https://rotary.de/gesellschaft/mitgliederdaten-ein-sensibles-gut-a-7219.html
Datenschutz bei Rotary

» Mitgliederdaten – ein sensibles Gut «

Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Dahinter steht ein Recht, das den Einzelnen vor Missbrauch schützen soll. Das gilt nicht nur gegenüber Behörden und Unternehmen, sondern zum Beispiel auch bei Rotary

Matthias Schütt16.04.2015

Datenschutz steht für die Idee, dass jeder Mensch grundsätzlich selbst entscheiden kann, wem wann welche seiner persönlichen Daten zugänglich sein sollen. Dahinter steht ein Recht, das den Einzelnen vor Missbrauch schützen soll. Das gilt nicht nur gegenüber Behörden und Unternehmen, sondern zum Beispiel auch bei Rotary.

Thema diverser Konferenzen
Lange Zeit wurde die Frage ignoriert, doch nun kann ihr Rotary nicht mehr ausweichen: Wie halten wir‘s mit dem Datenschutz? Während spontane Reaktionen im Sinne eines „gesunden rotarischen Menschenverstands“ ungläubig fragen: Wieso Datenschutz, wir sind doch ein privates Netzwerk, haben rotarische Experten das Problem erkannt und mit der Aufarbeitung begonnen. Auf den Halbjahreskonferenzen einzelner Distrikte tauchte das Thema erstmals auf der Tagesordnung auf. Die in mehreren Distrikten bereits berufenen Datenschutzbeauftragten trafen sich dann Anfang März, um einen Ausschuss einzurichten und Verfahren zum Schutz der persönlichen Daten aller Mitglieder auf den Weg zu bringen. Ganz aktuell in diesen Tagen steht das Thema beim Innovationsausschuss des Deutschen Governorrates auf der Tagesordnung, der die Empfehlungen dieses Arbeitskreises in eine einheitliche, verbindliche Richtlinie gießen soll. Auch in Österreich ist Datenschutz im April Thema beim Governorrat der Distrikte 1910 und 1920.

Warum das Thema gerade jetzt auftaucht, erklärt sich aus einer nachdrücklichen Warnung aus einer Staatsanwaltschaft, dass über die bisherige Behandlung der Daten nach Gutdünken von Club- und Distriktverantwortlichen nicht länger hinweggesehen werden könne, Rotary also tunlichst aktiv werden müsse. Schon ein Blick in den Paragraph 1 des Bundesdatenschutzgesetzes (BDSG) macht deutlich, dass jede Organisation unabhängig von ihrer Rechtsform diesem Gesetz unterliegt, solange Daten nicht „ausschließlich für persönliche oder familiäre Tätigkeiten“ verarbeitet werden. Der ungeklärte rechtliche Status von Serviceclubs mag manches Mitglied zu einem doppelten Irrtum verleiten: Zum einen (siehe oben) sei man ja ein privates Netzwerk, das den Staat nichts angehe, zum anderen behindere Datenschutz die Wirksamkeit dieses Netzwerks, die ja gerade auf dem ungehinderten Zugang zu anderen Mitgliedern beruhe.
 
Bewußtsein schaffen
Beide Irrtümer lassen sich leicht aufklären: Rotary ist zwar ein privates Netzwerk, aber das hebelt weder Gesetze noch das höchstrichterlich definierte „Grundrecht auf informationelle Selbstbestimmung“ aus, das auch für Rotarier und auch bei Rotary gilt. Außerdem stellt Datenschutz die Arbeitsfähigkeit des Netzwerks Rotary keineswegs infrage, wie die zur Vorsitzenden des Ausschusses der Distriktbeauftragten gewählte Past-Gov. Wilma Heim (RC Gladbeck-Kirchhellen) betont: „Die Tätigkeit der Clubs wird durch solche Regelungen nicht eingeschränkt. Es geht vielmehr darum, erstens ein Bewusstsein dafür zu schaffen, was man mit Daten der Mitglieder nicht machen darf, und zweitens ein Konzept zu entwickeln, wie die rechtskonforme Behandlung der Daten sichergestellt werden kann.“

