Datenschutz
Datenschutz für neue Vorstände — die 10-Minuten-Tour
Wer neu im Vorstand ist und beim Wort „DSGVO" zunächst nervös wird: keine Sorge. Diese App nimmt einem die meiste Arbeit ab. Es ist nicht nötig, das Gesetz zu lernen — wichtig ist nur zu wissen, wo welcher Knopf liegt und wann er gedrückt wird.
Planen Sie für diese Tour etwa 10 Minuten ein und machen Sie sie am besten direkt im Browser parallel.
#Die fünf Datenschutz-Seiten — wo wohnt was?
Alle Datenschutz-Funktionen sind über die Sidebar erreichbar, im Bereich Datenschutz. Es gibt fünf zusammenhängende Seiten, die jeweils auch von jeder anderen aus oben rechts verlinkt sind:
| Seite | Wofür? | Wie oft besucht? |
|---|---|---|
Datenschutz-Anfragen (/betroffenenanfragen) |
Eingehende Anfragen von Mitgliedern verwalten | Bei jeder Anfrage; im Idealfall selten |
| DPO-Kontakt | Kontaktdaten des/der Datenschutzbeauftragten | Einmalig + bei Wechsel |
| Datenschutzerklärung | Öffentlicher Text auf der Vereins-Subdomain | Einmalig + bei Vereins-Änderungen |
| Verarbeitungsverzeichnis (VVT) | Pflicht-Dokument für die Aufsichtsbehörde | Einmalig prüfen + nach jeder Feature-Aktivierung kurz drüberschauen |
| Aufbewahrung | Automatische Anonymisierung nach Fristablauf | Einmalig einrichten + jährlich Trockenlauf prüfen |
Tipp: oben rechts auf jeder dieser Seiten sehen Sie eine Reihe von Schnell-Buttons zu den jeweils anderen vier — die App hält den ganzen Cluster zusammen.
#Die ersten drei Schritte (Reihenfolge wichtig)
#1. DPO-Kontakt prüfen
Gehen Sie auf Datenschutz → DPO-Kontakt. Tragen Sie dort die Person ein, die im Verein als Datenschutz-Ansprechpartner gilt — das muss kein offizieller „Datenschutzbeauftragter" im Sinne des Gesetzes sein. Viele kleine Vereine sind nicht zur formellen Bestellung verpflichtet (Art. 37 DSGVO).
Wenn kein DPO benannt ist: Feld leer lassen. Dann gilt der Vorstand selbst als Ansprechpartner und Mails landen bei der allgemeinen Vereinsadresse.
#2. Datenschutzerklärung anschauen und ggf. anpassen
Gehen Sie auf Datenschutz → Datenschutzerklärung. Die App liefert eine sinnvolle Standard-Vorlage. Lesen Sie sie einmal ganz durch — meist sind nur ein paar verein-spezifische Stellen anzupassen (Adresse, DPO-Kontakt, eventuell zusätzliche Verarbeitungen wie eine Vereins-Website mit Fotos).
Wenn Sie Änderungen vornehmen: „Veröffentlichen" klicken. Erst dann sehen Mitglieder die neue Fassung.
#3. Trockenlauf der Aufbewahrungs-Automatik
Gehen Sie auf Datenschutz → Aufbewahrung. Klicken Sie oben rechts auf „Trockenlauf ausführen". Sie sehen, was die nächtliche Anonymisierungs-Automatik anfassen würde — ohne dass etwas tatsächlich passiert.
Falls überraschend viele Mitglieder anonymisiert werden sollen (z. B. 30 ausgetretene): gut, dass es jetzt sichtbar wird. Bevor Sie die Automatik aktivieren, mit dem alten Vorstand oder DSB klären, ob die Voreinstellungen passen. Siehe Aufbewahrungsfristen.
#Was passiert, wenn ein Mitglied eine Anfrage stellt?
Der häufigste Fall: ein Mitglied klickt im Mitgliederportal auf „Datenkopie anfordern". Was dann passiert:
- Die App legt automatisch ein Datenschutz-Anfrage-Ticket vom Typ „Auskunft" an.
- Ein Hintergrundjob baut eine ZIP-Datei mit allen Daten dieses Mitglieds (JSON für maschinelle Weiterverarbeitung + PDF für den Menschen).
- Sobald die ZIP fertig ist, wird sie an das Ticket geheftet, der Status springt auf Erfüllt, und das Ticket erscheint auf
/betroffenenanfragenin der Liste. - Das Mitglied bekommt eine E-Mail mit dem Download-Link (befristet auf maximal 14 Tage Gültigkeit).
Der Vorstand muss nichts tun — nur prüfen, dass alles geklappt hat.
Komplizierter wird es, wenn die Anfrage per E-Mail oder schriftlich kommt. Dann:
- Auf
/betroffenenanfragen→ „Anfrage anlegen" klicken. - Typ wählen (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch).
- Mitglied oder externe Person zuordnen, Eingangsdatum eintragen.
- Anhand des Hinweis-Banners im Flyout sehen Sie, was zu tun ist.
- Bearbeiten → Status auf „Erfüllt" oder „Abgelehnt" setzen, Notizen festhalten.
Detaillierte Schritt-für-Schritt-Anleitung pro Typ: Entscheidungsbaum.
#Was die App automatisch macht — und was nicht
| Macht die App automatisch | Aufgabe des Vorstands |
|---|---|
| Erinnert 7/3/0 Tage vor Fristablauf im Bell-Widget | Auf die Erinnerung reagieren |
| Erzeugt Datenkopien als ZIP | Identität des Anfragenden prüfen |
| Anonymisiert nächtlich nach Fristablauf | Vorab Trockenlauf prüfen, Fristen abnehmen |
| Generiert das VVT aus aktivierten Funktionen | Prüfen, ggf. ergänzen, einmal jährlich exportieren |
| Versendet Ablehnungs-Mails mit Begründung | Begründung schreiben |
| Schreibt jeden Vorgang ins Audit-Log | Notizen ergänzen, wenn sinnvoll |
| Schlägt eine Standard-Datenschutzerklärung vor | Texte freigeben, jährlich gegenlesen |
#Wenn etwas passiert: Datenpanne
Falls der Verdacht besteht, dass personenbezogene Daten unbeabsichtigt offengelegt wurden (versehentlich verschickte E-Mail mit Mitgliedsliste, gehackter Vorstandsrechner, …), gibt es eine 72-Stunden-Frist (Art. 33 DSGVO). Schauen Sie in das Datenpannen-Runbook und folgen Sie den Schritten ruhig — die App stellt Werkzeuge zur Verfügung, um den Vorfall sauber zu dokumentieren.
#Weiterführende Themen — gruppiert nach Bedarf
Wenn eine Anfrage zu bearbeiten ist:
- DSGVO-Anfragen verwalten
- Entscheidungsbaum
- Datenkopie (Art. 15), Löschung (Art. 17), Einschränkung (Art. 18), Widerspruch (Art. 21)
Wenn die Datenschutzerklärung gepflegt wird:
Wenn die Aufbewahrung eingerichtet wird:
Wenn Sie verstehen möchten, wie sicher die App die Daten verarbeitet:
Wenn ein Fachbegriff unklar ist: