Einführung

Zum 25.05.2018 tritt die neue EU Datenschutz-Grundverordnung (DSGVO) in Kraft, die auch Auswirkungen auf Vereine wie den BdP und seine Stämme hat.

Wichtig zu wissen ist, dass die „neue“ DS-GVO im Wesentlich auf dem bereits seit 1995 gültigen, deutschen Bundesdatenschutzgesetz aufbaut. Insofern sind die meisten Pflichten nicht „neu“ sondern viel mehr schon lange gültig. Da aktuell viel über das Thema Datenschutz und Datensicherheit diskutiert wird und wir viele Anfragen erhalten, möchten wir einen Überblick über die wichtigsten Themen geben.

Warum sollten wir uns damit beschäftigen?

Grundsätzlich ist der Schutz der Daten unserer Mitglieder und unserer eigenen Daten in unserem eigenen Interesse. Ein ordnungsgemäßer Umgang mit den uns anvertrauten Daten sollte selbstverständlich sein, bei unachtsamen Umgang mit personenbezogenen Daten drohen juristische Konsequenzen und Schaden für das Ansehen des BdP.

Darüber hinaus besteht die Gefahr, dass Dritte gezielt nach Verstößen gegen die Datenschutz-Bestimmungen suchen und dann beispielsweise eine kostenpflichtige Abmahnung aussprechen. Aufgrund des geringen Aufwands für die Abmahner steht dabei besonders der Datenschutz im Internet und die Datenschutzerklärung in euren Internet-Auftritten im Vordergrund. Hierauf sollte also besonderes Augenmerk gelegt werden.

Für Eilige: Checkliste für Stämme

Das Thema Datenschutz ist komplex und wir empfehlen jedem Stamm, sich damit zu beschäftigen. Die folgende Checkliste ersetzt somit nicht die individuelle Betrachtung des Thema Datenschutz, sondern gibt nur eine erste Orientierung und weist auf dringende Handlungsbedarfe hin:

Alle Internet-Auftritte beinhalten eine Datenschutzerklärung, die auf die jeweilige Seite angepasst ist. Kritisch sind insbesondere Analyse-Tools, Social-Media-Plugins, Cookies/Tracker, Formulare und Newsletter
Es gibt außer der Mitgliederverwaltung keine weitere Datenbanken mit personenbezogenen Informationen. Falls doch, sind für diese gesonderte Datenschutz-Konzepte zu entwickeln und zu dokumentieren
Zugriff auf die Mitgliederverwaltung haben ausschließlich Mitgliederverwalter*innen und Mitglieder der Stammesführung über personenbezogene Zugänge, die nicht weitergegeben werden
Personenbezogene Daten (das sind u.a. Mitgliederlisten, Teilnehmendenlisten, Anmeldungen zu Veranstaltungen) sind nur den Mitarbeitenden im Stamm zugänglich, die diese für ihre Aufgabe benötigen
Dabei sind den Mitarbeitenden nur die Daten zugänglich, die für die jeweiligen Tätigkeiten erforderlich sind (z.B. benötigt ein Gruppenleiter nicht die Bankverbindung)
Personenbezogene Daten werden ohne Einverständnis der Betroffenen nicht an Dritte weitergegeben, für Dienstleister ist eine Vereinbarung zur Auftragsdatenverarbeitung erforderlich
Gesundheitsdaten gehören zu den besonders schützenswerten Daten, sie dürfen nur mit ausdrücklichem Einverständnis des Betroffenen erhoben werden und sind besonders zu schützen
Personenbezogene Daten sind nicht frei zugänglich (d.h. z.B. keine öffentlich ausgehängten oder zugänglichen Mitgliederlisten im Stammesheim)
Mitarbeitende im Stamm werden vor der Überlassung von personenbezogenen Daten über die Datenschutz-Bestimmungen belehrt
Nicht mehr benötigte Daten werden gelöscht bzw. vernichtet. Für Daten in der Mitgliederverwaltung geschieht dies automatisch.

Abgrenzung

Was sind personenbezogende Daten...

