Ob Webseite, Social Media oder Newsletter – die digitale Öffentlichkeitsarbeit von Vereinen erfordert Datenschutz-Knowhow. Du erfährst, welche Website-Plugins und Tools du nutzen darfst, ob du ein Cookie-Banner brauchst und was du bei deiner Facebook-Seite beachten musst. Außerdem klären wir, wen du per E-Mail anschreiben darfst. In diesem Online-Seminar besprechen wir alles rund um den Datenschutz bei der digitalen Öffentlichkeitsarbeit.
Aufgezeichnet am: 17.05.2022
Bevor ich jetzt ins Thema so richtig reingehe, vielleicht noch kurz ein paar Worte zur Stiftung Datenschutz. Die Stiftung Datenschutz ist relativ ähnlich wie die DSE-Stiftung, die von der Bundesrepublik Deutschland gegründet wurde, und wir bieten Informationen für Personen oder Organisationen, besser gesagt, an, die im Datenschutz sich zurechtfinden möchten. Haben da, wo man den Fokus Vereine und Ehrenamt gewählt, vermutlich werden wir auch bald im Bereich Unternehmen noch stärker dazunehmen. Und daneben sind wir auch schon länger als Diskussionsplattform für den Fachkreis, Publikum da, also Personen, die im Datenschutz beruflich unterwegs sind, sich dort weiterbilden, austauschen möchten, aber eben auch als Informationsplattform. Und in dieser Funktion bin ich heute bei Ihnen. Wir bieten speziell für das Thema Ehrenamt auch eigene Materialien an. Schauen Sie da gerne mal auf unserer Webseite vorbei. Da haben wir eben schriftliche Informationen, auch einen eigenen Newsletter, bieten aber auch eigene regelmäßige Webinare an. Da sind Sie also herzlich eingeladen, da auch mal vorbeizuschauen.
Zum Thema Öffentlichkeitsarbeit habe ich gerade schon anklingen lassen, da möchte ich den Fokus auf die Transparenz legen, auf die Informationspflichten, wie man das dann im Datenschutz nennt, und dabei insbesondere eben den Fokus auch auf die Empfänger Ihrer Botschaften, die Sie in der Öffentlichkeitsarbeit aussenden möchten. Ich werde mich also gleich erstmal kurz darauf eingehen, um welche Personenkreise geht es eigentlich, wenn man über Datenschutz und Öffentlichkeitsarbeit spricht. Daneben versuchen herauszustellen, was da so die allgemeinen gemeinsamen Nenner sind. Ich werde später auch auf verschiedene Kanäle eingehen: Websites, Social Media, Newsletter. Insbesondere da gibt es einige Details, spezifische Dinge, wo man sich auch sehr schnell drin verlieren kann. Aber gerade deshalb denke ich, es ist wichtig, das große Ganze im Blick zu behalten und zu überlegen, für wen macht man sich den Datenschutz und auf was kommt es im Allgemeinen an, wenn man sich eben nicht in diesen Detailfragestellungen verliert. Also Sie haben sicherlich schon von den Diskussionen um Cookies beispielsweise fast mitbekommen im Hinblick auf Webseiten. Das sind wichtige Fragestellungen, die dürfen und sollten Sie auch nicht ignorieren. Aber wichtig ist eben auch im Hinblick auf diese Detailfragestellungen die anderen Aspekte, die ebenfalls wichtig sind, nicht aus den Augen zu verlieren. Und da ist eben meine Hauptbotschaft, die ich Ihnen heute mitgeben möchte, dass Sie versuchen, im Rahmen der Datenschutzhinweise auf Ihrer Webseite die Transparenz herzustellen, das nicht als lästige Pflicht sehen, sondern eben tatsächlich transparent informieren, was machen Sie da eigentlich.
Nach den einleitenden Worten, wie schon erwähnt, möchte ich jetzt eingangs erstmal klären, was eigentlich die Personen sind, und vor allem aus meiner Sicht eben den Fokus auf die Empfänger legen. Aber einen Schritt zurück: Wenn Sie Öffentlichkeitsarbeit betreiben mit digitalen Hilfsmitteln, das setze ich jetzt mal voraus, Sie könnten natürlich auch Adresslisten pflegen und Broschüren per Post verschicken, da spielen auch Datenschutzbelange eine Frage. Aber der Fokus liegt natürlich auf digitalen Mitteln. Und dann gibt es zum einen die Empfänger. Sie werden halt irgendwelche Listen pflegen für Newsletter-Empfänger, Sie haben auch auf Social-Media-Plattformen Follower, wie man es dort dann nennt. Außerdem haben wir einfach Personen, die Ihre Webseite besuchen. Und bei all diesen Stellen passiert Datenverarbeitung, für die datenschutzrechtliche Grundvorschriften relevant sind. Und das ist eben wichtig, im Blick zu behalten, dass die Empfänger eben auch eine große Rolle spielen. Deswegen lege ich da heute den Fokus auch so besonders drauf, weil das eben manchmal so ein bisschen vergessen wird.
Was das Bewusste sicherlich ist, ist der Inhalt der Kommunikation. Werden Sie also Fotos von dem Vereinsfest posten? Werden Sie in einem Newsletter erwähnen, dass eine bestimmte Person in Ihrem Verein Jubiläum hat, besonders lange aktiv ist? Wer im Vorstand ist? Wer der neu gewählte Vorstand ist? Da sind natürlich diese Personen, die im Inhalt der Kommunikation sind, auch relevant. Die haben auch Datenschutzrechte, deren Daten müssen geschützt und damit vernünftig umgegangen werden. Aber das ist sicherlich relativ bewusst, was da passiert.
Weniger Bewusstsein ist eben, was zum einen mit den Personen, die die Sender sind, ist. Also wenn beispielsweise Sie eine Geschäftsstelle haben mit ein, zwei hauptamtlichen Beschäftigten und denen geben Sie die Weisung, posten Sie das auf Facebook, dann brauchen die einen Facebook-Account, um das zu posten. Und da werden bestimmte Daten auf dem Computer, mit dem das auf Facebook gepostet wird – also Facebook ist jetzt mal ein Beispiel, bei anderen Plattformen ähnlich – da wird die Nutzung dieser Seite dann auch in gewisser Form nachvollzogen von dem Social-Media-Anbieter. Das heißt, auch die Beschäftigten, Datenschutz spielt in dieser Hinsicht eine Rolle. Ähnlich ist das dann im Prinzip auch, wenn Personen gar nicht angestellt sind, sondern einfach nur aktiv sind für den Verein oder wenn jemand im Vorstand ist. Also egal, in welcher Rolle man im Verein ist, in dem Moment, wo man da aktiv solche digitalen Plattformen nutzt, um Inhalte einzustellen, stellen sich auch Datenschutzfragen. Allerdings ist das einfach, ja, ist das auch nicht, sollte man auch nicht vernachlässigen, aber das ist vielleicht sogar noch einen Ticken bewusster als das, was beim Empfänger passiert. Und vor allem ist es zahlenmäßig natürlich geringer. Da geht es um die eine Person, die was aussendet. Das ist auch nicht unwichtig, muss man auch berücksichtigen. Aber wenn Sie eben diese eine Person, die was aussendet, und auf Ihrem Newsletter ein paar tausend Empfänger sind, dann sind eben auf der anderen Seite ein paar tausend Personen, um deren Datenschutzrechte es geht. Und dementsprechend bin ich eben der Meinung, dass es dort auch lohnt, den Fokus besonders hinzulegen.
