Datenschutz

„Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit“ (Art. 2 Abs. 1 GG). Dazu gehört auch das Recht auf informationelle Selbstbestimmung: Jeder soll selbst über die Verwendung seiner persönlichen Daten bestimmen dürfen. Als Verband, der mit diesen personenbezogenen Daten seiner Mitglieder arbeitet, haben wir deshalb einen besonderen Schutzauftrag.

Dabei gelten für den Datenschutz – in Übereinstimmung mit der EU-Datenschutzgrundverordnung (DSGVO) und dem Kirchlichen Datenschutzgesetz (KDG) – folgende Grundsätze:

Kontakt

Personenbezogene Daten dürfen nur gespeichert und verarbeitet werden, wenn es eine Rechts­grundlage dafür gibt. Das sind beispielsweise gültige Verträge (DPSG-Mitgliedschaft, Anmeldung zum Lager…), staatliche Verpflichtungen (Zuschusslisten, Landesstatistik…) oder berechtigtes Interesse. Liegt ein solcher Grund nicht vor, bedarf es einer schriftlichen Einwilligung der betroffenen Personen. Eine Einwilligung muss in Schriftform und freiwillig erfolgen, sie darf also nicht an Bedingungen geknüpft werden.

Bei der Abfrage von Daten sollte darauf geachtet werden, dass nur wirklich benötigte Daten erhoben werden. Zudem dürfen personenbezogene Daten nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Fällt dieser Zweck weg, müssen die entsprechenden Daten vernichtet werden. Das gilt z.B. für die Lageranmeldung, sobald das Lager vorbei ist.

Wer Daten erhebt, muss offenlegen, wofür er diese Daten benötigt und was damit geschieht. Zum Beispiel im „Kleingedruckten“ einer Lageranmeldung oder durch eine Datenschutzerklärung auf der Stammeshomepage. Betroffene Personen haben das Recht, Auskunft über die Verwendung ihrer Daten zu erfragen, Berichtigung, Löschung oder Herausgabe der Daten zu verlangen oder eine einmal getätigte Einwilligung zu widerrufen. Auch auf diese Rechte muss hingewiesen werden.

Um jederzeit nachzuweisen zu können, wie und welche Daten verarbeitet werden, muss ein Verzeichnis von Verarbeitungstätigkeiten angelegt werden. Darin muss jeder Verarbeitungsvorgang beschrieben und die Maßnahmen zum Datenschutz dokumentiert werden.

Personenbezogene Daten müssen auf sichere Weise gelagert werden. Papierdaten in einem abgeschlossenen Schrank, digitale Daten auf einem geschützten Speichermedium, Clouddaten auf einem sicheren Server innerhalb der EU (also nicht via Dropbox, Google, WhatsApp…). Zu den Daten sollten nur diejenigen Zugriff haben, die ihn auch benötigen. Werden Daten weitergegeben, müssen sie verschlüsselt übertragen werden.

Wenn Daten von Dritten verarbeitet werden (z.B. IP-Adressen beim Besuch eurer Website oder bei der Veröffentlichung von Fotos) muss ein Auftragsdatenverarbeitungsvertrag abgeschlossen werden, der garantiert, dass mit den Daten auch außerhalb eures unmittelbaren Einflusses sicher umgegangen wird.

Gesundheitsdaten (z.B. Allergien oder Lebensmittelunverträglichkeiten) gehören zu den besonders schützenswerten Daten. Diese dürfen nur erhoben und verarbeitet werden, wenn es zwingend notwendig ist und müssen in jedem Fall vertraulich behandelt werden.