Rückblick auf unsere Fortbildung und Antworten auf zentrale Datenschutzfragen im Vereinsalltag

Mitte März hatten wir Robert Harzewski, Rechtsanwalt für Datenschutzrecht, in einer digitalen Veranstaltung zu „Datenschutz im Jugendverband“ zu Gast. Dieser Artikel gibt einen fachlichen Rückblick auf die Veranstaltung und damit sowohl auf Grundsätze im Datenschutzrecht als auch auf typische Fragen, die euch im Alltag der Jugendverbandsarbeit rund um das Thema Datenschutz begegnen. Von Fragen zu Speicherzeiten und Weiterverwendungsmöglichkeiten von Teilnehmendendaten bis hin zur Frage nach analogen oder digitalen Unterschriften – wir haben soweit möglich Antworten auf eure Fragen gesammelt!

Wofür machen wir Datenschutz?

Eine Datenschutzpanne ist schnell passiert: eine Mail versehentlich an den falschen Personenkreis weitergeleitet, Passwortlisten im frei zugänglichen Ordner im Gruppenraum aufbewahrt oder aber Teilnehmendenlisten der letzten Freizeit im Papiermüll entsorgt. Bei der Auseinandersetzung mit und Umsetzung von Datenschutz im Verein geht es nicht um eine absichtliche Zusatzbelastung für die ehrenamtliche Tätigkeit oder im Sinne des Wortes um den Schutz von Daten. Es geht um den Schutz von Personen.

Jede*r ein Recht auf informationelle Selbstbestimmung – dieses soll durch umsichtiges Handeln auch im Jugendverband gewährleistet werden. Datenschutz ist daher ein Thema für alle – vom Vorstand bis zum*zur Jugendleiter*in.

Wann immer Daten von Teilnehmenden, ehrenamtlich Aktiven, Mitgliedern oder anderen Menschen im Verein erhoben und/ oder bearbeitet werden, müssen die gesetzlichen Regelungen zum Datenschutz beachtet werden. Sie sollen Datenverarbeitung für alle fair, transparent und sicher machen, da personenbezogene Daten immer vor unbefugten Zugriffen zu schützen sind.

Grundsätze im Datenschutzrecht

Wenn außerhalb rein privater Kontexte personenbezogene Daten wie Namen, E-Mailadressen, Geburtsdaten, … erfasst und genutzt werden, müssen die Datenschutzgesetze eingehalten werden – nicht nur in großen Firmen, sondern auch im kleinsten Verein. Ausschlaggebend sind hierfür die EU-Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).

Die Datenschutz-Verantwortung liegt immer beim Vorstand, es sei denn, es wurde ein*e Datenschutzbeauftragte*r bestellt. Es muss sichergestellt werden, dass die Grundsätze der Verarbeitung personenbezogener Daten erreicht werden: Handlungsleitend sind diese Grundsätze:

• Rechtmäßigkeit und Transparenz: Es bedarf immer einer Rechtsgrundlage zur Datenverarbeitung. Ihr müsst betroffenen Personen transparent machen, wie und warum ihre Daten verarbeitet werden.
• Datenminimierung: Nur für den Zweck tatsächlich notwendige Daten dürfen nach dem Grundsatz „weniger ist mehr“ erhoben werden.
• Integrität und Vertraulichkeit: Ihr müsst die erhobenen Daten vor unberechtigter Verarbeitung oder Einsichtnahme schützen.
• Zweckbindung: Für welchen Zweck die erhobenen Daten verarbeitet werden wollen, muss bereits vor der Erhebung festgelegt, eindeutig und legitim sein und kann anschließend nicht verändert werden; die Daten dürfen entsprechend nicht für einen anderen Zweck weiterverwendet werden.
• Richtigkeit: Gespeicherte personenbezogene Daten müssen aktuell und sachlich richtig sein, daher müssen sie regelmäßig überprüft und korrigiert werden
• Speicherbegrenzung: Alte Datenbestände müsst ihr regelmäßig und fristgerecht Löschen. Berücksichtigt dabei aber Aufbewahrungspflichten, die sich z. B. aus Nachweispflichten gegenüber Fördergeldgebern ergeben. Auch eine Archivierung ist eine Form der Löschung – wichtig ist, dass die Daten im Tagesgeschäft nicht mehr verwendet werden.