Deswegen also hier im Fokus Empfänger. Ganz allgemein im Datenschutz, das ist ein Auszug aus unserem Basiswissen Datenschutz bei der Stiftung Datenschutz für Vereine, das wir eingestellt haben, und da haben wir versucht, so eine ganz kurze Kurzanleitung oben drüber zu stellen: Was sind aus unserer Sicht die wichtigsten Schritte in allgemeiner Form im Datenschutz? Und ganz allgemein kann man eben sagen, man sollte immer anfangen, sich erstmal einen Überblick zu verschaffen, um was geht es eigentlich, welche Daten werden von wem verarbeitet, sich dann mit der Zulässigkeit der Verarbeitung zu beschäftigen. Da geht es primär um die Frage, braucht man eine Einwilligung und welche anderen Rechtsgrundlagen? Und daneben der dritte Schritt, das praktisch schon, die Informationspflichten, also darüber informieren, was macht man mit den Daten. Und das ist eben jetzt der kritische Punkt beim Thema Öffentlichkeitsarbeit und dem Fokus auf die Empfänger, dass es eben dann nicht nur um Vereinsmitglieder geht, deren Daten zu verarbeiten, sondern auch alle möglichen anderen Personen, die Sie erreichen möchten, und dass es möglicherweise auch gar nicht bewusste Datenverarbeitung ist, die Sie angestoßen haben, sondern die durch Dienstleister, die Sie in Anspruch nehmen, kommt, also Newsletter-Dienst, Social-Media-Plattformen etc. Trotzdem kann es eben sein, dass Sie für diese Datenverarbeitung verantwortlich sind oder mitverantwortlich sind, und dementsprechend das auch für sich klären mit diesem Fokus auf die Informationspflichten und die Transparenz, diese herzustellen.
Möchte hier eben nochmal ein bisschen anderen Blickwinkel, warum ist das so wichtig. Ich finde, dass mit diesem berühmten Bild vom Eisberg, wo man nur die Spitze vom Eisberg oberhalb des Wassers sieht und da ist ganz viel unten drunter, kann man das ganz gut vergleichen, weil eben bei digitaler Kommunikation ganz viel unter der Oberfläche stattfindet. Das sind technische Dinge, die kann man mit entsprechenden Kenntnissen kann man im Webbrowser auch ganz gut nachvollziehen, was passiert da. Aber es passiert eben erstmal unbewusst. Also wenn eine übliche Nachrichtenseite wie Spiegel oder Zeit.de aufgerufen wird, da werden Hunderte von Anfragen im Hintergrund gestellt, da sind verschiedenste Werbenetzwerke involviert, da werden Grafiken aus Content-Delivery-Netzwerken nachgeladen, wo wiederum externe Dienstleister für eingeschaltet wurden, die eigentlich gar nicht die Hauptwebsite betreuen. Also das ist sehr komplex, was da heutzutage bei Webseiten oder auch bei Apps im Hintergrund geschieht. Und das ist eben hier gemeint mit unter der Oberfläche, der Teil, den man normalerweise gar nicht sieht.
Und das ist eben für die Empfänger Ihrer Botschaften, die Sie über diese digitalen Plattformen aussenden, aus Datenschutzsicht ein Problem, dass da viel Unbewusstes stattfindet. Und der Anspruch ist eben in der Datenschutz-Grundverordnung, dass die Transparenz hergestellt werden muss. Das heißt, dass für Dinge, für die Sie verantwortlich oder mitverantwortlich sind, dafür sorgen müssen, transparent zu erklären, was passiert da eigentlich. In diesem Bild von dem Eisberg gesprochen, Sie müssen eben den Teil unter der Oberfläche auch mit erklären, der Ihnen aber vielleicht als normale User von so einer Plattform, als normale Nutzerin, gar nicht mal bewusst ist.
Das Schwierige daran ist eben, ich hatte es gerade schon erwähnt, mit entsprechenden Kenntnissen kann man das relativ leicht herausfinden, was da im Hintergrund passiert. Und wenn also schon irgendwo eine Situation ist, wo jemand sich in Ihrem Verein oder im Umfeld schlecht behandelt fühlt und irgendeinen Grund sucht, um zu stänkern, aufzubauen, dann ist das ein Leichtes, danach zu schauen, was passiert da eigentlich, eine entsprechende Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen. Dann müssen die dem nachgehen. Und da gibt es also einfach in dieser Hinsicht eine große Angriffsfläche, wenn Sie da eben Versäumnisse haben zu erklären, was Sie da tun, oder das auch im ersten Schritt zu klären, ob Sie das überhaupt in der Form tun dürfen. Deswegen lege ich da also so einen großen Fokus drauf.
Vielleicht ein bisschen abstrakt, aber wie gesagt, ich habe versucht, so ein bisschen den Bogen zu spannen, in allgemeiner Form darzustellen, worauf es ankommt.
Jetzt mal konkreter gesprochen, bei verschiedenen Kanälen – Websites, Social Media und Newsletter – gibt es eben verschiedene Besonderheiten noch, aber natürlich auch diese allgemeinen Prinzipien, die ich gerade schon angesprochen hatte.
Fangen wir mal mit den Webseiten an. Da ist es eben so bei Webseiten, dass da eben eine Verbindung aufgebaut wird zwischen dem Webbrowser desjenigen, der die Webseite aufruft, und dem Server erstmal, wo Ihre Website liegt. Also spricht man vom Webhoster normalerweise. Haben Sie eine Firma beauftragt für Ihre Vereinswebseite, diese Webseite zu hosten, zu nennt man das dann technisch. Und bei dieser Verbindung zwischen dem Webbrowser desjenigen, der die Webseite anschaut – das kann also auch ein Mobilgerät sein, auf einem iPhone, einem Android-Gerät, aber auch im Firefox oder Edge oder Chrome auf einem Desktop-Computer – da werden eine Menge Daten mit übertragen. Da wird nicht nur die Webseite, die angezeigt werden soll, die Einrichtung geschickt, sondern in die andere Richtung, vom Empfänger zum Sender, werden auch einige Informationen geschickt. Und diese Informationen sind immer datenschutzrelevant. Das ist also ein bisschen das, was ein bisschen tricky ist bei Webseiten. Ja, man denkt eigentlich, na ja, die gibt's doch nur um die reine Information, ja, wie kann ich Mitglied im Verein werden, das ist doch gar nichts. Wird wenn erstmal diese Informationsseite abgerufen wird, haben wir doch mit Datenschutz nichts zu tun. So könnte man denken. Na klar ist, wenn irgendwo bei einem Kontaktformular oder bei einem Formular für einen Mitgliedschaftsantrag Daten ausgefüllt werden, da ist man schnell bewusst, ey, da hat man mit Datenschutz zu tun. Aber auch bei so reinen Informationsseiten werden eben technisch bedingt vom Empfänger zum Sender der eigentlichen Webseite eben falsch rum Daten geschickt. Deswegen ist das dann auch schon datenschutzrelevant.
