FRR130: Datenschutz

Transcript

Maik Meid:
[0:03] Vor mir liegt ein rosafarbener Zettel vom 14. April 2008.
Aus meinem späteren beruflichen Leben weiß ich allerdings, dass man sonst nur Haftbefehle auf rosa ausdruckt, aber sei's drum.
Dieser Zettel ist eine Bescheinigung, dass ich im Rahmen einer Datenschutzfortbildung des gemeinsamen Datenschutzbeauftragten von verschiedenen Landeskirchen an einem ganztätigen zur Einführung in das Datenschutzrecht teilgenommen habe.
Ich kann mich noch sehr an die Situation da in diesem Raum vor Ort erinnern.
Staubiger ging's nicht, neonleuchtiger konnte der Seminarraum nicht sein.
Es gab Kaffee und Wasser und Menschen, die sich irgendwie nicht vor der Teilnahme daran drücken konnten.
Dort lernte ich also didaktisch eher weniger meisterhaft aufbereitet die ersten Dinge zum Datenschutz, die, ehrlich gesagt, im Alltag meiner Einrichtung nahezu niemand ernst nehmen würde und wollte.
Aber irgendjemand brauchte ja diesen Wisch und das war dann ich und das war aber alles schon gefühlt in einer anderen Zeit.
Vor ein paar Wochen ist die europäische Datenschutz-Grundverordnung fünf Jahre alt geworden.

[1:13] Korrekterweise ist sie schon älter, aber seit fünf Jahren ist sie umgesetzt oder muss umgesetzt sein.
Und seitdem kennt Datenschutz ist jeder. Und jeder oder jede hat auch eine Meinung dazu.
Spätestens weil es in den Arztpraxen nun überall Bögen gibt, die ausgefüllt werden müssen oder andere Dinge wegen dem Datenschutz auf einmal nicht mehr passieren dürfen oder der Datenschutz das und das verhindert.
Dabei wird im Alltag so viel durcheinandergewirbelt, dass einem schummrig dabei wird. Und Dinge werden im Alltag teils mit Datenschutz assoziiert, wo es wirklich rein gar nichts zu tun hat.

[1:48] Die DSGVO hat den Arbeitsalltag verändert und welche Mythen da fürs Fundraising drinstecken und was für gemeinnützige Organisationen wichtig ist, darüber sprechen wir heute. Es ist der 20.
September 2023, ich bin Maik Maid, ihr hört das Fundraising Radio Folge 130, dieses Mal als Kooperationsfolge mit den Datenwelten, redaktionell begleitet auf sozialmarketing.de, und freundlich möglich gemacht durch die Deutsche Stiftung für Engagement und Ehrenamt. Vielen Dank dafür.

Begrüßung

[2:35] Und auf der anderen Seite der Macht, durch die Republik verstreut, die liebe Kollegin Gisela Bhatti und der Dirk Wolf. Welcome!

Dirk Wolf:
[2:43] Hey!

Maik Meid:
[2:44] Hallo! Ganz kurz die Sachen mit der Republik. Dirk, du steckst wo?

Dirk Wolf:
[2:49] In Hannover.

Maik Meid:
[2:50] Und Gisela, du steckst wo?

Gisela Bhatti:
[2:52] Krefeld. die Samt- und Seidenstadt.

Maik Meid:
[2:54] Samt- und Seidenstadt? Tatsächlich. Also ich habe dich mal ja besuchen dürfen.
Wir haben uns sogar, glaube ich, in so einer alten Stoff- oder Tuchmacherei da getroffen.

Gisela Bhatti:
[3:01] Ja, genau. Ich bin da als Samtweberei. Heutzutage würde ich sagen, ist von Krefeld nicht mehr ganz so viel Samt und Seide übrig.
Eher ein bisschen die süffige Variante.

Maik Meid:
[3:09] Das hast du gesagt. Wenn ich das jetzt sagen würde, gäbe es wieder ganz böse Kommentare. Zu Städten äußere ich mich nicht mehr. Es gab schon mal böse Dinge.

Gisela Bhatti:
[3:16] Das ist gefährlich, ich weiß.

Maik Meid:
[3:18] Viele Leute kennen euch. Wir haben aber heute eine besondere Folge, wo möglicherweise Leute dazuschalten oder sich reinschalten, die euch so aus der Fundraising-Szene vielleicht noch nicht so kennen, weil sie mit dem Fundraising gar nicht so viel zu tun haben.
Jetzt hast du schon ein paar Sätze gesagt, deswegen übergebe ich mal an Dirk.
Dirk, wer bist denn du eigentlich und was machst du hier?

Dirk Wolf:
[3:36] Ja, wer bin ich? Ich bin Datenschutzberater, habe seit 1993 mit Datenschutz zu tun und zwar deswegen, ich einen Lettershop gegründet habe zu dem Zeitpunkt.
1993 kannte man noch nicht so ganz viel vom Datenschutz, aber so 96 ging das los.
Und du kannst dir vorstellen, in einem Lettershop gibt es zwar sehr viele Daten, aber jetzt keine besonders aufregenden Daten, das sind ja meist nur Adressen.
Trotzdem hat man natürlich mit Datenschutz zu tun.

Maik Meid:
[4:06] Nee, wo wir gerade sagen, was ein Lettershop ist, dazu habe ich gleich schon mal noch Fragen, weil auch da würde ich mal unterstellen, dass es nicht jeder weiß, dazu aber dann gleich.
Daten sind dein Hauptberuf, verdienst mit daten deine brötchen habe ich das richtig verstanden das kann man so sagen genau Und ich habe dann...

Dirk Wolf:
[4:23] Von 2001 bis 2011 mich in dem Deutschen Dialog Marketing Verband engagiert und habe da unter anderem die Lobbyarbeit gemacht für eine Datenschutzreform, die 2009 beschlossen wurde, aber 2012 wirksam wurde.
2011 habe ich mich nicht wieder wählen lassen und dann kamen ganz viele aus diesem Bereich des Deutschen Dialog Marketing Verbands und haben mich gefragt, ich nicht helfen kann bei der Umsetzung.
Und dabei habe ich gemerkt, dass mir das unglaublich Spaß macht, den Unternehmen bei der Umsetzung, also bei der ganzen Dokumentation, bei den ganzen Geschichten zu helfen.

Maik Meid:
[5:03] Das muss man wollen, oder?

Dirk Wolf:
[5:06] Ja, ist wohl so. Es gucken mich manche Leute sehr merkwürdig an, wenn ich das erzähle, Aber es macht mir halt Spaß.
Und dann kam 2016 der damalige Geschäftsführer des Deutschen Fundraising-Verbandes, Arne Peber, auf mich zu und hat mich gefragt, ob ich mir vorstellen könnte, ein Seminar zu entwickeln für den Deutschen Fundraising-Verband.
Das habe ich gemacht. Dieses Seminar habe ich vor ein paar Wochen das 97. Mal gehalten.

Maik Meid:
[5:33] Alter Schwede.

