Datenschutz_3_Schlösser__pixabay_-_madartzgraphics_.png Foto: pixabay
FAQFAQ

Sie befinden sich hier:

  1. Support & Service
  2. Service
  3. Datenschutz
  4. FAQ

Datenschutz-FAQ

Sebastian Driemer

Dein Ansprechpartner für

Schulungen
Datenschutz
Öffentlichkeitsarbeit

Tel.: 0251/9739-600
Mail: support@drkserver.org

Datenschutz schreibt das Kompetenzzentrum drkserver groß. Dazu gehört auch, die Datenschutzthematik verständlich aufzubereiten. Das macht das Kompetenzzentrum drkserver an dieser Stelle.

  • Was ist das überhaupt - ein Datenschutzkonzept?

    Darunter ist eine Feingliederung einer Vielzahl von Einzelaspekten zu verstehen, wie z. B. Konzepte zur zu Rollen und Rechten und zur Zugriffsberechtigung. Zahlreiche Dokumente findest du auf dieser Seite oder im Datenschutz-Handbuch. Bevor die gemeinsame verantwortliche Stelle drkserver ins Leben gerufen wurde, erfolgte eine Vielzahl von Gesprächen mit Vertreter*innen einzelner Aufsichtsbehörden. Diese hatten keine Bedenken in Bezug auf das Konstrukt "gemeinsame verantwortliche Stelle", das mittlerweile "Gemeinsam für die Verarbeitung Verantwortliche" heißt.

  • Was macht ihr mit meinen Daten?

    Deine Daten - deine Potentiale - tragen dazu bei, dass das Komplexe Hilfeleistungssystem des DRK funktioniert. Der drkserver soll diese Ressourcen abbilden und schnell zur Verfügung stellen. Keine Bange: Nur weil gewisse Daten im drkserver stehen, heißt das noch lange nicht, dass jedes Mitglied diese Daten sehen und/oder auswerten kann. Das regelt ein Rollen-/Rechte-Konzept.

  • Zu welchen konkreten Zwecken und in welchen Umfängen sollen personenbezogene Daten erhoben werden?

    Die Datenerhebung entspricht dem Verwendungszweck. Grundlage der Datenerfassung ist das Konzept des Komplexen Hilfeleistungssystems des DRK, das in den Jahren 2005 und 2006 vom Präsidialrat und der Bundesversammlung des DRK beschlossen wurde. Der drkserver ist das Ressourcenmanagementsystem für dieses DRK-Konzept. Kern dieses Konzepts ist, alle wichtigen Ressourcen des DRK im Rahmen von Hilfeleistungen zu erfassen und strukturiert und zeitnah zur Verfügung zu stellen. Hierbei spricht man vom Gesamtpotential des DRK. Das sind z. B. die beruflichen, privaten oder DRK-spezifischen Qualifikationen der Menschen, die im DRK haupt- oder ehrenamtlich oder in Freiwilligendiensten mitwirken. Auch Menschen, die sich als ungebundene Helfer*innen für Hilfeleistungen des DRK anbieten, können erfasst werden.

    Zum Gesamtpotential gehört auch technische Ausstattungen bis hin zu Gebäuden und Einrichtungen wie Notunterkünften.

    Näheres liest du in der Vision und im Mission Statement.

  • Ich will wissen, was der drkserver über mich weiß. Was muss ich tun?

    In deine digitale Akte kannst du jederzeit hineinschauen, wenn du im drkserver angemeldet bist. Außerdem hast du einen Anspruch darauf, die Informationen schriftlich vom Kompetenzzentrum drkserver zu erhalten. Schreib dazu bitte eine Mail an das Kompetenzzentrum drkserver.

  • Welche Daten von mir speichert ihr?

    Zum einen die Daten, die du uns zur Verfügung stellst, beispielsweise deine Adresse oder dein Profilbild. Zum anderen die Daten, die deine Gliederung von dir besitzt, beispielsweise Ausbildungen oder Qualifikationen. Ein Teil der Daten sind Mindestdaten.