Personenbezogene Daten liegen immer dann vor, wenn sie einer natürlichen Person (also einem Menschen und keinem Verein, Unternehmen etc.) zugeordnet werden können oder die Zuordnung zu einer Person mindestens mittelbar erfolgen kann (bspw. KFZ-Kennzeichen, IP-Adresse). Klassische Beispiele für personenbezogene Daten sind: Name, Adresse, Geburtsdatum, Kinder, Staatszugehörigkeit, Mailadresse, Telefonnummer, Kontodaten etc.
Besonders sensible Daten sind Informationen zu politischer Orientierung, Sexualität, Religionszugehörigkeit und Gesundheitsdaten.

... und was nicht

Daten, die ausschließlich Informationen über juristische Personen beinhalten - also bspw. Adresse eines Landesbüros, aber auch Namen von Vorständen von Vereinen (diese sind als öffentliche Personen im Vereinsregister veröffentlicht)
Daten, die nicht direkt einer Person zuzuordnen sind. Darunter fallen z.B. anonymisierte, statistische Daten oder allgemeine Daten eures Stammes (Gruppennamen, ...)
Auch Daten, die zwar aus anderen Gründen besonders zu schützen sind (z.B. Kennwörter, vertrauliche Unterlagen) fallen nicht unter die Bestimmungen des Datenschutzes, sofern sie keine personenbezogenen Daten beinhalten

Achtung, nicht nur für elektronische Daten, sondern auch für Papier-Akten, Aufnahmeanträge, Mitgliederlisten und Teilnehmendenlisten etc. gelten die Bestimmungen des Datenschutzes.

Was ist neu?

Informationspflichten

Bei der (erstmaligen) Erhebung oder Speicherung von Daten können Informationspflichten bestehen. Keine Informationspflicht besteht, wenn die betroffene Person bereits Kenntnis von der Speicherung hat. Informationspflichten sind:

den Namen und die Kontaktdaten der Stammesführung sowie gegebenenfalls seines Vertreters
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen (ergeben sich aus dem Vereinszweck, alle anderen Zwecke bedürfen ausdrücklicher Zustimmung)
gegebenenfalls an wen die Daten übermittelt werden
die Dauer, für die die Daten gespeichert werden sollen oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
das Bestehen des Rechts auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Verarbeitung, auf Widerspruch gegen die Verarbeitung.

Für die Daten, die im Rahmen des Beitritts in den BdP erhoben werden, wird ein solche Belehrung den neuen Aufnahmeanträgen beigefügt, sodass hier kein Handlungsbedarf für Stämme und Landesverbände besteht. Werden darüber hinaus weitere Daten oder von Nicht-Mitgliedern Daten erhoben, können jedoch o.g. Informationspflichten bestehen.

Auskunftsrechte

Grundsätzlich haben alle Bürger*innen ein Recht auf Auskunft zu den über sie gespeicherten personenbezogenen Daten. Dieses Recht hatten sie auch bisher! Neu ist, dass eine Anfrage nach der neuen DS-GVO innerhalb von 4 Wochen beantwortet werden muss. Im Fall einer Anfrage müssen also alle Daten zusammengestellt werden, die über die anfragende Person vorliegen. I.d.R. sind das vor allem Daten aus der Mitgliederverwaltung. Hierfür wird bis zum Inkrafttreten der DS-GVO ein entsprechender Report zur Verfügung stehen.

Zusätzlich müssen aber auch andere gespeicherte Daten wie z.B. Anmeldungen zu Veranstaltungen, Bankdaten, Fahrtkostenabrechnungen etc. im Fall einer Anfrage herausgesucht werden.

Es muss jeweils die angefragte Ebene (Stamm/Land/Bund) diese Auskunft für die auf dieser Ebene gespeicherten Daten erteilen mit dem Hinweis, dass die nach Aufforderung angegeben Daten jeweils nur die vorliegenden Daten auf der jeweiligen Ebene darstellen. Etwaige andere Daten (z.B. Teilnehmendenlisten von Veranstaltungen auf verschiedenen Ebene - Stammeslager, Landeslager oder Bund Land Treffen) müssen bei den anderen Ebenen eingeholt werden.

