Datenschutzgrundverordnung

Aufgepasst! Bereits am 25. Mai tritt die neue Datenschutzgrundverordnung in Kraft. Genaugenommen ändert sich nicht viel an den Spielregeln, doch die Strafen für Verstöße werden erheblich angehoben. Das Problem: Viele Pfadfindergruppen haben sich noch nicht darauf vorbereitet und auch nicht die bislang geltenden Regeln umgesetzt. Abmahnvereine können schon mit einem einfachen Blick auf eure Homepage feststellen, was Sache ist und dann kann es teuer werden. Verantwortlich für die Umsetzung ist in Vereine der Vorstand. Wir versuchen, in diesem umfassenden Feld nur eine erste grobe Übersicht zu geben, Rechtsberatung ist uns natürlich nicht möglich.

Von außen wahrnehmbar ist zu allererst eure Homepage, ihr gebührt also oberste Priorität.
1. Befindet sich im Header oder Footer und von allen Unterseiten her direkt anwählbar ein Punkt „Datenschutz“? Dieser muss eindeutig als solches benannt sein. Das Verstecken der Datenschutzhinweise im Impressum, auch der Kontaktseite o.ä. reicht nicht aus. (Jaaa, ich weiß, das ist hier auch noch nicht umgesetzt).
2. Zu den unter Datenschutz einzupflegenden Hinweisen gibt es diverse Vorlagen im Netz. Sucht direkt nach denjenigen, welche die neue Datenschutzgrundverordnung berücksichtigen! Der Umfang der Hinweise hängt von den durch euch verwendeten Apps und Funktionen auf eurer Homepage ab.
3. Bei der Nutzung von Google Analytics reichte es bislang, auf der Datenschutzseite neben der Erklärung dazu einen Link zu hinterlegen, mit welchem Nutzern ermöglicht wurde, seine Verhaltensüberwachung zu stoppen. Das reicht nach derzeitiger Einschätzung unserer Redaktion künftig nicht mehr aus. Stattdessen muss der Nutzer, bevor überhaupt irgendwelche Daten von ihm erfasst werden, dieser Tatsache zustimmen. Ihr kennt das vielleicht von diesen nervigen Pop-Up-Fenstern zu den Cookies, denen man zustimmen soll, ehe die eigentliche Seite geladen wird – ungefähr so muss das dann wohl auch unter Umständen für Analysetools umgesetzt werden.
4. Newsletter: Es reicht nicht aus, dass irgendwer irgendeine Mailadresse eingibt, um an diese Adresse anschließend Newsletter versenden zu dürfen. Notwendig ist die Rückbestätigung der Mailadresse durch den Inhaber. Viele Apps haben das glücklicherweise bereits umgesetzt-.
5. Kontaktformulare: Müssen einen Hinweis enthalten, wie, wo, wozu und warum überhaupt und bis wann die eingegebenen Daten verarbeitet und gespeichert werden. Außerdem seid ihr so oder so zur Datensicherheit verpflichtet, d.h. Sicherheitsupdates müssen verwendet und aktualisiert werden und wer Kontaktformulare hat (insbesondere solche mit besonders sensiblen Daten, d.h. Kontoverbindungen usw.) werden ihre Seite auf https umstellen müssen.

Intern:
Da wird es dann wirklich anstrengend! Jeder Verein erhebt und verarbeitet nämlich Daten – angefangen von Namen, Adressen, Geburtsdaten, Kontoverbindungen; vielleicht sogar besonders sensible Daten zu Gesundheit (Allergien!). Und das bedeutet, dass ihr ab 25. Mai jedesmal, wenn euch wer Daten zur Verfügung stellt (Eintrittserklärungen) oder dies in der Vergangenheit getan hat, direkt einen Informationsbogen zur Unterschrift in zweifacher Ausführung hinlatzt, wozu, weshalb und warum ihr welche Daten von ihm erhebt, wie sie gespeichert, verarbeitet werden und wann sie gelöscht werden. Solltet ihr bei Fahrtenanmeldungen zusätzliche Daten erheben, gehört auch da eine Belehrung dazu. Und JEDER (wirklich JEDER) darf euch spontan fragen, welche Daten ihr eigentlich über ihn so vorliegen habt, weshalb und wieso, wie sie verarbeitet werden und wann die Löschung erfolgt. Und ihr müsst ihm sofort antworten können – per Ausdruck. Um das tun zu können, müsst ihr zu jedem einzelnen Mitglied separat sogenannte VERZEICHNISLISTEN erstellen, wo eben diese Dinge vermerkt sind. Vordrucke dazu verlangt ihr am besten von eurer Bundesführung, haha. Bei der Gestaltung sind bestimmte Formen einzuhalten. Eine schöne Übersicht mit Formvorlagen aus Österreich ist hier zu finden. Da es sich um EU-Recht handelt, dürften diese Listen auch für deutsche Verhältnisse passen.

