Datenschutzrechtliche Aspekte der Organisation

Aus Piratenwiki
Wechseln zu: Navigation, Suche

von hier geklaut: [1]

Autor: ipitimp


Auf Grund dieses Threads: [2] habe ich jetzt einmal selber auf der Seite der Datenschutzkommission Österreichs etwa hier gelesen: [3]. Ich kenne mich auch mit der Verwaltungspraxis nicht aus, sehr scharf ist die mWn nicht. Eine DVR-Nummer braucht jeder Autraggeber nach Datenschutzgesetz, außer es besteht keine Meldepflicht, etwa weil bloß Standardanwendungen gefahren werden. Eine allgemeine Ausnahme für Parteien habe ich nicht gefunden.

Um eine DVR-Nummer zu bekommen genügt Beantragung. Ein Datenschutzbeauftragter ist in Österreich IMMER OPTIONAL. Bis zu LQFB hatten die Piraten wohl lediglich die nicht meldepflichtige Standardanwendung Mitgliederverwaltung SA0003 nach der Standard und Muster VO 2004 [4] Diese Standardanwendung umfasst argumentationsfähig wohl auch die Administration der Foren, mumble und IRC sowie admidio inklusive Mailversandes an Mitglieder (letzterer tangiert jedenfalls auch andere Rechtsrahmen). Ein Anruf bei der DSK mit Gesprächsnotiz und Archivierung selbiger (es reicht eine Mail an BGF damit, die halt nicht gelöscht werden sollte) zum Beleg der Nachfrage und Auskunft bei der zuständigen Behörde könnte Rechtssicherheit schaffen. CMV oder jemand anderer hat das vielleicht schon einmal abgeklärt aber das muss belegt sein.

Die Standardanwendung endet aber jedenfalls mit Mitgliedschaft, deswegen sollte insbesondere die Datenanwendungen Foren aber separat gemeldet werden. Es gibt mMn noch immer gute Gründe, dass selbst eingestellte Forenposts nicht gelöscht werden müssen (außer wir machen das freiwillig, das wäre ein anderer Kaffee).

Jedenfalls haben wir einen Argumentationsstrang, warum wir bisher keine DVR-Nummer gebraucht haben.

LQFB fällt mMn nicht mehr unter die Standardanwendung. LQFB behandelt mit politischen Meinungen sensible Daten. Das mit der Pseudonymisierung lasse ich jetzt einmal beiseite. Von der Webseite der DSK: "Sofern eine solche Datenanwendung jedoch sensible Daten (zum Beispiel Gesundheitsdaten) oder strafrechtlich relevante Daten enthält oder die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck hat oder in Form eines Informationsverbundsystems durchgeführt werden soll, darf sie erst nach ihrer Prüfung durch die Datenschutzkommission aufgenommen werden. Sofern die Datenschutzkommission jedoch innerhalb von zwei Monaten keinen Auftrag zur Verbesserung erteilt, darf die Verarbeitung aufgenommen werden."

Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Pirat*innenpartei
Mitmachen im Wiki
Werkzeuge
Drucken/exportieren