Erstellt am 9. März 2018

Neue Datenschutz-Verordnung – was ändert sich für ehrenamtliche und Vereinsmuseen?

Ab 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung in Kraft (siehe auch Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, Datenschutzgesetz – DSG).

Diese Verordnung regelt, in welcher Form personenbezogene und insbesondere sensible Daten verarbeitet werden dürfen.
Im Regelfall werden in ehrenamtlichen und Vereinsmuseen kaum sensible personenbezogene Daten erhoben: Name, Adresse, E-Mail-Adresse, Telefonnummer, evtl. Geburtsdatum, etc. werden die häufigsten erhoben Daten sein.

Grundsätzlich gilt: Erheben Sie so wenig Daten wie möglich!

Achtung: Bankdaten zählen zu den sensiblen Daten. Diese sollten nach dem Stand der Technik geschützt sein (Serversicherheit, aktualisierter Virenschutz).

Bei der Verarbeitung dieser Daten müssen ab in Kraft treten der Verordnung besondere Maßnahmen ergriffen werden. Datenerhebung, -verbreitung/-nutzung und -speicherung müssen transparent sein.

Tipp:
Auf der Seite der WKO können Sie sich Ihre eigene Checkliste über ein Prüfverfahren zusammenstellen!
>>> weitere Informationen zur Checkliste 


Führung einer Mitgliederdatei (mit Erweiterung als Nutzung als Adressdatei für Interessierte, Besucherinnen und Besuchern)

Die Speicherung von personenbezogenen Daten von Besucherinnen und Besuchern sowie Interessierten für eigene Marketing-Zwecken (Einladungen, Newsletter, …) ist natürlich zulässig.

Es empfiehlt sich, bei allen erhobenen Daten einen klaren Verweis zu geben, wo in welcher Form die Daten verarbeitet werden. Meldet sich bspw. eine neues Mitglied an, so schickt man ihm in Form eines Infoblatts die wichtigsten Daten: wo seine personenbezogenen Daten gespeichert werden, wer diese einsieht und bearbeitet, ob diese weitergeleitet werden (z. B. zu einer nicht direkt im Verein durchgeführten Buchhaltung).
Auch wenn Daten von Besucher/innen und Besuchern erhoben werden, die sich bspw. für den Newsletter oder die Zusendung von Informationen interessieren und anmelden (z. B. in Form eines ausgelegten Zettels, in dem man personenbezogene Daten eintragen kann), sollte im Zuge dessen klar gelegt werden, in welcher Form die Daten gespeichert und verarbeitet werden (Adressdatei, Newsletterprogramm etc.).
Wichtig ist, dass die Einwilligung für die Verarbeitung der Daten jederzeit widerrufen werden kann und dass klar formuliert ist, wie man sich abmelden kann.
Sollten die Namen neuer Mitglieder veröffentlicht werden (Internet, Schwarzes Brett, Mitgliedsblätter) ist dafür jedenfalls eine ausdrückliche Einwilligung notwendig!

Achtung:
Für bestehende Mitglieder- und Adressdateien wird davon ausgegangen, dass diese rechtmäßig erhoben wurden, hier sind KEINE neuerlichen Einwilligungserklärungen erforderlich.
>>> weitere Informationen zur Einwilligungserklärung

HINWEIS bei SPENDEN
Für bei Spenden erhobene personenbezogene Daten sollte aufgrund der automatischen Spendenübermittlung eine Einwilligung für die Verarbreitung bereits erteilt!


Newsletter

Der Newsletterversand ist natürlich weiterhin möglich! Bei allen Versandadressen, an die bis dato Informations-E-Mails oder Newsletter versendet wurden, wird davon ausgegangen, dass die Adressaten dazu eingewilligt haben oder aber die Zusendung z. B. aufgrund einer bestehenden Mitgliedschaft schlüssig ist. Eine neuerliche Einholung der Einwilligung ist aber empfehlenswert, da diese auch retrograd nachweisbar sein sollte.

Tipp: Personen des öffentlichen Lebens dürfen auch ohne ihre ausdrückliche Einwilligung mit Informationen beschickt werden (bspw. lokale Politiker, Journalisten, …).

Mit Inkraftretens des DVGOs im Mai ist eine AUSDRÜCKLICHE Einwilligung notwendig, bspw. ist das Nicht-Abmelden von einem Newsletter keine Einwilligung.
Grundsätzlich ist die Einwilligung an keine Form gebunden, sie kann auch mündlich oder schlüssig (bspw. durch Übergeben einer Visitenkarte) erteilt werden, es empfiehlt sich aber eindeutige Einwilligungserklärungen für jeden einzelnen Adressaten zu speichern bzw. aufzuheben.
Möglichkeiten hierzu sind Formulare auf der Webseite, aus denen eindeutig hervogeht, dass das Ausfüllen des Formulars zu einer Newsletteranmeldung führt, eine E-Mail, mit Bitte um Zusendung des Newsletters, eine E-Mail-Verkehr, aus dem hervor geht, dass die Zusendung des Newsletters erwünscht ist, …
Wichtig ist vor allem, dass klar und deutlich ist, wie man sich JEDERZEIT vom Newsletter wieder abmelden kann.

>>> weitere Informationen zu E-Mail-Newslettern
>>> FAQ der WKO zum Newsletterversand


Recht auf Auskunft und Löschung

Es besteht jederzeit die Pflicht, Auskunft über die Verarbeitung personenbezogener Daten zu geben. Außerdem hat der Betroffene das Recht, die erhobenen Daten löschen zu lassen (Ausnahme: gesetzliche Speicher- und Aufbewahrungsfristen).

>>> weitere Informationen zum Recht auf Vergessenwerden


Verzeichnis sämtlicher Verarbeitungstätigkeiten

Es ist verpflichtend, ein Verzeichnis zu führen, in dem detailliert beschrieben wird, wer die Daten wie verarbeitet.
Sämtliche Verarbeitungstätigkeiten müssen verzeichnet sein.
– Name und Kontaktdaten aller Veranwortlichen bzw. jener, die mit Daten arbeiten (Achtung: auch das Lesen von Daten gilt als Datenverarbeitung)
– Zweck der Datenverarbeitung
– Beschreibung der betroffenen Personen und Kategorien (bspw. Mitglieder, Newsletter-Empfänger, Einladungsliste für postalischen Versand …)
– Weiterverarbeitung durch Dritte? (bspw. externe Buchhaltung)
– vorgesehene Frist für die Löschung
– Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

Die Form des Verzeichnisses ist nicht relevant, ein sehr gutes Beispiel findet sich bei der Österreichische Bundes-Sportorganisation (BSO) als Vorlage (Download).

>>> weitere Informationen zur Dokumentationspflicht


Webseite

Impressum >>> Datenschutzerklärung!

Eine einfache und kostengünstige Methode ist es, neben dem Impressum einen weiteren Punkt zum Thema Datenschutz einzufügen und dort alle auf den ersten Blick relevanten Informationen zum Datenschutz öffentlich zu machen.

Analyse-Tools

Sollten für die Webseite Analyse-Tools genutzt werden (bspw. Google Analytics), sollte darauf geachtet werden, dass die Daten anonymisiert erhoben werden (Anonymisierung der IP-Adressen!).


Weiterführende Links:
# Die Wirtschaftskammer Österreich hat umfassende Informationen mit FAQs zu einzelnen Themen auf ihrer >>> Webseite.

# Auf der >>> Webseite des Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg finden sich viele hilfreiche Informationen für Vereine.

# Musterdokumente finden Sie auch auf der Webseite der Wirtschaftskammer.