Laut EU-DSGVO muss auch jede Organisation einen Nachweis über die Einhaltung der gesetzlichen Anforderungen erbringen können (Rechenschaftspflicht), in Form des Verzeichnisses von Verarbeitungstätigkeiten. Wie sowas aussehen kann, findet ihr bei der Stiftung Datenschutz.

Datenschutz im (Verbands-)alltag

Alle Mitarbeiter*innen und ehrenamtlich Aktiven sollten ihren Teil zum Datenschutz beitragen. Es sollte hinterfragt werden, wer wann welche Daten erhebt und wie diese vor unbefugtem Zugriff geschützt werden. Außerdem sollte das eigene Verhalten im Umgang mit Daten geprüft werden:

• Daten, Datenträger und Ausdrucke stets sicher verwahren, z. B. in abschließbaren Schränken, USB-Sticks verschlüsseln.
• Bei E-Mails mit mehreren Empfänger*innen bzw. Rundmails alle Empfänger*innen in BCC setzen.
• Daten immer nur so lange speichern, wie nötig, z. B. wegen gesetzlicher Speicherpflichten.
• Nicht mehr benötigte Dokumente mit personenbezogenen Daten gehören in den Aktenvernichter (oder ins Lagerfeuer)!
• Unbefugten keine Einsicht in vertrauliche Unterlagen ermöglichen.
• Bei Telefonauskünften: Anfragen auf Plausibilität prüfen.
• Teilnehmenden-Listen, Mailadressen-Sammlungen etc. nicht offen herumliegen lassen! Die Listen immer im Auge behalten, darauf achten, dass niemand z. B. die Daten abfotografiert.
• Laptops, die für Vereinsarbeit genutzt werden, sichern (Gast-Konto für die Verwendung bei Sitzungen/Veranstal­tungen, Rechner gegen Diebstahl schützen).

Tipp: Vorausschauendes Planen

Gerade in der Jugendverbandsarbeit ist es wichtig, vorausschauend zu planen. Sind Teilnehmendendaten für eine Freizeit erst einmal erhoben, können sie auch nur für die Zwecke genutzt werden, die bei der Anmeldung abgefragt wurden.

Dazu ein Beispiel: Wird das Einverständnis für Bildrechte bei der Freizeitanmeldung in einem separaten Dokument erhoben, kann dies direkt separat gespeichert werden. So können die unterschiedlichen Aufbewahrungsfristen von allgemeinen Anmeldedaten (in der Regel drei Jahre) und Einverständnis in Bildrechte (so lange die Bilder genutzt werden) gewährleistet und eingehalten werden.

Wer also eine Veranstaltung, ein Fest, eine Freizeit o. Ä. plant sollte sich bereits vor Öffnung der Anmeldung konzeptionelle Gedanken machen und darin Fragen des Datenschutzes mit einbeziehen. So können alle notwendigen Zwecke der Datenverarbeitung benannt und die Zustimmung in diese Zwecke bei der Anmeldung abgefragt werden:

• Teilnehmendendaten für Veranstaltungsanmeldung, z. B. Name, Adresse, Geburtsdatum, Kontaktdaten etc.
• Teilnehmende über weitere Angebote wie die nächste geplante Freizeit informieren.
• Nachträgliche anonymisierte Auswertung der Veranstaltung, z. B. in Form einer Statistik.
• usw.

Merksatz: Bereits bei Veranstaltungskonzeption und -planung mögliche verschiedene Zwecke und verschiedene Rechtsgrundlagen der Datenverarbeitung kennen, benennen und als Grundlage der Datenerhebung nutzen; wenn nötig das Einverständnis der Teilnehmenden dafür abfragen.

