Digitale Mitglieder­verwaltung

Praxisratgeber

Logo Datenschutz im Ehrenamt

Kriterien für die Anschaffung von Vereinssoftware

Die Anschaffung einer Vereinssoftware eröffnet vielfältige Möglichkeiten zur effizienten Verwaltung eines Vereins. Neben der klassischen Mitglieder- und Beitragsverwaltung bieten viele Programme nützliche Zusatzfunktionen wie die Kontaktaufnahme zu Mitgliedern. Bei der Auswahl sollten jedoch auch die Besonderheiten im Hinblick auf Datenschutz und Datensicherheit berücksichtigt werden. Im Folgenden werden die wesentlichen Schritte und Überlegungen für Vereinsvorstände aufgezeigt, um den Einführungsprozess rechtskonform und sicher zu gestalten.

Den Vereinsverantwortlichen sollte bewusst sein, dass nicht jede am Markt verfügbare Software ungeprüft genutzt werden kann. Mit der Software sollen zukünftig zahlreiche personenbezogene Daten verarbeitet werden. Die Vorstände des Vereins sind datenschutzrechtlich verantwortlich für den richtigen Einsatz. Daher ist im Vorfeld genaustens zu prüfen, welche Software die rechtlichen und sicherheitsrelevanten Anforderungen erfüllt und welche nicht.

Software

Bevor eine tiefgreifende Prüfung erfolgen kann, muss sich der Verein entscheiden, welche Art von Software zum Einsatz kommen soll. Am Markt verfügbare Angebote lassen sich in Software as a Service (SaaS) – sogenannte Cloudlösungen – und On-Premises-Lösungen als Desktopprogramme unterteilen.

Erklärungen

SaaS

SaaS ist wie ein virtuelles Mietmodell für Software. Anstatt die Software zu kaufen und auf einem Computer zu installieren, greift man über das Internet darauf zu. Das bedeutet, dass die Software nicht lokal auf dem eigenen Gerät gespeichert ist. Stattdessen loggen sich die Nutzer über einen Webbrowser (Internet) ein und nutzen die Funktionen direkt online.

„On-Premises“

Eine On-Premises-Lösung bezieht sich auf eine Software, die lokal auf einem eigenen Rechner oder Server betrieben wird, anstatt in der Cloud. Die gesamte Technologie, einschließlich Hardware, Software und Netzwerke, befindet sich physisch vor Ort im Verein. Dies ermöglicht dem Verein, die volle Kontrolle über seine Daten zu behalten. Jedoch erfordert es auch die entsprechende Wartung, Aktualisierung und Gewährleistung der notwendigen Sicherheit.

Diese Übersicht soll den Lesern einen kurzen Überblick über die Vor- und Nachteile einer Vereinssoftware als Cloudlösung zeigen. Dabei wurden sowohl Cloudlösungen als auch Desktopprogramme miteinander verglichen.

Vorteile SaaS

  • Zugriff aller Teammitglieder auf die gleichen Daten.
  • Kommunikation innerhalb der Software ist möglich.
  • Datensicherungen übernimmt der Anbieter. 
  • Die Anforderungen an die eigene IT-Infrastruktur sind geringer. 
  • Automatisierte Updates.
     

Nachteile SaaS

  • Vertrag über die Auftragsverarbeitung ist erforderlich. Der Vertrag muss inhaltlich geprüft und überwacht werden.
  • Die Vereinsdaten liegen auf fremden Geräten. Der Verein verliert eine gewisse Einflussnahme auf die Daten. 
  • Vereinsdaten liegen unter Umständen auf Servern außerhalb der EU. Die Übertragung der Daten über die Grenzen des Europäischen Wirtschaftsraums hinaus muss zusätzlich geprüft werden.
  • Regelmäßige und dauerhafte Kosten.

Neben diesen allgemeinen Vor- und Nachteilen sind natürlich auch die angebotenen Funktionen zu berücksichtigen. Viele Produkte gibt es nur als Cloud- oder als Desktopversion. Selbst wenn es ein Produkt in beiden Varianten gibt, können sich die darin enthaltenen Funktionen unterscheiden.

Überblick der zu ergreifenden organisatorischen Schritte

Die Verarbeitung personenbezogener Daten mittels einer Vereinssoftware unterliegt den Bestimmungen des Datenschutzrechts. Die Wahl der Rechtsgrundlage für die Datenverarbeitung ist entscheidend und sollte im Vorfeld bestimmt werden.

