Die folgenden Fragen und Antworten wurden von uns zusammen mit unserem externen Datenschutzbeauftragten erarbeitet.
Achtung: Diese FAQs erheben keinen Anspruch auf Vollständigkeit. Sie können auch keine sorgfältige fallbezogene Auseinandersetzung mit den Datenschutzvorschriften ersetzen.
(Hier die allgemeinen Links zur DSGVO, zum BDSG und zum KUG.)
- Was ist Datenschutz?
Mit Datenschutz ist der Schutz personenbezogener Daten gemeint. Unter Datensicherheit wird hingegen der Schutz aller möglichen Daten verstanden, also auch nicht-personenbezogener Daten wie Betriebsgeheimnissen oder der Wetterstatistik.
“Personenbezogene Daten” sind alle Informationen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen, zum Beispiel Name, Alter, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, IP-Adresse, Vermögensverhältnisse, Gesundheitszustand, persönliche Vorlieben, Weltanschauung (siehe unten Fragen 4).
Links: Art. 1 DSGVO, Art. 4 Nr. 1 DSGVO
- Wir kämpfen gegen Rassismus, gegen Umweltzerstörung, für Inklusion, für Aufklärung über Gewaltverbrechen etc. Der Datenschutz behindert uns dabei. Gibt es nicht Wichtigeres als Datenschutz?
Zwischen dem Datenschutz und anderen Belangen wie der Antidiskriminierung und der Wissenschaftssfreiheit gibt es zweifellos Spannungen. Der Datenschutz kollidiert auch mit der Öffentlichkeitsarbeit. Wir meinen jedoch, dass emanzipatorischer Aktivismus und Datenschutz letztlich Hand in Hand gehen. Oder zumindest gehen sollten!
Wie wichtig der Datenschutz politisch ist, muss jede*r zivilgesellschaftliche Akteur*in selbst entscheiden. Rechtlich ist es so, dass der Datenschutz Verfassungsrang hat, also ein Grundrecht ist, aber auch nicht über anderen Verfassungszielen steht wie Antidiskriminierung, Wissenschaftsfreiheit oder Umweltschutz steht.
Am Ende muss im Einzelfall immer abgewogen werden. Entscheidungen können und dürfen im Einzelfall zulasten des Datenschutzes und zugunsten eines anderen hohen Gutes ausfallen. Natürlich darf auch dann der Datenschutz nicht auf 0% heruntergeschraubt werden! Ihm wird dann bloß kein Vorrang eingeräumt. Was darüber hinaus einen Unterschied macht, ist reflektiert und transparent abzuwägen. Zivilgesellschaftliche Akteur*innen, die im Einzelfall zulasten des Datenschutzes abgewogen haben, sollten dies intern dokumentieren und gegebenenfalls auch die Betroffenen und/oder die Öffentlichkeit darüber informieren. Außerdem ist es oft möglich, die einzelne Entscheidung zulasten des Datenschutzes mit umso besseren technischen und organisatorischen Maßnahmen (“TOM”) abzumildern oder unter Umständen gar auszugleichen.
- Warum/In wie fern ist das Thema Datenschutz für zivilgesellschaftliche Akteur*innen (Bündnisse, Vereine, informelle Gruppen) relevant?
Datenschutz ist Menschenrecht! Es geht um den Respekt vor der informationellen Selbstbestimmung des Menschen. Progressive nicht-staatliche Akteure sollten den Datenschutz daher schon aus eigenem Antrieb hochhalten.
Der Datenschutz selbst lebt von einer kämpferischen Zivilgesellschaft. Progressive Akteure können in puncto Datenschutz und Datensicherheit viel von Bewegungen, Initiativen und Organisationen lernen, die sich gegen Überwachung und für freie Software, Kryptographie, Netzneutralität oder Freifunk einsetzen. Auch Zusammenarbeit kann empfohlen werden.