Auch wichtig: Fragt kein Einverständnis ab, wenn die Person nicht zustimmen muss! Wenn ihr z. B. Daten für eine Freizeitenanmeldung erhebt, kann die Person nicht erklären, dass sie der Datenverarbeitung wiederspricht – deswegen ist hier die Abfrage einer Zustimmung nicht nur unnütz, sondern auch irreführend. Anders ist es z. B. bei der Bilderhebung – hier könnt ihr (müsst aber nicht) ein explizites Einverständnis zum Bilder machen abfragen. Darauf hinweisen, dass diese Datenverarbeitung stattfindet, müsst ihr aber in jedem Fall.

Bitte beachtet auch: nur weil ihr Bilder machen dürft, heißt das noch nicht, dass ihr die Bilder veröffentlichen dürft. Der Veröffentlichung von Bildern müssen Betroffene einzeln zustimmen (s. Recht am eigenen Bild).

Fragesammlung, News und Beratung

Unten in diesem Beitrag findet ihr eine bunte Fragesammlung aus eurem Engagementalltag. Wir haben eure Fragen bestmöglich beantwortet und an vielen Stellen Verlinkungen angeführt, sodass ihr euch weiter einlesen und Antworten auf eure spezifischen Fragen herausfinden könnt.

Wer es ganz genau für den eigenen Verein / Verband wissen möchte oder nicht weiter kommt, kann die kostenlose juristische Beratung bei der Deutschen Stiftung für Engagement und Ehrenamt (DSEE) wahrnehmen. Ansprechperson beim Landesjugendring BW zum Thema Datenschutz ist Karoline Gollmer (

Wer rund um das Thema auf dem Laufenden bleiben möchte, kann den Newsletter „Datenschutz-Update“ von Robert Harzewski abonnieren – hier werden wichtige Rechtsprechungen und Themen rund um den Datenschutz praxisnah aufbereitet.

Außerdem bietet er regelmäßig kostenlosen Webinare rund um Datenschutzthemen an. Mehr dazu bei Datafence.

Literaturverzeichnis

• Alt, Nico; Gollmer, Karoline; Schmidt, Thomas. 2024. Arbeitshilfe Recht haben. 6. überarbeitete Auflage. Hrsg. von Landesjugendring BW. Online URL: https://shop.ljrbw.de/publikationen/recht-haben [Letzter Zugriff: 18.03.2026].
• Grutzeck Redaktion. 2017. DSGVO – Grundsätzliche Datenschutz Prinzipien. Online URL: https://www.grutzeck.de/dsgvo-grundsaetzliche-datenschutz-prinzipien/ [Letzter Zugriff: 16.03.2026].
• Ingelheim, Alexander. 2024. Die 7 Grundsätze der DSGVO. Online URL: https://www.proliance.ai/blog/die-7-grundsatze-der-dsgvo [Letzter Zugriff: 16.03.2026].
• Stiftung Datenschutz. 2026. Datenschutz im Ehrenamt. Online URL: https://stiftungdatenschutz.org/ehrenamt [Letzter Zugriff: 20.03.2026].

Fragesammlung

Welche Vorlagen oder Anleitungen unterstützen bei der Auseinandersetzung mit Datenschutz im Verein / Verband?

Anbei findet ihr eine Auswahl an hilfreichen FAQs, Vorlagen und Anleitungen rund um Datenschutz im Verein:

1. Landesjugendring: „Arbeitshilfe Recht haben“ https://shop.ljrbw.de/publikationen/recht-haben
2. Jugendarbeitsnetz: unter „einzelne relevante Gesetze – Datenschutz“ https://jugendarbeitsnetz.de/recht#accordion-275-18
3. Stiftung Datenschutz: https://stiftungdatenschutz.org/ehrenamt/basiswissen-datenschutz-im-verein
4. LfDI Baden-Württemberg: Praxisratgeber „Datenschutz im Verein“ https://www.baden-wuerttemberg.datenschutz.de/praxisratgeber-datenschutz-im-verein/
5. Deutsches Ehrenamt: Checkliste „Datenschutz im Verein“ https://deutsches-ehrenamt.de/vereinsrecht-fuehrung/datenschutz-verein/checkliste-datenschutz-verein/
6. DSEE Linkliste Datenschutz: https://www.deutsche-stiftung-engagement-und-ehrenamt.de/dseeerklaert/linkliste-datenschutz-digitalen-herausforderungen-souveran-begegnen/

Werden alle personenbezogenen Daten „gleichrangig“ behandelt oder gibt es unterschiedliche Sensibilitätsstufen?

