Am 13.10.2021 trafen sich zur ausgebuchten Weiterbildung „Datenschutz fürs Ehrenamt“ sechzehn Personen im St.adtlabor, um von der Juristin und Beraterin für Datenschutz Cristina Bittner einen Überblick zum Thema zu erhalten. In zweieinhalb gehaltvollen Stunden wurden grundsätzliche Punkte zum Datenschutz in Vereinen, Gruppen und Organisationen offen gelegt.
Alle Vereine und Gruppen betrifft die Datenschutzverordnung
Alle Vereine, Gruppen und Organisation sammeln personenbezogene Daten und verarbeiten diese. Damit müssen sie die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) beachten. Es gelten jegliche Erscheinungsformen der Daten (Papier, Wort, Bild, digital).
Grundsätzlich ist es verboten personenbezogene Daten zu verarbeiten, deswegen müssen die sogenannten Rechtsgrundlagen beachtet werden:
- Es wurde der Verarbeitung der Daten schriftlich zugestimmt (Einwilligung).
- Es gibt einen Vertrag (z. B. einen Vertrag über die Mitgliedschaft).
- Oder es gibt ein berechtigtes Interesse des Vereins /der Gruppe (bspw. Informationen über die Gruppenaktivitäten).
Pflichten der Ehrenamtlichen beim Datenschutz
Gruppen und Vereine müssen darauf hinweisen, dass Daten verarbeitet werden und bei Nachfrage offen legen, welche Daten dies sind (Informationspflicht).
Der Datenschutz muss dokumentiert werden (Einwilligung, Verarbeitungstätigkeiten, Dienstleisterauswahl, Schulungen etc.).
Ein Verzeichnis von Verarbeitungstätigkeiten in der Gruppe muss erstellt werden: d. h. alle Tätigkeiten müssen aufgelistet werden, bei denen in der Gruppe personenbezogene Daten verarbeitet werden. Es wird zudem dokumentiert, wer die Betroffenen sind. Das Verzeichnis ist nicht öffentlich, muss aber der Aufsichtsbehörde auf Nachfrage vorgelegt werden. Ein Muster dafür finden Sie beim Bayrischen Landesamt für Datenschutz.
Eine*n Datenschutzbeauftragte*n muss unter anderem in folgenden Fällen benannt werden:
- Mindestens 20 Personen sind ständig innerhalb der Gruppe mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt.
- Die Kerntätigkeit des Vereins oder der Gruppe besteht in der umfangreichen Verarbeitung besonders sensibler personenbezogener Daten (z. B. Gesundheitsdaten in Selbsthilfegruppen) oder Daten über strafrechtliche Verurteilungen und Straftaten.
- Wenn die Kerntätigkeit des Vereins oder der Gruppe in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Person erforderlich macht (z. B. bei Videoüberwachung in Fußballstadien).
Der Vereinsvorstand ist für die Einhaltung des Datenschutzes verantwortlich und kann somit nicht gleichzeitig als Datenschutzbeauftragte*r wirken. Letzterer kann auch extern benannt werden. Personen, die in der Gruppe mit Daten arbeiten, müssen sich zum Thema fortbilden und eingewiesen werden.
Gruppen und Vereine können ihre Satzung durch eine Datenordnung, die die geeignete Datenverarbeitung regelt, ergänzen. Als Grundlage dienen folgende Fragen:
- Welche Daten gibt es und wie verarbeiten wir sie?
- Wer hat Zugriff auf was? Generell sollten alle Personen, die in der Gruppe mit personenbezogenen Daten arbeiten, schriftlich zur Verschwiegenheit verpflichtet werden.
- Wann wird gelöscht? Generell gilt: Alles was nicht gebraucht wird, muss weg!
- Welche allgemeinen Regelungen zum Umgang mit Daten gibt es im Verein?
- ggf. Vorgaben zur Nutzung eigener Geräte
Pannen im Umgang mit personenbezogenen Daten müssen unverzüglich bei der Landesbeauftragten für Datenschutz im Land Brandenburg gemeldet werden (bspw. gehackte Clouds & Webseiten, gestohlener USB-Stick mit Mitgliederdaten, …).