Wie immer sie politisch zum Datenschutz stehen, zivilgesellschaftliche Akteur*innen, die personenbezogene Daten verarbeiten, sind rechtlich verpflichtet, Datenschutz einzuhalten. Seit Mai 2018 muss dabei die Datenschutz-Grundverordnung (s. unten) beachtet werden. Für zivilgesellschaftliche Akteur*innen gilt das grundsätzlich genauso wie für kommerzielle Unternehmen.
Und die DSGVO greift ziemlich schnell: Wer z.B. Webseiten betreibt, Veranstaltungen organisiert, auf denen Fotos gemacht werden oder Umfragen durchführt, muss Datenschutzrecht beachten. Zur Panik gibt es dennoch keinen Grund. Es hilft auch leider wenig, darüber zu klagen, dass ein Internetriese mitunter dieselben Pflichten hat wie ein Refugee Blog. Datenschutz sollte aus eigener Überzeugung hochgehalten werden.
Das kann zivilgesellschaftlichen Akteur*innen nur empfohlen werden, zumindest solchen mit progressivem Selbstverständnis. Ein emanzipatorischer Zugang zum Datenschutz verspricht Authentizität. Datenschutz sollte als Prozess begriffen werden, nicht als Produkt. Datenschutz ist eine Frage von Macht. Verletzungen der informationellen Selbstbestimmung hängen mit sozialer Ungleichheit, Diskriminierung und Überwachung aufs Engste zusammen.
Natürlich hat der Datenschutz auch eine stark technische Seite. Zivilgesellschaftliche Akteur*innen werden umso glaubwürdiger sein, je stärker sie auf freie Software setzen (für Webanalysen z.B. auf Piwik statt auf Google Analytics) oder eigene (in Deutschland befindliche) Server nutzen. Überhaupt sollten zivilgesellschaftliche Akteur*innen – natürlich im Rahmen ihrer Möglichkeiten – starke technische und organisatorische Maßnahmen (“TOM”) umsetzen. Dazu zählen vor allem Pseudonymisierung und Verschlüsselung.
Links: Art. 1 DSGVO, Art. 2 DSGVO
- Wessen personenbezogenen Daten nutzen zivilgesellschaftliche Akteur*innen denn so?
Zivilgesellschaftliche Akteur*innen können es mit den verschiedensten personenbezogenen Daten zu tun haben: Von Mitarbeiter*innen (zu denen auch Praktikant*innen und Honorarkräfte gehören), Mitgliedern, Spender*innen, Förder*innen, Veranstaltungsteilnehmer*innen, Umfrage-Teilnehmer*innen, Webseitenbesucher*innen, Newsletter-Abonnent*innen und sonstigen Interessierten.
Ganz allgemein gesprochen ist die Verarbeitung der Daten von Mitarbeiter*innen, Mitgliedern, auch Spender*innen und Förder*innen in der Regel eher erlaubt als die Verarbeitung der Daten etwa von Veranstaltungsteilnehmer*innen und sonstigen Interessierten. Als Faustregel gilt: Je näher ein Mensch einer Organisation, welche dessen Daten verarbeiten will, steht, desto eher wird die Verarbeitung erlaubt sein.
Was die Daten von Mitarbeiter*innen betrifft: Praktiken wie Videoüberwachung und Arbeitszeiterfassung sollten für zivilgesellschaftliche Organisationen schon nach eigenem Selbstverständnis tabu sein!
Selbstverständlich sollte auch sein, dass Akteur*innen, die für marginalisierte und oft auch von physischer Gewalt bedrohte Menschen (Trans-, Inter- und Homosexuelle, Frauen, Personen of Colour, Juden etc.) eintreten, ganz besonders sensibel mit gegebenenfalls vorhandenen Daten dieser Menschen umgehen. Das gilt auch für Daten von Journalist*innen, Aktivist*innen oder Whistleblower*innen, vor allem solchen, die über die rechte Szene aufklären.
- Was ist die DSGVO? Wann ist sie auf uns anwendbar?