Neben „einfachen“ Daten wie Name, Geburtstag, Geschlecht, Anschrift, Bankverbindung usw., gibt es noch die Kategorie besonders schutzwürdiger Daten. Dabei handelt es sich um Angaben zu Religion, Sexualität, politischer Meinung, ethnischer Herkunft, Gesundheitsdaten u. Ä. Ein klassischer Fall hierfür ist die Angabe von Allergien bei der Freizeitenanmeldung. Werden solche Daten erhoben und verarbeitet, müssen diese mit besonderer Sorgfalt behandelt werden. Unter Umständen muss ein Datenschutzbeauftragte*r bestellt werden. Die Verarbeitung dieser Daten ist außerdem nur dann erlaubt, wenn die betroffene Person ausdrücklich einwilligt oder ein anderer der Punkte aus Art. 9 Abs. 2 DSGVO bzw. § 22 BDSG zutrifft!

Was muss beim Versand (sensibler) Daten bspw. per Mail beachtet werden? Wie können die Daten verschlüsselt werden?

Beim Transport und der Weitergabe von Daten sollte immer hinterfragt werden, ob die Übermittlung der Daten sicher ist. Dafür können Entscheidungsschritte helfen wie:

• Ist die Datenweitergabe notwendig?
• Wurde in die Datenweitergabe eingewilligt?
• Ist die Datenweitergabe sicher digital möglich / sinnvoll? Welche Sicherheitskriterien braucht es?

Je nach Daten(sensibilität) kommen daher verschiedene Kommunikationswege in Frage. Werden sensible, personenbezogene Daten per Mail versendet, sollten diese extra verschlüsselt und das Passwort der Verschlüsselung in einer separaten Mail bzw. besser über einen zweiten Kommunikationskanal versendet werden. Die Daten können beispielsweise als passwortgeschütztes PDF gesichert und versendet werden. Darüber hinaus können Daten auch über Portale wie eine Cloud weitergegeben werden.

Wie lange dürfen Daten gespeichert und aufbewahrt werden? Welche Fristen zur Löschung müssen eingehalten werden?

Hierfür gibt es leider keine pauschale Antwort, denn die Lösch- und Aufbewahrungsfristen unterscheiden sich je nach zugrundeliegenden Rechtsgrundlagen und Zwecken der Datenverarbeitung. Generell gilt jedoch: liegt der Zweck der Datenverarbeitung nicht mehr vor, ist bspw. eine Veranstaltung durchgeführt und abgeschlossen, müssen die entsprechenden (Teilnehmenden)daten gelöscht werden. Es sei denn, bei der Datenerhebung wurde explizit einem aufgeführten Zweck wie „nachträgliche anonymisierte Auswertung“ o.Ä. zugestimmt.

Orientierung in der Jugendverbandsarbeit bieten u.a. folgende gesetzliche Aufbewahrungsfristen:

• Nach Durchführung und Beendigung einer Veranstaltung wie einer Freizeit – i.d.R. Löschung nach 3 Jahren
• Steuerrelevante Unterlagen wie Rechnungen, Buchungsbelege und Co. – i.d.R. Löschung nach 10 Jahren

Weitere Informationen und Beispiele hierzu findet ihr bei der Stiftung Datenschutz.

Wie lange müssen Einverständniserklärungen für Bildrechte aufbewahrt werden und was muss man beim Fotografieren beachten?

Generell gilt: so lange, wie das Bild auch genutzt wird! Denn so lange muss man theoretisch auf Nachfrage vorweisen können, dass die betroffene Person in die Nutzung eingewilligt hat. Die Aufbewahrungsfristen für die Anmeldung zu einer Veranstaltung, einer Freizeit o.Ä. können davon stark abweichen, daher ist es ratsam, die Einverständniserklärung für Bildrechte bei der Anmeldung zu Veranstaltung in einem separaten Dokument abzufragen und zu speichern.

Die DSGVO definiert, dass wir schon für das Fotografieren an sich eine Einverständniserklärung brauchen. Daher: wenn ihr Bilder macht, müsst ihr darauf hinweisen, z.B. mit entsprechenden Plakaten oder Hinweisen bei der Anmeldung – das ist auch gegenüber den Teilnehmenden fair. Bei Minderjährigen unter 16 Jahren müssen die Personenfürsorgeberechtigten ebenfalls Bescheid wissen und ggf. zustimmen (abhängig davon, ob Bilder gespeichert werden, auf denen die Kinder identifiziert werden können). Weist möglichst transparent drauf hin, was ihr mit den Bildern vorhabt.

Für die Veröffentlichung von Bildern im Internet und an anderen Stellen gilt nach wie vor das Kunsturhebergesetz. Mehr dazu findet ihr in den Gesetzesparagrafen § 22 und § 23.

Weitere Informationen und Beispiele hierzu findet ihr bei der Stiftung Datenschutz.

Was kann man tun, wenn kein Einverständnis vorliegt?

Wenn kein Einverständnis zur Bildverwendung vorliegt, gibt es nur sehr enge Grenzen, in denen Bilder verwendet werden können: Wenn Personen nur Beiwerk sind, wenn es um öffentliche Veranstaltungen geht oder zum privaten Gebrauch. Aber im Grundsatz gilt: kein Bild ohne (schriftliche oder konkludente) Einwilligung!

Können Daten nach Abschluss einer Veranstaltung (z.B. Freizeit) anonymisiert weiterverwendet werden?

Daten werden zu unterschiedlichen Zwecken erhoben, die Einwilligung der betroffenen Personen zum Zeitpunkt der Datenerhebung in diese Zwecke der Datenverarbeitung ist für eine mögliche Weiterverwendung entscheidend. Dies beruht auf Art. 6 Abs. 1 DSGVO.

Es geht hierbei um den Grundsatz der Rechtmäßigkeit. Besteht vonseiten des Vereins / Verbands beispielsweise ein berechtigtes Interesse, die Daten auch nach Abschluss der Veranstaltung anonymisiert weiterzuverwenden, so muss darauf bei Datenerhebung hingewiesen werden. Beispiele hierfür könnten sein: Statistik zu Teilnehmendenzahlen und -entwicklung, Generationenwechsel und damit einhergehend Ansprache ehemaliger Teilnehmender von Freizeiten o.Ä.

Darf ich Teilnehmendendaten weitergeben? Was kann ich tun, wenn der Fördermittelgeber ausführliche Informationen der Teilnehmenden verlangt?

Teilnehmendendaten dürfen nur mit entsprechendem Einverständnis der Teilnehmenden, zu dem eingewilligten Zweck, weitergegeben werden. Dieses liegt häufig nicht vor, sodass eine anonymisierte Weitergabe abgewogen werden kann, bspw. für den Fördermittelgeber.

Generell lohnt es sich bei Nachfrage und Druck vonseiten des Fördermittelgebers, erst einmal die Rückfrage zu stellen, für was die Daten benötigt werden. Meist sind für die Abgabe eines Verwendungsnachweises summierte Teilnehmendenzahlen und Veranstaltungstage ausreichend und es bedarf keiner weiteren Details. Entsprechend können Namenslisten zunächst beim Verein / Verband verbleiben. Der Fördermittelgeber hat bei Bedarf die Möglichkeit, über eine sogenannte Tiefenprüfung Einsicht in die detaillierten Listen zu erhalten. Daher sollten sie zunächst gut aufbewahrt, aber nicht von Vornherein mit allen personenbezogenen Daten weitergegeben werden. Zu einer Tiefenprüfung wird es nur in vereinzelten Fällen kommen.

Weitere Informationen und Beispiele hierzu findet ihr bei der Stiftung Datenschutz.

Was tun bei einer Datenschutzpanne? Drohen Vereinen und Verbänden bei leichten Verstößen Strafen?

„Datenschutzpannen“ (Art. 33 DS-GVO) müssen der zuständigen Behörde, dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI), gemeldet werden.

