Datenschutz fuer Gemeinschaftsorganisationen: DSGVO vereinfacht

💻

Letzten September bekam die Vorsitzende eines Vorstadtelternbeirats eine E-Mail, die ihr den Magen umdrehte. Ein Elternteil hatte eine hoefliche, aber bestimmte Nachricht geschrieben: "Gemaess der DSGVO moechte ich genau wissen, welche personenbezogenen Daten Sie ueber mich und meine Kinder gespeichert haben, und ich moechte sie loeschen lassen." Die Elternbeiratsvorsitzende starrte auf ihren Bildschirm. Sie wusste, dass sie ein Google Sheet mit Elternnamen, E-Mails, Telefonnummern und Namen und Klassen der Kinder hatten. Es gab auch ein PayPal-Konto mit Transaktionsverlaeufen, eine WhatsApp-Gruppe mit jahrelangen Nachrichten, eine alte Mailchimp-Liste von einer Spendenaktion vor drei Jahren und ein Anmeldeformular von einem Kuchenverkauf, das Heimadressen fuer die Lieferung erfasste. Sie hatte keine Ahnung, wo alle Daten waren, wer Zugang hatte oder ob sie die meisten davon ueberhaupt haben durfte. Sie wusste definitiv nicht, was die DSGVO als Naechstes von ihr verlangte. Dieser Moment der Panik ereignet sich gerade ueberall in Gemeinschaftsorganisationen -- Elternbeiraeten, Sportvereinen, Pfarrgemeinderaeten, Nachbarschaftsvereinen, Absolventengruppen, Pfadfindergruppen. Datenschutzrecht ist nicht mehr nur fuer Technologieunternehmen. Wenn Ihre Organisation personenbezogene Daten ueber Mitglieder sammelt, haben Sie rechtliche Verpflichtungen, und die gute Nachricht ist, dass sie ueberschaubarer sind, als Sie denken.

Was die DSGVO wirklich ist (und warum sie fuer Sie gilt)

Die Datenschutz-Grundverordnung ist ein Gesetz der Europaeischen Union, das im Mai 2018 in Kraft trat. Sie regelt, wie Organisationen personenbezogene Daten von Personen in der EU erheben, speichern, nutzen und teilen. Aber hier ist, was die meisten Gemeinschaftsleiter ueberrascht: Die DSGVO hat keine Ausnahme fuer kleine Organisationen, gemeinnuetzige Organisationen oder Gemeinschaftsgruppen. Sie gilt gleichermassen fuer einen multinationalen Konzern und Ihren lokalen Chor.

Wenn auch nur eines Ihrer Mitglieder in der EU lebt -- oder wenn jemand aus der EU Ihre Website besucht und seine E-Mail-Adresse eingibt -- fallen Sie potenziell in den Geltungsbereich. Und selbst wenn Sie eine rein deutsche Organisation sind, ist die DSGVO relevant, weil sie ohnehin direkt gilt und als Vorbild fuer aehnliche Datenschutzgesetze weltweit dient.

Die Kernidee ist einfach: Menschen haben das Recht zu wissen, welche Daten Sie ueber sie gespeichert haben, warum Sie sie haben und was Sie damit machen. Sie haben auch das Recht, Sie zu bitten, sie zu berichtigen, zu loeschen oder in einem portablen Format herauszugeben. Ihre Aufgabe als Gemeinschaftsorganisation ist es, diese Rechte zu respektieren und personenbezogene Daten verantwortungsvoll zu handhaben.

Welche Daten sammeln Sie eigentlich?

Die meisten Gemeinschaftsorganisationen sammeln weit mehr personenbezogene Daten, als ihnen bewusst ist. Nehmen Sie sich eine Minute und denken Sie darueber nach, was Ihre Gruppe im Laufe der Jahre angehaeuft hat:

Mitgliederverzeichnisse mit Namen, E-Mails, Telefonnummern und Heimadressen
Zahlungsaufzeichnungen aus Beitraegen, Spenden, Veranstaltungstickets und Spendenaktionen
Informationen ueber Kinder einschliesslich Namen, Alter, Klassen, Allergien und medizinische Zustaende
Veranstaltungsanmeldeformulare mit Ernaehrungspraeferenzen, Barrierefreiheitsbeduerfnissen und Notfallkontakten
Kommunikationsarchive in E-Mail-Listen, WhatsApp-Gruppen, Slack-Kanaelen und sozialen Medien
Fotos und Videos von Veranstaltungen, die identifizierbare Personen und ihre Kinder enthalten koennen
Ehrenamtlichen-Unterlagen mit Verfuegbarkeit, Faehigkeiten, Ergebnissen von Hintergrundueberpruefungen und Fuehrerscheindetails

Das ist eine Menge sensibler Informationen, und vieles davon liegt wahrscheinlich verstreut auf persoenlichen Geraeten, Cloud-Konten und Tabellen, auf die mehrere Personen Zugriff haben.

