Verpflichtungserklärungen
Praxisratgeber
Im Verein trägt der Vorstand rechtlich die Verantwortung für sämtliche Datenverarbeitungen (siehe den Praxisratgeber zu Verantwortlichkeiten und Haftung im Datenschutz). Somit hat er auch die Aufgabe, darüber zu entscheiden, wie diese Datenverarbeitung gestaltet wird. Er muss außerdem dafür sorgen, dass sich alle im Verein an die damit verbundenen Regeln halten. Der Vorstand kann durch die eingeholte Verpflichtung auf diese Regelungen nachweisen, dass er sich darum bemüht hat, dieser Aufgabe nachzukommen.
Dieser Praxisratgeber und die dazugehörige Mustervorlage richten sich daher in erster Linie an Vereinsvorstände und sollen Hilfestellung auf dem Weg hin zu einer wirksamen Verpflichtungserklärung zum Datenschutz geben.
Daten schützen heißt: Verantwortung übernehmen.
Viele wissen – verständlicherweise – einfach nicht, wo sie beim Thema Datenschutz praktisch anfangen sollen. Als erste konkrete Maßnahme eine Datenschutz-Verpflichtungserklärung von allen Vereinsaktiven und ggf. Beschäftigten einzuholen, erscheint da verlockend. Sie ist schnell ausgedruckt, unterschrieben und abgeheftet und viele denken, damit könne zumindest ein Haken beim Thema Datenschutz gemacht werden. Doch so einfach funktioniert es (leider) nicht.
Daten oder vielmehr die Personen, auf die sie sich beziehen, können im Alltag nur gemeinsam geschützt werden. Einen Teil der Verantwortung tragt ihr dabei als Vorstand und einen Teil übernehmen auch Aktive oder Beschäftigte im Verein, wenn sie Daten verarbeiten:
Verantwortung zu übernehmen bedeutet für euch im Vorstand:
Anforderungen zu kennen, Gestaltungsspielräume im Vereinsalltag bewusst zu machen, Entscheidungen zu treffen und Regeln zum praktischen Umgang mit Daten festzulegen und zu vermitteln.
Verantwortung zu übernehmen bedeutet für Aktive oder Beschäftigte im Verein:
Anforderungen an den Umgang mit Daten zu kennen, sich an geltende Regeln zu halten, auf mögliche Verbesserungen hinzuweisen und im Fall von Datenpannen/Datenschutzverstößen den Vorstand schnellstmöglich zu informieren.
Daten werden nicht in der Schublade geschützt, sondern im Vereinsalltag.
Es wird also schnell deutlich: Eine pauschale Erklärung einer Verpflichtung, ohne dass tatsächlich klar ist, wozu man sich genau verpflichtet, macht keinen Sinn und beantwortet keine Fragen, die Viele beim konkreten Umgang mit Daten haben. Im Gegenteil kann dies unter Umständen sogar eine Hemmschwelle aufbauen, Fragen zum Thema Datenschutz anzusprechen (da man ja die Antwort vermeintlich schon kennen müsste, weil man die Verpflichtungserklärung unterzeichnet hat). Dies ist besonders problematisch, wenn eine pauschale Verpflichtungserklärung ohne konkrete Regelungen eure einzige Maßnahme bleibt.
Denn Daten werden nicht in der Schublade geschützt, sondern im Vereinsalltag. Das könnt ihr und das können auch eure Aktiven nur, wenn allen bewusst ist, was ihr bei euch im Verein überhaupt für Daten verarbeitet, warum ihr das tut, was dabei zu beachten ist und wie das konkret umgesetzt werden kann.
Wie sieht der Weg zu einer wirksamen Verpflichtungserklärung aus?
Ihr könnt eure Aktiven und mögliche Beschäftigte des Vereins nur auf etwas verpflichten, das ihnen auch technisch und organisatorisch ermöglicht wird (siehe hierzu auch den Praxisratgeber zu technisch-organisatorischen Maßnahmen). Als Vorstand habt ihr also auch die Aufgabe, die erforderlichen Voraussetzungen für wirksamen Datenschutz zu schaffen.