Zudem sind die Informationspflichten gegenüber den Mitgliedern (Datenschutzhinweise), die technischen und organisatorischen Maßnahmen (TOMs) und gegebenenfalls erforderliche Verträge über eine Auftragsverarbeitungsverträge (AV) mit dem Softwareanbieter zu berücksichtigen.

Rechtsgrundlagen der Datenverarbeitung

Die rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten bildet grundsätzlich der Vertrag über die Mitgliedschaft im Verein (Art. 6 Abs. 1 lit. b DSGVO). Dabei ist allerdings zu berücksichtigen, dass auf dieser Grundlage nur die Daten in der Software aufgenommen werden dürfen, die für die Mitgliedschaft erforderlich sind. Das dürften in den meisten Fällen folgende Daten sein: Name, Vorname, Anschrift, Kontaktdaten, Status, Beitragsdaten, Spenden, Teilnahmenachweise an Versammlungen.

Viele Programme bieten darüber hinaus die Möglichkeit, weitere Daten zu erfassen, wie zum Beispiel Mitgliedsfoto, Familienverhältnisse, Krankheiten, Allergien oder den Geburtstag.

Welche Daten für eine Mitgliedschaft erforderlich sind, ergibt sich aus der Satzung des Vereins. So kann es zum Beispiel notwendig sein, das Geburtsdatum abzufragen, wenn es nach Alter gestaffelte Mitgliedsbeiträge gibt oder die Angabe zur Einordnung in Altersklassen im Sport notwendig ist.

Daten, die nicht zur Erfüllung der satzungsgemäßen Pflichten erforderlich sind, wie zum Beispiel ein Foto des Mitglieds, bedürfen einer gesonderten Rechtsgrundlage. So kann das Speichern der Daten ein berechtigtes Interesse des Vereins darstellen oder die Mitglieder müssen eine Einwilligung erteilen.

Informationspflichten (Datenschutzhinweise)

Im Rahmen der Erfassung der Mitgliederdaten in der Software müssen die Mitglieder umfangreich darüber informiert werden, wie mit den Daten im Verein umgegangen wird. Eine derartige Information erfolgt in der Regel über die sogenannten Datenschutzhinweise. Welche Angaben die Datenschutzhinweise beinhalten müssen, ist ausführlich im Artikel 13 und 14 der DSGVO geregelt.

Neben den erörterten Rechtsgrundlagen der Datenverarbeitung müssen auch Löschfristen, die Zwecke und Datenarten genannt werden. Besonders bei der Nennung der zu verarbeitenden Datenarten dürfen die Metadaten der Systeme nicht vergessen werden. Auf den ersten Blick speichert eine Vereinssoftware nur Mitglieder-, Beitragsdaten und Nachrichten. Im Hintergrund der Software werden allerdings auch Protokolldaten aufgezeichnet oder IP-Adressen der Nutzer gespeichert. Diese Hintergrunddaten fallen ebenfalls unter die personenbezogenen Daten und müssen sowohl in den Datenschutzhinweisen als auch im Verarbeitungsverzeichnis genannt werden. Es ist unerlässlich, diese Hintergrunddaten ausfindig zu machen oder beim Anbieter zu erfragen.

In einem weiteren Schritt ist zu planen, wie die Datenschutzhinweise den Mitgliedern zur Verfügung gestellt werden. Näheres hierzu findet sich in unserem Praxisratgeber zu Informationspflichten.

Erfassung im Verarbeitungsverzeichnis

Gemäß Artikel 30 DSGVO ist der Verein als Verantwortlicher dazu verpflichtet, ein Verarbeitungsverzeichnis zu erstellen und zu führen. Dieses Verzeichnis dient dazu, einen Überblick über alle Datenverarbeitungstätigkeiten im Verein zu gewährleisten. Sofern nicht ohnehin schon vorhanden, müssen die mit der Vereinssoftware durchgeführten Verarbeitungstätigkeiten dort angelegt werden und die Besonderheiten der Software, wie zum Beispiel mögliche Drittstaatentransfers oder Datenübermittlungen, müssen sich dort widerspiegeln.

Die Erstellung dieses Verarbeitungsverzeichnisses ist nicht nur eine gesetzliche Anforderung, sondern dient auch dazu, die Transparenz und Kontrolle über die Verarbeitungsprozesse zu gewährleisten. Durch die Dokumentation aller relevanten Informationen wird der Verein in die Lage versetzt, seine datenschutzrechtlichen Verpflichtungen zu erfüllen. Im Falle von Anfragen oder Prüfungen durch die Datenschutzaufsichtsbehörden kann nachvollziehbar dargelegt werden, wie personenbezogene Daten im Zusammenhang mit der neuen Vereinssoftware verarbeitet werden.

