Vorab noch eine kleine Folie zur Stiftung Datenschutz. Der Felix Wagner erwähnte ist gerade schon diese Webinar-Reihe findet in Kooperation mit der Stiftung Datenschutz statt, für die ich tätig bin, und die Stiftung Datenschutz ist ähnlich wie DSC auch eine Bundesstiftung, also vom Bund eingerichtet auf Beschluss des Bundestages, und wir bieten übrigens selber auch eigene Veranstaltungen zum Thema Datenschutz speziell für Verein und Ehrenamt an. Deswegen glaube ich an der Stelle einen kleinen Werbeblock und wollte Sie einfach auch darauf hinweisen, dass wir eben eigene Informationen haben. Gegen Ende habe ich auch noch mal ein paar Links mit weiterführenden Informationen.
Aber vielleicht unseren kurzen Überblick zu geben: Wir bieten eben – seit wann die Stiftung gibt es seit 2013, seit letztem Jahr sind wir eben speziell mit diesem Fokus Verein und Ehrenamt aktiv. Das ist so in dieser Informationsvermittlungsszene. Daneben ist die Stiftung auch als Diskussionsplattform für das Fachpublikum aktiv, aber für Sie sicherlich interessanter eben diese Informationsvermittlung, wo wir eben speziell für die Zielgruppe Verein und Ehrenamt auch Informationen anbieten. Und neben schriftlichen Informationen haben wir eine eigene Webinarreihe, wo es auch ein bisschen fortgeschrittenere Themen geht, und wir haben auch kleine Helferlein wie eine Excel-Vorlage für das Verzeichnis von Verarbeitungstätigkeiten oder einen Generator für Datenschutzhinweise. Also schauen Sie sich das gerne mal an, wenn Sie weiterführende Informationen suchen.
Aber Sie sind natürlich nicht heute hier, um Links zu bekommen, wo Sie noch alles sein könnten, sondern Sie wollen heute was lernen, heute was erfahren, und das haben wir natürlich vor. Die Terminankündigung war ja vorhin schon Bestandteil der Ankündigung, da war eine ganze Menge Anfragen drin, und diese Fragen möchte ich eben auch – das sind so ganz typische Fragen, die sich in vielen Vereinen und Organisationen immer wieder stellen, und an diesen Fragen kann man als exemplarisch sehr schön herausarbeiten, was die Grundsätze im Datenschutz sind. Und das ist auch das Konzept des heutigen Webinars, dass ich Ihnen eben die Grundsätze des Datenschutzes erläutere und das anhand dieser Fragen, sodass man heute rausgeht, zum einen eben die grundsätzlichen Themen schon mal aufgestockt haben, aber eben auch Antworten auf diese konkreten Fragen wissen.
Auf einer etwas anderen Ebene möchte ich jetzt aber schon mal so ein bisschen einsteigen und mit drei Thesen, die vielleicht etwas merkwürdig erstmal klingen, ins Thema Datenschutz reinspringen. Es gibt nämlich so ein paar – ja, so ein paar Vermutungen habe ich oft, dass Datenschutz erlaubt ist und was nicht, die ich mit diesen Thesen so ein bisschen widerlegen möchte, zum Nachdenken anregen möchte. Die greife ich auch gegen Ende noch mal auf.
Und die erste These ist: Eine Einwilligung ist keine Voraussetzung für die Verarbeitung personenbezogener Daten. Oder da kommen wir gleich noch mal ausführlich darauf. Häufig wird eben angenommen, man bräuchte für alles eine Einwilligung. Das ist aber mitnichten so. Von daher ist das ja keine Voraussetzung.
Die zweite These: Für die Aufnahme eines neuen Mitglieds braucht man eine Datenschutzerklärung. Das ist tatsächlich so, also man braucht für alles Mögliche Datenschutzerklärungen, aber in einer anderen Form, als es vielleicht vermutet. Da muss nichts unterschrieben werden oder so, beide Datenschutzerklärung im Speziellen.
Und dritte These: Es gibt keine datenschutzkonformen Produkte. Das mag jetzt auch erstmal verwunderlich klingen, liegt aber darin begründet, dass Sie immer noch Ihren eigenen Anteil dazu beitragen müssen, dass es datenschutzkonform wird. Das kann Ihnen der Hersteller von irgendeinem Softwareprodukt nicht komplett abnehmen. Das – wie gesagt – werde ich nachher nochmal aufgreifen und erklärt sich vielleicht auch im Laufe des Vortrags.
Bevor ich jetzt auf die konkreten Fragen eingehe, die in der Ankündigung des heutigen Termins standen und die ich ja so als Leitfaden nur benutzen möchte, komme ich trotzdem nicht ganz um eine kurze Einführung in die Datenschutz-Grundverordnung zu machen. Also kleiner Theorieblock vorweg, der muss dann doch sein.
Und da starten wir mal mit der Frage: Wann muss die Datenschutz-Grundverordnung nicht beachtet werden? Also Datenschutz-Grundverordnung jetzt übersetzt auch mit der Frage: Wann müssen Sie als Organisation, als Verein, Datenschutzvorgaben beachten?
Und das ergibt sich aus dem sogenannten Anwendungsbereich der Verordnung, oder das ist, dass man ein Gesetz gilt für – eben das gilt. Und zwar geht das immer bei personenbezogenen und auch personenbeziehbaren Daten. Das heißt, wenn immer Sie irgendeine Person identifizieren könnten – ja, dann muss kein Name dranstehen. Also wenn Sie nur ein Foto machen und da ist kein Name zu vermerken, dann können Sie, wenn Sie sich das Foto wieder anschauen, trotzdem wissen: Die oder der, das ist das andere Vereinsmitglied, das haben wir bei dem und dem Anlass fotografiert. Also Sie können da was mit verbinden, und das reicht schon aus. Also wann immer Sie das mit der Person in Verbindung bringen können, ist das schon mal datenschutzrelevant. Das heißt, das ist sehr weit.
Wichtig ist aber auch: Es muss eine automatisierte Verarbeitung oder strukturierte Ablage sein. Das heißt, der Schmierzettel, auf dem Sie für sich einfach Notizen machen während Telefonaten et cetera, das unterliegt formell nicht dem Datenschutz. Aber sobald Sie das auch in Papierform irgendwo strukturiert ablegen – Mitgliederlisten, Karteikasten, so wie das früher vielleicht mal war –, das ist dann auch schon wieder datenschutzrelevant. Und wenn es automatisiert passiert, das heißt, wenn es irgendwas, was Computer, Smartphones, sonstwas involviert, an die – innerhalb der EU – gut, das dürfte auch Sie jetzt auch, denke ich mal, alle zutreffen, wenn wir uns ein Webinar der DE anschauen.
