Ich weiß es zu schätzen. Ich weiß es ist nicht selbstverständlich. Ich komme, wie Janna schon gesagt hat, selber aus der Praxis. Bin also nicht als Juristin auf das Thema Datenschutz gestoßen und als ich selber in der Situation war, Datenschutz umsetzen zu müssen, fand ich damals wenig hilfreiche Unterstützung.
Und heute arbeite ich mit meiner Schwester Katharina zusammen bei Fix und Fertig und heute erarbeiten wir auch im Auftrag der Stiftung Datenschutz Arbeitshilfen und auch Praxisratgeber, die auch kostenlos für Engagierte zur Verfügung gestellt werden. Und ich finde es wirklich toll, dass auch die DSEE Engagierten die Möglichkeit gibt, mehr zum Thema Datenschutz zu erfahren, wie auch heute. Und worum geht es, oder zum heutigen Seminar auch. Es gibt heute wirklich glücklicherweise wesentlich mehr Informationen, Webinare, Mustervorlagen und auch Beratungsangebote, die sich speziell an Vereine richten.
Und was dabei aber immer noch schwer fällt, finde ich, ist, sich und den eigenen Verein beim Thema Datenschutz sinnvoll einzuordnen und die Frage zu beantworten, welche Rolle sollte denn Datenschutz überhaupt in unserem Vereinsalltag spielen? Was ist für uns besonders wichtig zu beachten? Womit könnten wir oder sollten wir vielleicht auch anfangen, wenn wir es nicht schon getan haben? Und der heutige Vorschlag ist eben, um hierzu etwas mehr Klarheit zu finden, sich mit möglichen Risiken zu beschäftigen, die dabei auch eine wirklich gute Orientierungshilfe sein können, um da eben zu mehr Klarheit zu finden.
Worum geht es beim Thema Datenschutz? Das Ziel also wirklich: Daten schützen und Handlungssicherheit gewinnen, Risiken erkennen, bewerten und eindämmen. Und das Thema Datenschutz — manche von euch, ich fand es ganz spannend — wir haben heute unter den Teilnehmenden einige, die das wirklich zum ersten Mal das Thema angehen, andere, die sich schon ein bisschen besser auskennen. Aber worum es im Grunde immer geht beim Thema Datenschutz, ist die Verarbeitung von Daten, und die findet immer dann statt, wenn ihr etwas mit den Daten macht, die direkt oder indirekt auf eine Person bezogen werden können.
Und das ist der Fall, wenn ihr Daten wie z. B. Namen, Kontaktdaten, Bankverbindungen, auch Fotos von Mitgliedern, Spenderinnen, Veranstaltungsteilnehmenden überhaupt erstmal erhebt, die speichert, ablegt, nutzt, verarbeitet, in welcher Form auch immer weitergibt oder zugänglich macht oder auch löscht. Und beachtet also, dass die Verarbeitung personenbezogener Daten bei sehr vielen eurer Vereinsaktivitäten eine Rolle spielen kann und in der Rolle auch spielt.
Die Personen, deren Daten in eurem Verein verarbeitet werden, werden im Datenschutz Betroffene genannt und die haben Rechte, insbesondere das Recht auf den Schutz ihrer Daten. Diejenigen, die für diesen Schutz verantwortlich sind oder die die Daten von Betroffenen verarbeiten, werden im Datenschutz eben auch Verantwortliche genannt. Verantwortliche sind immer Personen, und im Fall von Vereinen ist es die gesetzliche Vertretung, wie in der Satzung bestimmt, und in der Regel ist es der Vorstand.
Die gesetzlichen Grundlagen, um die es geht oder vor deren Hintergrund wir heute auch dieses Seminar machen, sind eben vor allen Dingen die Datenschutzgrundverordnung, die DSGVO. Die meisten von euch werden das schon gehört haben, und auch das deutsche Bundesdatenschutzgesetz, die so zentral die Betroffenen schützen und auch die Pflichten der Verantwortlichen regeln.
Wenn es dann für Vereine um die Frage geht, womit fangen wir an, dann ist die Ausgangsfrage beim Thema häufig: Das, wo die Leute am Ende landen, ist so das Thema: Okay, was brauchen wir denn überhaupt im Verein für Datenschutzdokumente? Was für eine Pflicht‑Liste von Dokumenten müssen wir hier erstellen? Und ehrlicherweise ist es häufig auch nicht so unbedingt ersichtlich, wozu die auch wirklich nützen könnten. Das heißt, oft werden solche Dokumente erstellt und dann auch in der Schublade verwahrt, ohne dass sie wirklich eine Rolle spielen im Vereinsalltag.
Und Datenschutz wird — und ich verstehe das auch gut — oft als kräfteraubender und auch überfordernder bürokratischer Selbstzweck erlebt. Da sind wir auch hier in Deutschland, muss ich sagen, europaweit herausragend für bekannt. Und es ist auch wenig motivierend für die Verantwortlichen, also für euch im Verein, auch für den Vorstand. Und man muss leider sagen, manchmal dann aber auch wenig wirksam für die Betroffenen. Das heißt, Datenschutz wirkt natürlich wenig erfreulich, macht keinen Spaß und ist dann eher ein Sorgenkind.
