Gesetz über die anerkannten jüdischen Gemeinden erwähnt die Israelitische Cultusgemeinde Zürich sowie die Jüdische Liberale Gemeinde. Für die Datenbearbeitungen durch diese Religionsgemeinschaften ist somit das IDG anwendbar.
Kirchgemeinde gibt Adressen an Verein
Ein Verein mit karitativem Zweck verschickte bis anhin seine Jahresberichte an die Adressen, die er von der Kirchgemeinde erhalten hatte. Ein Empfänger beschwerte sich über diese Praxis. Der Verein bat die Datenschutzbeauftragte, die Rechtslage zu beurteilen. Für eine Bekanntgabe von Daten verlangt das Gesetz über die Information und den Datenschutz eine gesetzliche Grundlage oder die Einwilligung der Betroffenen, unabhängig davon, ob es sich um einfache Personendaten oder sensitive Informationen, wie religiöse Daten, handelt. Die datenschutzrechtlichen Bestimmungen beim Bezug von Adressen von den Kirchgemeinden sind einzuhalten, auch wenn Vereine karitative Arbeit verrichten und geltend machen, auf Adressdaten angewiesen zu sein. Die Weitergabe der Adressen durch die Kirchgemeinde an den Verein war nicht rechtmässig. In diesem Fall bieten sich andere Lösungen an. Die Kirchgemeinde kann die Betroffenen um Einwilligung zur Bekanntgabe der Adressen an den Verein anfragen oder sie kann die Jahresberichte selbst verschicken.
Die datenschutzrechtlichen Bestimmungen beim Bezug von Adressen von den Kirchgemeinden sind einzuhalten, auch wenn Vereine karitative Arbeit verrichten.
Meinungsforschung nach Kirchenaustritt
Eine Kirchgemeinde wollte die Datensätze der austretenden Mitglieder einem Meinungsforschungsinstitut zur Verfügung stellen. In einer telefonischen Befragung sollten die Austrittsgründe zusammengetragen werden. Das Kirchengesetz hält fest, dass Austrittsgespräche geführt werden dürfen. Die Kirchgemeinde darf auch Dritte damit beauftragen. Es handelt sich um eine Auslagerung. Die Kirchgemeinde bleibt für die Datenbearbeitung verantwortlich. Deshalb muss ein schriftlicher Vertrag abgeschlossen werden, in dem die Bestimmungen des Gesetzes über die Information und den Datenschutz an das Meinungsforschungsinstitut übertragen werden. Das Meinungsforschungsinstitut darf die Daten nur so bearbeiten, wie es die Kirchgemeinde auch dürfte. Es gilt das Zweckbindungsgebot. Der Leitfaden Bearbeiten im Auftrag hilft beim Vorgehen.
E-Mobilität
Eine Landeskirche möchte die nachhaltige Mobilität in den Pfarreigemeinden fördern. Dazu erstellte sie ein Konzept zur E-Mobilität. Den Gemeinden sollen E-Bikes, E-Cargo-Bikes und Ladestationen zur Verfügung gestellt werden. Die Nutzung soll danach evaluiert werden.
Vom Einsatz eines Umfragetools eines US-Unternehmens ist in diesem Fall abzusehen. Die hier bearbeiteten Personendaten sind in jedem Fall besondere Personendaten, da sie in Zusammenhang mit einer religiösen Aktivität stehen. Das Bearbeiten der Daten im Ausland sollte aufgrund der hohen Risiken unterlassen werden.
Die Datenschutzbeauftragte wies darauf hin, bei der Evaluation darauf zu achten, dass keine Rückschlüsse auf einzelne Personen möglich sind. Wenn die Nutzung beispielsweise nach gleichem Aufgabenfeld aufgeschlüsselt wird, kann aufgrund der geringen Anzahl an Teilnehmenden auf Personen rückgeschlossen werden. Die Entfernung von Namen führt also nicht zur Anonymisierung der Daten.
Microsoft 365 in Kirchgemeinden
Die Bestimmungen des IDG gelten auch bei der Cloud-Nutzung. Auch Kirchgemeinden setzen zunehmend Microsoft 365 ein. Hier gelten dieselben Anforderungen wie in der kantonalen oder kommunalen Verwaltung. Allerdings sind Informationen zu religiösen Aktivitäten immer besondere Personendaten und müssen zusätzlich geschützt werden. Deshalb ist der Risikoanalyse vor dem Einsatz von Microsoft 365 besondere Beachtung zu schenken. Der Leitfaden Nutzung externer Cloud-Dienste führt Schritt für Schritt durch die verschiedenen Phasen der Evaluation der Cloud-Dienste und beschreibt die Möglichkeit ihres Einsatzes. Es ist eine Datenschutz-Folgenabschätzung durchzuführen und das Projekt ist bei der Datenschutzbeauftragten zur Vorabkontrolle einzureichen.
Datenschutzreglemente
Eine Kirchgemeinde legte der Datenschutzbeauftragten ihr Datenschutzreglement vor. Als öffentliche Organe müssen sich Kirchgemeinden bei der Datenbearbeitung an die gesetzlichen Grundlagen halten. Ein Datenschutzreglement ist deshalb nicht notwendig. Es kann allerdings dazu beitragen, die Mitarbeitenden im Umgang mit Informationen zu religiösen Aktivitäten sicherer zu machen.