Bereichsnavigation
punktum
Heft DSGVO-Sonderheft 2019, Rubrik Titelthema
Datenschutz in der Geschäftsstelle
1. Anforderungen an die Struktur der Geschäfftsstelle
Die Geschäftsstelle ist die Einrichtung, welche neben dem Vorstand die Aufgaben des Datenschutzes für den Jugendverband (Verantwortliche) wahrnimmt. Es sind geeignete und wirksame Maßnahmen zum Schutz der Daten zu treffen. Die getroffenen Maßnahmen müssen nachgewiesen werden. Zu dokumentieren sind folgende Punkte der Datenverarbeitung: die Rechtmäßigkeit der Datenverarbeitung, welche Personen und Daten betroffen sind, wann Daten gelöscht werden und ob eine Übermittlung an Dritte stattfindet. Außerdem sind die getroffenen Technisch-Organisatorischen-Maßnahmen (TOM) zu dokumentieren. Die DSGVO stellt im wesentlichen zwei Instrumente zur Verfügung, um der Dokumentationspflicht nachzukommen: das Verzeichnis der Verarbeitungstätigkeiten und die TOM.
2. Rechtmäßigkeit der Datenverarbeitung
Um Daten zu verarbeiten, muss eine Berechtigung vorliegen, die Verarbeitung muss einen Grund haben. Juristen nennen das Rechtmäßigkeit der Datenverarbeitung bzw. Rechtsgrundlage. Die DSGVO gibt in Art. 6 mehrere Gründe an, nach der die Datenverarbeitung berechtigt ist. Liegt keiner der genannten Gründe vor, dürfen Daten nicht verarbeitet werden. Für Jugendverbände gibt es im Wesentlichen drei Rechtsgrundlagen : Vertrag durch Mitgliedschaft, berechtigtes Interesse und Einwilligung. Sie werden nachfolgend erläutert.
Junge Menschen treten einem Jugendverband bei, werden dadurch Vereinsmitglieder und zahlen Mitgliedsbeiträge. In der Satzung sind Ziele und Zwecke des Jugendverbandes beschrieben. Somit haben der Verein und seine Mitglieder einen Vertrag geschlossen, dessen Inhalt sich aus der Satzung und evtl. weiteren Regeln wie etwa einer Geschäftsordnung ergibt.
Dadurch ist auch der Zweck, für den die Daten der Mitglieder erhoben werden, klar umrissen. Es dürfen alle Daten erhoben werden, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder (wie etwa Name, Anschrift, in der Regel auch das Geburtsdatum und die Bankverbindung) notwendig sind. Für andere als für den Vereinszweck dürfen die Daten nicht – bzw. nur mit anderer Rechtsgrundlage – genutzt werden.
Beispiel: Der Abschluss von Versicherungsverträgen zugunsten des Jugendverbandes oder seiner Mitglieder ist beispielsweise vom Vereinszweck gedeckt, soweit Risiken bestehen, gegen die sich der Jugendverband nicht zuletzt aus Fürsorgegründen versichern muss. Die Daten, die dafür erforderlich sind, dürfen erhoben werden. Grundsätzlich nicht erforderlich ist dagegen die Frage nach der früheren Mitgliedschaft des Beitrittswilligen in einer konkurrierenden Organisation.
Für einen anderen Zweck als zur Verfolgung der Vereinsziele, der Mitgliederbetreuung und -verwaltung dürfen personenbezogene Daten erhoben werden, wenn der Verein ein berechtigtes Interesse (Art. 6 I S 1 lit f) DSGVO) nachweisen kann. Dabei ist zwischen dem Interesse des Vereins und der Mitglieder abzuwägen. Der Datenschutz als Ausfluss des Persönlichkeitsrechts ist ein hohes Schutzgut des Betroffenen.
Das berechtigte Interesse des Vereins an der Datennutzung überwiegt, wenn die Privat-, Intims- und Vertraulichkeitssphäre des Mitglieds gewahrt wird oder zurücktreten muss.