Aber man kann Datenschutz auch anders angehen und tatsächlich Datenschutz als wirksamen Schutz vor möglichen Risiken verstehen. Und dabei ist natürlich die erste Frage, wie könnt ihr Personen, deren Daten ihr verarbeitet, auf angemessene Weise schützen und wie könnt ihr ihre Rechte wahren und wie könnt ihr auch euren eigenen Verein im Zusammenhang mit Datenschutz absichern und auch für euch im Team mit euren Engagierten Handlungssicherheit gewinnen?
Und wie unterstützt euch eine Risikobewertung und auch diese Datenschutzdokumente, die man wirklich auch als Hilfsmittel sehen kann statt als Pflichtübung? Wie könnt ihr euch dabei unterstützen?
Weil ich am Anfang schon gesagt habe, es gibt mittlerweile wirklich eine ganze Reihe von sehr konkreten Arbeitshilfen und auch Vorlagen. Und dadurch, dass es heute vor allen Dingen erstmal um diese anfängliche Sortierung geht und noch nicht so sehr um die dann konkreten Schritte, haben wir hier eine Liste von Arbeitshilfen und Vorlagen auch als Ende der Präsentation gepackt. Und ich weise auch schon während der Präsentation mit dem Werkzeugkoffer immer mal wieder darauf hin, wo es hier auch empfehlenswerte, ich finde, weitere oder tiefergehende Unterstützungsangebote gibt.
Wenn wir über Datenschutz sprechen und auch über effektiven Datenschutz: Schutz wovor eigentlich? Wenn ihr Daten verarbeitet, dann kann es Risiken für die Betroffenen geben, also für die Person, deren Daten ihr verarbeitet. Zum Beispiel eine ungewollte oder auch unerwartete Datenverarbeitung. Es kann auch eine unerwünschte Offenlegung vertraulicher Informationen zur Folge haben. Bei Datenmissbrauch für unerwünschte Werbung ist es vielleicht nur nervig. Für kriminelle Zwecke kann es schon gefährlicher werden, und es kann auch zur Diskriminierung, Anfeindung oder Bedrohungssituationen kommen, wenn besonders schützenswerte Informationen über Betroffene in die falschen Hände geraten. Das heißt, wir haben hier durchaus reale Risiken für Betroffene, die man in den Blick nehmen muss und wo man prüfen muss, ob ihr im Verein im Zweifel hier wirklich Sorge dafür tragen solltet, diese Risiken auszuschließen, wenn sie existieren.
Ein weiterer Punkt ist auch nachweisbarer Datenschutz. Wovor schützt der denn? Also, wozu ist es hilfreich, auch manche Dinge nachweisbar zu gestalten? Wenn ihr Daten verarbeitet, trägt euer Verein, und also insbesondere der Vorstand, auch vor dem Gesetz die Verantwortung dafür. Dadurch kann es zu Risiken für euch als Verein bzw. für euren Vorstand kommen. Wenn man keinen guten Überblick hat, kann es sein, dass schnell unbemerkt Datenschutzlücken existieren, die man gar nicht auf dem Schirm hat. Es kann grundsätzlich zu einer Verunsicherung von Engagierten im Umgang mit Daten kommen und auch einfach Stress dadurch.
Wenn man sich nicht darauf vorbereitet, dann ist auch die Möglichkeit, dass möglicherweise Betroffene kommen und sogenannte Betroffenenanfragen an euch richten, wie ein Auskunftsersuchen, sprich die Möglichkeit zu fragen: Was für Daten habt ihr von mir verarbeitet, für welche Zwecke, auf welcher Rechtsgrundlage und so weiter? Oder dass auch Betroffene sagen: Ich will nicht, dass ihr meine Daten weiterverarbeitet, oder ich möchte, dass ihr Daten von mir löscht. Das kann viel Zeit und Nerven kosten, wenn man sich darauf nicht vorbereitet hat oder auch die Systematik dahinter bisher noch nicht einmal durchdacht hat.
Sollte es zu Datenpannen kommen, ist natürlich auch ein Vertrauensverlust und bis hin zu einem schlechten Ruf eine Möglichkeit. Und bei Beschwerden bei der Aufsichtsbehörde kann das auch viel Stress und Unsicherheit verursachen und im Extremfall könnte es auch zu juristischen Auseinandersetzungen im Fall vermuteterlücken oder Datenpannen kommen. Man muss sagen, dass im Bereich Datenschutz häufig damit das große Schreckgespenst aufgemacht wird und hier mit sehr viel zum Teil Angst gemacht wird, finde ich. Bestimmte Angebote versucht man so zu bewerben. Ich bin keine Freundin davon, aber ich finde schon, dass ich in Vertretung von verschiedenen Vereinen durchaus mit Aufsichtsbehörden schauen und verschiedene Fragen klären konnte. Und das ist eben auch für Vereine deutlich leichter, wenn man sich einmal mit dem Thema Datenschutz gründlich auseinandergesetzt hat, insbesondere eben, wenn es möglicherweise Risiken gibt oder besonders erhöhte Risiken auch bei der Arbeit, die der Verein macht.
