Personenbezogene Daten sind alle Informationen über eine natürliche Person, die einer Identifizierung dienen. Typische Kategorien sind: Name, Adresse, Geburtsdatum usw. Juristische Personen sind vom Anwendungsbereich der DSGVO ausgenommen, nicht aber deren Organe (Obfrau, Geschäftsführer usw.) oder deren Mitglieder, wenn von ihnen als natürliche Personen personenbezogene Daten gesammelt werden.

Besonders strenge Regeln gelten für Daten einer sogenannten besonderen Kategorie (Art 9 DSGVO). Damit sind sensible Daten gemeint, wie ethnische Herkunft, politische Meinungen, sexuelle Orientierung u.a. (Art 9 Abs 1). Solche Daten dürfen prinzipiell nur eingeschränkt verarbeitet werden.

Die DSGVO gilt für die strukturierte Verarbeitung personenbezogener Daten. Neben der Verwendung verschiedener Verarbeitungsprogramme (z.B. Excel) fällt auch das Einordnen in einen Ordner oder in einen Zettelkasten darunter (automatisiertes und nichtautomatisiertes Verfahren). Da unter strukturierter Verarbeitung alles, „was nach bestimmten Kriterien“ geordnet ist, verstanden wird, sind hier kaum Ausnahmen denkbar. Die Grundsätze der Verarbeitung werden in Art 5 DSGVO aufgelistet:

• Rechtmäßigkeit: Die Einwilligung der betroffenen Person muss vorliegen und ein Widerruf jederzeit möglich sein.

• Zweckbindung: Die Datenverarbeitung darf nur für festgelegte, eindeutige und legitime Zwecke (z.B. Zusendung eines Newsletters) erfolgen.

• Datenminimierung: Nicht mehr verwendete/benötigte Daten müssen gelöscht und unnötiges Datensammeln vermieden werden.

• Richtigkeit: Unrichtige Daten müssen auf Anfrage der betroffenen Person berichtigt bzw. ergänzt werden (z.B. wenn der Name falsch geschrieben ist).

• Speicherbegrenzung: Ein Sonderfall der Datenminimierung. Daten sollen nur gespeichert werden, solange sie benötigt werden.

• Integrität und Vertraulichkeit: Schutz vor unrechtmäßiger Verarbeitung, Verlust und Beschädigung. Daraus ergeben sich etwa auch die Pflichten einer sicheren Aufbewahrung (siehe Pflichten des/der Verantwortlichen).
• Rechenschaftspflicht: Wenn z.B. ein Laptop gestohlen wird, auf dem personenbezogene Daten gespeichert sind, so muss grundsätzlich die (potenziell) betroffene Person darüber binnen 72 Stunden informiert werden (Details siehe Pflichten des/der Verantwortlichen).

Es ist zu unterscheiden zwischen Verantwortliche*r und Auftragsverarbeiter*in.

Der*die Verantwortliche*r entscheidet über die Zwecke und Mittel zur Verarbeitung personenbezogener Daten. Aufgrund der weiten Definition (Art 4 Z 7 DSGVO) kann jeder (Kultur-)Verein, aber auch jede vereinsähnliche Organisation und möglicherweise auch eine Einzelperson, die Kulturprojekte umsetzt, Verantwortliche*r sein.

Ein*e Auftragsverarbeiter*in ist eine natürliche oder juristische Person, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des*der Verantwortlichen verarbeitet (Art 4 Z 8 DSGVO). Dazu kann jedes Vereinsmitglied, aber auch eine externe Person bestimmt werden. Ausübende Künstler*innen als Einzelperson können beide Rollen (Verantwortliche*r und Auftragsverarbeiter*in) gleichzeitig in sich vereinen.

Als Einwilligung gilt jede freiwillige Erklärung oder Handlung einer Person, die für einen bestimmten Fall und unmissverständlich abgegeben wurde. Die betroffene Person willigt damit ein, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art 4 Z 11 DSGVO). Bei Vereinsmitgliedern kann durch den Eintritt in den Verein eine stillschweigende Einwilligung in die Verarbeitung ihrer personenbezogenen Daten angenommen werden. Bei anderen Personen wird jedenfalls eine schriftliche Einwilligung empfohlen.

Rechte betroffener Personen

• Recht auf Auskunft (Art 15 DSGVO): Anfragen über Existenz, Art, Umfang und Verwendung persönlicher Daten müssen bearbeitet werden. Die Auskunftsfrist beträgt einen Monat. Auch wenn keine Daten gespeichert sind, muss darüber Auskunft erteilt werden (Negativauskunft).

• Recht auf Berichtigung und Vervollständigung (Art 16 DSGVO): Etwa wenn der Name oder die Adresse falsch geschrieben sind, muss dies ausgebessert werden.

• Recht auf Löschung der Daten (Art 17 DSGVO): Die personenbezogenen Daten sind auf Verlangen aus der Anwendung zu entfernen.

• Recht auf Mitteilung (Art 19 DSGVO) über die Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung: Der betroffenen Person ist die Berichtigung mitzuteilen.

Pflichten des*der Verantwortlichen

Mit den Rechten der betroffenen Person korrespondieren die Pflichten des*der Verantwortlichen, also die Pflicht zur Auskunft, Berichtigung, Löschung usw. Dazu ergänzend bestehen folgende Pflichten:

• Schutz vor unrechtmäßiger Verarbeitung: Personenbezogene Daten sind durch verschiedene Vorkehrungen zu schützen, wie etwa Bildschirmsperre, Passwörter geheimhalten, Inhalte auf USB-Sticks regelmäßig löschen usw. Die Verwendung einer Datencloud gilt, was den Datenschutz betrifft, noch nicht als fahrlässig.

• Die Benennung eines*r Datenschutzbeauftragten ist in bestimmten Fällen zwingend vorgeschrieben. Davon betroffen sind etwa Banken und Versicherungen, Kulturinitiativen in der Regel nicht (nähere Details siehe Art 37 DSGVO).

• Verantwortliche sind verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dies gilt nicht für Organisationen mit weniger als 250 Beschäftigten. Auch wenn somit (kleine und mittlere) Kulturinitiativen von dieser Aufzeichnungspflicht befreit sind, wird empfohlen, die datenschutzrechtliche Bestandsaufnahme regelmäßig zu evaluieren (siehe Seite 3, Checkliste für Kulturinitiativen).

Strafbestimmungen

Personen, deren Rechte verletzt wurden, können sich an die Datenschutzbehörde wenden, die über den*die Verantwortliche*n eine Verwaltungsstrafe verhängen kann. Die Geldbußen können bei besonders schwerwiegenden Verstößen bis zu 20 Millionen Euro betragen oder bei Unternehmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes. Es gibt keine Sonderbestimmungen für gemeinnützige Vereine.