Digitales Training: Endlich verstehen: DSGVO

Egal ob es um die Verwaltung der Mentoringbeziehungen, die Nutzung von Cloud-Diensten oder die Öffentlichkeitsarbeit mittels Webseite und Social Media geht – die Berührungspunkte mit Datenschutz sind vielfältig. Viele Organisationen haben ein Bewusstsein für ihr digitales Handeln und wollen den Datenschutz ernst nehmen. Doch oftmals ist unklar, worauf genau es zu achten gilt und wie man sich dem Thema sinnvoll widmet. In diesem Einführungsworkshop werden die Grundlagen der Datenschutzumsetzung erläutert und ihr habt die Möglichkeit, eure Fragen und Themen mit einzubringen.

Referent

Hendrik vom Lehn ist Referent für Datenschutzrecht und ist tätig für die Stiftung Datenschutz. Er organisiert Webinarreihen, entwickelt den Generator für Datenschutzhinweise und arbeitet an Konzepten, wie gemeinnützige Vereine und ehrenamtlich Tätige bei der Erfüllung der datenschutzrechtlichen Anforderungen unterstützt werden können. Er ist Diplom-Informatiker mit einem Master-Abschluss in Technischer Politikfeldanalyse sowie Zertifizierter Berater im Datenschutzrecht (FernUniversität in Hagen).

Dokumentation

01. Oktober 2024 I Endlich verstehen: DSGVO 

Im digitalen Training vom 01.10.2024 beleuchtete Referent Hendrik vom Lehn die grundlegenden Aspekte des Datenschutzes und dessen zentrale Rolle im Schutz der Personen hinter den Daten. Er erklärte, dass personenbezogene Daten strukturierte Informationen sind, die Rückschlüsse auf individuelle Personen zulassen und somit unter die geltenden Datenschutzgesetze fallen. Die Teilnehmenden erfuhren, dass Organisationen klare Zwecke für die Datenerhebung festlegen und die Menge der gesammelten Daten minimieren müssen, während nicht mehr benötigte Daten rechtzeitig gelöscht werden sollten. Zudem erforderten besondere Kategorien von Daten strengere Schutzmaßnahmen, und die Datenschutzhinweise sollten klar und zugänglich gestaltet sein. Als Einstieg ins Thema sammelten die Teilnehmenden relevante Fragen zum Thema Datenschutz:

Fragen der Teilnehmenden

Frage: Ab wann ist es notwendig, mit Freiwilligen eine Datenschutzvereinbarung zu treffen, und wie sollte diese im Mindestmaß aussehen, ohne zu umfangreich zu werden? Antwort: Streng genommen unterliegt Papier, das lediglich als Schmierpapier dient, nicht dem Datenschutz. Sobald jedoch Informationen in einer strukturierten Form abgelegt oder eingeordnet werden, greifen auch für Papierdokumente die Datenschutzvorschriften. In solchen Fällen sollte eine Datenschutzvereinbarung getroffen werden, die im Mindestmaß regelt, welche Daten erfasst werden, zu welchem Zweck und wie sie geschützt werden. 

Frage: Muss im Rahmen des Einwilligungsverfahrens für Cookies die Möglichkeit zur Ablehnung von Cookies explizit angegeben sein? Und wie verhält es sich mit technisch notwendigen Cookies? Was genau gilt als technisch notwendig, und kann man darauf vertrauen, dass nur diese verwendet werden? Antwort: In der Praxis gehen die Meinungen darüber auseinander. Insbesondere bei der Frage, welche Cookies als „technisch notwendig“ gelten, gibt es unterschiedliche Interpretationen. Datenschutz-Aufsichtsbehörden sind in der Regel sehr streng und fordern eine klare Abgrenzung sowie transparente Informationen darüber, welche Cookies wirklich unverzichtbar für den Betrieb der Website sind und welche zusätzlichen Funktionen dienen.

Frage: Wann darf ich über vertrauliche Informationen, wie z. B. Details über eine Familie (Namen und Wohnort), mit anderen sprechen oder sie weitergeben? Antwort: Im Bereich des Sozialdatenschutzes, der parallel zur DSGVO existiert, unterliegt das gesprochene Wort strengen Regeln. Anders als in der DSGVO, wo das gesprochene Wort weniger Gewicht hat, sind im Sozialdatenschutz anvertraute Informationen genauso geschützt wie schriftliche Daten. Daher dürfen vertrauliche Informationen – insbesondere über Personen wie Familien, inklusive Namen und Wohnort – nicht ohne ausdrückliche Einwilligung an andere, auch nicht an andere Helfende weitergegeben werden. Diese Einwilligung muss explizit erteilt werden.