Das Ziel sollte immer sein, Daten zu schützen, auch Rechte von Betroffenen zu wahren und Handlungssicherheit zu gewinnen. Ein angemessener Schutz von Daten und der Umgang damit sowie die Wahrung der Rechte von Betroffenen verringert die Wahrscheinlichkeit von Datenpannen und minimiert mögliche Schäden für Betroffene. Die Datenschutzpflichten zu überblicken und anzugehen bringt natürlich auch euch Gelassenheit im Hinblick auf mögliche Betroffenenanfragen und unterstützt bei der Beantwortung von möglichen Nachfragen.
Also insofern: Ich war oder bin es immer noch, ich bin wirklich hochmotiviert, weil ich finde, dass aus diesem Stressthema Datenschutz auf diese Weise wirklich eines wird, indem man so sicher im Sattel sitzt und sich einfach sicher fühlen kann.
Ein Weg dahin kann sein, sich vor allen Dingen mit Risiken zu beschäftigen, erstmal oder zumindest den Weg zu finden und zu sagen: Okay, in welcher Reihenfolge wollen wir das denn jetzt angehen? Eine sinnvolle Reihenfolge wäre, Risiken überhaupt zu erkennen, mit denen ihr es eventuell zu tun habt, diese zu bewerten und dann auch Schritt für Schritt einzudämmen. Das heißt, wie gehe ich als Verein Datenschutz an, der häufig mit diesen Dokumentationspflichten beginnt, wird stattdessen nach einer Datenschutzdringlichkeit, nach Machbarkeit und Aufwand sortiert und auch geplant und es bringt ein bisschen mehr Systematisierung in die Umsetzung von Datenschutz.
Wenn wir jetzt konkret darüber sprechen, Risiken zu erkennen, dann ist eine wichtige Ebene, auf der man das tun kann, die Datenkategorien, mit denen ihr zu tun habt. Eine Datenkategorie ist also die Art der Daten, mit denen ihr zu tun habt. Und um diese zu erkennen, braucht man erstmal einen Überblick: Was für Daten verarbeitet ihr überhaupt? Es gibt Datenkategorien, die gesetzlich besonderen Schutz erfordern, weil deren Verarbeitung mit erhöhten Risiken für die Betroffenen verbunden ist. Unter Berücksichtigung stattfindender Diskriminierung wiegt die Verantwortung für die Verarbeitung dieser Datenkategorien in der DSGVO besonders schwer, vor allem wenn sie im Zentrum eurer Vereinsaktivitäten stehen.
Hier an dieser Stelle schon mal der Hinweis, dass oft auch viel zitierte Verzeichnis von Verarbeitungstätigkeiten (VVT) wirklich euer bester Freund sein kann. Die Stiftung Datenschutz stellt hier einen Praxisratgeber und auch eine Vorlage bereit. Was ich an dieser Stelle auch empfehlen möchte, sind die DSE‑Seminare am 29. und 30. April, wo Zoe Volta von Correlate in Datenmanagement einführt in zwei Teilen. Das könnte ich mir vorstellen, ist gar nicht schlecht, um diesen Datenüberblick, Datenverarbeitungsüberblick tatsächlich auch unabhängig oder zusätzlich zum VVT sinnvoll anzugehen.
Wenn ihr diesen Überblick habt, guckt ihr genauer nach den Datenkategorien und fragt euch: Haben wir es dann mit Datenkategorien zu tun, die besonderen Schutz erfordern? Bei der DSGVO ist das in Artikel 9 geregelt und dort sind vor allen Dingen Gesundheitsdaten, genetische Daten mit aufgeführt. Das spielt vor allen Dingen für Selbsthilfeorganisationen eine Rolle, auch für Vereine, die zu verschiedenen gesundheitlichen Themen beraten, auch Selbstorganisationen, die im Gesundheitsbereich arbeiten. Hier kann es also eine Rolle spielen. Auch die sexuelle Identität und sexuelle Orientierung ist für LGBTIQ‑Plus‑Organisationen natürlich eine ganz besonders wichtige Kategorie, ebenso religiöse und weltanschauliche Überzeugung, politische Meinung und Informationen zur Herkunft; im US‑amerikanischen Wortgebrauch „race“ oder eben auch sämtliche rassifizierend genutzten Merkmale sind besonders schützenswert. Themen wie gewerkschaftliche Zugehörigkeit oder biometrische Daten spielen im Vereinskontext weniger eine Rolle. Auch wenn vielleicht das eine oder andere Gerät mal mit einem Fingerabdruck freiwillig entsperrt wird, würde ich davon ausgehen, dass es eher andere Daten sind, die eventuell bei euch im Vereinsalltag eine Rolle spielen.
Solltet ihr diese Arten von Daten vor allen Dingen auch ganz zentral in eurer Vereinsarbeit verarbeiten, dann würde ich sagen, ist Datenschutz ein wichtiges Thema für euch und seid ihr heute und auch in zukünftigen Veranstaltungen zum Thema sehr richtig aufgehoben.