Da geht es eben vor allem um die IP-Adresse. Das ist so die eindeutige Nummer, mit der Computer sich im Internet ansprechen können. Und das ist inzwischen auch durch Gerichte und auch in der Datenschutz-Grundverordnung definiert, dass es sich dabei eben schon um personenbezogene Daten handelt. Dazu kommen dann eben noch Informationen wie die Ursprungswebseite, je nachdem wo kann man hier Informationen zum Webbrowser, die man benutzt, Betriebssystem, Sprache und so weiter. So dieser Basisdatensatz, der technisch bedingt einfach immer mitgeschickt wird, der wird bei den meisten Webhosten, wo Sie also technisch Ihre Domain und Ihre Webseite liegen haben, jetzt sowas in Protokolldateien, sogenannten Logfiles, mitprotokolliert, für meistens dann eine Woche oder einen ähnlichen Zeitraum aufbewahrt, falls es irgendwelche Hacking-Versuche gab, dass man das nachvollziehen kann. Das ist insoweit auch legitim, aber man muss es eben als Datenschutzthema behandeln. Und da sind Sie eben als Verein, wenn Sie einen Webhoster beauftragen, Ihre Webseite zu hosten, für mitverantwortlich.
Der Basisdatensatz an Daten, was aber inzwischen auch sehr verbreitet ist, ist, dass eine ganze Menge drumherum noch passiert. Da geht es zum Beispiel um Analysedaten, dass Sie herausfinden möchten, wie wird Ihre Webseite genutzt, welche Unterseiten werden aufgerufen, wo kommen die Personen her, kommen die aus sozialen Netzwerken, kommen die von Suchmaschinen. Mehr gibt es an entsprechenden Tools wie Google Analytics, Matomo oder auch ganz klassisch, dass diese Logdateien von dem Webhoster liegen, analysiert werden. Da gibt es verschiedene Wege, aber so eine Analyse ist daneben auch datenschutzrelevant. Dazu kommt, dass inzwischen auch relativ üblich ist, dass man Inhalte von Drittanbietern einbindet. Am bekanntesten sind, denke ich, dass YouTube-Videos, dass man YouTube-Videos eingebettet in die Webseite, das ist dann praktisch, da wird direkt angezeigt mit Taschen-Vorschau. Aber Knackpunkt ist, in dem Moment bekommt eben auch Google als Betreiberin von YouTube direkt schon Daten desjenigen, der nur diese Vorschau geladen hat. Und das müssen Sie entsprechend datenschutzmäßig mitverantworten und einordnen und anderer Daten schützen, weil Sie erklären. Ganz ähnlich ist das dann auch bei Social-Media-Inhalten, wenn man jetzt irgendwie einen Twitter-Post einbettet, aber auch bei technischen Helferlein, die es inzwischen ganz viele gibt, also so Widgets wie jetzt, klappt, früher der Facebook-Like-Button oder irgendwelche anderen Social-Media-Elemente, die eine aktive Funktion haben, aber auch Programmbibliotheken oder sogar Schriftarten. Ja, und Schriftarten ist Google Fonts ein ganz bekanntes Beispiel. Da sagt Google, sie bieten Schriftarten eben kostenlos an, die können Website-Betreiber sich einbinden. Das passiert täuschen über ganz viele WordPress-Plugins, ohne dass man sich das bewusst ist. Google selber sagt nach eigener Aussage, sie werten da nichts aus, wenn dieser Schriftdaten abgerufen werden. Aber technisch könnten sie das auswerten. Das sind also alles so Elemente, die machen das inzwischen bei Webseiten wahnsinnig komplex, weil Webseiten im Gegensatz zu vor zehn, 15 Jahren nicht mehr nur aus den Dateien bestehen, die von Ihrem Server geschickt werden, sondern da eben bei den allermeisten Webseiten inzwischen verschiedene Server von verschiedenen Anbietern involviert sind.
Deswegen Kernbotschaft habe ich hier unten rechts in der Blase versucht auszudrücken: Beim Abrufen entstehen technisch bedingt immer, immer Daten. Egal wie einfach Ihre Webseite gestrickt ist, Sie können keine Webseite betreiben, ohne Datenverarbeitung im Sinne der DSGVO zu betreiben. Deswegen gehört auf jede Webseite eine Datenschutzerklärung oder Datenschutzhinweise, ist lieber, weil eben Datenverarbeitung passiert. Es ist auch wichtig, dass Sie entsprechend den Webhoster, den Sie einbinden, als sogenannten Auftragsverarbeiter behandeln. Das ist, klingt jetzt erstmal, wenn Sie das noch nie gehört haben, abstrakt. Es geht letztendlich darum, dass Sie einen Vertrag abschließen, der regelt, dass Sie die Weisungsfreiheit haben gegenüber diesem Anbieter und, ja, nicht irgendwas Eigenes, auf eigene Faust mit den Daten macht. Das bieten die Webhoster in der Regel auch alle an. Das muss manchmal eben separat abgeschlossen werden, mal im Hilfebereich nachschauen.
Sinnvoll ist eben auch, dass Sie sich mit diesem Thema Logfiles beschäftigen, was macht der Webhoster da, und das entsprechend in die Datenschutzhinweise mit aufnehmen. Das ist noch relativ leicht zu händeln. Komplizierter ist es eben, wenn es dann um diese eingebundenen Elemente geht, die ich gerade angesprochen hatte. Da brauchen Sie je nachdem dann auch eine extra Rechtsgrundlage für. Alle, da stellt sich die Frage, dürfen Sie das einfach so oder brauchen Sie eine Einwilligung? Und dann ist inzwischen ein Bewegungsbad, die man auf vielen Webseiten sieht. Oft ist es aber auch schon schwierig, die Informationen, was passiert da eigentlich, zusammenzutragen, weil die Anbieter, die diese Elemente anbieten, die Sie einbetten können, da vielleicht selber irgendwelchen Profit daraus schlagen, indem sie eben Daten für Werbezwecke analysieren und da gar nicht so offen sein wollen. Allein diese Informationen auf dem gewünschten Grad zusammenzutragen, wie die deutschen Aufsichtsbehörden das gerne hätten, kann schon schwierig werden.
Und, ja, was dazu eben noch kommt, ist das Problem, dass oft dann auch Datentransfers in Drittstaaten stattfinden, wenn Sie halt eben Dienste amerikanischer Anbieter beispielsweise in Anspruch nehmen und da entsprechend dann auch wieder Rechtsgrundlagen noch separat für bräuchten. Das ist momentan relativ problematisch. Deswegen ist es insgesamt so, ich will Ihnen da jetzt keine Angst machen in dem Motto, nehmen Sie die Vereinswebseite vom Netz, aber eben dazu motivieren, sich damit zu beschäftigen, was ist in der Webseite eingebunden, und vielleicht dann auch einfach mal aufzuräumen. Weil ich auf vielen Webseiten sind Dinge eingebunden, die braucht man eigentlich gar nicht, und dabei bekommen dann tatsächlich irgendwelche Dritten irgendwelche Daten, und das kann man genauso gut rausschmeißen, und dann hat man das Problem auf die einfachste Art gelöst.