Dirk Wolf:
[5:35] Ja, und dann habe ich gemerkt, dass mir das noch mehr Spaß macht.
Und ja, seitdem bin Ich bin seit 2012, 2013 vorwiegend Datenschutzberater und seit 2016 bin ich das im Hauptberuf.
Ich bin zwar immer noch formal Geschäftsführer, aber meine Geschäftsführerpartnerin und mein Betriebsleiter machen das so gut, Ich würde heute im Lettershop wirklich nichts mehr.
Ja, nichts Sinnvolles mehr bewirken sozusagen.

Maik Meid:
[6:06] Das würde ich nochmal ein bisschen zurückstellen, weil ich jetzt erstmal das Wort nochmal an Gisela geben würde. Und wir haben ein Lachen von dir ja schon gerade gehört bei der einen Anmerkung.
Wer bist denn du und was tust du eigentlich hier?

Gisela Bhatti:
[6:18] Ja, ich weiß auch nicht. Wir können hier, wie hast du eben gesagt, wir können eine Selbsthilfegruppe gründen.
Auch mein Thema ist eins, was irgendwie wo drauf steht, das muss man wollen.
Fundraising-Datenbanken. Also, ich bin Fundraising-Managerin seit 2003 und habe quasi immer in gemeinnützigen Organisationen im Bereich ja, Fundraising, Mitgliederbetreuung, Spenderinnenbetreuung, Bildungsarbeit gearbeitet und bin in dem Rahmen irgendwie zu diesem Thema Fundraising-Datenbanken gekommen.
Denn überall, wo ich war, musste ich sie einführen oder mit einer gerade eingeführten Arbeiten.
Hab mich damals sehr geärgert, dass es da niemanden gab, den ich irgendwie hätte fragen können.

[6:57] Und hab mich dann irgendwann mit der Doris Kunsthoff zusammengetan, und seit einigen Jahren, seit, oh Gott, vielen Jahren, sind wir jetzt einfach tätig als herstellende, neutrale BeraterInnen zum Thema Fundraising-Datenbank.
Das heißt, wir begleiten und coachen Menschen, die in Gemeinnützigeinrichtungen tätig sind, und die vor der Aufgabe stehen, entweder ein neues System einzuführen, Menschen ein bestehendes abzulösen oder die komplett davor stehen, überhaupt erstmal ein Fundraising-Datenmarkensystem einzuführen und da einfach das Richtige für sich rauszufinden, denn der Markt ist echt unübersichtlich und ja, dafür haben wir im Prinzip unsere eigenen Instrumente aufgebaut und damit auch andere Menschen Zugriff drauf bekommen, die nicht, ich sag erstmal, das Klimpergeld mitbringen für eine umfassende Beratung, haben wir vor zwei Jahren die www.datenwelten.org.

[7:48] Aufgesetzt und da eben so einiges an Wissen reingepumpt für die Menschen, die da eben vor diesen Herausforderungen stehen. Und da gehört eben auch der Datenschutz mit rein und eben diese Folge von Podcast, äh ja, von eurem Fundraising-Video.

Maik Meid:
[8:02] Jetzt, ähm, könnte man ja sagen, beim Thema Fundraising-Software hättest du dich ja auch reinwuseln können, eher in das Thema Buchungslogiken oder in das Thema CRM-Funktionalität.
Wieso denn auf einmal der Datenschutz?

Gisela Bhatti:
[8:14] Ah, ja, ähm, auch das ist so ein Thema, wo ich, äh, immer nur dachte, oh Gott, damit muss ich mich irgendwann mal auseinandersetzen.
Wo man einfach im Alltag, am Schreibtisch der Fundraiserin ganz oft denkt, darf ich das reinschreiben? Darf ich das? Weiß ich, also ist das okay so?
Ich habe, glaube ich, an der Akademie irgendwann mal gelernt, man kann nicht mehr als, jetzt nagle mich nicht darauf fest, 150, 200, weiß ich nicht, GroßspenderInnen betreuen.
Und ich habe ein Vielfaches an Leuten betreut, wirklich die Tausende.
Und das waren wirklich sehr intensive Beziehungen. Das kann man sich, glaube ich, als, wer nicht in dem Job tätig ist, kann man sich so gar nicht vorstellen, wie intensiv die Beziehung zu jemandem sein kann, den man gegebenenfalls noch nie gesehen hat.
Also, da war man ja telefoniert, wenn man Briefe und Postkarten austauscht.
Wenn man dort war, war er natürlich nochmal ganz anders.
Aber das sprengt irgendwann das Hirn und irgendwann fängt man an, Sachen aufzuschreiben, wie zum Beispiel, wie der Hund heißt oder dass eine schwere OP ansteht, dass man beim nächsten Besuch mal nachfragen möchte.
Einfach solche Sachen aufzuschreiben und dann immer zu denken, darf ich das überhaupt?
Es ist ja alles etwas, was die Beziehung zu diesen Menschen trägt oder intensiviert.
Aber ich habe mich ganz oft gefragt, ist das überhaupt datenschutzkonform oder eben nicht?
Und da gibt es ja wunderbar den Dirk.

Warum ist Datenschutz negativ wahrgenommen?

Maik Meid:
[9:36] Jetzt, Dirk, ich habe die Sache mit dem Lettershop nicht vergessen, aber jetzt vielleicht doch noch mal auf die Meta-Ebene zurück.
Auch Frage an euch beide.
Alles das jetzt sowohl von meiner Anmoderation als auch die Beispiele, die du jetzt, Gisela gebracht hast sind sofort irgendwie negativ konnotiert.
Also darf ich das überhaupt noch? Macht das überhaupt noch Sinn?
Im Fun2sing versuchen wir ja auch die Freude beizubringen, zu sagen, dass das alles total super ist, Menschen kennenzulernen und auch tiefer in die Beziehungen mit reinzugehen.
Warum glaubt ihr, und ich glaube, ich weiß nicht, Dirk, ob du da jetzt der bessere Ansprechpartner bist, weil du da schon viel, viel länger drin bist, warum ist dieses Thema, was ich persönlich, ich oute mich mal, auch super spannend finde und auch super wichtig finde, Warum ist es so eher schattiert und negativ konnotiert?
Warum kommt man nicht rein und sagt, hey, wir sind die Organisation, wir sind die fernwesigen Abteilung, die den Datenschutz lebt und wir machen das total super und das ist unser Erleichterungsmerkmal.
Warum wiegeln die Leute oft ab, wenn man mit dem Thema kommt?

Dirk Wolf:
[10:35] Kann ich dir relativ einfach erklären. In der Anfangszeit, schon begonnen mit 2013-2014, als noch darüber diskutiert wurde über die Datenschutz-Grundverordnung ist Stimmung, Datenschutz-Grundverordnung und es ist Angst verbreitet worden.
Es ist in einem unglaublichen Maße Angst verbreitet worden und gerade kleine Organisationen, gemeinnützige Organisationen, in denen dann oftmals Leute sitzen, die unglaublich engagiert sind, aber die in manchen Fällen nicht so gut ausgebildet sind, kommen dann Ängste auf, was passiert, wenn ich einen Fehler mache.
Dann ist mit diesen Bußgeldern hantiert worden und ja dann sagt mal einer Teilzeit beschäftigten Frau in einer solchen Einrichtung, sie soll jetzt die Verantwortung dafür übernehmen, dass vier Millionen Euro oder zehn Millionen oder wie auch immer Bußgelder kommen.
Das ist natürlich vollkommener Blödsinn, aber das wurde damals kolportiert und deswegen hat es einfach diese irre Angst gegeben.