Auf Clubebene mag mancher da kein Problem erkennen, aber schon wenn es darum geht, Mitglieder für rotarische Fellowships oder Action Groups zu werben, ist der Datenschutz tangiert. So ist es solchen Rotary-Organisationen keineswegs gestattet, Mitgliederdaten abzufragen oder selbst zu erheben. Clubs dürfen ihrerseits solche Daten nicht ohne weiteres herausgeben, auch nicht – anderer Fall – wenn ein Unternehmen die Einladung der Mitglieder für eine gemeinsame Veranstaltung übernehmen will. Deshalb werden zukünftig Clubs und Distrikte sowie alle mit Mitgliederdaten befassten Rotary-internen und -externen Stellen um ein Minimum an Bürokratie nicht herumkommen.
 
Informieren und verpflichten
Grundsätzlich gilt: Der Club ist Eigentümer der Daten seiner Mitglieder. Er muss den Mitgliedern erläutern, wie und was mit ihren Daten geschieht, und er muss jedem Mitglied einräumen zu entscheiden, welche seiner Daten gespeichert werden dürfen. Da immer im Frühjahr ein Korrekturbogen für das folgende Mitgliederverzeichnis im Club vorgelegt werden sollte, gibt es einen idealen Zeitpunkt für diese Überprüfung. Darüber hinaus sind alle Clubamtsträger mit entsprechendem Zugriff – Präsident, Sekretär, Internet-Beauftragter, ggf. Clubmeister – zu belehren und auf die Einhaltung der organisatorischen Sicherungsmaßnahmen zu verpflichten. Information der Mitglieder sowie Belehrung der Amtsträger und externer Mitarbeiter (etwa in einem Clubsekretariat) muss der Club in eigener Regie leisten. Zu konkreten Fragen, die besser im Club als von jedem Mitglied einzeln zu klären wären, gehört zum Beispiel die sichere Entsorgung alter Mitgliederverzeichnisse.  

Auf Distriktebene gelten ähnliche Regeln, wobei hier ein Datenschutzbeauftragter hinzukommt. Diese Position muss laut BDSG eingerichtet werden, wenn mehr als neun Personen Zugriff auf Mitgliederdaten haben. Hauptaufgabe des Distriktbeauftragten wird es sein, als Ansprechpartner der Clubs bei eventuellen Verletzungen von Datenschutzbestimmungen und bei Sicherheitsproblemen zu fungieren, jährlich beim PETS die neuen Präsidenten sowie neue Distriktbeiratsmitglieder über die Regelungen zu informieren und entsprechende Verpflichtungserklärungen einzuholen.

Komplizierter wird das Thema, wenn es um die Verarbeitung der Daten über das Clubverwaltungssystem RO.CAS, die Zusammenarbeit mit dem Verein Rotary Gemeindienst Deutschland e.V. (RDG) sowie um die Weiterleitung von Daten zu Rotary International in die USA geht.

"Verantwortlich" oder "beauftragt"?
Eigentümer der von der Fa. Henworx entwickelten und betreuten RO.CAS Software ist der Rotary Verlag, der mit den deutschen Distrikten Lizenzverträge abgeschlossen hat. Da Henworx auch weiterhin für die Pflege und Weiterentwicklung von RO.CAS zuständig ist, also als Dienstleister für den Eigentümer tätig ist, müssen strenge (strafbewehrte) Regelungen zur Vertragsgestaltung und Prüfung eingehalten werden.

Für Wilma Heim war es „eine nicht ganz einfache Aufgabe, Transparenz in die Informationsflüsse der Mitgliederdaten zu bringen und festzustellen, wer selbst verantwortlich ist und wer ‚nur‘ im Auftrag handelt.“ So erbringt Henworx die Supportleistungen für RO.CAS formal im Auftrag des Eigentümers von RO.CAS, des Verlags. Der Verlag selbst, obwohl Eigentümer der Programme, wird im Auftrag der Clubs bzw. Distrikte tätig. „Das heißt, der Verlag darf die rotarischen Mitgliederdaten nicht eigenständig nutzen“, betont Heim.

