Grundrecht auf Datenschutz

Umgang mit personenbezogenen Daten von Mitgliedern und sonstigen Personen

Die neue Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018 in der gesamten Europäischen Union. Darin wird das Grundrecht aller Personen auf Datenschutz gesichert. An einigen Stellen wurden die nationalen Gesetzgeber ermächtigt, die Regelungen der Verordnung zu konkretisieren und zu ergänzen. Hiervon hat der Gesetzgeber durch die Schaffung des Bundesdatenschutzgesetz-neu (BDSG-neu) Gebrauch gemacht. Die DSGVO (mitsamt ihren „Erwägungsgründen“) und das BDSG-neu bilden seitdem die Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Begriffserklärungen

Der Begriff "Verarbeitung“ ist dabei sehr weit gefasst und beinhaltet neben dem Erheben, Erfassen, Verwenden, Offenlegen, Verbreiten, Abgleichen von personenbezogenen Daten auch das Löschen sowie das Vernichten. 
Mit personenbezogenen Daten sind alle Informationen gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das können u. a. sein:

• Name, Anschrift und Geburtsdatum
• private Tel. und Email
• Familienstand, Beruf und persönliche Interessen
• Mitgliedschaft in Organisationen und die Teilnahme an einer Ferienfreizeit
• Schrift, Bild oder Tonaufnahmen

Zudem nennt die DSGVO in Art. 9 besondere Kategorien personenbezogener Daten, die früher sogenannten „sensiblen Daten“, die besonders geschützt werden müssen. Unter diese Kategorie fallen zum Beispiel Gesundheits- und Biometrische-Daten sowie weltanschauliche Überzeugungen und ethische Herkunft.

Beim Umgang mit Daten von Kindern und Jugendlichen ist generell besondere Sensibilität gefragt. In der DSGVO unter dem Erwägungsgrund 38 steht dazu Folgendes: 
„Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“

Übernehmen Betreuer die Aufsichtspflicht über Minderjährige, dann besteht zwischen ihnen und den Eltern der Kinder/Jugendlichen eine gegenseitige Informationspflicht. Der Gruppenleiter informiert darüber, welche Aktivitäten für gewöhnlich in den Gruppenstunden durchgeführt werden und wann/wo diese in der Regel stattfinden. Die Eltern informieren im Gegenzug die Betreuer darüber, welche Krankheiten, sozialen Schwächen und Allergien diese haben, und ob sie regelmäßig Medikamente einnehmen müssen. Das müssen Betreuer wissen, um ihre Schützlinge umfassend vor Gefahren bewahren zu können. Dazu füllen Eltern meist einen Anmeldezettel aus und geben damit sehr sensible Daten über ihr Kind preis (siehe hierzu auch Anmeldezettel im Kapitel 11, Seite 3)!

Gruppenleiter/innen sollte sich also im Klaren sein, dass beim Umgang mit Teilnehmerdaten auf sie eine besondere Verantwortung zukommt. Sie verfügen über Datensätze eines Personenkreises, der zwar klein und überschaubar ist, jedoch handelt es sich dabei meist um besonders schützenswerte Daten.

Rechtmäßigkeit der Verarbeitung

Damit eine Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person verarbeitet werden (Art. 6 Abs. 1 DSGVO; Erwägungsgrund 40). Die Mitgliedschaft in einem Verein wie dem LBV ist als Vertragsverhältnis zwischen den Mitgliedern und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Vereinssatzung vorgegeben wird. Eine Vereinssatzung bestimmt insoweit die Vereinsziele, für welche die Mitgliederdaten genutzt werden können. Die personenbezogenen Daten, die bei der Übernahme der Aufsichtspflicht über Minderjährige erhoben werden, z.B. bei einem Angebot des LBV im örtlichen Ferienprogramm oder in einer Naturkindergruppe der NAJU, begründet sich ebenfalls über einen Vertrag. Dieser wird zwischen der NAJU/dem LBV und den Eltern geschlossen. In allen eingetragenen Vereinen (e.V.), fungiert immer der Verein als Vertragspartner mit den Eltern. Jeder Gruppenleiter übt beispielsweise als “Erfüllungsgehilfe” die Aufsichtspflicht, oder auch Maßnahmen für den Datenschutz, in dessen Namen aus.