Und es gibt eine wichtige Ausnahme: persönliche und familiäre Tätigkeiten. Das ist aber sehr eng auszulegen, diese Ausnahme. Das heißt, wenn Sie also jetzt beispielsweise Fotos, Notizen wirklich für sich persönlich privat machen, eine Geburtstagsfeier mit Freunden planen, dafür einladen, ein Familientreffen planen – das sind Dinge, die unterliegen nicht der Datenschutz-Grundverordnung. Dann müssen Sie sich um Datenschutz keine Gedanken machen. Aber wann immer Sie in irgendeiner Form als eingetragener Verein, als nicht eingetragener Verein, als sonstwie lose organisierte Gruppe sich untereinander vernetzen, dass regeln, was das schaffen, engagiert sind, dann ist das nicht mehr in diesem Ausnahmebereich drin. Das ist dann weitergehen. Und von daher kommen Sie eigentlich – dadurch, dass eben, wie ich das vorhin ausgeführt hatte, so viele Daten darunter fallen – im Kontext von Verein und Engagement einfach an sehr vielen Stellen mit Daten.
Die wichtigste Ausnahme ist von daher alles, was rein mündlich stattfindet, also nicht irgendwie geschrieben, strukturiert abgespeichert wird. Das nicht. Aber alles andere, da haben wir dann anders, kommt Datenschutz eben zu tun.
Wichtig ist aber auch die Frage: Was und wen schützt eigentlich – da häufig vom Wortsinn her würde man denken, Datenschutz schützt die Daten. Das ist aber nicht ganz richtig. Das ist mehr das Mittel zum Zweck, dass man sich eben Gedanken machen muss um den Umgang mit Daten. Es geht letztendlich darum, die Personen hinter den Daten zu schützen. Wenn Sie also Mitglieder haben, Veranstaltungsteilnehmende, Kooperationspartner, Personen, die einfach in Ihrem Verein aktiv sind, vielleicht auch ohne Mitglied zu sein, dann sind das Daten. Also dann müssen Sie die Daten dieser Personen schützen, damit eben für diese Person keine Nachteile entstehen, damit diese Personen auch frei agieren können. Das ist so der Hintergrund auch vom Datenschutz, zumindest im deutschen Recht mit dem Volkszählungsurteil 1983 sehr bekannt geworden und dann auch grundrechtlich festgeschrieben: das Recht auf informationelle Selbstbestimmung, dass also man sich als Person frei entfalten können soll, ohne dass man Angst hat, dass aufgrund von Datenauswertungen oder Überwachung, wie man es heute auch nennen würde, man sich eben in seinen Grundrechten eingeschränkt fühlt. Hat um andere Grundrechte ausüben zu können, um die zu schützen, deshalb haben wir den Datenschutz. Das ist inzwischen auf der deutschen grundrechtlichen Ebene gar nicht relevant, als auch in der Grundrechte-Charta steht, die dann beim EU-Recht Vorrang hat. Und da gibt es eben den Artikel 8 in der EU-Grundrechte-Charta, wo der Schutz der personenbezogenen Daten auch drinsteht. Das nur, damit Sie einmal kurz gehört haben, warum machen wir das eigentlich mit dem Datenschutz.
Jetzt wieder auch vereinsbezogen die Frage: Wer ist für die Einhaltung von Datenschutzvorgaben verantwortlich?
Und da ist es erstmal so relativ abstrakt, das hat der Verein als juristische Person. Wenn Sie ein eingetragener Verein sind, ist der Verein als juristische Person – wenn wir dafür sorgen muss, dass Datenschutz eingehalten wird. Jetzt wird natürlich so ein Verein nach außen durch den Vorstand vertreten. Wenn Sie nicht eingetragener Verein sind, hier nach dem auch andere Aktive stärker juristisch involviert. Und aber jetzt mal beim Beispiel eingetragener Verein: Da muss der Vorstand dann für die Einhaltung von Datenschutzvorgaben sorgen. Und alle Aktiven und Beschäftigten, die Daten zu tun haben, die im Auftrag des Vereins verarbeitet werden, die müssen dann aber auch wiederum sich an Vorgaben, die der Vorstand gemacht hat, halten. Also das ist so ein Zusammenspiel, und man kann jetzt gar nicht irgendwie sagen, die eine Person ist für den Datenschutz im Verein verantwortlich. Das kann man auch ein Stück weit intern regeln. Wichtig ist aber, der Vorstand bleibt immer ein Stück weit betroffen. Hatte der Vorstand kann das Thema nicht komplett delegieren, sondern das ist, wie man jetzt in der Lebenswelt sagen würde, mein Chefthema.
Jetzt komme ich zu den inhaltlichen Grundsätzen im Datenschutz. Keine Sorge, das ist auch gleich die – die abstrakte Einführung vorbei.
Und was zwei wichtige Eckpfeiler sind, mit denen Sie in der Praxis, wenn Sie sich mit Datenschutz näher beschäftigen, immer wieder zu tun haben werden, sind die beiden Themen Rechtsgrundlagen und Informationspflichten. Die Rechtsgrundlagen, das ist letztendlich die Fragestellung: Brauche ich eine Einwilligung? Ja, also Sie haben sicherlich an vielen Stellen in Ihrem Alltag schon mit so Datenschutz-Einwilligungen zu tun gehabt. Ganz extrem war das dann in 2018, als die Grundverordnung startete, dass auf einmal überall Datenschutz aufgeräumt wurde. Oftmals hat sich gar nicht so viel geändert. Das Bundesdatenschutzgesetz, was recht ähnliche Regelungen beinhaltet, das gab es schon seit 1990, also nichts Neues in dem Sinne an vielen Stellen. Aber mit Beginn der Datenschutz-Grundverordnung wird überall mal ein bisschen genauer geguckt, als das vorher der Fall war.
Und das in dem Jahr, da sicherlich vielen von Ihnen auch aufgefallen, ganz oft, wenn man dann irgendwo zum Arzt kam, ins Fitnessstudio, sonstwo, in dieser – man muss jetzt irgendwas wieder von Datenschutz unterschreiben. Und es sind dann häufig eben so Einwilligungen. Das heißt, so Einwilligungen, die sind sehr präsent. So im Vereinskontext wird häufig dann gefragt: Da brauche ich eigentlich, wenn ich die Leute per E-Mail anschreiben will, wenn ich Veranstaltungen bewerben will, brauche ich da eine Einwilligung? Brauche ich für die Anfertigung von Fotos eine Einwilligung? Also das sind so Themen, da kommt dann häufig die Frage, der ist schon gegen diesem Bewusstsein da, da muss man aktiv fragen, ob man das darf.
