Regel 1: Wählen Sie eine sichere Software zur Datenverwaltung
Excel war gestern – die digitale Mitgliederverwaltung kann mehr als Adressen und Telefonnummern auflisten. Moderne Software hilft bei der Verwaltung von Mitgliedsdaten und Beitragszahlungen, der Planung von Veranstaltungen, beinhaltet Vorlagen für den Zahlungsverkehr und die Korrespondenz und kann sogar statistische Auswertungen liefern.
Diese Programme für die Verwaltung können entweder als internet-basierter Dienst oder als auf dem Gerät installierte Software genutzt werden. Um den richtigen Anbieter zu finden, gilt es nicht nur, die wichtigsten Funktionen zu prüfen, sondern auch, ob die Software oder der Dienst sicher mit den Daten umgeht:
- Wie werden eingegebene Daten von der Software oder dem Dienst gegen Diebstahl und Missbrauch gesichert?
- Wird eine verschlüsselte Datenübertragung ermöglicht?
- Welche Möglichkeiten bieten Software oder Dienst für die sichere Verwaltung von Zahlungen und Kassenbuchführung?
- Entsprechen die Sicherungsmaßnahmen unserem Datenschutzstandard und dem Bundesdatenschutzgesetz (BDSG)?
Lesen Sie sorgfältig die AGB des Anbieters, um diese Fragen zu beantworten. Ergänzend können Sie den Anbieter dazu auch direkt befragen.
Regel 2: Beachten Sie bei der digitalen Mitgliederverwaltung die unterschiedlichen Anforderungen des Bundesdatenschutz-gesetzes!
Sie können Ihre Datenverwaltung entweder mit einer installierten Software oder mit Hilfe von online-basierten Plattformen vornehmen. Bei der Online-Variante gelten aber andere Anforderungen an die Datensicherheit nach dem Bundesdatenschutzgesetz, weil Sie bei der Online-Variante die Daten auch in die Hände des Anbieters geben. Ein Überblick:
Software:
Bei einer Verarbeitung und Nutzung von Mitgliederdaten via Software, die auf PC oder Laptop installiert wird, muss der Datenschutz gemäß § 9 BDSG eingehalten werden.
- Zutrittskontrolle: Sichern Sie die Räume, in denen die Geräte mit der Verwaltungs-Software stehen oder aufbewahrt werden.
- Zugangskontrolle: Erstellen Sie sichere Passwörter und stellen Sie sicher, dass nur zugangsberechtigte Personen diese kennen.
- Zugriffskontrolle: Bestimmen Sie Zugriffsrechte innerhalb der Software, so dass Mitarbeiter*innen nur Zugang zu den Teilen der Software und Daten haben, für die sie die Befugnis haben. Diese Daten können dann nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.
- Weitergabekontrolle: Stellen Sie sicher, dass Daten aus der Software nicht von Unbefugten gelesen oder weitergegeben werden können. Hierbei kann die Ende-zu-Ende-Verschlüsselung für die E-Mail-Kommunikation helfen. Zusätzlich sollten Sie die Daten oder das gesamte Betriebssystem verschlüsseln.
- Eingabekontrolle: Protokollieren Sie, wer wann welche Daten eingegeben, verändert oder gelöscht hat.
- Auftragskontrolle: Dies gilt nur bei der Weitergabe von Daten an externe Personen – Sie müssen dann gewährleisten, dass personenbezogene Daten nur entsprechend Ihren Weisungen verarbeitet werden.
- Verfügbarkeitskontrolle: Sichern Sie die Daten gegen Zerstörung und Verlust. Führen Sie hierzu eine regelmäßige Datensicherung durch.
Online-Plattform:
Erheben, speichern und verarbeiten Sie die Daten online und nicht mit installierter Software, geschieht dies juristisch nicht mehr durch Ihre Gemeinde oder Organisation, sondern durch eine andere Instanz, die Sie dazu beauftragen. Die Vorteile einer solchen Cloud-Lösung liegen auf der Hand:
- Freiheit: Man kann von jedem Rechner mit Online-Zugang für die Organisation arbeiten.