Nochmal kurz Rechtsgrundlagen. Das hatte ich gerade schon mal angesprochen, dass man eben je nachdem eine Einwilligung braucht. Und das ist ein ganz allgemeiner Grundsatz in der Datenschutz-Grundverordnung. Hatte ich auf einer dieser ersten Folien mit den drei Schritten schon drauf. Und egal was Sie eben für Datenverarbeitung machen, Sie brauchen eine Rechtsgrundlage. Und da gibt es eben als Einwilligung, wo Sie aktiv fragen können, ist das in Ordnung, dürfen wir das mit den Daten machen. Das ist eben der eine Weg. Es gibt aber auch vor allem die Möglichkeit, wenn ein Vertrag besteht. Das wäre es beispielsweise im Website-Kontext, ist das eher selten der Fall. Das wäre so, wenn jemand sich einen Account anlegt in einem geschützten Bereich der Webseite oder wenn ein Kontaktformular ausgefüllt wird, dass wir eine andere Situation. Da könnte man sagen, da entsteht ein Nutzungsvertrag, damit nur bestimmte Dienstleistung erwünscht. Ansonsten ist im Bereich Webseite aber auch relativ viel über berechtigtes Interesse machbar. Das müssen aber Dinge sein, die eben sehr, wo eine gute Balance ist, ja, das ist schon relativ datensparsam stattfindet, und dass auch, ja, das erwartbar ist, dass sowas passiert. Ist beispielsweise der Fall, wenn Sie eben auf eine datensparsame Art Auswertungen der Website-Besucher machen, wo jetzt nicht groß Drittanbieter eingebunden sind, sondern dass auf Ihrem Server stattfindet. Dann kann sowas eben ein berechtigtes Interesse sein, wo Sie nicht vorab fragen müssen. Aber ansonsten braucht man eben auch bei Webseiten für relativ viele eine Einwilligung.
Das führt eben dann zu diesen Einwilligungsbannern, wie die letzten Jahre verstärkt aufgekommen sind. Das hat auch nicht nur mit der Einwilligung nach der Datenschutz-Grundverordnung zu tun, sondern auch damit, deswegen werden sie auch Cookies genannt, mit Sonderregelung, die es für Cookies gibt. Dabei war in Deutschland lange die Rechtslage so ein bisschen unklar. Letztendlich gibt es aber eine EU-Richtlinie, die schon einige Jahre länger gilt, und seit Dezember letzten Jahres ist das jetzt eben auch in Deutschland mal gesetzlich klar geregelt und dem EU-Recht entsprechend angepasst. Und da ist es eben so, dass für Cookies nach dieser neuen Rechtslage eben für Cookies jetzt ganz klar geregelt ist, für Cookies gibt es sowas wie ein berechtigtes Interesse nicht, sondern da gibt es also nur Einwilligung oder es ist unbedingt erforderlich.
Cookies, vielleicht noch zur Erläuterung, ist Ihnen als Begriff sicherlich bekannt durch diese Cookie-Banner. Bei Cookies geht es letztendlich darum, dass Ihre Webseite auf dem Computer des Website-Betrachtenden eine kleine Datei schreiben kann, wo bestimmte Informationen hinterlegt werden. Was üblicherweise dafür genutzt wird, dass man die Website-Besucher wiedererkennen kann, beispielsweise für eine Warenkorb-Funktion im Onlineshop, aber auch für Analysen, die Personen, die sich heute das angeguckt hat, hat sich morgen das angeguckt. Und, ja, diese Cookies stellen neben dem Eingriff in die, das Endgerät, dass das anderen des Website-Besuchers da, und deswegen ist das nochmal gesondert geregelt.
Und das ist eben jetzt in Deutschland im Paragraf 25 vom Telekommunikations-Telemedien-Datenschutzgesetz, kurz TTDSG, geregelt. Und danach ist es eben so, dass man auf jeden Fall bei Cookies eine Einwilligung braucht, wenn es nicht unbedingt erforderlich ist. Und unbedingt erforderlich ist, zumindest nach Meinung der Datenschutzaufsichtsbehörden, hier natürlich sehr eng auszulegen. Das heißt, bei sowas wie dem Warenkorb kommt man vielleicht noch drum herum, ja, wenn es dann ganz besonders gut umgesetzt ist. Aber bei vielen anderen Profis braucht man halt eine Einwilligung. Deswegen sind diese Cookie-Banner jetzt auch omnipräsent. Ist häufig aber, wie bei dem Beispiel hier, ja, ich habe mir jetzt, dass eine Webseite zur DSGVO beim Ministerium für Ernährung und Landwirtschaft, und die haben eben auf ihrer Ministeriumswebseite dieses Einwilligungsbanner, aber sehr, rechts zu sehen ist, untersteht zwar oben drüber Cookies, aber da steht weiter drinnen dann auf einmal was von Social Media und Inhalte von Instagram und YouTube. Da geht es letztendlich nicht nur um Cookies, sondern da geht es auch um die Einwilligung gemäß DSGVO. Was er dieses Bild her ist, also das geht häufig so ein bisschen ineinander. Aber klar ist eben, durch die Cookies braucht man noch mehr Einwilligung, als man ohnehin bräuchte.
Ja, das waren jetzt einige Detailpunkte beim Bereich Webseite. Ja, also ich habe da eben erläutert, was zu technischem Hintergrund passiert, deswegen Webseiten heutzutage so komplex sind, auch in Datenschutzhinsicht. Das Thema Auftragsverarbeiter beim Webhoster spielt eben eine Rolle, und dann vor allem die Frage der Rechtsgrundlagen und ob man da jetzt zu einer Einwilligung in Form eines Einwilligungsbanners braucht.
Wichtig ist aber eben, wie gesagt, Sie müssen sich ja erstmal reinfinden, was passiert auf Ihrer Webseite, dass entsprechend analysieren oder auch dann, je nachdem, wenn Sie eine Agentur beauftragt haben, die vielleicht nochmal fragen, was ist eigentlich eingebunden, und dann müssen Sie entsprechend diese Schritte klären und sollten dann am Ende eben in Form von Datenschutzhinweisen darüber informieren, was auf Ihrer Website im Internet passiert.
Nochmal so als einzelne Punkte: Beim Webhoster sollten Sie eben so einen Auftragsverarbeitungsvertrag abschließen und, wenn das nicht ohnehin der Fall ist, was meistens heutzutage der Fall ist, dafür sorgen, dass Transportverschlüsselung, also das HTTPS in der Adresszeile, dass das aktiviert wird. Sie müssen Datenschutzhinweise und auch ein Impressum erstellen. Also ein Impressum, das heißt, dass Sie ein Schreiben, für diese Website ist hier der und der Verein, vielleicht Vereinsregisternummer, Vorstand, aktueller Vorstand. Das ist auch eine Pflicht. Das kommt teils aus dem Datenschutz, kommt aber auch aus einem anderen Rechtsgebiet noch. Aber eben im Ergebnis brauchen Sie Datenschutzhinweise und Impressum. Das kennt man ja eigentlich auch von den meisten Webseiten, dass diese Unterseiten gibt. Da ist eben auch wichtig, dass die von allen Seiten aus erreichbar sein müssen, also nicht nur auf der Startseite oder irgendwo im Menü versteckt, sondern das muss immer erreichbar sein. Deswegen wird das meistens in diesem Fußbereich ganz unten auf der Website eingebunden.
