Huuu, bei der Erwähnung der DSGVO werden viele ein bisschen nervös. Groß ist die Sorge, versehentlich etwas zu tun, was große und teure Konsequenzen für unsere Organisation hätte.
Diese latente Unsicherheit, die wir selber kennen und bei unseren Kunden immer wieder erleben, haben wir zum Anlass genommen, uns dem Thema Datenschutz zu
nähern und Fakten und konkretes Handwerkszeug zu liefern.
Im Fundraising Radio-Podcast habe ich, Gisela Bhatti, gemeinsam mit Dirk Wolf, dem Datenschutzbeauftragten des Deutschen Fundraising Verbandes und Maik Meid
zusammengetragen, was es bei der Nutzung eines Fundraising Systems aus Datenschutz-Perspektive zu beachten gibt. Hier geht`s zum Podcast LINK.
Spoiler: is´gar nicht so schlimm. Wie so oft im Fundraising braucht es eine Mischung aus Hausaufgaben erledigen, bei Fehlern ehrlich sein und nachbessern, mit seinen Unterstützer*innen sprechen und gesundem Menschenverstand.
Wenn ihr die Daten Eurer Spendenden, Mitglieder und Unterstützer*innen datenschutzkonform verwalten möchtet, solltet Ihr Euch fragen
Darf ich das?
Bevor Du den ersten Datensatz ins System – egal ob in Excel oder ein Fundraising-System – schreibst, geh einen Schritt zurück und vergewissere Dich, warum Du das tun möchtest.
Der Datenschutz verlangt von Dir, dass Du eine Rechtsgrundlage wie eine Einwilligung, die Abwicklung eines Vertrags, eine rechtliche Verpflichtung oder berechtigtes Interesse benennst, wenn Du persönliche Daten anderer Personen erfasst.
Vermutlich haben die Personen, deren personenbezogene Daten Du erfasst, ein Interesse daran, dass Du sie korrekt führst. Z.B. weil sie eine Zuwendungsbestätigung von Euch erhalten möchten. Mit ihrer Mitgliedschaft, ihrer finanziellen Unterstützung oder ihrem Ehrenamt für Euch signalisieren sie: „Ich möchte wissen, wie sich dieser Verein, dieses Projekt fortentwickelt.“ Daraus lässt sich ein generelles Interesse an Informationen zu Eurer Arbeit ableiten.
Nachdem grundsätzlich klar ist, dass Du Daten Deiner Unterstützer*innen erfassen darfst, halte kurz inne und überlege, welche Daten Du erfassen willst.
Die Kontodaten Deiner Kontakte darfst Du natürlich speichern, wenn es der Zuordnung von Spenden und Mitgliedsbeiträgen dient. Für Adressen und Namen gilt dasselbe. Wenn sie für ein spezielles Projekt gespendet haben, darfst Du dies als Interesse annehmen und vermerken, um zukünftig passendere Informationen zu versenden. Wenn sie Dir offenbaren, dass ihre Mutter ebenfalls in Eurem System erfasst sind, dürft Ihr diese Beziehung hinterlegen, ebenso, wenn sie in einem Serviceclub aktiv sind und somit ein Fürsprecher für Euch sein könnte. Allerdings müssten sich Muttern dann kurz bei Euch melden oder ihr die
Erlaubnis Eures Kontaktes erhalten, Euch bei seiner Mutter zu melden, um das ok einzuholen.
Wenn möglich, vermeide es, sensible Daten, also „besondere personenbezogene Daten“ zu erfassen. Wenn Eure Arbeit ohne diese Daten möglich ist, verzichte auf Daten zu ethnischer Herkunft, politischer Meinung, religiöser oder weltanschaulicher Überzeugungen des Kontakts, zur Zugehörigkeit zu einer Gewerkschaft, auf Daten zur Gesundheit, biometrische Daten und zur sexuellen Orientierung der Person.
Wenn dies aber nötig wird, sprich mit ihnen darüber und erkläre, warum es für Dich wichtig wäre, auch diese Daten von ihnen zu speichern.
Dann holst Du Dir ihr schriftliches ok ab.
Ab jetzt kannst Du Deine Datenbank füllen. Aber: das benötigte Schutzniveau Deiner Daten steigt damit. Das hat z.B. Einfluss auf die Sicherung Eurer Türen und Fenster.
