Zum Hauptinhalt springen

Datenschutz-Grundverordnung – ab 25. Mai 2018 – auch für Vereine!

Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) …

  • auch für Vereine

  • für jede ganz oder teilweise oder nicht automatisierte Verarbeitung (Erfassung, Speicherung, Änderung, Verwendung …)

  • personenbezogener Daten (Mitgliederdatei, Interessent*innendatei, Abonnent*innendatei, Journalist*innen-Kontakt-Datei, E-Mail-Adressbuch im E-Mail-Programm, Newsletterabonnent*innenverwaltung, Personalisierung der Website, Adressverzeichnis auf Karteikarten, …)
    Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen, z. B.: Name, Adresse, Geburtsdatum, …
    Für „besondere Kategorien personenbezogener Daten“ (früher „sensible Daten“ genannt) – das sind personenbezogene Daten, aus denen z. B. politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, ethnische Zuordnungen hervorgehen – gibt es strengere Bestimmungen, auf die hier nicht eingegangen wird.

Bei Verstößen (z. B. wenn Auskunftsbegehren von betroffenen Personen nicht beantwortet werden; siehe unten) sind auch für Vereine grundsätzlich Strafen bis zu 20 Millionen Euro möglich. Es kann sich also durchaus auszahlen, sich mit der Datenschutz-Grundverordnung etwas näher auseinanderzusetzen, wenn das nicht eh schon gemacht wurde.

Dieser kurze Artikel kann nur die Wichtigkeit des Themas aufzeigen und ersetzt nicht die nähere Auseinandersetzung damit, die zum Beispiel mit Hilfe dieser Seiten möglich ist:

Für jede Speicherung und Verarbeitung personenbezogener Daten sind zu beachten, die …

Grundsätze für die Datenverarbeitung:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    Es ist eine Einwilligung der betroffenen Personen zur Verarbeitung personenbezogener Daten erforderlich. Diese Einwilligung kann mündlich, schriftlich oder elektronisch erfolgen, etwa auch durch Anklicken eines Kästchens auf einer Internetseite. Bereits vorangekreuzte Kästchen erfüllen diese Bedingung nicht. Stillschweigen ersetzt auch keine Einwilligung. Es reicht nicht aus, den betroffenen Personen mitzuteilen, dass es die Möglichkeit gibt, die Verarbeitung der Daten abzulehnen oder den Newsletter abzubestellen.
    Keine Einwilligung der betroffenen Person ist unter anderem dann erforderlich, wenn die Daten zur Erfüllung einer vertraglichen Verpflichtung verarbeitet werden, oder wenn eine rechtliche Verpflichtung dafür besteht. Möglicher Einwilligungstext (angelehnt an die Empfehlung der WKO):

Ich stimme zu, dass meine persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z. B. „zur Zusendung des Newsletters des Vereins XYZ“) beim Verein XYZ verarbeitet werden.
Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden.“
  • Zweckbindung
    Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Werden die Daten für verschiedene Zwecke verwendet, so muss für jeden dieser Zwecke eine Einwilligung oder Verpflichtung vorliegen.
  • Datenminimierung
    Es dürfen nur jene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind.
  • Richtigkeit
    Die Daten müssen richtig sein, aktualisiert werden und außerdem ist dafür zu sorgen, dass unrichtige Daten gelöscht oder berichtigt werden.
  • (Zeitliche) Speicherbegrenzung
    Die Daten dürfen nur so lange gespeichert werden, als es für den jeweiligen Zweck erforderlich ist. Ausnahmen gibt es für bestimmte Archivierungszwecke.
  • Integrität und Vertraulichkeit (Sicherheit)
    Die Sicherheit der Daten muss gewährleistet sein. Die Daten müssen geschützt werden vor:
    • Unrechtmäßigen Zugriffen oder Verarbeitungen durch Unbefugte
      Je nach Art und Umfang der verarbeiteten Daten und dem Zweck der Verarbeitung sind (unter Berücksichtigung des Stands der Technik) geeignete technische und organisatorische Maßnahmen zu setzen, um die Daten zu schützen.
      Dies kann bei der Verwaltung von Mitgliederdaten etwa durch Verarbeitung auf Geräten mit passwortgeschützten Zugängen und die Speicherung auf verschlüsselten Datenträgern gewährleistet sein. Für die Absicherung der Zugriffe müssen alle möglichen Zugriffsarten berücksichtigt werden (nicht nur der Stand-PC im Büro, sondern z. B. auch der Laptop oder das Mobiltelefon, mit dem sich eingeloggt werden kann).
      Karteikarten oder Aktenordner können durch versperrte Kästen vor unbefugten Zugriffen geschützt werden.
    • Unbeabsichtigten Verlust, Zerstörung oder Beschädigung
      Dies kann durch angemessene Backups erfolgen. Die Backups müssen freilich ebenfalls vor Zugriffen und Verarbeitungen Unbefugter gesichert sein (Z. B. verschlüsselte Festplatten, die an gesicherten Orten aufbewahrt werden).

