Datenschutz ist in der Jugendarbeit ein wichtiges Thema, denn Anmeldungen, Teilnehmerlisten und Speicherungen sensibler Daten stehen hier auf der Tagesordnung. Aber: Was bedeutet überhaupt Datenschutz in der Jugendarbeit? Was ist DSGVO-konform, wie kann das praktisch umgesetzt werden, was muss beachtet werden? Wir geben euch einen Überblick und klären die Frage, ob ihr als Verein einen Datenschutzbeauftragten braucht. Erfahre außerdem, wie campflow Dir bei der Einhaltung der Datenschutzrichtlinien zur Seite steht. Los geht’s.
Was bedeutet Datenschutz?
Allgemein betrachtet, geht es beim Datenschutz nicht direkt um den Schutz von Daten vor Verlust oder Diebstahl, denn das fällt eher in den Bereich der (technischen) Datensicherheit. Datenschutz bezieht sich vielmehr auf den Schutz der Menschen, deren Daten erfragt und verwendet werden. Es besteht der Grundsatz, dass jeder Mensch selbst bestimmen sollte, wem er welche Daten anvertraut und preisgibt. Zu den schutzbedürftigen Daten gehören Name, Anschrift, Telefonnummer und E-Mail-Adresse sowie sachliche Angaben, wie beispielsweise Autokennzeichen oder Eigentumsverhältnisse.
Datenschutz in der Jugendarbeit
In Deutschland gelten die Datenschutz-Grundverordnung (kurz DSGVO) und das Bundesdatenschutzgesetz als Gesetzesgrundlage. Die DSGVO regelt die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten.
Die DSGVO besagt, dass nur die personenbezogenen Daten abgefragt und gespeichert werden dürfen, die unbedingt notwendig sind. Diese Daten dürfen nur so lange gespeichert werden, wie sie auch gebraucht werden. Es ist nicht erlaubt, sie einfach herauszugeben und weiterzureichen. Das bedeutet konkret, dass in vielen Fällen die betroffene Person oder die Erziehungsberechtigten in die Verarbeitung der Daten einwilligen müssen. Diese Einwilligung muss dokumentiert werden.
Grundsätzlich gilt: Der Datenschutz in der Jugendarbeit beginnt, sobald ihr die Daten bekommt, erfragt oder notiert – egal, wie und wo ihr sie festhaltet.
Wie lässt sich Datenschutz in der Jugendarbeit konkret umsetzen?
Am besten weist ihr direkt in den Teilnahmebedingungen für eine Jugendfreizeit oder bei der Anmeldung für ein Event darauf hin, wie lange ihr die erfassten Daten bei euch speichert. Jede Person hat das Recht zu wissen, welche Daten der Verein von ihr besitzt und wie ihre Daten wieder gelöscht werden können. Die Daten dürft ihr dann auch nur zu dem Zweck verwenden, zu dem ihr sie abgefragt habt. Angaben, wie Adresse oder Telefonnummer, dürfen nicht an andere weitergegeben werden, ohne die betroffene Person zu fragen.
Sorgt für eine faire Datenverarbeitung: Das heißt, dass ihr keine Daten heimlich erfassen dürft (z. B. Kopie des Ausweises). Es sollten keine unnötigen Daten erhoben werden, nur weil es einfach ist. Das ist auch der Fall, wenn ein schon oft verwendetes Formular für Freizeit-Teilnehmende nicht angepasst wird, obwohl dort Dinge abgefragt werden, die für die konkrete Aktion nicht wichtig sind. Achtet darauf, dass diese Formulare immer aktuell sind.
Am besten tragt ihr aktiv selbst zum Datenschutz bei. Organisiert euch so, dass klar ist, wer wann welche Daten erhebt, was mit den Daten gemacht wird und wie diese geschützt werden können.
