Direkt zum Inhalt wechseln

Lässiger Umgang mit personenbezogenen Daten wie Adressen, Namen, Konto- oder Gesundheitsinformationen ist unfair gegenüber den Betroffenen und riskant für euer Projekt oder eure Organisation. Das Datenschutzrecht ist streng und gilt auch für Gemeinnützige. Die Vorschriften im Überblick.

Die Datenschutzvorschriften der EU gehören zu den strengsten der Welt. Sie gelten auch für gemeinnützige Organisationen und Non-Profits, die mit personenbezogenen Daten wie Mitgliederlisten zu tun haben.

Effektiver, gesetzeskonformer Datenschutz macht Mühe. Adressen, Namen und andere Informationen dürfen nicht einfach abgespeichert oder weitergereicht werden. Stattdessen sind Einwilligungen abzufragen, Voraussetzungen zu prüfen, Verfahrensverzeichnisse anzulegen und einiges mehr.

Andererseits sind Datenschutzversäumnisse ein echtes Zeichen mangelnder Organisationskultur. Laxer Umgang mit personenbezogenen Daten ist schlicht unfair gegenüber den Betroffenen. Dazu kommt ein handfestes rechtliches und finanzielles Risiko. Bei größeren Verstößen drohen empfindliche Bußgelder. Der Bußgeldrahmen der DSGVO reicht in zweistellige Millionenhöhe.

Selbst wenn das nicht ausgeschöpft wird, sind die in der Realität verhängten Beträge mitunter sehr schmerzhaft. Dazu kommt ein Schadenersatzanspruch von Personen, deren Daten unbefugt weitergegeben, ohne Berechtigung gespeichert oder durch Hacks verloren wurden. 

DSGVO und BDSG:
Seit 2018 gilt EU-weit ein einheitlicher, strikter Schutz für personenbezogene Daten. Die einschlägige Gesetzesgrundlage heißt EU-Datenschutzgrundverordnung, abgekürzt DSGVO. Dazu kommt das Bundesdatenschutzgesetz, kurz BDSG. Es gilt neben öffentlichen auch für „nichtöffentliche Stellen“ wie juristische Personen – und damit auch für eingetragene Vereine, rechtsfähige Stiftungen und gemeinnützige Kapitalgesellschaften wie eine gGmbH. 

Welche personenbezogenen Daten sind denn geschützt? 

Als personenbezogene Daten gelten Informationen über natürliche Personen wie Mitglieder, Helfer*innen, Angestellte, Spender*innen, Interessent*innen oder Übungs- und Gruppenleiter*innen.

Geschützt sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen und jemandem direkt oder indirekt zugeordnet werden können. Dazu gehören zum Beispiel Namen, Adressen, Altersangaben, E-Mail-Adressen, User*innen-Namen, Standort- und Bewegungsdaten, Nutzungsprofile im Web, Bestellverläufe, Kontonummern, Mitgliedsnummern, Angaben zu Krankheiten oder Behinderungen, zur Hautfarbe oder zur Religionszugehörigkeit und vieles andere mehr.

Manche dieser personenbezogenen Daten sind besonders schützenswert. In diese „besondere Kategorien personenbezogener Daten“ fallen Informationen zur  

  • rassischen und ethnischen Herkunft,  
  • politischen Meinung,  
  • religiösen oder weltanschaulichen Überzeugung, 
  • religiösen oder weltanschaulichen Überzeugung, 
  • genetische Daten, 
  • biometrische Daten, 
  • Gesundheitsdaten und 
  • Daten zum Sexualleben oder zur sexuellen Orientierung. 

Übrigens: Auch Bilder oder Videos, auf denen eine bestimmte Person zu erkennen ist, sind personenbezogene (Bild-) Daten. Wenn ihr solche Fotos ohne Einwilligung veröffentlicht, kann das nicht nur das Recht am eigenen Bild verletzen, sondern auch ein Datenschutzverstoß sein.  

Verarbeiten, speichern und weitergeben nur mit Einwilligung, bei „berechtigtem Interesse“ oder weil es vorgeschrieben ist  

Im Kern besagt die DSGVO: Ihr dürft personenbezogene Daten nur unter bestimmten Voraussetzungen abfragen, speichern, auswerten oder weitergeben. Dafür gibt es grundsätzlich drei Möglichkeiten: 

  1. Die betreffende Person hat euch die Speicherung und Nutzung erlaubt. Dann müsst ihr die Einwilligung jederzeit nachweisen können. Ein Beispiel: Jede*r Teilnehmer*in eines Seminares erklärt sich damit einverstanden, dass die Kontaktinformationen für Hinweise auf zukünftige Events gespeichert werden. Eine solche Einwilligung kann jederzeit zurückgenommen werden und verliert dann ihre Gültigkeit. 
  2. Ihr seid gesetzlich zum Speichern der Daten verpflichtet. Da ihr jede Spende dokumentieren müsst, dürft ihr die Namen von Spender*innen ohne ihre Erlaubnis abspeichern. Allerdings müsst ihr diese Daten nach Ablauf der Aufbewahrungsfrist von zehn Jahren löschen. 
  3. Außerdem kann die Datenspeicherung und -verarbeitung auch dann legal sein, wenn ihr ein „berechtigtes Interesse“ daran habt. Diese Grundlage ist tendenziell am unsichersten, sie erfordert stets eine Interessenabwägung. Die offiziellen „Erwägungsgründe“ zur DSGVO nennen als Beispielfälle eine bestehende Kundenbeziehung oder ein Arbeitsverhältnis, die Betrugsprävention, die IT-Sicherheit oder die Datenverarbeitung für Direktwerbung. Daraus kann man folgern, dass der wirtschaftliche Geschäftsbetrieb auch ohne formelle Einwilligung Glückwünsche zum Neuen Jahr an eine Liste von Bestandskund*innen schicken darf. Ein Stadtteil-Kulturzentrum kann sich die Namen der Leuten notieren, die am Rechner mit der Videoschnittsoftware arbeiten. Die Zulässigkeit hängt allerdings stets vom Einzelfall ab. 

Der Datenschutz verlangt euch organisatorisch einiges ab 

  • Ihr braucht ein Datenschutzkonzept, wenn ihr mit personenbezogenen Daten umgeht. Es soll dafür sorgen, dass solche Daten nur dann erhoben und gespeichert werden, wenn das wirklich notwendig ist, und so bald wie möglich wieder gelöscht werden. „Datensparsamkeit“ nennt man diesen Grundsatz, er ist Vorschrift. 
  • Nur die Leute dürfen Zugang zu personenbezogenen Daten erhalten, die diese benötigen. 
  • Das Konzept muss zu einem „Verzeichnis über Verarbeitungstätigkeiten“ ausgearbeitet werden. Das ist eine Art Handbuch über euren Umgang mit personenbezogenen Daten: Wessen Daten werden zu welchem Zweck wie lange gespeichert, an wen werden sie übermittelt, wer hat Zugang, wer ist wofür verantwortlich? 
  • Ihr müsst jedes Mal eine Berechtigung sicherstellen, wenn ihr personenbezogene Daten abfragt, festhaltet, speichert oder nutzt, im Zweifel die Einwilligung der Betroffenen. 
  •  Diejenigen, deren Daten ihr speichert oder nutzt, können von euch dazu jederzeit eine Auskunft verlangen. Sie können auch die Löschung ihrer Daten fordern. Eure Datenbank-Software und eure interne Organisation sollten darauf eingestellt sein. 
  • Am besten informiert ihr alle Betroffenen von vornherein über die Datenerfassung und -speicherung, klärt sie über ihre Rechte auf Löschung und Auskunft auf und nennt die Ansprechpartner*innen dafür. Das könnt ihr zum Beispiel in Verträgen, Beitrittserklärungen oder Anmeldeformularen unterbringen. Lasst euch die Einwilligung bestätigen. Bei Minderjährigen unter 16 müssen die Sorgeberechtigten einwilligen
  • Eure Website sollte eine Datenschutzerklärung enthalten. Das gilt ganz besonders, wenn man sich dort registrieren, etwas bestellen oder einen Newsletter abonnieren kann. 
  • Diejenigen, die bei euch mit personenbezogenen Daten umgehen, sollten auf die datenschutzrechtlichen Vorgaben verpflichtet werden, und zwar schriftlich. Natürlich müssen sie auch erfahren, worin ihre Pflichten bestehen. Deshalb sind datenschutzrechtliche Fortbildungen und Informationen notwendig. 
  • Es ist eure Aufgabe, den technischen und organisatorischen Schutz der gespeicherten personenbezogenen Daten zu gewährleisten. Diese müssen vor unbefugten Augen, vor Diebstahl und vor Manipulation geschützt werden. Das bedeutet in der Praxis ein angemessenes IT-Sicherheitsniveau für Computer, Smartphones und Server sowie abgestufte Zugriffsrechte. Dazu kommen organisatorische Maßnahmen, um Papierdokumente vor unbefugten Augen zu schützen, angefangen mit abschließbaren Aktenschränken.
  • Kommt es zu einem Datenschutzverstoß, solltet ihr umgehend die Aufsichtsbehörden benachrichtigen, zum Beispiel das Landesamt für Datenschutz. Informieren müsst ihr außerdem alle, deren Daten unrechtmäßig verarbeitet, weitergegeben oder gestohlen wurden. Das kann viel Mühe machen, etwa wenn Hacker*innen eine größere Datenbank mit vielen Namen entwenden. Auch deshalb benötigt ihr Datensicherungen. 
  • Wenn eure Dienstleistenden Zugriff auf personenbezogene Daten erhalten, müsst ihr einen Auftragsverarbeitungsvertrag abschließen. Der hat den Zweck, den Datenschutz auch beim Dienstleister zu garantieren, beispielsweise eurem Webspace-Provider oder der externen Administratorin für eure IT. 
  • Verarbeiten mehr als zwanzig Personen bei euch personenbezogene Daten? Dann braucht ihr eine*n Datenschutzbeauftragte*n. Das gilt auch dann, wenn euer gemeinnütziger Zweck oder eure „Kerntätigkeit“ mit personenbezogenen Daten zu tun hat. Die oder der Datenschutzbeauftragte kann jemand aus eurer Non-Profit oder eine externe Person sein. Sachkunde ist Voraussetzung. 
  • Wenn ihr regelmäßig mit sensiblen Informationen umgeht, etwa Gesundheitsdaten erfasst, personenbezogene Profile erstellt oder öffentliche Bereiche überwacht, benötigt ihr zudem eine Datenschutz-Folgenabschätzung (DSFA). Die braucht ihr auch, wenn die Verarbeitung besonders riskant ist, etwa weil große Datenmengen anfallen. Die Datenschutzkonferenz hat eine „Muss-Liste“ von Szenarien mit DSFA-Pflicht erstellt.  

Datenschutzverstöße: Einige Beispiele aus der Praxis 

Die DSGVO-Bußgeld-Datenbank liefert einen guten Eindruck davon, wie schnell man mit den Datenschutzvorschriften in Konflikt gerät und wie teuer das wird. Privatleute kommen für kleineres Fehlverhalten oft mit dreistelligen Summen davon. Dagegen erreichen die Bußgelder bei umfangreicheren Verstößen von Unternehmen und Organisationen durchaus fünf- oder sechststellige Höhen.

  • Der VfB Stuttgart e. V. gab von 2016 bis 2018 Zehntausende von Mitgliedsdaten an einen externen Online-Marketing-Berater weiter. Der sollte die Mitglieder durch Kampagnen auf Facebook auf die Ausgliederung der Profi-Abteilung vorbereiten. Weil der Verein nach Aufdeckung des Skandals umfassend kooperierte, blieb es bei einem Bußgeld von 30.000 Euro
  • Bei einem Brandenburger Kreisverband einer auf Krankentransporte spezialisierten Hilfsorganisation wurden komplette Datensätze der beförderten Patient*innen im passwortgeschützten Bereich der Website abgespeichert, außerdem Daten von Teilnehmenden an Erste-Hilfe-Kursen. Ein Hacker griff fast 90.000 Datensätze ab. Die Landesdatenschutzbeauftrage legte 10.000 Euro an Bußgeld fest. Der Verband hatte keine Auftragsverarbeitungsvertrag mit dem IT-Dienstleister geschlossen und ihn nicht auf Datenschutz- und IT-Sicherheitsmaßnahmen verpflichtet. 
  • Ein Brandenburger Angelverein hatte Excel-Listen mit Informationen zu seinen rund einhundert Mitgliedern, darunter auch Minderjährige, auf seinen Web-Server hochgeladen. Darunter Namen, Adressen, Geburtsdaten, Kontoangaben und überwiesene Beträge. Sie wurden von Google indiziert und konnten so gefunden werden. Das Bußgeld stand noch nicht fest, als die Brandenburger Datenschutzbeauftragte den Fall in ihren Tätigkeitsbericht aufnahm. 
  • Ein Berliner Verein, von dem die Berliner Datenschutzbeauftragten keine Auskunft zum Umgang mit den Spender*innen-Daten erhielt, musste ein Bußgeld von 1.000 Euro bezahlen. Ein anderer Verein erhielt aus demselben Grund ein Bußgeld von 500 Euro. 
  • Das Bußgeld für einen Verein aus Thüringen, der die Anwesenheitsliste einer Vereinsversammlung in den sozialen Medien veröffentlicht hatte, betrug 100 Euro. Einen weiteren Verein kostete es 500 Euro, dass er eine E-Mail an einen falschen Verteiler geschickt hatte. 
  • Ein Institut aus Rheinland-Pfalz, das ein Video ohne Einwilligung der darin zu sehenden Person ins Netz stellte, hatte 1.000 Euro Bußgeld zu zahlen. 

Wo steht eure Non-Profit in Sachen Datenschutz? 

Wenn eure Non-Profit das Datenschutzthema bisher nicht wirklich im Blick hatte, fangt ihr am besten mit einer Bestandsaufnahme an:

  • Wie groß seid ihr?
  • Von wem erhaltet und speichert ihr personenbezogene Daten?
  • Um wie viele Betroffene geht es?
  • Gehören dazu besonders sensible Informationen, etwa zur Gesundheit, zu politischen Einstellungen, zu Finanzen oder um Daten von Minderjährigen?
  • Wer hat Zugriff?
  • Gebt ihr die Daten weiter, zum Beispiel an Projektpartner*innen oder Dienstleistungsunternehmen?
  • Veröffentlicht ihr personenbezogene Daten?
  • Wie steht es um den Schutz vor Hacker*innen und anderen Unbefugten? 

Solche Fragen lassen schnell erkennen, wie groß euer Datenschutzrisiko ist, ob Versäumnisse vorliegen und wie umfangreich eure Maßnahmen ausfallen sollten. Entsprechend dringlich solltet ihr das Thema behandeln. Ein kleiner gemeinnütziger Verein kann seine Datenschutz-Pflichten mit überschaubarem Aufwand in den Griff bekommen. Für eine Non-Profit, die große Forschungsprojekte zur Einkommensentwicklung durchführt, ist der Datenschutz zentrale Managementaufgabe. Beide sollten das Thema nicht ignorieren. 

Tipps und Informationen zu Datenschutzfragen gibt es übrigens nicht nur bei kostenpflichtigen Dienstleister*innen, sondern oft auch bei Dachverbänden von Vereinen etc. Zahlreiche Informationen speziell für Ehrenamtler*innen findet ihr bei der Stiftung Datenschutz