Vereinsinterne Kommunikation

Praxisratgeber

Logo Datenschutz im Ehrenamt

Die richtige Wahl der Kommunikationswege

Ehrenamtliches Engagement funktioniert vor allem durch die gemeinschaftliche Arbeit und den Austausch untereinander. Und neben dem sachbezogenen Austausch ist das soziale Miteinander ebenfalls ein wichtiges Element in einem Großteil von Vereinen. Daher braucht es Möglichkeiten für den Austausch der im Verein Aktiven.

Für die vereinsinterne Kommunikation werden häufig Messenger-Dienste wie man sie aus dem privaten Umfeld kennt genutzt. Einfache E-Mail-Verteiler, bei dem man eine E-Mail an alle gewünschten Empfänger schickt, sind ebenfalls verbreitet. Doch es gibt auch Alternativen in Form von speziellen Mailinglisten, bei denen eingehende E-Mails automatisch an alle Empfänger weitergeleitet werden, oder speziellen Mitgliederportalen mit Nachrichtenfunktion.

Aus datenschutzrechtlicher Sicht sind es immer dieselben Punkte, die beachtet werden müssen. Einige sind von der Wahl des Kommunikationsmediums abhängig, so dass manche Kommunikationswege, zumindest aus Datenschutzsicht, zu bevorzugen sind. Andere Aspekte, wie die Erfüllung von Informationspflichten, sind jedoch unabhängig vom gewählten Kommunikationsmedium und immer zu beachten.

Video-Aufzeichnung zum Nachschauen

Wir haben uns bereits in einem Webinar mit den Themen rund um die vereinsinterne Kommunikation auseinandergesetzt. Schauen Sie sich dieses hier gern an.

1

Im Folgenden stellen wir Ihnen fünf Kriterien vor, in denen sich verschiedene Kommunikationsmittel aus Datenschutzsicht unterscheiden. 

2

Wir geben außerdem eine grobe Einordnung, wie sich gängige Kommunikationsmittel in Bezug auf diese Kriterien unterscheiden. 

3

Abschließend erläutern wir noch, was unabhängig von der Wahl der Kommunikationsmittel zu beachten ist.

Fünf Kriterien zur Beurteilung von Kommunikationsmitteln

Ob man einen E-Mail-Verteiler händisch pflegt und an die Aktiven verteilt, einen privat genutzten Messenger für die Vereinskommunikation mit nutzt, oder ein eigenes Mitgliederportal nutzt, bringt unterschiedliche Probleme und Vorteile im Hinblick auf Datenschutz mit sich.

1. Vertraulichkeit der Kommunikation

Die eigentlichen Inhalte der Kommunikation müssen durch Verschlüsselung vor unbefugtem Zugriff geschützt sein. Wenn ein Vertrag zur Verarbeitung im Auftrag mit dem Anbieter eines Kommunikationssystems existiert, reicht eine Transportverschlüsselung, die Inhalte während der Übermittlung über das Internet schützt. Ansonsten ist eine Ende-zu-Ende-Verschlüsselung zu empfehlen. Der Schutzbedarf hängt auch von den Inhalten ab und ist beispielsweise im Fall von Gesundheitsdaten höher.

2. Verarbeitung für eigene Zwecke

Je nach Geschäftsmodell des Anbieters eines Kommunikationssystems kann eine Analyse der Daten für eigene kommerzielle Zwecke ein Problem darstellen. Dies bezieht sich nicht nur, wie oft angenommen, auf die eigentlichen Inhalte der Kommunikation. Vielmehr ist auch die Analyse sogenannter Meta-Daten in der Praxis ein Problem. Diese umfassen beispielsweise wer, wann mit wem schreibt oder wen kennt. Wird ein Vertrag zur Verarbeitung im Auftrag mit dem Anbieter geschlossen, ist eine Nutzung von Daten für eigene Zwecke weitestgehend ausgeschlossen und damit kontrollierbar.

3. Teilen von Kontaktdaten

Vor allem bei Messenger-Apps ist es üblich, dass die Kontakte des Smartphones, auf denen die App installiert wird, ausgelesen werden. Dies ist praktisch, um alle Personen, die man im Adressbuch hat, auch über diesen Messenger erreichen zu können. Vor allem in Kombination mit der Analyse von Daten für eigene Zwecke des Anbieters ist dies jedoch höchst problematisch. Im Vereinsumfeld ist ein weiteres Problem, dass die Kontakte auf den genutzten Smartphones in der Regel nicht nur Vereinsaktive, sondern weitere private Kontakte umfassen. Empfiehlt der Verein seinen Aktiven die Nutzung eines solchen Messengers auf privaten Geräten für Zwecke der Vereinskommunikation, macht er sich für die Analyse der privaten Kontakte in den Adressbüchern verantwortlich.

