Datenschutz - Rotary Distrikt 1900

Distrikt 1900
Helmut Ludwigs
Datenschutz
Datenschutz bei Rotary
Rotary hat in Deutschland in über 1.000 Clubs mehr als 53.000 Mitglieder. Die Verwaltung eines
solch großen Mitgliederbestandes erfordert den Einsatz elektronischer Datenverarbeitungssysteme. Rotary besteht nicht nur aus dem einzelnen Club, es gibt darüber hinaus eine Reihe von
Instanzen, die zur Verwirklichung aller Teilaspekte des rotarischen Lebens spezielle Aufgaben
übernommen haben und sich ebenfalls der Unterstützung der Informationstechnik bedienen.
In diesem Rahmen kommt dem Schutz der Daten der Mitglieder eine besondere Bedeutung zu.
Der einzelne Club und seine Amtsträger, die die Daten des einzelnen Mitglieds erheben, haben
Pflichten nach dem Bundes-Datenschutzgesetz (BDSG). Dieser kurze Überblick soll darüber informieren, welche Maßnahmen von jedem Club konkret getroffen werden sollten.
Diese Information soll Ihnen den Umgang mit den Problemen des Datenschutzes erleichtern und
Sie selbst, Ihre Clubfreunde und Rotary insgesamt vor Schaden schützen. Es ist kein großer Aufwand zu treiben, und die Distriktbeauftragen für das Internet (DICOs) arbeiten in Zusammenarbeit mit den Datenschutzbeauftragten intensiv daran, die Aufgaben der Amtsträger im Club auch
in dieser Hinsicht noch weiter zu vereinfachen.
Zunächst gebietet es die rotarische Fairness, aber auch das BDSG, dass die Mitglieder über
die Speicherung und Verarbeitung der Daten klar informiert werden. Der Inhalt der hier vorliegenden Information sollte allen Rotariern zugänglich sein, deshalb ist er auf den Distriktseiten im
Internet unter www.rotary1900.de abgelegt und dauerhaft einsehbar. Bitte geben Sie diesen
Hinweis an Ihre Clubfreunde und besonders auch an neue Mitglieder weiter.
Zum zweiten fordert das BDSG in §5, dass alle Personen, denen Zugang zu den elektronisch gespeicherten Daten gewährt wird auf das Datengeheimnis verpflichtet werden. Zu diesem Personenkreis gehören alle, die ein Passwort für RO.CAS haben oder bekommen.
Diese Verpflichtung muss durchgeführt werden, indem den betreffenden Personen der hier vorliegende Text zugänglich gemacht wird und diese Tatsache auf dem Formular „Verpflichtungser-‐
klärung“ im Anhang durch Unterschrift vom Verpflichteten quittiert wird. Der Distrikt arbeitet
zusammen mit den DICOs anderer Distrikte daran, diese Quittung in Zukunft automatisch einzuholen und dauerhaft zu speichern. In der Zwischenzeit raten wir jedoch zur Papierform. Siehe
dazu auch den Abschnitt „Verpflichtung auf das Datengeheimnis“ weiter unten.
Drittens können Verstöße durch Bußgelder geahndet werden und es besteht auch die Möglichkeit von Schadensersatzforderungen. Diese können in der Regel abgewendet werden, wenn
ordentlich dokumentiert ist, dass im Rahmen des technisch Sinnvollen korrekt gehandelt wurde.
Diese Dokumentation umfasst auch die Verpflichtungserklärungen für RO.CAS Benutzer. Wie
schon erwähnt, arbeiten wir daran, diese Langzeit-Archivierung mit elektronischen Mitteln zu
erleichtern und zu automatisieren. In der Zwischenzeit raten wir jedoch zu sicher Aufbewahrung
in Papierform.