Dann ist ein großes Thema eben Drittanbieter-Inhalte und Plugins. Plugins jetzt als technische Methode, wie beispielsweise in WordPress Erweiterungen der eigentlichen Kernfunktionalität eingeladen werden. Und solche Plugins binden eben häufig Drittanbieter-Inhalte damit ein. Und deswegen muss man da sich eben mit beschäftigen, was passiert da, prüfen, ist das überhaupt notwendig, und je nachdem dann auch, wenn wirklich, einfach mal aufräumen.
Da ist auch Drittstaaten-Transfers, hatte ich schon angesprochen, kann da auch ein Thema werden. Und bei dem, was da noch verbleibt, dann müssen Sie eben dann auch die Rechtsgrundlagen klären. Und da ist, wie gesagt, berechtigtes Interesse in erwartbarem Rahmen möglich, sofern es nicht um Cookies geht, und ansonsten läuft fast immer auf eine Einwilligung hinaus.
Immer Webseiten. Jetzt hatte ich ja Social Media als zweiten Block mit aufgeschrieben. Und bei Social-Media-Profilen könnte man natürlich denken, na ja, das ist relativ ähnlich wie der Webseite. Aber ein grundlegender Unterschied ist zumindest schon mal, die eigentliche Webseite von einer Social-Media-Plattform wird ja gar nicht mit Ihrem Verein erstellt, vielleicht inhaltlich betreut, aber technisch nicht erstellt und auch nicht im Auftrag zu direkt, sondern dass es eben eine Social-Media-Plattform. Und da gibt es eben den Einsatz üblicherweise, den ein Social-Media-Anbieter. Das kommen dann verschiedene zusammen, die Informationen bereitstellen, gleichzeitig aber auch interagieren. Also das ist viel dynamischer.
Und ganz wichtig, vom Geschäftsmodell her sind die meisten Social-Media-Plattformen das, was man in Wirtschaftswissenschaften zweiseitige Märkte nennt oder mehrseitige Märkte. Das sind eben nicht nur diejenigen, die Social Media als Nutzende benutzen, sondern es sind auch diejenigen, die Werbeanzeigen auf Social Media schalten wollen. Das ist ja bei den meisten Plattformen das Geschäftsmodell, dass die, dass die Inhalte, die da angeschaut werden, die geteilt werden, dass das eben analysiert wird, um Werbeprofile zu erstellen, so dass Ihnen dann als Nutzende besonders gerichtete Werbung angezeigt werden kann. Und deswegen sind also diese, die Werbekunden sind die einen Kunden, und diejenigen, die kostenlos die Plattform nutzen, sind die anderen Kunden. Und das spricht man von einem zweiseitigen Markt.
Das, so nach abstrakt, irgendwie BWL, und was hat das mit Datenschutz zu tun? Na ja, das hat eben deshalb mit Datenschutz zu tun, weil dieses Geschäftsmodell einfach starke Datenschutzimplikationen hat, weil es darauf beruht, dass Daten zum Nutzungsverhalten auf Social-Media-Seiten besonders genau analysiert werden, weil das eben Teil des Geschäftsmodells ist. Sonst könnte man den Werbekunden nicht besonders passend die Werbeplätze verkaufen.
Und durch dieses Geschäftsmodell schlägt sich das eben dann auch im, wie gesagt, im Datenschutz nieder. Das führt häufig dann auch zu was, was ich gemeinsame Verantwortung nennt. Da sage ich gleich noch kurz etwas zu. Was dann bedeutet, dass Sie eben auch eigene Informationspflichten haben. Das ist beispielsweise durch den Europäischen Gerichtshof für den Fall von Facebook-Seiten seit 2018 eindeutig geklärt, dass da nicht nur Facebook für die Datenverarbeitung verantwortlich ist, sondern auch derjenige, der Facebook-Seiten betreibt. Also das, was bei Facebook eine Zeit lang Fanpages genannt wurde, später einfach nur noch Seiten. Da sind dann diejenigen, wenn Sie doch vom Verein so eine Seite haben bei Facebook, wo Sie Ihren Verein vorstellen, dann sind Sie für die Datenverarbeitung mitverantwortlich und müssen selber darüber informieren, was da eigentlich passiert.
Je nach Netzwerk, bei den großen bekannten Plattformen Twitter, Instagram, Facebook, das sind, sind auch immer internationale Datentransfers ein Thema, weil US-Firmen mit drinhängen oder aus anderen Ländern auch teilweise. Und das ist dann auch ein Thema, was man entsprechend auch mit behandeln muss. Das macht Social Media in dieser Hinsicht besonders komplex. Das ist eben keine, im Gegensatz zu der Webseite, die Sie bei 1&1, Strato, Manitu oder wie sie alle heißen, typischen Webhosten gegen Bezahlung einfach kaufen, dass Sie da die Webseite hosten lassen, ist das Geschäftsmodell, die Erstellung eines Social-Media-Profils in aller Regel kostenlos. Aber dafür zahlen eben diejenigen, die Ihre Social-Media-Profile besuchen, mit ihren Daten gewissermaßen. Und das macht halt an der Stelle so, ja, so unglücklich, weil Sie dann da nach diesem Urteil, zumindest des Europäischen Gerichtshofs, entsprechend mit drinhängen.
Der gemeinsamen Verantwortung, die ich gerade schon mal ansprach, das ist ein neues Konstrukt aus der Datenschutz-Grundverordnung. Das gab es also tatsächlich, obwohl vieles im Datenschutz schon seit den 90ern gibt, gab es das vorher noch nicht. Und da ist eben die Idee, dass, wenn man in der einen oder anderen Form mit jemandem kooperiert und gemeinsam Daten sammelt und verwaltet und verarbeitet, dass man dann auch gemeinsam für die Datenverarbeitung verantwortlich ist. Und vor allem, dass man gegenüber denjenigen, die von der Datenverarbeitung betroffen sind, also jetzt im Fall von Social-Media-Seiten diejenigen, die Social-Media-Profile besuchen, dass man da auch einfach, dass da beide Parteien darüber aufklären müssen, was passiert da eigentlich, damit nicht so ein Fingerzeig-Spiel entsteht. Facebook sagt, na ja, der betroffene Verein muss erklären, was auf der Facebook-Seite passiert, und Verein sagt, na ja, was wissen wir denn, was dort passiert, ist muss Facebook doch erklären. Und damit eben so eine Konstellation nicht entsteht, ist in der DSGVO geregelt, dass da beide erklären müssen, was passiert.
