Datenschutzgrundverordnung

Aufgepasst! Bereits am 25. Mai 2018 trat die neue Datenschutzgrundverordnung in Kraft. Genaugenommen änderte sich nicht viel an den Spielregeln, doch die Strafen für Verstöße wurden erheblich angehoben. Verantwortlich für die Umsetzung ist in Vereine der Vorstand. Wir versuchen, in diesem umfassenden Feld eine grobe Übersicht zu geben, Rechtsberatung ist uns natürlich nicht möglich.

Von außen wahrnehmbar ist zu allererst eure Homepage, ihr gebührt also oberste Priorität.
1. Befindet sich im Header oder Footer und von allen Unterseiten her direkt anwählbar ein Punkt „Datenschutz“? Dieser muss eindeutig als solches benannt sein. Das Verstecken der Datenschutzhinweise im Impressum, auch der Kontaktseite o.ä. reicht nicht aus.
2. Zu den unter Datenschutz einzupflegenden Hinweisen gibt es diverse Vorlagen im Netz. Sucht direkt nach denjenigen, welche die neue Datenschutzgrundverordnung berücksichtigen! Der Umfang der Hinweise hängt von den durch euch verwendeten Apps und Funktionen auf eurer Homepage ab.
3. Bei der Nutzung von Google Analytics reichte es bislang, auf der Datenschutzseite neben der Erklärung dazu einen Link zu hinterlegen, mit welchem Nutzern ermöglicht wurde, seine Verhaltensüberwachung zu stoppen. Nach erster Unsicherheit, ob stattdessen der Nutzer, bevor überhaupt irgendwelche Daten von ihm erfasst werden, dieser Tatsache aktiv zustimmen muss, hat sich herauskristallisiert, dass der Nutzer durch die von ihnen selbst getroffenen Grundeinstellungen in seinem Browser einer unerwünschten Überwachung vorbeugen kann (und sollte, sofern dieses von ihm erwünscht ist).
4. Newsletter: Es reicht nicht aus, dass irgendwer irgendeine Mailadresse eingibt, um an diese Adresse anschließend Newsletter versenden zu dürfen. Notwendig ist die Rückbestätigung der Mailadresse durch den Inhaber. Viele Apps haben das glücklicherweise bereits automatisch umgesetzt-.
5. Kontaktformulare: Müssen einen Hinweis enthalten, wie, wo, wozu und warum überhaupt und bis wann die eingegebenen Daten verarbeitet und gespeichert werden. Außerdem seid ihr so oder so zur Datensicherheit verpflichtet, d.h. Sicherheitsupdates müssen verwendet und aktualisiert werden und wer Kontaktformulare hat (insbesondere solche mit besonders sensiblen Daten, d.h. Kontoverbindungen usw.) werden ihre Seite auf https umstellen müssen. Viele Browser blockieren unsichere „http“-Seiten bereits automatisch oder geben zumindest einen Warnhinweis. Auch hier steht der Nutzer in gewissem Maße auch in Eigenverantwortung.

Intern:
Da wird es dann wirklich anstrengend! Jeder Verein erhebt und verarbeitet nämlich Daten – angefangen von Namen, Adressen, Geburtsdaten, Kontoverbindungen; vielleicht sogar besonders sensible Daten zu Gesundheit (Allergien!). Und das bedeutet, dass ihr jedesmal, wenn euch wer Daten zur Verfügung stellt (Eintrittserklärungen, Fahrtenanmeldungen) oder dies in der Vergangenheit getan hat, direkt einen Informationsbogen zur Unterschrift in zweifacher Ausführung hinlatzt, wozu, weshalb und warum ihr welche Daten von ihm erhebt, wie sie gespeichert, verarbeitet werden und wann sie gelöscht werden. Solltet ihr bei Fahrtenanmeldungen zusätzliche Daten erheben, gehört auch da eine Belehrung dazu. Und JEDER (wirklich JEDER) darf euch spontan fragen, welche Daten ihr eigentlich über ihn so vorliegen habt, weshalb und wieso, wie sie verarbeitet werden und wann die Löschung erfolgt. Und ihr müsst ihm sofort antworten können – per Ausdruck. Um das tun zu können, müsst ihr zu jedem einzelnen Mitglied separat sogenannte VERZEICHNISLISTEN erstellen, wo eben diese Dinge vermerkt sind. Vordrucke dazu verlangt ihr am besten von eurer Bundesführung, haha. Bei der Gestaltung sind bestimmte Formen einzuhalten. Eine schöne Übersicht mit Formvorlagen aus Österreich ist hier zu finden. Da es sich um EU-Recht handelt, dürften diese Listen auch für deutsche Verhältnisse passen.

