Vielleicht haben Sie schon auch die letzten Webinare gesehen. Das ist ja eine vierteilige Reihe. Wenn nicht, ist das aber auch nicht schlimm, ja, das braucht nicht davon einmal auf. Aber wenn Sie die anderen Teile schon gesehen haben, dann ist Ihnen sicherlich aufgefallen, da gibt es eine ganze Menge an verschiedenen Vorgaben und Pflichten. Manche Dinge kommen immer wieder, andere Dinge muss man nun auch schon zumal berücksichtigen. Und da so insgesamt den Überblick zu behalten, auch bei der Vielzahl an Aktivitäten, das stand ja auch im Ankündigungstext für diese Webinarreihe drin, sind inzwischen mit Vielzahl von Aktivitäten, die Datenschutz-Berührungspunkte haben, ja, während das vielleicht vor zehn, zwanzig Jahren hauptsächlich die Mitgliederliste des Vereins war, ist inzwischen durch Cloud-Tools, viel Online-Arbeit einfach einiges dazu gekommen, wo einfach auch noch mehr Berührungspunkte zum Datenschutz entstehen. Und deshalb ist es umso wichtiger, da auch den Überblick zu behalten. Wer macht eigentlich was mit welchen Daten? Und kann der Verein dann auch sicherstellen, dass da ein guter Umgang mit stattfindet?
Es ist also Thema des heutigen Webinars, das Ganze als Oberbegriff, so ein fachlicher geprägt, man auch Datenschutzmanagement. Das habe ich bewusst nicht im Titel geschrieben, weil das klingt ein bisschen dröge. Hat natürlich auch so ein paar dröge Charakterzüge, das muss man schon sagen. Aber man kann es eben auch versuchen, als Gemeinschaftsaufgabe konstruktiv anzugehen, und das soll eben heute Thema sein.
Ich sage im Eingangs kurz was dazu, warum Datenschutzmanagement notwendig ist, warum das auch sinnvoll ist, dass man sich unter diesem Blickwinkel dem Thema nähert. Also dass das Unternehmen dann auch Compliance nennen. Dann ist aber auch die Frage, was muss eigentlich getan werden? Was sind denn die Pflichten, die erfüllt werden müssen? Die Frage, wer muss das eigentlich tun? Also ist das der Verein? Ist das der Vorstand? Auch meinen Datenschutzbeauftragten? Und der macht dann den Datenschutz? Sowie ist das eigentlich? Und dann auch die Frage, wie man das organisieren kann. Also ganz typisch hier die W-Fragen. Das soll heute der, ja, der Leitfaden sein für dieses Webinar.
Ganz wichtig: Ich spreche jetzt immer aus der Sicht von der Organisation, ja, und ich spreche oft von Vereinen. Das können wir auch andere Organisationen sein. Wichtig ist, es geht wirklich immer um die Betrachtungsweise von der Organisation, die man dann im Datenschutz Verantwortlichen nennt. Es geht nicht so sehr um die Verbrauchersicht, also das geht nicht so sehr um die Datenschutzrechte, die man gegenüber anderen durchsetzen kann, sondern eben die Sicht einer Organisation. Das ist dann auch ein bisschen der Unterschied zu dem Impuls, der von iRights.info ist. Es dann die ungeklärte Perspektive.
Steigen wir ein bei der Frage, warum braucht man eigentlich Datenschutzmanagement? Warum ist es sinnvoll, da sind so einem ganzheitlichen Compliance-Ansatz drauf zu gucken? Ich möchte kurz motivierend ein paar mögliche Szenarien vorstellen. Beispielsweise gibt es sogenannte Betroffenenrechte in einer Datenschutz-Grundverordnung, und da kann man sagen, ich hätte gerne Auskunft darüber, welche Daten sind eigentlich gespeichert. Das kann sein, dass jetzt mit Gips zu Ihnen kommt oder jemand, der auch noch mal eine Veranstaltung besucht hat, und sagt, ich hätte gern Auskunft darüber, welche Daten über mich gespeichert sind. Und wenn Sie jetzt keine zentrale Datenablage haben, sondern jeder, der im Verein aktiv ist, Dinge organisiert, tut, Dinge auf dem heimischen Computer gespeichert hat und dort verschiedene Cloud-Tools genutzt werden, dann ist es ganz schön schwierig, dann über Weg zu bekommen. Und in dem Moment, wo dann so eine Anfrage ist, unterliegt, sitzt dann auf einmal ganz schön hektisch, diese Informationen zusammenzutragen.
Ähnlich, wenn dann tatsächlich mal was schiefgehen sollte. Nächster Punkt: Die planen beispielsweise eine Veranstaltung zu Gesundheitsthemen, besonders sensible, schützenswerte Daten. Auch je nachdem, wie das gelagert ist, dann die Anmeldedaten auch schon besonders schützenswert. Und jetzt haben wir die Teilnehmenden in Cloud wohlverwahrt gespeichert, dort auch beispielsweise Fotos zu der Veranstaltung gegen. Und dann kommt auf einmal nachher die Info von einem Mitglied, das aktiv ist, sagt, wobei mein Account irgendwie gehackt. Was machen wir denn jetzt? Da muss also auch erst mal ermittelt werden. Sowas gibt es recht kurze Fristen, dass man so etwas auch die nach dem Aufsichtsbehörden melden muss. Und wenn Sie dann erst mal ermitteln müssen, was ist da überhaupt der Stand, welche Daten haben wir, wer ist denn bitte, wir müssen wieder gegebenenfalls auch informieren, dass da was schiefgelaufen ist, dann wird eben auch wieder ganz schön hektisch. Und andersrum ist natürlich auch die Frage, wieso ist das überhaupt so passiert, dass Daten, die vielleicht in der Form gar nicht hätten gespeichert werden dürfen oder auch schlecht geschützt waren, wie konnte es zu der Situation kommen? Kann man da nicht proaktiv angehen und solche Situationen von vornherein vermeiden? Das gehört also auch dazu.
Noch ein drittes Beispiel: Immer wieder Thema ist Cloud-Tools aus den USA, wo halt Datentransfers USA stattfinden oder möglich sind. Sind seit ein paar Jahren rechtlich problematisch. Wird's da rutscht vom Europäischen Gerichtshof zu gab, dass da sehr hohe Anforderungen versetzt. Und weil Ihnen das alles zu heiß wird, sagen Sie, wir wollen euch lieber auf solche Tools verzichten. Aber auch dann stellt sich erst mal die Frage, welche Tools sind denn da im Einsatz und über welche Accounts und wofür nutzen wir die eigentlich? Wie könnten wir das umstellen? Das ist auch wieder so ein Beispiel, wo dann der Aufwand, das zusammenzutragen, relativ hoch wäre, wo sich also lohnen, vorab einfach schon mehr Gedanken gemacht haben.