Deswegen ist das halt vor allem Thema für Informationspflichten, aber auch geht auch um Betroffenenrechte. Wenn man mal eine Frage gestellt wird, das sind Daten, die sollten gelöscht werden, oder welche Daten sind da eigentlich gespeichert, dann sind Sie als Verein auch in der Pflicht, mit dem, im Fall Facebook, für da, wo das eben klar geregelt ist, dass an Facebook auch weiterzuleiten, zu sagen, hier, Facebook, da hat jemand uns gesagt, die und die Daten sollen gelöscht werden, kümmert euch mal bitte darum. Da bietet Facebook entsprechende Kontaktformulare für an. Aber das sind vermutlich alles Details, die sind, könnte ich mir vorstellen, wenn Sie so eine Facebook-Seite betreiben, noch gar nicht bewusst gewesen ist, aber tatsächlich in den Geschäftsbedingungen von Facebook geregelt. Seitenverhärten, genau, das ist eben so das Ding mit der gemeinsamen Verantwortung. Das ist bei Facebook aufgrund dieses Urteils vom Europäischen Gerichtshof auch ganz klar geregelt. Bei anderen sozialen Netzwerken, Twitter, kann man nicht davon ausgehen, dass dann ähnliche Konstellation besteht. Da scheuen sich die Anbieter teils noch davor, dass entsprechend umzusetzen, weil das für sie dann auch irgendwie unbequem ist. Dann müssen sie transparenter sein, als sie es eigentlich wollen.
Und deswegen hat aber zum Beispiel der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink vor etwa zwei Jahren dazu bewegt, Twitter zu verlassen, obwohl er einer der wenigen Leiter von der Datenschutzaufsicht war, die auf Twitter sehr aktiv und präsent waren. Aber da hat er dann eben gesagt, na ja, das ist mit dem jetzt als jemand, der da auch Vorbildfunktion haben muss in dem Bereich, zu heiß. Er verlässt Twitter.
Und dementsprechend ist also für Facebook und Instagram, was zu Facebook dazugehört, ist das relativ klar und geklärt inzwischen. Da hat Facebook auch Regelungen in die Verträge aufgenommen. Bei anderen Plattformen ist das einfach eine ungeklärte Sache, die aber wiederum ein Risiko für den Verein bedeutet. Da muss man auch ganz klar sagen, wir sind einfach dann die, die Anbieter dieser sozialen Netzwerke sind nicht besonders kundenfreundlich, wenn die Sie mit so einer unklaren Situation da stehen lassen. Aber wie es eben die Situation, vor der man dann steht.
Das war jetzt viel Erläuterung. Wie sollte man praktisch damit umgehen? Also wichtig ist schon mal, dass Sie, unabhängig von dieser gemeinsamen Verantwortung, brauchen Sie auf jeden Fall auch bei einer Social-Media-Profilseite ein Impressum, also so eine Anbieterkennzeichnung, dass Sie sagen, hier, hinter diesem Informationsangebot stecken wir, der, der Verein. Das ist ganz klar vorgeschrieben. Da gibt es auch bei einigen Anbietern gute Möglichkeiten. Für Facebook-Seiten beispielsweise kann man das ganz gut integrieren. Da gibt es extra Bereiche, wo man sowas einstellen kann, solche Informationen oder auch Links zur eigenen Webseite. Twitter ist so ein bisschen komplizierter, und bei Instagram zum Beispiel gibt es eigentlich gar nicht so richtig die Möglichkeit. Deswegen sind bei Instagram diese Link-Seiten, wo man dann auf verschiedene Seiten verlinken kann, recht verbreitet. Das müssen Sie aber entsprechend halt einfach, Sie brauchen ein Impressum, ja, das kann man so machen, indem man auf das normale Website-Impressum verlinkt und dort halten schreibt, das gilt übrigens auch für unseren Social-Media-Auftritt bei Instagram.
Wichtig ist danach eben das Thema der gemeinsamen Verantwortung, sich anzuschauen, wie das bei dem jeweiligen Anbieter ist. Da ist, wie gesagt, leider momentan so ein bisschen ungeklärte Lage. Aber wenn eben klar ist, da besteht eine gemeinsame Verantwortung, mir bekannt ist eben momentan insgesamt Facebook, dann muss man die eigenen Datenschutzhinweise auch ergänzen. Da habe ich auch später in den Links zu weiterführenden Materialien einen Artikel, wo so ein bisschen erläutert wird, was man da machen muss.
Ansonsten ist auch wichtig, dass Sie einfach unnötige Analysefunktionen, die Sie gar nicht brauchen, wenn das geht, abschalten. Also das war Stein des Anstoßes auch für den Europäischen Gerichtshof zu sagen, die Betreiber von Facebook-Seiten sind damit verantwortlich, weil die eben von der Datenverarbeitung von Facebook mit profitieren. Aber das eben heißt andersrum, wenn man solche Analysen gar nicht braucht, sollte man die eher abschalten.
Und anderer Aspekt bei Social Media, das ist ja nicht so Einweg-Kommunikation über einer Webseite, sondern Sie kommen vielleicht auch Nachrichten, kosten wir, müssen Sie datenschutzmäßig auch mit berücksichtigen. Rechtsgrundlagen sind damals nicht so das Thema, aber eher das Thema Löschung. Oder wenn Sie eine Frage gestellt bekommen und Sie beantwortet haben, da müssen Sie die eigentlich auch irgendwann löschen. Man macht das vielleicht bei öffentlichen Posts, wo sich auch derjenige bewusst ist, er hat das öffentlich gepostet, ein bisschen anders gelagert. Aber bei Direktnachrichten zum Beispiel ist das eigentlich relativ klar, dass Sie das auch irgendwann mal löschen müssen.
Das zu den üblichen Social-Media-Seiten. Was jetzt in den letzten Wochen vor allem, seit Elon Musk angekündigt hat, Twitter kaufen zu wollen, das ist ja doch wieder abgebaut, scheint, sehr bunt ist, das sogenannte Fediverse. Da ist ähnlich wie bei E-Mail die Idee, man hat nicht den einen Anbieter, zu dem müssen alle gehen, sondern es gibt verschiedene Anbieter, und die sind untereinander vernetzt. Und da gibt es eben nicht nur sogenannte, was gibt eben jetzt nicht nur verschiedene Server, zu denen man gehen kann, sondern auch noch verschiedene Plattformen, die untereinander vernetzt sind. Ja, da gibt es also dann PixelFed als Instagram-Alternative, PeerTube als YouTube-Alternative, Mastodon dann als Twitter-Alternative. Und die können wiederum untereinander reden, so dass man auch mit einem Mastodon-Account einem PixelFed-Account folgen kann, zu Geschichten. Also das ist schon technisch ziemlich, ziemlich cool, von sagen, was da alles möglich ist. Es ist aber auch relativ komplex dadurch.