  • Was sind denn Mindestdaten?

    Diese Tabelle gibt dir einen Hinweis darauf, welche Daten wichtig sind für die Erfüllung des Komplexen Hilfeleistungssystems. Beachte bitte, dass durch die Vielfältigkeit im DRK auch Datenfelder wichtig sein können, von denen du das gar nicht vermutet hättest.

    Mindestangaben
    Für die Tätigkeit im Verband wichtig (einige Beispiele)
    Nur, wenn das Mitglied (nicht: die DRK-Gliederung)
    diese Daten mitteilen möchte (einige Beispiele)
    Eintrittsdatum Einsätze Blutgruppe
    Geburtsdatum Dienste Fremdsprachen. Die Flüchtlingshilfe und viele andere Einsätze haben gezeigt, dass insbesondere Fremdsprachenkenntnisse für die Aufgabenbewältigung sehr wichtig und hilfreich sind.
    Haupt-/Ehrenamt, Freiwilligendienste, ungebundene Helfer Zuordnung zu Einsatzformationen Versicherungen
    Name Anschrift Schule
    Vorname Lehrberechtigungen Bankverbindung
    DRK-Gliederung(en) Ausbildungen im DRK Beruf
      Führerscheine  
  • Wenn eine juristische Person oder Gesellschaft Mitglied in einem beitretenden Verband oder einer beitretenden Einrichtung ist, welche personenbezogenen Daten sollten dann zur Verfügung gestellt werden?

    Ob eine solche Konstellation vorgesehen ist, müsste zunächst intern geklärt werden. Vom Grundsatz und der Zweckbestimmung des drkservers ausgehend bildet die Übermittlung personenbezogener Daten natürlicher Personen (Haupt-, Ehrenamtliche, ungebundene Helfer*innen) den Anwendungsfall.

  • Muss ich wirklich ein Foto hochladen?

    Nein, das musst du nicht. Allerdings kann deine Leitungskraft ohne ein Foto keinen Scheckkarten-Ausweis für dich bestellen. Es bietet sich also an, ein Foto hochzuladen.

  • Wer kann auf die Daten zugreifen?

    Auf die Daten können ausdrücklich nur zugriffsberechtigte Personen zugreifen, deren Zugriffsberechtigung von den jeweiligen Gliederungen nach dem Datenschutzgrundsatz "Need to know" festgelegt wurden. "Need to know" heißt, dass nur Daten erhoben werden, die zur Aufgabenerfüllung notwendig sind.

    Ferner sind in den jeweiligen Gliederungen sogenannte Administrator*innen für den drkserver zuständig. Dabei ist sichergestellt, dass zunächst einmal die Daten in gerader Linie (von Bundesverband "oben" nach Ortsverein "unten") bereitgestellt werden. Das heißt aber keinesfalls, dass die übergeordnete Ebene automatisch immer alle Daten der darunter liegenden Ebenen sehen kann ("Need to know").
    Zum Beispiel ergibt es Sinn, dass ein*e Sachbearbeiter*in in einer DRK-Landesschule oder einer Bildungseinrichtung Zugriff auf den Bereich Ausbildung hat, um z. B. für den LV die Ausbildungen eintragen zu können. Wichtig ist, dass KV A nicht die Daten von KV B sieht und dass OVe eines KVs gegenseitig keine Dateneinsicht haben. Bestimmte Zugriffsberechtigte des übergeordneten KVs aber schon - um seine Aufgaben erfüllen zu können.

  • Wer kann meine Daten sehen?