Folgende Checkliste kann Dir dabei helfen:
- Daten, Datenträger und Ausdrucke sollten sicher aufbewahrt werden
- USB-Sticks können verschlüsselt werden
- Laptops, die bei der Vereinsarbeit eingesetzt werden, sollten immer mit Passwort gesichert werden
- bei Rundmails oder E Mails, die an Personen gehen, mit denen ihr nicht in ständigem Kontakt seid, immer BCC verwenden
- Dokumente mit Daten, die nicht mehr benötigt werden, im Aktenvernichter vernichten und nicht nur in den Papierkorb werfen
- Teilnehmerlisten, Mailverteiler und andere Listen nicht offen herumliegen lassen und immer im Auge behalten, sodass niemand die Listen abfotografieren kann
- Teilnehmerlisten auf die Daten reduzieren, die für die Person, die die Liste bekommt, relevant sind. (z.B. nur Vorname und Essgewohnheit für die Küche, statt die gesamte Liste)
- keine sensiblen Daten über WhatsApp und Co. austauschen
Welche Regelungen gibt es für Fotos und Videos?
Fotos, Videos und Tonaufnahmen enthalten ebenfalls Daten und natürlich müsst ihr auch hier den Datenschutz beachten. Grundlage in diesen Fällen sind die DSGVO und das Kunsturheberrecht (KUG). Bei der Veröffentlichung von Fotos und Videos müsst ihr unbedingt das Recht auf das eigene Bild berücksichtigen. Jede:r darf selbst entscheiden, ob er oder sie fotografiert werden will und was mit den Aufnahmen passiert. Das heißt, wenn ihr Bilder von einer Person machen oder veröffentlichen möchtet, müsst ihr diese um Erlaubnis fragen.
Wichtig: Benennt konkret, wofür ihr die Fotos verwendet. Dies gilt auch für die Veröffentlichung von Fotos in sozialen Medien. Damit ihr auf Nummer sicher geht, könnt ihr Einverständniserklärungen unterzeichnen lassen oder mit einem verpflichtenden Häkchen in eurer Online-Anmeldung abfragen. Bei Kindern und Jugendlichen müsst ihr euch das Einverständnis der Erziehungsberechtigten einholen.
Brauchen wir im Verein einen Datenschutzbeauftragten?
Laut Artikel 37 der Datenschutzverordnung wird ein Datenschutzbeauftragter dann benötigt, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht. Das ist vor allem an öffentlichen Stellen, in großen Unternehmen und jenen der Fall, die im Scoring und Profiling unterwegs sind, aber auch Marktforschungs- und Meinungsforschungsinstitute, Sicherheits- und Überwachungsunternehmen etc.
Vereine und kleine Unternehmen sind nur dann dazu verpflichtet, wenn sich mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Darunter fällt der Umgang mit E-Mail-Verteilern, Adresslisten, Mitgliederdateien und Anmeldelisten. Es macht dabei keinen Unterschied, ob die Tätigkeit haupt- oder ehrenamtlich ausgeführt wird.
Sonderfall: Kirchengruppen und Datenschutz
Viele Organisationen in der Jugendarbeit sind der Kirche zugehörig. Für sie gilt: Sie unterliegen darüberhinaus den Datenschutzvorgaben der Kirche. Im Falle der katholischen Kirche gilt hier das Gesetz des Kirchlichen Datenschutz (kurz KDG), für die evangelische Kirche das EKD-Datenschutzgesetz (kurz DSG-EKD).
Erleichtere Dir die Einhaltung der Datenschutzrichtlinien
campflow unterstützt Jugendleiter:innen beim richtigen Umgang mit personenbezogenen Daten und sorgt dafür, dass sie DSGVO-gemäß behandelt werden. Das Online-Tool minimiert den Verwaltungsaufwand der Planung und Organisation rund um Deine Jugendarbeit. Hol Dir Einverständniserklärungen von Erziehungsberechtigten und Einwilligungen für Bildrechte ganz einfach digital ein, mit den passenden Feldern im Formular. Alles auf einen Blick, alles an einem Ort.
DSGVO Jugendarbeit: Verhalten bei Datenschutzpannen
Kommt es zu einer Verletzung des Datenschutzes und sind personenbezogene Daten in fremde Hände gekommen, ist im Artikel 33 DSGVO geregelt, dass Verantwortliche dies innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden und auch die betroffenen Personen darüber in Kenntnis setzen müssen. Könnt ihr als Verein allerdings einschätzen, dass dieser Vorfall kein weiteres Risiko für alle Beteiligten nach sich zieht, seid ihr dazu nicht verpflichtet.