Geeignete technische Maßnahmen
Eine angemessene Sicherheit muss mit geeigneten technischen Maßnahmen bei der Datenverarbeitung gewährleistet und auf dem Stand der Technik sein. Grundsätzlich sollte man
- PC, Netzwerk und Internetzugang absichern (Updates, Virenscanner, kein öffentliches WLAN, …)
- sicherer Umgang mit Benutzerkennungen (ggf. 2-Faktor-Authentifizierung) pflegen
- Phishing, Trojaner und Ransomware erkennen
- Zugangsberechtigungen einschränken
- automatisches Backup einrichten
- Daten, Mails und Webseiten verschlüsseln
Praktische Tipps
Grundsätzlich sollten DSGVO-konforme Wege zur Datenverarbeitung genutzt werden:
- Für Mitgliederchats datenschutzkonforme Apps, z. B. Threema, nutzen. Bei Anwendungen sollten die Kriterien Vertraulichkeit, eigene Zwecke des Anbieters, Teilen von Kontakten, internationale Datentransfers und die Kontrolle über die Datenverarbeitung immer hinterfragt werden.
- Bei E-Mail-Verteilern darauf achten, dass die Mails entweder per Newsletter-Programm verschickt werden oder alle Empfänger im „BCC“-Feld der Mail eingetragen werden. So kann kein Empfänger die anderen Empfänger der Mail sehen.
- Ende-zu-Ende-Verschlüsselung bei E-Mails nutzen.
Diese und weitere Sicherheitsmaßnahmen werden wir in der Weiterbildung „Sicher im Netz fürs Ehrenamt“ am 21.01.2022 konkret besprechen.
- Kontakt- und Mitgliederlisten nicht weitergeben.
- Bei Videokonferenzen datenschutzkonforme Programme, wie BigBlueButton, nutzen.
- Bei Foto- und Videoaufnahmen, die veröffentlicht werden, ist eine Einwilligung oder Rechtsgrundlage erforderlich. Somit kann auch ein berechtigtes Interesse entgegen dem Recht am eigenen Bild eine Veröffentlichung zulassen. Hierbei muss sehr genau das Interesse gegen die Grundrechte am eigenen Bild abgewogen werden. Achtung! Kinder sind besonders schutzwürdig und somit dürfen deren Fotos niemals ohne Einwilligung veröffentlicht werden.
- Eine Einwilligung sollte leicht verständlich, freiwillig, einem Zweck zugeordnet und schriftlich sein. Generell sollte eine Aufklärung über die Risiken erfolgen. Einwilligungen können jederzeit widerrufen werden, dann müssen die Daten gelöscht werden.
- Besonders sensible Daten (Schwangerschaft, Gesundheitsdaten – auch Corona!, Sucht, Religion, politische Meinung, sexuelle Orientierung, biometrische Daten, genetische Daten, Gewerkschaftszugehörigkeiten etc.) sollten äußerst selten, nicht ohne Grund erhoben und entsprechend geschützt werden.
- Hinweise auf Homepage: Die Datenschutzerklärung muss abrufbar sein und der Nutzung von Cookies muss zugestimmt werden.
Zusammenfassung
Leider gibt es keine einheitliche Vorlage oder Blaupause für Datenschutz im Ehrenamt. Jede Gruppe muss sich selbst eine Datenordnung geben, die den spezifischen Gruppen- und Vereinsgrundlagen entspricht.
Alles ist besser als nichts, denn Datenschutz
ist ein kontinuierlicher Prozess.
Weiterführende Informationen
Die gesamte Präsentation von Frau Bittner kann Ihnen auf Nachfrage gern zugesandt werden. Weiterführende Informationen zum Datenschutz:
- Umfangreiche Broschüre mit vielen Mustern: OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf (nrw.de)
- Datenschutzgenerator des Datenschutzbeauftragten Baden-Württembergs: DS-GVO.clever (datenschutz.de)
Für Gruppen und Vereine im ländlichen Raum mit einer dünnen Decke an Rechtsberatungen empfiehlt Frau Bittner folgende Webseiten:
- Unentgeltliche Rechtberatung für Non-Profit-Organisationen und das Ehrenamt: probono-rechtsberatung.de
- Die Deutsche Stiftung für Engagement und Ehrenamt bietet zudem online Informationen zu Vereinsrecht, Datenschutz, Fördermitteln und vielem mehr an: https://www.deutsche-stiftung-engagement-und-ehrenamt.de/engagement-und-ehrenamt/
- Das Bundesministerium für Justiz und Verbraucherschutz hat zudem einen Leitfaden zum Vereinsrecht veröffentlicht.
- Das Landesministerium für Finanzen & Europa hat eine Broschüre zum Thema „Vereine und Steuern“ herausgegeben.
Eine Antwort auf „Rückblick. Weiterbildung Datenschutz“
[…] schon im Datenschutz-Workshop gesagt, ist es wichtig, dass man das eigene Handeln hinterfragt und auch die Technik kritisch […]