Datenschutz für Freiwilligenagenturen

Foto: Christian Wiediger via Unsplash

Datenschutz – ein Dauerbrenner. Immer wieder neu ergeben sich auch und gerade für Freiwilligenagenturen in der Praxis teilweise spezifische Anforderungen. Ganz egal in welcher Trägerschaft sie organisiert sind, alle Agenturen sind von der Datenschutz-Grundverordnung (DSGVO) betroffen. Zu häufigen Fragen haben wir unten Antworten zusammengefasst. Sie kommen von einer Expertin, die sich als Leiterin einer Freiwilligenagentur und als zertifizierte Datenschützerin in beiden Welten auskennt. Bei Bedarf werden wir Claudia Bröse weitere Fragen vorlegen. Zunächst aber drei Fragen an die Expertin selbst.

„Datenschutz muss immer mitgedacht werden“ – Claudia Bröse im Interview

Seit Mai 2018 spätestens gilt die Datenschutz-Grundverordnung der EU. Wo sehen Sie bei Freiwilligenagenturen noch Aufholbedarf in der Umsetzung? Was wird oft noch übersehen?

Datenschutz ist oft ein unbeliebtes Thema, was letztlich immer mitgedacht werden muss. Freiwilligenagenturen wirken hauptsächlich nach außen, und da läuft sicher schon vieles gut, aber auch nach innen ist die Umsetzung wichtig. Vor allem das Verarbeitungsverzeichnis, die Erstellung der sogenannte TOM´s (technisch-organisatorische Maßnahmen) oder die Schulung von Mitarbeiter:innen und Ehrenamtlichen sind enorm wichtig.

Claudia Bröse

Was sind einfache kleine Maßnahmen, mit denen man den Datenschutz im Sinne der Grundverordnung weit voranbringt?

Wichtig ist zunächst zu wissen, wo überall Daten verarbeitet werden, welche überhaupt notwendig sind und wie lange diese gespeichert werden. Hierzu dient das Verarbeitungsverzeichnis als Überblick. Ein kleiner Leitfaden für Mitarbeiter und Ehrenamtliche mit den wichtigsten Eckpunkten ist sicher sehr hilfreich, zumal dann alle über das gleiche Wissen verfügen. Ganz wichtig ist ein:e Ansprechpartner:in in der Organisation, der fachlich geschult ist und sich ständig auf dem Laufenden hält.

Sie waren schon Leiterin einer Freiwilligenagentur, als Sie sich zur zertifizierten Datenschützerin weiterbildeten? Was hat Sie dazu bewogen?

Als Referentin zu verschiedenen Seminarthemen bin ich vor einigen Jahren selbst in den Genuss einer Datenschutz-Schulung gekommen und habe gemerkt, dass bei uns  noch einiges zu verbessern gab, obwohl es damals noch keine europaweite Datenschutz-Grundverordnung gab. Das Thema hatte mich gepackt, und die Weitergabe von Wissen ist einfach mein Ding. Allerdings war die Qualifizierung nur der erste Baustein. In der Praxis bedeutet es, sich ständig mit aktuellen Auslegungen und Hinweisen der Datenschutzbehörden und anderen Expert:innen auseinander zu setzen.


FAQ Datenschutz für Freiwilligenagenturen

Bei der Beratung sollte möglichst schriftlich auf mehrere Aspekte hingewiesen werden: auf den Zweck der Erhebung der personenbezogenen Daten, wo und welche Daten gespeichert werden, ob Daten an externe Partner weitergegeben werden, auf die Dauer der Speicherung und an wen ein Widerruf zu richten ist. Hier sollte auch gleich eine ggfs. erforderliche oder mögliche Zustimmung bei der Verwendung von Fotos abgefragt werden. Dies kann über einen kleinen Passus am Ende des Beratungsbogens erfolgen. Eine eingeschränkte Erlaubnis oder Veröffentlichung von Fotos nach vorheriger Zustimmung muss unbedingt beachtet und sollte in ggfs. vorhandenen Datenbank erfasst werden.
Diese Zustimmung erteilt der/die Beratene mit seiner/ihrer Unterschrift auf dem Beratungsbogen, der dann auf Wunsch auch an die Person ausgehändigt wird.

Im Sinne der DSGVO unterliegen Kinder und Jugendliche einem besonderen Schutz. Unter 16 Jahren müssen zwingend alle Erziehungsberechtigen unterschreiben.