Beachte noch, jede*r Mensch in Deinem System hat das Recht, einen Auszug aller über ihn gespeicherten Daten einsehen zu können. Höflichkeit und eine gewisse Seriosität bei der Wortwahl dürften aber ohnehin selbstverständlich sein. Statt zu schreiben „Frau Musterfrau ist eine Plaudertasche, kein Telefonat unter 2 Stunden!“ kannst Du einfach die Kommunikationspräferenz auf „schriftlich“ einstellen.
Das alles betraf die Datenbank selbst.
Nun ist es noch wichtig, einmal die vier grundlegenden Hausaufgaben zum Datenschutz zu machen, die aber die komplette Organisation betreffen.
- Setzt Euch zusammen und sammelt im Verzeichnis der Verarbeitungstätigkeiten, wo Ihr Daten erfasst, welche dies sind und warum ihr dies tut. Und benennt eine*n Verantwortliche*n. Unser Beispielformular, das Ihr downloaden könnt, enthält zig Einträge aus der Praxis. Schmeißt alles raus, was nicht zu Euch passt und ergänzt, wenn Ihr die Systematik verstanden habt. Am Ende wird die Liste maximal 5-10 Einträge umfassen. Damit habt Ihr das Wichtigste geschafft!!
- Nun denkt darüber nach, wo Eure Daten Euren Schreibtisch verlassen und vielleicht von Lettershops oder Druckereien gesehen und weiterverarbeitet werden. Auch wenn es der IT-Support oder wir als Beraterinnen immer schnell die Augen zu machen, wenn man uns versehentlich Kontaktdaten zeigt, lässt sich das nicht immer vermeiden. Am einfachsten ist es, mit diesen Personen einen Auftragsverarbeitungsvertrag abzuschließen.
- Nun befasst Euch mit Eurem Büro und Eurer Einrichtung selbst, in der die Daten konkret „gelagert“ werden. Unter der Kurzform TOM beschreibt Ihr die technischen und organisatorischen Maßnahmen, die sicherstellen, dass nicht jeder an die Daten kommt. Hier geht es um Türen, Schlösser, Passwörter, vergessene USB-Sticks in der Handtasche, Protokolle z.B. von Änderungen im Datensatz, aber auch um BackUps und klimatisierte Serverräume. I.d.R. braucht Ihr am Stück vielleicht eine Stunde, um das fertigzustellen. Doch brutto werdet Ihr sicher oft andere Personen fragen, ggf. manche Maßnahmen erst besprechen und einrichten und deshalb braucht es insgesamt etwas Zeit, seine TOM aufzustellen. Aber sie ist ein prima Leitfaden, sich gut aufzustellen und sich endlich mal Zeit dafür zu nehmen.
- Auf DATENWELTEN findet Ihr zuletzt auch ein Muster für eine Datenschutz-Richtlinie, die Ihr für Eure Organisation entwickeln solltet. Die Vorlage soll dabei helfen, eine Richtlinie zu entwickeln, die Eurem Team eine Handlungsanweisung an die Hand gibt, um sich datenschutzgerecht zu verhalten. Das Muster ist nur eine von vielen Möglichkeiten, eine Datenschutz-Richtlinie zu verfassen. Es ist entstanden in monatelanger Arbeit für eine große deutsche Stiftung, die im gemeinnützigen Bereich tätig ist. Deshalb halten wir von DATENWELTEN sie für geeignet, als Muster zu dienen. Das Vorwort zu erstellen ist Aufgabe der obersten Führung. Hier wird deutlich, was „der Kopf“ über das Thema Datenschutz denkt. Nur wenn die Führung ein positives Bild vom Schutz personenbezogener Daten vor ihrem Missbrauch vermittelt, kann das Thema Datenschutz in einer Organisation positive Kräfte entfalten. Wer vom Datenschutz als „Hindernis“ oder „Bürokratiemonster“ spricht, wird den Mitarbeitenden nicht abverlangen können, den Bedürfnissen des Datenschutzes die notwendige Aufmerksamkeit zu widmen.
Und so hoffen wir, konnten wir Mut machen, das Thema auf der ToDo-Liste wieder nach vorne zu holen. Denn am Ende geht es darum, die Menschen zu schützen, die uns unterstützen und zu denen wir uns eine tragfähige, vertrauensvolle Beziehung wünschen.
Datenschutz schützt nämlich eigentlich Menschen und keine Daten. Auch wenn der Begriff anderes vermuten lässt.