Recht auf Löschung

Widerruft eine Person die Einwilligung zur Datenspeicherung oder verlangt die Löschung, so müssen alle personenbezogenen Daten gelöscht werden. Dies gilt aber nur, sofern keine Verpflichtung zur Speicherung der Daten aus gesetzlichen Vorgaben (z.B. im Rahmen der ordnungsgemäßen Buchhaltung) besteht oder andere, gewichtige Interessen wie z.B. die Geltendmachung von vertraglichen Ansprüchen (ausstehende Beiträge etc.) oder die Ausübung/Verteidigung von Rechtsansprüchen. Mindestens sind die Daten jedoch zu sperren. Solche gesperrten Daten dürfen dann nicht mehr für andere Zwecke verwendet werden.

Die Mitgliederverwaltung bildet entsprechende Mechanismen für ausgetretene Mitglieder ab. Macht eine Person von ihrem Recht auf Löschung gebrauch, wendet euch bitte an eure Landesmitgliederverwalterin/euren Landesmitgliederverwalter. Kontakt

Webseiten & Co

Webseiten müssen ab dem 25.05.2018 eine Datenschutzerklärung enthalten. Diese Datenschutzerklärung muss mit dem Wort "Datenschutz" oder "Datenschutzerklärung" wie auch das Impressum heute schon direkt von der Startseite eurer Webseite verlinkt sein (nicht irgendwo versteckt). Die Datenschutzerklärung kann entweder eine eigene Seite oder ein kombiniertes "Impressum/Datenschutzerklärung" sein. Darin müssen alle Vorgänge zur Speicherung und Verarbeitung von personenbezogenen Daten beschrieben werden. Fallstricke sind hier insbesondere (Social Media-) Plugins, die Daten an Dritte (z.B. Facebook) übermitteln. Was genau Inhalt dieser Datenschutzerklärung sein muss, hängt davon ab, welche Inhalte und Tools ihr auf eurer Webseite verwendet (wie z.B. Cookies, Analyse-Tools, Newsletter, Social Media-Plugins etc.). Als Checklisten dabei können euch dabei Datenschutz-Generatoren wie https://datenschutz-generator.de helfen. Bitte beachtet vor der Verwendung aber unbedingt die jeweiligen Nutzungsbedingungen. Wir werden bis zum 25.05. auch die Datenschutzhinweise auf der Webseite www.pfadfinden.de aktualisieren, die ihr dann ebenfalls zur Orientierung und Anpassung an eure eigenen Bedürfnisse verwenden könnt.

Aufgrund des hohen Risikos für kostenpflichtige Abmahnungen sollte auf eine vollständige Datenschutzerklärung auf der Webseite besonderes Augenmerk gelegt werden!

Datenverlust

Bereits nach alter Rechtslage musste der Verlust von sensiblen personenbezogenen Daten (z.B. durch einen Hackerangriff oder einen Diebstahl von Datenträgern oder Dokumenten) der zuständigen Datenschutz-Aufsichtsbehörde und den betroffenen Personen unverzüglich mitgeteilt werden. Ab dem 25.05.2018 gilt dies für alle Arten von personenbezogenen Daten.

Auftragsdatenverarbeitung

Unter einer Auftragsdatenverarbeitung versteht man die Verarbeitung/Speicherung von personenbezogenen Daten durch einen externen Dienstleister. Darunter fällt zum Beispiel sowohl der Betreiber eines Servers (Hosting) als auch eine Druckerei, welche die Adresse der Mitglieder auf Etiketten oder eine Zeitschrift druckt. Hierzu ist eine Vereinbarung zur Auftragsdatenvereinbarung entsprechend gesetzlicher Vorgaben erforderlich, der Auftraggeber hat eine Kontroll- und Dokumentationspflicht, dass der Auftragnehmer technisch-organisatorisch zur Einhaltung der Datenschutzbestimmungen in der Lage ist. Neu ist hier, dass eine Auftragsdatenverarbeitung nun auch außerhalb der EU stattfinden darf.

Was galt schon immer?

Datenschutzbeauftragte

Ein oder eine Datenschutzbeauftragte*r ist für den Schutz von Daten in einem Unternehmen oder einer Organisation zuständig. Grundsätzlich gilt, dass jede Organisation die Daten speichert oder verarbeitet (dazu gehören auch Vereine) und in denen mehr als 10 Personen ständig mit der Verarbeitung von Daten beschäftigt sind, eine*n Datenschutzbeauftragte*n benennen müssen.

Datenschutzbeauftragte für die Bundesebene im BdP ist unsere Mitarbeiterin im Bundesamt Silvia Houda (datenschutz@pfadfinden.de).

Rechtmäßigkeit und Zweckbindung

§ 28 Abs. 1 Nr. 1 BDSG (neu: Art. 6 DSGVO): Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Auf Deutsch heißt das: Personenbezogene Daten könnt ihr von allen Mitgliedern speichern und verarbeiten, solange dies für die "erfüllung eures Satzungsmäßigen Zweck" notwendig ist. Für die Durchführung von Veranstaltungen, Einladung zur Stammesvollversammlung könnt ihr alle Daten aus dem Mitgliedsantrag speichern und nutzen.

Gleiches gilt auch bei der Durchführung von Veranstaltungen wie Fahrten und Lagern. Anmeldedaten können für die Durchführung solcher Veranstaltungen genutzt werden. So ist es logisch, dass ihr bspw. Listen führt, welche Personen welche Lebensmittelunverträglichkeiten haben oder wie ihr diese per Mail oder telefonisch erreicht. Auch könnt ihr diese Daten an alle für die Durchführung der Veranstaltung Verantwortlichen "weitergeben". Das beinhaltete auch externe Personen, wie bspw. eine Jugendherberge oder Reiseunternhemen, sofern diese Daten für die Abwicklung von Aufträgen benötigen (Übernachtungen, Zugtickets etc).

Daten können auch ohne ausdrückliche Einwilligung der Person gespeichert oder verarbeitet werden.

zur Erfüllung eines Vertrages (Artikel 6 Absatz 1 b) DS- GVO)
zur Erfüllung einer rechtlichen Verpflichtung (Artikel 6 Absatz 1 c) DS-GVO)
zur Wahrung der berechtigten Interessen (Artikel 6 Absatz 1 f) DS-GVO)

Insbesondere der zweite Punkt kann für euch relevant sein, denn i.d.R. seit ihr verpflichtet Daten an öffentliche Träger zu übermitteln, wenn ihr z.B. Zuschüsse zu Veranstaltungen beantragt.

Datensparsamkeit

Der Grundsatz der Datensparsamkeit besagt, dass nur diejenigen Daten erhoben, gespeichert und übermittelt werden dürfen, die für den jeweiligen Geschäftszweck erforderlich sind. Darüber hinaus dürfen personenbezogene Daten nur Mitarbeitenden zugänglich gemacht werden, soweit sie diese Daten zur Erfüllung ihrer Aufgaben benötigen. Das bedeutet in der Praxis, dass z.B. eine Meutenführung keine Adressliste der Pfadfinder*innenstufe bekommen darf und die Liste seiner Wölflinge keine für seine Tätigkeit nicht relevanten Informationen wie beispielsweise Bankverbindungen beinhalten darf.

Zeitliche Beschränkung

Personenbezogene Daten sind zu löschen, wenn diese für den Zweck, zu dem sie erhoben wurden, nicht mehr benötigt werden. Sofern Daten noch weiter vorgehalten werden müssen, sind sie nicht zu löschen, sondern zu sperren. Solche gesperrten Daten dürfen dann nicht mehr für andere Zwecke verwendet werden.

Datensicherheit

Notwendig ist es selbstverständlich auch, auf die Sicherheit der euch anvertrauten Daten zu achten. Dazu gehört z.B. der Schutz vor unbefugtem Zugriff auf die Daten in Form von Verschlüsselung oder Wegschließen von Papier-Unterlagen.

