Informationen zur neuen EU-Datenschutzgrundverordnungen (DSGVO)

Kommt hier ab 25.05.2018 ein neues Bürokratiemonster auf uns zu? Was hat diese Verordnung mit dem Kulturbereich zu tun?

Der aktuelle „Facebook-Skandal“ um die unerlaubte Weitergabe von Daten an Drittanbieter zeigt die Realität und die Notwendigkeit des Datenschutzes auf. Natürlich gab es immer schon Datenschutzgesetze, aber nicht nur die künftigen Strafen in Höhe von 4% des Jahresumsatzes, bis zu 20 Millionen Euro sind in der EU-DSGVO neu zu beachten.

Es geht um die Speicherung bzw. Verarbeitung von personenbezogenen Daten (pb-Daten). Also ganz händisch um Namen, Bilder, Adressen…. aber auch um digitale Daten wie z.B.: IP-Adressen, Cookie-IDs, Newsletter-Adressen und vieles mehr.

Kultureinrichtungen (hier Data Controller) verwalten eine ganze Menge solcher Daten. Z.B: Newsletter, Kurslisten, Anmeldungen jeglicher Art, Vereinsmitgliedsdaten, Kundendaten (Onlinekarten-Verkauf), Verlosungen und Preisausschreiben, aber auch die Daten ihrer Mitarbeiter*innen.

Es geht zunächst einmal darum, eine Erlaubnis für die Nutzung dieser Daten einzuholen. Dies geschieht oft über einen Vertrag. (Arbeitsvertrag, Kaufvertrag, Mitgliedsantrag, etc.), ansonsten muss, wie beim Newsletter, die Zustimmung des Users vorliegen(Freiwilligkeit), ihm die Möglichkeit der Abmeldung gegeben sein, ihm der Umgang mit den Daten erläutert werden.

Eine Information auf der Homepage, wie der Umgang mit Daten erfolgt ist sicherlich sinnvoll.

Sollten diese Daten einem Dritten (genannt: Data-Processor) zur Verarbeitung übergeben werden (Druckerei, Versand, Landesverband, etc.) besteht weiterhin eine Verantwortlichkeit für die Daten, eine Auswahl des Verarbeiters muss, hinsichtlich des Datenschutzes, geprüft werden.

Den betroffenen Personen stehen umfangreiche Rechte zu:

Informationsrecht –(Pflicht des Nutzers)

Verarbeitung erfolgt auf Treu und Glauben

Auskunftsrecht

Recht auf Berichtigung

Recht auf Löschung

Recht auf Datenübertragung

Widerspruchsrecht

Verstöße oder das Abhandenkommen pb-Daten löst nach Art. 37 Abs. 7 DS-GVO, eine Meldepflicht an die Aufsichtsbehörde (Nds. Landesdatenschutzbeauftragte) aus. Hier könnten sich auch Betroffene beschweren und damit eine Nachfrage bzw. Prüfung der Behörde auslösen.

Wer ist für den Umgang mit pb-Daten verantwortlich?

Vorstand oder Geschäftsführung tragen die Verantwortung für den Umgang mit den Daten. Sie müssen also, falls sie die Arbeit delegieren, die sogenannten „Auftragsverarbeiter“ (Buchhaltung, Kassenwart*in) sorgfältig auswählen und kontrollieren.

Grundsätzlich muss ein/e Datenschutzbeauftragte/r ernannt werden. Dies kann eine qualifizierte Person im Unternehmen oder eine externe Firma sein. Die meisten Kultureinrichtungen können sich aber auf eine Ausnahmeregelung berufen, bei der auf die Ernennung verzichtet werden kann:

-Kernaufgabe des Unternehmens ist nicht die Verarbeitung von pb-Daten

-Es sind nicht mehr als 10 Personen mit der systematischen Verarbeitung von pb-Daten beschäftigt.

Dies kann z.B. bei großen Musikschulen, mit vielen Lehrpersonen, schon zur Ernennung eines Datenschutzbeauftragten führen.

Was ist zu tun?

Im Unternehmen ist eine „Übersicht der Verarbeitungstätigkeiten“ (gem. Art. 30 Abs.2 DS-GVO) zu erstellen. Eine Vorlage mit Erläuterungen ist bei der Nds. Datenschutzbeauftragten unter https://www.lfd.niedersachsen.de/startseite zu bekommen.

Wie bei einer Inventur sollten sämtliche pb-Daten übersichtlich dokumentiert sein und die Zugänge für Dritte zugewiesen oder verweigert werden. Es ergeben sich dabei viele Fragen:

Welche Daten sind vorhanden, müssen sie überhaupt noch aufbewahrt werden? Sollten Daten nicht zeitnah gelöscht werden, falls sie beispielweise nicht Steuerrelevant sind? Wer hat, neben Vorstand und Geschäftsführung oder Personalabteilung Zugang? Gibt es Betriebsanweisungen

eine Schweigepflicht für ehrenamtliche Vorstandsmitglieder und Angestellte hinsichtlich des Umgangs mit pb-Daten? Wie werden die Akten oder digitale Daten gesichert?

Sind die Beziehungen zu Dienstleistern, die Daten erhalten, datenschutzrechtlich in Ordnung?

(Für die Personalbuchführung durch Steuerberatungen darf davon grundsätzlich ausgegangen werden. Hier bestehen, wie bei Rechtsanwälten, berufsständige Verpflichtungen.)

Gibt es in bestehenden Verträgen mit Dritten Datenschutzklauseln die z.B.: besagt, dass Verstöße nicht zu Lasten der Kultureinrichtung gehen?

Ausgehend von diesen aufgeworfenen Fragen sollten also alle bestehenden Prozesse, Strukturen und Betriebsvereinbarungen in den Unternehmen, also auch Kultureinrichtungen und Vereinen überprüft und angepasst werden. Alle Unternehmen müssen über ein angemessenes Schutzniveau verfügen.

Eine Zertifizierung nach ISO 27001, ISO 27002 und ISO 18028 durch spezielle Anbieter ist möglich, dürfte aber für die überwiegende Zahl der Kultureinrichtungen und Vereine zu aufwendig und nicht notwendig sein.

Weitere Informationen (Bestellung einer kostenfreien Broschüre) http://www.datenschutz.bund.de

Ein Text vom LAGS-Regionalberater Osnabrück/West Klaus Thorwesten

Zurück

Wir verwenden Cookies für statistische Zwecke. Mehr ›