Ihr seht auf der Seite auch so Dinge wie die Verschwiegenheitserklärung für Mitarbeiter – ja, auch das ist ein Thema für euch. Zu den Klamotten Bildrechte usw. sag ich hier jetzt nix, das sind ja alte Hüte. Aber: Wenn ihr Daten von Minderjährigen erhebt, müssen deren Eltern natürlich zustimmen. Ihr könnt also nicht von Klein-Lisa, die von ihrer Freundin zur Gruppenstunde angeschleppt wurde, einfach die Adresse erfragen und digital erfassen.

Auch intern gilt das Gebot der Datensicherheit – bedeuet, dass wer auch immer bei euch digital Daten verarbeitet, speichert, weißderHenker, dazu verpflichtet ist, seine Rechner sicher zu halten; und das bedeutet auch, dass er ein Passwort vergeben muss, welches nur er kennt und dass der Rechner nach kurzer Zeit, die er nicht benutzt wird, erneut das Passwort anfordert. Dazu wird er per Datenschutzerklärung verpflichtet. Damit eben nicht Mutti und Opa neugierig durch die Daten stöbern können und dann auf dem Wochenmarkt der verdutzten Marktfrau erklären, deren Tochter bei euch in der Gruppe ist, dass sie das Megaalbern findet, dass sie Gegner der Zeckenschutzimpfung ist. Auch die lustigen Rundmails mit sämtlichen Mailadressen in bcc sind außerordentlich bedenktlich, wenn dazu nicht alle (und deren Eltern) die Zustimmung gegeben haben.

Puh! Überhaupt: Gesundheitsdaten, ganz kritisch. Werden bei euch Gesundheitsdaten erfasst und das gehört irgendwie zu eurer Tätigkeit im engeren Sinne dazu (was wohl am ehesten nur auf PTA-Gruppen zutreffen dürfte, aber wer weiß das schon), dann ist völlig unabhängig von der Anzahl der Personen bei euch, welche mit diesen Daten umgehen, ein Datenschutzbeauftragter zu ernennen, der für seine Aufgabe ausgebildet sein muss (Teilnahme an einem zertifiziertem Kurs!). Diese Aufgabe dürfen werder Vorstand, noch EDV-Abteilung übernehmen, der muss nämlich unabhängig sein. Die Ausbildung kosten mindestens 500€ (bisweilen auch an die 2000€), kommt aber immer noch günstiger (sofern euch die ausgebildete Kraft anschließend erhalten bleibt), als ein extern beauftragter Dienstleister. Auch da würde ich sagen: Wendet euch an eure Bundesführung! Seid ihr zu einem Datenschutzbeauftragtem verpflichtet, so muss dieser auf eurer Homepage angegeben werden und den Aufsichtsbehören (keine Ahnung wer das dann sein wird – möchte meinen: der Landesdatenschutzbeauftragte sollte das wissen) aktiv gemeldet werden.

Datenpanne: Der Kassenwart verliert z. B. sein Smartphone, da sind sämtliche Kontoverbindungen drauf… Binnen 72 Stunden nach Kenntnis dieses Umstandes muss der Vorfall an die Aufsichtsbehörde gemeldet werden. Außerdem müssen alle Betroffenen darüber informiert werden, was passiert ist, welche Daten es betraf, was passieren könnte.

Und das war jetzt nur der erste Überblick! Fazit: Datenschutz ist Chefsache. Beginnt mit der Umsetzung jetzt und schafft die notwendigen Strukturen in euren Gruppen. Holt euch Unterstützung – von eurer Bundesführung, von Fachleuten aus euren Gruppen. Nehmt das Thema Datenschutz in eure Schulungen auf, sensibilisiert eure Gruppenführer für das Thema. Und fangt mit der Homepage an.

Die ALTERNATIVE: Gibt es keinen Ausweg? Doch, gibt es. Macht alles handschriftlich, erfasst und verarbeitet nichts mehr digital und schließt es in Schränken ein. Reduziert die Homepage aufs absolute Minimum. Rauchzeichen brauchen keinen Datenschutz.