Die Datenschutz-Grundverordnung (DSGVO) ist der datenschutzrechtliche Rahmen der Europäischen Union. Sie gilt seit dem 25. Mai 2018. Mit ihr wurden EU-weit relativ hohe Datenschutz-Standards festgelegt, die in allen EU-Mitgliedsstaaten direkt anwendbar sind. Der Umsetzung der DSGVO in Deutschland dient das Bundesdatenschutzgesetz (BDSG).
Auf zivilgesellschaftliche Akteur*innen ist die DSGVO unter Umständen genauso anwendbar wie auf kommerzielle Unternehmen. Das gilt sogar für informelle Gruppen.
Zu diesen Umständen, unter denen die DSGVO anwendbar ist, gehören:
Daten von Menschen: Die DSGVO ist anwendbar, wenn die Daten natürlicher Personen, also die Daten von Menschen verarbeitet werden. Die DSGVO ist hingegen nicht anwendbar, wenn es um die Daten juristischer Personen geht (z.B. um den Namen, die Rechtsform oder die Kontaktdaten eines Unternehmens). Wichtig: Welche Staatsangehörigkeit oder welchen Aufenthaltsort die Menschen haben, um deren Daten es geht, ist egal!
Kein ausschließlich persönlicher oder familiärer Bereich: Die DSGVO ist nicht anwendbar, wenn ein Mensch personenbezogene Daten ausschließlich im persönlichen oder familiären Bereich verarbeitet.
Niederlassung in der EU: Die DSGVO ist anwendbar, wenn eine Akteur*in in der Union niedergelassen ist und im Rahmen der Tätigkeit dieser Niederlassung personenbezogene Daten verarbeitet. Die Verarbeitung selbst muss nicht in der Union stattfinden. Die DSGVO kann aber auch anwendbar sein, wenn die Akteur*in nicht in der Union niedergelassen ist, sie jedoch Daten von Personen verarbeitet, die sich in der Union befinden.
Es sollte deutlich geworden sein, dass die DSGVO relativ schnell greift. Wer z.B. Webseiten betreibt, Veranstaltungen mit Fotoaufnahmen organisiert oder Umfragen macht, muss die DSGVO beachten.
Links: Art. 2 DSGVO, Art. 3 DSGVO
- Welche Grundbegriffe der DSGVO sollten wir kennen?
Zu den wichtigsten Begriffen der DSGVO gehören:
Personenbezogene Daten: Personenbezogene Daten sind alle Informationen, die sich auf einen identifizierten oder identifizierbaren Menschen beziehen (Art. 4 Nr. 1 DSGVO). Dazu gehören etwa Name, Alter, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, IP-Adresse, Vermögensverhältnisse, Gesundheitszustand, persönliche Vorlieben, Weltanschauung etc.
Besondere Kategorien personenbezogener Daten (“sensible Daten”): Sensible Daten sind Daten, “aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen” sowie “genetische Daten, biometrische Daten (…), Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung(…)” (Art. 9 DSGVO).
Achtung: Für viele zivilgesellschaftliche Akteur*innen spielen sensible Daten eine zentrale Rolle. Und für sensible Daten gelten besonders strenge Vorschriften. Es bedarf in der Regel einer ausdrücklichen Einwilligung der betroffenen Personen, um die Daten verarbeiten zu dürfen. Bestimmte Non-Profit-Organisationen dürfen die sensiblen Daten ihrer derzeitigen und ehemaligen Mitglieder oder Vertrauenspersonen unter Umständen auch ohne ausdrückliche Einwilligung verarbeiten, jedoch nicht nach außen offenlegen (Art. 9 Abs. 2 d) DSGVO).
Verarbeitung: Als Verarbeitung personenbezogener Daten gilt jeder Umgang mit personenbezogenen Daten, ob manuell oder automatisch: “(…)das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung” (Art. 4 Nr. 2 DSGVO).