Dass einfach ein Riesenvorteil ist, das sind alles irgendwelche, das sind alles Open-Source-Projekte, wo dann auch oft Organisationen hinterstehen, die das ohne Gewinninteressen Server anbieten. Teilweise sind das Vereine, teilweise sind das öffentliche Stellen, teilweise sind das Firmen, die das als Community-Dienst einfach betreiben. Und alles relativ datensparsam aufgebaut. Ja, da gibt es nicht diesen Aspekt, den ich vorhin erwähnt hatte, der bei den kommerziellen Social-Media-Plattformen der Fall ist, dass Daten für Werbezwecke analysiert werden. Das gibt es nicht. Dadurch ist das sehr datensparsam programmiert, dass datenschutzmäßig schon mal eine sehr gute Voraussetzung. Aber es ist eben nicht alles, also man muss sich eben auch angucken, welche Instanz nutzt man da, wer steckt eigentlich hinter, und auch selber einen datenschutzkonformen Umgang damit finden. Ja, also ich will aber darauf hinweisen, Fediverse ist nicht per se nur als datenschutzfreundlich ist, datenschutzkonform, sondern man muss dann schon noch ein bisschen genauer hingucken. Aber einfacher ist es, einfacher, den datenschutzkonformen Umgang zu finden als bei den kommerziellen Plattformen, der Regel.
Nur so als Anstoß vielleicht, falls Sie sich damit noch nicht so beschäftigt haben. Auch da wieder in den weiterführenden Informationen paar Links zu. Allerdings ist bei den meisten Organisationen, wie das auch bei uns bei der Stiftung Datenschutz so, wir haben das Mastodon-Profil und wir haben ein Twitter-Profil. Also so gehen momentan die meisten Organisationen dann damit um, dass sie einfach beides parallel bespielen.
Zuletzt noch Thema Newsletter. Würde ich jetzt auch in Anbetracht der Zeit nur kurz anreißen. Zum Thema Newsletter aber der Hinweis, da haben wir von der Stiftung Datenschutz auch schon mal ein eigenes Webinar zu gemacht, vor schon fast einem Jahr jetzt her. Das gibt es aber noch als Aufzeichnung auf unserer Webseite. Wenn Sie also das Thema Newsletter näher interessiert, dann gerne das Webinar bei uns einfach nochmal anschauen. Aber in Kurzfassung, beim Thema Newsletter ist eben besonders, dass Sie für die Adressverwaltung und Adresspflege, ja, die passiert ja bei Ihnen, wenn Sie einen Newsletter verschicken, brauchen Sie Listen von Adressen, an denen Sie den rausgehen können. Und für diese Adressverwaltung und Adresspflege brauchen Sie eben dann auch eine Rechtsgrundlage. Und da gibt es neben der Datenschutz-Grundverordnung noch das Gesetz gegen den unlauteren Wettbewerb, das UWG. Und dort ist geregelt, dass zumindest im kommerziellen Bereich, was bei Vereinen nicht unbedingt gelten muss, aber kann, dass im kommerziellen Bereich eben relativ klar geregelt ist, wann braucht man eine Einwilligung und wann darf man Personen einfach so anschreiben. Also das Thema Kaltakquise. Das heißt, das ist ein bisschen speziell, dass man einfach mit den Rechtsgrundlagen nochmal Besonderheiten hat.
Ansonsten Newsletter-Anbieter ist wie hier das andere Cloud-Tool zu behandeln. Sie laden die Adressen hoch, Sie verschicken da Sachen drüber. Das heißt, es ist ein Auftragsverarbeiter. Internationale Datentransfers spielen eine Rolle. Sie müssen in den Datenschutzhinweisen in Ihren eigenen darüber informieren, was da passiert. Was man häufig fehlt, ist, dass dann einfach auf die Datenschutzhinweise des Newsletter-Anbieters verwiesen wird. Es ist aber nicht ganz wichtig, weil Sie eben selbst für die Datenverarbeitung verantwortlich sind und dass nur Ihr Auftragsverarbeiter ist, also der Dienstleister, den Sie in Anspruch nehmen.
Ansonsten im Newsletter gibt es eben auch übliche Pflichtangaben, Impressum, Datenschutzhinweise. Dazu eben wichtig, ein Abmeldelink sollte eben in jeder E-Mail, die über diesen Newsletter rausgeht, enthalten sein.
Und ein Problem, viele dieser Anbieter bieten Ihnen so Komfortfunktionen, dass Sie gucken können, wie viele haben die E-Mail geöffnet, wie viele haben auch die Links geklickt. Das ist alles, kann alles kann spannend sein, braucht man aber gar nicht. Und dafür brauchen Sie eben auf jeden Fall, können Sie solche, dieses sogenannte Open- und Click-Tracking machen wollen, auf jeden Fall eine Einwilligung. Und deswegen ist der einfachste Weg, wenn Sie das nicht brauchen, diese Funktion, schauen Sie einfach bei Ihrem Newsletter-Dienst, ob Sie das nicht abschalten können.
Weil oft amerikanische Newsletter-Anbieter genannt werden, gesagt wird, es gibt ja kaum Alternativen, hier mal kurz eine Übersicht mit ein paar, sind auch nicht alle, keine Anspruch auf Vollständigkeit, aber einfach mal ein paar Anbieter aus Deutschland und ein bekannter, der in Frankreich seinen Hauptsitz hat. Und also da gibt es Alternativen eben auch aus der EU, will ich damit sagen.
So Newsletter-Anbieter, die als Cloud-Tool fungieren, sind natürlich der einfachste Weg. Was häufig ja auch gemacht wird, wenn es keine großen Empfängerkreise sind, dass man eine Mail BCC verschickt, dass die Empfänger sich untereinander nicht sehen. Das kann man schon machen, ist jetzt nicht per se datenschutzmäßig nicht möglich, aber es ist einfach, bietet ein hohes Fehlerpotenzial. Ja, das haben vermutlich die meisten von Ihnen schon mal gesehen, entweder selbst passiert oder so eine Mail bekommen, und wo dann doch die Empfänger sich gegenseitig sehen konnten. Und deswegen, ja, ist das einfach, gerade bei größeren Empfängerzahlen, zu risikobehaftet.
Man kann auch mit E-Mail-Software wie beispielsweise Thunderbird, ist eine Open-Source-E-Mail-Anwendung, da gibt es Erweiterungen, mit denen kann man Serienmails verschicken. Dann lädt man also eine Excel-Liste da rein mit den Empfängerdaten, und dann werden halt Hunderte Mails von der Software erzeugt, hat, dass man die einzelnen verschicken müsste. Oder es gibt auch für Website-Content-Management-Systeme Erweiterungen für Newsletter. Dann hat man direkt das Anmeldeformular an der Webseite integriert, kann im Backend von seinem Content-Management-System wie WordPress dann eine E-Mail an diese Empfänger ausschicken. Also solche Optionen gibt es auch. Das nur einmal aufzuzeigen, welche anderen Wege es denn noch gibt.
Und dann kommen wir eben noch zu dem Punkt Datenschutzhinweise. Dass das würde ich jetzt auch eher kurz machen. Da haben wir auch mit der Stiftung Datenschutz vor Kurzem noch ein eigenes Webinar zu gemacht. Wenn Sie dann eher reinschauen wollen, vielleicht daher mal gucken. Aber die Quintessenz ist, an zwei Jahren, ganz vielen Stellen jetzt im heutigen Webinar eben, dass Sie im Rahmen der Datenschutzhinweise oder Datenschutzerklärung, wie es oft genannt wird, darüber informieren müssen, was Sie mit Daten machen. Und da ist eben in der Datenschutz-Grundverordnung relativ klar geregelt, welche Informationen herein müssen. Das unterscheidet sich dann so ein bisschen, ob man die Daten selber bekommt oder ob man die über einen Dritten bekommt, beispielsweise wenn Sie Daten von einem Dachverband bekommen, hier will jemand Mitglied bei euch werden. Das wäre dann eben Informationsgewinnung über Dritte.
Und das ist hier rechts in dem Schaubild eben erläutert, welche Details sind das. Das sind eben zum einen so allgemeine Daten, wer ist verantwortlich, hat man einen Datenschutzbeauftragten, zum gewissen Block zu Betroffenenrechten, gehört dem Recht, eine Kopie seiner Daten anzufordern, sich zu beschweren etc. Und neben diesen allgemeinen Pflichtangaben gibt es eben dann weitere Angaben, die spezifisch sind für die jeweilige Datenverarbeitung, die es geht. Das im Kontext Webseiten daneben auf jeden Fall das Thema Website, aber eben dann je nachdem auch weitere Inhalte wie Newsletter, Social Media, Mitgliederverwaltung. Mit einem Online-Mitgliedsantrag haben, sollten Sie auch Informationen zur Mitgliederverwaltung in die Datenschutzhinweise auf der Webseite aufnehmen et cetera.
Sind dann eben so Daten wie die, die Rechtsgrundlage, für welche Zwecke brauchen Sie überhaupt die Daten, löschen Sie die, werden Daten im Drittland übermittelt, solche Informationen sind das. Und das alles selbst zusammenzutragen ist relativ aufwendig, lohnt sich aber an der Stelle. Es gibt im Prinzip verschiedene Startpunkte, die man wählen kann. Ein Weg ist, man nimmt sich die entsprechenden Artikel der Datenschutz-Grundverordnung, die sind schon relativ textähnlich aufgebaut, den nimmt man sich als Checkliste und schreibt das dann von Hand. Das trauen sich allerdings meistens dann doch nur Personen zu, die auch im Datenschutz ein bisschen tiefer drin sind, für einander sonst Angst haben, mit, drücke ich das richtig aus, was gibt es da eigentlich, vergesse ich was. Aber es bietet den Riesenvorteil, man beschäftigt sich aktiv mit.
Es gibt eben auch ganz viele Muster für Datenschutzhinweise. So muss man dann muss man aber in jedem Fall auf die eigene Situation anpassen. Und ich habe schon viel zu viele Datenschutzhinweise gesehen, sei es auf Webseiten oder in anderen Kontexten, die einfach, wo man auch auf den ersten Blick sah, das hat mit der Realität von dem, was da passiert, überhaupt nichts zu tun. Ja, und dann ist ein vermeintlich rechtssicherer Text, weil das Muster kommt ja von einem Anwalt, hat auch nichts wert. Also das muss eben angepasst werden auch an die Situation, die es bei Ihnen oder auf Ihrer Webseite, bei Ihrem Social-Media-Auftritt et cetera der Fall ist. Deswegen, bei so Mustern dann aufpassen.
Es gibt auch Generatoren, die nehmen haben das Anpassen schon so ein Stück ab. So ein Generator für Datenschutzhinweise haben wir über der Stiftung Datenschutz eben jetzt auch selbst mit im Angebot, speziell für Vereine. Da haben wir in Kooperation mit dem Landesdatenschutzbeauftragten Baden-Württemberg, wo wir auf deren Vorarbeiten aufbauen konnten, und das kann eben ein guter Startpunkt sein. Aber auch hier weisen darauf hin, dass es einen Startpunkt ist und man muss auf jeden Fall noch weitere Ergänzungen vornehmen, weil so ein Generator kann natürlich nicht alle Fälle abdecken, die theoretisch möglich sind, sondern decken übliche Konstellationen ab.
Noch den Hinweis, dass es so im Prinzip zwei verschiedene Ansätze gibt. Die einen packen auf ihrer Webseite in Datenschutzhinweise alles rein, ob es Fotos auf Veranstaltungen sind, die Mitgliederverwaltung, sonstwas, und verweisen dann an anderen Stellen immer auf die Webseite. Oder man sagt, okay, es gibt diese verschiedenen Kontaktpunkte, jetzt mache ich auch verschiedene Datenschutzhinweise für diese verschiedenen Stellen und hänge halt bei der Veranstaltung andere Datenschutzhinweise aus als die, die auf der Webseite stehen. Da muss man dann auch schauen, wie man da einfach gut umgehen möchte. Aber im Kontext auf die heutige Veranstaltung, Öffentlichkeitsarbeit mit vor allem Websites, Social Media und Newsletter, da macht es natürlich Sinn, all diese Elemente auch in die Datenschutzhinweise auf der Webseite mit aufzunehmen.
Wenn du für deinen Verein Öffentlichkeitsarbeit machst – sei es über die Website, Social Media oder Newsletter – denkst du wahrscheinlich zuerst an Inhalte und Reichweite. Doch im Hintergrund passiert viel mehr, als du auf den ersten Blick siehst. Jeder Website-Besuch, jeder Newsletter-Empfang und jede Interaktion auf Social Media erzeugt Daten. Die gute Nachricht: Datenschutz muss keine lästige Pflicht sein. Wenn du transparent erklärst, was mit den Daten deiner Zielgruppe passiert, schaffst du Vertrauen und zeigst Wertschätzung.
Hendrik vom Lehn ist Informatiker und zertifizierter Berater im Datenschutzrecht (FernUniversität in Hagen). Bei der Stiftung Datenschutz betreut er den Bereich „Datenschutz im Ehrenamt“ und informiert über die praktische Umsetzung von Datenschutzvorgaben in Vereinen und anderen Bereichen des Engagements.
Ob Cloud-Speicher, Videokonferenzwerkzeug, digitale Mitgliederverwaltung, Social Media-Kanäle oder die Vereinswebsite – nahezu jede digitale Anwendung erfordert heutzutage den Einsatz externer Dienstleister. Dabei werden fast immer personenbezogene Daten verarbeitet, die gemäß DSGVO besonders geschützt werden müssen. Daher muss die Auswahl von Dienstleistern sorgfältig erfolgen und bestimmte Kriterien erfüllen. In diesem Video zeigen wir dir, worauf bei der Auswahl von Tools zu achten ist und wie du Dienstleister so an dich bindest, dass du die Kontrolle über die Daten behältst.
Sicherheitshalber doch noch schnell eine Excel-Kopie der Mitgliederliste gemacht, um die Geburtstagskarten an die Engagierten von zu Hause aus zu versenden? So richtig blickt niemand mehr durch, welche Daten mit welcher Aktualität wo liegen. Also alles in die Cloud? Wir gehen auf alle wichtigen Fragen rund um die Mitgliederverwaltung ein und erläutern so ganz nebenbei die Grundzüge des Datenschutzrechts.