Helmut Ludwigs I Distrikt 1900 I Datenschutz
www.rotary1900.de I e-mail [email protected]
Distrikt 1900
Helmut Ludwigs
Datenschutz
Wem gehören die Daten? Wer nutzt sie? Der Club ist der Eigentümer der Daten seiner Mitglieder. Der den Club nach außen vertretende Präsident (bzw. Governor im Falle
eines Distrikts) ist für die Umsetzung des Datenschutzes verantwortlich. Aufgrund der geringen
Größe eines Rotary Clubs ist ein Datenschutzbeauftragter nicht erforderlich, anders ist es im Distrikt.
Die deutschen Rotary Clubs und Distrikte nutzen zur Verwaltung ihrer Mitgliederdaten das Softwaresystem RO.CAS. Die Rechte am Programmcode von RO.CAS liegen bei der Rotary Verlag
GmbH, Hamburg. Der Verlag hat Verträge über die Nutzung von RO.CAS durch die deutschen
Rotary Clubs mit den einzelnen Distrikten abgeschlossen. In jedem Distrikt gibt es einen Distriktbeauftragten für das Internet (DICO) und einen vom Governor ernannten Datenschutzbeauftragten (DDSB).
Die Weiterentwicklung und der Betrieb von RO.CAS werden zwischen den DICOs, dem Verlag
und der Firma Henworx abgestimmt, die RO.CAS programmiert und technisch betreut.
An den Rotary Deutschland Gemeindienst e.V. [RDG], Düsseldorf, wird ein Teil der Daten aus
RO.CAS weitergegeben. Der RDG ist für die Verwaltung der Spendenmittel an TRF, PolioPlus und
in vielen Clubs auch für die lokal eingesetzten Spenden zuständig. Alle deutschen Rotarier sind
automatisch persönliche Mitglieder im RDG. Der RDG setzt ein eigenes Spendenverwaltungssystem ein. Die Aufgabe des RDG für die lokale Verwaltung der international einzusetzenden Spendengelder ist bei Rotary weltweit einmalig und wird durch das deutsche Steuerrecht erzwungen.
Der Rotary Verlag GmbH nutzt die in RO.CAS erfassten Daten für die Abonnentenverwaltung der
Zeitschrift „Rotary Magazin“ und für die jährliche Erstellung des gedruckten Mitgliederverzeich-‐
nisses. Welche Informationen genau in diesem Mitgliederverzeichnis veröffentlicht werden,
kann für jedes Mitglied vom Clubsekretär in RO.CAS individuell eingestellt werden.
Rotary ist eine internationale, weltumspannende Organisation, und dementsprechend werden
die persönlichen Daten auch ins außereuropäische Ausland weitergegeben. Der Rotary Club ist
durch die Satzung von Rotary International verpflichtet, die Adressdaten aller seiner Mitglieder
(ggfs. über das Büro in Zürich) an Rotary International in Evanston, IL, USA, zu melden. Diese
Aufgabe übernimmt in der Regel der Sekretär (oder das Sekretariat) des Clubs, der die Daten in
dem Mitgliederverwaltungssystem in Rotary.org erfasst. Eine elektronische Verbindung zwischen RO.CAS und diesem System existiert zurzeit nicht, ist aber mittelfristig ins Auge gefasst.
Die Clubs geben aber auch Daten an andere Teilorganisationen von Rotary weiter, zum Beispiel
an die lokalen Fördervereine der Clubs. Ein anderes Beispiel ist der Jugenddienst, der in Erfüllung seiner Aufgaben Daten von Gasteltern und Austauschschülern international weitergeben
muss.
Helmut Ludwigs I Distrikt 1900 I Datenschutz
www.rotary1900.de I e-mail
Distrikt 1900
Helmut Ludwigs
Datenschutz
Worauf sollte geachtet werden? Personen, die Zugriff auf Rotary interne Daten
haben, sind auf das Datengeheimnis (§ 5 BDSG) und die Einhaltung organisatorischer Sicherungsmaßnahmen zu verpflichten.