Mögliche Datenschutzpannen können sein: Diebstahl des Vereins-Laptops oder -Handys, das Verschwinden von Teilnehmer- und Anmeldelisten mit Namen und Adressen oder ein Hackerangriff auf eure Datenbank.
Unterstützung beim Datenschutz: Jugendarbeit und DSGVO
Du hast bestimmt schon mitbekommen, wie viele Daten bei euch im Verein oder bei der Planung einer Jugendfreizeit ausgetauscht werden. Aus diesem Grund ist das Thema Datenschutz und die Einhaltung der Richtlinien wichtig, auch für Dich als Jugendleiter:in.
Mit unserem Online-Tool gehst Du auf Nummer sicher, wenn es um Datenschutz in der Jugendarbeit geht. Du kannst im extra eingerichteten Datenschutzbereich die Betroffenenrechte der Teilnehmenden nach DSGVO ausüben. Lege ganz einfach Felder im Formular an, mit denen Du Dir Einwilligungen und Einverständniserklärungen einholen kannst, ob für Bildrechte oder den Umgang in einem medizinischen Notfall. Solltest Du Anmeldungen wieder stornieren, werden die Daten direkt wieder DSGVO-konform entfernt. Alles digital, ganz ohne Unterschrift auf Papier. Das spart Dir Verwaltungsaufwand und wertvolle Zeit.
FAQs
Was genau besagt die DSGVO?
Jeder Mensch darf selbst bestimmen, wem er welche Daten preisgibt. Die DSGVO besagt, dass nur die personenbezogenen Daten abgefragt und gespeichert werden dürfen, die unbedingt notwendig sind. Diese dürfen dann auch nur so lange gespeichert werden, wie sie gebraucht werden. Danach werden sie wieder gelöscht. Vor Veröffentlichungen von Bildern oder Videos muss immer die Einwilligung der betroffenen Person eingeholt werden.
Wie kann Datenschutz konkret im Verein umgesetzt werden?
Weist direkt in den Teilnahmebedingungen und den Anmeldungen zu Ausflügen und Jugendfreizeiten darauf hin, wie lange ihr die Daten der Teilnehmer speichert und wann sie wieder gelöscht werden. Wenn ihr Fotos und Aufnahmen von Personen veröffentlichen wollt, holt euch vorher die Einverständniserklärungen ein und nennt konkret, für was ihr das Material verwendet.
Wie kannst Du zum Datenschutz beitragen?
Achtet darauf, dass ihr Teilnehmerlisten mit Namen und Adressen nicht offen herumliegen lässt. Sichert Vereinslaptops immer mit Passwörtern. Bei Rundmails müsst ihr Personen, die nicht in ständigem Kontakt mit euch sind, immer in BCC setzen. Sorgt dafür, dass Anmeldeformulare immer aktuell sind und keine unnötigen Daten abgefragt werden. Vernichtet Daten im Aktenvernichter, nicht im Papierkorb.
Brauchen wir im Verein einen Datenschutzbeauftragten?
Während öffentliche Stellen und große Unternehmen immer einen Datenschutzbeauftragten ernennen und einstellen müssen, brauchen Vereine nur dann einen, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben. Sonst sind sie, laut Artikel 38, dazu nicht verpflichtet.
Was ist bei Datenschutzpannen zu tun?
Bemerkt ihr eine Verletzung des Datenschutzes, müsst ihr den Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden. Allerdings nur, wenn der Verlust ein weiteres Risiko darstellt. Dann müssen auch die betroffenen Personen darüber in Kenntnis gesetzt werden. Sonst seid ihr dazu nicht verpflichtet.
Newsletter abonnieren und informiert bleiben
Kein Spam, versprochen! Du erhältst 1-2 Mal im Monat Ideen und Anleitungen für deine Jugendarbeit per Mail.