Dafür solltet ihr euch zunächst mit den Prinzipien des Datenschutzes vertraut machen und überlegen, was sie mit euren Vereinsaktivitäten zu tun haben (siehe den Praxisratgeber zu Allgemeinen Pflichten im Datenschutz im Überblick).
Dann steht eine Inventur an: Prüft die Voraussetzungen eures Engagements, eure aktuellen Abläufe und eure Infrastruktur – und zwar sowohl eure technische Ausstattung an sich als auch die Kompetenzen in eurem Team, damit umzugehen. Als nächstes gilt es, einige Entscheidungen für die bewusste Gestaltung eurer Abläufe zu treffen und zu regeln, wie Datenschutz in Zukunft von allen Beteiligten praktisch und ganz konkret umgesetzt werden kann.
Wenn ihr diese Schritte gegangen seid, dann könnt ihr auf dieser Basis eine verbindliche Verpflichtungserklärung einholen, die für alle tatsächlich mehr Handlungssicherheit im Vereinsalltag schafft und effektiv dabei hilft, Daten zu schützen.
Nachfolgend werden die einzelnen Schritte noch einmal genauer beleuchtet. In Anlage 1 der Mustervorlage für eine Verpflichtungserklärung zu Datenschutz und zur Vertraulichkeit finden sich bereits viele konkrete Vorschläge für konkrete Regelungen mit Hinweisen zu den Voraussetzungen, die dafür nötig sind.
Vertraulichkeitsvereinbarung ≠ Verpflichtungserklärung zum Datenschutz
Oft wird eine Verpflichtungserklärung auf Datenschutz mit einer Vertraulichkeitsvereinbarung verwechselt. Während es zwar Überschneidungen gibt und Vertraulichkeit bzw. Verschwiegenheit auch im Sinne des Datenschutzes ist, so umfasst Vertraulichkeit nicht nur die Geheimhaltung von Informationen, die personenbezogen sind, sondern gegebenenfalls auch von Interna zu Vereinsorganisation, Arbeitsweisen und Absprachen. Sollte es in eurem Verein solche vertraulichen Interna geben, achtet darauf, dass ihr eure Aktiven sowohl auf Datenschutz als auch auf Vertraulichkeit verpflichtet. Beides ist im hier zur Verfügung stehenden Muster enthalten.
1. Inventur durchführen: Datenverarbeitungen in eurem Verein
Wie verarbeitet ihr aktuell Daten in eurer Vereinsarbeit?
Wenn es euch schwerfällt zu beschreiben, wie ihr Daten in eurem Vereinsalltag verarbeitet, ist das sehr wahrscheinlich ein Anzeichen dafür, dass viele Abläufe insgesamt unklar oder jedenfalls nicht allen gleichermaßen klar sind – oder auch ein Anzeichen dafür, dass hier im Alltag große Kreativität herrscht und eure Aktiven bislang einen sehr unterschiedlichen Umgang mit Daten und Technik pflegen.
Wenn ihr eure Abläufe regelt, kann euch das enorm dabei helfen, einen gemeinsamen Wissensstand im Verein herzustellen: Wie können sich neue Aktive schnell einbringen und auch Verantwortung übernehmen? Wie funktioniert die Arbeitsteilung in eurem Verein, wie können eure Aktivitäten gut ineinandergreifen? Was passiert, wenn jemand ungeplant ausfällt oder ein Computer im Team kaputtgeht?
Verschafft euch hierfür zunächst einen Überblick:
- Erstellt ein Verzeichnis der Verarbeitungstätigkeiten (VVT) in eurem Verein (siehe den Praxisratgeber und die Vorlage für ein VVT).
- Prüft, ob ihr lückenlos über Datenverarbeitungen in eurem Verein informiert (siehe den Praxisrageber zu Informationspflichten).