Technische und organisatorische Maßnahmen

Neben der Erfassung der Vereinssoftware im Verarbeitungsverzeichnis sind die dazugehörigen Schutzmaßnahmen zu beschreiben. Die Beschreibung kann dem Verarbeitungsverzeichnis angehängt werden.

Die Software bringt eine Reihe von automatisierten technischen Schutzmaßnahmen mit, die im Vorfeld durch den Verein geprüft werden sollten. So schützt beispielsweise eine differenzierte Zugriffsregelung die Vereinsdaten vor fremden Zugriffen. Die Protokollierung der Zugriffe dient als Nachweis, wenn Daten unberechtigt verändert oder gelöscht wurden. Aber nicht alle Systeme protokollieren die Zugriffe umfangreich. Welche konkreten technischen Schutzmaßnahmen die Software mitbringt, muss im Einzelfall erfragt, geprüft und dokumentiert werden. Die Checkliste am Ende dieses Beitrags kann dazu als Grundlage dienen. Alle technischen Anforderungen, die durch den Anbieter erfüllt werden, können gleichzeitig als technische oder organisatorische Schutzvorkehrung angesehen werden.

Unter den notwendigen Schutzmaßnahmen ist auch die Vergabe von Berechtigungen zu nennen. Es empfiehlt sich, dass ein oder zwei Mitglieder im Verein die Rolle des Administrators übernehmen und sich um die Zugänge für weitere berechtigte Personen kümmern.

Eine Vereinssoftware wird von Mitgliedern unterschiedlichster Funktionen genutzt. So sollte bei der Vergabe der Rechte zwischen Administration, Kassenverwaltung, Kassenprüfung, Vorstand, Schriftführung und übrigen Mitgliedern unterschieden werden. Diese Zugriffsgruppen dürfen nicht die gleichen Rechte im System besitzen. So ist es beispielsweise nur der Kassenverwaltung gestattet, Beitragsrechnungen zu erstellen, zu ändern oder zu löschen (schreibende Rechte). Hingegen dürfen die Kassenprüfung diese Daten zu Kontrollzwecken einsehen (lesende Rechte). Den übrigen Mitgliedern sollte es nur gestattet sein, Benachrichtigungen oder die eigenen Mitgliedsdaten einzusehen. In allen angebotenen Vereinsprogrammen müssen diese Rechte manuell vergeben werden. Im Vorfeld ist deshalb eine genaue Planung der Zugriffsmöglichkeiten erforderlich.

Löschfristen

Nach dem Ausscheiden aus dem Verein müssen Daten ehemaliger Mitglieder entsprechend gelöscht werden. Daher empfiehlt es sich, die aktiven Mitglieder von den ausgeschiedenen Mitgliedern zu unterscheiden. Je nach Software können Mitglieder inaktiv gesetzt oder einer entsprechenden Gruppe zugeordnet werden. Die inaktiven Mitglieder müssen mindestens jährlich auf die Erreichung der Löschfrist geprüft werden. Manche Systeme bieten dazu eine automatisierte Erinnerung an oder schlagen zu löschende Mitglieder nach Ablauf der Frist vor. Derartige Funktionen unterstützen die Vereinsarbeit immens und sollten bereits in der Vergleichsphase berücksichtigt werden.

Spätestens nach drei Jahren (allgemeine Verjährungsfrist) gibt es keine weiteren Gründe, die allgemeinen Mitgliederdaten wie Adress- und Kontaktdaten aufzubewahren. Wenn allerdings Mitgliederbeiträge erhoben wurden, gilt eine Aufbewahrungsfrist von zehn Jahren. Diese Frist gilt jedoch nur für die buchhaltungsrelevanten Belege. Für die übrigen Daten wie beispielsweise Fotos, Kontaktdaten oder Nachrichten gibt es keine gesetzliche Pflicht zur Aufbewahrung. Daher müssen derartige Daten nach spätestens drei Jahren gelöscht werden.

