Infothek
Datenschutz im Verein

Datenschutz im Verein

INHALT

Datenschutz-Grundverordnung

Checkliste für Kulturinitiativen am Textende

Seit 2018 ist EU-weit die Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft. Sie zielt darauf ab, das Schutzniveau des Grundrechts natürlicher Personen auf Schutz ihrer personenbezogenen Daten zu erhöhen. Durch die DSGVO soll insgesamt ein verantwortungsvoller Umgang mit Daten gefördert werden.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen über eine natürliche Person, die einer Identifizierung dienen. Typische Kategorien sind: Name, Adresse, Geburtsdatum usw. Juristische Personen sind vom Anwendungsbereich der DSGVO ausgenommen, nicht aber deren Organe (Obfrau, Geschäftsführer usw.) oder deren Mitglieder, wenn von ihnen als natürliche Personen personenbezogene Daten gesammelt werden.

Besonders strenge Regeln gelten für Daten einer sogenannten besonderen Kategorie (Art 9 DSGVO). Damit sind sensible Daten gemeint, wie ethnische Herkunft, politische Meinungen, sexuelle Orientierung u.a. (Art 9 Abs 1). Solche Daten dürfen prinzipiell nur eingeschränkt verarbeitet werden.

Was versteht man unter Verarbeitung?

Die DSGVO gilt für die strukturierte Verarbeitung personenbezogener Daten. Neben der Verwendung verschiedener Verarbeitungsprogramme (z.B. Excel) fällt auch das Einordnen in einen Ordner oder in einen Zettelkasten darunter (automatisiertes und nichtautomatisiertes Verfahren). Da unter strukturierter Verarbeitung alles, „was nach bestimmten Kriterien“ geordnet ist, verstanden wird, sind hier kaum Ausnahmen denkbar. Die Grundsätze der Verarbeitung werden in Art 5 DSGVO aufgelistet:

  • Rechtmäßigkeit: Die Einwilligung der betroffenen Person muss vorliegen und ein Widerruf jederzeit möglich sein.
  • Zweckbindung: Die Datenverarbeitung darf nur für festgelegte, eindeutige und legitime Zwecke (z.B. Zusendung eines Newsletters) erfolgen.
  • Datenminimierung: Nicht mehr verwendete/benötigte Daten müssen gelöscht und unnötiges Datensammeln vermieden werden.
  • Richtigkeit: Unrichtige Daten müssen auf Anfrage der betroffenen Person berichtigt bzw. ergänzt werden (z.B. wenn der Name falsch geschrieben ist).
  • Speicherbegrenzung: Ein Sonderfall der Datenminimierung. Daten sollen nur gespeichert werden, solange sie benötigt werden.
  • Integrität und Vertraulichkeit: Schutz vor unrechtmäßiger Verarbeitung, Verlust und Beschädigung. Daraus ergeben sich etwa auch die Pflichten einer sicheren Aufbewahrung (siehe Pflichten des/der Verantwortlichen).
  • Rechenschaftspflicht: Wenn z.B. ein Laptop gestohlen wird, auf dem personenbezogene Daten gespeichert sind, so muss grundsätzlich die (potenziell) betroffene Person darüber binnen 72 Stunden informiert werden (Details siehe Pflichten des/der Verantwortlichen).

Wer ist "Verantwortliche*r"?

Es ist zu unterscheiden zwischen Verantwortliche*r und Auftragsverarbeiter*in.

Der*die Verantwortliche*r entscheidet über die Zwecke und Mittel zur Verarbeitung personenbezogener Daten. Aufgrund der weiten Definition (Art 4 Z 7 DSGVO) kann jeder (Kultur-)Verein, aber auch jede vereinsähnliche Organisation und möglicherweise auch eine Einzelperson, die Kulturprojekte umsetzt, Verantwortliche*r sein.

Ein*e Auftragsverarbeiter*in ist eine natürliche oder juristische Person, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des*der Verantwortlichen verarbeitet (Art 4 Z 8 DSGVO). Dazu kann jedes Vereinsmitglied, aber auch eine externe Person bestimmt werden. Ausübende Künstler*innen als Einzelperson können beide Rollen (Verantwortliche*r und Auftragsverarbeiter*in) gleichzeitig in sich vereinen.

Was ist eine "Einwilligung" und wie hat sie zu erfolgen?

Als Einwilligung gilt jede freiwillige Erklärung oder Handlung einer Person, die für einen bestimmten Fall und unmissverständlich abgegeben wurde. Die betroffene Person willigt damit ein, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (Art 4 Z 11 DSGVO). Bei Vereinsmitgliedern kann durch den Eintritt in den Verein eine stillschweigende Einwilligung in die Verarbeitung ihrer personenbezogenen Daten angenommen werden. Bei anderen Personen wird jedenfalls eine schriftliche Einwilligung empfohlen.

Rechte, Pflichten, Strafen

Rechte betroffener Personen

  • Recht auf Auskunft (Art 15 DSGVO): Anfragen über Existenz, Art, Umfang und Verwendung persönlicher Daten müssen bearbeitet werden. Die Auskunftsfrist beträgt einen Monat. Auch wenn keine Daten gespeichert sind, muss darüber Auskunft erteilt werden (Negativauskunft).
  • Recht auf Berichtigung und Vervollständigung (Art 16 DSGVO): Etwa wenn der Name oder die Adresse falsch geschrieben sind, muss dies ausgebessert werden.
  • Recht auf Löschung der Daten (Art 17 DSGVO): Die personenbezogenen Daten sind auf Verlangen aus der Anwendung zu entfernen.
  • Recht auf Mitteilung (Art 19 DSGVO) über die Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung: Der betroffenen Person ist die Berichtigung mitzuteilen.