Außer dem Datenschutz gibt es noch die gesetzlichen Regeln für Direktwerbung (§7 Gesetz über den unlauteren Wettbewerb UWG). Damit soll einer Belästigung von Marktteilnehmer:innen vorgebeugt werden. Zulässig ist es, öffentlich zugängliche Daten im Internet zu erfassen und Vereine per Mail anzuschreiben. Allerdings sollte darin unbedingt die Möglichkeit erwähnt werden, einer weiteren Zusendung von Mails zu widersprechen.

Laut §5 Telemediengesetz besteht für jede geschäftsmäßige Webseite eine Impressumspflicht. Ein vollständiges Impressum beinhaltet folgende Angaben:

  • Bei juristischen Personen die Organisation und deren Rechtsform und der/die gesetzliche Vertreter:in mit Vor- und Nachnamen
  • eine zustellfähige Adresse (kein Postfach)
  • eine Adresse zur Kontaktaufnahme per Mail und ggfs. Telefonnummer
  • den Eintrag im Register (z. B. Vereinsregister) und Registernummer sowie die UST-ID

Wichtig ist, dass das Impressum von jeder Seite der Homepage aus mit einem Klick erreichbar sein muss.

Im Sinne der DSGVO sind sowohl Facebook als der Fanpage-Betreiber gemeinsam verantwortlich, Facebook für die Insights Daten und für die sonstige Verarbeitung von Daten der Fanpage Betreiber.
Auf jeden Fall muss auf der Webseite der Freiwilligenagentur ein separater Hinweis auf den Datenschutz bezüglich Facebook aufgenommen werden. Auf der Fanpage ist eine direkte Verlinkung in der „Info“ zur Datenschutzerklärung einzufügen.
Für das Impressum gilt dies ebenso, auch hier muss eine Verlinkung zur Webseite erfolgen.
Als Rechtsgrundlage kann das berechtigte Interesse nach Art. 6 Abs. 1 lit f der DSGVO in Betracht gezogen werden. Eine absolute Rechtssicherheit für das Betreiben gibt es nicht, allerdings ist das Risiko durch die Maßnahmen verringert.
Auf jeden Fall ist die Verarbeitung der Daten ins Verarbeitungsverzeichnis einzuarbeiten.

Es gibt definierte Aufbewahrungspflichten aus dem Steuer- und Handelsrecht oder ggfs. weiteren Aufbewahrungsfristen z. B. durch Zuwendungen Bund/Länder/Stiftungen. Alle anderen Löschfristen definieren Sie als Organisation selbst. Diese werden im Verarbeitungsverzeichnis dokumentiert.

Die Datenspeicherung ist gemäß Art. 5 DSGVO nur so lange zulässig, wie es für den vorher festgelegten Zweck erforderlich und angemessen ist. Entfällt der Zweck, besteht nach Art. 17 DSGVO die Verpflichtung zur Löschung der personenbezogenen Daten. Dies bedeutet, sie sind sowohl physisch als auch in digitaler Form zu löschen.

Auf Wunsch oder Verlangen einer bei Ihnen gespeicherten Person sind diese unmittelbar zu löschen.

Personenbezogene Kundendaten sind in der Regel auf Verlangen oder bei Wegfall der Erforderlichkeit zu löschen. Allerdings nur dann, wenn dem keine gesetzlichen Aufbewahrungsfristen entgegenstehen, z. B. aus dem Steuer- oder Handels- oder Zuwendungsrecht, nach denen bestimmte Daten, die im Zusammenhang mit dem Vertragsverhältnis gespeichert wurden, noch für eine bestimmte Zeit aufbewahrt werden müssen (Art. 17 Abs. 2 Buchstabe e DSGVO).

Vereinschroniken sind oft als „Datenverarbeitung für literarische Zwecke“ einzuordnen. Bloße Berichte über das Vereinsleben, z. B. auf der Vereins-Homepage, sind zwar in der Regel keine „Literatur“, jedoch ist die Veröffentlichung personenbezogener Daten im üblichen Rahmen in solchen Berichten (z. B. Ehrungen oder andere besondere Ereignisse, Fotos von Vereinsveranstaltungen) in der Regel zulässig, aufgrund des berechtigten Interesses des Vereins an Öffentlichkeitsarbeit gemäß Art. 6 Abs. 1 Buchstabe f DSGVO.