- Teamwork: Verschiedene berechtigte Personen können den einheitlichen Datenbestand gemeinsam pflegen.
- Effizienzsteigerung: Die zentrale Verwaltung wird einfacher und schlanker, wenn mehrere Personen nach dem Cloud-Prinzip von überall zugreifen können.
- Updates: Es können automatisch die neusten Versionen genutzt werden und man muss sich nicht um Updates kümmern.
Bei einer Verarbeitung von Mitgliedsdaten online ist jedoch wichtig, dass die Gemeinde die alleinige Hoheit über die Daten behält. Beachten Sie dazu den § 11 des Bundesdatenschutzgesetzes zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten. Das Büro des Beauftragten für den Datenschutz der EKD oder die Datenschutzbeauftragten in Ihrer Landeskirche können Ihnen zusätzlich spezifische Fragen zum kirchlichen Datenschutz beantworten.
Regel 3: Bestimmen Sie eine*n Datenschutzbeauftragte*n
Jede Organisation ist verpflichtet, personenbezogene Daten zu schützen. Ein*e Datenschutzbeauftragte*r ist Pflicht, wenn mehr als neun Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind (§ 4f BSDG). Ehrenamtlich Tätige werden bei der Neun-Personen-Grenze nicht berücksichtigt. Datenschutzbeauftragte müssen nicht Mitglied der Gemeinde oder Organisation sein.
Regel 4: Achten Sie auf Passwortschutz!
Ein sicheres Passwort kann auch von modernen Angriffsprogrammen nicht so leicht geknackt werden. Das Passwort sollte deshalb folgende Eigenschaften haben:
- Es sollte aus mindestens acht Zeichen bestehen.
- Im Passwort sollten Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen vorkommen.
- Es sollte keinen Zusammenhang mit der Person haben, die es sich ausgedacht hat oder benutzt – im besten Fall sollte das Passwort generell keinen erkennbaren Sinn machen.
- Es sollte nicht im Gerät gespeichert oder leicht auffindbar aufgeschrieben sein.
Die Sicherheit eines Passworts hängt vor allem an der Länge. Ein hilfreiches Werkzeug für sichere Passwörter ist die DiNa-Passwort-Karte.
Regel 5: Verschlüsseln Sie Ihre Kommunikation!
Beim Online-Banking für die Gemeinde sowie bei der Nutzung von Cloud-Diensten für die Verwaltung oder Erhebung von personenbezogenen Daten sollten Sie stets darauf achten, dass diese nur verschlüsselt übertragen werden. Eine verschlüsselte Verbindung ist erkennbar an der https://-Einleitung einer Webseitenadresse. Einige Browser zeigen zusätzlich ein Schloss-Symbol für eine verschlüsselte und damit sichere Verbindung an.
Mit E-Mails können Sie zahlreiche Daten in der digitalen Verwaltung zur gemeinsamen Bearbeitung auch versenden – doch Mitgliedsdaten sind sensible Daten. Verschlüsselte Kommunikation kann vor Diebstahl schützen. Denn bei der E-Mail- und Messenger-Verschlüsselung wird nicht nur garantiert, dass Absender*innen wirklich Urheber*innen der Inhalte sind, sondern auch, dass die Inhalte nicht zwischendurch verändert wurden. Verschlüsselte Kommunikation gibt Ihnen und Ihren Kommunikationspartner*innen also die Sicherheit, dass diese nicht von Dritten mitgelesen oder verändert wurden.
Die sogenannte "Ende-zu-Ende-Verschlüsselung" gilt hierbei als das sicherste Verfahren: Die Daten werden auf Senderseite ver- und erst bei Empfang wieder entschlüsselt. Dazu benötigen Sender*innen und Empfänger*innen entsprechende Verschlüsselungssoftware oder den gleichen verschlüsselnden Messenger-Dienst. Wie das geht, lesen Sie hier!
Regel 6: Gehen Sie besonders sicher mit personenbezogenen Daten um!
Grundsätzlich gilt: Alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, fallen unter den Begriff der personenbezogenen Daten. Klar zuzuordnen sind: Name, Telefonnummer, E-Mail-Adresse, Kreditkartennummern, Personalnummern, Kontodaten, Kfz-Kennzeichen, Kundennummer, Anschrift, IP-Adressen und noch einige mehr.