Die Einwilligung ist letztendlich aber nur eine von mehreren Rechtsgrundlagen. Da gibt es im Artikel 6 Absatz 1 der Grundverordnung, gibt es insgesamt sechs, die genannt werden. Vier davon sind für Sie als Verein relevant, würde ich behaupten.
Oder gibt es neben der Einwilligung: Es gibt die Konstellation, dass Sie einen Vertrag mit der betroffenen Person haben. Das ist beispielsweise dann der Fall, wenn jemand bei Ihnen Mitglied wird im Verein. Dann ist die Mitgliedschaft einen Vertrag zwischen dieser Person, dem Mitglied, und dem Verein. Und die eigentlichen Vertragsinhalte sind durch die Satzung gegeben. Die Satzung ist der Vertragstext. Und um dann diesen Vertrag erfüllen zu können, also die Mitgliederdatenbank zu pflegen, zur Mitgliederversammlung einzuladen, brauchen Sie dann keine separate Einwilligung. Das geht einfach über die vertragliche Grundlage. Das ist ähnlich, als wenn Sie in dem Onlineshop was bestellen und Ihre Adresse zwecks Lieferung angeben müssen. Also das ist, gehört einfach mit dazu. Da braucht man dann keine separate Einwilligung für.
Ein bisschen mehr Spielraum bietet das sogenannte berechtigte Interesse. Dabei können Sie eine Interessenabwägung machen, ob Ihre Interessen und auch die der jeweiligen Person höher liegen als die Risiken und die Nachteile, die entstehen könnten. Das ist beispielsweise dann der Fall, wenn Sie auf großen Veranstaltungen, auf dem Vereinsfest, Fotos machen, ohne vorher alle, die da auf dem Foto sind, einzeln zu fragen. Wenn Sie als Porträts machen würden, dann müssten Sie wahrscheinlich einzeln fragen. Wenn Sie allerdings Aufnahmen machen, müssten Sie nicht vorher einzeln fragen. Das geht dann auf Basis des berechtigten Interesses. Ähnlich wäre das beispielsweise auch, wenn die Veranstaltungen – eine Veranstaltungsteilnehmende später noch mal anschreiben und sagen: Hier, Sie waren auf unserer Veranstaltung, wir machen demnächst wieder was, könnte für Sie interessant sein. Dann können Sie bis auf Widerruf eben das auch tun. Also dass das berechtigte Interesse, da muss man schon ein bisschen genauer hinschauen, sollte das auch gut dokumentieren, aber kann dann doch auch einiges machen ohne Einwilligung.
Und dann gibt es noch gesetzliche Grundlagen. Das ist eben immer dann der Fall, wenn es im Gesetz genau geregelt ist, dass Sie die Daten verarbeiten müssen. Das ist beispielsweise der Fall für – beispielsweise im Bereich der Buchhaltung. Nun haben Sie Aufbewahrungspflichten, die stehen in der Abgabenordnung. Das ist gesetzlich einfach geregelt, dass Sie diese Daten in der Form verarbeiten müssen, und haben Sie gar kein Spielraum. Dürfen Sie das natürlich auch.
Und nur wenn keine dieser anderen Rechtsgrundlagen greift, dann wird die Einwilligung relevant, wo Sie aktiv fragen. Und das mit der Einwilligung hat aber so ein paar Haken und Ösen. Das ist zwar einerseits schön, weil man hat aktiv gefragt, hat das dann auch, wenn man sich unterschreiben lässt, schwarz auf weiß. Aber so eine Einwilligung, die kann jederzeit widerrufen werden, die muss freiwillig sein, die darf nicht an andere Dinge gekoppelt sein. Also da sind einfach so ein paar Voraussetzungen dran, weswegen eine Einwilligung nicht unbedingt der praktikabelste Weg ist, wenn ein anderer Weg gangbar ist.
Das wird dann aber auch jetzt heute später nochmal wiederkommen und auch, falls Sie sich die nächsten Webinare anschauen, da noch an ein paar Stellen auch vorkommen.
Bevor in zwei große Blöcke – Rechtsgrundlage ist das eine, das müssen Sie also, wann immer Sie was machen: E-Mail-Newsletter rausschicken, Fotos machen, Mitgliederdatenbank pflegen, was auch immer, brauchen eine Rechtsgrundlage. Und das andere sind die Informationspflichten. Und diese Informationspflichten, das ist das, was Sie halt – ich habe als als Datenschutzerklärung Webseiten z. B. kennen. Vielleicht haben Sie es aber auch schon mal gesehen, dass irgendwo ein A4-Zettel ausliegt oder als Aushang hängt, was mit Daten gemacht wird, dass Sie das irgendwo in die Hand gedrückt bekommen. Und was immer Sie mit Daten machen, Sie müssen eben darüber informieren, was Sie da tun. Und das ist nun Grundsatz in der Datenschutz-Grundverordnung, der sehr hochgehalten wird, wo die Anforderungen auch sehr hoch sind. Was manchmal, muss man dazu sagen, bis hin zu einer Informationsflut führt, wo man dann auch ernsthaft infrage stellen sollte, ob das auf der anderen Seite nicht dann mehr Fragezeichen erzeugt, als dass es hilft. Aber es ist tatsächlich so geregelt, dass man sehr viele Detailangaben machen muss. Das habe ich hier rechts in diesem Schaubild versucht zu verdeutlichen, was alles da reingehört. Das gehe ich jetzt nicht im Einzelnen durch, aber das ist eben eine ganze Menge, wie Sie optisch hier sehen können. Und ja, das ist tatsächlich nicht ganz einfach, dann guten Umgang damit zu finden. Häufig kann man auch so Mischformen wählen, dass man sagt, man macht auf den Mitgliedsantrag nun kleinen Verweis: Unsere Datenschutzhinweise finden Sie hier online oder können Sie in der Geschäftsstelle einsehen. Also solche Wege kann man dann auch gehen, um das ein bisschen handhabbar zu halten. Richtig ist aber eben, Sie müssen immer darüber informieren, was Sie tun, und das eben vor allem unabhängig von der Rechtsgrundlage.
So zur Theorie. Jetzt würde ich dann zu den Fragen kommen, die vorhin ja auch schon auf der Folie standen, im Ankündigungstext waren, und die würde ich jetzt einfach eine nach der anderen durchgehen und anhand dieser Fragen die Theorie, die ich gerade in abstrakter Form erläutert habe, ein bisschen aufgreifen.