Ihr seht auf der oben verlinkten Seite auch so Dinge wie die Verschwiegenheitserklärung für Mitarbeiter – ja, auch das ist ein Thema für euch. Zu den Klamotten Bildrechte usw. sag ich hier jetzt nix, das sind ja alte Hüte. Aber: Wenn ihr Daten von Minderjährigen erhebt, müssen deren Eltern natürlich zustimmen. Ihr könnt also nicht von Klein-Lisa, die von ihrer Freundin zur Gruppenstunde angeschleppt wurde, einfach die Adresse erfragen und digital erfassen.

Auch intern gilt das Gebot der Datensicherheit – bedeutet, dass wer auch immer bei euch digital Daten verarbeitet, speichert, weißderHenker, dazu verpflichtet ist, seine Rechner sicher zu halten; und das bedeutet auch, dass er ein Passwort vergeben muss, welches nur er kennt und dass der Rechner nach kurzer Zeit, die er nicht benutzt wird, erneut das Passwort anfordert. Dazu wird er per Datenschutzerklärung verpflichtet. Damit eben nicht Mutti und Opa neugierig durch die Daten stöbern können und dann auf dem Wochenmarkt der verdutzten Marktfrau erklären, deren Tochter bei euch in der Gruppe ist, dass sie das Megaalbern findet, dass sie Gegner der Tetanusschutzimpfung ist. Auch die lustigen Rundmails mit sämtlichen Mailadressen in bcc sind außerordentlich bedenktlich, wenn dazu nicht alle (und bei Nicht-Volljährigen deren Eltern) die Zustimmung gegeben haben.

Allerdings: Wo kein Kläger, da kein Richter. In überschaubaren Vereinen, in denen Einigkeit darüber herrscht, dass man solche Dinge nicht überbewerten sollte, hat zwar jeder das Anrecht auf die Umsetzung der Datenschutzgrundverordnung, aber wird womöglich nicht direkt mit einer Klage vorstellig. Auch kann das Schadenspotential angemessen berücksichtigt werden, also was denn tatsächlich schlimmstenfalls bei einem Datenleck geschehen kann. Da wäre wohl (je nach Aufgabenverteilung) primär der Kassenwart in der Pflicht.

Puh! Überhaupt: Gesundheitsdaten, ganz kritisch. Werden bei euch Gesundheitsdaten erfasst und das gehört irgendwie zu eurer Tätigkeit im engeren Sinne dazu (was wohl am ehesten nur auf PTA-Gruppen zutreffen dürfte, aber wer weiß das schon), dann ist je nach Bundesland völlig unabhängig von der Anzahl der Personen bei euch, welche mit diesen Daten umgehen, ein Datenschutzbeauftragter zu ernennen, der für seine Aufgabe ausgebildet sein muss (Teilnahme an einem zertifiziertem Kurs!). Diese Aufgabe dürfen werder Vorstand, noch „EDV-Abteilung“ übernehmen, der muss nämlich unabhängig sein. Die Ausbildung kosten mindestens 500€ (bisweilen auch an die 2000€), kommt aber immer noch günstiger (sofern euch die ausgebildete Kraft anschließend erhalten bleibt), als ein extern beauftragter Dienstleister. Auch da würde ich sagen: Wendet euch an eure Bundesführung! Seid ihr zu einem Datenschutzbeauftragtem verpflichtet, so muss dieser auf eurer Homepage angegeben werden und den Aufsichtsbehören (keine Ahnung wer das dann sein wird – möchte meinen: der Landesdatenschutzbeauftragte sollte das wissen) aktiv gemeldet werden.

Datenpanne: Der Kassenwart verliert z. B. sein Smartphone, da sind sämtliche Kontoverbindungen drauf… Binnen 72 Stunden nach Kenntnis dieses Umstandes muss der Vorfall an die Aufsichtsbehörde gemeldet werden. Außerdem müssen alle Betroffenen darüber informiert werden, was passiert ist, welche Daten es betraf, was passieren könnte.

Und das war jetzt nur der erste Überblick! Fazit: Datenschutz ist Chefsache. Beginnt mit der Umsetzung jetzt und schafft die notwendigen Strukturen in euren Gruppen. Holt euch Unterstützung – von eurer Bundesführung, von Fachleuten aus euren Gruppen. Nehmt das Thema Datenschutz in eure Schulungen auf, sensibilisiert eure Gruppenführer für das Thema. Und fangt mit der Homepage an.

Die ALTERNATIVE: Gibt es keinen Ausweg? Doch, gibt es. Macht alles handschriftlich, erfasst und verarbeitet nichts mehr digital und schließt es in Schränken ein. Reduziert die Homepage und die Datenerhebung aufs absolute Minimum. Rauchzeichen brauchen keinen Datenschutz.

Kostenfrei den SPURBUCH Newsletter bestellen.

Spurbuchverlag: Die größte Auswahl an Büchern über die Pfadfinder- und Jugendbewegung.

 


Beitrag veröffentlicht

in

von

Kommentare

Eine Antwort zu „Datenschutzgrundverordnung“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert