Datenschutz in der DLRG

Am 25. Mai tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft, die auch für alle DLRG-Gliederungen gewisse Anpassungsarbeiten mit sich bringt. Auf allen Ebenen werden die personenbezogenen Daten von Mitgliedern und Teilnehmenden von Lehrgängen, Schulungen und Veranstaltungen verarbeitet. Dies ist selbstverständlich auch weiterhin erlaubt. Zu beachten ist, dass der Gesetzgeber dabei insbesondere Anforderungen an die Information der Betroffenen, die Dokumentation der Verarbeitung und die Datensicherheit stellt. Der Gesetzgeber fordert ein „angemessenes Schutzniveau“, d.h. im Verein reichen in der Regel Standardmaßnahmen (z.B. Nutzung eines Virenscanners) aus.

Um den mit der DS-GVO verbundenen Verwaltungsaufwand für die Gliederungen möglichst gering zu halten, haben wir Hilfestellungen dazu erarbeitet und sind jetzt dabei, diese zur Verfügung zu stellen:

1) Datenschutzerklärung auf der Homepage - Datenschutz-Plugin in TYPO3

In TYPO3 steht ein Plugin für die Datenschutzerklärung zur Verfügung, die auf den Webseiten eingebunden werden kann. Wie das Plugin eingebaut wird, hat Mike Schalinski (LV-Niedersachsen) in einer Video-Anleitung erklärt: https://youtu.be/5vuYztRd2CY  
Das Plug-In bietet Standardtexte, die von den Gliederungen aktiviert werden können. Die angebotenen Texte (z.B. zur Einbindung von Facebook) müssten für die meisten Gliederungen ausreichen. Wer ungewöhnlichere Social-Media-Angebote nutzt, muss ggf. noch eigene Texte ergänzen.

2) Informationen bei Seminar- / Lehrgangsanmeldungen

Der „Runde Tisch“ Datenschutz hat eine Information für Teilnehmende an Seminaren und anderen Veranstaltungen erstellt. Dieser Text wird vom Arbeitskreis Internet in die Seminar-App eingebaut und steht damit allen Gliederungen automatisch zur Verfügung.

3) Auftragsdatenverarbeitungsvertrag

Grundsätzlich bedarf es zur Verwaltung der Mitgliederdaten u. ä. zwischen den einzelnen Gliederungsebenen keinen Auftragsdatenverarbeitungsvertrag. Die DLRG ist als Gesamtverein organisiert, so dass unsere Mitglieder gleichzeitig Mitglied in der örtlichen Gliederung und auch im Bezirk, Landes- und Bundesverband werden. Jede Gliederungsebene verarbeitet daher in eigener Verantwortung die jeweiligen Mitgliederdaten und nicht als verarbeitender „Dritter“.

Um jedoch auch in möglichen Grenzbereichen den Gliederungen Sicherheit zu geben, haben wir uns entschlossen zwischen der Gliederung und der Bundesebene als Betreiber des Internet-Service-Centers (ISC) einen Auftragsdatenverarbeitungsvertrag abzuschließen. Der Vertrag wird den Gliederungsverantwortlichen in der nächsten Zeit über das ISC (https://dlrg.net) in einem elektronischen Format zur Verfügung gestellt. Der Abschluss des Vertrages wird papierlos über das ISC erfolgen.

4) „Datenschutzbelehrung“

Schon heute müssten die Gliederungen alle Personen, die mit personenbezogenen Daten gemäß § 5 BDSG auf das Datengeheimnis „verpflichten“. Eine derartige Belehrung der Aktiven wird auch unter Geltung des neuen Rechts empfohlen. Ein entsprechender Text wurde bereits entwickelt. Er muss demnächst von allen ISC-Nutzern einmalig zur Kenntnis genommen werden. Die Gliederungen behalten mit einer Liste im ISC die Übersicht über die Personen, die belehrt wurden. Die Gliederungen müssen darüber hinaus dann nur noch die weiteren Aktiven, die mit personenbezogenen Daten arbeiten, aber keinen DLRG-Account haben, auf die Einhaltung des Datenschutzes „verpflichten“. Hierzu stellen wir in der nächsten Zeit eine Musterverpflichtungserklärung zur Verfügung.

5) Dokumentation von Verarbeitungstätigkeiten

Nach der DS-GVO muss ein Verzeichnis der Verarbeitungstätigkeiten geführt werden. Auch hierzu werden wir ein Muster mit DLRG-typischen Verarbeitungstätigkeiten bereitstellen.

6) Bestellung eines Datenschutzbeauftragten

Die Gliederungen müssen einen Datenschutzbeauftragten bestellen, wenn „sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Zu diesen Personen zählen z.B. der Schatzmeister oder Personen, die am Computer die Daten von Teilnehmenden an Schwimmkursen verwalten. Viele Gliederungen werden nicht auf 10 Personen kommen, die mit derartigen Tätigkeiten betraut sind, so dass kein Datenschutzbeauftragter bestellt werden muss. Wenn die Verarbeitung durch die Personen nicht "ständig" erfolgt, muss auch bei mehr als neun Personen kein DSB bestellt werden.