Für den Verein sind es häufig öffentlichkeitswirksame und wirtschaftliche Belange, die den Wunsch des Betroffenen, seine Privatsphäre zu wahren, zurücktreten lässt.
Beabsichtigt der Verein eine Datenverarbeitung, die nicht direkt vom Vereinszweck umfasst ist (z. B. für Öffentlichkeitsarbeit), kann er die Mitglieder bitten, ihren Wunsch auf Schutz der Privatsphäre vorzubringen. Dann kann eine Abwägung an Hand der konkret genannten berechtigten Interessen erfolgen.
Der Verein sollte in einer Datenschutzordnung regeln, auf welchem Weg die Betroffenen ihre schutzwürdigen Interessen geltend machen können.
Bei Kindern und Jugendlichen unter 16 Jahren überwiegen regelmäßig die schutzwürdigen Interessen der Betroffenen. Im Alter zwischen 16 und 18 Jahren kann hingegen die Abwägung ergeben, dass die vereinseigenen berechtigten Interessen überwiegen.
Eine Einwilligung in die Erhebung (Art. 6 I S 1 lit a) DSGVO), Verarbeitung und Nutzung personenbezogener Daten ist dann erforderlich, wenn der Jugendverband diese in weitergehendem Maße verarbeitet. Es empfiehlt sich nicht, Einwilligungen für Datenverarbeitungen einzuholen, die bereits aufgrund einer der obigen Rechtsgrundlagen oder einer gesetzlichen Erlaubnis möglich sind. Denn dadurch wird beim Betroffenen der Eindruck erweckt, er könne mit der Verweigerung der Einwilligung oder ihrem späterem Widerruf die Datenverarbeitung verhindern. Hat der Jugendverband aber von vornherein die Absicht, im Falle der Verweigerung des Einverständnisses auf die gesetzliche Verarbeitungsbefugnis zurückzugreifen, wird der Betroffene getäuscht. Erst fragen sie ihn nach seiner ausdrücklichen Einwilligung, dann wird diese »ignoriert« und doch auf gesetzliche Ermächtigungen oder den Vereinszweck zurückgegriffen.
3. Hinweispflicht, Datenerhebung, Anfragen an Mitgliedschaft, neue Mitglieder
Erfolgt eine Erhebung personenbezogener Daten direkt bei der betroffenen Person, so hat der Jugendverband zum Zeitpunkt der Datenerhebung eine entsprechende datenschutzrechtliche Unterrichtung (Art. 13 I und II DSGVO) vorzunehmen (Transparenzgebot). Daraus folgt, dass der Jugendverband in jedem Formular, das er zur Erhebung personenbezogener Daten nutzt, auf Folgendes hinweisen muss:
• Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
• Kontaktdaten des Datenschutzbeauftragten (sofern notwendig),
• Zwecke der Verarbeitung (bitte im Einzelnen aufzählen),
• Rechtsgrundlage der Verarbeitung,
• Empfänger oder Kategorien von Empfängern (z. B. Weitergabe personenbezogener Daten an eine Versicherung, an den Dachverband, an alle Vereinsmitglieder, Publikation im Internet),
• Absicht über Drittlandtransfer (z. B. bei Mitgliederverwaltung in der Cloud), sowie Hinweis auf Garantien zur Datensicherheit (resp. auf ihr Fehlen),
• Speicherdauer der personenbezogenen Daten,
• Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen Verarbeitung),
• Hinweis auf jederzeitiges Widerrufsrecht einer Einwilligung,
• Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde.
Werden personenbezogene Datei auf andere Weise als bei der betroffenen Person erhoben (z. B. gekauft), so sind Betroffene ebenfalls zu unterrichten (Art. 14 I und II DSGVO). Diese Form dürfte bei Jugendverbänden selten vorkommen. Denn sie gilt nicht für allgemein öffentlich zugängliche Daten, wie z. B. die Kontaktadressen der an der Jugendarbeit Interessierten einer Partei, einer Behörde etc..
4. Verzeichnis von Verarbeitungstätigkeiten
Ein Verzeichnis von Verarbeitungstätigkeiten soll innerhalb eines Jugendverbandes darlegen, welche Daten erhoben und wie diese verarbeitet werden. Die DSGVO schreibt ein solches Verzeichnis vor, es muss zwingend folgende Angaben enthalten:
• Name und Kontaktdaten des Verantwortlichen sowie ggfs. seines Vertreters,
• Zwecke der Verarbeitung (z. B. Verwaltung der Vereinstätigkeiten),
• Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z. B. Mitglieder : Name, Adresse, etc.),
• Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind bzw. noch offengelegt werden (z. B. externe Dienstleister, Veranstalter, Trainer, …),
• Angaben über einen Drittlandtransfer der Daten einschließlich der Angabe des Drittlandes sowie der Dokumentation geeigneter Garantien (meist keine, u. U. bei einer Cloud-Speicherung der Daten),
• wenn möglich: Fristen für die Löschung der verschiedenen Datenkategorien,
• wenn möglich: Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.
---------------------------------
Muster dafür finden sich bei den Aufsichtsbehörden für den Datenschutz
---------------------------------
5. Löschen von Daten
Durch die DSGVO ist das Löschen von Daten in den Fokus der Öffentlichkeit gelangt. Personenbezogene Daten müssen irgendwann gelöscht werden. Früher wurden Mitgliederverzeichnisse in Papierform vernichtet, sobald die Regale oder die Kellerräume voll waren. Bei digitalen Informationen wird das Platzproblem zumeist dadurch behoben, dass mehr Festplattenspeicherplatz angeschafft wird.
Seit Mai 2018 ist das Löschen von Daten nicht mehr nur die Lösung eines Platzproblems. Personenbezogene Daten dürfen nicht mehr unbegrenzt aufgehoben werden. Auch dann nicht, wenn es »praktisch« oder »arbeitserleichternd« ist. Jede Geschäftsstelle muss festlegen, welche personenbezogene Daten sie wann löscht. So können Teilnehmerlisten einer Veranstaltung sofort gelöscht werden, wenn sie nicht wegen der Abrechnung gegenüber der BASFI oder aus steuerlichen Gründen länger aufzubewahren sind.
6. Technisch-Organisatorische-Maßnahmen
Technisch-Organisatorische-Maßnahmen (TOM) spielen eine zentrale Rolle, um personenbezogene Daten zu schützen. Die TOMs beziehen sich überwiegend – aber nicht nur – auf die IT-Sicherheit. Dabei ist jeweils der Stand der IT-Technik einzuhalten. Um Mitgliederdaten zu schützen, müssen Standardsicherheitsmaßnahmen angewandt werden. Dazu gehören der Einsatz aktueller Betriebssysteme, Passwortschutz und Backups. Die Programm- und Browserversionen sind stets aktuell zu halten. Virenschutzprogramme (einschließlich Firewall) sind regelmäßig zu aktualisieren.
Damit Unbefugte nicht an die schutzwürdigen Daten herankommen, sind Datenbanken mit personenbezogenen Daten entsprechend abzusichern.
7. Auftragsverarbeitung
Erbringen andere Stellen weisungsgebundene Dienstleistungen in Bezug auf die Verarbeitung personenbezogener Daten eines Jugendverbandes (z. B. Drucken von Vereinspost für die Mitglieder, Administrieren von Systemen durch IT-Dienstleister, Bereitstellung von Speicherplatz oder ganzer Anwendungen z. B. durch Cloud-Dienste), so müssen Regelungen zur Auftragsverarbeitung beachtet werden. In diesen Fällen bedarf es eines schriftlichen Vertrags zwischen dem Jugendverband als Auftraggeber und dem Dienstleister als Auftragnehmer mit einem verpflichtenden Inhalt. Der Dienstleister muss zuvor sorgfältig vom Verein ausgewählt werden. Der Dienstleister muss die Gewähr dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen nach der DSGVO erfolgt. Er muss bei seiner Tätigkeit den Schutz der Rechte der betroffenen Personen gewährleisten. Grundsätzlich verantwortlich bleibt aber der Verein. Er muss sicherstellen, dass der Dienstleister die datenschutzrechtlichen Vorgaben einhält.
8. Persönliche Daten zu Hause
Häufig werden Jugendleiter und Betreuer zu Hause personenbezogene Daten verarbeiten, z. B. beim Erstellen oder Versenden von Teilnehmendenlisten. Um den Anforderungen des Datenschutzes zu genügen, sind auch zu Hause technische und organisatorische Maßnahmen zu treffen. Ehrenamtliche sollten darauf hingewiesen werden, dass sie deshalb alle Informationen mit personenbezogenen Daten (z. B. Notizzettel, Karteikarten, USB-Sticks) stets sicher und verschlossen aufbewahren müssen, damit ein unbefugter Zugriff Dritter nach Möglichkeit ausgeschlossen ist.
Falls personenbezogene Daten auf privaten Endgeräten (z. B. Laptop, Smartphone, Tablet) gespeichert werden, ist sicherzustellen, dass alle rechtlichen und technischen Vorgaben eingehalten werden. Dabei sollten die Ehrenamtlichen auf die Mindeststandards wie Benutzerkennung, Passwortschutz und Datensicherung hingewiesen werden. Insbesondere ist darauf zu achten, dass Familienangehörige oder andere Personen keinen Zugriff auf die Daten haben.
9. Schweigepflicht von Mitarbeitenden und Ehrenamtlichen
Sowohl Mitarbeitende der Geschäftsstelle als auch Ehrenamtliche sind auf das Datengeheimnis, also zur Verschwiegenheit zu verpflichten. Dass eine Verpflichtung stattgefunden hat, ist zu dokumentieren. Sinnvoll aber nicht notwendig ist die schriftliche Verpflichtung.
10. Datenschutzbeauftragter (DSB)
Für viele Jugendverbände wird es keine Pflicht sein, einen DSB zu benennen. Ein DSB ist erst zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Werden von einem Jugendleiter nur Listen seiner Gruppenmitglieder geführt, so sind diese nicht mitzuzählen. Bei Unsicherheit kann immer der Hamburgische Beauftragte für Datenschutz und Informationssicherheit befragt werden.
11. Datenschutzvorfall
Wurde ein Speicherstick oder ein Laptop verloren oder ein Mail-Konto gehackt, können persönliche Daten verloren gehen. Sie können auch Unbefugten zur Kenntnis gelangen. Nichts verschweigen! Handeln Sie zügig. Bei einem Datenschutzvorfall ist die Aufsichtsbehörde (Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit) innerhalb von 72 Stunden zu informieren. Ansonsten können empfindliche Busgelder drohen.
Dies gilt nicht bei sehr geringfügiger Persönlichkeitsrechtsverletzung.
12. Dokumentation der Einsichtnahme in erweiterte Führungszeugnisse (gemäß § 72a SGB VIII)
Bei Personen, die Umgang mit Kindern und Jugendlichen im Jugendverband haben, ist das erweiterte Führungszeugnis einzusehen, um einschlägig vorbestrafte Personen aus der Jugendverbandsarbeit auszuschließen. Der Paragraf 72a Absatz 5 SGB Vlll hält genau fest, was zu notieren ist. Als Prüfungsergebnis müssen folgende Daten schriftlich festgehalten werden: Name der betroffenen Person, Ausstellungsdatum des erweiterten Führungszeugnisses und Ergebnis der Einsichtnahme. Die Führungszeugnisse selbst sind nicht aufzubewahren, nur die Einsichtnahme ist zu dokumentieren. Wichtig: Diese Daten werden entweder sofort gelöscht, wenn die Person nicht tätig wird, oder spätestens nach drei Monaten, nachdem die Personen ihre Tätigkeit beendet hat. Außerdem ist sicherzustellen, dass keine Unbefugten Zugriff auf diese Daten haben.