4. Internationale Datentransfers

Übermittelt ein Verein Daten in Drittstaaten außerhalb des europäischen Wirtschaftsraums, benötigt er hierfür eine Rechtsgrundlage nach Art. 44 ff. DSGVO [Link zu internationale Datentransfers]. Dies schließt den Sitz eines Anbieters für Kommunikationsmittel bzw. die Server-Standorte mit ein. Es gibt jedoch solche Rechtsgrundlagen und in manchen Fällen wie der Schweiz ist dies auch unproblematisch. Seit dem Schrems II-Urteil des europäischen Gerichtshofs vom Juli 2020 sind Datentransfers in die USA aber mit hohen Aufwänden verbunden bis hin zu unmöglich. Daher sind Kommunikationssysteme mit Bezügen zu den USA, zumindest nach aktueller Lage, äußerst problematisch.

5. Kontrolle über die Datenverarbeitung

Der Verein ist für die durch ihn angestoßene Datenverarbeitung verantwortlich. Er muss diese steuern und überblicken können. Dies ist vor allem in Hinblick auf Art. 5 Abs. 1 lit. e) DSGVO (Löschpflichten), Art. 15 ff. DSGVO (Betroffenenrechte), Art. 24 DSGVO (Pflicht zur Umsetzung technisch-organisatorischer Maßnahmen), sowie Art. 32 DSGVO (Sicherheit der Verarbeitung) relevant. Verlässt sich der Verein im Hinblick auf Kommunikationsmittel auf Dienste, welche in der Hauptsache für Privatnutzer entwickelt wurden, hat er nur wenig Eingriffsmöglichkeiten. Ein weiteres Problem stellt die im Vereinsumfeld verbreitete Nutzung privater Endgeräte dar. Durch beide Faktoren haben Vereine hier nur wenige Möglichkeiten, die Datenverarbeitungsvorgänge zu überblicken und zu steuern. Ein Weg dies zu regeln, können organisatorische Weisungen gegenüber den Vereinsaktiven sein.

Einordnung gängiger Kommunikationsmittel anhand der fünf Kriterien

Wie einleitend erwähnt, unterscheiden sich gängige Kommunikationsmittel in Bezug auf die hier aufgestellten Kriterien. Wir können an dieser Stelle keine konkreten Anbieter analysieren, wollen aber eine Einordnung anhand gängiger Kategorien von Kommunikationsdiensten geben:

 

Vertraulichkeit der Kommunikation

Verarbeitung für eigene Zwecke

Teilen von Kontakten

internationale Datentransfers

Kontrolle über Datenverarbeitung

Messenger-Apps

in der Regel gut

je nach Anbieter

problematisch

häufig problematisch

schwierig umzusetzen

Chat in eigenem Mitgliederportal

in der Regel gut

kein Problem

kein Problem

in der Regel kein Problem

gut

E-Mail Verteiler (Mail an mehrere Empfänger, offen oder per BCC)

schlecht

in der Regel kein Problem

bei Versand kein Problem, aber ggf. vorab

in der Regel kein Problem

unterschiedlich, meist schwierig

Mailinglisten

schlecht

in der Regel kein Problem

gut

in der Regel kein Problem

unterschiedlich, meist schwierig

Kontaktlisten (Telefon- und E-Mail)

hier hängt alles vom Einzelfall ab,
bzw. muss über organisatorische Weisungen geregelt werden

Videokonferenztools

in der Regel gut

kein Problem

kein Problem

in der Regel kein Problem

gut

 

HinweisE
Die hier getroffenen Einordnungen stellen allgemeine Einschätzungen bezüglich marktüblicher Anbieter dar. Bei der Einführung eines Kommunikationsdienstes, sollten jedoch immer alle Kriterien im Einzelfall überprüft werden.

Bei der Spalte internationale Datentranfers, gehen wir davon aus, dass der Verein sich einen Anbieter sucht, der bezüglich internationalen Datentransfers unproblematisch ist. Die Einschätzung in dieser Spalte bezieht sich hier also nicht auf alle marktüblichen Anbieter, sondern darauf, wie leicht der Verein einen Anbieter finden kann, der dieses Kriterium erfüllt. Im Fall von Messenger-Apps haben Vereine jedoch keine freie Wahl, sondern müssen sich an den Messengern orientieren, welche die Vereinsaktiven nutzen. Daher treten hier größere Einschränkungen als bei anderen Kommunikationsmitteln auf.

Informationspflichten und allgemeine Regelungen

Unabhängig von den Kriterien und der unterschiedlichen Eignung verschiedener Kommunikationsdienste enthält die Datenschutzgrundverordnung allgemeine Vorgaben, die eine verantwortliche Stelle, wie ein Verein, umsetzen muss. Während einige Vorgaben, wie die möglicherweise verpflichtende Benennung eines Datenschutzbeauftragten, eher allgemeine Pflichten darstellen, sind andere Vorgaben spezifisch für jede Verarbeitungstätigkeit zu erfüllen.

So sollten Vereine im Kontext eines Kommunikationsdienstes daran denken, diesen in ihrem Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO mit aufzuführen. Hierbei ist auch an mögliche Drittstaatentransfers und die Einbindung externer Anbieter als Empfänger von Daten zu denken. Die Übermittlung von Daten an Vereinsmitglieder, die aber nicht im Auftrag des Vereins tätig sind, kann ebenfalls eine Übermittlung an Dritte darstellen.

Außerdem sollte berücksichtig werden, dass alle betroffenen Personen gemäß Art. 13 bzw. 14 DSGVO über die Datenverarbeitung informiert werden müssen. Ein Verein muss also Datenschutzhinweise bezüglich des Kommunikationsdienstes zur Verfügung stellen. Da der Verein in der Regel selbst die verantwortliche Stelle ist, muss der Verein diese selbst zusammenstellen und es reicht nicht, auf existierende Datenschutzhinweise eines allgemeinen Kommunikationsdienstes zu verweisen. Besondere Berücksichtigung bedarf auch die Fragestellung, welche Personen von der Datenverarbeitung betroffen sind und informiert werden müssen. In Fällen eines automatischen Adressbuchuploads durch Messenger-Apps sind dies eben nicht nur die Personen, die aktiv an der Kommunikation teilnehmen, sondern auch alle weiteren Kontakte in den Adressbüchern auf den jeweils genutzten Geräten. Im Fall von Kontaktlisten, welche Aktiven zur Verfügung gestellt werden, sind dies die Personen, welche auf der Liste aufgeführt werden und nicht nur die Personen, denen die Liste ausgehändigt wird.

Änderungen durch Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes

Am 1. Dezember 2021 ist das Telekommunikation-Telemedien-Datenschutzgesetz, kurz TTDSG, in Kraft getreten. Zeitgleich wurde das Telekommunikationsgesetz aktualisiert. Durch diese Änderungen können Messenger-Dienste nun als sogenannte interpersonelle Kommunikationsdienste eingeordnet werden. Dies hat zur Folge, dass das Fernmeldegeheimnis auch für Messenger gelten kann. In diesen Fällen sind die Anbieter von Messengern an strengere Vorgaben gebunden und dürften Daten, die im Rahmen der Messenger-Nutzung anfallen, nur in sehr geringem Umfang für eigene Zwecke verarbeiten.

Eine Einordnung von Messenger als interpersonelle Kommunikationsdienste hat weitreichende Auswirkungen und betrifft alle fünf weiter oben genannten Kriterien. Prinzipiell werden Messenger, wie sie im Privatumfeld genutzt werden, dadurch auch für die Vereinskommunikation nutzbar. Auch auf Videokonferenztools kann dies Auswirkungen haben. Die fehlende Kontrolle eines Vereins über solche allgemein verfügbaren Kommunikationsmittel wird durch die gesetzlichen Änderungen weniger relevant. Betreibt ein Verein jedoch sein eigenes Mitgliederportal, bleibt alles beim Alten und es ist weiterhin als Auftragsverarbeitung einzuordnen.

Aktuell (Dezember 2021) haben sich die gesetzlichen Änderungen jedoch noch nicht in der Praxis eingespielt. Die Datenschutzaufsichtsbehörden planen eine Orientierungshilfe, die in der ersten Jahreshälfte 2022 veröffentlicht werden soll. Und auch die Anbieter selbst sind noch sehr zurückhaltend, ob sie als sogenannter interpersoneller Kommunikationsdienst einzuordnen sind. Während dies bei klassischen Messenger-Apps für geschlossene Benutzergruppen relativ klar ist, weisen viele Messenger-Apps gemischte Kommunikationsformen auf, wovon vermutlich nur ein Teil den neuen Regelungen unterliegt. Daher können wir zum aktuellen Stand auch noch keine konkretere Einordnung bieten.

Aufzeichnung des Webinars "Vereinsinterne Kommunikation" zum Nachschauen

Autor: Hendrik vom Lehn

…oder in verwandten Einträgen

Prev
Next