Pflichten des*der Verantwortlichen

Mit den Rechten der betroffenen Person korrespondieren die Pflichten des*der Verantwortlichen, also die Pflicht zur Auskunft, Berichtigung, Löschung usw. Dazu ergänzend bestehen folgende Pflichten:

  • Schutz vor unrechtmäßiger Verarbeitung: Personenbezogene Daten sind durch verschiedene Vorkehrungen zu schützen, wie etwa Bildschirmsperre, Passwörter geheimhalten, Inhalte auf USB-Sticks regelmäßig löschen usw. Die Verwendung einer Datencloud gilt, was den Datenschutz betrifft, noch nicht als fahrlässig.
  • Die Benennung eines*r Datenschutzbeauftragten ist in bestimmten Fällen zwingend vorgeschrieben. Davon betroffen sind etwa Banken und Versicherungen, Kulturinitiativen in der Regel nicht (nähere Details siehe Art 37 DSGVO).
  • Verantwortliche sind verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dies gilt nicht für Organisationen mit weniger als 250 Beschäftigten. Auch wenn somit (kleine und mittlere) Kulturinitiativen von dieser Aufzeichnungspflicht befreit sind, wird empfohlen, die datenschutzrechtliche Bestandsaufnahme regelmäßig zu evaluieren (siehe Seite 3, Checkliste für Kulturinitiativen).


Strafbestimmungen

Personen, deren Rechte verletzt wurden, können sich an die Datenschutzbehörde wenden, die über den*die Verantwortliche*n eine Verwaltungsstrafe verhängen kann. Die Geldbußen können bei besonders schwerwiegenden Verstößen bis zu 20 Millionen Euro betragen oder bei Unternehmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes. Es gibt keine Sonderbestimmungen für gemeinnützige Vereine.

Conclusio

Auch wenn die DSGVO vor allem auf größere Betriebe abzielt, sollten sich Kulturvereine und -initiativen sowie natürliche Personen, die mit personenbezogenen Daten von Einzelpersonen arbeiten, vorbereiten, um keine „böse Überraschung“ zu erleben. Grund zur Sorge unverhältnismäßig hoher Strafen besteht allerdings nicht – gerade wenn man sich vorbereitet und durch bestimmte Handlungen (siehe die folgende Checkliste) den Datenschutz im Betrieb ernst nimmt.

Checkliste für Kulturinitiativen

  • Regelmäßig evaluieren (schriftlich): Wer hat aus welchem Grund Zugriff auf welche Daten? Wie werden diese Daten geschützt und welche Verarbeitungen werden aus welchen Gründen vorgenommen?
  • Schriftlich erfassen, an welchen Speicherorten und in welchen Anwendungen personenbezogene Daten gesammelt werden.
  • Sind auch Daten besonderer Kategorien (sensible Daten) vorhanden? (Sonderregelungen beachten, siehe: Was sind personenbezogene Daten?)
  • Maßnahmen für eine sichere Datenverwaltung festschreiben (auch den physischen Schutz beachten, z.B. Raumsicherheit). Dazu auch Basis-Sicherheit umsetzen: Computer und Datenbanken sichern, passwortgesicherten Bildschirmschoner einstellen, Passwörter bei Personalwechsel ändern, USB-Sticks und Passwörter nicht leicht zugänglich aufbewahren (nicht z.B. auf Post Its am Schreibtisch), Daten vom privaten PC löschen usw.
  • Nicht mehr benötigte Daten löschen (alte Bewerbungsunterlagen, ehemalige Mitgliederdaten usw.).
  • Zuständigkeit festlegen: Person in der Initiative bestellen, die sich um Anfragen usw. kümmert (Auftragsverarbeiter*in) oder eine*n externe*n Verantwortliche*n heranziehen, Ablauf für Auskünfte festlegen.
  • Eine verpflichtende Datenschutzerklärung auf der Webseite informiert User*innen über die Verwendung ihrer Daten. Es gibt kostenlose Datenschutzerklärungs-Generatoren, die bei der Erstellung der Datenschutzerklärung hilfreich sind.

Langversion

Für nähere und weiterführende Informationen wird auf die Langversion dieses Infoblattes verwiesen (erhältlich für TKI-Mitglieder).

 

Bild: Chris Barbalis/unsplash
Rechtsgrundlage
Datenschutz-Grundverordnung
DSGVO
DSGVO-Muster für Vereine
der Kultur.Region.Niederösterreich
service-freiwillige.at
FAQs
der DSB-Datenschutzbehörde Österreich
www.dsb.gv.at
FAQs Cookies und Datenschutz
der DSB-Datenschutzbehörde Österreich
www.dsb.gv.at
Praxisleitfaden zur DSGVO
E-Book der WKO
www.wko.at
Ratgeber der WKO
www.wko.at
Datenschutz und Social Media
www.wko.at
DSGVO-Tool für Vereine
Höhne, In der Maur & Partner
vereine.datenschutz-recht.at
Service

Newsletter

anmelden und auf dem Laufenden bleiben

Blackboard

Jobs, Calls, Weiterbildung, Suchen & Finden

Bibliothek

zum Online-Katalog der TKI-Bibliothek

Downloads

Logos, Jahresberichte und mehr

Glossar

Begriffe aus dem Kulturbereich, gesammelt und erklärt. In Arbeit!

Presse

Pressematerial und ‑aussendungen zum Download

TKI - Tiroler Kulturinitiativen
Dreiheiligenstraße 21 a
c/o Die Bäckerei
6020 Innsbruck


0680 2109254
office@tki.at


Öffnungszeiten:
MO-DO: 9 - 12 Uhr, DI: 14 - 17 Uhr
und nach Vereinbarung

Folge uns auf
Gefördert durch Land Tirol und Stadt Innsbruck
Top arrow-right