In der DSGVO ist die Schriftform nicht explizit Voraussetzung. Für eine ggfs. notwendige Nachweiserbringung ist dies aber zu empfehlen.
In der Praxis empfiehlt es sich, erst dann personenbezogene Daten intern zu erfassen, wenn eine unverbindliche Anfrage zu einem konkreten Engagementwunsch führt. Anfragen per Mail können z. B. in einen Wiedervorlageordner gepackt werden, und sofern es nicht zu einem konkreten Beratungsgespräch oder Engagement kommt, sollten diese ähnlich wie bei der Bewerberregelung spätestens nach sechs Monaten gelöscht werden.

Es sollte in jedem Fall beachtet werden, dass Mails nicht mit einem öffentlich sichtbaren Verteiler verschickt werden, sondern in BCC (Mailadressen werden nicht sichtbar) – außer es handelt sich z.B. um eine Arbeitsgruppe, bei der jeder zugestimmt hat, dass der Verteiler sichtbar gemacht wird.
Werden Mails z.B. in Form eines Newsletter versandt, sollte immer die Möglichkeit des Widerrufs gut sichtbar in der Mail angegeben sein.

Beim Versand von personenbezogenen Daten, z. B. Daten von Teilnehmer:innen an einem Seminar, sollte darauf geachtet werden, dass eine Verschlüsselung der Daten gewährleistet ist. Bitte prüfen Sie, welche Leistungen Ihr Mailanbieter hierzu anbietet.
Die Verschlüsselung reicht von einer Ende-zu-Ende-Verschlüsselung (Transport-Verschlüsselung) bis hin zu einer Verschlüsselung mit den Verfahren S/MIME und OpenPGP. Hier ist es möglich, die Inhalte einer E-Mail-Nachricht durchgreifend gegen unbefugte Kenntnisnahme zu schützen (Transport und Zwischenspeicherung).

Alternativ können personenbezogene Daten auch über eine sichere Cloud mit Passwortsicherung (zeitlich begrenzter Zugriff) ermöglicht werden.

Wenn Freiwilligenagenturen eigene Veranstaltungen machen und dort fotografiert wird (also z. B. im Auftrag des Vereins) und diese Bilder veröffentlichen wollen, kann dies im Rahmen der sog. Interessensabwägung nach Art. 6 Abs. 1 f) DSGVO zulässig sein, ohne dass man eine ausdrückliche Einwilligung der betroffenen Personen einholen muss. Dies gilt auch, wenn einzelne Personen gut identifizierbar sind – solange eben die Veranstaltung als solche Anlass und Vordergrund der Berichterstattung ist und nicht die einzelne Person als solche. Anders ist es aber, wenn Kinder davon betroffen sind. Hier ist eine Einwilligung aller Erziehungsberechtigten einzuholen. Unabhängig davon sind die betroffenen Personen auf geeignete Art und Weise (z.B. Aushänge) insbesondere darauf hinzuweisen, dass und zu welchen Zwecken Bilder gemacht und wo sie veröffentlicht werden sollen. Personen, die sich nicht fotografieren lassen möchten, können sich dann darauf einstellen und sich entsprechend verhalten.

Grundsätzlich gilt, dass Fotos von Personen nach §22 Abs. 1 KUG (Kunsturhebergesetz) nur mit deren Einwilligung verwendet werden dürfen.
Die DSGVO schreibt zwar keine Schriftform vor, allerdings ist die Organisation in der Nachweispflicht. Deshalb empfiehlt sich eine Schriftform, zumindest bei Einzelpersonen.
Diese kann jedoch jederzeit für die Zukunft widerrufen werden.
Ausnahmen sind u.a.

  • Zeugen der Zeitgeschichte (Promis, Bürgermeister, Politiker etc.), da hier ein erhöhter Informationsbedarf für die Öffentlichkeit besteht.
  • Bilder, auf denen Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen, oder Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben, dürfen ebenfalls ohne Einwilligung der abgebildeten Personen veröffentlicht werden.

Nach Art. 12 ff. DSGVO muss der Diensteanbieter, in dem Fall also die Freiwilligenagentur, zum Zeitpunkt der Erhebung über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unterrichten.

Nach Art. 37 DSGVO muss ein:e für den Datenschutz Verantwortliche:r angegeben werden mit seinen/ihren Kontaktdaten.