Verantwortlicher*r: Als Verantwortliche*r gilt ein*e Akteur*in, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Achtung: Das Datenschutzrecht greift ziemlich schnell: Wer z.B. Webseiten betreibt, Veranstaltungen organisiert, auf denen Fotos gemacht werden oder Umfragen durchführt, muss sich an das Datenschutzrecht halten.
Da zivilgesellschaftliche Akteur*innen oft eng zusammenarbeiten, stellt sich oft die Frage, was die Zusammenarbeit datenschutzrechtlich zur Folge hat. Das ist besonders für Haftungsfragen wichtig. Als Faustregel gilt: Wenn zwei Akteur*innen ungefähr die gleiche Kontrolle über die personenbezogenen Daten haben, sind sie gemeinsam Verantwortliche (Art. 26 DSGVO). Wenn hingegen nur ein*e Akteur*in das Sagen hat, liegt eine sog. Auftragsverarbeitung vor (Art. 4 Nr. 8 DSGVO). In beiden Fällen müssen die Akteur*innen einen entsprechenden Vertrag schließen.
Links: Art. 4 DSGVO, Art. 9 DSGVO, Art. 26 DSGVO, Art. 28 DSGVO
- Welche Grundsätze schreibt die DSGVO vor?
Zu den wichtigsten Grundsätzen der DSGVO gehören:
Rechtmäßigkeit: Datenverarbeitungen müssen immer eine Rechtsgrundlage haben, am besten eine Einwilligung (zu den Einzelheiten siehe weiter oben und unten). Unter Umständen kann aber auch ein sog. berechtigtes Interesse die Rechtsgrundlage. Daten von Mitarbeiter*innen und Mitgliedern können oft auf die Rechtsgrundlage der Vertragserfüllung gestützt werden.
Zweckbindung: Daten dürfen nur für die Zwecke verarbeitet werden, für die sie erhoben wurden. Wer z.B. eine Einwilligung für Fotos einholt, darf die Daten später nicht etwa für Werbung verwenden.
Datensparsamkeit: Daten müssen so sparsam wie möglich genutzt werden. Wer z.B. eine Einwilligung für Fotos einholt, sollte dabei nicht etwa die Telefonnummer erfragen. Es sollte auch grundsätzlich vermieden werden, persönliche Informationen auf “schwarzen Brettern”, Infobroschüren, Newslettern bekannt zu geben.
Speicherbegrenzung: Daten dürfen grundsätzlich nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Ausnahmen sind möglich, wenn technische und organisatorische Maßnahmen umgesetzt werden und die Speicherung z.B. wissenschaftlichen Zwecken dient, die im öffentlichen Interesse liegen. Über die Speicherdauer sollte in Einwilligungen möglichst genau aufgeklärt werden.
Sicherheit: Daten müssen durch technische und organisatorische Maßnahmen (“TOM”) vor Verlust, Zerstörung und Schädigung geschützt werden. Als besonders wichtige TOM gelten die Pseudonymisierung und Verschlüsselung. Aber auch Verfahren zur Evaluierung der eigenen TOM können erforderlich sein. In Deutschland tätige Akteur*innen sollten am besten eigene, in Deutschland befindliche Server betreiben. Organisationen kann empfohlen werden, für Mitgliedern und/oder Mitarbeiter*innen im Internet einen passwortgeschützten Bereich (Intranet) einzurichten.
Rechenschaftspflicht: Verantwortliche müssen nachweisen können, dass sie die Grundsätze der DSGVO einhalten. Es empfiehlt sich daher insbesondere, über alle Datenverarbeitungen Buch zu führen und etwa Einwilligungen zu dokumentieren. Auch Abwägungen zwischen dem Datenschutz und anderen Verfassungszielen (z.B. Antidiskriminierung oder Forschungsfreiheit) sollten dokumentiert werden.
Link: Art. 5 DSGVO
- Wie sieht eine Einwilligung aus? Welche Inhalte soll sie haben? Welchen Zeitraum soll sie abdecken?
Eine Einwilligung muss vorher eingeholt werden. Sie muss freiwillig, konkret, informiert (Wer? Was? Wozu? Wie lange?) und widerruflich sein, ihre Sprache klar und einfach.
Achtung: Die Einwilligung muss als Opt-in ausgestaltet sein! Vorangekreuzte Kästchen sind zum Beispiel verboten.
Achtung: Bei Kindern unter 13 Jahren sollte grundsätzlich die Einwilligung der Sorgeberechtigten eingeholt werden!
Eingewilligt werden kann schriftlich oder elektronisch. Denkbar sind sogar mündliche und stillschweigende Einwilligungen. Diese sind jedoch aus Beweisgründen nicht zu empfehlen. Die Beweislast trägt nämlich die*derjenige, die die Einwilligung einholt, d.h. die*der Verantwortliche*r. Einwilligungen sollten daher dokumentiert werden.
Link: Art. 7 DSGVO
- Kann eine Einwilligung für die Zukunft zurückgezogen werden?
Ja. Einwilligungen können mit Wirkung für die Zukunft widerrufen werden. Die vorige Verarbeitung der Daten bleibt jedoch rechtmäßig.
Über die Möglichkeit des Widerrufs muss in der Einwilligung informiert werden. Die Einwilligung zu widerrufen muss so einfach sein wie die Einwilligung zu erteilen.
Link: Art. 7 DSGVO
- Wir organisieren eine öffentliche Veranstaltung, bei der Foto- und Videoaufnahmen gemacht werden sollen. Was müssen wir datenschutzrechtlich beachten?
Foto- und Videoaufnahmen von Menschen bedürfen – wie alle Verarbeitungen personenbezogener Daten – einer Rechtsgrundlage.
Für Personenfotografien schreibt das Kunsturhebergesetz (KUG) eine Einwilligung vor (§ 22 KUG), es sei denn, es greift eine Ausnahme (§ 23 KUG). Eine Ausnahme greift zum Beispiel, wenn es sich um Fotos handelt, bei denen Menschen nur “Beiwerk” oder Teilnehmer*innen von Versammlungen, Aufzügen oder ähnlichen Vorgängen sind.
Auch nach der DSGVO ist es am sichersten, von den betroffenen Menschen vorab eine schriftliche Einwilligung einzuholen. Neben der Einwilligung können aber auch die Erfüllung eines Vertrags oder ein berechtigtes Interesse die Rechtsgrundlage bilden. Ein Vertrag wird wohl selten vorliegen. Als Alternative zur Einwilligung bietet sich daher am ehesten das berechtigte Interesse an.
Achtung: Wer sich auf ein berechtigtes Interesse stützen will, muss eine Interessenabwägung durchführen, die zum Ergebnis führt, dass die Interessen der aufzunehmenden Menschen das Interesse an der Aufnahme nicht überwiegen. Die Abwägung sollte auch dokumentiert werden.
Als Faustregel gilt: Je näher die aufzunehmenden Menschen zur Veranstalter*in stehen, desto wahrscheinlicher ist, dass die Interessenabwägung zugunsten der Aufnahmen ausfällt. Es kommt darauf an, ob die aufzunehmenden Menschen die Aufnahmen und deren Zweck vernünftigerweise erwarten können.
Bei Fotos können die Ausnahmen des § 23 KUG in der Regel auch ein berechtigtes Interesse begründen. Wenn also die zu fotografierenden Menschen zum Beispiel nur “Beiwerk” sind oder Teilnehmer*innen von Versammlungen, Aufzügen oder ähnlichen Vorgängen, kann die Interessenabwägung in der Regel zugunsten der Aufnahme ausfallen.
In der Regel entfällt ein berechtigtes Interesse in den folgenden Fällen: Aufnahmen von Kindern, Veröffentlichung im Internet (und insbesondere in sozialen Medien), Aufnahmen der Privat- oder Intimsphäre, potentiell diskreditierende oder diskriminierende Aufnahmen sowie Aufnahmen, die Rückschlüsse auf sensible Informationen wie Gesundheit, Sexualleben, Religion oder Weltanschauung ermöglichen.