Maik Meid:
[11:48] Aber schon vor der DSGVO, ich habe ja gerade in meinem Intro, war es ja auch ein verstaubtes Image.
Mittlerweile ist es glaube ich, das Image wandelt sich auch so ein bisschen.
Es gibt ganz viele coole Menschen auf diesem YouTube, die auch immer wieder mit Rechtsthemen kommen und dann auch das Thema Datenschutz immer mal wieder aufkommt. Mittlerweile ist es einfach im Alltag angekommen, aber es hatte auch vorher schon ein angestaubtes Image.

Dirk Wolf:
[12:08] Ja, natürlich war das nie ein sexy Thema. Gar keine Frage.
Wenn ein Gesetzgeber kommt und dir für deinen Alltag Dinge vorschreibt, dann ist das für dich erst mal lästig. Ist doch klar.
Jetzt sage ich aber ja immer, gerade bei gemeinnützigen Organisationen, die Spenden einwerben, ist Vertrauen das absolute A und O.
Man muss, das ist glaube ich eine Binsenweisheit, muss ich ja nicht weiter vertiefen.
Macht jemand in einer Organisation oder treibt er mit Schindluder, mit Daten, sind dann irgendwie öffentlich im Internet einsehbar, sind irgendwelche Kreditkartendaten verloren gegangen oder wie auch immer, dann können sie doch im Grunde genommen heute ihren Laden dicht machen.
Und das heißt im Umkehrschluss natürlich, ich muss aktiv etwas dafür tun, dass der Eindruck, dass in meiner Organisation, Datenschutz, der Schutz, nennen wir mal das richtige Wort, der Schutz meiner personenbezogenen Daten vor ihrem Missbrauch wirklich ernst genommen wird.
Und wenn ich mit der Einstellung rangehe, dann habe ich auch schon mal einen ganz anderen Drive, als wenn ich mich nur dagegen wehre, dass ich irgendwelche komischen Vorschriften einhalten muss.

Maik Meid:
[13:23] Aber jetzt auf so einer Skala von eins bis zehn, es gibt ja die DSGVO schon seit einigen Jahren, von eins, das Ding ist ein totaler Flop, bis zehn, olé, olé, wo würdest du denn aus deiner Sicht die DSGVO einordnen? Was ist das für ein Ding?

Dirk Wolf:
[13:37] Meinst du das als Auswirkung für die Gesellschaft oder als Instrument für die Organisation?

Maik Meid:
[13:48] Vielleicht trennen wir das. Ich meinte es tatsächlich jetzt erst mal als Machwerk, als durchdachtes Machwerk. Ist das Ding gelungen oder ist es nicht gelungen aus deiner Sicht von 0 bis 10?

Dirk Wolf:
[13:56] Ja, von 0 bis 10, sagen wir mal 7. Damit bin ich allerdings schon an der oberen Grenze dessen, was Fachleute darüber so sagen.
Es ist gar keine Frage, dieses Werk ist ein zusammengestückeltes Werk von 39 Fraktionsberichterstattern im Europäischen Parlament.
Dass das nicht perfekt sein kann, das ist, glaube ich, vollkommen klar.
Ich sage mal nur ein Beispiel.
Bei der Frage, was ist eine Einwilligung, würde man jetzt erstmal vielleicht denken, aus unserer Perspektive, naja, das ist doch klar.
Jemand sagt freiwillig, ja, das will ich. Was haben wir sonst noch für Kriterien?
Hm, weiß ich nicht so richtig so.
Jetzt kommen 39 Fraktionen aus damals noch 27 Ländern und die kommen alle mit ihren eigenen Vorstellungen. Was hat das bewirkt?
In der Datenschutzgrundverordnung wird die Einwilligung an sieben Stellen in den Erwägungsgründen erwähnt und an vier Stellen im Gesetz, also in der eigentlichen Verordnung.
Was am Ende bedeutet, einen Einwilligungstext, der sicher ist davor, dass er nicht von irgendeinem Richter in Europa als ungültig anerkannt wird, gibt es nicht.

Maik Meid:
[15:15] Das erlebe ich ja auch in meinem Medienbereich, wo bestimmte Dinge einfach immer noch darauf warten, dass sie einfach mal zu Ende prozessiert sind, damit man möglicherweise im Nachhinein auch eine Rechtssicherheit bekommt.
Ganz viele Sachen sind einfach immer noch in der Schwebe.

Dirk Wolf:
[15:27] Es sind haufenweise Verfahren anhängig vom Europäischen Gerichtshof.
Der urteilt auch sehr kräftig und die urteilen sogar relativ schnell, aber es ist eben unglaublich viel da.
Und dann geht es ja wieder zurück an die nationalen Gerichte, dann muss das letztendlich zum Grundsatzurteil kommen, dauert alles ungeheuer lange.
Und ja, man kann sagen, das hat natürlich damit zu tun, wie diese Datenschutzgrundverordnung geschrieben ist, aber insgesamt würde ich doch sagen, ich finde, man kann relativ gut damit arbeiten.
Unter anderem deswegen, weil sie uns ein Geschenk gegeben hat, nämlich den Artikel 4, in dem ich glaube, 26 Legaldefinitionen stehen.
Also da wird vom Gesetzgeber hier selber schon mal definiert, was heißt eigentlich verantwortlicher und so weiter und so weiter.
Also 26 Definitionen, mit denen man arbeiten kann.
Ich persönlich muss sagen, ich kann mit diesem Gesetz gut arbeiten und die Fragen meiner Mandanten auch meistens gut beantworten.

Maik Meid:
[16:33] Gisela, du hast, ja genau wie Dirk auch, aber du hast nochmal anders auch mit gemeinnützigen Organisationen zu tun, wenn du in Beratungsprozessen bist und wenn du dich sowohl mit Software beschäftigst als auch vielleicht mit anderen Prozessen, die eine Organisation braucht.
Irgendwann kommt ja das Thema Datenschutz dann zu sprechen. Wie schaffst du es denn in deinem Alltag diese dann doch teilweise komplexe Materie in einem ehrenamtlichen Vorstand beizubringen, der eigentlich den Verein als Hobby führt und dafür zu sorgen, dass er sich auch weiterhin damit beschäftigen.

Gisela Bhatti:
[17:02] Ich glaube, das, was eben Thema war, warum ist das Thema nicht wirklich sexy, das liegt ja überhaupt nicht daran, dass die Leute keinen Bock darauf haben oder irgendwie, keine Ahnung, dicht machen. Es ist, glaube ich, eine Überforderung.
Die haben Sorge, etwas falsch zu machen, was gravierende Auswirkungen haben könnte.
Quasi immer rumeiern, das kenne ich auch von mir selber, dass man das Gefühl hat, oh, ich habe das Gefühl, ich denke, ich glaube, ich mache alles richtig, weiß es aber nicht.
Vielleicht hat sich da wieder irgendwas verändert. Und im Prinzip ist drum mein Rangehen einfach zu sagen, okay, das ist gar nicht so ein Hexenwerk, da können wir schon dran arbeiten.
Lasst uns doch erstmal genau gucken, was macht ihr, warum macht ihr es?
Und mit ein paar wenigen Stellschrauben kann man meistens schon sagen, okay, so schwierig ist das jetzt gar nicht bei euch festzulegen, welche Daten ihr erfasst und welche ihr nicht erfasst.
Dann einfach auch zu sagen, so, und wenn ihr weiter Unterstützung braucht, kann man sich jemandem so wie einen Dirk wenden, Aber meistens ist es wirklich so, es ist nicht so heiß gegessen, wie es gekocht wird.

Maik Meid:
[18:03] Jetzt hatten wir uns hier verabredet für den Podcast, dass wir ja natürlich positiv ankondizieren wollen und auch möglichst praktisch sein sollten.
Aber ich würde trotzdem gerne einmal noch mal von euch beiden hören, aus dem Alltag so, was war denn so aus eurer Sicht so der größte Datenschutz-GAU, den ihr mal erlebt habt? Und vielleicht auch, wie ist der dann zustande gekommen?

Gisela Bhatti:
[18:24] Oh Dirk, ich bin neugierig. Erzähl mal.

Maik Meid:
[18:26] Ich glaube auch. Da muss man eine extra Folge dafür machen, glaube ich.

Dirk Wolf:
[18:30] Ja, also Datenschutz-GAUs, die in den Organisationen passieren, die sind völlig unspektakulär.
Da werden mal 583 Adressen ins CC versendet, in eine Organisation, die, eine neue Mitarbeiterin eingestellt hat und auf drei unterschiedliche Arten und Weisen klargemacht hat, dass sie bitte keine Adressen in CC versendet bei einer politischen Aussendung und sie hat es trotzdem fertig gekriegt.
Dummerweise hat dann noch ein alter ein alter Mann, ein bayerischer Grüner, diese Adressen-Stantepede benutzt, um damit politische Werbung zu machen.
Das war schon so ein bisschen gau, aber da kann man vielleicht auch mal sagen wie geht so eine Behörde, eine Aufsichtsbehörde damit um?
Wir haben das natürlich gemeldet, nicht zu dieser Datenschutzvorfall nach Artikel 33 und das war in Nordrhein-Westfalen tatsächlich.
Das habe ich am Freitagnachmittag über das Meldesystem der Aufsichtsbehörde in NRW gemeldet und hatte am Montagmittag eine E-Mail von dem entsprechenden Sachbearbeiter.
Wir hätten so soweit alles richtig gemacht und damit ist das eingestellt.

Maik Meid:
[19:48] Wahrscheinlich war die Einzige, die überhaupt jemandem mal was gemeldet hat.

Dirk Wolf:
[19:53] Nee, ich glaube, frag mal in den Behörden nach. Nein, das ist der nach Beschäftigung.
Wirklich nach Meldung nach 33 zu bearbeiten.
Es wird schon viel gemeldet und das muss auch unbedingt sein.
Ich sage aber, keine Angst vor der Meldung.
Die Meldung heißt ja erst mal nur, ich gebe es der Behörde bekannt und ich sage ihr natürlich gleichzeitig, wir haben den Fehler gesehen, wir haben gesehen, wie wir es schaffen, den nicht noch mal zu machen.
Also wir haben Maßnahmen ergriffen, um das zu verhindern und außerdem haben wir unsere Leute jetzt auch noch mal geschult und das ist das, was die Behörde am Ende wissen will.
Habt ihr aus diesem Fehler gelernt und seid ihr sensibel genug, um diesen Fehler nicht noch mal zu machen?

Maik Meid:
[20:43] Habt ihr in eurer Welt denn auch schon mal Datenschutzpannen erlebt, die dann auch wirklich richtig materiellen Schaden verursacht haben?

Dirk Wolf:
[20:50] Ja, und zwar gar nicht im Zusammenhang mit meiner Tätigkeit jetzt als Datenschutzbeauftragter, sondern jetzt kommen wir wieder zum Lettershop zurück.
Wir haben irgendwann in den Nullerjahren geglaubt, dass das Print stirbt und haben gesagt, wir müssen das jetzt auch online anbieten.
Wir haben also eine Online-Abteilung aufgebaut, in der wir unter anderem auch Hosting angeboten haben.
Da hatten wir einen, auch aus Nordrhein-Westfalen, einen Händler von Modelleisenbahnen.

[21:24] Wir kriegten sozusagen die Seite übergeben und wunderten uns, da gab es einen Administrator, der noch aktiv war, von dem aber keiner wusste, wer es war.
Was schon allein eine riesen Datenpanne ist eigentlich.
Und das interessierte den Inhaber eigentlich nicht so richtig.
Und eines Tages rief er uns an und sagte, eine Kundin hätte ihn angerufen, es sei von einer Kreditkarte versucht worden, etwas abzubuchen und sie wisse, dass sie nur bei diesem Händler die Kreditkarte hinterlegt hat.
Was natürlich klar, da ist der materielle Schaden sofort sichtbar.
Wir haben natürlich das alles sofort abgestellt und so weiter, dass da nichts mehr weiter passieren konnte und mussten dann diesen Kunden tatsächlich dazu zwingen, dass er das bei der Polizei meldet, er wollte das gar nicht melden.
Und dann hat er es gemeldet, Wir haben die Protokolle zur Verfügung gestellt mit allem Drum und Dran und ich erwarte jetzt natürlich, dass jetzt die Polizei zu uns kommt, mindestens mal anruft und die Dinge irgendwie versucht abzuklären, dass nichts passiert, gar nichts.

[22:33] Also wirklich, hat mich wirklich so gewundert und ehrlich gesagt hat mich das auch ein bisschen empört, weil ich irgendwie denke, wenn wir sowas zur Anzeige bringen, da muss doch irgendwie was passieren.
Das war eigentlich der schlimmste Datenschutzverstoß, denn auch das ist natürlich nichts anderes als ein Datenschutzverstoß, den ich so erlebt habe.
Und ansonsten sind es Dinge, die halt vorkommen.
Ich schicke einen Brief an eine falsche Person.
Inklusive, das kommt öfter mal vor, ich weiß auch nicht warum, aber das Spendenbescheinigungen an falsche Personen geschickt werden. Ja, genau.

Gisela Bhatti:
[23:14] Das hätte ich jetzt auch eingebracht, genau.

Dirk Wolf:
[23:18] Ja, das ist ja letztendlich nichts wirklich...
Böswillig schon überhaupt nicht, aber am Ende auch nichts Schlimmes.
Wenn ich einen Brief bekomme oder es ist ein Spendenbescheinigungstrend von einer Person, die ich überhaupt nicht kenne, ja, was richtet das für Schaden an?

Maik Meid:
[23:34] Ja, es hat dann, wenn es um Reputation gehen würde oder die Person bekannt ist,

Fragen aus dem Alltag

[23:40] dann könnte man da nochmal nochmal nachhaken.
Aber dann danke dir für die Einblicke. Aber Gisela, wenn du in Organisation unterwegs bist, was sind denn dann in der Regel so die Fragen zum Thema Datenschutz, die dort wirklich im Alltag auftauchen?
Mit welchen Dingen wirst du konfrontiert?

Gisela Bhatti:
[24:02] Wirklich diese kleinen Alltagsdinge, die man so als Mensch, der einfach diese Beziehung zu seinen Spenderinnen und Mitgliedern führt, eintragen möchte.
Darf ich das eintragen? Was ich jetzt eben so als Beispiel hatte, was ich selber auch kenne.
Darf ich zum Beispiel eintragen, dass jemand schwerhörig ist?
Das kommt ja dann immer auch drauf an, wie. Also, es gibt ja die Variante, wo dann jemand reinschreibt, ist schwerhörig, besser nicht anrufen, lieber einen Brief schreiben.
Oder es gibt auch die etwas unfreundliche Variante, das hinzuschreiben.
Oder die Variante, jemand hört nicht mehr auf zu reden. Also, bitte besser nicht anrufen, weil der Pfandfälzer dann die nächsten zwei Stunden beschäftigt ist.
Darf ich so was reinschreiben oder nicht? Und da denke ich ganz oft, huh, ein bisschen drüber nachdenken und sich zu überlegen, okay, jeder Spender hat ein Recht darauf, seinen Auszug zu bekommen, welche Daten sind über mich gespeichert.
Ich glaube, wenn man damit da rangeht, würde man schon vieles sich selbst beantworten können. Was schreibe ich rein und was nicht.

Dirk Wolf:
[24:55] Exakt.

Maik Meid:
[24:56] Da möchte ich das so in der Datenbank über mich selber stehen haben wollen.

Gisela Bhatti:
[24:58] Ja, genau. Hört nicht mal auf zu reden. Ich meine, das steht bestimmt in Datenbanken über mich.

Maik Meid:
[25:02] Ich hatte das mal, das war vor Jahren, wo es darum ging, dass ich irgendwie einen Telefonanschluss wechseln wollte und dann las der Callcenter Agent bei diesem Telefonunternehmen, ich glaube, er murmelte nur laut, las laut vor, dass über meinen Eintrag drin stehen würde, ich sei aggressiver Kunde.
Und da gab es ja nichts über mich gesagt.
Ich versuche eigentlich immer das genau nicht zu sagen, aber da stand dann tatsächlich irgendwie, stand da in den Unterlagen drin über mich.

Gisela Bhatti:
[25:31] Ja krass, ja genau das meine ich eben. So was möchte man über sich selber wissen.
Also das sind so Alltagsfragen. Also wie machen wir das? Aber auch ganz, ganz grundlegende Sachen.
Also das auf zum Beispiel das Thema DSGVO an den Punkt gesetzt wird, wir nehmen keine oder wir Wir werden keine Funfair in den Datenbank einführen, weil das dürfen wir doch nicht.
Wir dürfen doch nicht die Daten über so viele Menschen speichern.
Und da sitzen mir teilweise Leute gegenüber aus dem Vorstellungsangriff, ich bin Rechtsanwalt, ich weiß das.
Und dann stehe ich da, okay, aber tatsächlich gibt es ganz, ganz viele, die damit arbeiten und ganz, ganz viele Systeme, die verarbeiten.
Und doch, das darf man, ehrlich.
Also, diese Ebene gibt es eben auch. Dann an der Stelle eben wirklich dieses Mutmachen, sagen so, ey, man kann über dieses Rechte- und Rollenkonzept ganz, ganz viel klären. Also, es muss ja nicht jeder alles sehen in so einer Datenbank, ne?
Aber das geht ja in den Alltagsfragen. Und tatsächlich würde es mich auch interessieren.
Also, ich habe dann nämlich immer früher, ich sage jetzt mal den Namen von Waldi ins System geschrieben, weil ich mir zwar gemerkt habe, dass der Hund für diese Person sehr wichtig ist, ist, aber ich mir partout seinen Namen nicht merken konnte.
Darf man sowas, Dirk? Dürfte ich da den Waldi reinschreiben?

Dirk Wolf:
[26:45] Klar darf man reinschreiben, dass der Hund Waldi heißt. Das Entscheidende ist immer die Information.
Also die Person, die mir da gegenüber sitzt, die muss wissen, was schreibe ich da rein.
Und in vielen Fällen reicht wirklich die Information aus, da wo es um sensible Daten geht. Und das sind natürlich vor allem in unserem Fall meist Gesundheitsdaten.
Da reicht die Information nicht mehr aus, da brauchst du wirklich eine Einwilligung.

Maik Meid:
[27:15] Ganz ehrlich, wenn ich jetzt in einer Tierschutzorganisation bin, dann ist das möglicherweise für den Case nicht wirklich wichtig, ob ich eine Wirbelsäulenoperation hatte oder ob ich krebserkrank bin.
Da hat man nichts zu suchen. Wenn ich aber möglicherweise sowohl akquiriert worden bin oder auch die Verbindung habe, weil ich mal Patient in einem Krankenhaus in der Onkologie war zum Beispiel, wäre es dann wieder gerechtfertigt?

Dirk Wolf:
[27:41] Naja, wir sollten vielleicht mal grundsätzlich klären, unter welchen Umständen darf ich überhaupt personenbezogene Daten verarbeiten.
Und der Grundsatz heißt, man darf personenbezogene Daten nicht verarbeiten.
Und dann kommt, es sei denn, kommen sozusagen die Ausnahmen.
Und da ist die erste Ausnahme die Einwilligung.
Das war das, von dem die Parlamentarier eigentlich gesagt haben, mehr brauchen wir doch gar nicht. gar nicht. Lassen wir uns Einwilligungen geben und gut.
Aber da sage ich mal, denkt da nur mal an die Cookie-Einwilligungen, die wir heute immer geben müssen. Total unpräktikabel. Wenn wir wirklich für alles Einwilligungen einholen müssen, geht nicht. Das zweite ist der Vertrag.
Der spielt bei uns eine große Rolle, weil jede Spende ja ein Vertrag ist.
Also immer dann, wenn es um die Verarbeitung der Spende geht, beispielsweise auch das Dankschreiben, die Spendenquittung, das Verbuchen, was immer damit direkt zusammenhängt, können wir auf diesen B verarbeiten.
Also das ist der Artikel 6 Absatz 1 und da gibt es die Ausnahmetatbestände und da ist eben A die Einwilligung, B der Vertrag.
C ist die rechtliche Verpflichtung. Wenn ich aus handelssteuerrechtlichen Gründendaten aufbewahren muss, dann darf ich das eben auch aus Datenschutzgründen.
D ist das lebenswichtige Interesse, auf dem arbeiten zum Beispiel so Krebsregister oder so was, ne?

[29:09] E interessiert uns nicht, das ist öffentliche Verwaltung. und jetzt kommt das Entscheidende, das berechtigte Interesse.
Wenn ich ein berechtigtes Interesse habe oder ein Dritter ein berechtigtes Interesse hat, dann kann ich diese berechtigten Interessen in die eine Seite der Waagschale werfen und auf die andere muss ich die schutzwürdigen Interessen der Betroffenen legen.
Und wenn jetzt die schutzwürdigen Interessen der Betroffenen nicht überwiegen, dann darf ich verarbeiten.

[29:39] Und genau auf dieser Grundlage werden diese ganzen Datenbankeinträge gemacht, wenn sie denn eben nicht diese sensiblen Daten gemäß Artikel 9, besondere Daten heißt sie, gemäß Artikel 9 beinhalten.
Also immer dann, wenn es nicht um diese Daten geht, kann ich eine Interessenabwägung machen.
Wenn es um Gesundheitsdaten geht oder Daten der sexuellen Orientierung oder genetische Daten, biometrische Daten und so weiter und so weiter, Diese Dinge, da brauche ich eine Einwilligung.
Und ich weiß, wir haben das Thema ja zum Beispiel auch bei Großspendern oder bei Erbschaftsspenden.

[30:21] Wenn ich ein intensives Verhältnis zu einem möglichen Großspender oder Erbschaftsspender aufbauen will, dann kommt irgendwann der Punkt, an dem muss ich sagen, liebe Frau Meier, Sie mir sehr viele Dinge anvertraut.
Die sind bei mir auch, das wissen Sie, in guten Händen.
Aber mir kann auch jederzeit etwas passieren.
Und es kann nicht sein, dass dann daraufhin die Verbindung zu unserer Organisation unterbrochen wird.
Und damit das nicht passiert, haben wir eine Datenbank, und da schreiben wir diese Dinge alle rein.
Und ich würde Sie bitten, sie mir genehmigen, dass ich das tun darf.
Der Punkt muss irgendwann kommen und Und wenn er nicht kommt, dann liege ich wirklich einfach falsch.

Gisela Bhatti:
[31:16] Aber der muss jetzt nicht schriftlich kommen, oder? Ich schreibe rein, ich habe das Gespräch geführt am, aber habe ich dann einen Beleg dafür oder reicht der Kontaktantrag?

Dirk Wolf:
[31:24] Also man braucht offiziell natürlich den Nachweis.
Es ist jetzt die Frage, wie man den Nachweis erbringt.
Wenn es ein Prozess ist, ein definierter Prozess ist, dass ich zum Beispiel mit so einer Checkliste zur Spenderin gehe und ich jedes Mal diese Abfragen machen muss.
Und in diesem Prozess ist eben eine Frage, darf ich die Daten, auch die sensiblen Daten, in unserer Datenbank speichern?
Und da steht dann eben, die Spenderin hat gesagt ja.
Dann dürfte das in den meisten Fällen ausreichen.
Aufsichtsbehörden sagen, wenn man einen Prozess nachweisen kann, dass man ihn konsequent durchführt, dann muss man den Einzelfall nicht mehr unbedingt nachweisen.
Am Ende ist es natürlich immer besser, ich habe nur Unterschriften.
Trotzdem, mit so einem Prozess, wie du es gerade vorgeschlagen hast, kann man das durchaus machen.

Maik Meid:
[32:29] Das ist für mich jetzt auch nochmal neu, weil ich glaube, das entlastet ja total und zeigt ja aber auch wieder, dass die DSGVO einfach auch viele Sachen ermöglicht und nicht nur behindert.

Dirk Wolf:
[32:41] Natürlich.

Maik Meid:
[32:42] Du kannst einfach eine Menge steuern und du kannst eine Menge gestalten.

Dirk Wolf:
[32:45] Du kannst vor allem, also das Wichtigste ist immer Transparenz.
Der Betroffene, die Betroffenen müssen wissen, können, mindestens wissen können, was passiert mit meinen Daten.
Wenn wir über informationelle Selbstbestimmung reden, 1983 vom Bundesverfassungsgericht erfunden sozusagen, dann bedeutet das ja nicht nur, dass ich bestimmen kann, dass mit meinen Daten nicht gearbeitet werden darf.
Informationelle Selbstbestimmung bedeutet auch, dass ich sagen kann, das ist mir egal. Wenn ihr das wollt, ja, macht das doch, ist mir egal.

Maik Meid:
[33:26] Wenn aber die Spenderin jetzt sagt, natürlich, weist mir das mal nach, dass ich euch die Einwilligung erteilt habe, dann wird es schwierig.

Dirk Wolf:
[33:32] Dann wird es schwierig, natürlich. Also man muss natürlich auch sagen, wenn der Punkt gekommen ist, dann ist vorher irgendwas passiert, was das Vertrauensverhältnis zerstört hat.

Maik Meid:
[33:41] Da ist es eh schon vorbei.

Gisela Bhatti:
[33:42] Ich finde, das ist irgendwie auch so eine schöne Fortführung generell.
Wir eiern ja so oft darum, was ist eigentlich die Definition von Fundraising.
Und für mich beginnt das mit, Fundraising ist Kommunikation.
Und dieses Thema Beziehung zu diesen Menschen, die uns unterstützen, durch Zeit, durch Geld, durch was auch immer.
Und wenn wir dann auch noch in dieses Beziehungsfeld einfach auch eine Sicherheit reinbringen können, für die eine Seite, aber eben auch für die andere Seite, dann, finde ich, kann man dieses Thema einfach auch wirklich sehr positiv konnotieren, weil auch für die Mitarbeitenden ist es ja ein totales entlastendes Moment.
Entlasten, heißt das so? Ein entlastendes Moment? Auf jeden Fall entlastet es Sie, wenn Sie wissen, okay, wenn ich diese Checkliste habe und damit laufe ich los, dann habe ich da eine gewisse Sicherheit.
Als immer zu denken, darf ich das reinschreiben oder darf ich es nicht reinschreiben?
Ja, weil das ist ja wirklich der Alltag, es sind die kleinen Dinge.
Es ist ja wirklich so, niemand macht da böswillig irgendetwas, sondern es ist immer nur so eine Unsicherheit.
Ich komme jetzt gerade von einem Besuch wieder und ich möchte es alles niederschreiben, weil ich weiß, es ist jetzt für mich wichtig. Und wenn ich das nächste Mal im halben Jahr wieder vor Ort bin, wird es wieder wichtig sein, mich da rein zu versetzen. Aber in der Zwischenzeit werde ich noch 500 andere Gespräche führen.

Dinge not to do

Maik Meid:
[34:56] Was sind denn so die Top Dinge, die man tun muss als Verein, um die DSGVO am meisten zu ignorieren?
Also so die Top 5. Ich meine, ihr macht ja, ich weiß nicht, bei dir Gisela, bei dir weiß ich es nicht, aber ich weiß es bei dir Dirk, dass du auch Audits machst, du kommst dann rein und wo sind denn so die Dinger, wo man sagt, okay, da habt ihr jetzt mal so richtig verkackt?

Dirk Wolf:
[35:17] Ja, also das allererste ist immer, wenn ich irgendwo neu reinkomme, dann lasse ich mir das Verarbeitungsverzeichnis zeigen, das Verzeichnis der Verarbeitungstätigkeiten.
Und da ist es mir tatsächlich schon passiert, dass ich gesagt habe, zeigen Sie mir mal das Verarbeitungsverzeichnis. Und als Antwort kam, was ist das?
Dann ist natürlich Holland in Not. Weil dieses Verzeichnis der Verarbeitungstätigkeiten ist das zentrale Dokument, mit dem ich meinen Datenschutz organisiere.

Maik Meid:
[35:50] Ganz kurz, bevor wir jetzt die Herzinfarkte wieder einfangen, was ist das?

Gisela Bhatti:
[35:58] Genau, ich würde dich einfach bitten, weil wir haben das ja bei Datenwelten auch als Vorlagen von dir und da machst du ja auch schriftlich Mut und vielleicht kannst du das auch gerade hier in dem Podcast holen, dass das auch kein Zauberei-Berg ist.

Maik Meid:
[36:10] Wir sagen es jetzt mal neutral. Es gibt ja Menschen vielleicht, die jetzt gerade einen Verein gründen wollen und bei Null anfangen müssen.
Vielleicht für diese Menschen, okay?

Gisela Bhatti:
[36:19] Ja, nein, ganz ehrlich. Ich finde, das ist das Thema Datenschutz und Fundraising Datenbanken ist ja auch wirklich.
Also natürlich gibt es die einen, die einfach schon lange damit arbeiten und jetzt irgendwie mal ihr System überprüfen wollen.
Okay, an welchen Ecken könnten wir vielleicht ein bisschen nachbessern?
Aber tatsächlich arbeite ich auch mit vielen, die gerade erst ein System aufsetzen und die einfach auch wirklich sagen, okay, das nacheinander habe ich jetzt einfach 30 Millionen To-dos zu tun und dann ist das eben einer davon.
Also, wir müssen ja jetzt, ne?

Dirk Wolf:
[36:46] So, gibt's ja eben auch. Und was den Datenschutz angeht, ist das wirklich das zentrale Instrument.
Und was steht da drin? Da sind alle Tätigkeiten verzeichnet, die ich in meiner Organisation mit personenbezogenen Daten tue.
Und zwar einmal grundsätzlich beschrieben.
Nicht jedes Mal, wenn ich wieder anfange, muss ich da irgendwas eintragen, sondern ich sage zum Beispiel, ich habe E-Mail-Verkehr.
Der ZEG muss angegeben werden, das ist eben E-Mail-Verkehr. Da müssen angegeben werden die Kategorien der Betroffenen.
Was ist das beim E-Mail-Verkehr? Was soll man sagen? Alle am E-Mail-Verkehr Teilnehmenden.
Das ist meine liebste Antwort.

Gisela Bhatti:
[37:31] Ich finde sie super.

Dirk Wolf:
[37:35] Die Kategorien der personenbezogenen Daten, das ist die E-Mail-Adresse, Name, eventuell Anrede.
Überlege ich mir halt, was ist in meinem E-Mail-Verkehr so normalerweise, was wird da so besprochen sozusagen, also welche personenbezogenen Daten verarbeite ich da?
Dann muss angegeben werden, wer sind die Empfänger?
Also gebe ich das irgendwo hin, diese Daten?

[38:01] Dann muss angegeben werden, verarbeite ich das in Drittländern?
Da haben wir natürlich die Schwierigkeit, ich denke, das sollten wir ja auch gar nicht unbedingt aufmachen, Microsoft 365 und Ähnliches.
Und dann geht es um Löschfristen. So, und in meiner Vorlage steht dann immer noch drin die Rechtsgrundlage.
Weil ich muss ohnehin, wenn ich personenbezogene Daten verarbeiten will, muss ich mir vorher überlegen, darf ich das?
Und ich muss die Rechtsgrundlage auch dokumentieren.
Wenn ich denn diese Fähigkeit beschreibe, dann kann ich natürlich auch gleich, die Rechtsgrundlage da reinschreiben.
Und ich muss ja eine Interessenabwägung machen, wenn ich auf diesen berechtigten Interessen arbeite.
Und auch das mache ich gleich in diesem Verzeichnis.
Meine Erfahrung ist, wenn ich irgendwo hinkomme und wir machen die Dokumentation, dann machen wir drei, vier von diesen Beschreibungen und dann kommt aus der Mitarbeiterschaft, aber warte mal, wir machen doch das da auch noch.

[39:04] Und ist das nicht auch so eine Tätigkeit? Und dann kommen wir oftmals auf sechs, sieben, acht, neun unterschiedliche Tätigkeiten. Das kann man jetzt supergranular aufarbeiten.
Man kann sagen, ich habe eine Personalverwaltung oder man kann sagen, ich habe eine Personalverwaltung für dieses, für jenes, für sonst was.
Dann machen wir nochmal BEM extra oder sowas. Also betriebliches Eingliederungsmanagement.
Das ist letztendlich egal. Also eine Behörde muss am Ende sehen können, was machen die.

Maik Meid:
[39:37] Wie flexibel muss das denn sein? Sorry, dass ich da kurz reingrätsche.
Wir drei, wir kommunizieren hier gerade an drei unterschiedlichen Orten in der Republik, nutzen hierfür ein technisches Tool. So das technische Tool habe ich regelmäßig im Einsatz.
Ihr aber nicht, aber das speichert jetzt aus Gründen mindestens eine IP-Adresse, aber hier auch eine temporäre E-Mail-Adresse und so weiter. Ihr beide nutzt das jetzt einmal und vermutlich danach nie wieder.
Müssten solche Fälle im Prinzip auch dargelegt werden oder würdest du sagen, na komm, da kräkelt ja kein Hahn nach.

Dirk Wolf:
[40:07] Der Verantwortliche für diese Aufnahme bist du.

Maik Meid:
[40:10] Ja genau, dass ich das habe, klar.

Dirk Wolf:
[40:12] Das heißt, du musst das Verarbeitungsverzeichnis haben, wir nicht.

Maik Meid:
[40:18] Das ist ja das Nächste. Ich bin ja hier ein freier Einzelkämpfer, der sehr sensibel ist für das Thema, aber ich höre ja auch im Alltag immer gerne aus Vereinen oder aus anderen Organisationen, die mal sagen, ja, Verarbeitungsverzeichnis oder andere Vorlagen, die sagen, wir sind da viel zu klein für. Wir brauchen das ja gar nicht.

