Datenschutz

Damit geheim bleibt, was geheim bleiben soll...

Datenschutz im JRK ist für GL, JL und KJL ein wichtiges Thema. Auf dieser Seite informieren wir Euch zu den wichtigsten Inhalten.

Sollte in Deiner Arbeit eine Frage zum Datenschutz auftauchen, die hier nicht beantwortet wird, wende Dich gerne an uns oder an den Datenschutzbeauftragten Deiner Gliederung.

Allgemeines zum Einstieg

Im Datenschutz geht es vor allem um personenbezogene Daten. Um die Daten zu gut wie möglich zu schützen, hat jede*r (!) umfassende Rechte an seinen Daten. Darauf gehen wir hier ein.

 

Personenbezogene Daten sind Informationen, die Rückschlüsse auf eine natürliche Person ermöglichen. Das heißt, du kannst dir anhand gegebener Informationen erschließen, um welche Person es sich handelt. Beispiele solcher Informationen können sein: Name, Anschrift, E-Mail-Adresse, Geschlecht, Geburtsdaten, Mitgliedschaften im Verein oder Fotos, auf denen die betroffene Person abgebildet ist.

Die JRK-Ausweise der Gruppenkinder enthalten beispielsweise eine Vielzahl von personenbezogenen Daten wie Vor- und Nachname des Kindes, das Geburtsdatum, ein Foto und die Zugehörigkeit zum JRK.

 

Rechte der betroffenen Person

In der Datenschutzgrundverordnung (DSGVO) sind Rechte zum Datenschutz definiert, die wir hier Euch ein bisschen näher bringen wollen.

Um Daten rechtmäßig erheben und verarbeiten zu dürfen, muss es eine Erlaubnis geben. Diese ergibt sich oftmals aus gesetzlichen Bestimmungen oder Verträgen. Ergibt sich eine solche Erlaubnis nicht, kannst du dir mittels einer zweckgebundenen Einwilligungserklärung bestätigen lassen, dass die betroffene Person (z.B. ein Gruppenkind oder dessen Personensorgeberechtigten) mit der Verarbeitung der Daten einverstanden ist. Zweckgebunden heißt in diesem Zusammenhang, dass die Einwilligungserklärung genau beschreibt, welche Inhalte wozu verwendet werden. Damit die Einwilligungserklärung rechtliche Wirksamkeit hat, ist es wichtig, dass einige Dinge beachtet werden. Um nichts zu vergessen, fragt doch euren Kreisverband nach einer Mustereinwilligungserklärung.

Beispielhaft werden Einwilligungserklärungen für

-       Die Veröffentlichung von Fotos, Telefonnummern der Gruppeneltern in einer Telefonliste oder

-       die Gründung einer JRK-Eltern-Messenger-Gruppe benötigt.

 

Grundsätzlich können Minderjährige, sprich Kinder und Jugendliche unter 18 Jahren keine rechtsgültige Einwilligungserklärung abgeben. Als ihre rechtliche Vertretung obliegt es den jeweiligen Personensorgeberechtigten die Einwilligung abzugeben.

Gemäß der DSGVO hat jede Person das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit gespeicherter Daten.

 

Erfragt ein JRK-Mitglied oder dessen personensorgeberechtigte(r) Vertreter(in) personenbezogene Daten, macht er/ sie Gebrauch von ihrem Recht auf Auskunft. Mit einer solchen Anfrage muss die verantwortliche Stelle die gespeicherten Daten bereitstellen. Die verantwortliche Stelle ist hier der jeweils zuständige Verein. Es ist wichtig, dass du diese Anfrage nicht direkt beantwortest. Erkläre, dass Du die verantwortliche Stelle, den Vorstand, informierst. Deine jeweilige erste Ansprechperson kann hierfür die/ der Datenschutzbeauftragte oder die JRK-Leitung auf Orts- oder Kreisverbandsebene sein. Dies hängt davon ab, auf welcher Ebene das Anliegen an dich herangetragen wird. Eine Antwort auf die Anfrage muss im Rahmen der gesetzlichen Vorgaben binnen eines Monats erfolgen.

 

Ein Beispiel: Die Mutter eines Gruppenkindes fragt dich recht ungehalten, welche Daten von ihrem Kind im Jugendrotkreuz gespeichert sind. Sie wolle sofort eine Auskunft darüber haben. Nun ist es dein Recht und deine Pflicht höflich zu antworten, dass du und alle verantwortlichen Personen gerne Auskunft darüber geben. Damit ihr eine vollständige Auskunft gegeben werden kann, benötigt es etwas Zeit, alle Informationen zusammenzutragen. Verweise höflich darauf, dass ihr Anliegen an die für die Auskunft verantwortlichen Personen im Verein weitergegeben wird. Diese werden sich bei ihr melden.