Links: Art. 6 Abs. 1 DSGVO, §§ 22 KUG, §§ 23 KUG
- Wann sollte ich eine Einwilligungserklärung einholen? Muss ich das für jedes Bild tun?
Die Einwilligung ist für Fotografien die sicherste Rechtsgrundlage. Eine schriftliche Einwilligung empfiehlt sich, da sie den Beweis erleichtert. Eine Einwilligung muss vorher eingeholt werden. Sie kann auch mehrere Fotos umfassen, wenn die Fotos im Zusammenhang stehen und darüber richtig informiert wurde.
Zur richtigen Information gehört bei Einwilligungen in Videos- und Fotoaufnahmen, dass, soweit eine Veröffentlichung vorgesehen ist, die Veröffentlichungsart und der Veröffentlichungsort so genau wie möglich angegeben werden. Formulierungen wie “wird in sozialen Medien veröffentlicht” sollte vermieden und durch Angaben wie “wird auf Facebook und Instagram veröffentlicht” ersetzt werden. Die Angaben sollten auch abschließend sein: Formulierungen wie “wird auf Facebook, Instagram etc. veröffentlicht” sind zu vermeiden.
- Ich bin mir doch sicher, dass die Leute auf meinem Bild mit der Aufnahme einverstanden sind. Warum brauche ich denn eine Einwillingungserklärung?
Mutmaßliche Einwilligungen zählen in der Regel nicht. Das Gesetz schreibt vor, dass Einwilligungen freiwillig, konkret, informiert und unmissverständlich sein müssen. Aus Beweisgründen sollten sie auch schriftlich oder elektronisch sein und dokumentiert werden. Als Alternative zur Einwilligung ist für Fotos gleichwohl auch ein berechtigtes Interesse als Rechtsgrundlage denkbar (s. oben Frage 10).
- Meine Veranstaltung findet aber auf der Straße statt. Es ist für uns unmöglich, Einwilligungen aller Passant*innen zu holen. Wie können wir trotzdem Fotos und Videos machen, ohne rechtliche Probleme mit dem Datenschutz zu bekommen?
Bei Veranstaltungen im öffentlichen Raum kann es in der Tat so sein, dass Einwilligungen nicht benötigt werden, da die Ausnahme des § 23 Abs. 1 Nr. 3 KUG greift. Die Ausnahmen des KUG können ein berechtigtes Interesse an der Aufnahme nach der DSGVO begründen (s. oben Frage 10).
- Unsere Initiative hat eine Webseite. Was müssen wir beachten, um der DSGVO zu entsprechen?
Betreiber*innen einer Webseite müssen auf der Webseite eine Datenschutzerklärung abgeben. Sie müssen darüber informieren, welche Daten wie, warum und von wem verarbeitet werden. Aufzuklären ist auch über Cookies, Webanalysen, Social Plugins, Kontaktformulare, Newsletter oder Presseverteiler. Wenn ein*e Datenschutzbeauftragte*r benannt wurde, müssen ihre*seine Kontaktdaten veröffentlicht werden. Nicht zuletzt sind die Betroffenen auf ihre Rechte hinzuweisen.
Achtung: Der Link zur Datenschutzerklärung muss von jeder Seite aus mit einem Klick erreichbar sein.
Nach Möglichkeit ist auch eine englische (und/oder andere) Version anzubieten.
Neben diesen datenschutzrechlichen Pflichten müssen Betreiber*innen einer Webseite auch die sog. Impressumspflicht beachten.
Links: Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGV
- Was müssen wir bei unserer Öffentlichkeitsarbeit beachten?
Bei der Öffentlichkeitsarbeit werden vor allem Kontaktdaten (z.B. E-Mail-Adresse, Anschrift, Telefonnummer, Social Media-Account) verarbeitet, um bestimmten Menschen (Empfänger*innen) bestimmte Informationen zu schicken.
Es kann für eine datenschutzgemäße Öffentlichkeitsarbeit darauf ankommen, ob es um die Kontaktdaten von Mitgliedern oder von außenstehenden Menschen, d.h. von “Dritten” geht. Bei Daten von Dritten muss man besonders vorsichtig sein.
Ob Mitgliedern oder Dritte, datenschutzrechtlich am besten ist es, für die Öffentlichkeitsarbeit eine Einwilligung einzuholen (siehe oben). In Betracht kommt aber auch ein berechtigtes Interesse als Rechtsgrundlage. Das berechtigte Interesse ist im Vergleich zur Einwilligung eine weniger sichere Rechtsgrundlage, da eine Interessenabwägung durchgeführt werden muss. Die Interessen der Empfänger*in dürfen nicht überwiegen und das ist oft nicht leicht zu bestimmen.
Bei Organisationen mit formeller Mitgliedschaft ist es so, dass Daten von Mitgliedern für Spendenaufrufe oder sonstige “Werbung” genutzt werden dürfen, jedoch nur zur Erreichung der eigenen Zwecke. Die Daten dürfen nicht für Informationen gegenüber Dritten eingesetzt werden, es sei denn, die Mitglieder haben darin eingewilligt.
Daten von Dritten dürfen für Zwecke der Öffentlichkeitsarbeit genutzt werden, wenn eine Einwilligung dieser Menschen vorliegt oder nachgewiesen werden kann, dass ein berechtigtes Interesse an der Öffentlichkeitsarbeit gegeben ist und keine Interessen oder Grundrechte der Betroffenen überwiegen.
Dass ein berechtigtes Interesse die Rechtsgrundlage bilden kann, wird umso wahrscheinlicher sein, je stärker die Dritten vernünftigerweise mit der “Werbung” rechnen können. Dass kann zum Beispiel der Fall sein, wenn der*die Akteur*in, die Öffentlichkeitsarbeit betreibt, die Kontaktdaten der*des Dritten in Zusammenhang mit ihrer Tätigkeit erlangt hat. Auch ein Vertrauensverhältnis zur Dritten kann für ein berechtigtes Interesse sprechen.
Nicht zuletzt können gute technische und organisatorische Maßnahmen dazu beitragen, dass die Interessenabwägung zugunsten der Öffentlichkeitsarbeit ausfällt. So sollte pseudonymisiert werden, vor allem wenn die Empfänger*innen auch profiliert werden, etwa wenn gespeichert wird, ob oder wann die Empfänger*innen die Informationen gelesen haben. Achtung: Die Empfänger*innen haben ein jederzeitiges Widerspruchsrecht und auf dieses muss ausdrücklich hingewiesen werden.
- Was müssen wir tun, wenn wir eine Anmeldung zu unserem Newsletter anbieten?
Wer die Anmeldung zu einem Newsletter anbietet, braucht hierfür eine Einwilligung. Den Abonnent*innen muss es möglich sein, sich jederzeit vom Newsletter abzumelden, entweder über den Link im Newsletter oder durch eine Nachricht. Die eingeholten Einwilligungen müssen dokumentiert werden. (siehe oben Frage 11).
Bei einer elektronischen Einwilligung empfiehlt es sich, ein sog. Double-Opt-in einzurichten. Das ist ein Verfahren, bei dem die Anmeldung in einem zweiten Schritt – durch einen Klick auf einen Link – bestätigt werden muss, um Missbrauch vorzubeugen. Dazu wird meist eine Bestätigungs-E-Mail an die angegebene Kontaktadresse geschickt. In der Bestätigungsmail selbst darf dabei keine “Werbung” oder dergleichen enthalten sein.
Die Anmeldung sollte so datensparsam wie möglich eingerichtet werden. Angaben zur Institution sollten zum Beispiel optional sein. Die Kontaktdaten der Abonnent*innen dürfen auch zu keinem Newsletter-fremden Zweck verwendet werden.