Das um Ihnen einfach mal ein paar praktische Beispiele zu geben, warum es lohnenswert ist, sich dem Thema proaktiv zu widmen und nicht nur anlassbezogen, ja, hektisch die Datenschutzfragen, wo sie denn dringend werden, zu behandeln, sondern eben ein bisschen grundsätzlich an das Thema heranzugehen.
Das ist natürlich die eine Sicht. Die andere ist, es ist gesetzlich vorgeschrieben. Das könnte man natürlich auch anfangen. Und es gibt in der Datenschutz-Grundverordnung im Artikel 5, da sind zu allgemein die Grundsätze der DSGVO oben erläutert, und diesem Absatz 1 verstehen eben diese Grundsätze drin. Man muss irgendwie transparent mit den Daten umgehen, rechtmäßig, muss die löschen, wenn man nicht verbraucht. Das hinzu die keine ganz knallharten Anforderungen, aber so die Grundsätze einfach. Und dieser Absatz 2, das er wirkt ein bisschen unscheinbar, der hat es aber in sich. Da steht nämlich drin, wer verantwortlich ist für die Einhaltung des Absatzes 1, verantwortlich muss dessen Einhaltung nachweisen können. Rechenschaftspflicht. Das wird dann relevant, wenn beispielsweise Aufsichtsbehörde bei Ihrem Verein anfragt, weil irgendwas schiefgelaufen ist, weil sich Mitglied beschwert hat etc. Und wenn Sie dann dastehen und sagen, ja, können jetzt eine ganze richtig viel zu sagen, da haben wir keine Dokumentation zu, wissen nicht, wie das bei uns läuft, den Datenschutz, Daten einer irgendwie bisschen etwas gemacht, aber so richtig weiß war auch nicht mehr Bescheid, dann ist das problematisch, weil Sie dann eben diese Rechenschaftspflicht nicht erfüllen können. Und das hat tatsächlich auch schon in Baden-Württemberg beim VfB Stuttgart zu einem Bußgeld geführt. Das ist jetzt ein größerer Verein, wo man eigentlich davon ausgehen sollte, dass gut geregelt sein und laufen, so entsprechend der Größe. Aber auch da gab es scheinbar Versäumnisse in dem Bereich. Und das ist das mehr einzige bekannte Bußgeld, das dann auch konkret wegen dieser Vorschrift erlassen wurde bisher. Aber das hat ausgerechnet tatsächlich dann den Verein getroffen. Das man als Beispiel dafür, dass das schon dann auch praxisrelevant werden kann und nicht nur so eine theoretische Vorgabe ist und euch das zu machen, sondern das muss schon auch entsprechend beachtet werden.
Das ist natürlich sehr allgemein, irgendwie nachweisen können, dass man die Grundverordnung einhält. Ein bisschen konkreter ist es tatsächlich im Artikel 24 der DSGVO. Der ist jetzt relativ lang, dieser Absatz, den lese ich jetzt auch nicht ganz vor, aber ich möchte ein paar Elemente daraus bieten. Und zwar geht es nämlich darum, dass man unter Berücksichtigung von Art, Umfang und Umständen, ja, da geht es also auch warum, so ein bisschen, welche Möglichkeiten haben Sie als Verein, aber vor allem noch wichtiger, die Frage, wie kritisch ist das, was Sie damit garten machen? Sind Sie beispielsweise in Vereinen, der zu Gesundheitsthemen Selbsthilfegruppen organisiert, dann ist da einfach ein höheres Risiko, wenn was schiefgeht, da, und dann die Messlatte einfach ein bisschen höher, ja. Das ist also an der Stelle so, dass man dann risikobasierten Ansatz, der DSGVO nennt das, je nachdem, wie kritisch die Datenverarbeitung ist, in Ihrem Verein stattfindet, die umfangreiche, das ist, wie viele Personen potenziell betroffen sind bei irgendwelchen Problemen, dass da die Messlatte dann entsprechend bisschen höher oder niedriger liegt.
Das ist ja eben gemeint mit der Schwere der Risiken für die Recht und Freiheit natürlicher Personen. So wichtig ist aber eben, Sie müssen dann, gemessen an diesen Risiken, müssen Sie geeignete technische und organisatorische Maßnahmen treffen. Das heißt, technische Sicherungen, also vielleicht wirklich so Dinge wie Dateien verschlüsseln, dafür sorgen, dass das ein sicherer Cloud-Speicher ist, solche Maßnahmen. Das ist technische Maßnahmen gemeint. Und organisatorisch, das ist bei Vereinen besonders relevant, weil ja häufig Personen für den Verein aktiv sind. Das ist Gegensatz zum Unternehmen, wo es dann eigentlich nur Angestellte geht, wo ihnen ganz klarer Vertrag besteht und wo dann Unternehmenscomputer genutzt werden. Ist bei Verein der alles ein bisschen schwammig, zumindest bei kleineren Vereinen. Da würden die privaten Computer, privaten Geräte genutzt, Unterlagen werden mit nach Hause genommen, Personen werden für den Verein aktiv, ohne dass es jetzt konkrete Verträge darüber gibt, was diese Aktivität beinhaltet etc. Und deswegen ist dieser Bereich organisatorische Maßnahmen tatsächlich bei Vereinen und im Ehrenamt umso wichtiger, weil man Dinge einfach nicht technisch knallhart abklären kann, sondern organisatorisch darauf hinwirken muss, dass alles in geregelten Bahnen läuft.
Ja, und dann ist ja eben noch mal wieder zum Hinweis Dokumentationspflicht, eben auch die Anforderung darin, den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Das ist auch wieder so ganz umfassend, ja, Sie müssen als Verein nachweisen können, dass die Datenverarbeitung gemäß der Datenschutz-Grundverordnung erfolgt. Und Datenverarbeitung meint wirklich alles, was irgendwie mit Daten zu tun hat. Da geht es also nicht nur um im Excel-Listen, wo irgendwas aktiv berechnet, ausgerechnet wird, sondern es geht auch um die Mitgliederliste, die irgendwo in einem Ordner abgeheftet ist. Es geht um Fotos, die Sie auf dem Cloud-Speicher hochladen, alles, wo irgendwie Personen identifizierbar sind, was ist automatisiert passiert oder strukturiert auch ein Papier abgelegt wird. Überall da geht den Datenschutz-Grundordnung, und da müssen Sie das eben nachweisen können. Das ist zugegebenermaßen, das vernünftig alles zu dokumentieren und nachweisen zu können, das ist alles andere als einfach. Daran scheitern auch große Organisationen mit vielen Ressourcen. Aber es ist einfach wichtig, diesen Aspekt nicht außen vor zu lassen und hat zumindest im Grundsatz was zu tun, so dass Sie selber den Überblick haben, vernünftig handeln können, und wenn es zu Problemen kommt, dann auch ein bisschen was hinterhand haben, zu zeigen, Sie haben sich gekümmert.