Frage: Bei Datenschutzerklärungen müssen Nutzer:innen oft bestätigen, dass sie die Erklärung gelesen und verstanden haben. Wird hier nicht von den Menschen verlangt, etwas zu bestätigen, was sie möglicherweise nicht verstanden haben? Ist das überhaupt zulässig? Antwort: In vielen Fällen ist diese Praxis rechtlich fragwürdig und könnte sogar unwirksam sein. Oftmals werden solche Einwilligungen gar nicht hinreichend sanktioniert, und es fehlt an Konsequenzen, wenn die Erklärungen nicht verständlich sind oder falsch bestätigt werden.

Frage: Es wird über ein Zertifizierungssystem mit einem Ampelmodell (grün/gelb/rot) für den Datenschutz diskutiert. Wird daran gearbeitet? Antwort: Die Einführung eines Ampelsystems ist eine interessante Idee, jedoch schwer umsetzbar. Es stellt sich die Frage, wofür genau das Tool eingesetzt wird. Datenschutz ist oft so komplex und fallabhängig, dass ein Ampelsystem nur schwer anzuwenden ist, insbesondere bei großen Softwareprodukten wie denen von Microsoft. Obwohl der Wunsch nach mehr Transparenz verständlich ist, macht die Komplexität vieler Softwarelösungen eine einfache Einordnung in ein Ampelsystem schwierig.

Frage: Im Freiwilligenbereich kommt es vor, dass sensible Daten, beispielsweise von Geflüchteten, weitergegeben werden, obwohl dies nicht erlaubt ist. Kann ich meine Datenschutzverpflichtungen auch auf Freiwillige ausdehnen, etwa durch Vertraulichkeitsvereinbarungen? Und hafte ich, wenn ich dies nicht tue? Antwort: Vertraulichkeitsverpflichtungen sind eine sinnvolle Maßnahme, um den Datenschutz im Freiwilligenbereich zu sichern, und können auch zivilrechtlich durchgesetzt werden. Wenn die DSGVO formal gilt, ist man als Organisation verpflichtet, Freiwillige über Datenschutzvorgaben zu informieren und zu sensibilisieren. Optimalerweise sollten diese Sensibilisierungsmaßnahmen auch in Form einer schriftlichen Vereinbarung festgehalten werden.

Was ist Datenschutz?

Was schützt der Datenschutz? In erster Linie sollen nicht die Daten selbst, sondern die Personen hinter den Daten geschützt werden. Dies gilt sowohl im Privaten als auch in ihren sozialen Beziehungen. Der Datenschutz wird demnach also vor allem da interessant, wo es um soziale Beziehungen geht.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle digitalen sowie strukturiert in Papierform abgelegten Informationen, aus denen Rückschlüsse auf eine natürliche Person gezogen werden können. Das Spektrum solcher Daten ist sehr umfangreich. Nicht unter den Datenschutz fallen hingegen unstrukturierte Informationen, wie etwa Notizen auf Schmierzetteln oder das gesprochene Wort. Sobald Daten strukturiert erfasst werden, sei es in einem Karteikasten oder in digitaler Form, fallen sie unter die Bestimmungen der DSGVO. Entscheidend ist, dass Rückschlüsse auf eine Person möglich sind, was in vielen Fällen schnell gegeben ist, sobald jemand identifiziert und zugeordnet werden kann.

Was ist die DSGVO?

Die DSGVO ist das zentrale Regelwerk zum Schutz personenbezogener Daten in der EU. Sie dient als Ausformulierung grundlegender Rechte, insbesondere des Rechts auf Privatsphäre und Datenschutz, und stellt sicher, dass diese Rechte im digitalen Zeitalter gewahrt bleiben.

Typische Berührungspunkte mit Datenschutz in Vereinen

  • Mitgliederdaten
  • Website 
  • Nutzung von Cloud Diensten
  • Messenger
  • Mails / Newsletter
  • Fotos
  • Social Media 
  • Videokonferenzen etc.

