openTransfer: Hilfe, die DSGVO kommt!

Henrik Flor von der Stiftung Bürgermut beim openTransfer CAMP #Digitalisierung am 20. April 2018 in Stuttgart

Die Europäische Datenschutzgrundverordnung, kurz DSGVO, tritt im Mai 2018 in Kraft und sorgt derzeit für viel Unsicherheit. Welche konkreten Schritte müssen Non-Profits gehen, um regelkonform zu arbeiten? Mit in der Session: ein Mitarbeiter des Bundesinnenministeriums, der die Entstehung der DSGVO aus er ersten Reihe beobachtete.

Um was geht es bei der Europäischen Datenschutzgrundverordnung eigentlich ganz konkret? Es geht vor allem um personenbezogene Daten. Nonprofits arbeiten täglich mit Namen, Adressen, Kontodaten von Stakeholdern, Partnern, der Zielgruppe oder Mitarbeitenden. Häufig passiert es fast unbewusst, dass E-Mails ohne Einwilligung verschickt werden oder in Formularen unnötig viele Daten abgefragt werden. Dabei sollte grundsätzlich die Frage gestellt werden, wie kann ich ein „Datenmeer“ vermeiden und Daten erheben, die ich auch wirklich für meine Arbeit benötige. Dabei muss der Zweck der Datenabfrage transparent und die Einwilligung des Nutzers gegeben sein. Als Teil des Datenmanagementprozesses muss zukünftig festgehalten werden, welche Daten erhoben werden, wie und wo diese gespeichert werden und in welchem Format die betroffenen Personen informiert werden. Prozesse müssen dokumentiert und protokolliert werden und offengelegt werden. Auch die sogenannte Auftragsdatenverarbeitung, wenn externen Anbietern wie Dropbox, Mailingdiensten etc. mit Daten arbeiten, müssen vertraglich fixiert werden.

Ein Mann steht an einer Flipchart, vor ihm ein Stuhlkreis.

Ein Teilnehmer stellt die Frage, was überhaupt noch mit Kundendaten gemacht werden darf. Jan Möller vom Bundesinnenministerium stellte grundsätzlich klar, dass sich die Diskussion um den Schutz von Daten geht und damit um den Schutz von Menschen. Dies sollte eine Motivation sein, die Umsetzung der Vorgaben ernst zu nehmen.

Wer hat ein Muster?
Wichtige Hausaufgaben auf dem Weg zur „DSGVO readiness“: die Anpassung von Datenschutzerklärungen und Einwilligungserklärungen. Aktuell gibt es kaum Standardformulierungen für die Erklärungen bzw. Muster für die Datenmanagementprozesse und Verarbeitungsverzeichnisse. Da die internen Prozesse in den Organisationen unterschiedlich sind, können auch nur schwer Standards formuliert werden.

Fotos und Daten auf Veranstaltungen & Co.
Ein Teilnehmer stellt die Fotodokumentation auf dem openTransfer CAMP #Digitalisierung kritisch zur Diskussion: „Reicht es ab sofort aus, Foto-Hinweise an die Wände von Veranstaltungsräumen zu kleben?“ Habe ich hiermit die Einwilligung jedes Einzelnen eingeholt? Kann die Einwilligung zu Fotoaufnahmen, die auf Veranstaltungen von Organisationen gemacht werden, auch über die Nutzungsbedingungen abgefragt werden? Oder muss eine „aktive Einwilligung“ eingeholt werden? Die Teilnehmenden tauschen sich zu verschiedenen Maßnahmen aus. Zum einen kann über das obligatorische „Häkchen setzen“ bei Ja oder Nein, die Einverständnis bereits beim Registrierungsprozess zu einer Veranstaltung eingefordert werden. Ein weiterer Teilnehmer beschreibt, zum anderen, dass rote und grüne Punkte auf den Namensschildern geklebt werden können und für die Fotografin oder den Fotografen gut sichtbar macht, ob die entsprechende Person fotografiert werden möchte.

Tipps für die nächsten Schritte
Es gibt viele Themen, die Organisationen mit Blick auf die neue DSGVO angehen müssen. Doch wo soll man anfangen? Gemeinsam mit den Teilnehmenden wurden erste Schritte gesammelt: Etwa die Daten-Bestandsaufnahme; Wo liegen innerhalb der Organisation eigentlich die Daten? Auf privaten Handys und Diensthandys, bei Service-Anbietern, auf PCs oder auch externen Festplatten? Den Ist-Zustand festzuhalten ist die Basis für den weiteren Datenmanagementprozess, auf den die Erstellung eines Arbeitsplans folgt. In dem Plan werden die einzelnen Schritte, Deadlines und Prioritäten festgehalten. Bei offenen Fragen kann auch die Aufsichtsbehörde selbst kontaktiert werden. Die Mitarbeiterinnen und Mitarbeiter geben zu konkreten Fragen Auskunft. Darüber hinaus muss mit der neuen Verordnung ein Datenschutz-Beauftragter benannt werden und die Mitarbeitenden müssen sensibilisiert und geschult werden.
Die Teilnehmenden nehmen konkrete Arbeitsschritte, Denkanstöße und Informationen aus der Session mit. Manche Fragen können in der Session nicht beantwortet werden, waren aber eine notwendige Problematisierung für den Weg in Richtung DSGVO-Konformität.

https://opentransfer.de/

Foto: © Henning Schacht

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.