Das warum ist das wichtig, sowas wie Datenschutzmanagement zu haben? Dann die Frage, was muss man eigentlich tun? Und auf dieser Folie habe ich versucht, die hauptsächliche Pflichten der Datenschutz-Grundverordnungen zusammenzufassen. Es ist jetzt schon eine ganze Menge drauf. Es gibt tatsächlich noch ein paar mehr, die dann war er in Sondersituationen relevant werden. Hier habe ich zu weggelassen. Und ja, so diese Grundsätze, dass Artikel 5, die stehen gewissermaßen über allem. Die sind aber eher die er in den anderen Pflichten auf. Die muss man nicht so direkt bei den meisten Fällen was. So das Dauerthema ist hier in Rot markiert, sind eben Rechtsgrundlagen, Informationspflichten. Also egal, was Sie machen, ob das jetzt das Hochladen von einem Foto ist, das Posten von einem Social-Media-Beitrag, die Aufnahme eines neuen Mitglieds in die Mitgliederliste, Sie brauchen immer eine Rechtsgrundlage und muss darüber informieren, was tun Sie eigentlich. Diese Informationspflichten erfüllt man typischerweise bei Datenschutzhinweise oder Datenschutzerklärungen, oft genannt. Und bei der Rechtsgrundlage, da geht es primär um die Frage, braucht meine Einwilligung oder gibt es eine andere Grundlage, wie ein Vertrag zum Beispiel über die Mitgliedschaft, oder hat man ein berechtigtes Interesse, dass man einen gewissen Handlungsspielraum auch hat, ohne aktiv fragen zu müssen? Damit hat man dann einfach immer spezifisch für jede Verarbeitungstätigkeit, wie man das nennt, zu tun.
Anderes Dauerthema ist das Verzeichnis von Verarbeitungstätigkeiten. Da komme ich später noch ausführlich hat drauf. Das ist einfach eine Übersicht, die man verpflichtend anlegen muss, worin man eben all diese Dinge notiert, so dass man den Überblick nicht verliert. Das muss man entsprechend dann auch einfach immer wieder anpassen, wenn man neue Verarbeitungstätigkeiten zunimmt oder sich irgendetwas ändert. Deswegen sind diese Dinge Dauerthema.
Die gelb markierten Felder hier, gemeinsame Verantwortung, Verarbeitung im Auftrag, Übermittlung in Drittländern, Betroffenenanfragen, das sind eher Dinge, die kommen situationsabhängig mal dazu. Mit denen haben Sie vielleicht auch gar nichts zu tun. Haben Sie damit auch viel zu tun, das kommt einfach. Betroffenenanfragen sage ich gleich auch noch mal was zu. Das ist eben die Schiene, dass jemand, dessen Daten Sie verarbeiten, zum Beispiel Mitglied, Veranstaltungsteilnehmer, Ansprechpartner aus dem Verband, dessen E-Mails bekommen, wie auch immer, die Person, dessen Daten Sie in den Formen haben, kann also fragt sagen, ich hätte gern eine Kopie meiner Daten, ich es gern, was macht ihr da, bestimmt irgendwas nicht, bitte löschen, bitte ändern. Um solche Themen geht es da. Das kommt also manchmal auch gar nicht vor. Nur wenn es vorkommt, sollte man wissen, was zu tun ist.
Ansonsten auch situationsabhängig hat man mit Übermittlung in Drittländer zu tun. Das ist an zwei US-Cloud-Tools der Fall, aber auch bei dann auch bei so Cloud-Tools relevant. Es ist Bearbeitung im Auftrag oder je nachdem im Bereich Social Media dann auch mal gemeinsam Verantwortung. Das sind einfach so Konstrukteur, wo man nicht nur selbst involviert ist als Organisation, sondern andere Organisationen nur als Dienstleister, Partner mit ins Boot kommen. Da kommen dann diese Themen ins Spiel.
Was, ja, so will der gewiss der Unterbau ist, total dem, das sind eben diese technisch-organisatorischen Maßnahmen. Da geht es im Artikel 32 der Datenschutz-Grundverordnung um die IT-Sicherheit primär, also die Sicherheit der Verarbeitung. Der Begriff ist aber ein bisschen weiter. Da gibt es eben auch darum, einfach höhere, das, was sich, wo Ihnen vorgelesen hatte, dafür zu sorgen, dass die Verarbeitung gemäß der Verordnung erfolgt, das irgendwie zu organisieren. All das fällt unter technisch-organisatorische Maßnahmen. Das ist dann eben das, was ich vorhin schon mal vorgelesen hatte, Artikel 24, auch diese Verantwortung des Verantwortlichen steht als Überschrift über. Also die, der Verein ist dafür verantwortlich, dafür zu sorgen, dass das alles gut läuft.
Und ein anderes Element, was man manchmal hat, aber nicht immer, ist eben Datenschutzbeauftragten. Was den Datenschutzbeauftragter ist, was die Rolle ist, wenn man einen braucht, zu sagen, ist ja später noch was zu. Aber das sind eben die Elemente, mit denen hat man eher so als dem, muss man sich nicht ständig aktiv befassen. Das ist mir sowas, da muss man einmal guten Unterbau schaffen, und dann bringt er hoffentlich auch.
Das zu den tisch-torischen Maßnahmen vielleicht noch ein paar Worte mehr. Da geht es eben primär um die IT-Sicherheit, also das sind die Ziele: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Das sind so die technisch gesprochen die Ziele eben. Also es geht um das, was man so als Sicherheit kennt, nur dass man nicht gehackt wird, dass Daten nicht in falsche Hände gelangen, dass man eben das technisch schützt. Aber auch, dass Dienste verfügbar sind, ja, das nicht, dass Sie nicht auf einmal sagen, wir haben jetzt Mitgliederversammlungen und die Mitgliederliste der Cloud hat man, kann manchmal darauf zugreifen. Wie machen wir das denn jetzt? 14 stimmen rechten gucken, werde es daher ist nicht da, nicht dass solche Situationen nicht auftreten. Da geht es beispielsweise darum.
Zusätzlich zu diesen Sicherheitsvorgaben geht's aber eben auch, wie ich schon meinte, um die allgemeinen Datenschutzvorschriften, einfach zu organisieren, dass alle, die Daten verarbeiten, das sind dann also der Vorstand, Beschäftigte, aber eben auch Personen, die einfach aktiv sind für den Verein, egal ob sie Mitglied sind oder nicht, oder irgendwelche Dienstleister, die man beauftragt, einfach dafür zu sorgen und zu organisieren, dass das alles vernünftig läuft. Das sind technisch-organisatorischen Maßnahmen. Deswegen ist das immer eine Kombination. Und was ich vorhin schon mal andeutete, was eben technisch nicht geht, das muss man organisatorisch auffangen. Das ist bei Vereinen eben umso wichtiger. Also was den Unternehmen dann Bring Your Own Device genannt wird und auch sein Privatgerät für Arbeitszwecke nutzen, das ist im Verein neben der Standard und nicht so eine Ausnahme, wie das Unternehmen zumindest vor der Pandemie der Fall war. Und deswegen kann man eben technisch vieles als Verein, ja, also ist eine Rolle vom Verein, Sie als beispielsweise Vorstand oder Personen im Verein, die sich irgendwie Datenschutz kümmern wollen, sollen, sollen das jetzt regeln. Da kann man eben nicht sagen, wir versetzen, dass jetzt alles technisch durch, ja, wir installieren diesen und ihren Scanner auf allen Computern, für eine Verschlüsselung auf die und die Art ein auf den Computern. Da haben Sie ja gar nicht die Möglichkeiten, wenn das gar nicht die Geräte des Vereins sind. Deswegen muss man solche Dinge daneben organisatoren, Weisungen, Regeln, wo man sagt, wenn Daten verarbeitet werden, dann bitte auf diese und jene Dinge achten.
Den Punkt kurz angerissen hatte, der immer so ein bisschen, wenn man sich mit einem mit einzelnen Themenfelder, also in den letzten Webinar und diese Reihe hier ging es ja auch um spezifische Fragestellungen wie Mitgliederverwaltung oder Öffentlichkeitsarbeit, Videokonferenz-Tools, ja, also ein bei solchen spezifischen Fragestellungen, da verliert man dann häufig aus dem Blick, dass es eben noch so andere Pflichten gibt, dieter nebenher laufen. Und eins davon ist eben das Thema Betroffenenrechte, was ich schon angesprochen hatte. Das kommt bei vielen Vereinen nie vor, aber wenn es dann mal vorkommt, dann wird es ernst, weil das sind eben Rechte, die sind in der Abgrund-Verordnung verbrieft, so zu sagen, dass da einfach gewisse Informations- und Korrekturmöglichkeiten gibt, dass jemand, dessen Daten verarbeitet werden, eben, dass wir da, ja, gut, gut mit korrespondieren müssen, wenn da jemand eben sagt, nicht wüssten, welche Daten unter stimmt, dann aber irgendwas mich, und da soll es bitte ausgelöscht werden, oder ich widerspreche aber, dass hier was auf eine bestimmte Art gemacht wird in meinem Fall, der das wäre das so nicht richtig. Das ist beim berechtigten Interesse relevant. Dann müssen Sie das. Passiert eben alles nur auf Antrag, aber wenn dann so ein Antrag kommt, dann müssen Sie da eben gut mit umgehen. Zum einen, das wichtig, es gibt eine Frist von maximal einem Monat, wie kann man in begründeten Fällen auch verlängern auf zwei, aber das ist wirklich eigentlich eher als maximal einen Monat zu lesen. Und leben ist oder der praktisch relevante Punkt ist, wenn jemand von unserem Antrag stellt, ja, und sich auch seine Rechte gemäß der Verordnung beruf, dann ist das schon, steckt meist eine gewisse Unzufriedenheit dahinter. Und wenn Sie dann also da entsprechende nicht umgehen, sei es nur die Frist zu versäumen, dann ist halt die Gefahr, dass so eine Person zu Datenschutzaufsichtsbehörde geht, der Beschwerde einreicht, relativ groß. Und dann muss auch eine Datenschutzaufsichtsbehörde, die eigentlich bei Vereinen behutsam und vorsichtig vorgeht, dieser Sache trotzdem nachgehen. Und dann haben Sie ja vermutlich eben schon etwas falsch gemacht. Und deswegen ist einfach die, das Risiko, dass, wenn so ein Antrag kommt und man da nicht gut mit umgeht, das dann tatsächlich ein größeres dringend auswerten, Sinne von Korrespondenz mit der Datenschutzaufsicht bis zu einem Bußgeld ist, da einfach relativ hoch dann. Deswegen solche, auch wenn das fast wie vor kommt, wenn dieses System haben eine vorkommt, dann bitte ernst nehmen. Und auch noch wichtig, wenn jetzt jemand sagt, ich hätte gerne Kopie meiner Daten, die kriegen das per Mail oder so, dann solltet ihr natürlich ein Weg finden, auch sicherzustellen, dass das die richtige Person ist, die dass anfragt, nicht dass es nachher noch die Daten an den Falschen senden.
Ein bisschen durchrutscht ist eben das Thema Dokumentationspflichten. Da hatte ich ja wohin eingangs schon ein bisschen mehr zugesagt. Das ist eben den allgemeinen Anforderungen der Daten vor Ort geregelt. Ist das hat hier oben dieser Artikel 5, 24 daraus zitiert. Das ist eben eher so implizit, man muss das nachweisen können. Und die Frage ist jetzt, wie kann man das nachweisen? Und da steht nirgendwo, dass muss schriftlich dokumentiert werden. Aber zumindest die Datenschutzaufsichtsbehörden sagen eben, na ja, wie soll man das anders nachweisen, als wenn man es vernünftig aufgeschrieben hat? Und dem würde ich zustimmen, vor allem im Verein groß oft ja auch wechselnden Konstellationen gibt, wo man vielleicht nach zwei Jahren gar nicht mehr die Person zu packen kriegt, die da vor zwei Jahren mal irgendwas gemacht hat. Und von daher ist es im umfasst es irgendwie so ein bisschen alles, ja. Da ganz, ganz praktisch gesehen ist das Spiel eine Form, wie man da so minimal Ansatz überhaupt das angehen kann, also eine Art Datenschutz-Logbuch führt, dass man eben auf schreibt, wir haben uns zu dieser die Infragestellung in der Vorstandssitzung unterhalten und sind zu dem Ergebnis gekommen, es könnte also ein Logbuch ein verschreibt, dann hat man zumindest schon mal einiges Land. Ansonsten ist auch dieses Verzeichnis der Verarbeitungstätigkeiten, wo ich gleich noch was zu sagen, das ist eine ganz gute Möglichkeit, so eine gute Übersicht zu haben, das als Steuerzentrale auch zu nutzen. Und das denn so praktisch die Tipps.
Weiter oben hier auf der Folie hatte ich noch ein paar kleine Punkte geschrieben, wo ist ein bisschen expliziter beschrieben ist. Ehrwald nur für bestimmte beschränkte Konstellationen relevant ist. Das Verzeichnis der Verarbeitungstätigkeiten, das ist eben eine konkrete Pflicht, wohnquartieren muss. Einwilligung müssen auch nachgewiesen werden. Wenn Sie also als Rechtsgrundlage auf eine Einwilligung auch setzen und aktiv fragen, ist das in Ordnung, dann sollten Sie das auch gelegener Form dokumentieren, weil das müssten Sie ihm nachweisen können, ja. Das muss nicht unterschrieben sein, was sollte zumindest ein Vermerk sein, die Person hat ja gesagt. Und wo es auch noch relativ explizit geregelt ist, ist eben bei Datenpannen, wenn tatsächlich mal was schiefgeht, dass Daten eine Unbefugte gelangen, dann muss das in manchen Fällen auch der Aufsichtsbehörde gemeldet werden. Auf jeden Fall müssen Sie es aber intern dokumentieren. Das ist auch ganz klar geregelt, dass da eben so eine ganz explizit zu Dokumentationspflicht besteht.
Ja, das zur Frage, was muss eigentlich gemacht werden mit Blick auf Datenschutzmanagement oder die Organisation von Datenschutz? Da stellt sich natürlich die Frage, wer macht das denn eigentlich? Und häufig ist da, glaube ich, die Annahme, weil es diesen Begriff Datenschutzbeauftragter, das haben die meisten von Ihnen vermutlich schon mal gehört, und das klingt ja irgendwie danach, nicht da ist jemand beauftragt, den Datenschutz zu machen. Und das ist aber leider ein bisschen irre führend in der Hinsicht, weil der Datenschutzbeauftragte, der macht gar nicht den Datenschutz. Also manche Organisationen, die müssen verpflichtenden Datenschutzbeauftragten haben. Da sage ich dann gleich was zu werden, welche Organisation das trifft. Aber der Datenschutzbeauftragte ist mehr Datenschutz-Controlling, als dass er das aktiv umsetzt. Ich habe hier oben links in dem Bereich die Aufgaben eines Datenschutzbeauftragten aufgeschrieben. Da geht also um vor allem primär die Überwachung, ja, das ist das Controlling, also soll überwacht werden, ob die Vorschriften in die Strategie der Organisation, also das Vereins sonst wahrscheinlich in Ihrem Fall, ob das tauglich ist, die Idee es geht zu erfüllen. Der Datenschutzbeauftragte muss dann auch beispielsweise den Vorstand eben unterrichten und beraten. Das muss eigentlich getan werden, ist Ansprechpartner für betroffene Personen. Wenn beispielsweise jemand sagt, ich habe das irgendwie ne Kopie meiner Daten angefordert, da kommt nichts, dann kann man sich auch an den Datenschutzbeauftragten wenden. Und noch ein paar andere kleinere Aufgaben. Aber das Wichtige ist eben, dass Sie unter verantwortliche Stelle im anderen Bereich der Folie steht, verantwortliche Stelle, das ist der DSGVO-Begriff für eine Organisation, die Daten verarbeitet, also da in diesem Fall der Verein. Diese ganzen anderen Aufgaben, Informationspflichten, andere Datenschutzhinweise erstellen, sich Fragen bezüglich Übermittlungen Drittländer stellen, Betroffenenrechte erfüllen, das Verzeichnis von Verarbeitungstätigkeiten pflegen, die Rechtmäßigkeit der Verarbeitung klären, braucht man eine Einwilligung oder nicht, das sind alles Themen, die muss die sogenannte verantwortliche Stelle machen. Das ist gar nicht die Aufgabe des Datenschutzbeauftragten. In vielen Organisationen, den Datenschutzbeauftragten haben, ist es so, dass der Anteil dieser Aufgabe mit übernimmt. Das ist aber eigentlich nicht die originäre Aufgabe. Deswegen ist es eben so, selbst wenn man den Datenschutzbeauftragten hat, egal ob das jemand aus der eigenen Organisation ist oder ein externer Berater, der das macht, man muss immer noch sehr hohen Eigenanteil erbringen, sich aktiv um Datenschutz kümmern. Und zum Karte bei größeren Organisationen, da braucht so ein Datenschutzbeauftragter natürlich auch Ansprechpersonen aus der Organisation, die wissen, was los ist. Und deswegen, ja, das einfach nur als Abriss, warum eben der Datenschutzbeauftragte nicht den Datenschutz macht, sondern eben eine ganz spezielle ein Kontroll- und Beratungsfunktionen.
Deswegen brauchen auch nicht alle Organisationen Datenschutzbeauftragten, ja. Also Datenschutz muss man immer machen als Organisation oder auch als Privatpersonen, wenn man Dinge tut, die jetzt so außerhalb persönlichen, familiären Umfeld stattfinden. Auch dann als Privatperson muss man sich den Datenschutz kümmern. Dann wird man auch zur verantwortlichen Stelle. Aber wichtig ist eben, diese ganzen Pflichten der Datenschutz- und Verordnungen, ich wurde auf der Folie auch hatte, die treffen einander immer alle, unabhängig davon, ob man jetzt Datenschutzbeauftragte brauchte er nicht. Und den Datenschutzbeauftragten brauchen eben manche. Da ist sicherlich die, der oberste Punkt, das Bekannteste, wenn mehr als 20 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind. Das waren auch als sehen und zu vor DSGVO wog am 19. Aber da gibt es ebenso eine Personengrenze, und wenn also dann diese Personengrenze überschritten wird, dann braucht man Datenschutzbeauftragten. Das ist mit dieser Personengrenze tatsächlich bei Verein bisschen unglücklich, weil diese Auslegung, was heißt ständig mit automatisierter Verarbeitung beschäftigt, das ist bei Vereinen höchst unklar. Das ist, wenn ein Unternehmen, wo Personen in Vollzeit arbeiten, im Büro vom Computer sitzen, da ist das klar, erzählt manchmal durchspielen, dort haben wir hier sitzen, dann weiß man über oder unter 20. Bei Vereinen, wo man nur so am Rande mal mit Datenverarbeitung zu tun hat, man denkt jetzt an den, den Übungsleiter in einem Sportverein, der die Mannschaftsliste bekommt per E-Mail, das ist automatisierte Datenverarbeitung, warte jetzt ständig damit zu tun. Und da schalten sich daneben die, die Geister, wie dieses ständig auszulegen. Es dann leider auch die Aufsichtsbehörden keine einheitliche Linie zu. Aber es ist ebenso eine grobe Orientierung schon mal, wo Sie dann im Zweifel einfach bei Ihrer Aufsichtsbehörde nachfragen sollten, wir sehen die Taste Ihren Verein.
Das ist aber nur einer der Punkte. Ansonsten, wenn man besonders, auch wenn man kleiner ist als Organisation und besonders sensible Daten Verarbeitung macht, also zum Beispiel Bereich Gesundheitsdaten, politische Meinung, dass das kern, die Kerntätigkeit Ihres Vereins ist, dann kann es auch sein, dass Sie aus dem Grund den Datenschutzbeauftragten brauchen. Und noch ein paar andere Punkte, die dann auch aber eher Sonderkonstellationen darstellen. Jedenfalls, wenn einfach so mutmaßt, nicht das Risiko, dass was schiefgehen könnte, besonders groß ist, dann braucht man einen Datenschutzbeauftragten. Das ist eben die Idee hinter dieser gesetzlichen Regelung. Wichtig ist jetzt aber, unabhängig davon, ob Sie den Datenschutzbeauftragten brauchen, Sie müssen sich eben immer um Datenschutz kümmern. Das ist ganz wichtig. Es ist manchmal dieses Missverständnis da, ja, wir sind ja weniger als 20, dann braucht man sich um Datenschutz kümmern. Das stück leben so nicht, sondern dann braucht man nur kein Datenschutzbeauftragte. Man hat also niemand dabei, der ein Loch zusätzlich kontrolliert und berät, sondern macht einfache kleine, machen muss man es trotzdem.
Einen Datenschutzbeauftragten auch freiwillig benennen, wenn man also denkt, auch das wird uns irgendwie guttun, und wir haben jemanden unseren Vereinskreisen, der macht das auch zum Beispiel beruflich und weiß, was zu tun ist, dann kann das je nachdem auch nicht schaden. Das kann man machen. Dann kann man diese Person auch Datenschutzbeauftragten nennen. Wenn aber etwas anderes gemeint ist als diese Datenschutzbeauftragten-Rolle, dann sollte man da auch nicht das Label Datenschutzbeauftragter dran schreiben. Oder das sieht man manchmal, das irgendwo Personen, die einfach nur als Ansprechperson für Datenschutz gedacht sind, das die dann auch als Datenschutzbeauftragter genannt werden. Also dass das daran geschrieben wird, das ist eben gefährlich, weil damit eine bestimmte, bestimmte Rolle geäußerten Forderung einhergeht, die dann in dem Fall gar nicht gemeint ist. Deswegen mit dem Begriff ein bisschen aufpassen und den nur dann verwenden, wenn auch wirklich das gemeint ist. Kann man die Personen eben ansprechen, Ansprechpartner für Datenschutz, Datenschutz-Koordinator, Manager, sonst finden.
Die Frage ist jetzt, gehen wir mal davon aus, Sie, Sie haben keinen Datenschutzbeauftragten, oder Sie haben einen und haben jetzt eben gerade gelernt, müssen es ja trotzdem auch irgendwie mit drum kümmern. Die Frage ist, wer im Verein muss sich eigentlich um den Datenschutz gemacht? Eine Antwort ist der Vorstand. Die andere Antwort ist alle. Und da muss was jetzt ein bisschen auseinander drosseln. Es ist eben so, dass der Verein als, sind müssen Sie eingetragen sind, sind Sie auch in juristischen Personen, und ist eben der Verein als Ganzes für die Einhaltung der Grundverordnung zuständig. Aber der Verein bisher vertreten durch den Vorstand, und der Vorstand muss eben dafür sorgen, dass diese Regelungen eingehalten werden. Der Vorstand muss das aber nicht alles, was an konkreten Tätigkeiten des höchst persönlich tun, man kann das durchaus delegieren. Das machen ja ganz viele Vereine im Bereich Buchhaltung zum Beispiel so. Also die meisten Vereine kennen ja die Rolle eines Kassierers, Kassenwarts, wie auch immer man das nennt. Da geht es ja letztendlich um Regelungen aus der Abgabenordnung, so Aufzeichnungspflichten für die Buchhaltung. Und das trifft erst mal den Verein als Ganzes, und dann sagt er entweder die Satzung oder der Vorstand den Vorstandsbeschluss, hier diese Aufgabe delegieren, wie eine andere Person, und die lernwelt Kassenwart. Und endlich kann man das auch im Datenschutz machen. Wichtig ist nur, dass der Vorstand weiter einfach sich seiner Verantwortung bewusst bleibt, ja. Also ähnlich wie jetzt beim Thema Buchhaltung, der Vorstand, wenn was schiefgeht, nicht sagen könnte, haben wir ja nichts mehr zu tun, wenn man Kassen bad. Ist einfach jeder Vorstand muss mit dem Spiel bleiben, muss mit einbezogen werden, muss informiert werden. Das ist ganz wichtig. Aber man kann eben den Träger von Datenschutzbestimmungen, das ist das, was ich vorhin schon meinte, was man dann eben beim Datenschutz-Koordinator oft nennt, den Unternehmen, bei Verein hat sich dann auch keinen so richtigen Begriff etabliert. Ich habe mal da mit der Bezeichnung Daten-Schatzmeister überlegt, so angelegt geht man den Schatzmeister war. Das ich glaube ich auch ein bisschen bisschen gekünstelt. Aber jedenfalls, unabhängig davon, wie man das dann nennt, man kann da eben einen Hutträger für bestimmen, der sich dann konkret um Datenschutz kümmern soll.
Ich sag dir vorhin schon, der Vorstand ist verantwortlich, aber irgendwie sind auch alle verantwortlich. Und das ist der Punkt, dass Aktive und Beschäftigte oder auch andere Personen nur die irgendwie im Auftrag des Vereins das mit Datenverarbeitung zu tun haben, dass die eben mit einbezogen werden müssen, in dem Sinne von man muss sensibilisieren, überhaupt darauf hinweisen, es gibt Datenschutzvorgaben, und man muss auch konkrete Weisungen am besten erlassen, ja. Also wir sind davon, wenn Daten auf dem privaten PC landen, dann bitte der, der Form. Und insofern kann man schon Datenschutz auch als Gemeinschaftsaufgabe entwickeln, dass da einfach mit an einem Strang ziehen. Das ist sinnvoll. Aber wichtig ist eben, die Rollen müsse geklärt sein. Was gefährlich ist, es wenn man sagt, naja, sind einfach alle irgendwie für Datenschutz zuständig, alle achten denn in ihrem Bereich drauf. Das funktioniert halt eben nicht so ganz. Das funktioniert, weil die Sicherheitsmaßnahmen noch am ehesten, aber spätestens, wenn es um so Themen geht, wieder kommt zu einer Betroffenenanfrage, welche Daten sind eigentlich gespeichert, sind so ein verteilter Ansatz nicht mehr. Dann braucht man irgendwie zentralen Ansatz durch ein Konzept. Und auch damit der Vorstand seiner Pflicht einfach nachkommt, dass das in der Organisation geregelt ist, es eben auch erforderlich, dass man da gewisse Rollen und Zuständigkeiten verteilt. Also einfach nur zu sagen, alle kümmern sich um den Datenschutz mit, das ist dann auch zu kurz gegriffen.
