Wir danken dem Österreichische Behindertenrat für den folgenden Beitrag:
Ab 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Österreich gelten. Die neue Rechtslage und die damit verbundenen Pflichten sind unabhängig von der Größe des Unternehmens bzw. Vereins zu erfüllen. Die Verpflichtung trifft auch gemeinnützige Organisationen.
Pflichten gemäß DSGVO
Erstellung eines Verzeichnisses aller Verarbeitungstätigkeiten
- Erfassung aller Bereiche im Verein, in denen personenbezogene Daten und besonders schützenswerte Datenkategorien (sensible Daten wie z.B. Gesundheitsdaten) verarbeitet werden.
- Beschreibung sämtlicher Verarbeitungstätigkeiten und Zusammenführung der einzelnen Dokumentationen zu einem Verzeichnis.
Umsetzung der Grundregel „Keine Datenverarbeitung ohne Rechtsgrundlage“
- Jede Verarbeitungstätigkeit hat aufgrund einer Rechtsgrundlage zu erfolgen. Rechtsgrundlagen sind z.B. die Einwilligung der betroffenen Person, ein Vertrag oder eine gesetzliche Bestimmung. Dabei ist insbesondere auf nachfolgende Tätigkeiten zu achten:
- die Verarbeitung sensibler Gesundheitsdaten,
- die Bildverarbeitungen (Verwendung von Fotos auf der Homepage oder in Drucksorten des Vereins).
- Weiters ist zu prüfen, ob die bestehenden Einwilligungserklärungen (z.B. für Fotos oder Newsletter) den Vorgaben der DSGVO entsprechen, oder überarbeitet werden müssen.
Auswahl geeigneter technischer und organisatorischer Maßnahmen (TOMs) Beispielsweise in Form
- der Festlegung von Kriterien zur Löschung nicht mehr benötigter Daten;
- der Beschreibung allgemeiner Datensicherheitsmaßnahmen, wie z.B. das Versperren von Räumlichkeiten;
- einer nachhaltigen Schulung und Sensibilisierung von MitarbeiterInnen.
Erfüllung der neuen Informationspflichten
- Jenen Personen, die von der Datenverarbeitung des Vereins betroffenen sind, sind standardisiert Informationen zur Verfügung zu stellen.
Erfüllung der neuen Transparenzpflicht
- Erstellung einer neuen Datenschutzerklärung auf der Homepage und auf Social Media Plattformen des Vereins.
Da Verstöße gegen den Datenschutz zu Vertrauensverlusten bei SpenderInnen und UnterstützerInnen sowie in der generellen öffentlichen Wahrnehmung führen können, empfehlen wir, diese Punkte rechtzeitig bis 25. Mai 2018 umzusetzen.
Hilfreiche Links der WKO für die praktische Umsetzung
- Checkliste inkl Kurzüberblick
- Online-Ratgeber DSGVO
- Online-Ratgeber Infopflichten
- Webinar, FAQs
- Muster: Verfahrensverzeichnis
- Muster: Auftragsverarbeiter-Vertrag
- Muster: Geheimhaltungserklärung
- Info-Dokumente
- Begriffsbestimmungen
Hilfreiche Links der WKO und der Datenschutzbehörde zu den rechtlichen Rahmenbedingungen
- http://www.noe.wifi.at/datenschutz
- https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html
- https://webshop.wko.at/datenschutzanpassungsgesetz-2018.html
- https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Auswirkungen-auf-Websites.html
- https://www.dsb.gv.at/datenschutz-grundverordnung
- https://www.dsb.gv.at/dokumente
- https://www.dsb.gv.at/gesetze-in-osterreich
- https://www.dsb.gv.at/dvr-online