Checkliste „Technische und rechtliche Vorprüfung“

Kriterium Erklärung  
Der Anbieter kann einen Vertrag über die Auftragsverarbeitung anbieten. Dieser Vertrag ist gesetzlich verpflichtend (siehe Art. 28 DSGVO). Er bietet dem Verein eine rechtliche Handhabe über den Anbieter, so dass der Verein die Mitgliedsdaten unter seiner Kontrolle behält. C
Die Daten liegen auf Servern innerhalb des Europäischen Wirtschaftsraums. Eine Datenlagerung außerhalb des EWR ist in einigen Fällen zwar ebenfalls möglich, aber rechtlich komplexer und im Einzelfall zu prüfen. C
Administrator und Benutzerrechte sind getrennt. Nutzt diese Möglichkeit und legt fest, wer die Administratorfunktionen erhält und sich um die Benutzer kümmert. Falls sich eine Person außerhalb des Vorstands um diese Aufgaben kümmern soll, muss diese Person zur Verschwiegenheit (Datengeheimnis) verpflichtet werden. C
Passwortvergabe sollte nur durch den Benutzer möglich sein. Initialpasswörter, die durch Administratoren vergeben werden, sind häufig unsicher und werden durch die Benutzer nicht geändert. C
2-Faktor-Authentifizierung wird angeboten. Je nach Umfang der gespeicherten Daten sollte diese Funktion aktiviert werden. In Zukunft werden derartige Systeme nur noch mittels eines zweiten Faktors nutzbar sein. C
Logdaten werden protokolliert. Mindestens die Zugriffe auf das System müssen protokolliert werden und einsehbar sein. Besser ist es, wenn auch Veränderungen protokolliert werden.
Prüft, wann die Protokolldaten gelöscht werden. Diese Information benötigt ihr für das Verarbeitungsverzeichnis.
C
Der Export der Mitgliederdaten ist in einem gängigen Format, z. B. als csv-Datei, möglich. Ein solcher Export ist bei Betroffenenanfragen nützlich, wird aber auch benötigt, wenn der Wechsel zu einer anderen Software geplant ist.  
Ehemalige Mitglieder können inaktiv gesetzt werden oder einer passiven Gruppe zugeordnet werden. Ehemalige Mitglieder müssen nach spätestens drei Jahren gelöscht werden.  
Ehemalige Mitglieder können gelöscht werden.    
Teillöschungen müssen möglich sein. Unterschiedliche Löschfristen für Buchhaltung und Daten ehemaliger Mitglieder sollten auch dann umsetzbar sein, wenn die Software eine Verknüpfung von Buchhaltung und Mitgliederverwaltung anbietet.  
Es wurde sichergestellt, dass die Daten regelmäßig gesichert werden. Mindestens zwei unabhängige Datensicherungen sollten regelmäßig (z. B. wöchentlich) angefertigt werden. Die Datensicherungen müssen an verschiedenen Orten aufbewahrt werden. Die Speicherung sollte nur auf verschlüsselten Datenträgern erfolgen. D
Der Anbieter führt eine verlässliche Datensicherung durch und sichert dies auch vertraglich zu. Auch wenn Backups durch den Anbieter im Bereich von Cloud-Software allgemeiner Standard sind, sollten die vertraglichen Regelungen hierzu im Detail geprüft werden. C
Die Software wird regelmäßig und zeitnah aktualisiert (Updatepflicht). Klärt, wer für die Aktualisierungen der Software verantwortlich ist. D

C = Nur bei Cloudlösung (SaaS) erforderlich
D = Nur bei Desktopversion (On-Premise) erforderlich

In diesem Beitrag gehen wir davon aus, dass ein Desktopprogramm nur auf einem Gerät genutzt wird. Kombinationslösungen wie z. B. Speicherung der Software auf einem eigenen Vereinsserver mit Zugriffsmöglichkeiten per Remotedesktop oder die Synchronisation über dateibasierte Cloud-Speicher werden hier nicht verglichen.

Hinweis

Im Bereich von Cloud-Software übernehmen die Anbieter viele Absicherungen im Bereich der technischen und organisatorischen Maßnahmen. Im Fall von Desktop-Software treffen den Verein hier umfangreichere Pflichten, die jedoch allgemeinerer Natur sind und nicht zwangsläufig mit der konkreten Software in Verbindung stehen. So muss sich der Verein zum Beispiel um eine ausreichende Trennung von Benutzerkonten, Protokollierung von Zugriffen und Veränderungen sowie die technische Absicherungen der Geräte und des Netzwerks kümmern.

Webinaraufzeichnung "Die digitale Mitgliederverwaltung"

Autorin: Jacqueline Vogel

…oder in verwandten Einträgen

Prev
Next