Dann jetzt noch die Frage, wie macht man das denn? Da kann eben, ja, da ist die zum einen, wie behält man den Überblick, aber auch die Frage, wie regelt man diese Zuständigkeiten? Und zur Frage des Überblicks hatte ich schon gesagt, es gibt es Verzeichnis der Verarbeitungstätigkeiten. Das ist eben vorgeschrieben im Artikel 30 und Verordnung. Das haben muss. Da haben wir von einer Stiftung Datenschutz auch eine Vorlage für entwickelt, auch andere Vorlagen. Ich zeig dir jetzt mal ganz kurz. Da haben wir auch eine Webinar-Aufzeichnung sonst zu Java oder ausführlicher darauf eingehen. Und wir haben halt mir einmal gibt zu allgemeine Angaben zum Verein, nicht einfach weiß, worauf bezieht sich das, technisch-organisatorische Maßnahmen. Da sage ich dann gleich noch mal kurz was zu. Dem sollte man auch kurz dokumentieren. Und der Kern des Verwalters, man die eigentlichen Verarbeitungstätigkeiten dokumentiert. Das ist dann eben so was, die Mitgliederverwaltung, Beitragsverwaltung, Webseite, Organisation des Sportbetriebs, Organisatoren englischen anderen Veranstaltungen, was auch immer. Sobald Daten irgendwo anfallen, und da muss man dann einfach verschiedene Dinge zu notieren. Warum macht man das eigentlich? Welche Personen sind davon betroffen? Also Veranstaltungsteilnehmer, nachdem keine Mitglieder, aber die Mitglieder vor, betrifft nur die Mitglieder etc. Da geht es dann aber auch eben unsere Themen wie, geben wir die Daten irgendwie weiter an Steuerberater zum Beispiel oder Cloud-Dienstleister? Gibt es irgendwelche Drittland-Transfers, die relevant sind, zum Beispiel Cloud-Dienst außerhalb der EU genutzt wird? Wann werden die Daten nicht gelöscht? Das sind alles Themen, die sind eben vorgeschrieben, die muss man dann da notieren.
Genau, da gibt's hier gesagt Vorlagen für. Für viele Vereine reicht so was ihr Kompaktes in Tabellenform. Da gibt es auch ausführlichere Vorlagen, wo man dann teilweise 23 den A4-Seiten hof Verwaltungstätigkeit ausfüllen sollten. Sie einfach gucken, was für Sie passt, wie großen Komplexes bei Ihnen ist. Das ist seitens der Verarbeitungstätigkeiten. Und das ist, wie gesagt, Pflicht. Aber ich finde, dass, wenn man den Blick mal darauf lenkt, was einem das auch bieten kann, das als Chance begreift, dann ist es vielleicht auch schon nicht mehr ganz so heftig, dass auszufüllen. Weil diese Angaben, die Sie da in den Spalten jetzt in unserer Vorlage reinschreiben müssen, die brauchen Sie einen anderen Stelle neben, ja. Wenn Sie beispielsweise im Rahmen von Datenschutzhinweise darüber informieren müssen, ob Daten in Drittländer transferiert werden, zu welchen Zwecken die Daten bearbeitet werden, die Daten gelöscht werden müssen, dann muss das in den Datenschutzhinweise stehen. Dann mussten das ohnehin ermitteln. Dann kommt das auch gleich da noch einschreiben und haben es ein bisschen übersichtlich habe für sich selbst. Von daher, diese Angaben, die brauchen ohnehin an anderen Stellen auch. Das ist nichts, was man jetzt nur für diesen Punkt machen würde. Und es bietet einem de gesagt auch eine gute Übersicht. Man kann das ebenso als Datenschutz-Cockpit, Dashboard, wie auch immer man das nennen will, nutzen, um dann auch bei bestimmten Fragestellungen einfach schnell agieren zu können. Wenn beispielsweise das Beispiel eingangs, eine Person fragt, welche Daten boden eigentlich gespeichert, man weist, die Person ist Mitglied, dann guckt man da rein, und sie tat das und das und das ist relevant. Wir haben intern duty Ansprechpersonen in den Cloud-Tools bei denen und den Dienstleistern ist, dass man hat man das ruckzuck zusammengestellt und kann das dann auch entsprechend zügig beantworten. Deswegen unsere Situation, was schnelles Handeln erforderlich ist, da ist das einfach ungemein hilfreich, wenn man das auch einfach irgendwo mal zentral zusammengetragen hat und da nicht dieses verteilte Wissen von allen Aktiven erstmal einsammeln muss.
Wenn Sie damit anfangen, wir zum Verzeichnis von Verarbeitungstätigkeiten, wie gesagt, ja, mit unserer Vorlage oder auch mit anderen, dann ist es sinnvoll, dass man erst mal die Aktivitäten oder die Verarbeitungstätigkeit, es dann da heißt, eben zusammenträgt und dann Schritt für Schritt Dinge verfeinert haben. Also gerade bei so Themen wie, ist jetzt meinen bestimmten Cloud-Dienstleister einem Drittland-Transfer relevant, da kann man sich dann ganz schnell drin verrennen in der Frage. Und das, also da will ich einfach verwarnen, verrennen Sie sich da nicht in 1 Punkten, gucken Sie erstmal, dass wir den dem grob proben Abriss einmal hinkriegen, und dann bitte sich diesen Titel Fragestellungen. Das ist sinnvoller, wenn man bei der ersten Zeile und Spalte alte ihr hängen bleibt und zum Rest dann gar nicht mehr kommt. Also das ist übrigens auch was, was, wenn es irgendwelche Probleme mal gibt, es wegen der Datenschutzaufsichtsbehörde bei Ihnen anfragt, ist das meistens das erst, wonach die fragen, geben sonst mit dem Verzeichnis von Bearbeitungstätigkeiten. Also auch dafür ist es sinnvoll, dass zwar.