Das fing an eben mit: Mal eben eine Excel-Kopie der Mitgliederliste gemacht. Das Erste, was ich mich da jetzt als Datenschützer fragen würde, ist eben: Im Moment Mitgliederliste, da gibt es schon Daten, wie sollen kopiert werden. Aber fangen wir erstmal beim ersten Schritt an: Warum gibt es denn diese Daten? Und bei der Mitgliederliste ist das relativ einfach. Das hatte ich vorher auch schon erwähnt. Wenn ein Mitglied bei Ihnen, also in Ihrem Verein, Mitglied wird, dann ist das ein Vertrag zwischen dieser Person und dem Verein. Und dann ist die Rechtsgrundlage, die Sie da brauchen datenschutzrechtlich, eben die Mitgliedschaft. Da brauchen Sie also keine Einwilligung. Aber wie ich gerade schon ausgeführt habe, Sie müssen darüber informieren. Das heißt, Sie müssen einen Weg finden, wenn eine Person Mitglied wird, wie diese Person erfährt, wie Sie mit den Daten umgehen.
So, dass zu grundlegend schon mal geklärt. Mit der Mitgliedschaft haben zum Zweck der Mitgliederverwaltung. Geben. Und die Frage ist jetzt aber, wenn eine Kopie gemacht werden soll, warum soll denn eine Kopie gemacht werden und wohin wird kopiert und zu welchem Zweck?
Und da muss man eben dann genauer hinschauen, weil wenn jetzt jemand, der aktiv ist, sagt, er braucht eine Mitgliederliste, um die eigene Auswertung zu machen, irgendwelche eigene Zwecke, die sich die Person ausgedacht hat, dann wäre es ja nicht okay, dass zu diesem Zweck zu kopieren. Also der Zweck, warum man etwas tut, warum man Daten verarbeitet, ist immer ganz wichtig im Datenschutz. Also muss immer hinterfragen: Warum passiert das? Welcher Weg wird damit verfolgt? Wird damit erfüllt?
Kopie machen, muss man jetzt genauer hinschauen, wozu. Aber das war ja der zweite Teil dieser Frage, nämlich um Geburtstagskarten zu versenden.
Und da wird es jetzt schon komplizierter, weil eine Mitgliederliste für die Mitgliederverwaltung bedeutet eben, der Verein muss wissen, wer ist Mitglied, der hat vielleicht Mitgliedsbeitrag zu zahlen, der Zahlungsverpflichtungen, wer muss zur Mitgliederversammlung eingeladen werden, darf seine Stimmrechte entsprechend auf Versammlungen ausführen. Das sind also alles Fragen, die mit der Mitgliederverwaltung zu tun haben. Aber Geburtstagskarten zu verschicken hat jetzt mit der Mitgliederverwaltung in dem Sinne nichts zu tun. Vielleicht könnte noch argumentieren, Sie brauchen das Geburtsdatum, Personen eindeutig zu identifizieren, aber selbst das wäre vermutlich fraglich.
Und um der Geburtstagskarten zu verschicken, das hat es mit der Mitgliederverwaltung im engeren Sinne nichts mehr zu tun. Vielleicht ist das aber in Ihrem Verein so üblich, ist ein Brauchtum, es ist schon immer so, das weiß jeder, das wird gemacht, wollen sich alle, dass das so gemacht wird. Und dann könnte es sein, dass man das über ein berechtigtes Interesse argumentieren kann. Das hängt aber wirklich sehr stark auch dann von der Erwartungshaltung ab und wäre vermutlich so ein bisschen wackelig. Sicherer werden Sie dann mit einer Einwilligung, wenn Sie sich das also von jedem Einzelnen – kann auch im Rahmen der Mitgliedsaufnahme sein – bestätigen lassen, dass das so gewünscht ist. Aber das wird natürlich zu einer gewissen Bürokratie, wenn Sie da Listen pflegen: Wem darf zum gratuliert werden und für mich? Also das macht dann schon wieder komplizierter. Aber an solchen Stellen muss man dann eben genauer hinschauen.
Wichtig ist, unabhängig davon, ob Sie das ist auf Basis von berechtigtem Interesse oder eine Einwilligung machen, Sie müssen vorab informieren. Also bevor diese Verarbeitung stattfindet, die Geburtstagskarte rausgeschickt werden, müssen Sie darüber informieren. Optimalerweise wäre das dann natürlich im Rahmen vom Aufnahmeprozess eines neuen Mitglieds, nur dass das einfach Teil der Datenschutzhinweise ist, vielleicht noch mal ein bisschen explizit darauf hingewiesen wird: Hier, wir machen das übrigens so. Wenn du oder Sie das nicht möchten, gerne widersprechen. Dann kann man das auch über ein berechtigtes Interesse machen, als wenn man das so versteckt macht. Die Personen da kann nichts mehr wissen von diesen Branchen.
Bei den Fragen der – kann nämlich der nächste Satz – die diese Kopie der Mitgliederliste soll gemacht werden, um von zu Hause aus das zu verschicken. Und da wird es schon noch mal komplizierter. Da kommt dann nämlich nur ein Aspekt, den ich wohl noch nicht erwähnt hatte: Das sind die sogenannten technisch-organisatorischen Maßnahmen. Das ist ganz kurz zusammengefasst, wenn man so möchte, die IT-Sicherheit im Datenschutz oder auch weitergehend als IT-Sicherheit. Die Frage: Wie regeln Sie eigentlich Dinge? Ja, wie stellen Sie die Organisation sicher, dass alles so läuft, wie es laufen soll?
Und ich mache da mal ein Beispiel: Da ist jetzt eine Person, die ist eigentlich gar nicht Bestandteil des Vorstands, ist einfach so aktiv für den Verein, versteht schon seit Jahrzehnten die Geburtstagskarten. Und diese Person soll jetzt eben eine Kopie der Mitgliederliste bekommen, um Geburtstagskarten zu verschicken, hat aber ansonsten ein – ich gar keinen Grund, diese Mitgliederliste zu haben. Dann sollte geregelt sein, wie diese Person mit der Liste umgeht.
Das heißt eben, der Vorstand sollte, bevor die Liste herausgegeben wird, dazu sagen: Die Liste ist aber nur für diesen Zweck, sollte so zu behandelt werden. Man sollte vielleicht mal erklären, dass der Computer, auf dem die Liste landet, auch auf dem neuesten Stand ist, dass Updates installiert werden. Also so einfach grundlegende Aspekte zur Basis, so eine Basissicherheit. Da ist was, Sie angeht, aber auch, dass eben die Person weiß – deswegen organisatorisch, nicht nur technisch –, dass die Person eben weiß, wie sie mit den Daten umzugehen hat.