“Spielregeln” der DSGVO

  • Der Zweck der Datenerhebung muss klar definiert sein: Wofür benötigen wir welche Daten? Sind sie nur für uns oder auch für Partner:innen gedacht? Dabei gilt der Grundsatz: So viel wie nötig, so wenig wie möglich.
  • Daten sollten gelöscht werden, wenn sie nicht mehr benötigt werden. Welche Fristen gelten dabei? Nach Ablauf der Frist sollten sie entfernt werden, es sei denn, es gibt einen speziellen Grund, sie weiterhin zu behalten. Es ist wichtig, zu klären, zu welchen Zwecken Daten wie lange aufbewahrt werden müssen.
  • Fragt aktiv, ob ihr Daten für bestimmte Zwecke verwenden dürft und informiert darüber, wie ihr mit den Daten umgeht.
  • Überprüft, ob eine Einwilligung erforderlich ist und dokumentiert, was ihr macht.
  • Stellt sicher, dass ihr vertrauenswürdige Dienstleister in vertrauenswürdigen Ländern wählt.
  • Geht auf Auskunftsersuche und Korrekturbitten ein. Betroffene Personen haben Rechte. Anfragen müssen daher innerhalb eines Monats beantwortet werden, andernfalls können Datenschutzaufsichtsbehörden eingeschaltet werden.

Basiswissen

  1. Verschafft euch einen Überblick → bei welchen Vorgängen werden personenbezogene Daten verarbeitet?
  2. Beschäftigt euch mit der Zulässigkeit der Verarbeitung von personenbezogenen Daten.
  3. Informiert eure Vereinsmitglieder über die Verarbeitung ihrer personenbezogenen Daten.

Die Rechtsgrundlage für die Datenerhebung muss klar definiert werden. In verschiedenen Bereichen ist es wichtig, einen “guten Grund” für die Speicherung von Daten zu haben. Die Einwilligung ist eine mögliche Rechtsgrundlage, jedoch nicht die einzige; auch ein Vertrag kann als Grundlage dienen. Ein Beispiel für eine vertragliche Grundlage ist die Anmeldung zu einer Veranstaltung oder eine Mitgliedschaft.

Beim berechtigten Interesse ist eine sorgfältige Abwägung erforderlich: Dabei gilt es zu prüfen, welche Vorteile die Organisation hat und welche Risiken für die betroffene Person bestehen. Es muss zudem die Möglichkeit bestehen, Widerspruch einzulegen. Bei vertraglicher Grundlage kann die Datenverarbeitung sofort erfolgen. Im Gegensatz dazu ist eine Einwilligung jederzeit widerrufbar, was bedeutet, dass Daten nicht unbegrenzt gespeichert werden können. Dies stellt in vielen Fällen eine Herausforderung dar.

Besondere Datenkategorien

  • Ethnische Herkunft
  • Politische Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische Daten
  • Biometrischen Daten zur eindeutigen Identifizierung
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

Erlaubnistatbestände bei besonderen Datenkategorien

  • Ausdrückliche Einwilligung
  • Arbeitsrecht und Sozialversicherungspflichten
  • Schutz lebenswichtiger Interessen
  • Interne Verwendung durch Tendenzorganisationen
  • Gesundheitsvorsorge durch Fachpersonal

Informationspflichten – Datenschutzhinweise nach Art. 13 / 14 DSGVO

  • Oft “Datenschutzerklärung” genannt
  • Reine Info, die nicht aktiv akzeptiert werden muss
  • Es existieren viele Muster, die aber angepasst werden müssen
  • Datenschutzhinweise müssen mindestens die Website, können aber auch mehr umfassen

Es ist empfehlenswert, die Datenschutzhinweise auf der Homepage auszulagern. Dies ermöglicht es den Nutzern, gezielt und unkompliziert die relevanten Informationen gemäß Artikel 13 und 14 der DSGVO zu finden, insbesondere für diejenigen, die sich für die Details der Datenverarbeitung interessieren.

Um den Informationspflichten nachzukommen, sollten die Datenschutzhinweise klar und verständlich präsentiert werden. Dies bedeutet, dass die Informationen so angeboten werden sollten, dass interessierte Personen sie leicht auffinden können, wenn sie mehr darüber erfahren möchten, wie ihre Daten verwendet werden.