- Macht eine Auswertung der Infrastruktur, die im Verein genutzt wird: Wie seid ihr technisch ausgestattet, wie steht es um die technischen Kompetenzen im Team?
- Wer hat aktuell Zugriff auf was und wie ist dieser geregelt? (Gibt es bereits ein Rechte- und Rollenkonzept?)
- Falls ihr bereits technisch-organisatorische Maßnahmen (TOMs) umsetzt, schreibt sie auf (siehe den Praxisratgeber zu TOMs und die Auflistung möglicher TOMs in der Vorlage für ein VVT): Wie schützt ihr Daten im Vereinsalltag?
- Was ist euer Zeit- und ggf. Geld-Budget für Investitionen in eure technische Infrastruktur und Schulungen?
2. Entscheidungen treffen
Kann alles so bleiben, wie es ist, oder sind Anpassungen erforderlich? Was wäre notwendig und was ist möglich?
Wenn Aktive oder Beschäftigte selbst an vielen Stellen Datenschutz für den Verein umsetzen müssen, sind die Vorarbeiten und klare Regelungen durch den Vorstand umso wichtiger (zum Beispiel wenn Aktive selbst Daten bei der Durchführung von Beratungen oder Veranstaltungen etc. erheben).
Je mehr Risiken die Datenverarbeitung durch den Verein für die Betroffenen mit sich bringt, umso höher ist die Verantwortung des Vorstands, hierfür Regelungen zu treffen, die diese Risiken minimieren (zum Beispiel wenn besonders schützenswerte Daten wie Gesundheitsdaten bei Selbsthilfegruppen verarbeitet werden oder wenn Kinder und Jugendliche betroffen sind). Bei Datenkategorien welche durch die DSGVO gesondert geschützt werden, ist generell von einem höheren Risiko auszugehen (siehe hierzu auch den Praxisratgeber zu besonderen Datenkategorien).
3. Praktische Umsetzung
Voraussetzungen schaffen
- Passt eure technische und organisatorische Infrastruktur Schritt für Schritt an, wo nötig.
-
Zum Beispiel ist ein Rechte- und Rollenkonzept eine wichtige Voraussetzung, um Zugriffsmöglichkeiten (digital und physisch) auf die Personen im Team beschränken zu können, die diese für ihr Engagement im Verein brauchen. Euch als Vorstand sollte klar sein, wer für das Organisieren von Zugriffen verantwortlich ist und was passieren muss, wenn Änderungen nötig werden – zum Beispiel wenn jemand sein Engagement im Verein beendet.
Abläufe schriftlich regeln
-
Wenn ihr euch bereits mit technischen Datenschutzmaßnahmen im Rahmen der TOMs auseinandergesetzt habt, dann braucht es in vielen Fällen ein bestimmtes Verhalten von euch und euren Aktiven, damit diese technischen Maßnahmen auch greifen (so wie auch eine abschließbare Tür nur dann ihre Schutzwirkung entfalten kann, wenn sie tatsächlich abgeschlossen wird). In diesem Sinne gehen technische und organisatorische Maßnahmen häufig Hand in Hand.
-
Einfache Regeln können auch dann schon sinnvoll sein, wenn ihr noch nicht alles umsetzen konntet, was ihr euch in einem bestimmten Bereich vorgenommen habt. Zum Beispiel könnt ihr mit einer Regel zur Nutzung sicherer Passwörter wahrscheinlich schon schnell den Schutz erhöhen, auch wenn die Einführung eines Passwortmanagers vielleicht noch etwas Zeit braucht. Um diesen könnt ihr euch dann in einem zweiten Schritt kümmern und später eine dazugehörige Regel entsprechend ergänzen.
-
Indem ihr Regelungen schriftlich festhaltet, erhöht ihr die Verbindlichkeit, zudem erleichtert ihr das Nachlesen und könnt neue Aktiver leichter in eure Vereinsarbeit einführen. Wichtig ist, dass sie zum aktuellen Stand eurer technischen Infrastruktur passen und befolgt werden können.
