Datenschutz
Ob Spenderlisten, E-Mail-Aussendungen oder Social-Media-Plugins: Datenschutz betrifft jede Form des Fundraisings. Doch was ist laut DSGVO erlaubt – und was nicht? In diesem Beitrag beantworten wir Ihre häufigsten Fragen rund um den Umgang mit personenbezogenen Daten im Fundraising-Alltag. Klar, praxisnah und rechtlich fundiert.
Frequently asked questions
Was schützt die DSGVO eigentlich genau?
Die Datenschutz-Grundverordnung (DSGVO) schützt alle personenbezogenen Daten – also Informationen, die sich auf eine natürliche Person beziehen. Das gilt auch dann, wenn die Person nicht direkt, aber über technische Mittel wie IP-Adressen oder Cookies identifiziert werden kann. Die Rechte liegen immer bei der betroffenen Person.
Und was ist mit Geschäftsgeheimnissen?
Wichtig: Die DSGVO schützt ausschließlich personenbezogene Daten. Betriebs- und Geschäftsgeheimnisse fallen nicht in ihren Anwendungsbereich. Allerdings können Betriebs- und Geschäftsgeheimnisse sowie sonstige betriebsbezogene Daten möglicherweise einen Schutz nach anderen Rechtsgrundlagen (österreichisches Datenschutzgesetz (DSG), Gesetz gegen den Unlauteren Wettbewerb (UWG) usw.) genießen.
Darf ich "unwichtige" Daten ohne Weiteres verwenden?
Nein. Die DSGVO kennt keine „unbedeutenden“ personenbezogenen Daten. Selbst scheinbar harmlose Informationen dürfen nur nach den strengen Vorgaben verarbeitet werden.
Gilt die DSGVO auch bei handschriftlichen Spenderlisten?
Ja, auch analoge Verzeichnisse – etwa alphabetisch sortierte Spendenlisten – unterliegen der DSGVO, sofern sie strukturiert geführt werden. Digitale oder analoge Form spielt keine Rolle. Unser Tipp: Gehen Sie grundsätzlich davon aus, dass jede Nutzung personenbezogener Daten unter die DSGVO fällt.
Was hat das Telekommunikationsgesetz (TKG) damit zu tun?
Zusätzlich zur DSGVO gilt in der digitalen Kommunikation auch das Telekommunikationsgesetz. Dieses ist besonders streng bei E-Mails, Anrufen und SMS mit Werbezweck – dazu zählen auch Geburtstagsgrüße oder das Einholen einer Zustimmung. Solche Maßnahmen sind nur mit ausdrücklicher Einwilligung erlaubt. Bei Emails ist unter bestimmten strengen Voraussetzungen auch ein „opt-out“ (Information über gewünschte Zusendung mit Widerspruchsmöglichkeit) möglich.
Brauche ich für jede Datenverarbeitung eine Einwilligung?
Nein! Die Einwilligung ist nur eine von mehreren Rechtsgrundlagen der DSGVO. Wenn Sie eine andere gültige Grundlage haben, etwa ein berechtigtes Interesse, sollten Sie keine Einwilligung einholen – denn diese kann jederzeit widerrufen werden, was zu Komplikationen führt.
Haften Mitarbeiter:innen bei Verstößen?
Grundsätzlich nicht. Die Haftung liegt beim Arbeitgeber. Nur in Ausnahmefällen – etwa bei vorsätzlichem Missbrauch – kann eine Haftung von Mitarbeiter:innen bestehen.
Wer ist verantwortlich im Sinne der DSGVO?
Jede Organisation, die personenbezogene Daten verarbeitet, ist „Verantwortlicher“ im Sinne der DSGVO. Die „betroffene Person“ ist jene, deren Daten verarbeitet werden – zum Beispiel Ihre Spender:innen.
Wann gilt das Datenschutzrecht überhaupt?
Immer dann, wenn personenbezogene Daten erhoben, gespeichert, übermittelt oder genutzt werden – also quasi bei jeder Spenden- oder Mitgliederverwaltung.
Websites und Cookies – was ist zu beachten?
Notwendige Cookies dürfen Sie ohne Zustimmung einsetzen. Für alle anderen ist die freiwillige Zustimmung der Nutzer:innen Pflicht. Vorangekreuzte Kästchen sind nicht erlaubt! Auch sollte Ihre Datenschutzerklärung nicht Teil der AGB sein, sondern separat verlinkt – idealerweise in der Fußzeile Ihrer Website.
Und Social Media Plugins?
Diese dürfen Sie nur mit Zustimmung der Nutzer:innen einsetzen, da sie automatisch personenbezogene Daten an Drittanbieter wie Facebook oder YouTube senden – schon beim bloßen Laden der Seite.