Technisch-Organisatorische Maßnahmen

Umsetzung von Datenschutzvorgaben und IT-Sicherheit

Beispiele:

  • Abschließbarer Schrank in Geschäftsstelle
  • Sicherer Cloud-Speicher
  • Verschlüsselter USB-Stick
  • Anweisung, Daten auf privatem Familien-PC nicht ungeschützt abzuspeichern

Einsatz von Tools / Dienstleistern

  • Unterschied zwischen lokal verarbeiteten Daten oder webbasierten Tools (codo, civiCRM etc.)
  • Beim Einsatz von Dienstleistern → Vetrag zur Verarbeitung im Auftrag (Art. 28 DSGVO): bindet Dienstleister so ein, dass man selbst Kontrolle behält

Frage: Was ist sicherer Cloud-Schutz? 

Sicherer Cloud-Schutz lässt sich nicht einfach durch ein Ampelsystem darstellen. Ein wichtiger Aspekt ist, wo die Daten gespeichert werden: lokal auf Geräten oder bei Dienstleistern wie Online-Tools (z. B. Padlet). In jedem Fall ist ein Vertrag zur Auftragsverarbeitung erforderlich. Dieser bindet die Dienstleister und stellt sicher, dass eure Daten nicht für Trainingszwecke neuer KI-Modelle verwendet werden.

Zudem sollte die technische Sicherheit der Dienste geprüft werden. Garantien über den sicheren Umgang mit Daten sind als Laie oft schwer einzuschätzen, daher ist gründliche Recherche wichtig, um sicherzustellen, dass die gewählten Lösungen den Datenschutzstandards entsprechen.

Daten Minderjähriger

  • Wenn möglich, sollte die Nutzung des berechtigten Interesses in der Praxis vermieden werden
  • Wie bei besonders schützenswerten Daten ist in vielen Fällen eine Einwilligung erforderlich, die von den Sorgeberechtigten erteilt werden muss
  • Wann können Jugendliche selbst einwilligen? Leider existiert hier keine klare Altersgrenze. Richtwert liegt bei circa 16 Jahren 
  • Thema Informationspflicht: ab einem gewissen Alter sollten Kinder mit einbezogen werden (auch bei Minderjährigen, wenn sinnvoll). 

Sonstige Hinweise / Fragen

Hinweis: Der Abruf von einer Website gilt bereits als Datenverarbeitung!

Hinweis: Kirchlicher Datenschutz: Für diesen gilt nicht DSGVO, sondern das kirchliche Datenschutzrecht. Muss aber so nah an DSGVO sein, dass die Gesetze greifen, inhaltlich geht es um das Gleiche. 

Frage: Gibt es Vorlagen für die Datenschutzerklärung einer Website? Antwort: Ja, es gibt beispielsweise Generatoren dafür, nützlich ist hier immer ein „Grundgerüst“, da die Texte sonst zu lang werden: https://stiftungdatenschutz.org/ehrenamt/generator-datenschutzhinweise.

Die Digitale Trainingsreihe findet im Rahmen des Programms openTransfer Patenschaften statt. openTransfer Patenschaften fördert die Vernetzung, den Wissenstransfer und die Verbreitung von Patenschafts-, Tandem, und Mentoring-Initiativen bundesweit. Alle Angebote des Programms sind kostenfrei. Mehr Informationen unter http://opentransfer.de/projekte/patenschaften/.

openTransfer Patenschaften ist ein Programm der Stiftung Bürgermut, gefördert durch das Bundesprogramm “Menschen stärken Menschen” des Bundesministeriums für Familie, Senioren, Frauen und Jugend.

Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist Logoleiste_MsM_BMFSFJ-1.jpg
Bea Hasse

Bea Hasse unterstützt bei der Stiftung Bürgermut als Projektleiterin das Projekt openTransfer Patenschaften. Darüber hinaus unterstützt sie bei der Organisation der verschiedenen Veranstaltungsformate der Stiftung. Nach ihrem Studium der Ethnologie (MA Europäische Ethnologie) an der Humboldt Universität Berlin, arbeitete sie bei einem Berliner Verein als Projektleiterin und sammelte erste Erfahrungen im dritten Sektor.

Tags: , , ,