In der Regel prüft die Meldestelle dann gemeinsam mit dem Verein / Verband den Verstoß und berät diesen zum weiteren Vorgehen. Je nach Verstoß kann es zu Strafen kommen, davon macht die Behörde bei Verbänden aber nur in Ausnahmefällen Gebrauch.finanzielle Abmahnungen sind bei groben Verstößen hingegen eher selten und kommen im Jugendverbandsarbeitskontext vermehrt vor, wenn keine Datenschutzerklärung auf der Homepage vorhanden ist. Das kann schnell geändert werden!

Eine Datenschutzerklärung auf der eigenen Homepage muss – ebenso wie das Impressum! – von jeder Seite aus über einen eigenen Link erreichbar sein, also sich am besten im Kopf- oder Fußbereich der Homepage befinden. Die Datenschutzerklärung ist NICHT Teil des Impressums, sondern muss eine einzelne Seite haben. Sie soll möglichst verständlich aufzeigen, an welchen Stellen zu welchen Zwecken Daten automatisch gespeichert bzw. direkt erhoben werden. Denkt daran, dass auch sogenannte “Plug-Ins” oder “Module” und vor allem Dienste wie Google Fonts Daten speichern oder weitergeben könnten!

Welche Verantwortung trägt der*die Datenschutzbeauftragte im Verein bei einem Datenschutzverstoß?

Die Stiftung Datenschutz schreibt hierzu, dass der* die Datenschutzbeauftragte „nicht für den Datenschutz verantwortlich“ ist und sich der Vorstand auch bei „Benennung einer*s Datenschutzbeauftragten weiterhin darum kümmern [muss], dass der Datenschutz im Verein umgesetzt wird.“ Zu den generellen Aufgaben von Datenschutzbeauftragten gehört „unter anderem die Überwachung der Einhaltung des Datenschutzes, die Beratung des Vorstands hinsichtlich der datenschutzrechtlichen Pflichten, die Zusammenarbeit mit der Aufsichtsbehörde.“

Weitere Informationen und Beispiele zu Datenschutzverletzungen findet ihr hier bei der Stiftung Datenschutz und zu Verantwortlichkeiten und Haftung ebenfalls hier bei der Stiftung Datenschutz.

Inwieweit ist bspw. als Vorstand ein Zugriff auf PC- und E-Mail-Konten von abwesenden Mitarbeitenden möglich?

Diese Frage ist nicht ganz leicht zu beantworten. Zwar gelten Postfächer als dienstliche Post und dürfen prinzipiell vom Arbeitgeber*in eingesehen werden – doch gehen Absender*innen davon aus, dass ihre E-Mails bei dieser Person landen und nicht bei Dritten. Daraus lässt sich ableiten: Nur in Ausnahmefällen solltet ihr persönliche Postfächer von Mitarbeiter*innen öffnen! Denkt daran: Jedes Lesen der E-Mails stellt eine Verarbeitung personenbezogener Daten dar, die dem Datenschutzrecht unterliegt und entsprechend eine gesetzliche Begründung braucht.

Solltet ihr dennoch nicht drumherumkommen, emfpiehlt sich der Drei-Schritte-Test vor jeder Einsichtnahme in ein persönliches Postfach: 1. legitimen Zweck nachweisen, 2. alternative Maßnahmen prüfen, 3. Interessen sorgfältig abwägen.

In einigen Fällen kann es sinnvoll sein, von vornherein Funktionspostfächer einzurichten, z. B. für Admins oder Freizeiten- bzw. Veranstaltungsanmeldungen, Buchhaltung oder die Mitgliederverwaltung.

Die beste Lösung bei Abwesenheit von Mitarbeiter*innen ist eine Abwesenheitsbenachrichtigung mit Verweis auf die Vertretung. Im Falle einer plötzlichen längeren Abwesenheit dürft ihr euch daher im Mailaccount der Person anmelden, um die Abwesenheitsbenachrichtigung einzurichten (lasst dies ggf. bezeugen / dokumentieren). Mails, die an persönliche Accounts gehen, sollten nicht automatisiert weitergeleitet werden. Ganz generell: Wenn ihr Mails weiterleitet, die an ein persönliches Postfach gegangen sind, informiert die Absender*innen darüber!

Wenn eine Person ausscheidet, sollte eine Abwesenheitsbenachrichtigung eingestellt werden. Relativ zeitnah sollte das Postfach dann deaktiviert werden. Absender*innen bekommen dann eine Fehlerbenachrichtigung über die gescheiterte Zustellung ihrer Mail – stellt sicher, dass sie z. B. auf eurer Verbandshomepage verlässlich eine Kontakt-Mailadresse finden, an die sie ihr Anliegen richten können.

Anders verhält es sich, wenn die private Nutzung der dienstlichen oder Verbandsadresse erlaubt ist. Dann dürft ihr nur mit expliziter Einwilligung der betroffenen Person Einsicht nehmen!

Weitere Infos dazu findet ihr z. B. bei Haufe.

Wie können Passwörter sicher gespeichert werden und wie sicher sind digitale Passwort-Manager?

Digitale Passwort-Manager können gerade bei geteilten Accounts und Passwörtern eine große Erleichterung für den Verein / Verband sein. Sind die Einträge ordentlich mit Namen, Link zum Login, Passwort und Co. eingepflegt, ist auch die Weitergabe an Nachfolger*innen im Verein / Verband einfacher möglich. Bei der Auswahl von Passwort-Managern sollten jedoch einige Aspekte abgewogen werden. Eine Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hat den Schutz von 10 Passwort-Managern geprüft und gibt entsprechend Empfehlungen ab. Hier geht es zum Beitrag des BSI.

Werden Zugänge und Passwörter beispielsweise per Mail an andere Personen versendet, so sollten dringend die Empfehlungen zu verschlüsselten Mails (siehe oben) berücksichtigt werden. Ganz banal sollten Zugang und Passwort zum Beispiel nicht in ein und derselben Nachricht an jemanden versendet, sondern getrennt voneinander kommuniziert werden.

Wo fordert der Gesetzgeber analoge Unterschriften in Papierform, wann genügen digitale Unterschriften?

Analoge Unterschriften sind tatsächlich nur noch selten zwingend notwendig, zum Beispiel bei Arbeitsverträgen, Testament etc. Entsprechend reicht im ehrenamtlichen Kontext in den meisten Fällen eine digitale Unterschrift aus. Das gilt seit dem letzten Bürokratieentlastungsgesetz auch, wenn von einer Unterschrift „in Textform“ die Rede ist.

Minderjährige dürfen Unterschriften nur in Höhe des Taschengeldparagrafen (§ 110 BGB) leisten, daher muss in der Regel ein*e Personensorgeberechtigte*r unterschreiben. Bei alltäglichen Dingen reicht eine Person aus, bei Entscheidungen mit großer Tragweite sollten, wenn vorhanden, zwei Personensorgeberechtigte unterschreiben.

Wer sich unsicher ist, ob bei der Datenerhebung generell eine Unterschrift notwendig ist, sollte im Zweifel lieber eine einholen und sich damit absichern.

Wie kann ein Datenschutzkonzept aussehen und wie detailreich muss es sein?

Ein Datenschutzkonzept im Verein / Verband beschreibt, wie eine Organisation personenbezogene Daten verarbeitet und schützt. Wie detailliert das Konzept ausformuliert sein muss, ist nicht näher definiert.

Typische Inhalte für ein Datenschutzkonzept sind:

• Zweck & Geltungsbereich
• Welche Daten werden verarbeitet?
• Rechtsgrundlagen
• Wer hat Zugriff auf die Daten?
• Technische & organisatorische Maßnahmen
• Löschkonzept
• Rechte der Betroffenen

Wer mit Vorlagen aus dem Internet arbeitet, sollte diese auf jeden Fall auf den eigenen Verein / Verband und das eigene Handeln übertragen und anpassen. Das Datenschutzkonzept ist nicht für die Schreibtischschublade, sondern als Arbeitsgrundlage gedacht und sollte daher möglichst prägnant und auf euch zugeschnitten sein.

Datenschutz plant ihr am besten immer schon beim Entstehen von Projekten oder Maßnahmen mit – dann habt ihr eine solide Grundlage zur Weiterarbeit.