Damit zusammenhängend ist auch das Thema betroffene Gruppen. Unabhängig noch mal von den Datenkategorien stehen grundsätzlich die Daten von Kindern und Jugendlichen bis 16 Jahren unter besonderem Schutz. Wir haben heute viele dabei, die aus Vereinen kommen, die viel Bildungsarbeit machen oder Freizeitangebote, Sportangebote. Wenn hier Kinder und Jugendliche bis 16 Jahren vor allen Dingen eure Hauptzielgruppe darstellen, dann ist das auch eine besonders schützenswerte Betroffenen‑Gruppe. Auch Mitglieder eures Vereins und Engagierte selber können im Fall von Vereinen, bei denen Zugehörigkeit bereits sensible Informationen nahelegt — zum Beispiel Selbsthilfegruppen, Selbstorganisation, politische Initiativen oder Opferschutzinitiativen — im Zweifel durch das Engagement bei euch im Verein erhöhten Risiken ausgesetzt sein, und diese Daten sollten besonders gut geschützt sein.
Grundsätzlich kann man sagen, dass die Anzahl von Personen eine Rolle spielt. Je mehr Menschen betroffen sind, desto größer der potentielle Schaden und also auch das Risiko. Wenn ihr ein kleiner Chor seid mit 12 Mitgliedern, die sich regelmäßig treffen, singen und einmal im Jahr vielleicht ein Konzert für Bekannte und Freunde geben und das im individuellen Bekanntenkreis veröffentlicht wird, dann ist das nicht kritisch. Wenn man jedoch im großen Stil Veranstaltungen durchführt, über Social Media viele Leute anspricht oder zehntausende von Mitgliedern hat, dann wiegt die Verantwortung noch mal schwerer.
Für euch als Verein kann man sagen: Wenn ihr Angebote habt, die von unbekannten Personen wahrgenommen werden könnten, wie eure Webseite, öffentliche Veranstaltungen oder ein öffentlicher Newsletter, und es kann sein, dass diese Leute eurem Verein gegenüber feindselig gesonnen sein könnten, dann muss man sagen, ist das eine besonders riskierte Betroffenengruppe. Wenn ihr solche Betroffenen‑Gruppen habt, also unbekannte Personen, die euch gegenüber feindselig sein könnten, dann könnte das für euch als Verein besonders wichtig sein, Nachweispflichten nachvollziehbar und nachweisbar gut einzuhalten.
Es gibt natürlich auch Personen, die im Vereinskontext, zwar seltener als im unternehmerischen Kontext, geschäftsmäßig nach Lücken im Datenschutz suchen könnten. Zum Beispiel auf der Webseite oder beim Newsletter. Bei der Einbindung von Google Fonts auf Webseiten vor zwei Jahren gab es eine Abmahnwelle, die auch manche Vereine betroffen hat. Da ging es darum, dass Schriften immer von Google geladen wurden statt lokal gehostet zu werden. Da gab es ein paar geschäftsmäßige Abmahnungsversuche bei Vereinen. Das spielt nicht bei allen eine große Rolle, aber ich will es zumindest nicht unerwähnt lassen. Das kann vor allen Dingen bei Vereinen, die finanziell gut aufgestellt sind, relevant sein.
Ein Thema, das viele nicht so auf dem Schirm haben, ist, dass auch Risiken entstehen oder verstärkt werden können, wenn ihr Daten weitergebt. Häufig wird sich vorgestellt: Ich habe die Daten und ich gebe sie jetzt jemandem. Aber es fängt wirklich schon bei der Zugriffsmöglichkeit auf Daten an. Wer erhält durch euch Zugriff auf die Daten von Personen, deren Daten ihr verarbeitet, angefangen bei euren Mitgliedern oder Engagierten? Habt ihr Bekanntmachung übereinander? Gibt es im internen Newsletter Informationen über einzelne Mitglieder? Was wird in Messengergruppen geteilt? Auch Ehrungen — wer erhält hier eigentlich Zugriff auf was?
Bei dem Thema Vergabestellen beispielsweise, besonders bei Vereinen, die sich vor allen Dingen für Menschenrechte engagieren, ist die Frage: Was ist alles in Abrechnungsdaten enthalten, auch Teilnehmerinnenlisten von Veranstaltungen, was packt man alles in Sachberichte? Müssen es Fotos sein, auf denen Personen gut erkennbar sind? Je nachdem wie hoch ihr das Risiko für euch als Verein und auch eure Engagierten einschätzt, reichen vielleicht auch anonymisierte Abrechnungsdaten. Fördermittelvergabestellen sind durchaus ein relevanter Punkt. Auch Partnerorganisationen im Rahmen von Verweisberatung oder gemeinsamen Veranstaltungen: Hier ist wichtig darauf zu achten, dass das transparent ist und dass Verweisberatung, wo Daten weitergegeben werden, nur auf Wunsch und informiert geschieht.
Wenn Vereine in Verbänden organisiert sind, mit einem Dachverband zusammenarbeiten und geteilte digitale Infrastruktur wie Kontaktdatenbanken oder Ablagen nutzen, ebenso Dienstleistungsunternehmen, wo die Druckerei Empfängerlisten für Einladungen oder Publikationen erhält, die Buchhaltung oder digitale Clouddienste auf externen Servern — also externe Dienstleistungsangebote, die ihr nutzt, über die ihr Daten verarbeitet — dann stellt sich die Frage: Was passiert dort eigentlich und wie wird diesen Dienstleistungsunternehmen gegebenenfalls Zugriff auf Daten gewährt, und welche Daten gebt ihr der Öffentlichkeit preis, beispielsweise durch Bekanntmachung auf der Webseite, dem schwarzen Brett, einem öffentlichen Newsletter oder öffentlichen Social‑Media‑Kanälen?
Es gibt verschiedene Bereiche, bei denen Datenweitergabe geschieht oder wo Teile davon nicht unbedingt auf dem Schirm sind. Es gibt einen sehr guten Praxisratgeber der Stiftung Datenschutz zur Weitergabe von Vereinsdaten, der über die Anforderungen informiert, die dabei zu beachten sind. Ich weise darauf hin, weil dieses Thema häufig vergessen oder übersehen wird. An dieser Stelle auch ein kurzer Hinweis für das morgige Seminar zur Auswahl und zum sicheren Umgang mit digitalen Tools und der Auswahl von Cloud‑Dienstleistungen durch Hendrik vom Lehen, der morgen hier auch für die DSEE den zweiten Teil zu Datenschutz durchführt. Hier geht es ganz konkret um die Frage der Dienstleistungsunternehmen, insbesondere im Hinblick auf digitale Dienste, die ihr nutzt. Das kann ich euch sehr ans Herz legen.
Wenn man sich diese Risiken vor Augen geführt hat oder das einmal durchdenkt, kann man anfangen zu überlegen: Wie bewerte ich das denn jetzt? Vereinfachte Beispiele könnten sein: Der kleine Chor, den ich eben erwähnt habe — eine kleine Anzahl von Betroffenen, keine wesentliche Verarbeitung sensibler Datenkategorien, unstrittige Vereinsaktivität, nur Erwachsene dabei und keine Datenweitergabe — dann ist es erstmal ein geringes Risiko. Dann besteht vielleicht immer noch die Pflicht, z. B. ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu führen und die technisch‑organisatorischen Maßnahmen einmal aufzuführen, die man trifft, um Daten zu schützen. Aber grundsätzlich würde ich mich damit jetzt nicht wahnsinnig stressen. Das kann man und sollte man machen, aber hier sehe ich erstmal ein geringes Risiko.
Wenn wir es mit einer großen Anzahl von Betroffenen zu tun haben, wird es schon etwas riskanter. Sensible Datenkategorien, wie besprochen, stehen im Zentrum eurer Vereinsarbeit — dann haben wir es mit hohen Risiken zu tun — genauso wie wenn Kinder und Jugendliche als Hauptzielgruppe beteiligt sind. Wenn euer Verein sehr präsent ist, Geld hat und so weiter, dann kann es auch sein, dass geschäftsmäßige Abmahnungen eher wahrscheinlich sind. Und wenn euer Verein regelmäßigen Anfeindungen ausgesetzt ist, dann habt ihr ein hohes Risiko, zumindest im Hinblick auf die Daten eurer eigenen Mitglieder und Engagierten im Team.
Ein kurzer Hinweis: Wenn eine Datenverarbeitung ohne Schutzmaßnahmen, also mit einem hohen Risiko für Betroffene, verbunden wäre, dann müssen laut DSGVO auch in einer Datenschutzfolgenabschätzung diese Risiken dokumentiert werden sowie die Maßnahmen, mit denen diese Risiken effektiv eingedämmt werden. Dazu kommen wir gleich. Es gibt zumindest schon eine Hilfe von einer Aufsichtsbehörde, die ich verlinkt habe. Ich hoffe, dass wir hierzu auch noch mal sehr praxisnah spezielle Leitfäden oder Praxisratgeber für Vereine machen können; da haben wir auf jeden Fall noch etwas verlinkt.
Es geht also grundsätzlich für euch jetzt darum, diese Leitfragen einmal für euch durchzugehen: Bearbeitet ihr Daten von vielen Personen, von Kindern und Jugendlichen oder besonders sensible Daten? Geben wir diese weiter? Stehen die Daten für den Verein als Ganzes im Zentrum unserer Vereinsarbeit? Wenn ihr eine dieser Fragen mit Ja beantwortet, dann hat effektiver Datenschutz durchaus Priorität und es ist sinnvoll, das als solche anzugehen. Wenn ihr als wirtschaftlich attraktives Ziel seid oder regelmäßigen Anfeindungen ausgesetzt, ist sichtbarer Datenschutz auch eine Priorität, die ich euch sehr ans Herz lege. Effektiver Datenschutz, insbesondere wenn Risiken für Betroffene bestehen, ist oberste Priorität in vieler Hinsicht.
Wo sind die Risiken besonders hoch? Was ist vielleicht schnell umsetzbar und wo braucht es längerfristige Planung und gegebenenfalls fachliche oder finanzielle Unterstützung? Damit meine ich auch, wo muss ich mir vielleicht Zeit einplanen, um eben noch das eine oder andere Webinar nachzusehen, was es beispielsweise bei der DSE oder der Stiftung Datenschutz gibt. Wo brauche ich Beratung, wo finanzielle Unterstützung, weil ich Abläufe neu organisieren möchte? Und wo muss ich es planen, weil es aktuell noch gar nicht machbar ist?