Hiermit  ist gemeint, dass die betroffene Person das Recht hat, die Löschung der eigenen personenbezogenen Daten zu verlangen. Dies muss unverzüglich erfolgen, wenn:

  • die Zwecke für die sie erhoben oder verarbeitet wurden, nicht mehr bestehen
  • die betroffene Person ihre Einwilligung zurückzieht und kein gesetzlicher Grund besteht, die Daten weiter verarbeiten zu dürfen, beispielsweise eine bestehende Mitgliedschaft.
  • die betroffene Person Widerspruch hinsichtlich der Verarbeitung ihrer Daten einlegt und kein gesetzlicher Grund besteht, die Daten weiter verarbeiten zu dürfen.
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden.
  • Wurden die personenbezogenen Daten öffentlich gemacht und/ oder an Dritte weitergeleitet, so hat der/die Verantwortliche dafür Sorge zu tragen, dass auch an diesen Stellen alle personenbezogenen Daten der betroffenen Person gelöscht werden.

Personenbezogene Daten von Mitgliedern des Jugendrotkreuzes müssen nach DSGVO, Art. 17, Abs. 1 unverzüglich gelöscht werden, da ihre Zweckbindung mit Kündigung der Mitgliedschaft erlischt. Dies gilt auch für den DRK-Server. Ausnahme bilden dabei gesetzliche Aufbewahrungsfristen.

Anfertigen und Veröffentlichung von Fotos

Keine JRK-Aktion ohne Fotos, sei es zu Erinnerung, für den Jahresrückblick oder Eure Öffentlichkeitsarbeit. Dass hierfür Regeln gelten ist klar - hier wiederholen wir die Grundregeln zum Anfertigen und Veröffentlichen von Fotos.

Bei der Verarbeitung von Fotos müssen grundsätzlich drei Dinge beachtet werden: der Datenschutz, das Kunsturhebergesetz und allgemeine Verhaltensregeln im DRK.

Die Verarbeitung von Fotos fällt grundsätzlich unter das Kunsturhebergesetz (§11, 22, 23, 72). Hier findest du eine kurze Zusammenfassung zur Verarbeitung von Fotos. Weitere Informationen, insbesondere im Kontext der Öffentlichkeitsarbeit findest Du im Schrank der Vielfalt in der Schublade Medienkompetenz.

Weiterhin ist es wichtig, dass du darauf achtest, die Bildrechte (Urheberrecht) der*dem Photograph*en zu beachten. So musst du vor einer Veröffentlichung fragen, ob dir die Erlaubnis erteilt wird. Zusätzlich musst du beachten, dass es verschiedene Nutzungslizenzen gibt: manchmal muss genannt werden, wer das Foto gemacht hat, manchmal darf das Bild nicht verändert werden, manchmal darf es nur für bestimmte Zwecke verwendet werden. Kläre dies mit der*dem Photograph*en.

Grundsätzlich nur mit Einwilligung

Fotos von Personen dürfen benutzt werden, wenn die betroffene Person darin eingewilligt hat. Für das JRK heißt das: Fotos, Videos und alle weiteren Bild- und Tonmaterialien dürfen nur mit einer Einwilligung verwendet werden.

Es ist dabei egal, wie viele Personen auf dem Foto abgebildet sind. Eine Ausnahme besteht, wenn so viele Personen auf einem Foto abgebildet sind, dass einzelne Personen nicht erkannt werden können.

  • Newsletter und Vereinszeitschriften: Fotos darfst du nur unter einer Bedingung in Vereinszeitschriften oder im Newsletter veröffentlichen: wenn eine Einwilligungserklärung abgegeben wurde. Besonders zu beachten sind die Rechte von Minderjährigen: hier wird immer eine Einwilligung der Personensorgeberechtigten benötigt.
  • Soziale Netzwerke und Webseiten: Fotos dürfen in sozialen Netzwerken oder auf Webseiten nur dann veröffentlicht werden, wenn eine Einwilligungserklärung vorliegt. Besonders zu beachten sind die Rechte von Minderjährigen: hier wird immer eine Einwilligung der Personensorgeberechtigten benötigt. Es ist auch darauf zu achten, dass namentliche Verlinkungen in Facebook, Twitter, Instagram oder ähnlichem nur dann erlaubt sind, wenn die Personen auch hierzu ihre Einwilligung abgegeben haben.

