Regel 1: Sorgen Sie dafür, dass sensible Daten in Ihrer Gemeinde geschützt werden!
In der internen Kommunikation ist es besonders wichtig, dass nicht jede*r einen Zugang zu den Informationen über die Organisation und die Mitglieder bekommt. Der Datenschutz ist hierbei eine ganz wichtige Grundvoraussetzung, damit besonders sensible gemeinde- oder vereinsinterne Daten geschützt werden. Zugänge und Passworte zu internen Bereichen sollten nur ausgewählt und unter strengen Richtlinien gewährt werden.
Datenschutz geht alle an: Wichtig ist ein Grundverständnis über Datensicherheit und den Umgang mit internen Informationen, die besonders schützenswert sind. Folgende Informationen sollten Sie Ihren Gemeinde- oder Vereinsmitgliedern mit auf den Weg geben:
Sichere Geräte: Jede*r, die oder der mit den sensiblen Daten der vereins- oder gemeindeinternen Kommunikation auf seinen Endgeräten arbeitet, sollte darauf achten, dass auf diesen Geräten sämtliche Software inklusive Virensoftware und Firewall auf dem aktuellsten Stand ist.
Datensparsamkeit: Kommunizieren Sie im Internet nur die Daten, die unbedingt notwendig sind. Das gilt auch für die Registrierung in sozialen Netzwerken, auf Plattformen oder anderen Internet-Diensten.
Sichere Passwörter: Alle Administrator*innen und Anwender*innen tragen durch den sorgfältigen Umgang mit ihren Zugangsdaten dazu bei, dass die Daten in den Anwendungen vor unberechtigtem Zugriff geschützt werden. Hierzu gehört, sichere und komplexe Passwörter zu wählen, diese regelmäßig zu wechseln und sie vor allem vor dem Zugriff durch unberechtigte Dritte zu schützen. Die Sicherheit eines Passworts hängt vor allem an der Länge. Ein hilfreiches Werkzeug für sichere Passwörter ist die DiNa-Passwort-Karte.
Regel 2: Teilen Sie keine sensiblen oder personenbezogenen Daten in Gruppen sozialer Netzwerke oder Messenger!
Soziale Netzwerke und Messenger werden im privaten Bereich von vielen Menschen genutzt, um sich auszutauschen und zu kommunizieren. Auch die Kommunikation innerhalb einer Gemeinde kann hier erfolgen und zwar am besten nicht-öffentlich in einer geschlossenen Gruppe. Hierbei sollte eingestellt werden, wer der Gruppe beitreten, in ihr posten und die Inhalte lesen kann. Sensible und personenbezogene Daten gehören jedoch nicht in diese Gruppen, auch wenn sie geschlossen oder geheim sind – denn ändert das Netzwerk oder der Messenger seine Funktionen oder wird manipuliert, können die hier geposteten Daten und Inhalte an die Öffentlichkeit gelangen.
Damit die Gruppe sicher genutzt werden kann, sind zwei wichtige Einstellungen bei der Einrichtung zu beachten:
Privatsphäre: Zusätzlich zu den öffentlichen Einstellungen gibt es für Gruppen unterschiedliche Privatsphäre-Einstellungen. In geschlossenen und geheimen Gruppen sind die Beiträge beispielsweise nur für die Mitglieder sichtbar oder die Gruppe selbst ist nur für Mitglieder überhaupt auffindbar.
Zielgruppe: In den Privatsphäre-Einstellungen können Gruppen-Admins außerdem festlegen, dass Mitglieder nur von Administrator*innen genehmigt oder hinzugefügt werden.
Regel 3: Richten Sie einen passwortgeschützten Bereich auf Ihrer Webseite ein!
Ein passwortgeschützter Bereich auf der Webseite ist nur für bestimmte Nutzer*innengruppen, zum Beispiel Mitglieder, zugänglich. Hier gepostete Inhalte sind nicht öffentlich und können auch über Suchmaschinen nicht gefunden werden.
Welche Vorteile hat ein geschlossener Bereich auf der Webseite?
Kommunikation von Interna: Ein passwortgeschützter Bereich ist nur vorher definierten Nutzer*innengruppen zugänglich und eignet sich für die Kommunikation von Interna.
Schutz vor Netzöffentlichkeit: Durch spezifische Einstellungen können Suchmaschinen die geschützten Inhalte nicht finden.