Trotz der komplexen Zusammenhänge müsse aber kein rotarisches Mitglied Angst um die Vertraulichkeit seiner persönlichen Daten haben, und kein Club und Distrikt muss sich Sorgen machen, dass das alles viel zu kompliziert ist und Bußgelder oder Strafen drohen. Heim: „Die notwendigen Verträge sind vereinbart und die Unternehmen sind bereits fast vollständig geprüft.“

Für die Erstellung des Mitgliederverzeichnisses und den Versand des Rotary Magazins ist damit klar, dass mit allen am Produktionsprozess Beteiligten (Rechenzentren-Betreiber, Software-Hersteller, Druckerei, Vertrieb) datenschutzkonforme Verträge notwendig sind und die Einhaltung der Bestimmungen kontrolliert werden müssen. Genaue Regelungen sind bereits mit dem RDG in Düsseldorf getroffen worden, der die Spenden der Clubs verwaltet und dazu in engem Austausch mit der Rotary Foundation in den USA steht.

Gerade diese Achse sorgt nicht nur bei Datenschützern für Stirnrunzeln, weil die USA aus europäischer Sicht – in der EU gilt eine gemeinsame Datenschutzrichtlinie – als „unsicheres Drittland“ eingestuft werden, was für die Datenverarbeitung hohe Hürden aufstellt. Past-Gov. Heim bestätigt, dass für die Zusammenarbeit mit Rotary International gesonderte Datenschutz-Vereinbarungen getroffen wurden und der Datentransfer zu RI in Evanston strengen Auflagen unterliegt.

Wie anstrengend die Zusammenarbeit mit Rotary in den USA sein kann, hat Henry Krasemann (RC Kiel-Düsternbrook), Referatsleiter im Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, vor einiger Zeit am Beispiel Rotaract durchexerzieren müssen. „Es war schon ziemlich mühselig, den Amerikanern verständlich zu machen, was das Prinzip der ‚Erforderlichkeit‘ in unserem Datenschutzgesetz bedeutet.“ Immerhin habe man einen Modus gefunden, der sowohl dem Informationsbedarf als auch dem Datenschutz gerecht wird.

Nicht nur innerhalb Deutschlands, sondern auch international ist Datenschutz ein schwieriges Terrain. Dennoch sind die Grundlagen für einen sicheren Umgang bei Rotary Deutschland bereits gelegt. „Wir sind auf einem guten Weg“, ist Wilma Heim überzeugt. „Das Wichtigste bleibt, dass alle Rotarier erkennen, dass die Arbeit mit unseren Daten sorgfältig geregelt werden muss.“

Ein ganz sensibles Thema ist der Umgang der Clubs mit dem Wochenbericht. Manche Sekretäre schreiben ausführlich über alle angesprochenen Themen, darunter durchaus auch persönliche Mitteilungen von Mitgliedern, und schicken diese Protokolle an einen Verteiler, der über die Clubmitglieder oft hinausgeht. Hier empfiehlt es sich den Bericht aufzuteilen in einen allgemeinen Bericht für Außenstehende und einen ausführlicheren für den internen Kreis. Dasselbe gilt für die Protokolle von Clubversammlungen. Unter Datenschutz fallen übrigens auch Fotos, die zum Beispiel den Wochenbericht illustrieren sollen. Hier muss – ebenso wie bei der Verwendung auf Club-Websites – die Erlaubnis der abgebildeten Personen eingeholt werden.

Eine weitere Unart, die Datenschützern auffällt, ist die Versendung von offenen Teilnehmerlisten etwa von Distriktveranstaltungen. Auch wenn man gerne vorher weiß, wer noch kommt –, es geht keinen etwas an. Dasselbe gilt beim Versand von E-Mails: Es ist nicht statthaft, bei Rundmails die E-Mail-Adressen aller Adressaten sichtbar zu machen. Stattdessen sollte der Absender sich selbst anschreiben und die Empfänger unter Blindkopie (bcc) aufführen. Im Text sollte dann allerdings der Empfängerkreis benannt werden.

Matthias Schütt

Matthias Schütt ist selbständiger Journalist und Lektor. Von 1994 bis 2008 war er Mitglied der Redaktion des Rotary Magazins, die letzten sieben Jahre als verantwortlicher Redakteur. Seither ist er rotarischer Korrespondent des Rotary Magazins und seit 2006 außerdem Distriktberichterstatter für den Distrikt 1940.