Häufig wird die Frage, was schnell umsetzbar ist, gar nicht gestellt und viele mögliche Maßnahmen werden nebeneinander gelegt. Dann fällt es schwierig zu sagen, wo fange ich jetzt an? Man beschäftigt sich manchmal eher mit umfangreicheren Projekten und schnell umsetzbare Lösungen warten dann noch, obwohl man die sich durchaus schon vornehmen könnte, um erste Erfolge zu haben. Darum geht es jetzt: Risiken einzudämmen. Wie können Daten effektiv geschützt werden?
Organisatorische Maßnahmen spielen dabei eine große Rolle. Die DSGVO redet von technisch‑organisatorischen Maßnahmen. Organisatorische Maßnahmen klären und anerkennen vor allen Dingen die Zuständigkeit für das Thema Datenschutz. Wenn ihr jetzt Teil des Vorstands seid, finde ich das wunderbar, dass ihr hier seid. Es gibt aber auch Vereine, wo Vorstände das Thema Datenschutz gar nicht zu ihrem eigenen machen wollen, wo andere Engagierte im Verein sagen: Ich würde mich gerne darum kümmern. Dann wäre es wichtig zu sagen: Du hast das Mandat von uns, du hast Zuständigkeit, und wir erkennen das auch an. Das heißt, wenn du mit Vorschlägen oder Empfehlungen kommst, stellt sich der Vorstand nicht quer. Das ist ein wichtiger erster Schritt.
Das zweite ist, Engagierte im Verein für Risiken und Datenschutz zu sensibilisieren und Datenschutzsensibilität als Priorität glaubwürdig zu vermitteln, auch Richtung Vorstand. Und das bedeutet, wenn ihr Risiken erkannt habt, dass ihr das mit euren Engagierten, insbesondere denen, die mit Daten umgehen, thematisiert, besprecht, offene Fragen sammelt, wo Unsicherheiten vorhanden sind, und in eurem gelebten Vereinsalltag an geeigneten Stellen und zu geeigneten Zeitpunkten auf Datenverarbeitung hinweist, die stattfinden.
Selbst wenn ihr es noch nicht schafft, ausführlichste Datenschutzhinweise aufzuschreiben und vorher zu verschicken, ist es schon sinnvoll, z. B. im Rahmen einer Beratung darauf hinzuweisen: Ich mache Notizen, ich mache das zu dem Zweck und so weiter. Oder bei einer Verweisberatung: Ich habe den Verein X im Sinn. Haben Sie den Wunsch, dass wir die Daten weiterleiten? Wir würden Ihnen die Daten an diesen Partnerverein weitergeben; dann können Sie sich direkt dorthin wenden. Also: Verständlich machen, was mit den Daten passiert.
Das ist auch wichtig für Fotos, auch ohne ausführliche Datenschutzhinweise. Wenn ihr Fotos in eurem Vereinsalltag macht: Wofür macht ihr sie? Sagt das vorher und gebt den Leuten die Möglichkeit, sich entweder dazuzustellen oder an den Rand zu treten oder deutlich zu sagen, sie wollen nicht auf dem Foto sein, das veröffentlicht werden soll. Auch ohne großen Aufwand kann man schnell anzeigen, wann und wie mit Daten umgegangen wird. Langfristig ist es sinnvoll, das schriftlich festzuhalten, je nachdem um welche Risiken es geht.
Wenn ihr Risiken überschaut habt, ist es manchmal notwendig, Abläufe anzupassen, sodass Risiken möglichst vermieden werden, vor allem durch Datensparsamkeit: Was braucht ihr eigentlich wirklich und wie lange? Je höher die Risiken sind, desto ernster solltet ihr euch mit dieser Frage beschäftigen. Je höher die Risiken, desto wichtiger ist es auch, Regeln zum Umgang mit Daten festzulegen, einzuführen, einzuhalten und vorzuleben vom Vorstand. Dann ist es auch deutlich einfacher, neue Engagierte bewusst an Bord zu holen und einzuführen in die Vereinsabläufe.
Wichtig ist auch, Engagierte bewusst zu verabschieden und quasi aus dem System herauszunehmen. Das heißt Zugänge sperren, Schlüssel einsammeln, noch mal daran erinnern, dass bestimmte Informationen über Personen, die sie im Rahmen ihres Engagements bekommen haben, auch nach Beendigung vertraulich zu behandeln sind. Grundsätzlich dranbleiben und Ankerpunkte setzen: Wenn ihr z. B. wisst, das erste Quartal ist voll, dann setzt Datenschutz als festen Punkt in die Vorstandssitzung, wenn ihr wisst, da habt ihr wieder Zeit, und beschäftigt euch regelmäßig mit dem Thema.