    Nur Nutzer*innen, die das wegen ihrer Zugriffsrechte dürfen. Und auch diese Nutzer*innen können, wenn es sie nichts angeht, möglicherweise nur Teile deines Datensatzes sehen. Übrigens: Nur weil jemand in der Hierarchie über dir steht, heißt das nicht, dass er oder sie automatisch mehr oder alle deine Daten sehen kann. Auch hier gilt das „Need to know“-Prinzip: Jede*r sieht nur das, was im Zusammenhang mit der DRK-Aufgabe zu interessieren hat.

  • Können Kolleg*innen, Vorgesetzte oder Leitungskräfte alle meine Daten einfach so verändern?

    Nein. Das Rollen- und Rechtesystem setzt dem enge Grenzen.

  • Was ist mit dem Generalsekretariat? Wird das etwa meine Daten sehen oder verändern?

    Nein. Das Generalsekretariat (GS) hat keine übergeordneten Sonderrechte außerhalb der eigenen Geschäftsstelle. Diese Informationen sind dort auch nicht wichtig, ganz im Sinne des "Need to Know"-Prinzips (siehe oben).

    Was das GS interessiert, sind anonymisierte statistische Daten, zum Beispiel, um in der Öffentlichkeit zeigen zu können, wie viele Stunden ehrenamtliche Arbeit das DRK leistet. Oder die Stärken von Einsatzeinheiten, die Verteilung von Mitarbeitenden, Qualifikationen, Material im Bundesgebiet.

    Kurzum: Diese anonymisierten Zahlen sollen dem GS helfen zu zeigen, dass das Komplexe Hilfeleistungssystem des DRK funktioniert.

  • Wie sicher ist mein Passwort?

    So sicher, wie du es machst. Zwölf Stellen muss es mindestens lang sein, Sonderzeichen, Ziffer, große und kleine Buchstaben enthalten. Achte darauf, das Passwort nicht offen für andere herumliegen zu lassen. Plaudere es nicht aus.

  • Was soll diese komplexe Passwortregelung überhaupt?

    Dieser Frage sehen sich fast alle Anwendungen ausgesetzt, die über Passwörter abgesichert sind. Wäge Praktikabilität und Sicherheit gegeneinander ab. Letzten Endes liegt es in deiner Hand, eine Umgehung des Passwortschutzes zu vermeiden. Du handelst selbstbestimmt und eigenverantwortlich. Ein weiterer Schutz besteht ja gerade durch das umfangreiche Rollen- und Rechtekonzept mit seiner feingegliederten hierarchischen Struktur.

  • Wie oft kann ich mein Passwort falsch eingeben?

    Fünfmal. Dann musst du einen Moment warten, bis du einen weiteren Versuch starten kannst.

  • Mein Zugang ist gesperrt. Was soll das?

    Das ist eine Sicherheitsmaßnahme. Setze dich bitte mit dem/r Administrator*in deines Kreisverbandes in Verbindung.

  • Wo speichert ihr meine Daten ab?

    Bei der Firma manitu in deren Rechenzentrum, das im Saarland steht.

  • Wie lange speichert ihr meine Daten?

    Wenn du  aus dem DRK ausscheidest, sollte ein*e Administrator*in deine Daten nach spätestens sechs Monaten ins Archiv des drkservers verschieben. Im Archiv werden deine Daten bis zu drei Jahre zum Jahresende gespeichert. Danach sorgt eine automatische Löschroutine dafür, dass die Daten auch aus dem Archiv entfernt werden.

    Beispiel: Du trittst im Februar 2022 aus persönlichen Gründen aus dem DRK aus und teilst dies mit. Eine Administrator*in verschiebt deine Akte bis August 2022 ins Archiv. Dort bleiben deine Daten bis zum 31. Dezember 2025 (drei volle Jahre = August 2025, bis zum Jahresende = 31. Dezember 2025). Danach verschwindet deine Akte auch aus dem Archiv.

  • Warum speichert ihr meine Daten überhaupt im Archiv?

    Im Archiv bleiben sie für den Fall, dass sie später einmal aus privaten, beruflichen oder behördlichen Gründen gebraucht werden. Außerdem hat sich gezeigt, dass manch eine*r nach längerer Pause wieder eine ehren-, neben- oder hauptamtliche Tätigkeit im DRK aufnimmt. In diesem Fall lassen sich die bestehenden Informationen einfach wieder aus dem Archiv heraus aktivieren, ohne dass sämtliche Daten erneut eingepflegt werden müssen.

  • Wer prüft, ob das auch alles mit rechten Dingen zugeht?

    Dazu gibt es unter anderem einen unabhängigen Datenschutzbeauftragen: den Rechtsanwalt Dr. Stefan Drewes und sein Team. Darüber hinaus hat das Kompetenzzentrum drkserver eine Prüfung durch das BSI durchführen lassen, das Bundesamt für Sicherheit in der Informationstechnik. Und: Alle Verbände des DRK treten der sogenannten „gemeinsamen verantwortlichen Stelle“ bei und sind damit, der Name sagt es, „gemeinsam verantwortlich“. Jeder Verband hat also ein Interesse daran, dass in Sachen Datenschutz kein Schindluder getrieben wird.

  • Ist der drkserver vor Datenmissbrauch geschützt?

    100-prozentige Sicherheit gibt es nicht. Aber dem Datenmissbrauch sind im drkserver überdurchschnittlich viele Riegel vorgeschoben. Beispielsweise nimmt jede*r Nutzer*in während der ersten Anmeldung ein Merkblatt zur Kenntnis, das auf die Konsequenzen von Datenmissbrauch hinweist, und jede*r Nutzer*in muss bei der Passwortvergabe eine Reihe von Vorgaben (siehe oben) beachten. Wird eine noch so kleine Information im drkserver geändert, merkt sich das System diese Änderung: Wer hat wann was gemacht? Sollten digitale Langfinger trotzdem einmal Zugriff bekommen, haben die Entwickler*innen weitere technische Hürden eingebaut.

  • Ich vermute, dass jemand in meinem Umfeld Daten missbraucht. Was mache ich denn jetzt?

    Du setzt dich mit dem Kompetenzzentrum drkserver in Verbindung. Schicke eine Mail mit deinen Kontaktdaten an datenschutz-drkserver(at)drk.de. Das Kompetenzzentrum setzt sich so bald wie möglich mit dir in Verbindung.

  • Was tut ihr gegen gezielte Angriffe über die Kombination aus drkserver-ID und Passwort?

    Absolute Sicherheit kann es nicht geben. Gäbe es eine solche Vandalismusaktion, wäre das unrechtmäßiges Handeln, gegen das man sich zivil- und strafrechtlich zur Wehr setzen würde. Dies wäre auch ein klares Signal an mögliche Trittbrettfahrer*innen. Im Zweifel stellt laut der Datenschützer die Sperrung des Kontos den sichersten Schutz dar.

  • Welchen Schutz gibt es gegen gescriptete Massenabfragen?

    Die Vorgaben zur IT-Sicherheit und zum Datenschutz haben das Kompetenzzentrum drkserver und die Entwicklerfirma schriftlich dokumentiert. Diese Vorgaben werden regelmäßig geprüft. Diese Prüfungen haben dem Datenschutz bisher immer ein sehr hohes Niveau bescheinigt.

  • Ich will nicht, dass ihr meine Daten speichert oder verarbeitet. Was kann ich tun?

    Das ist dein gutes Recht. In diesem Fall kannst du aber nicht auf den drkserver zugreifen. Und dann können deine Potentiale, Talente und Qualifikationen nicht so gezielt genutzt werden, wie das im Rahmen des Komplexen Hilfeleistungssystems des DRK wünschenswert wäre. Sprich: Wenn niemand weiß, worin du gut bist, bleibt dieses Können ungenutzt.

  • Können Mitglieder oder Mitarbeiter*innen der Erfassung ihrer Daten widersprechen?