Die erste Frage lautet nicht "Wie schuetzen wir all das?" sondern "Brauchen wir all das wirklich?" Das DSGVO-Prinzip der Datenminimierung besagt, dass Sie nur personenbezogene Daten erheben und aufbewahren sollten, die fuer einen bestimmten, benannten Zweck tatsaechlich erforderlich sind. Wenn Sie Heimadressen sammeln, aber nie etwas per Post schicken, hoeren Sie auf, Heimadressen zu sammeln. Wenn Sie Veranstaltungsanmeldungen von vor drei Jahren haben, loeschen Sie sie.

Rechtsgrundlagen: Warum verarbeiten Sie diese Daten?

Unter der DSGVO brauchen Sie eine rechtliche Grundlage fuer jedes Stueck personenbezogener Daten, das Sie verarbeiten. Es gibt sechs Rechtsgrundlagen, aber Gemeinschaftsorganisationen stuetzen sich typischerweise auf drei:

Einwilligung ist die bekannteste. Ein Mitglied stimmt aktiv zu, dass Sie seine Daten fuer einen bestimmten Zweck nutzen. Dies brauchen Sie fuer Marketing-E-Mails, Newsletter und das Teilen von Fotos. Die Einwilligung muss freiwillig, spezifisch, informiert und eindeutig sein. Ein vorausgefuelltes Kontrollkaestchen zaehlt nicht. Einwilligung in einer Wand von AGB verstecken zaehlt nicht. Jemanden auf eine Mailingliste setzen, weil er eine Veranstaltung besucht hat, zaehlt nicht.

Berechtigtes Interesse ist flexibler, erfordert aber mehr Ueberlegung. Sie koennen Daten ohne ausdrueckliche Einwilligung verarbeiten, wenn Sie einen berechtigten Grund haben, der die Rechte und die Privatsphaere des Einzelnen nicht ueberwiegt. Aber Sie muessen einen Abwaegungstest durchfuehren: Ist Ihr Interesse an der Datenverarbeitung verhaeltnismaessig?

Vertragserfuellung gilt, wenn die Datenverarbeitung zur Erfuellung einer vertraglichen Verpflichtung erforderlich ist. Wenn jemand Mitgliedsbeitraege zahlt, brauchen Sie seine Zahlungsdetails und Kontaktinformationen, um diese Mitgliedschaft zu verwalten.

Praktisch gesehen: Fuer jede Art von Daten, die Sie sammeln, sollten Sie auf eine dieser Grundlagen verweisen und sie in einfacher Sprache erklaeren koennen. Wenn Sie das nicht koennen, sollten Sie diese Daten wahrscheinlich nicht sammeln.

Betroffenenrechte und wie Sie Anfragen bearbeiten

Die DSGVO gibt Personen mehrere spezifische Rechte bezueglich ihrer personenbezogenen Daten. Wenn ein Mitglied eines dieser Rechte ausueebt, haben Sie in der Regel einen Monat Zeit zu antworten:

Auskunftsrecht. Jedes Mitglied kann fragen, welche personenbezogenen Daten Sie ueber es gespeichert haben.

Recht auf Berichtigung. Mitglieder koennen die Korrektur ungenauer Daten verlangen.

Recht auf Loeschung ("Recht auf Vergessenwerden"). Mitglieder koennen die Loeschung ihrer personenbezogenen Daten verlangen. Sie muessen dem nachkommen, es sei denn, Sie haben eine gesetzliche Aufbewahrungspflicht.

Recht auf Datenportabilitaet. Mitglieder koennen ihre Daten in einem gaengigen, maschinenlesbaren Format verlangen.

Widerspruchsrecht. Mitglieder koennen bestimmten Verwendungen ihrer Daten widersprechen, insbesondere fuer Direktwerbung.

Das Wichtigste ist: Geraten Sie nicht in Panik, wenn Sie eine Anfrage erhalten. Bestaetigen Sie sie umgehend, ueberpruefen Sie die Identitaet der Person, sammeln Sie die gewuenschten Informationen und antworten Sie innerhalb der Monatsfrist. Dokumentieren Sie alles.

Praktische Compliance-Schritte

Sie brauchen keinen Jura-Abschluss oder ein fuenfstelliges Budget, um Datenschutzvorschriften einzuhalten:

Schritt 1: Fuehren Sie ein Daten-Audit durch. Listen Sie jeden Typ personenbezogener Daten auf, den Ihre Organisation haelt, wo er gespeichert ist, wer Zugang hat und wofuer er verwendet wird.

Schritt 2: Schreiben Sie eine Datenschutzerklaerung. Eine klare, einseitige Erklaerung sollte erklaeren: welche Daten Sie sammeln, warum, die Rechtsgrundlage, mit wem Sie sie teilen, wie lange Sie sie aufbewahren und wie Mitglieder ihre Rechte ausueben koennen. Verwenden Sie einfache Sprache, keinen Juristenjargon.

Schritt 3: Korrigieren Sie Ihre Einwilligungsmechanismen. Ueberpruefen Sie jede Stelle, an der Sie Daten sammeln. Stellen Sie sicher, dass jede einen klaren, aktiven Einwilligungsmechanismus hat. Fuegen Sie jeder Marketing-E-Mail eine Abmeldemoeglickeit hinzu.

Schritt 4: Legen Sie eine Aufbewahrungsrichtlinie fest. Entscheiden Sie, wie lange Sie jeden Datentyp aufbewahren, und halten Sie sich daran. Das Schluesselprinzip: Bewahren Sie keine Daten "fuer alle Faelle" auf.

Schritt 5: Fuehren Sie Zugriffskontrollen ein. Nicht jeder in Ihrer Organisation braucht Zugang zu allen Mitgliederdaten. Beschraenken Sie den Zugang rollenbasiert und entziehen Sie den Zugang sofort, wenn jemand eine Fuehrungsposition verlaesst.

Schritt 6: Bereiten Sie sich auf Betroffenenanfragen vor. Benennen Sie eine Person, die datenschutzbezogene Anfragen bearbeitet.

Wenn etwas schiefgeht: Reaktion auf Datenschutzverletzungen

Eine Datenschutzverletzung unter der DSGVO ist nicht nur ein Hacker, der in Ihre Systeme einbricht. Es ist jeder unautorisierte Zugriff, Verlust oder jede Offenlegung personenbezogener Daten. Dazu gehoert ein Ehrenamtlicher, der einen Laptop mit Mitgliederinformationen verliert, oder versehentlich eine E-Mail mit privaten Details an die falsche Person zu senden.

Bei einer Verletzung verlangt die DSGVO, dass Sie Ihre Aufsichtsbehoerde innerhalb von 72 Stunden benachrichtigen, nachdem Sie davon Kenntnis erlangt haben. Bei hohem Risiko fuer die Betroffenen muessen Sie diese auch direkt benachrichtigen.

2019 wurde ein deutscher Fussballverband mit 300.000 Euro Bussgeld belegt -- berechnet mit 4 % des Jahresumsatzes -- wegen fehlender ordnungsgemaesser Datenverarbeitungsvereinbarungen und unzureichender Dokumentation.

Eine datenschutzorientierte Kultur aufbauen

Compliance ist wichtig, aber Kultur ist es, die Datenschutz nachhaltig macht.

Sprechen Sie offen darueber. Fuegen Sie einen kurzen Datenschutzpunkt in die Tagesordnung Ihrer Vorstandssitzungen ein.

Machen Sie das Richtige einfach. Wenn Ihre Organisation eine ordentliche Verwaltungsplattform mit eingebauten Datenschutzkontrollen nutzt, muessen Ehrenamtliche nicht ueber Compliance nachdenken -- es geschieht automatisch.

Ueberpruefen Sie jaehrlich. Datenschutz ist kein Einmal-Projekt. Einmal im Jahr ueberpruefen Sie Ihr Daten-Audit, Ihre Datenschutzerklaerung und Zugriffskontrollen und loeschen Daten, die Sie nicht mehr brauchen.

Reagieren Sie auf Anfragen zuvorkommend. Wenn ein Mitglied nach seinen Daten fragt, behandeln Sie es als Zeichen einer engagierten, informierten Gemeinschaft -- nicht als Aergernis.

Datenschutz bedeutet nicht Buerokratie oder Angst vor Bussgeldern. Es bedeutet, die Menschen zu respektieren, die Ihnen ihre persoenlichen Informationen anvertrauen. Und fuer Gemeinschaftsorganisationen, die auf Vertrauen aufgebaut sind, sollte das das einfachste Prinzip sein, das man annehmen kann.

Communify hat DSGVO-Konformitaet eingebaut -- Einwilligungsmanagement, Datenexport, Mitglieder-Zugriffskontrollen und Aufbewahrungsrichtlinien, die automatisch funktionieren. Schuetzen Sie die Privatsphaere Ihrer Mitglieder, ohne Rechtsexperte zu werden. Treten Sie der kostenlosen Beta bei und verwalten Sie Daten verantwortungsvoll.

← Zuruck zum Blog

Was die DSGVO wirklich ist (und warum sie fuer Sie gilt)

Welche Daten sammeln Sie eigentlich?

Rechtsgrundlagen: Warum verarbeiten Sie diese Daten?

Betroffenenrechte und wie Sie Anfragen bearbeiten

Praktische Compliance-Schritte

Wenn etwas schiefgeht: Reaktion auf Datenschutzverletzungen

Eine datenschutzorientierte Kultur aufbauen

Verwandte Artikel

Digitale Barrierefreiheit: Ihre Gemeinschaft online inklusiv gestalten

Effektive Vorstandssitzungen leiten (die niemand fuerchtet)

Der komplette Leitfaden fuer Gemeinschaftsmanagement 2025

Testen Sie Communify fur Ihre Community