Datenschutzerklärung des LBV

Erfolgt eine Erhebung personenbezogener Daten direkt bei der betroffenen Person, bzw. bei Minderjährigen mittels des/der Personensorgeberechtigten (Eltern, Vormund), so hat der Verein aus Gründen der Transparenz von Datenverarbeitungsprozessen zum Zeitpunkt der Datenerhebung eine entsprechende datenschutzrechtliche Unterrichtung vorzunehmen (Art. 13 Abs. 1 und Abs. 2 DS-GVO). 

Daraus folgt, dass der LBV und die NAJU in jedem Formular, das zur Erhebung personenbezogener Daten genutzt wird, einen Datenschutz-Claimer verwendet, der gleichzeitig einen Link auf die Datenschutzerklärung des LBV beinhaltet.

Der Datenschutz-Claimer, der auf jedem dieser Formulare verwendet werden muss, lautet:

 Allgemeine Info zum Datenschutz:

Der LBV erhebt und verarbeitet Ihre personenbezogenen Daten ausschließlich für Vereinszwecke. Dabei werden Ihre Daten nur für LBV eigene Informations- und Werbezwecke verarbeitet und genutzt. Dieser Verwendung Ihrer Daten können Sie jederzeit, z.B. an mitgliederservice@lbv.de, widersprechen. Detaillierte Infos zur Datenschutzerklärung des LBV finden Sie online unter: www.lbv.de/datenschutz

Die Naturschutzjugend im LBV (NAJU) ist die Jugendorganisation innerhalb des LBV e.V., somit gilt die allgemeine Info des LBV zum Datenschutz auch für die NAJU.

 Plant ihr Beispielsweise mit der Kindergruppe ein Wochenendzeltlager, und die Eltern füllen einen eigens dafür erstellten Anmeldezettel aus, dann führt darin am Ende oder auf der Rückseite unbedingt auch den Datenschutz-Claimer auf!

Auskunftsrecht über die personenbezogenen Daten

Jedem, dessen Daten von NAJU/LBV gespeichert und genutzt werden, garantiert die DS-GVO ein Auskunftsrecht: Der Betroffene kann jederzeit Auskunft über die zu seiner Person gespeicherten Daten, deren Herkunft und deren eventuelle Weitergabe sowie den Zweck der Speicherung verlangen, ebenso die Berichtigung falscher Daten. Er kann außerdem die Löschung oder zumindest die Sperrung seiner Daten verlangen.   

Datengeheimnis

Jedem Ehrenamtlichen, der im LBV Umgang mit personenbezogenen Daten hat, ist untersagt, diese unbefugt - also außerhalb der vereinsmäßigen Zwecke - zu verarbeiten. Dieses Datengeheimnis besteht auch nach einer Beendigung der ehrenamtlichen Tätigkeit fort.

Datenschutz im LBV

a) Durch einen vom LBV bestellten externen Datenschutzbeauftragten wird seit 2012 die Einhaltung der Datenschutzbestimmungen kontrolliert. Diese/r steht auch als Berater in allen Fragen zur Verfügung, die den Datenschutz betreffen. Mit dem Datenschutzbeauftragten könnt ihr über datenschutz@lbv.de Kontakt aufnehmen.

b) Alle hauptamtlichen Mitarbeiter, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, müssen über die Regelungen zum Datenschutz informiert werden und sich zu deren Einhaltung verpflichten. Dies geschieht durch Unterzeichnung des Arbeitsvertrages mit Anhang zum Datenschutz, der entsprechende Regelungen enthält.

c) Auch ehrenamtliche Aktive sind dem Datenschutz verpflichtet. Der Datenschutz für Ehrenamtliche ist in der LBV-Satzung im § 15 geregelt. Den Betreffenden sind die grundsätzlichen Vorschriften zur Kenntnis zu bringen.

Zum Beispiel werden von der LBV-Mitgliederverwaltung die Mitgliederdaten, die die  jeweilige Kreisgruppe/Ortsgruppe/Jugendgruppe betreffen, prinzipiell nur an den Vorsitzenden bzw. ein nach Beschluss der jeweiligen LBV-Gruppe dafür zuständiges Vorstandsmitglied übermittelt werden. Alle entsprechenden Personen müssen diese Hinweise zum Datenschutz im LBV (LBV-Datenschutzrichtlinie) zur Kenntnis genommen und deren Einhaltung durch Unterschrift bestätigt haben.

d) Der elektronische Austausch von personenbezogenen Daten zwischen NAJU- bzw. LBV-Gliederungen, wie z.B. Mitgliederlisten etc., hat ausschließlich über gesicherte bzw. verschlüsselte Kanäle zu erfolgen (z.B. passwortgeschützte ZIP-Ordner oder innerhalb des LBV-Intranet mit LBV-Emailadresse wie maxi.mustermann@lbv.de).

e) Nutzung mobiler Geräte (Notebooks und Handys): Nutzt der Mitarbeiter ein mobiles Gerät, um auf Daten des LBV zuzugreifen, so ist das mobile Gerät auf jeden Fall mit einem Passwort oder Pin zu schützen. Wenn die Daten auf dem mobilen Gerät nicht mehr benötigt werden, sind sie unverzüglich zu löschen. Es ist untersagt, personenbezogene Daten unbefugt zu verarbeiten. Unter Verarbeitung fällt auch die Übermittlung. Der Mitarbeiter/ Ehrenamtliche hat Sorge zu tragen, dass zu keiner Zeit Unbefugte Zugriff auf die gespeicherten personenbezogenen Daten erhalten.

Praxistipps zu üblichen Vorgängen bei denen Gruppenleiter personenbezogenen Daten verarbeiten:

•  Gruppenleiter müssen immer wieder personenbezogene Daten von sich selbst, von Mitgliedern des Betreuer-Teams und den Kindern/Eltern der NAJU-Gruppe, an Mitarbeiter in den LBV-Geschäftsstellen übermitteln. Das können zum Beispiel eingesammelte Mitgliedsanträge sein, der Gründungssteckbrief der NAJU-Gruppe oder das erweiterte Führungszeugnis. Werden die Dokumente über den Postweg versendet, dann bitte direkt an die entsprechende Abteilung bzw. den zuständigen Ansprechpartner senden. Beim Versand von Daten per Email, hat dies ausschließlich über gesicherte bzw. verschlüsselte Kanäle zu erfolgen (z. B. kennwortgeschützte ZIP-Ordner oder pdf). Erfolgt der Versand innerhalb des LBV-Intranets, kann dies unverschlüsselt erfolgen (die dafür nötige LBV-Emailadresse kann unter www.emailadresse.lbv.de beantragt werden).
• Es ist gängige Praxis, dass Betreuer und Eltern Messanger-Dienste (z.B. Whatsapp oder Telegram) nutzen, und dort eine gemeinsame Gruppe eröffnen, um sich über die geplanten Aktivitäten der NAJU-Gruppe auszutauschen. Beachtet dabei bitte, dass alle dem auch zugestimmt haben oder anders gesagt, fügt nicht einfach ungefragt die Telefonnummern von Eltern der Gruppe bei. Damit wird deren Handynummer für allen Gruppenmitglieder sichtbar.Versendet auch keine Bilder über Messanger-Dienste (außer ihr habt vorher abgeklärt, wie die Anbieter mit den Daten verfahren). Im Falle von Whatsapp zum Beispiel, werden die Bildrechte abgegeben, was dem Anbieter erlaubt, alle hochgeladenen Medien für eigene Zwecke zu verwenden.
• oft legen Betreuer einen Emailverteiler an, um Eltern z.B. das neue Gruppenstunden-Programm zu senden. Achtet bitte beim Versand einer E-Mail an mehrere Personen darauf, dass die E-Mail-Adressen nicht für alle sichtbar sein dürfen. Deshalb beim Versand an einen Verteiler im Empfängerfeld lediglich die eigene E-Mail-Adresse und alle anderen Empfänger im BCC-Feld eintragen! Nutzt zusätzlich die Verschlüsselungsmöglichkeiten eures Email-Programms.
• selten kommt es vor, dass die Gruppenleitung, die Daten von Kindern an Dritte weitergeben muss. Zum Beispiel kann das nötig werden beim Abschluss einer extra Versicherung zwecks Teilnahme an einem internationalen Jugendaustausch oder zum Nachweis der Teilnehmeranzahl bei einer geförderten Veranstaltung gegenüber dem Fördergeber. In diesem Fall ist die Weitergabe an Fördermittelgebende eine zulässige Datenverarbeitung, da sie im Rahmen der Wahrnehmung berechtigter Interessen des Vereins, nämlich der Vereinsförderung, erfolgt.
• Erstellst du einen Anmeldezettel zur Aufnahme von Kindern in deine Gruppenstunden, dann beachte den Grundsatz der Datenminimierung. Dieser besagt, dass nur so wenige Daten wie notwendig abgefragt werden dürfen. Zum Beispiel sollten keine Schwimmkenntnisse abgefragt werden, wenn du nie vorhast, in den Gruppenstunden schwimmen zu gehen. Die Abfrage von Angaben, wie Religionszugehörigkeit, Allergien, Krankheiten oder Behinderungen, die in den Bereich besonders sensiblen Daten fallen sind notwendig, um zum Beispiel eine Jugendferienfreizeit entsprechend aller Bedürfnisse gut vorbereiten und Kinder vor Gefahren schützen zu können. Solche Angaben sollten jedoch niemals Pflichtangaben sein, sondern freiwillig erfolgen. Die Anmeldezettel sind für das gesamte Betreuer-Team ein wichtiges Dokument zur Ausübung der Aufsichtspflicht, und sollten bei den Veranstaltungen mitgeführt werden. So besteht die Möglichkeit bei Notfällen, wichtige Kinder-Infos nachzulesen. Findet ein Betreuerwechsel statt, so müssen die Anmeldezetteln unbedingt an das neue Team weitergegeben werden. Eine erneute Elternerlaubnis bedarf es dafür nicht. Löst sich eine Gruppe auf, sollten die Anmeldezettel noch 12 Monate aufbewahrt werden. So könnte man auf Probleme, die erst nach der Gruppenauflösung auftauchen sollten, noch entsprechen reagieren. Sämtliche personenbezogenen Daten müssen vor dem Zugriff Unbefugter geschützt aufbewahrt sein. In der Praxis bedeutet das, dass zum Beispiel Anmeldelisten nicht frei zugänglich herumliegen dürfen, sondern von der verantwortlichen Person sicher aufbewahrt werden müssen. Dabei ist es egal, ob es sich um lose Blätter oder um Dateien auf dem Computer handelt.