Das gilt insbesondere für den Internet-Beauftragten des Clubs (CICO) wie für DICO, Präsident wie
Governor, Sekretär wie Executive Secretary im externen Büro, für Schatzmeister und generell für
alle Mitglieder des Distrikt-Beirats, die rotarische Personendaten nutzen. Sofern noch weitere
Personen Zugriff auf RO.CAS haben, gelten diese Regelungen auch für sie.
Datenweitergabe Es ist sowohl den Clubs als auch den Distrikten nach BDSG nicht gestattet, Listen ihrer Mitglieder ohne die ausdrückliche Zustimmung jedes Mitglieds an andere
Stellen weiterzugeben. Das gilt auch für Mailadressen z.B. zum Zweck der Einladung zu Veranstaltungen oder Rundschreiben.
E-Mails können leicht von Unbefugten mitgelesen werden. Deshalb sind folgende Regelungen zu beachten:
•
•
•
•
•
Protokolle und nach Möglichkeit auch alle anderen Mail vom Club an die Mitglieder werden grundsätzlich über RO.CAS verschickt.
Der Versand von E-Mails mit personenbezogenen Informationen soll vermeiden werden.
Das gilt auch für die Anlagen.
Bei mehreren Empfängern: eigene Adresse in das „AN“-Feld, alle anderen in „BCC“, im Text aber die Gruppe der Absender nennen. BCC steht für „Blind Copy“ und führt dazu, dass jede Mail nur einen einzelnen Adressaten enthält.
E-Mails mit vertraulichen Inhalten sollten verschlüsselt verschickt werden.
Seien Sie vorsichtig beim Öffnen von Anlagen an Mails. Wenn Sie den Absender nicht zuverlässig identifizieren können, öffnen sie die Anlagen nicht.
Systemsicherheit Wird beim Internetzugang das WLAN genutzt, ist sicherzustellen, dass
dieses mindestens mit der Verschlüsselung WPA2 gesichert ist. Zum Schutz vor bösartiger Software muss ein aktueller Virenscanner installiert und dauerhaft aktiviert sein. Auch die Scannersoftware selbst muss ständig aktualisiert werden, um auch neue Bedrohungen abzufangen.
Gleiches gilt für Betriebssystem und Anwendungssoftware: Sie müssen regelmäßig und automatisch vom Hersteller (in den meisten Fällen ist das Microsoft) aktualisiert werden, um wirksam
gegen Bedrohungen geschützt zu sein. Der sogenannte Extended Support ist für Windows XP,
Office XP und alle Vorgängerversionen abgelaufen, Systeme mit diesen Softwarekomponenten
sind als unsicher zu betrachten. Der Support für Windows Vista wird Anfang 2017 und Windows
7 im Jahre 2020 enden.
Helmut Ludwigs I Distrikt 1900 I Datenschutz
www.rotary1900.de I e-mail
Distrikt 1900
Helmut Ludwigs
Datenschutz
Der Zugang zu den Hardwarekomponenten muss ebenfalls physikalisch ausreichend geschützt
sein. Ein Systempasswort kann überwunden werden, wenn die Bedienelemente des Computers
selbst direkt zugänglich sind.
Zugang und Passwörter dürfen nicht an Dritte weitergegeben werden oder auf anderen Systemen genutzt werden. Bei Arbeitsunterbrechungen muss der Computer durch einen
Bildschirmschoner mit Passwortschutz für Dritte unzugänglich sein, Papier-Unterlagen müssen
weggesperrt werden.
Bei der Entsorgung von nicht mehr benötigten Unterlagen und Datenträgern muss dafür Sorge
getragen werden, dass sie fachgerecht entsorgt werden, z. B. durch Einsatz eines Schredders.
Datenspeicherung
Das Abspeichern von Daten ist nur auf Servern und Computern des Clubs bzw. im System
RO.CAS gestattet.