Und das ist ein Aspekt – vielleicht kennen Sie das aus dem Unternehmensumfeld –, dass Ihr Arbeitgeber Ihnen schon mal so eine Bring-Your-Own-Device-Regelung vorgelegt hat oder da irgendwas mit Betriebsrat diskutiert wurde. Größere Unternehmen, die regeln so was eben speziell: Wie ist der Umgang, wenn private Geräte benutzt werden, wenn Homeoffice gemacht wird? Und das ist für Unternehmen natürlich pandemiebedingt die letzten beiden Jahre normaler geworden, aber war früher eher die Ausnahme. Und bei einem mit ehrenamtlichen Engagement ist das halt eher die Regel als die Ausnahme. Ja, also die wenigsten Personen von Ihnen werden auf einem Vereinscomputer in Vereinsräumlichkeiten arbeiten, werden das irgendwie von zu Hause auf eigenen Geräten machen. Deswegen ist das für Vereine, wenn das so ein bisschen unerwartet scheinen mag, es ist trotzdem für Vereinigung so wichtiger, sich um diese Dinge Gedanken zu machen, weil es eben was ist, was klimanormal stattfindet.
Ja, und dann Punkt in dieser Liste, da kam dann der nächste Satz: Es blickt niemand mehr durch, welche Daten eigentlich wo liegen. Und wenn das jemand sieht, der im Datenschutz tätig ist, würden gehen gewissermaßen die Alarmglocken an, weil diese Situation sollte natürlich nicht auftreten. Das ist andererseits Vorgabe der Grundverordnung, dass ein Verein oder an jede Organisation wissen muss, Überblick haben muss, was passiert eigentlich mit damit. Wenn es irgendwelche Vorfälle gibt – ja, wenn auf einmal gesagt wird, da ist jetzt irgendwie eine Mail falsch rausgegangen, ich habe einen Trojaner auf dem Computer, was auch immer alles vorkommen mag –, dass man dann einfach handlungsfähig ist und weiß: Welche Daten liegen eigentlich wo und was müssen wir jetzt tun?
Und deswegen ist es wichtig, dass man dokumentiert und sich im ersten Schritt überhaupt Gedanken macht: Welche Daten verarbeiten wir eigentlich und wo liegen die? Und das ist auch eine Vorgabe, das ist im Artikel 30 der Grundverordnung geregelt, dass man ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten führt. Das ist – das klingt jetzt sehr bürokratisch. Wir haben da eine relativ schlanke Vorlage für entwickelt im Vergleich zu anderen, die Sie im Netz finden können, eher noch schlank gehalten ist. Und das ist gewissermaßen eine Dateninventur. Ja, dass Sie mal überlegen: Welche Daten haben wir eigentlich? Also eben so was wie die Mitgliederliste, E-Mail-Verteiler für Veranstaltungen. Wenn Sie Beschäftigte haben, die Beschäftigten dann. Nutzen Sie vielleicht irgendwelche Cloud-Tools, die das relevant sind? Also mindestens ist es, wenn Sie den Verein City Mitgliederliste, aber vermutlich eben noch mehr.
Also dass niemand mehr durchblickt, welche Daten wo liegen, sollte er nicht auftreten, ist aber häufig natürlich der Status quo, wo man herkommt. Ja, und das ist auch – das mag jetzt alles recht viel klingen, was ich jetzt aufzähle, aber es ist auch so üblich und dass man da einfach Schritt für Schritt drangeht. Ja, heute, dass so ein Prozess, dass man sich im Datenschutz einfach professionalisiert, das ist auch in Unternehmen nichts anderes oftmals, dass man einfach vom Stand kommt, muss relativ chaotisch ist, dann Schritt für Schritt versucht, den Überblick zu bekommen, Dinge zu ordnen, zu regeln. Und er erwartet auch niemand, dass Sie davon jetzt auf morgen alles perfekt ist. Das wissen auch die Datenschutzaufsichtsbehörden. Wichtig ist immer nur – gerade aus Richtung Aufsichtsbehörden gedacht –, dass die dann auch sehen, dass Sie da eben dran sind an dem Thema.
Jetzt Ankündigungstext als vermeintliche Lösungen auf den Punkt: Es liegt mir mehr durch, welche Daten wo liegen – die Cloud. Zum Thema Cloud-Computing würde ich in dem Webinar morgen übrigens noch mehr sagen. Also falls Sie sich dann noch nicht angemeldet haben, gerne noch anmelden, wird es zeitlich passt.
Aber in Kurzform: Ja, die Cloud kann eine Lösung sein, gerade wenn es natürlich darum geht, einen zentralen Datenbestand zu haben. Das geht nicht die Frage, sich stellen müssen: Welche Kopie ist nicht aktuell? Der eine Vorstand oder der andere Vorstand, die aktuelle Mitgliederliste? Da ist natürlich Cloud unsere Synchronisierungsoptionen, wie man das – ob das Dropbox, Cloud oder ähnliche Programme hat – ist okay. Aber deswegen: Ja, die Cloud hilft, aber sie schafft auch neue Probleme. Beim Datenschutz mäßig ist einfach der Punkt: Sie geben die Daten in fremde Hände. Also da steckt dann irgendeine Organisation hinter, irgendein Anbieter, auf dessen Server die Daten liegen. Und da – dass die Daten des Vereins ist, für Sie, die Sie als Verein geradestehen müssen – muss das gut überlegt sein. Das heißt jetzt nicht, da sollten Sie die Finger von lassen, aber es gibt einfach so ein paar Dinge, die man beachten sollte.
Und da ist das Hauptstichwort Auftragsverarbeitungsvertrag. Das grob gesagt ein Vertrag, mit dem Sie als Verein eben sicherstellen können, dass die Daten von dem Anbieter so behandelt werden, als würden Sie die weiter unter Ihrer Kontrolle komplett haben, dass also der Anbieter nicht auf eigene Faust mit den Daten macht und dann nur auf Ihre Weisungen hin. Das ist das Grundprinzip bei dieser Auftragsverarbeitung, dass eben Dienstleister so einbinden. Und Dienstleister – ja, das muss auch kein bezahlter, ein bezahltes Produkt sein. Das gilt auch für kostenlose Cloud-Tools. Wann immer Sie Daten die Hände Dritter geben in irgendwelche Softwarelösungen und Speicher, als halt praktisch ist, ist dieses Thema Auftragsverarbeitung relevant.
Anderes, also dass da auch wichtig ist, es eben – würde sich vor technisch-organisatorische Maßnahmen nun ähnlich, wie Sie das intern klären müssten, wenn irgendein Mitglied eine Kopie der Daten bekommt, müssen Sie dann eben schauen, dass diese Anbieter vernünftig mit den Daten umgeht. Das heißt, so eine gewisse Prüfung, wie geht er mit den Daten um, sollte stattfinden. Das muss auch der Anbieter irgendwie nachweisen. Also häufig werden also z. B. Sicherheitszertifikate Ihnen dann auch gezeigt. Würde die finden Sie auf den Produktseiten der entsprechenden Anbieter. Aber so eine gewisse Prüfung sollten Sie das schon machen und jetzt nicht irgendeinen Anbieter auswählen, einfach von der Werbung her, gerade toll gibt, sondern ein bisschen kritischer drauf schauen: Wer ist das eigentlich?
Drei: Immer im Bereich Cloud-Computing ist natürlich internationale Datentransfers. Das ist sicherlich ein Thema, was viele von Ihnen schon gehört haben, dass gerade Datentransfers USA rechtlich schwierig sind. Da gab es sogenannte Schrems-II-Urteil, das vor jetzt schon knapp zwei Jahren ergangen ist, wo mal wieder – muss man sagen – Datentransfers in die USA auf dem bestehenden Grundlagen für unzulässig erklärt wurden. Die EU-Kommission verhandelt da jetzt gerade wieder mit den USA, und ist nur komplexe Thematik. Aber es ist einfach von der Quintessenz – ja, eben so – das Datentransfers in die USA nicht komplett unzulässig sind, aber dass der erhöhte Vorsicht geboten ist und dass Sie in jedem Fall einfacher damit fahren, wenn Sie Anbieter aus der EU oder dem Europäischen Wirtschaftsraum wählen. Dann stellt sich diese Frage nämlich gar nicht erst.
Und wichtig natürlich auch: Das Produkt und der Einsatzzweck müssen irgendwie passen. Ja, also wenn Sie jetzt die Mitgliederverwaltung machen und dann muss das aufregende Software sein, die das hergibt, dass die dann Mitgliederverwaltung mitmachen oder nicht morgen die Daten weg sind. Also das muss natürlich auch einfach zum Einsatzweg passen, aber ich glaube, das versteht sich von selbst.
Dann kommen wir zum Frage, die, glaube ich, viele umtreibt: Wie lange darf man eigentlich Daten speichern?
Es ist leider nicht ganz so schöne Frage aus meiner Sicht. Ich kann da keine schöne Antwort darauf geben, weil was Sie natürlich hören möchten, ist: Ja, Mitgliederdaten darf man so lange aufbewahren, Buchhaltungsdaten darf ganz so lange aufbewahren, Veranstaltung zu kommen, Daten so und so lange. Aber so einfach ist es leider nicht. Der Grundsatz vom Datenschutz – ja – ist nämlich: Sie brauchen, wie ich vorhin schon erläutert hatte, für die Datenverarbeitung immer eine Rechtsgrundlage.
Und solange Sie also bestimmten Zweck legitim mit der Datenverarbeitung erfüllen können, eine Rechtsgrundlage dafür haben, dürfen die Daten auch haben. Sobald aber diese Rechtsgrundlage nicht mehr gegeben ist – zum Beispiel bei der Mitglieder Austritt war, eine Veranstaltung vorbei ist –, dann haben Sie erstmal keine Rechtsgrundlage mehr, und da müssten Sie eigentlich die Daten löschen. Deswegen muss man anfangen zu differenzieren, um zu schauen: Gibt es vielleicht eine andere Rechtsgrundlage?
Also ich mache Beispiel: Wenn sich jemand für eine Veranstaltung bei Ihnen anmeldet, dann wäre erstmal die Anmeldung zur Veranstaltung den Vertrag, auch wenn das nicht unbedingt jetzt nur ein schriftlicher Vertrag ist, Vertrag darüber steht: Das ist mein Vertrag. Und von daher ist die Teilnehmerverwaltung für eine Veranstaltung, kann man sagen, Rechtsgrundlage dafür ist eine vertragliche.
Wenn Sie jetzt aber sagen, Sie wollen Daten länger aufbewahren nach der Veranstaltung, um für zukünftige Veranstaltungen einzuladen, oder einen Teil der Daten behalten, um Auswertungen zu machen über Ihre Teilnehmenden, wie welche Zielgruppen erreichen Sie da et cetera, dann kann das sein, dass das über ein berechtigtes Interesse möglich ist. Und dann ist aber eben dass wir andere Rechtsgrundlage für diese nachfolgenden Schritte als für die eigentliche Veranstaltungsdurchführung.
Ganz ähnlich ist das bei Mitgliedern: Wenn jemand Mitglied ist im Verein, dann ist, wie gesagt, für die Mitgliederverwaltung dass auch eine vertragliche Grundlage. Theoretisch müssten Sie die Daten dann ab dem Tag des Austritts aus dem Verein löschen. Wahrscheinlich wollen Sie aber so von Zeitraum von 12 Jahren auch noch nachvollziehen können, wie dieser Austritt vonstatten gegangen ist, haben dann auch offene Mitgliedsbeiträge. Also passt die Buchhaltung – Buchhaltung länger aufbewahren. Aber was die Buchhaltung zu dem will, jemand bei den Mitglied war, da muss man dann eben anfangen zu differenzieren. Ja, also wo Sie eigentlich nur eine Person Mitglied bei Ihnen ist, haben Sie dann vielleicht eine vertragliche Grundlage während der Mitgliedschaft, berechtigtes Interesse für den gewissen Zeitraum danach, und nur noch längere Zeit dürfen Sie Daten auf der gesetzlichen Grundlage aufbewahren, dass Sie die Buchhaltung machen müssen. Für die Buchhaltung brauchen Sie aber keinen kompletten Datensatz von dem Mitglied, sondern Sie brauchen nur die zahlungsrelevanten Daten. Also da muss man wirklich anfangen, das so auseinanderzuziehen. Das, was erst mal wie eine wie eine Tätigkeit aussieht, muss man anfangen zu differenzieren, und dass eben diese einzelnen Bestandteile sind, einzeln zu betrachten.
Heißt eben für die Frage der Löschfrist zurück zu kommen: Ja, hatte man muss alles sofort löschen, außer man braucht es noch. Das kann eben durch gesetzliche Vorgaben kommen, das kann auch aus vereinsinternen Zwecken kommen. Das muss man dann eben regeln. Wichtig ist, gerade für diese Dinge, die ich meinte, mit beispielsweise nach einem Austritt die Daten noch ein bisschen länger behalten, da macht es natürlich Sinn, dass man so was proaktiv regelt. Das heißt, dass man schon von vornherein sagen kann – übrigens im Rahmen von Datenschutzhinweisen, wenn ihr mal Mitglied wird –, dass man eben sagen kann: Übrigens, wir haben die Daten so und so lange nach Ende der Mitgliedschaft aufbewahren, doch die und die Dinge klären zu können.
Wenn man dann so Dinge vorab transparent kommuniziert, dann ist auch ein berechtigtes Interesse einfacher machbar, als wenn das so im Nachhinein hintenrum passieren soll. Also wenn das Kind schon in den Brunnen gefallen wird, ist so auszudrücken, ist es häufig schwieriger, als man die Dinge proaktiv regelt.
Und nur in den seltensten Fällen gibt es eben konkrete Fristen. Das ist vor allem dann der Fall, wenn sie gesetzlich geregelt ist. Na ja, also das hatte ich jetzt das Beispiel Aufbewahrungsfristen Abgabenordnung, die top 10 Jahre. Aber dann gibt es vielleicht auch Fristen – vielleicht haben die Veranstaltung jetzt im Anime-Zeiten durchgeführt und mussten da eine Dokumentation machen von der entsprechenden gesetzlichen Regelungen während der Pandemie, dass man die Teilnehmerdaten, Kontaktdaten erfassen muss. Da ist es jetzt interessanterweise so, der Bahn gewisse Fristen geregelt, aber dieses ganze Gesetz ist gar nicht mehr gültig, und deswegen müssen Sie die Daten auch wieder löschen, obwohl Sie vielleicht auch innerhalb dieser Fristen sind, die man in dem Gesetz standen. Ja, das ganze Gesetz gibt halt nicht mehr an, wurde geändert.
Also das ist wirklich nur komplexe Materie, wo es leider wirklich in den selbst ins Fehlen konkrete Zeiträume gibt. Einfach wirken Sie so einen Menschenverstand drauf gucken: Brauche ich die Daten eigentlich doch? Ist, glaube ich, der erste sinnvolle Schritt, bevor man sich da einen konkreten Fristen verheddert. Aber auch das ist natürlich formal gesehen notwendig.
Jetzt kam noch der Punkt: Ein Mitglied hat gesagt, meine Daten sollen gelöscht werden. Das ist ein ganz interessanter Punkt. War eigentlich schon ausgeführt, hatte müssen Sie die Daten ja eh löschen, wenn Sie die nicht mehr brauchen. Jetzt gibt es aber die sogenannten Betroffenenrechte in Artikel 15 und folgenden der Datenschutz-Grundverordnung. Da gibt es dann auch noch ein Recht auf Auskunft, dass Sie sagen muss: Welche Daten haben Sie eigentlich dazu? Berichtigen, zu löschen, Widerspruch. Also gibt es verschiedene Betroffenenrechte. Und wenn jetzt jemand sagt: Ich wieder machte von seinem Recht Gebrauch, dass die Daten gelöscht werden sollen, dann geht das Recht nicht immer. Ja, wir sollten jetzt den Teufel tun und die Buchhaltungsdaten löschen, weil das sind sehr gesetzt dazu verpflichtet.
Aber dann müssen Sie das einfach nochmal genauer prüfen. Und mein Praxistipp an der Stelle ist einfach der: Wenn so ein Antrag zum Thema touristischen auf diese Rechte formell beruft, dann sollten Sie da ganz, ganz genau hingucken, weil häufig entsteht das eine Situation, wo ich schon eben so eine Konfliktsituation da ist. Die seltensten Personen kommen aus – das ist Spaß – einfach auf die Idee, anschreibt einen Brief und edel damit der Karte der Betroffenenrechte DSGVO. Warum? Bei ist dann meist schon irgendwas liegt davor, dass der Konflikt da ist. Und wenn Sie nämlich das dann nicht genau prüfen und auch innerhalb der Fristen, die geltender geht – für mich ein Monat als Frist für entsprechend beantworten –, dann kann die Person zu einer Datenschutzaufsichtsbehörde gehen. Und dann ist auch eine Datenschutzaufsichtsbehörde verpflichtet, aktiv zu werden. Also Aufsichtsbehörden, die haben in den seltensten Fällen Zeit, dass die Vereine irgendwie aktiv kontrollieren würden. Da sind die personell unterbesetzt und würden sich dann erstmal die Wirtschaft vorknöpfen. Weil wenn er schon so eine Beschwerde konkret auf dem Tisch liegt, dann müssen wir dem nachgehen. Und das heißt also, Sie sollten so was einfach sehr ernst nehmen, weil sonst die Gefahr groß ist, ist es dann in noch größerer Form über eine Aufsichtsbehörde wie dabei.
Aber wie gesagt, auch nur Daten löschen, wenn es gerechtfertigt ist. Wenn das schon was falsch gelaufen ist nach Vergangenheit, einfach so löschen müssen Sie nichts.
Etwas anderes ist es – um das noch gerade dranzuhängen –: Wenn jemand sagt: Ich wieder rufen eine Einwilligung. Wenn irgendwas auf der Rechtsgrundlage der Einwilligung war, die man sagt: Ich wieder ruft die Einwilligung, dann führt das natürlich in vielen Fällen auch dazu, dass die Daten gelöscht werden müssen. Aber wenn es beispielsweise für die Mitgliederverwaltung, Buchhaltung Daten da sind, dann kann der Person nicht einfach selbst entscheiden, die sollen gelöscht werden.
Die Frage: Wen darf man zu welchen Zwecken anschreiben?
Das ist wieder so eine schöne Frage, wo man ganz in Juristensprache darauf antworten können: Es kommt darauf an. Aus dem Lieblingsbuch unter Juristen.
Und hier auch viele Dinge an, die man zu welchen Zwecken anschreiben darf. Dass es eben auch nicht irgendwo abschließend gesetzlich geregelt, sondern das kommt eben zum einen darauf an: Auf welcher Rechtsgrundlage wollen Sie das tun? Ja, also wofür haben Sie die Daten mal bekommen und welche Möglichkeiten haben Sie jetzt eben mit den Daten etwas anderes zu tun, als das, wofür Sie die bekommen haben? Oder haben Sie die vielleicht auch schon direkt, als die bekommen haben, dazu gesagt, Sie machen das und so?
Also ganz häufig ist es eben so, beispielsweise Einladung zur Mitgliederversammlung, das gehört zur Mitgliederverwaltung mit dazu. Also dass sich einfach um die satzungsgemäßen Rechte ausüben zu können, muss auch zur Mitgliederversammlung eingeladen werden. Deswegen ist das dann wiederum vertragliche Rechtsgrundlage. Hinweis auf der Veranstaltung werden eher berechtigtes Interesse. Ja, man kann ja auch Mitglied in einem Verein sein, ohne wissen zu wollen, welche Veranstaltungen es gibt.
Die Werbung für die Versicherung eines Partners – her, da ist jetzt irgendeine Firma auf Sie zugekommen, eigene Versicherung und sagte: Hat mich doch mal Ihren Mitgliedern her und die Sportlerversicherung an, weiß ich fast mit auch Club noch eine spezielle Unfallversicherung getaucht. Also da wird es dann irgendwie mit dem berechtigten Interesse sehr, sehr dünn, um nicht zu sagen, das ist vermutlich nicht machbar, sondern da müssten Sie dann eben aktive Einwilligungen haben. Damit hat sich das dann in den meisten Fällen auch erledigt, so was zu machen, weil man jetzt ja nicht einzeln Einwilligungen ein, um dann noch so eine E-Mail rauszuschicken.
Das heißt, man muss ja wirklich immer gucken: Für welche Zwecke passiert das auch unter welchen Umständen? Also das ist vielleicht meine meinen Verein anders gelagert als bei einem anderen. Ja, wenn das ein Verein ist, wo eine Selbsthilfegruppe für psychische Erkrankungen angeboten wird, dann will man vielleicht nicht ganz so offenkundig zu allen möglichen Dingen angeschrieben werden, als wenn das Sportverein ist, wo die Vereinsaktivitäten immer sehr, sehr locker und oft stattfinden. Also das kommt einfach sehr auf die Gesamtsituation an, gerade bei der berechtigten Interesse als Rechtsgrundlage.
Und andererseits beim vertraglichen Dinge ergibt sich dass eben aus dem Vertrag. Das ist die Grenze noch sehr eng gesteckt. Und Einwilligung geht immer, macht er weiter extra Arbeit. Deswegen muss man da einfach genauer hinschauen. Da gibt es eben keine Listen.
Was noch so als Tipp ganz gut ist, ist halt im Bereich berechtigtes Interesse, da kann man eben relativ viel regeln, wenn man die das einfach von vornherein versucht, proaktiv zu regeln. Ja, das heißt, dass man das eben vorauf entsprechenden Formularen, Anträgen mit dazu schreibt: Hier, wir machen das übrigens so. Besonders den Fällen kann es auch mal ohne das in der Satzung zu regeln, dass vielleicht auch der Vereinszweck möglichen klarer wird. Um mich machen Beispiel: Denn Sie Vereinen sind, der Wanderungen organisiert, und da sollen sich die Teilnehmer untereinander auch kennen, damit sie sich absprechen können, Fahrgemeinschaften et cetera. Und das wird aber nicht aus dem Vereinszweck, der in der Satzung steht, gar nicht so klar, dass solche Veranstaltungen stattfinden. Dann lohnt vielleicht, dass die Satzung mit reinzuschreiben, damit man dann solche Dinge eben auf dem vertraglichen, der vertraglichen Rechtsgrundlage auch laufen lassen kann. Weil ansonsten, wenn das heißt, es werden Vorträge zu Wanderungen durchgeführt in der Satzung, dann wäre vielleicht das Alter für ein bisschen dünn, dass die Teilnehmer sich untereinander kennen.
Also das kann man alles irgendwo regeln, aber eben proaktiv ist das das richtige Wort. Egal ob Vertrag über berechtigtes Presse geht, und muss ich da vorher genau darüber machen oder eben dann jetzt mit Wirkung für die Zukunft Dinge besser machen als zuvor.
Ja, nochmal in Kürze die drei wesentlichen Eingangs hatte: Also eine Einwilligung ist eben keine Voraussetzung für die Verarbeitung personenbezogener Daten. Ich glaube, das ist deutlich geworden. Es gibt mehrere Rechtsgrundlagen neben der Einwilligung: berechtigtes Interesse, vertragliche Grundlage und gesetzliche Grundlage vor allem in Ihrem Bereich. Und die sind dann auch bevorzugt, da die praktikabler sind. Die Einwilligung einfach immer mehr Haken und Ösen bezieht.
Für die Aufnahme eines neuen Mitglieds auch meinen Datenschutzerklärung. Das – ja, wie ich schon mehrfach erläutert habe, Sie brauchen keine Einwilligung, ja, Mitglied aufzunehmen. Das ist erstmal nur die – das ist einfach über die den Vertrag dann geregelt. Aber die Datenschutzerklärung brauchen Sie deshalb, um die Informationspflichten zu erfüllen. Sie müssen die sich nicht aktiv unterschreiben lassen, aber Sie müssen informieren, was Sie mit den Daten.
Und die dritte These: Es gibt keine datenschutzkonformen Produkte. Da würde ich halt eben darauf antworten: Es gibt eher datenschutzkonform nutzbare Produkte. Wenn Sie also Cloud, Cloud-Tool einsetzen für den Bieter-Verwaltung, da müssen Sie das Tool auswählen, fasst man Verträge abschließen, und Sie müssen aber auch selber das Tool auf die abnutzen, dass die datenschutzkonform damit umgehen. Das heißt, das ist immer nur Zusammenspiel aus dem, was der Anbieter in bereitstellt, und das fast Sie selbst damit tun.
Auf der 5 Kernaussagen der einzelnen Abschnitte oder der einst in Folien meines Vortrags drauf. Das wiederhole ich jetzt nicht alles. Ist sehr interessant, wenn wir das im Nachgang noch mal sich kompakt durchlesen möchte.
Wo ich aber noch darauf verweisen möchte, man einfach auch weiterführende Informationen: Da würde ich jetzt, weiß heute um die Grundlagen geht, hauptsächlich eben auf unsere Angebote verweisen von der Stiftung Datenschutz. Wir haben, wie gesagt, eigene Angebote, dass Datenschutz im Ehrenamt. Da finden Sie die Links zu den einzelnen Bereichen und auch der Hinweis einer Stelle haben auch im monatlichen Newsletter, dem wir verschicken. Also wenn Sie einfach in dem Thema, das Thema tiefer einsteigen wollen, mehr Infos wollen, wenn Sie sich auch gerne zu unserem Newsletter an.