- Wir sind eine global vernetzte NGO. Dürfen wir personenbezogene Daten in andere Länder übermitteln?
Personenbezogene Daten innerhalb des Europäischen Wirtschaftsraums zu übermitteln, ist grundsätzlich erlaubt.
Bei Übermittlungen in sog. Drittländer ist besondere Vorsicht geboten. Hier kommt es auch darauf an, ob in ein sicheres oder ein unsicheres Drittland übermittelt werden soll. Sichere Drittländer sind Drittländer, denen die Europäische Union einen angemessenen Datenschutz bescheinigt hat. Zur Zeit (März 2019) gehören dazu folgende Länder: Andorra, Argentinien, Kanada, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, USA (mit Einschränkungen bzw. strittig).
Übermittlungen in sichere Drittländer sind grundsätzlich erlaubt. Für Übermittlungen in unsichere Drittländer sollte am besten eine Einwilligung eingeholt werden.
Achtung: Unabhängig davon, wohin übermittelt werden soll, muss eine Übermittlung – wie jede andere Verarbeitung – auch für sich genommen erlaubt sein, d.h. eine Rechtsgrundlage haben.
Link: Art. 44 DSGVO
- Brauchen wir eine*n Datenschutzbeauftragte*n?
Akteur*innen, bei denen in der Regel mindestens zehn Personen (worunter auch ehrenamtlich Tätige, Praktikant*innen oder Honorarkräfte fallen!) ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen eine*n Datenschutzbeauftragte*n benennen. Das gilt auch dann, wenn schwerpunktmäßig und in großem Umfang sensible Daten (s.o.) verarbeitet werden, z.B. Gesundheitsdaten in Selbsthilfegruppen.
Benannt werden können interne und externe Datenschutzbeauftragte. Was für zivilgesellschaftliche Akteur*innen sinnvoller ist, kann nicht allgemein beantwortet werden. Als Faustregel dürfte gelten: Je kleiner die Gruppe und je weniger sensible Daten verarbeitet werden, desto naheliegender ist ein*e interne*r Datenschutzbeauftragte*r.
Link: Art. 37 DSGVO, Art. 38 BDSG.
- Unsere Organisation hat mehr ehrenamtlich Tätige (und/oder Praktikant*innen, Honorarkräfte) als Beschäftigte. Müssen wir auch sie in unsere Datenschutzpraxis einbinden?
Ja. Im Datenschutz kommt es nur darauf an, ob ein Mensch Zugriff auf personenbezogene Daten hat, nicht welche rechtliche Stellung ihr*ihm dabei zukommt.
Es müssen daher auch ehrenamtlich Tätige, Praktikant*innen oder Honorarkräfte auf die Einhaltung des Datenschutzes verpflichtet werden und zwar bei der Aufnahme ihrer Tätigkeit. Aus Nachweisgründen sollte die Verpflichtung auf Vertraulichkeit schriftlich oder elektronisch erfolgen.
Auch bei der Frage, ob in der Organisation in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind und damit ein*e Datenschutzbeauftragte*r benannt werden muss, müssen ehrenamtlich Tätige, Praktikant*innen oder Honorarkräfte mitgezählt werden.
- Wir hatten eine Datenpanne. Treffen uns nun besondere Datenschutzpflichten?
Eine Datenpanne kann auf verschiedenste Weise eintreten: durch Verlust wichtiger USB-Sticks mit persönlichen Informationen, Cyber-Angriffe oder einen Einbruch in die Vereinsräume. Eine Verletzung des Datenschutzes liegt vor, wenn dabei personenbezogene Daten verloren, vernichtet, verändert oder unrechtmäßig zugänglich gemacht werden.
Wenn seine solche Verletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Menschen führt, müssen diese in der Regel sofort benachrichtigt werden. Auch der Datenschutzbehörde ist der Vorfall in der Regel binnen 72 Stunden nach Kenntnisnahme zu melden.
Links: Art. 33 DSGVO, Art. 34 DSGVO.