Das Abspeichern von Daten auf FTP- oder Cloud-Diensten (z.B. dropbox) ist nur verschlüsselt
(sftp) zulässig. RO.CAS arbeitet grundsätzlich nur mit dieser Verschlüsselung. Das Speichern von
personenbezogenen Daten auf externen Datenträgern (USB-Stick etc.) ist zu vermeiden bzw.
sollte ebenfalls nur verschlüsselt erfolgen.
Wenn etwas schief gegangen ist...
Ist zu vermuten, dass gravierende Sicherheitsprobleme bestehen, so dass die Sicherheit des
Computers oder der Daten durch fremde Einwirkung gefährdet ist, muss der Datenschutzbeauftragte des Distrikts benachrichtigt werden.
Wer ist Ansprechpartner bei Anfragen?
Ansprechpartner zur Auskunft über die gespeicherten Daten und für Anfragen über die Art und
Weise der Verarbeitung personenbezogener Daten ist wahlweise der DICO oder Datenschutzbeauftragte des Distrikts. Beide können über das Sekretariat des Distrikts erreicht werden. Alle
Kontaktadressen finden Sie im Rotary-Mitgliederverzeichnis.
Helmut Ludwigs I Distrikt 1900 I Datenschutz
www.rotary1900.de I e-mail
Distrikt 1900
Helmut Ludwigs
Datenschutz
Anhang 1: Formular „Benutzerzugang zu RO.CAS“
Für den Rotary Club ____________________________________________ Distrikt_________
Zugangsberechtigter____________________________________________________________
Benutzerkennung ______________________________________________________________
Eingerichtet und verpflichtet durch_________________________________________________
Aufgrund Ihres Zugangs als zu Personendaten Ihres Clubs unter RO.CAS sind Sie auf die Wahrung
des Datengeheimnisses nach § 5 BDSG verpflichtet. Es ist Ihnen nach dieser Vorschrift untersagt,
unbefugt personenbezogene Daten zu erheben, zu verarbeiten oder zu nutzen. Diese Verpflichtung besteht auch nach Beendigung Ihrer (auch ehrenamtlichen) Tätigkeit fort. Verstöße gegen
das Datengeheimnis können nach §§ 44, 43 Absatz 2 BDSG sowie nach anderen Strafvorschriften
mit Freiheits- oder Geldstrafe geahndet werden. In der Verletzung des Datengeheimnisses kann
zugleich eine Verletzung arbeits- oder dienstrechtlicher Schweigepflichten liegen.
Eine unterschriebene Zweitschrift dieses Schreibens reichen Sie bitte an den Präsidenten Ihres
Clubs, sie wird im Club aufbewahrt. Amtsträger des Distrikts geben Sie bitte an das Sekretariat
des Distrikts.
____________________________
Ort, Datum
______________________________________________
Unterschrift des Präsidenten oder Internet-Beauftragten
______________________________________________________________________________
Empfangsbestätigung
Über die Verpflichtung auf das Datengeheimnis und die sich daraus ergebenden Verhaltensweisen wurde ich unterrichtet. Die Anleitung „Datenschutz bei Rotary“ habe ich erhalten und zur Kenntnis genommen (einsehbar auch auf www.rotary1900.de).
____________________________
Ort, Datum
______________________________________________
Unterschrift des verpflichteten RO.CAS-Benutzers
Helmut Ludwigs I Distrikt 1900 I Datenschutz
www.rotary1900.de I e-mail
Distrikt 1900
Helmut Ludwigs
Datenschutz
Anhang 2: Auszug BDSG
§ 5 Datengeheimnis:
Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten
unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf
das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer
Tätigkeit fort.
§ 7 Schadensersatz:
Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung
oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem
Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
§ 43 Bußgeldvorschriften:
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder
verarbeitet,
2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
3. unbefugt personenbezogene Daten ... verschafft, ... die Daten für andere Zwecke
nutzt,....
Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend
Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet
werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.
Helmut Ludwigs I Distrikt 1900 I Datenschutz
www.rotary1900.de I e-mail

Download Report