Daten können durch organisatorische Maßnahmen effektiv geschützt werden. Die Dokumente, die Datenschutzdokumentation, wie das VVT, sowie die technisch‑organisatorischen Maßnahmen, können eine Hilfe sein. Oft wird gesagt, wir haben noch keine Zeit gefunden, aber viele organisatorische Maßnahmen, die man unabhängig davon machen kann, werden trotzdem nicht getroffen. Ich möchte euch ermutigen, das Datenschutzleben sofort anzufangen, soweit wie möglich.
Technische Maßnahmen gilt es natürlich auch zu berücksichtigen. Hier geht es vor allen Dingen um den Zugriff auf gespeicherte Daten oder Akten und darum, den notwendigen Personenkreis zu beschränken und Zugriffsbeschränkung technisch möglichst sicher zu gestalten, beispielsweise bei Akten durch eine Schlüsselvergabe oder zumindest einen abschließbaren Aktenschrank oder ein separates Büro, das abgeschlossen werden kann. Digital durch individuelle und sichere Passwörter, die Nutzung eines Passwortmanagers und auch eine Zwei‑Faktor‑Authentifizierung.
Sachen wie regelmäßige Backups zur Datensicherung und zur Arbeitsfähigkeit machen absolut Sinn. Im Hinblick auf Datenübermittlung oder die Zugriffsermöglichung durch Clouddienste müsst ihr auf Datensparsamkeit achten: Muss alles überall doppelt und dreifach abgespeichert werden? Wählt möglichst sichere Dienste aus. Informiert darüber auch in den Datenschutzhinweisen und je nachdem, wenn es nicht notwendig ist für eure Vereinsabläufe, ist es sinnvoll, im Zweifel eine Einwilligung einzuholen, je nachdem wie hoch die Risiken sind.
Dieser Überblick aller Maßnahmen zum Schutz von Daten ist mit der gesetzlich vorgeschriebenen Dokumentation der technisch‑organisatorischen Maßnahmen ganz gut zu erreichen. Es gibt konkrete Informationen zur IT‑Sicherheit, Tipps und Übungen zum Umgang damit von verschiedenen Stellen. Am Ende der Folien habe ich Hinweise, wo ihr euch Informationen holen könnt; das morgige Seminar von Hendrik ist eine absolute Empfehlung meinerseits. Achtet darauf: Technische und organisatorische Maßnahmen wirken oft erst dann, wenn sie Hand in Hand gehen. Die Sicherung nutzt nichts, wenn sie jemand abschließt, aber sie jedem offen steht. Und die beste Regel nützt nichts, wenn die Voraussetzung fehlt, sie umzusetzen. Die beste Technik und die beste Regel nützt nichts, wenn niemand davon weiß.
Ich bin sehr froh, dass meine Schwester und ich für die Stiftung Datenschutz einen Praxisratgeber zu Verpflichtungserklärungen schreiben durften, der eine konkrete Vorlage für eine Verpflichtungserklärung für Datenschutz und Vertraulichkeit beinhaltet. Hier gibt es konkrete Textbausteine und technisch‑organisatorische Maßnahmen für Regelungen zum Umgang mit Daten im Verein und Tipps an den Vorstand, welche Voraussetzungen dafür zu schaffen sind. An dieser Stelle meine dringende Empfehlung: Schaut euch diesen Praxisratgeber an. Er hilft praktisch, dieses Thema technisch‑organisatorische Maßnahmen gut anzugehen und mit vergleichsweise wenig Aufwand zu konkreten Regelungen zu kommen und diese sinnvoll in euren Verein einzuführen.
Insbesondere, wenn ihr schon festgestellt habt, dass ihr mit erhöhten Risiken zu tun habt, spielt es eine große Rolle, die Engagierten und jene Personen im Verein, die mit Daten umgehen, einzuweisen in die Art und Weise, wie sie dies tun und welche Schutzmaßnahmen sie beachten sollten. Das ist ein großer Rat meinerseits: Schaut das an.
Daten sichtbar zu schützen, also auch im Hinblick auf mögliche Personen, die euch feindselig gegenüberstehen könnten oder mögliche geschäftsmäßige Abmahnungen, ist wichtig. Es gibt Datenschutzpflichten, die von außen leicht überprüfbar sind. Vor allen Dingen Grundprinzipien wie Datenschutzhinweise: Informationen zu stattfindender Datenverarbeitung, zugehörige Zwecke und Rechtsgrundlagen müssen zur Verfügung gestellt werden. Das betrifft vor allen Dingen die Webseite, öffentliche Veranstaltungen oder öffentliche Newsletter.
Datensparsamkeit: Werden jeweils nur die Daten erhoben oder als Pflichtfeld abgefragt, die für den genannten Zweck benötigt werden? Es gibt leider noch Veranstaltungsanmeldungen, wo viel zu viele Informationen als Pflichtfelder abgefragt werden. Das kann zu einer Beschwerde bei der Aufsichtsbehörde führen, weil für eine einfache Anmeldung Name und E‑Mail‑Adresse völlig ausgereicht hätten.
Zweckbindung: Wenn sich jemand zum Newsletter anmeldet oder zu einer Veranstaltung, heißt das nicht automatisch, dass ein Newsletter‑Abo daraus folgt. Achtet darauf: Fragt eine separate Einwilligung ab, wenn ihr zusätzlich zum Veranstaltungsablauf Newsletter versenden wollt. Versendet Newsletter nur im erwartbaren Umfang und erlaubt ein Widerrufsrecht.
Wenn ihr Daten im berechtigten Interesse verarbeitet, braucht es neben Datenschutzhinweisen immer auch die Möglichkeit zu widersprechen, beispielsweise bei Mitgliedschaften oder Veranstaltungsfotos.
Die Stiftung Datenschutz bietet einen Praxisratgeber zu Informationspflichten und einen Generator für Datenschutzhinweise. Fix und Fertig hat einen Praxisratgeber zu Rechtsgrundlagen für die Stiftung Datenschutz erstellt, inklusive Mustervorlage für eine Interessenabwägung. Nutzt diese Unterstützungsmöglichkeiten, um die von außen überprüfbaren Datenschutzpflichten einzuhalten.
Setzt Prioritäten: Wo sind die Risiken besonders hoch? Was ist schnell umsetzbar? Was ist mit den aktuellen Ressourcen leistbar und wo braucht es längerfristige Planung, fachliche und finanzielle Unterstützung? Meine Empfehlung: Schießt nicht mit Kanonen auf Spatzen, sondern schaut, was angemessen und verhältnismäßig ist. Wie viele Gelder, Ressourcen und Engagierte habt ihr überhaupt, die sich um das Thema kümmern können? Je höher die Risiken, desto eher müsst ihr euch um Datenschutz kümmern und es langfristig einplanen.
Ich hoffe, dass Datenschutz zu einem Thema wird, bei dem eher gute Laune aufkommt: Dieser praxisorientierte Ansatz, mit einer Risikoanalyse zu starten, Prioritäten zu klären und euch auf den Weg zu machen in Richtung verbesserten Schutzes von Personen, deren Daten ihr verarbeitet, bringt mehr Gelassenheit und Handlungssicherheit im Umgang mit Betroffenenanfragen, nachweisbare Einweisung im Team und Absicherung des Vorstands.
Noch einmal die Werbung für den Praxisratgeber zur Verpflichtungserklärung und die dazugehörigen Bausteine zu konkreten Regelungen zum Datenschutz: So wird Datenschutz ein gelebter Teil eures Vereinsengagements und verbessert den Schutz vor Missbrauch, Druckmitteln und Stressfaktoren für euch als Verein. Nebenbei erhöht es die Vertrauenswürdigkeit für Personen, die eure Angebote wahrnehmen oder spenden wollen. Je sensibler euer Vereinszweck, desto wichtiger ist es für Spenderinnen, das Gefühl zu haben, ihre Daten werden mit besonderer Sensibilität behandelt.
Aus eigener Erfahrung: Datenschutz hat positive Nebeneffekte. Ihr habt einen verbesserten Überblick für alle Engagierten und Entscheidungsträger über Abläufe. Strukturen und Verantwortungsbereiche werden klarer. Das erleichtert die Einführung und Einarbeitung neuer Engagierter im Team. Regelungen zum Umgang mit Daten können ergänzt werden um andere Regelungen, die abseits von Datenschutz eine Rolle spielen. Verbesserter Schutz von Vereinsdaten sichert eure Arbeitsfähigkeit, sodass euch nicht ohne Weiteres Daten abhandenkommen, die für eure Arbeit wichtig sind.
Datenschutz kann also zum verbesserten Schutz beitragen und ist ein hilfreiches Instrument bei der Klärung von Abläufen, Verantwortungsbereichen und Kommunikationswegen. Bei Fix und Fertig reden wir auch gerne von einem „Cherry on Top“ in Sachen Organisationsentwicklung: Ich habe einige Organisationsentwicklungsprozesse mitgemacht und Datenschutz war fast der effektivste von allen.
Zum Schluss noch einmal weiterführende Infos und Arbeitshilfen: Die Stiftung Datenschutz stellt zahlreiche Praxisratgeber für Datenschutz im Ehrenamt bereit — eine kleine Auswahl mit Schwerpunkten wie Verzeichnis von Verarbeitungstätigkeiten mit Vorlage, technisch‑organisatorische Maßnahmen, Weitergabe von Vereinsdaten, Verpflichtungserklärung, Rechtsgrundlagen und Interessenabwägung sowie Mustervorlagen. Das Thema Fotos und Datenschutz spielt für viele eine Rolle. Der Generator für Datenschutzhinweise und der Praxisratgeber zu Informationspflichten sind besonders empfehlenswert.
Die Bayerische Aufsichtsbehörde bietet Informationen und eine Vorlage zur Datenschutzfolgenabschätzung. Das Bundesamt für Sicherheit in der Informationstechnik stellt Hinweise für einen sicheren digitalen Alltag zur Verfügung, z. B. Basistipps zu IT‑Sicherheit, Umgang mit E‑Mails und Internet. Der gemeinnützige Verein Digitalcourage hat konkrete Tipps zur digitalen Selbstverteidigung und Übungsbeispiele, wie man sich vor Phishing schützen kann.
Hier habt ihr noch mal ein paar Hilfen, die beim konkreteren Angehen unterschiedlicher Datenschutzthemen helfen können.