Darüber hinaus müssen Daten gegen Manipulation und Verlust gesichert werden - dazu gehören organisatorische und technische Maßnahmen, die auf den Einzelfall abgestimmt getroffen werden müssen.

Belehrung

Personen, die mit der Verarbeitung von personenbezogenen Daten betraut sind, sind auf das Datengeheimnis zu verpflichten. Dies gilt gleichermaßen für Ehren- und Hauptamtliche. Die Belehrung ist zu dokumentieren.

Konkret im BdP

Aufnahmeantrag

Alle ab dem 25.05. neu ausgegebenen Aufnahmeanträge enthalten einen ausführlichen Datenschutz-Hinweis, der den Vorgaben der DSGVO entspricht und die Verarbeitung der im Aufnahmeantrag genannten Daten im Rahmen des Vereinszwecks ermöglicht.

Mitgliederverwaltung

Benutzer*innen der Mitgliederverwaltung müssen vor Registrierung einer Datenschutz-Beleherung zustimmen. Diese kann jederzeit im MV-Bereich unter Datenschutz abgerufen werden. Hier finden sich auch weitere Hinweise zum Thema Datenschutz in der Mitgliederverwaltung.

In der Mitgliederverwaltung dürfen in den Freitext-Felder (Sonstiges, Tags, ...) keine besonders schützenswerten Daten (z.B. Gesundheitsdaten, Religionszugehörigkeit, ...) gespeichert werden.

Weitergabe von Daten (z.B. aus der Mitgliederverwaltung)

Intern

Eine Weitergabe von Daten innerhalb des BdP (d.h. zwischen den Ebenen Bund/Land/Stamm oder an Funktionsträger) in elektronischer, gedruckter oder anderer Form ist im Rahmen des Vereinszwecks grundsätzlich zulässig. Eine Weitergabe von Mitglied zu Mitglied ohne direkten Zusammenhang mit dem Satzungszweck ist jedoch untersagt. Selbst eine öffentliche Gratulation zum Geburtstag ist bereits eine Veröffentlichung von personenbezogenen Daten.

In jedem Fall sind die Empfänger von Daten auf das Datengeheimnis zu Verpflichten, die Verpflichtung ist zu dokumentieren. Darüber hinaus ist auf die Sicherheit der Daten zu achten, d.h. sie sind angemessen vor Zugriff oder Manipulation durch Unbefugte zu schützen.

Extern

Eine Weitergabe der Daten an Dritte ist nur im Rahmen rechtlicher Verpflichtungen, einer Auftragsdatenverarbeitung im Rahmen des Vereinszwecks oder nach ausdrücklicher, auf den jeweiligen Einzelfall bezogenen, Zustimmung der betroffenen Person zulässig.

Gesundheitsdaten

Im Rahmen von Anmeldungen zur Veranstaltungen werden häufig Gesundheitsdaten (z.B. Allergien, Medikamente, Erkrankungen erhoben). Diese Daten gelten als besonders sensibel, d.h. sie sind besonders vor unbefugtem Zugriff zu schützen, der Zugriff auf diese Daten ist auf das zwingend notwendige Maß zu beschränken und die Daten sind nach Ablauf der Veranstaltung sicher zu vernichten. Darüber hinaus ist eine ausdrückliche Einverständniserklärung erforderlich, diese muss freiwillig und nach vorheriger Information über Zweck und Form der Verarbeitung der Daten sowie einer Widerrufsbelehrung erfolgen.

Links und Dateien zum vertieften Nachlesen

Falls ihr gerne euch in die Datenschutzthematik vertiefend wollt, haben wir hier einige Links und Dateien zusammengestellt:

Handreichung des Bayerischen Landesamtes für Datenschutz: muster_1_verein.pdf

Handreichung des Landesamt für Datenschutz NRW: Datenschutz_im_Verein1.pdf

Handreichung des Landesbeauftragten für den Datenschutz BaWü: OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf