Checkliste für Kulturinitiativen am Textende

Am 25. Mai 2018 trat EU-weit die Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft. Sie zielt darauf ab, das Schutzniveau des Grundrechts natürlicher Personen auf Schutz ihrer personenbezogenen Daten zu erhöhen. Durch die DSGVO soll insgesamt ein verantwortungsvoller Umgang mit Daten gefördert werden.

Die österreichische Bundesregierung hat jedoch am 20. April mit den Stimmen von ÖVP und FPÖ überraschend eine Novelle der DSGVO beschlossen, die die meisten Bestimmungen der DSGVO außer Kraft setzt bzw. bis auf Weiteres in Frage stellt. Strafen für Verstöße gegen die DSGVO sind hierzulande vorerst nicht zu erwarten.

Die DSGVO sollte ursprünglich auch alle Kulturvereine und -initiativen unabhängig von ihrer Größe betreffen. Bis die Sachlage in Österreich geklärt ist, sind hier die wichtigsten Bestimmungen nachzulesen.
Personenbezogene Daten sind alle Informationen über eine natürliche Person, die einer Identifizierung dienen. Typische Kategorien sind: Name, Adresse, Geburtsdatum usw. Juristische Personen sind vom Anwendungsbereich der DSGVO ausgenommen, nicht aber deren Organe (Obfrau, Geschäftsführer usw.) oder deren Mitglieder, wenn von ihnen als natürliche Personen personenbezogene Daten gesammelt werden.

Besonders strenge Regeln gelten für Daten einer sogenannten besonderen Kategorie (Art 9 DSGVO). Damit sind sensible Daten gemeint, wie ethnische Herkunft, politische Meinungen, sexuelle Orientierung u.a. (Art 9 Abs 1). Solche Daten dürfen prinzipiell nur eingeschränkt verarbeitet werden.


Die DSGVO gilt für die strukturierte Verarbeitung personenbezogener Daten. Neben der Verwendung verschiedener Verarbeitungsprogramme (z.B. Excel) fällt auch das Einordnen in einen Ordner oder in einen Zettelkasten darunter (automatisiertes und nichtautomatisiertes Verfahren). Da unter strukturierter Verarbeitung alles, „was nach bestimmten Kriterien“ geordnet ist, verstanden wird, sind hier kaum Ausnahmen denkbar. Die Grundsätze der Verarbeitung werden in Art 5 DSGVO aufgelistet:

• Rechtmäßigkeit: Die Einwilligung der betroffenen Person muss vorliegen und ein Widerruf jederzeit möglich sein (Details siehe grauer Textkasten auf Seite 3).

• Zweckbindung: Die Datenverarbeitung darf nur für festgelegte, eindeutige und legitime Zwecke (z.B. Zusendung eines Newsletters) erfolgen.

• Datenminimierung: Nicht mehr verwendete/benötigte Daten müssen gelöscht und unnötiges Datensammeln vermieden werden.

• Richtigkeit: Unrichtige Daten müssen auf Anfrage der betroffenen Person berichtigt bzw. ergänzt werden (z.B. wenn der Name falsch geschrieben ist).

• Speicherbegrenzung: Ein Sonderfall der Datenminimierung. Daten sollen nur gespeichert werden, solange sie benötigt werden.

• Integrität und Vertraulichkeit: Schutz vor unrechtmäßiger Verarbeitung, Verlust und Beschädigung. Daraus ergeben sich etwa auch die Pflichten einer sicheren Aufbewahrung (siehe Pflichten des/der Verantwortlichen).

• Rechenschaftspflicht: Wenn z.B. ein Laptop gestohlen wird, auf dem personenbezogene Daten gespeichert sind, so muss grundsätzlich die (potenziell) betroffene Person darüber binnen 72 Stunden informiert werden (Details siehe Pflichten des/der Verantwortlichen, Punkt 2).

Es ist zu unterscheiden zwischen Verantwortliche/r und AuftragsverarbeiterIn.

Der/die Verantwortliche/r entscheidet über die Zwecke und Mittel zur Verarbeitung personenbezogener Daten. Aufgrund der weiten Definition (Art 4 Z 7 DSGVO) kann jeder (Kultur)Verein, aber auch jede vereinsähnliche Organisation und möglicherweise auch eine Einzelperson, die Kulturprojekte umsetzt, Verantwortliche/r sein.

Ein/e AuftragsverarbeiterIn ist eine natürliche oder juristische Person, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des/der Verantwortlichen verarbeitet (Art 4 Z 8 DSGVO). Dazu kann jedes Vereinsmitglied, aber auch eine externe Person bestimmt werden. Ausübende KünstlerInnen als Einzelperson können beide Rollen (Verantwortliche/r und AuftragsverarbeiterIn) gleichzeitig in sich vereinen.


Als Einwilligung gilt jede freiwillige Erklärung oder Handlung einer Person, die für einen bestimmten Fall und unmissverständlich abgegeben wurde. Die betroffene Person willigt damit ein, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art 4 Z 11 DSGVO). Bei Vereinsmitgliedern kann durch den Eintritt in den Verein eine stillschweigende Einwilligung in die Verarbeitung ihrer personenbezogenen Daten angenommen werden. Bei anderen Personen wird jedenfalls eine schriftliche Einwilligung empfohlen.