Des Weiteren sind Angaben notwendig zu folgenden Punkten:

  • Umfang der Verarbeitung personenbezogener Daten
  • Rechtsgrundlage der Verarbeitung
  • Weitergabe an andere Empfänger
  • Speicherung und Löschfristen
  • Beschreibung und Umfang der Datenverarbeitung, z. B. Logfiles
  • Information über Cookies, Newsletter, Kontaktformular, Webanalysetools, Social Media Plugins etc.
  • Rechte der betroffenen Person

Sofern auf der Internetseite nur Cookies eingesetzt werden, die für den technischen Betrieb der Webseite unabdingbar sind, benötigt man keinen Cookie-Banner. Gleichwohl muss über die Verwendung und die Funktionsweise der technisch notwendigen Cookies in der Datenschutzerklärung informiert werden.

Die Datenschutzerklärung ist separat vom Impressum auf einer eigenen Unterseite anzulegen, genauso mit einem Klick von jeder Seite aus erreichbar.

Die Verarbeitung von Daten im Auftrag kommt in nahezu jeder Organisation vor. Sei es durch die Nutzung eines externen Tools, die Nutzung einer Dienstleistung, die als sog. Software-as-a-Service (SaaS) erbracht wird wie z. B. bei der Nutzung von freinet-online oder Videokonferenzsoftware, Cloud Computing oder durch die Nutzung von Buchhaltungsservices. In diesen Fällen liegt in der Regel eine sog. „Auftragsverarbeitung“ vor. Und da gilt es besondere Maßnahmen zu treffen, um die Vorgaben der DSGVO einzuhalten. Dies bedeutet, je nach Zugang zu personenbezogenen Daten muss ein Auftragsverarbeitungsvertrag abgeschlossen werden.

„Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.“ (LDA Bayern, FAQ-Liste zu DS-GVO vom 20.07.2018)

Nicht als Auftragsverarbeitung zählt z. B., wenn Teilnehmer:innendaten bei Schulungen an Referent:innen oder Tagungshotels gehen oder eine Plattform im Internet betrieben wird, weil hier eine Inanspruchnahme einer fremden Dienstleistung bei eigener Verantwortlichkeit des Betreibers vorliegt (LDA-Bayern, FAQ-Liste vom 20.07.2018; OH Abgrenzung AV, LDA Bayern vom 15.05.2019).

Wer auf Messengerdienste wie Whatsapp & Co. in seiner/ihrer Organisation nicht verzichten möchte oder kann, die/der muss sicherstellen, dass die Nutzung datenschutzkonform erfolgt. Konkret heißt das, dass Sie zumindest – und zwar ohne Ausnahme. Liegt diese Einwilligung vor, brauchen Sie aber zudem noch einen Vertrag gemäß Art. 28 DSGVO mit Whatsapp Inc. als Anbieter zur Datenverarbeitung. Erst dann ist gewährleistet, dass Sie nicht gegen die Vorschriften der DSGVO verstoßen.
Da dies in der Praxis bisher noch nicht der Fall ist (Stand Mai 2021) und der Messenger sowieso nur für eine private Nutzung gedacht ist, wird dringend abgeraten, Whatsapp für dienstliche Zwecke zu nutzen.

Empfehlenswert ist ein Umstieg auf DSGVO-konforme Instant-Messenger wie Threema oder Signal. Nur so sind Sie auch langfristig gegen Abmahnungen geschützt und gewährleisten die durch die DSGVO normierten Standards.

Eine Pflicht zur Erstellung von Kontaktdaten besteht aufgrund der Corona-Kontakt-und Betriebsbeschränkungsverordnung (CoKoBeV). Bei öffentlichen Veranstaltungen/Zusammenkünften sind Kontaktdaten der Personen zu erfassen.
Das muss nicht zwingend als schriftliche Liste, sondern kann auch elektronisch z. B. über eine Kontaktverfolgungs-App erfolgen. Hier sollte bei der Auswahl darauf geachtet werden, dass dies DSGVO-konform erfolgt und das App-Unternehmen keinen direkten Zugriff auf die Daten hat.
Aktuell wird die Luca-App favorisiert, ist aber noch nicht flächendeckend eingesetzt. Allerdings haben Datenschützer derzeit noch Bedenken wegen Sicherheitsmängeln.