    Kurz gesagt: Der Erfassung der Mindestdaten können die Mitglieder letztendlich nicht widersprechen, wenn der DRK-Vorstand die Datenerfassung im drkserver beschließt. Grundsätzlich gilt, was auch für den Personal- und Anmeldebogen für die Mitwirkung in Rotkreuzgemeinschaften gilt (den sogenannten Aufnahmeantrag): Wenn dieser nicht ausgefüllt und unterschrieben wird, kann auch keine Mitwirkung im DRK und seinen Rotkreuzgemeinschaften erfolgen.

    Der Datenschutzbeauftragte drkserver hat das auch noch einmal ausführlicher begründet: "Die Erfassung der Helfer*innen-Daten erfolgt zunächst dezentral innerhalb der einzelnen DRK-Einheiten auf der Basis der dortigen satzungsgemäßen Vorgaben gem. § 28 Abs.1 Nr.1 BDSG, die sich bei allen DRK-Einheiten an der Krisenfall- und Katastrophenhilfe (z.B. Mitwirkung beim Schutz der Zivilbevölkerung, Hilfe für Opfer bewaffneter Konflikte, Katastrophenschutz und Katastrophenhilfe, Erste Hilfe bei Notständen und Unglücksfällen etc.) orientiert. Eine Widerspruchsmöglichkeit des Helfers, der Helferin/des/der Betroffenen gegen diese Datenerfassung besteht nicht. Grundsätzlich gilt das, was auch für den Personal- und Anmeldebogen für die Mitwirkung in Rotkreuzgemeinschaften (Aufnahmeantrag) gilt: Wenn dieser nicht ausgefüllt und unterschrieben wird, kann auch keine Mitwirkung zm DRK und seinen Rotkreuzgemeinschaften erfolgen.

    Sofern der zuständige Landesverband der gemeinsamen verantwortlichen Stelle DRK-Server beigetreten ist, orientiert sich die Erforderlichkeit der Datenerfassung innerhalb der einzelnen DRK-Einheiten des beigetretenen Landesverbandes und der gemeinsamen verantwortlichen Stelle drkserver an der Zweckbindung des drkservers (komplexes Hilfeleistungssystem für Krisenfälle) und damit auf der Basis des vorgenannten datenschutzrechtlichen Erlaubnistatbestandes. Auch insoweit ist keine Zustimmung des Helfers, der Helferin/des/der Betroffenen zu der Datenerfassung im drkserver erforderlich und es besteht auch kein Widerspruchsrecht des Helfers, der Helferin/des/der Betroffenen."

  • Darf ich den drkserver auch von zuhause oder unterwegs nutzen?

    Ja. Das ist schließlich häufig auch gar nicht anders machbar, wenn beispielsweise Ereignismanager*innen von zuhause oder unterwegs einen Einsatz koordinieren. Das ist mitentscheidend dafür, dass der drkserver im Rahmen des Komplexen Hilfeleistungssystems des DRK funktioniert. Jede*r Nutzer*in nimmt während der ersten Registrierung ein Merkblatt zum mobilen Zugang zum drkserver zur Kenntnis.

  • Ich finde keine DRK´ler*innen aus anderen Landesverbänden. Warum nicht?

    Dafür gibt es mehrere Gründe. Noch beteiligen sich nicht alle Landesverbände am drkserver. Eine Übersicht findest du hier. Außerdem greift auch hier das "Need to Know"-Prinzip (siehe oben). Danach sieht jede*r nur soviel, wie nötig, das gilt oft auch für regionale oder verbandliche Grenzen. Nachrichten kannst du aber an alle Nutzer*innen des drkservers verschicken. Auch Einsatzkräfte kannst du über Verbandsgrenzen hinweg buchen, ganz im Sinne des Komplexen Hilfeleistungssystems.

  • Gebt ihr Daten an Dritte weiter, zum Beispiel für Werbezwecke?

    Nein.

  • Werden auch Daten zur Gehaltsabrechnung und/oder Finanzbuchhaltung erfasst?