Die personenbezogenen Daten der Mitglieder, Mitarbeiter*innen und Helfer*innen Ihrer Gemeinde sind besonders schützenswert und unterliegen den Richtlinien des Datenschutzes. Sensible Dokumente und Daten sollten nicht unverschlüsselt über digitale Kanäle versendet werden.
Regel 7: Geben Sie eine Datenschutzerklärung ab
Wenn personenbezogene Daten auf der Webseite einer Organisation erhoben oder verarbeitet werden, ist nach § 33 Abs. 1 BDSG eine Datenschutzerklärung genau wie das Impressum ein Pflichtelement auf der Homepage. Der Seitenbetreiber muss über folgendes informieren:
- welche Daten wurden gespeichert,
- warum wurden die Daten erhoben, verarbeitet oder genutzt (Zweckbestimmung),
- wer speichert die Daten (Identität der verantwortlichen Stelle) und
- an wen werden die Daten möglicherweise übermittelt.
Versenden Sie einmal im Jahr einen Datenbrief!
Mit dem Datenbrief können Gemeinden und Organisationen dem Auskunftsanspruch zuvorkommen und über Datenspeicherungen aktiv informieren. Damit soll Bürger*innen ermöglicht werden, einen Überblick darüber zu erhalten, wer Daten über sie verarbeitet und in welchem Umfang dies geschieht. Was steht drin? Die Inhalte eines Datenbriefs:
- Alle gespeicherten Daten des jeweiligen Mitglieds
- Informationen über die ggf. geplante Übermittlung der Daten an eine dritte Stelle
- Begründung der Weitergabe
- Auskunft, woher die Daten stammen und zu welchem Zweck sie aufbewahrt werden
- Informationen zum Widerspruch oder zur Korrektur
Legen Sie dem Datenbrief am besten direkt ein Widerspruchs- sowie Korrekturformular bei. Mit Hilfe dieses Formulars erleichtern Sie den Empfänger*innen, der Speicherung der Daten zuzustimmen oder auch abzulehnen. Überlegen Sie sich im Vorfeld, mit welchen internen Prozessen Sie Daten löschen wollen. Nach § 35 des BDSG muss es in jeder Organisation ein sogenanntes Datenlöschkonzept geben, das festlegt, wann welche Daten der Mitglieder zu löschen sind.
Regel 8: Werten Sie Daten nur anonymisiert aus und informieren Sie Ihre Mitglieder darüber
Die Analyse von Mitgliedsdaten in einer Gemeinde oder Non-Profit-Organisation hilft Ihnen, die Organisation besser zu verstehen und somit auch die zukünftige Entwicklung besser zu planen. Zum Beispiel: Welche Aktionen oder Maßnahmen haben sich auf die Mitgliederentwicklung positiv ausgewirkt? Daten sind also nützlich – immer unter der Voraussetzung, dass möglichst wenige personenbezogene Daten gesammelt und genutzt werden und diese anonymisiert werden.
Regel 9: Setzen Sie bei der Zahlungsart für Spenden immer auf einen vertrauenswürdigen etablierten Anbieter
Für Gemeinden und gemeinnützige Organisationen bietet das Internet ein großes Potential nicht nur für die Kommunikation, sondern auch für das digitale Fundraising. Damit die Spender*innen den Aufrufen folgen und auch die digitalen Kanäle zum leichteren Spendensammeln erfolgreich genutzt werden können, gilt es hohe Sicherheitsmaßstäbe an die Datenerhebung und -verwaltung sowie an Zahlungssysteme anzulegen.
Zu den sichersten Zahlungsarten im Netz gehören:
- Überweisungen
- Lastschrift-Verfahren
- Kreditkarte
- Treuhand-Dienste
- e-Wallets
Mehr Informationen zu Zahlungsmöglichkeiten finden Sie auch im Arikel "Online einkaufen und bezahlen".
Regel 10: Binden Sie ein sicheres Spendenmodul ein!