Jetzt noch abschließend was zu der Frage, wie die konkret kann man das denn organisieren, dass da auch einfach die relevanten Personen mit eingebunden sind? Also jetzt unabhängig davon, ob der Vorstand sich selber darum kümmert oder ob man irgend jemand als Zuträger bestimmt hat, man muss ja doch irgendwie alle mit einbinden. Und da ist es eben zum einen wichtig, dass Sie einfach auch aktiv informieren. Das heißt, alle, die mit personenbezogenen Daten das machen, egal ob einfach nur aktiv, beschäftigte, ehrenamtlich, bezahlt, wie auch immer, dass Sie da einfach darüber informieren, hier, wir kümmern uns um Datenschutz, und da müssen alle mithelfen und ihren Teil zu beitragen. Je nachdem heißt das eben auch, wenn man dieses Verzeichnis der Verarbeitungstätigkeiten macht, dass man da halt auch die entsprechende Person mit einbindet. Das hat zum einen, ist es notwendig, um die Informationen zusammenzutragen. Was hat dann auch den Effekt, wenn man über dieses Detail-Fragestellung spricht, ja, also da wird jetzt eine Veranstaltung von einer bestimmten Untergruppe, Projektgruppe, AG das Vereins organisiert, dann wissen halt diese Personen am besten, was sie mit den Daten machen. Das nachsehen, wenn man größere Verein ist, wissen dass die anderen ja gar nicht. Und dementsprechend ist es auch dafür sinnvoll. Und was dann aber noch der, denn dieser Schritt wäre, was aber eine gewisse Vorbereitung braucht, ist, dass man auch konkrete Regelungen trifft, um die Einhaltung dieser technisch-organisatorischen Maßnahmen zu gewährleisten. Das ist das, was ich vorhin schon meinte, IT-Sicherheit, so als als Kernelement, aber auch weitergehend, einfach der richtige Umgang mit personenbezogenen Daten. Da kann man, wie gesagt, viel organisatorisch regeln. Das wären dann eben auch so Regeln, beispielsweise sagt, Daten sollen nur bei dem Cloud-Speicher, wo wir vom Verein außen Account gemacht haben, landen, nicht in privaten Cloud-Speichern, die privat sonst genutzt werden, auf den Computern genutzt werden. Basis-Sicherheitsmaßnahmen einzuhalten. Nach Ende der Veranstaltung müssen die und die Daten nach dem Zeitraum gelöscht werden. Also einfach interne Weisungen. Da ist aber ganz wichtig, dass das auch relativ konkrete Form bekommt. Was man häufig sieht, es gibt so Muss dafür, so Verpflichtungserklärungen. Das ist auch sinnvoll, solche Verpflichtungserklärung abzuschließen. Aber es gibt ebenso Muss dafür, da steht ja einfach nur ganz allgemein drin, hier, ja, dass der, der Mitarbeiter, das aktive Mitglied verpflichten sich die, die Einhaltung der Datenschutz- und Verordnung. Dann soll das unterschrieben werden, und dann denkt noch weiter Seiten, ja, toll, wenn irgendwas unterschrieben von Datenschutz gemacht. Aber eigentlich ist da gar nichts drin geregelt, ja. Also da weiß man am Ende immer noch nicht, was ist denn jetzt zu tun. Deswegen werden Sie solche Verpflichtungserklärung machen, bitte auch Gedanken machen, was heißt das denn für das konkrete Tätigkeit Umfeld, entsprechend konkrete Weisungen draus machen. Ist nichts, wo nicht so ganz abstrakt lassen.
Da gehen und einen Datenschutzkonzept machen. Das heißt, dass man einfach versucht, dieses Gesamtpaket, was von diesen verschiedenen Themenfeldern, die ich jetzt hier heute an gerissen habe, dass man das auch einfach mal versucht zusammen zu schreiben. Hier, wir im Verein gehen so und somit Datenschutz. Und das kann man dann entsprechend auch den aktiven Personen an die Hand geben. Das ist auch super hilfreich, wenn es mal Probleme gibt oder Aufsichtsbehörde wissen will, wie das denn gemacht wird, Verein mit der Umgang mit Datenschutz ist. Das dient also einfach der Transparenz. Das zeit enorm auf die Rechenschaftspflicht ein. Aber das ist ja in gewisser Hinsicht dann die etwa die Zusammenführung all dieser Elemente. Und das heißt dann, muss man dann entsprechend Vorarbeit bei diesen anderen Punkt schon gemacht haben. Ist auch in der Form jetzt nicht vorgeschrieben in der ganz bestimmten Form, aber bis eben hilfreich, um die Tapeten zusammenzuführen.
Ein Schutzkonzept nicht verwechseln sollte, ist das, was mancher Vereine Datenordnung nennen. Kann auch natürlich konkrete Regelungen als Satzungsergänzung machen, also ähnlich in der Geschäftsordnung oder sogar an die Satzung selbst aufnehmen. Das kommt er, also einfach ganz bindenden Charakter für die, für den Verein als Organisation und im Verhältnis auch zu Mitgliedern und Aktiven. Aber ja, das ist überhaupt nicht notwendig. Und man, ja, das sollte auch dann mehr sein als das. Habe ich leider auch schon an manchen Stellen gesehen, dass dann einfach so ganz allgemeine Datenschutzvorgaben, wie ich die für in Zukunft Weisungen schon genannt hatte, das sowas dann sogar halt eben in seinen Datenordnung rein geschrieben wird. Aber dann wissen die Person immer noch nicht, was zu tun ist, und man hat letztendlich nur das wiederholt, was eben Gesetz steht, bekommt dadurch dann auch keine größere Wirkung. Also das dann lohnt sich das nicht. Das sollte also schon relativ konkret sein und an auch satzungsgemäß Ziele anknüpfen. Dann kann es eben sogar einen Vorteil bieten, wenn man das damals Satzungsergänzung regelt, weil man sich darüber dann den Handlungsspielraum zukauf, die Rechtsgrundlagen vergrößert. Also Punkten, wo man sonst sagen würde, das gibt es die Satzung als Vertrag aber nicht her, dass man sagt, wir brauchen das doch unbedingt, dann kann das eben hilfreich sein, wenn es beispielsweise darum geht, dass Mitglieder Daten anderer Mitgliedern zur Verfügung gestellt werden innerhalb von Arbeitsgruppen. Für solche Themen, wo sonst so ein bisschen fragwürdig ist, auf welcher Rechtsgrundlage darf man das eigentlich machen, könnte man solche Dinge daneben expliziter regeln.