    Nein. Der drkserver ist ausdrücklich keine Software für Gehaltsabrechnung oder Finanzbuchhaltung.

  • Was ist mit Fördermitgliedern?

    Fördermitglieder können als solche erfasst werden. Der drkserver ist aber keine Software zur Fördermitgliederverwaltung.

  • Wer hat die Datenhoheit?

    Die Datenhoheit der gemeinsamen verantwortlichen Stelle deiner DRK-Gliederung bleibt nach wie vor und neben dem drkserver bestehen. Dies gilt selbstverständlich auch für die Daten, die im Rahmen der Zweckbestimmung an den drkserver übermittelt werden.
    Innerhalb der gemeinsamen verantwortlichen Stelle ergeben sich sämtliche Regelungen zur Entscheidungskompetenz aus dem Hauptvertrag, den dein Landesverband unterzeichnet hat. Die drei Entscheidungsgremien hier sind die Bundestagung drkserver, das Kompetenzzentrum drkserver und gegebenenfalls die Landestagung drkserver.

  • Was ist die Bundestagung drkserver?

    Sie ist das oberste Gremium für alle grundlegenden Abstimmungen und Entscheidungen für die Umsetzung der Entwicklung, des Betriebes und der Weiterentwicklung des drkservers. Näheres steht im Hauptvertrag (§4, Abs. 2), den dein Landesverband unterzeichnet hat. Der Bundestagung gehören je ein*e Vertretende*r der mitwirkenden DRK-Landesverbände sowie ein*e Vertretende*r des Bundesverbandes an. Dadurch ist sichergestellt, dass alle beigetretenden Einheiten über ein entsprechendes Mitbestimmungsrecht verfügen.

  • Wer hat welche Nutzungs- und Verwertungsrechte an den Daten?

    Generell gilt, dass die Aktenhoheit für einen Datensatz im Regelfall bei dem KV oder OV liegt, der die Mitgliedschaft begründet hat. Nur diese Gliederungen haben das Recht, gegebenenfalls Datensätze für andere KVe oder OVe freizuschalten - wenn es die Aufgabe und die Vorgaben des Datenschutzes erlauben.

  • Wie sind die vertraglichen Beziehungen zwischen der gemeinsamen verantwortlichen Stelle und den Auftragsdatenverarbeitern gestaltet?

    Zwischen der Bundestagung drkserver und dem Kompetenzzentrum drkserver wurde ein Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) abgeschlossen. Des weiteren wurde ein ADV-Vertrag zwischen dem Kompetenzzentrum und der Firma Gutzmann GmbH als IT-Dienstleister abgeschlossen.

  • Wer kontrolliert, ob diese Verträge auch eingehalten werden?

    Es erfolgten bereits eine Vielzahl von Kontrollen, basierend auf der Kontrollpflicht der jeweils gültigen Gesetze (bis Ende Mai 2018 Bundesdatenschutzgesetz, dann EU-Datenschutz-Grundverordnung). Dazu gehören Kontrollen der Gutzmann GmbH durch deren externen Datenschutzbeauftragten, des Kompetenzzentrums drkserver durch den Datenschutzbeauftragten des DRK-LV Westfalen-Lippe, mehrfach durch die Firma Tasco und durch den Datenschutzbeauftragten drkserver. Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat den drkserver bereits geprüft. Auf der Basis sämtlicher Prüfberichte ergaben sich keine datenschutzrechtlichen Beanstandungen.

  • Welche Kontrollmöglichkeiten erhalten die beitretenden Verbände?

    Eigenständige und weitergehende Kontrollmöglichkeiten der beitretenden Verbände sind nicht vorgesehen. Ansprechpartner ist der Datenschutzbeauftragte drkserver. Außerdem kannst du datenschutzrechtliche Fragen natürlich im Arbeitskreis Datenschutz deines Landesverbandes erörtern.