Verhalten bei Datenschutzpannen

Sollte dir personenbezogene Daten verloren gehen, z.B. der Verlust einer Teilnahmeliste mit Namen und Adressen, dann meldet dich bitte umgehend im Jugendbüro. Wir besprechen dann mit dir die weitere Vorgehensweise. Das kann eine Meldung bei der zuständigen Datenschutzbehörde (nach Art. 33 DSGVO binnen 72 Stunden), oder an die betroffene Person sein.

Eine Meldung an die Datenschutzbehörde und die Betroffenen ist nicht notwendig, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die betroffenen Personen führt.

Quellen:

• http://www.datenschutz-jugendarbeit.de/ressourcen/DSGVO_Handbuch_FJB_2019.pdf
• Datenschutz Leitfaden für LBV-Kreisgruppen
• Bayerisches Landesamt für Datenschutzaufsicht - Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an kleine Unternehmen, Vereine, etc. lda.bayern.de/media/muster_1_verein.pdf
• Bayerisches Landesamt für Datenschutzaufsicht - Praxisratgeber Bilder und Verein lda.bayern.de/media/veroeffentlichungen/FAQ_Bilder_und_Verein.pdf

Persönliche Erklärung zum Datenschutz

Die Bestimmungen zum Datenschutz sind von allen LBV-Mitarbeitern und allen im LBV/in der NAJU ehrenamtlich Tätigen, die mit Mitgliederdaten in Berührung kommen, strikt zu befolgen. Die Inhalte sind Bestandteil der LBV-Geschäftsordnung. Alle entsprechenden Personen erklären durch ihre Unterschrift, dass Sie die in diesem Leitfaden aufgeführten Datenschutzbestimmungen gelesen haben und einhalten. Sie erklären ausdrücklich, dass Sie alle LBV-Daten nur im Auftrag des LBV verwenden, dass Sie keine LBV-Daten unbefugt an Dritte weitergeben und dass sie alle LBV-Daten bei Beendigung eines Arbeitsverhältnisses beim LBV bzw. bei Beendigung des Ehrenamtes im LBV (sofern die Daten nicht an Nachfolger übergeben wurden oder eine Aufbewahrungspflicht besteht), sofort löschen.

Persönliche Erklärung zur Einhaltung des Datenschutzes

Name / Vorname _________________________________________________________

Adresse          ____________________________________________________________

Mail / Tel.        ____________________________________________________________

Funktion:

a)        o Hauptamtlicher Mitarbeiter in der Geschäftsstelle

b)        o Kreisgruppenvorsitzender

           o Ehrenamtlich Tätiger in der Kreisgruppe (z.B. Jugendleiter)

          o Beauftragter des KG-Vorstandes gemäß Protokoll der KG vom ...…

Hiermit erkläre ich durch meine Unterschrift, dass ich die Bestimmungen zum Datenschutz einhalte.

_________________________                                          ________________________

  Ort / Datum                                                                           Unterschrift