Rechte betroffener Personen

• Recht auf Auskunft (Art 15 DSGVO): Anfragen über Existenz, Art, Umfang und Verwendung persönlicher Daten müssen bearbeitet werden. Die Auskunftsfrist beträgt einen Monat. Auch wenn keine Daten gespeichert sind, muss darüber Auskunft erteilt werden (Negativauskunft).

• Recht auf Berichtigung und Vervollständigung (Art 16 DSGVO): Etwa wenn der Name oder die Adresse falsch geschrieben sind, muss dies ausgebessert werden.

• Recht auf Löschung der Daten (Art 17 DSGVO): Die personenbezogenen Daten sind auf Verlangen aus der Anwendung zu entfernen.

• Recht auf Mitteilung (Art 19 DSGVO) über die Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung: Der betroffenen Person ist die Berichtigung mitzuteilen.

Pflichten des/der Verantwortlichen

Mit den Rechten der betroffenen Person korrespondieren die Pflichten des/der Verantwortlichen, also die Pflicht zur Auskunft, Berichtigung, Löschung usw. Dazu ergänzend bestehen folgende Pflichten:

• Schutz vor unrechtmäßiger Verarbeitung: Personenbezogene Daten sind durch verschiedene Vorkehrungen zu schützen, wie etwa Bildschirmsperre, Passwörter geheimhalten, Inhalte auf USB-Sticks regelmäßig löschen usw. Die Verwendung einer Datencloud gilt, was den Datenschutz betrifft, noch nicht als fahrlässig.

• Die Benennung eines/r Datenschutzbeauftragten ist in bestimmten Fällen zwingend vorgeschrieben. Davon betroffen sind etwa Banken und Versicherungen, Kulturinitiativen in der Regel nicht (nähere Details siehe Art 37 DSGVO).

• Verantwortliche sind verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dies gilt nicht für Organisationen mit weniger als 250 Beschäftigten. Auch wenn somit (kleine und mittlere) Kulturinitiativen von dieser Aufzeichnungspflicht befreit sind, wird empfohlen, die datenschutzrechtliche Bestandsaufnahme regelmäßig zu evaluieren (siehe Seite 3, Checkliste für Kulturinitiativen).

Strafbestimmungen

Personen, deren Rechte verletzt wurden, können sich an die Datenschutzbehörde wenden, die über den/die Verantwortliche/n eine Verwaltungsstrafe verhängen kann. Die Geldbußen können bei besonders schwerwiegenden Verstößen bis zu 20 Millionen Euro betragen oder bei Unternehmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes. Es gibt keine Sonderbestimmungen für gemeinnützige Vereine.


Auch wenn die DSGVO vor allem auf größere Konzerne abzielt, sollten sich Kulturvereine und -initiativen sowie natürliche Personen, die mit personenbezogenen Daten von Einzelpersonen arbeiten, vorbereiten, um keine „böse Überraschung“ zu erleben. Grund zur Sorge unverhältnismäßig hoher Strafen besteht allerdings nicht – gerade wenn man sich vorbereitet und durch bestimmte Handlungen (siehe die folgende Checkliste) Bereitschaft zeigt, zukünftig mehr auf Datenschutz zu achten

• Regelmäßig evaluieren (schriftlich): Wer hat aus welchem Grund Zugriff auf welche Daten? Wie werden diese Daten geschützt und welche Verarbeitungen werden aus welchen Gründen vorgenommen?

• Schriftlich erfassen, an welchen Speicherorten und in welchen Anwendungen personenbezogene Daten gesammelt werden.

• Sind auch Daten besonderer Kategorien (sensible Daten) vorhanden? (Sonderregelungen beachten, siehe Was sind personenbezogene Daten?)

• Maßnahmen für eine sichere Datenverwaltung festschreiben (auch den physischen Schutz beachten, z.B. Raumsicherheit). Dazu auch Basis-Sicherheit umsetzen: Computer und Datenbanken sichern, passwortgesicherten Bildschirmschoner einstellen, Passwörter bei Personalwechsel ändern, USB-Sticks und Passwörter nicht leicht zugänglich aufbewahren (nicht z.B. auf Post Its am Schreibtisch), Daten vom privaten PC löschen usw.

• Nicht mehr benötigte Daten löschen (alte Bewerbungsunterlagen, ehemalige Mitgliederdaten usw.).

• Zuständigkeit festlegen: Person in der Initiative bestellen, die sich um Anfragen usw. kümmert (AuftragsverarbeiterIn) oder eine/n externe/n Verantwortliche/n heranziehen, Ablauf für Auskünfte festlegen.
  
  
• Eine verpflichtende Datenschutzerklärung auf der Homepage informiert UserInnen über die Verwendung ihrer Daten. Es gibt kostenlose Datenschutzerklärungs-Generatoren, die bei der Erstellung der Datenschutzerklärung hilfreich sind, wie z. B. activeMind AG

Für nähere und weiterführende Informationen wird auf die Langversion dieses Infoblattes verwiesen (erhältlich für TKI-Mitglieder).

Rechtsgrundlage
Datenschutz-Grundverordnung (DSGVO)

Download Infoblatt
Datenschutz in KI's

Datenschutzerklärungs-Generator von activeMind AG


Rechtslage in Österreich

Österreich zieht Datenschutz die Zähne
(heise.de, 24.4.2018)

Überraschende Entschärfung
(orf.at, 25.4.2018)