Nachträgliche Erweiterung: Nahezu alle Content-Management-Systeme (CMS) bieten die Möglichkeit, durch eine Erweiterung einen passwortgeschützten Bereich auch nachträglich zu integrieren.
Regel 4: Nutzen Sie nur CRM-Systeme, die die Anforderungen des deutschen Datenschutzrechts erfüllen.
Ein so genanntes "Customer Relationship Management" (CRM)-System kann helfen, Kontakte der eigenen Gemeinde oder auch Spenden zu verwalten. Bei der Entscheidung für ein solches System sollten Sie unter anderem folgende Aspekte für die Sicherung der darin gespeicherten Daten beachten:
Ist das Rechenzentrum in Deutschland stationiert? Falls nicht, welches Datenschutzniveau gilt in dem Land des Standorts?
Werden regelmäßige Sicherheitsupdates und Backups der Daten gemacht?
Erfolgt der Zugriff auf die Daten über eine verschlüsselte SSL-Verbindung?
Informationen, was das Datenschutzrecht der EKD angeht, bekommen Sie unter anderem beim Datenschutzbeauftragten der EKD.
Regel 5: Prüfen Sie Zugänge, AGB und Datenschutzbestimmungen von Cloud-Diensten und Plattformen für kollaboratives Arbeiten!
"Kollaboratives Arbeiten" ist die Zusammenarbeit von zeitlich und räumlich getrennten Teams oder Personen an einem gemeinsamen Dokument, ermöglicht durch digitale Werkzeuge. Viele Kollaborations-Plattformen sind webbasiert und mit der Einführung des Cloud-Computing ressourcenschonender geworden. Der Zugang zu den Plattformen und den Dokumenten kann individuell geregelt werden. Stellen Sie ein:
- wer Zugang zum Dokument haben darf,
- wer das Dokument nur lesen und
- wer das Dokument bearbeiten darf,
um Unbefugten keinen Zugriff auf Ihre Inhalte zu gewähren.
Anbieter von Cloud-Diensten, die ihren Sitz und ihre Server im Ausland haben, unterliegen nicht dem deutschen Datenschutzrecht. Prüfen Sie daher immer die Allgemeinen Geschäftsbedingungen und Datenschutzbestimmungen der Anbieter. So erfahren Sie, wie die Daten und Informationen, die Sie in den Cloud-Diensten teilen und bearbeiten gespeichert, gesichert und verwendet werden. Achten Sie darauf, in der Cloud grundsätzlich keine sensiblen und personenbezogenen Daten zu hinterlegen. Eine große Auswahl an Kollaborations-Plattformen und Anwendungen finden Sie hier!
Regel 6: Erheben Sie auch für die interne Kommunikation so wenige personenbezogene Daten wie möglich!
Personenbezogen und damit schutzwürdig sind zumindest die folgenden Daten, die eine Gemeinde für ihre Verwaltung abfragt:
- Geschlecht
- Name und Anschrift
- Geburtsdatum
- E-Mailadresse
- Bankverbindung (falls Spenden erhoben werden)
Auch Gemeinden sollten stets dem Prinzip der Datensparsamkeit folgen und immer nur solche Daten erheben, die für die Durchführung des Organisationszwecks auch tatsächlich erforderlich sind.
Ein Datenlöschkonzept ist Pflicht! In jeder Organisation muss es nach den Anforderungen des § 35 des Bundesdatenschutzgesetzes ein sogenanntes Datenlöschkonzept geben, das festlegt, wann welche Daten der Mitglieder zu löschen sind. Dabei gilt die Faustregel, dass eine Löschung spätestens dann vorzunehmen ist, wenn nach dem Austritt eines Mitglieds nicht mehr mit Rückfragen gerechnet werden muss. Bittet ein Mitglied vorher um die Löschung bestimmter Daten, ist dem selbstverständlich unverzüglich Folge zu leisten.
Regel 7: Urheber- und Persönlichkeitsrechte gelten auch in der internen Kommunikation
Im Urheberrechtsgesetz sind die Grenzen zur Veröffentlichung manchmal fließend: So kann auch eine Zugänglichmachung von Bildern, Texten oder Videos in einem geschlossenen Bereich der Webseite, dem Intranet oder in einer Gruppe im sozialen Netzwerk als Veröffentlichung im urheberrechtlichen Sinne gelten. Wer hier Bilder, Videos oder Texte einstellen will, muss daher stets auch Urheber- und Persönlichkeitsrechte beachten.