Wurden Fotos veröffentlicht und die betroffene Person lehnt die Veröffentlichung ab, so muss das Foto gelöscht werden. Dies gilt auch, wenn die betroffene Person vorher in die Veröffentlichung eingewilligt hat.

Als JRK-Mitglied darfst Du selbstverständlich das JRK- und SSD-Logo verwenden. Wichtig ist hierbei, dass auch dort immer die Grundsätze des DRK´s beachtet werden. Weitere Informationen diesbezüglich findest du in der Social Media Policy der Bundegeschäftsstelle des JRK´s (diese findest Du im Schrank der Vielfalt in der Schublade Medienkompetenz).
Ein Beispiel: „Wenn du auf deinem Profilbild in JRK-Kleidung (oder sogar Einsatzkleidung) zu sehen bist, kannst du auf demselben Foto aus einer Bierflasche trinken? Nein, natürlich nicht.“ (Bundesgeschäftsstelle Jugendrotkreuz, 2018).

Der Versand von E-Mails

Schick mir doch einfach ne Mail - E-Mails sind heute fast wichtiger als Briefe. Doch auch hier lauern Fallstricke. Damit ihr darüber nicht stolpert, einige Tipps hierzu.

Um Rechte einzelner Personen zu schützen, ist es nicht erlaubt, E-Mails an einen öffentlichen E-Mail-Verteiler zu senden, in dem jede*r alle Adresse sehen kann. Dennoch gibt es zwei Wege, deine E-Mail an deine Wunschkontakte zu versenden:

  • Ordne alle Kontakte statt in „CC“ in „BCC“ zu. Somit sind die Kontaktdaten geschützt und nur der Absendende sieht, an wen diese Nachricht versendet wurde.
  • Alternativ kannst du bei langfristig bestehenden E-Mail Verteilern eine Zustimmung aller Beteiligten einholen, Mails innerhalb dieses Verteilers öffentlich versenden zu dürfen. Achtung: ALLE Mitglieder des Verteilers müssen ihre Zustimmung abgegeben haben, andernfalls ist es nicht erlaubt und es muss ein geschlossener Verteiler genutzt werden. Oder die E-Mailadresse der Person, welche keine Einwilligung erteilt hat, muss im BCC eingefügt werden. Diese Zustimmung solltet ihr euch immer schriftlich geben lassen.

Datenschutz

Dateien per E-Mail zu versenden, ist wie das Versenden einer Postkarte – jeder kann diese Dateien lesen. Wenn Du Dateien per Mail versenden möchtest, überlege, ob E-Mail der geeignete und sichere Versandweg ist. Enthält die Datei personenbezogene Daten, solltest Du die diese unbedingt mit einem Passwort versehen und als verschlüsselte Datei versenden – informiere Dich hier bei Deinem Kreisverband, wie Du Daten sicher verwendest.

Kunsturhebergesetz

Um die Rechte der Autorin/ des Autors einer Datei zu schützen, solltest Du kein Worddokument versenden, dass jeder bearbeiten kann. Die Umwandlung in ein PDF schützt die Rechte der Autorin/ des Autors und ermöglicht zudem jeder Empfängerin/ jedem Empfänger die Datei auch ohne den Besitz von Word lesen zu können.

Es ist nicht rechtens, dass neben dir weitere Personen auf dein persönliches E-Mail Konto (henry.dunant(at)musterdomäne.de) zugreifen können. Dabei ist nicht von Bedeutung, ob du diesbezüglich deine Erlaubnis erteilt hast oder nicht. Damit die Anliegen deiner JRK´ler dennoch bearbeitet werden, wäre es hilfreich eine Abwesenheitsnotiz zu verfassen. Hier kannst du beispielsweise beschreiben, weshalb du nicht da sein kannst, wann du wieder erreichbar bist und an wen man sich in Notfällen wenden kann. Eine solche Notiz könnte man beispielsweise auch in dem Status eines Messenger-Dienstes oder ähnlichem nutzen. Ein solcher Text könnte lauten:

 „Liebe JRK´ler,

leider kann ich eure Anliegen gerade nicht bearbeiten, da ich von ____bis ____ in Urlaub bin. Ich bemühe mich nach Kräften, eure Fragen schnellstmöglich nach meiner Rückkehr zu beantworten. Dennoch kann es einige Zeit dauern, bis ich allen eine Rückmeldung geben kann. Bei wichtigen Anliegen könnt ihr euch gerne an ___________ wenden.

Bis dahin wünsche ich Euch eine schöne Zeit.

Herzliche Grüße“

 

Aus Sicht des Datenschutzes unkritisch sind E-Mailadressen die sich an einen Personenkreis richten und auf die immer mehrere Personen zugreifen – zum Beispiel kjl(at)kv.musterhausen.drk.de – hier ist klar, dass mehrere auf dieses Postfach zugreifen. Folglich braucht es hier auch keine Abwesenheitsnotiz, wenn einer aus der KJL im Urlaub ist.

Umgang mit Datenpannen

Trotz aller Vorsicht und Sorgfalt beim Umgang mit Daten können im schlimmsten Falle Datenpannen passieren.

Eine Datenpanne liegt vor, wenn Unberechtigte Zugriff auf oder Kenntnis von personenbezogenen Daten erhalten, zum Beispiel durch den Verlust von unverschlüsselten Daten. Dies kann durch Hacking, Diebstahl oder dem Versenden von Daten an einen unberechtigten Empfänger auftreten.

Sollte dir eine Datenschutzverletzung auffallen, ist es wichtig, dass der Vorstand schnellstmöglich informiert wird. Wende dich hierfür an die/ den Datenschutzbeauftragte(n) deines Ortsvereins. Sollte ein*e solche*r Beauftragte*r nicht benannt sein, wende dich an die JRK-Leitung.

Um einer Datenschutzverletzung im Allgemeinen entgegenzuwirken, ist es ratsam alle Daten verschlüsselt zu speichern. Im Falle des Verlusts des Speichermediums kann so das Risiko minimiert werden, dass ein anderer Zugriff auf die Daten erlangt. Anwendbar sind zum Beispiel verschlüsselte Festplatten, USB-Sticks, etc.

Ein Beispiel: Du möchtest neue JRK’ler an deine Kreisjugendleitung zur Erfassung im DRK-Server melden. Die Leitung bittet dich, die Mitgliedsanträge per USB-Stick am Empfang im KV abzugeben oder per Whatsapp zu senden. Auf dem Weg zum KV geht der USB-Stick unterwegs verloren.

Dieses Beispiel macht gleich mehrere Risiken deutlich. Werden Daten per USB Stick weitergegeben, muss der Stick unbedingt verschlüsselt sein. Durch den Verlust des unverschlüsselten USB-Sticks könnte ein unkontrollierbarer Zugriff durch unbefugte Dritte auf die Daten möglich sein. Daneben dürfen personenbezogene Daten nicht über Whatsapp ausgetauscht werden. Whatsapp ist in dieser Hinsicht kein sicherer Messenger-Dienst.

Unsere Tipps für Euch

Um von der Datenverarbeitung bis hin zur Datenveröffentlichung ganz sicher zu sein, ist der sicherste Weg der der Einwilligungserklärung. Erkundigt Euch bei Eurem Kreisverband nach Mustervorlagen, bewaht die erhaltenen Einwilligungserklärungen solange Bedarf besteht auf und wendet Euch bei Fragen rund um das Thema Datenschutz an Euren Datenschutzbeauftragten oder Eure JRK-Leitung. Es ist unbedingt notwendig, den Datenschutz ernst zu nehmen und mit den Euch anvertrauten daten verantwortungsbewusst umzugehen. Schlampiger Umgang mit Daten kann zu datenpannen führen, welche das Image des DRK schädigen und im Einzelfall zu hohen Geldbußen führen können.

Weiterführende Informationen & Quellen

FAQ´s des Datenschutzes, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz: https://www.datenschutz.rlp.de/de/themenfelder-themen/vereine/#c2483

Bundesdatenschutzgesetz: https://www.gesetze-im-internet.de/bdsg_2018/

Datenschutzgrundverordnung:https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=DE

Bundesministerium der Justiz und für Verbraucherschutz (2018). Bundesdatenschutzgesetz. Verfügbar unter: https://www.gesetze-im-internet.de/bdsg_2018/ [11.09.2018].

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Vereine. Verfügbar unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/vereine/ [11.09.2018].

Europäisches Parlament und Rat (2016). Verordnung (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Amtsblatt der europäischen Union, L119/1. Verfügbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=DE [11.09.2018].

Generalsekretariat Bundesgeschäftsstelle Jugendrotkreuz (2018). Social Media Policy des DJRK. [19.09.2018].

Schüllermann und Partner mbB (2018). Internes Beratungsgespräch.

Ansprechpartnerin

Selina Link
Tel.: 06131 - 2828 1212
s.link(at)jrk-rlp.de