Datenschutz-Kurzeinführung

zur Hauptnavigation springen zur Metanavigation springen zum Inhalt springen

Unterstütze uns!

Wer Solawis gründet, braucht kompetent aufbereitete Information. Die aktuellen Krisen machen den Bedarf an resilienten Ernährungssystemen deutlich – Solawi ist eine gerechte und regionale Lösung.

Deswegen ist unser Wissenspool hier frei verfügbar. Beteilige Dich jetzt, um das Angebot weiter kostenlos zu halten.

Gemeinsam für eine Landwirtschaft mit Zukunft!

Mitglied werden Spenden Engagieren

🤍 Hilf der Solawi-Bewegung zu wachsen! 🤍

Datenschutz in Solidarischen Landwirtschaften

Einleitung

Im Folgenden findet Ihr einen kleinen Überblick über die am 25.5.18 in Kraft tretende DSGVO (Datenschutz-Grundverordnung) – ein Gesetz, welches den Umgang mit persönlichen Daten EU-weit angleichen und für mehr Sensibilität beim Umgang mit persönlichen Daten sorgen soll – sowie in diesem Zuge einige Praxis-Tipps für den Umgang mit Datenschutz innerhalb Solidarischer Landwirtschaften.

Was sind persönliche Daten?

Das sind alle Daten, mit denen man eine Person identifizieren kann. Vereinfacht gesagt sind das z.B. Daten wie der Vor- und Nachname einer Person, deren E-Mail- oder postalische Adresse etc. aber auch – Achtung, jetzt wird‘s technisch – ungekürzte IP-Adressen, oder Tracking-Cookies.

Wen betrifft die DSGVO?

Jede Person und jede Organisation (egal ob Wirtschafts-Unternehmen oder Verein, oder Einzelperson etc.), die Daten anderer Personen erfasst und/oder verarbeitet ist von diesem Gesetz betroffen. Und somit betrifft dieses Gesetz auch die meisten Solawis.

Ja, denn auch Ihr erfasst ja z.B. die persönlichen Daten Eurer Mitglieder, bietet Interessent*innen ggf. auf der eigenen Webseite die Möglichkeit, sich an Newslettern anzumelden, oder bietet Kontaktmöglichkeiten via E-Mail oder Formular an.

Was müssen ihr als Solawi beachten?

Datenschutzerklärung

Als Minimum und um zumindest den Schein nach außen hin zu waren (Scherz!) solltet Ihr Eurer Webseite eine öffentlich einsehbare Datenschutzerklärung beifügen, in der Ihr erklärt, welche persönlichen Daten Ihr zu welchem Zweck erfasst, wie Ihr diese verarbeitet und wann Ihr sie wieder löscht.

Hierzu könnt Ihr auch entsprechende Text-Generatoren bedienen, die Euch eine angepasste Datenschutzerklärung ausspucken. Einfach im Internet nach „DSGVO Datenschutzerklärung Generator“ suchen, dann werdet Ihr schon fündig.

Umgang mit Daten analysieren und ggf. optimieren

Wichtiger ist jedoch, dass Ihr Euch anschaut, wie Ihr intern mit den Daten umgeht, die Euch andere Menschen anvertrauen und wie Ihr diese Prozesse in der Praxis optimieren könnt. Denn auch wenn alle auf Facebook & Co. schimpfen – sind wir doch mal ehrlich: die meisten von uns gehen wahrscheinlich auch eher lax mit den Daten anderer Menschen um.

Im Folgenden also ein paar konkrete Tipps, wie Ihr in Eurer Praxis für mehr Datenschutz sorgen könnt. Lasst Euch von dem Umfang nicht erschlagen – auch wenn Ihr diese Maßnahmen nur über einen längeren Zeitraum und in kleinen Schritten umsetzen könnt, ist damit oft schon sehr viel mehr gewonnen als dieses Thema komplett links liegen zu lassen. Also, los geht‘s:

Einwilligung

  • Bevor Ihr Daten einer Person erfasst, klärt Ihr diese über folgende Themen auf "Welche Daten werden erhoben? Wozu werden diese genutzt? Werden sie an Dritte weitergegeben?". Zusätzlich muss dem Nutzer gesagt werden, dass er jederzeit das Recht hat seine Einwilligung zu widerrufen.

  • Eine Einwilligung kann zum Beispiel eine Checkbox sein mit folgender Benennung: „Ich stimme zu, dass meine Angaben aus dem Mitgliedsformular zur Verarbeitung meiner Mitgliedschaft gespeichert und verarbeitet werden. Die Daten werden nach Kündigung meiner Mitgliedschaft wieder gelöscht. Ich kann meine Einwilligung über die Datenerhebung jederzeit für die Zukunft per E-Mail an kontakt@webseite.de widerrufen“.

  • Die Einwilligung muss protokolliert werden.

Zweckmäßigkeit

  • Ihr solltet persönliche Daten nur erfassen und verarbeiten, wenn dies einem ausreichend wichtigen Zweck dient und – sowieso – legal ist. Am besten, Ihr definiert Eure Zwecke jeweils vorab, damit die folgenden Punkte einfacher zu handhaben sind. Ein Zweck kann sein „Aufnahme Solawi-Mitglied“ oder „Buchhaltung“ oder „Newsletter-Abonnement“.

Erfassung und Übertragung

  • Ihr erfasst und übertragt die persönlichen Daten möglichst in verschlüsselter Form, d.h. z.B. dass Eure Webseite über eine verschlüsselte Verbindung läuft (hierzu im Internet nach „SSL-Zertifikat“ oder „https“ suchen und/oder die Person, welche für die Webseite zuständig ist, auf das Thema ansprechen).

  • Persönliche Daten, Zugangs- oder Bankdaten verschickt Ihr nur via verschlüsselten Mails.

  • Auch kopiert Ihr Daten von und zu Eurer Webseite nur via verschlüsselter Verbindung.

  • Wenn Ihr nicht wisst wie das mit der Verschlüsselung geht, fragt am besten Menschen, die sich mit so etwas auskennen (Bekannte, Fachleute aus Computerläden etc., die AG Digitale Transformation des Netzwerks). Leider ist v.a. das Thema Mail-Verschlüsselung für Laien weiterhin oft nicht einfach umsetzbar, aber das wird in Zukunft hoffentlich gängiger werden.

Speicherung

  • Ihr speichert die Daten in möglichst wenigen Programmen (Webseite, Mitglieder-Verwaltungsprogramm, File-Sharing-Programm usw.) und auf möglichst wenigen Datenträgern (Laptop, Smartphone,, USB-Stick etc.)

  • Ihr speichert die Daten möglichst nicht bei sogenannten Cloud-Dienstleistern wie z.B. Dropbox, iCloud, GoogleDrive und wie sie alle heißen, sondern installiert selbst Cloud-Lösungen (oder beteiligt Euch an der AG Digitale Transformation des Netzwerks, die solche Dienste irgendwann mal möglichst allen Solawis anbieten möchte).

Zugang

  • Ihr sorgt dafür, dass nur die Menschen die persönlichen Daten zu Gesicht bekommen, welche diese wirklich für die zweckmäßige Verarbeitung benötigen. D.h. wenn jemand Neu-Mitglied in der Solawi wird bekommen dessen Daten – je nach Eurer internen Organisation versteht sich – nur die Mitglieder-Verwaltung und die Buchhaltung.

  • Ihr schützt Eure Systeme und Datenträger mit guten Passwörtern (also nicht „hansi“ oder „Passwort“ sondern „tX7$ggupV“) vor dem Zugriff durch Unberechtigte.

Sicherheit

  • Ihr verschlüsselt die Datenträger, damit sie bei Verlust nicht von anderen ohne Passwort eingesehen werden können. Wenn Ihr nicht wisst, wie das geht fragt am besten Menschen, die sich mit so etwas auskennen.

  • Auf den Systemen, mit denen Ihr persönliche Daten speichert oder verarbeitet haltet Ihr Eure Programme durch regelmäßige Aktualisierungen auf dem neuesten Stand.

  • Ihr habt Anti-Virensoftware auf Euren Systemen installiert, mit denen Ihr persönliche Daten speichert oder verarbeitet.

  • Ihr macht regelmäßige Sicherungskopien der Daten und – Sahnehäubchen! – verschlüsselt diese Kopien.

Zutritt

  • Des Weiteren achtet Ihr optimaler Weise darauf, dass möglichst wenige Menschen Zutritt zu den Datenträgern haben, auf denen die sensiblen Daten gespeichert sind. Der alte Rechner der im WG-Flur steht, fällt somit als vertrauenswürdiger Speicher leider flach.

Weiterleitung und Zweckbindung

  • Ihr leitet die Daten nicht wild an andere weiter, da diese anderen die Daten ggf. ebenfalls brauchen könnten. Wenn Ihr die Daten weiterleiten möchtet, holt Ihr Euch vorher die Einwilligung der Person, deren Daten Ihr weiterleiten möchtet.

  • Ihr verwendet die Daten nur für den Zweck, für den Sie die Person, die Euch die Daten gegeben hat, ursprünglich freigegeben hat. Wenn Ihr die Daten für andere Zwecke verwenden möchtet, holt Ihr Euch vorher die Einwilligung der Person.

  • Diesbzgl. gibt es jedoch wohl auch Ausnahmen: unter bestimmten Bedingungen (welche das auch immer sein mögen …) dürfen an „Bestandskunden“ (und vermutlich zählen Solawi-Mitglieder im rechtlichen Sinne ähnlich wie Bestandskunden) Newsletter versandt werden, auch wenn sie ursprünglich Ihre Daten lediglich zur Mitglieds-Registrierung vergeben haben.

Löschung

  • Ihr löscht die Daten wieder, sobald sie nicht mehr für den ursprünglichen Zweck benötigt werden. D.h. z.B. wenn ein Mitglieder aus der Solawi austritt, werden mit dem Kündigungstermin auch dessen Daten gelöscht, sofern dies nicht durch gesetzliche Aufbewahrungsfristen aufgehoben ist. Und dies aus allen Systemen und von allen Datenträgern inklusive der Sicherungskopien. Also zumindest wenn man‘s so richtig professionell angehen möchte. Aber auch sonst.

Dokumentation / Epilog

Das Gesetz sieht vor, dass all diese Maßnahmen (und einiges mehr) in einem sogenannten Verarbeitungsverzeichnis dokumentiert werden. Das ist natürlich die Crème de la Crème und macht – neben der rechtlichen Verpflichtung – dahingehend Sinn, dass man sich im Zuge der Dokumentation die Prozesse genauer anschaut. Die Umsetzung ist jedoch sehr zeitaufwändig und die Erklärung zur Erstellung eines solchen Verzeichnisses würde leider den Rahmen dieses Kurz-Überblicks sprengen.

All diejenigen, die sich eingehender mit dem Thema auseinandersetzen möchten, finden im Internet einige Anlaufstellen, welche teils kostenpflichtige Anleitungen für DSGVO-konforme Datenschutz-Prozesse anbieten.

Wir wünschen Euch viel Geduld und Nerven aus Drahtseile bei der Umsetzung. :)