Rechte der Betroffenen

Die, deren Daten verarbeitet werden, haben …

  • Recht auf Auskunft (innerhalb eines Monats), ob Daten verarbeitet werden, und, wenn ja, über:
    • Verarbeitungzwecke

    • Datenkategorien

    • Dateninhalte (z. B. Kopie/Ausdruck der Daten)

    • Datenempfänger (wenn die Daten weitergegeben werden dürfen)

    • geplante Speicherdauer

    • Bestehen eines Berichtigungs-, Löschungs- oder Widerspruchsrechts

    • Bestehen eines Auskunftsrechts bei der Beschwerdebehörde

    • Verfügbare Information über Datenherkunft

    • Bestehen einer automatisierten Entscheidungsfindung (Profiling)

       

  • Recht auf Richtigstellung (innerhalb eines Monats müssen auf Wunsch Daten berichtigt oder ergänzt werden
  • Recht auf Löschung (innerhalb eines Monats) bei
    • Wegfall des Verarbeitungszwecks
    • Widerruf der Einwilligung der betroffenen Person
    • Wirksamer Widerspruch gegen die Datenverarbeitung
    • anfänglicher Unrechtmäßigkeit der Datenverarbeitung
    • rechtlicher Verpflichtung zur Löschung (Gesetz, Urteil, Bescheid)
    • Fehler der Einwilligung der Erziehungsberechtigten bei Kindern (bis 14 J.)

Die personenbezogenen Daten müssen in diesen Fällen vollständig gelöscht werden. Die betroffenen Personen haben überdies das Recht auf „Vergessenwerden“. Es sind gegebenenfalls auch Informationen auf Websites zu löschen, Links zu entfernen, Suchmaschinenbetreibende zu informieren.

Es ist sinnvoll, den Auftrag zur Löschung und die gesetzten Schritte zu dokumentieren, z. B.: in der Datenbank alle personenbezogenen Daten der betroffenen Person, nicht aber ihren Namen, löschen und als Anmerkung vermerken: Löschung verlangt und durchgeführt am …).
Unter bestimmten Bedingungen können betroffene Personen auch eine „Einschränkung der Verarbeitung“ der Daten verlangen. Das heißt: die personenbezogenen Daten dürfen nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der EU oder eines Mitgliedstaats verarbeitet werden.

Wichtig: Wenn eine von der Verarbeitung personenbezogener Daten betroffene Person z. B. Auskunft über die gespeicherten Daten verlangt, ist vor Herausgabe der Daten sicherzustellen, dass es sich auch tatsächlich um die jeweilige Person handelt – z. B. durch Vorlage eines Lichtbildausweises. Sonst würden damit eventuell personenbezogene Daten an Unbefugte weitergegeben.

Verzeichnis der Verarbeitungstätigkeiten

Zum Nachweis der Einhaltung der Verordnung ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen und auf Anfrage der Datenschutzbehörde vorzulegen.

Dieses Verzeichnis muss für jede Verarbeitung (jede Datenbank (Mitgliederdatenbank, Interessent*innendatenbank, Newsletter-Abonnent*innenliste, Dienstvertragsunterlagen, E-Mail-Adressbuch auf PC 1, E-Mail-Adressbuch auf PC 2, Telefonnummernverzeichnis auf PC 1, Telefonnummernverzeichnis auf PC 2, Telefonnummernverzeichnis auf Telefon xy, …) beinhalten:

  • Namen und Kontaktdaten der verantwortlichen Person
  • Zwecke der Verarbeitung
  • Kategorien der betroffenen Personen und personenbezogenen Daten
  • Kategorien der Empfänger *innen der Daten (bei Weitergabe der Daten)
  • Übermittlung in ein Drittland (z. B. wenn die Daten z. B. bei bei Online-Datenbanken auf Computern in Ländern außerhalb der EU gespeichert werden)
  • vorgesehene Fristen der Löschung der Daten
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen für die Sicherheit der Daten

Die WKO hat ein „Muster Verarbeitungsverzeichnis für Verantwortliche” auf ihrer Website, das zur Erstellung des Verarbeitungsverzeichnis hilfreich sein kann. Dieses ist hier zu finden:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html

Datenschutzerklärung

Entsprechend den Ansprüchen der Datenschutz-Grundverordnung und anderer Gesetze sollte die Datenschutzerklärung auf der Website des Vereins angepasst werden. Die WKO bietet auch dazu ein Muster:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

Die Kulturvernetzung Niederösterreich empfiehlt diesen Datenschutzerklärungsgenerator:

https://www.activemind.de/datenschutz/datenschutzhinweis-generator/,

 

Dieser Text wurde mithilfe von Unterlagen der Datenschutzbehörde, der Wirtschaftskammer Österreich, der Kulturvernetzung Niederösterreich – insbesondere von Richard Pleil – und der Steuerberaterin Sabine Halik erstellt.

Gerhard Kettler, Kulturinfoservice der IG Kultur Wien