Regel 8: Erstellen Sie auch für die interne Kommunikation eine Netiquette!
Digitale Kommunikation kann Mitglieder motivieren, begeistern, aber auch verärgern, wenn die Umgangsformen nicht dem entsprechen, was sie sich wünschen. Auch hier gibt es Regeln des Umgangs miteinander, die im Internet als "Netiquette" bezeichnet werden. Eine Gemeinde kann eine Netiquette mit den wichtigsten Verhaltensregeln an alle Mitglieder einer Gruppe schicken, oder auf der Webseite oder in einem anderen Kommunikationsforum hinterlegen. Dort kann im Konfliktfall auf sie verwiesen werden. Ein Vorteil der Netiquette: Sollte sich tatsächlich ein Community-Mitglied nicht an diese Netiquette halten, kann es mit Verweis auf den Kodex ermahnt oder im Ernstfall auch ausgeschlossen werden.
Regel 9: Lassen Sie eine Moderation ans Steuer
Um eine Community zu lenken, die Mitglieder zur aktiven Mitarbeit zu motivieren sowie die Einhaltung der Regeln zu wahren, kann ein*e Moderator*in auch für Gruppen und Foren helfen. Eine Moderation sollte neutral sein und die Sachebene von der persönlichen Ebene trennen können, eindeutige Regeln der Zusammenarbeit für alle formulieren und möglichen Konflikten konstruktiv vorbeugen.
Regel 10: Vergeben Sie nur ausgewählt Zugriffs- und Administrationsrechte!
Wenn die technischen Anforderungen an die Datensicherheit erfüllt sind, sollten auch die Personen, die mit dem System arbeiten, mit den hohen Sicherheitsanforderungen für den Umgang mit personenbezogenen Daten vertraut sein und diese anwenden können. Prüfen Sie daher sorgfältig, wem Sie welche Zugriffsrechte auf Daten und Inhalte gewähren.
Was sind Zugriffsrechte?
Zugriffsrechte bestimmen, wer welche Programme, Inhalte, Daten und Dokumente wie benutzen darf. Administrator*innen beispielsweise haben meist sehr umfangreiche Zugriffs-rechte, um ihre Aufgaben, wie Inhalte und Daten zu verwalten, Sicherheits-Updates in Programme einzuspielen oder auch Benutzungsrichtlinien laut Netiquette durchzusetzen, erfüllen zu können.
Anwender*innen wiederum sollen zwar ein Programm nutzen dürfen, jedoch sollten sie nicht die gleichen Zugriffsrechte auf alle Bestandteile des Programms haben wie ein/e Administrator*in. Hier kann im besten Fall weiter unterschieden werden, welche Anwender*innen welche Rechte haben: Festangestellte Führungskräfte können zum Beispiel mehr Rechte haben als ehrenamtliche Helfer, oder geschulte Nutzer*innen dürfen mehr Funktionen nutzen als Ungeschulte.
Geben Sie nie ein Adminstrator-Passwort an mehrere Personen aus. Es ist immer besser, für jeden Zugang ein eigenes Passwort zu verwenden.
Checkliste: 5 Tipps für die sichere Kommunikation und Zusammenarbeit
- Nutzen Sie geschlossene Gruppen in sozialen Netzwerken oder Messengern für die interne Kommunikation, aber nicht für die Weitergabe sensibler Informationen.
- Informieren Sie sich über sicherheitsrelevante Aspekte von Intranet- und CRM-Anbietern: Wo werden welche Daten verarbeitet?
- Lesen Sie aufmerksam die Datenschutzbestimmungen der Kollaborations-Anbieter, auch wenn Sie dort Daten nur kurzfristig zwischenspeichern.
- Seien Sie sorgsam bei der Vergabe von Zugangsrechten auf Daten und Inhalte. Gehen Sie mit personenbezogenen Daten sparsam und sensibel um (auch in der internen Kommunikation) und beachten Sie das Bundesdatenschutzgesetz.
- Halten Sie Ihre Hard- und Software stets aktuell und arbeiten Sie grundsätzlich datensparsam. Informieren und sensibilisieren Sie Ihre Mitglieder für Datenschutzbestimmungen sowie einen sicheren Umgang mit Passwörtern.
Weitere Anleitungen zu Kollaborations-Plattformen und noch mehr Hinweise zu Datensicherheit lernen Sie im DiNa-Selbstlernkurs "Interne Kommunikation" und im Webinar "Datensichere Kommunikation und Zusammenarbeit".