-
Vergesst auch nicht, auf eure Regelungen als Teil eurer organisatorischen Datenschutz-Maßnahmen in der Dokumentation eurer TOMs zu verweisen (siehe Praxisratgeber zu TOMs).
Datenschutz nicht aus den Augen verlieren
-
Werden die Regeln beachtet, gibt es Schwierigkeiten bei der Umsetzung, braucht es ggf. Anpassungen für die Zukunft oder mehr Unterstützung? Klärt und kommuniziert im Verein die Informationswege: Wo können die aktuellen Regelungen nachgelesen werden? Wie wird über Änderungen verlässlich informiert? An wen können sich Vereinsaktive bei Fragen oder Verbesserungsbedarf wenden?
-
Sorgt auch dafür, dass ihr regelmäßig im Vereinsteam das Wissen über die wichtigsten Regelungen zum Datenschutz auffrischt. Das kann zum Beispiel jährlich über eine kleine Schulung bei einem Vereinstreffen oder zumindest durch eine Erinnerung an die Regelungen per E-Mail an alle Aktiven oder Beschäftigten geschehen.
-
Denkt auch daran, Änderungen in euren Abläufen möglichst schnell einzuarbeiten und zum Beispiel ein Mal im Jahr eure Regelungen auf ihre Aktualität zu überprüfen und – wenn nötig – anzupassen. Dafür eignet sich zum Beispiel die langfristige Einplanung des Themas in eine Vorstandssitzung.
4. Verpflichtung zum Datenschutz einholen
Wenn alles einmal durchgearbeitet wurde und soweit wie aktuell möglich geklärt wurde, könnt ihr von allen bereits Aktiven (vergesst dabei nicht euch selbst im Vorstand) auf Basis der ausgearbeiteten Regelungen eine Verpflichtungserklärung unterzeichnen lassen. Damit könnt ihr dokumentieren, dass alle in einen datenschutzkonformen Umgang mit Daten im Vereinsalltag eingewiesen sind.
Bevor ihr dann neuen Aktiven Zugriff zu Daten erlaubt oder sie in eure Abläufe einbindet, wird ebenfalls die Verpflichtungserklärung eingeholt. Als erfreulicher Nebeneffekt ergibt sich, dass eine systematische Einarbeitung neuer Personen im Team nun deutlich leichter umzusetzen ist.
Zu eurer Unterstützung gibt es hier eine Mustervorlage für eine Verpflichtungserklärung zum Datenschutz und zur Vertraulichkeit.
Hinweise zur Mustervorlage
Schaut euch den Text im bereitgestellten Muster genau an, vor allem die beispielhaften Bausteine in Anlage 1. Überlegt, was für eure Arbeit relevant ist oder angepasst werden muss. Beachtet dabei, dass die Liste nicht abschließend ist – möglicherweise gibt es noch weitere Bereiche, die für die Datenverarbeitung im Kontext eurer konkreten Vereinsarbeit wichtig sind, für die ihr Regelungen braucht.
So sind Bereiche, um die sich meist nur wenige Personen im Verein kümmern, im Muster nicht enthalten. Auch für diese Bereiche sind Regelungen sinnvoll, wie zum Beispiel die Pflege der Webseite (siehe Praxisratgeber zum Thema „Webseiten“) oder die zentrale Mitgliederverwaltung (siehe Praxisleitfaden zur digitalen Mitgliederverwaltung).
Die Bausteine im Muster betreffen Bereiche, mit denen vermutlich viele Aktive in eurem Verein in Berührung geraten (wie E-Mail-Kommunikation oder Fotos im Zusammenhang mit Vereinsaktivitäten). Dort findet ihr praxisnahe Vorschläge, mit denen ihr Datenschutz in eurer Verpflichtungserklärung konkret machen könnt und somit effektiv umsetzt.
Autorinnen: Sofia Vester & Katharina Vester, fix&fertig – Datenschutzhilfen für Zivilgesellschaft