Ob dauerhafter Button, Formular oder Kampagnen-Banner – wo Spender*innen im Netz Daten und Geld hinterlassen sollen, sind nicht nur die Nutzerfreundlichkeit, sondern vor allem Sicherheitsaspekte zu beachten. Folgende Liste kann Ihnen helfen, das richtige Modul auszuwählen:
- Zahlungssicherheit: Bieten Sie den Spender*innen möglichst viele verschiedene sichere Zahlungsmöglichkeiten, wie z.B. SEPA-Lastschrift, Überweisung, Kreditkarte oder Treuhand-Dienste als Option.
- Datenschutz: Weisen Sie die Interessierten auf die strengen Datenschutzrichtlinien Ihrer Gemeinde hin.
- Adressdaten: Das Formular sollte die Adressdaten vollständig erfassen, so dass eine Spendenbescheinigung verschickt werden kann. Beachten Sie dennoch den Grundsatz der Datensparsamkeit!
- Höhe der Spende: Bieten Sie den Interessierten verschieden hohe Spendensummen an, ermöglichen Sie aber auch die freie Eingabe eines Betrags.
- Einmal oder regelmäßig: Ermöglichen Sie es den Interessierten eine einmalige Spende abzugeben, aber auch ein dauerhaftes Engagement einzugehen.
Crowdfunding und mobile Spenden
Auch mit vielen kleinen Spenden können die nötigen Mittel für ein großes Projekt zusammenkommen. Mit dem sogenannten Crowdfunding ("Schwarmfinanzierung") lassen sich Projekte durch eine Vielzahl von Personen finanzieren. Bevor man sich für eine Zusammenarbeit mit einer Crowdfunding-Plattform entscheidet, müssen nicht nur die Bedingungen der AGB geprüft werden (z.B. wie viel Geld nimmt die Plattform für ihren Service), sondern auch datenschutzrechtliche Aspekte:
- Wie wird die Sicherheit des Zahlungsverkehrs gewährleistet?
- Wie werden die Spender*innendaten geschützt?
- Was passiert mit den Daten nach Abschluss des Projekts?
- Wer hat Zugriff auf die Daten und wie sind die Zugriffsrechte geregelt?
Lesen Sie deshalb immer die Datenschutzbestimmungen der Crowdfunding-Plattform sehr genau, bevor Sie eine Auswahlentscheidung treffen.
Online kann auch im Vorbeigehen mit dem Smartphone gespendet werden, beispielsweise als SMS-Spende, durch Scannen eines QR-Codes, der zu einem Spendenbutton führt, oder per NFC. Haben Sie besonders online affine Spender*innen, experimentieren Sie damit! Sind die Grundsätze der Datensparsamkeit und Datensicherheit durch die Anbieter erfüllt, können Sie damit zusätzliche Spenden gewinnen.
Checkliste: 5 Tipps für sichere digitale Verwaltung von Daten und Spenden
- Prüfen Sie die Datensicherheit bei Anbietern von Software oder Diensten zur Mitgliedsdatenverwaltung und berücksichtigen Sie die verschiedenen Vorgaben des BDSG für Software oder Dienste.
- Bestimmen Sie bei Bedarf eine*n Datenschutzbeauftragte*n, verschlüsseln Sie die Kommunikation von Daten und nutzen Sie sichere Passwörter.
- Erheben Sie so wenig personenbezogene Daten wie möglich, anonymisieren Sie diese und geben Sie eine Datenschutzerklärung ab; informieren Sie Ihre Mitglieder jährlich über die gespeicherten Daten per Datenbrief.
- Achten Sie bei der Wahl der Zahlungsart bei Spendensammlungen immer auf das Bereitstellen vertrauenswürdiger, etablierter und sicherer Zahlverfahren.
- Binden Sie ein sicheres Spendenmodul ein und prüfen Sie auch bei Crowdfunding- und SMS-Spenden die Datensparsamkeit und Datensicherheit der Anbieter.
Mehr Informationen zum Thema Datenschutz im Verein oder in der Gemeinde und über sicheres Fundraising bekommen Sie in unseren Selbstlernkursen und im Webinar "Daten und Spenden sicher digital verwalten".