Dirk Wolf:
[40:35] Das ist ein Trugschluss.
Die Frage ist doch immer, wofür ist das Verarbeitungsverzeichnis da?
Und wenn ich mit der Perspektive da rangehe, damit eine Aufsichtsbehörde das einsehen kann, dann würde ich sagen, ja, dann wäre das wohl so. So ist es aber nicht.
Das Verarbeitungsverzeichnis ist in erster Linie dafür da, dass ich als Organisation mir darüber klar werde, was läuft hier eigentlich bei mir mit personenbezogenen daten das ist das erste das zweite ist der datenschutz beauftragte wenn es denn einen gibt der hat die aufgabe einmal im jahr eine prüfung zu unternehmen was soll er denn prüfen wenn er nicht weiß was da läuft also das ist das zweite und und dann wirklich also wenn wenn es ganz ganz dicke kommt man hat sich vollkommen blöd gegenüber einer behörde verhalten nachdem man so eine anzeige oder eine beschwerde bekommen hat dann kann es vielleicht mal sein dass eine Behörde auch mal sagt, zeig mir mal dein Verarbeitungsverzeichnis. Habe ich aber noch nie erlebt.
Also der erste Grund ist, die Organisation selber soll sich darüber im Klaren sein.
Und jetzt stellen Sie sich aber, stellt euch mal vor, jetzt kommt es aus irgendeinem Grund, kommt es zu einer Beschwerde und aus irgendeinem Grund hält die Datenschutzaufsichtsbehörde es wirklich für notwendig, da mal rein zu gucken.
So, dann sagt sie, gib mir mal das des Verarbeitungsverzeihens.

[42:01] Auf der anderen Seite stellt diese Frage, was ist das? Das heißt, da sehe ich als Aufsichtsbehörde sofort, denen ist Datenschutz sowas von vollkommen egal.
Die haben noch nicht mal das grundlegende Dokument überhaupt.
Es ist einfach, ehrlich gesagt, dumm.

Gisela Bhatti:
[42:21] Ich glaube, es reduziert auch den Puls von Organisationen.
Wenn man das einmal gemacht hat, das erlebe ich halt, es ist vielleicht nicht schön. und man hat sich für diesen Tag vielleicht auch, keine Ahnung, was Besseres vorgestellt.
Aber einmal dieses Brainstorming zu unternehmen, wie du gesagt hast, Dirk, wenn man einmal anfängt und diese Logik einmal verstanden hat, dann purzeln die Fälle ja. So und irgendwie ist man ja auch gar nicht so, man braucht ja gar nicht so lange Zeit. Meistens ist man ja irgendwann auch wirklich schnell wieder fertig.
Und das ist dann so ein Ding, ich hab's, ich kann es abheften im Ordner und da kann mich irgendjemand mal fragen und ich muss es nicht auswendig kennen.
Abheften im Ordner ist auch schön. Abheften im Ordner, natürlich.
Ich hab's dann aber. Also das ist einfach auch was, was die eigene Sicherheit erhöht und den eigenen Puls reduziert.

Dirk Wolf:
[43:03] Und ehrlich gesagt, das ist genau der Grund, warum ich so gerne bei diesen Dokumentationen helfe.
Weil die Leute sind, wenn ich gehe, nicht irgendwie froh oder so, sondern die sind happy.
Die sind total happy. Die sagen, diesen Scheiß habe ich jetzt endlich hinter mir.
Monatelang habe ich das von mir her geschoben und jetzt habe ich es hinter mir. Super, super, super.

Maik Meid:
[43:27] Aber das ist ein schöner Übergang, weil du hast gerade gesagt, also wir stehen geblieben am Thema, Dinge, die man tun muss, um die DSGVO am meisten zu ignorieren, jetzt haben wir das, du hast ihnen geholfen, es gibt das Verarbeitungsverzeichnis, das ist zumindest schon mal was, was du dir anschauen kannst. Was machst du denn danach?

Dirk Wolf:
[43:42] Naja, also wir haben vier grundlegende Dokumente, die wir brauchen.
Das ist das Verarbeitungsverzeichnis, das ist die Richtlinie, ganz wichtig.
Wenn ich von meinen Mitarbeitenden verlange, dass sie sich datenschutzgerecht verhalten, dann muss ich Ihnen auch sagen, was ich darunter verstehe.
Das heißt, ich muss eine Anweisung rausgeben, so und so und so verhalten wir uns im Datenschutz. Und das ist die Richtlinie.
Das Dritte ist die Auflistung der technischen und organisatorischen Maßnahmen.
Und dann geht es darum, wenn ich das habe, Auftragsverarbeitungsverträge zu machen.
Also das sind so diese vier ganz grundlegenden Dinge. Wenn ich die habe, wenn eine Aufsichtsbehörde zu mir kommen sollte und ich ihnen diese vier Dinge vorlege, und die sind auch halbwegs durchdacht.
Also ich habe nicht ein Tom-Verzeichnis von irgendwo hergenommen und habe gesagt, das macht das jetzt mal mein Tom-Verzeichnis, sondern ich habe mir auch Gedanken darüber gemacht, dass die Beschreibungen, die da drin sind, auch auf mich wirklich zutreffen.
Wenn das da ist, dann gibt es überhaupt keine Befürchtungen mehr von der Behörde.

Maik Meid:
[44:49] Jetzt habe ich persönlich ja mehr so im sozialwirtschaftlichen Bereich zu tun, habe viel mit Diakonie zum Beispiel auch zu tun und da gibt es ja auch nochmal ein eigenes Datenschutzrecht, Darauf will ich jetzt gar nicht eingehen, aber was ich sagen will ist, dass der Datenschutzbeauftragte dieses kirchlichen Datenschutzrechts sowas macht wie Schwerpunktprüfungen.
Das ist ja, wie gesagt, jetzt gucken wir mal in die Kitas rein oder jetzt gucken wir mal in die Krankenhäuser rein zum Beispiel.
Wie hoch ist denn die Wahrscheinlichkeit, dass so eine Aufsichtsbehörde bei mir anklingelt im normalen Alltag, wenn jetzt kein großer Unfall passiert ist?
Da kann man sich ja auch zurücklehnen und kann sagen, ich brauch das nicht, weil bei uns klingelt doch eh nie einer an.

Dirk Wolf:
[45:21] Also es ist schon so, dass bei meinen Organisationen, bei denen ich als Datenschutzbeauftragter tätig war, noch nie eine Datenschutzaufsichtsbehörde aufgeschlagen ist.

Gisela Bhatti:
[45:35] Wie der Regenschirm, den man immer mitnimmt und dann regnet es nicht.

Dirk Wolf:
[45:39] Genau, so ist das.

Maik Meid:
[45:40] Du machst ja auch den Führerschein nicht wegen der Polizeikontrolle.
Du machst ja den Führerschein, dass du bestimmte Sachen kennst und weißt und aus Selbstverständlichkeit heraus. Ja.

Dirk Wolf:
[45:51] Ja, definitiv. Und ich erlebe natürlich auch in meinen Organisationen, dass die das wirklich alle wollen.
Ich bin in einer ziemlich privilegierten Situation.
Wenn wirklich mal eine Organisation kommen würde, die einfach nur die Dokumentation gemacht haben will und ansonsten sieht zu, dass du schnell wieder rauskommst, die würde ich nicht nehmen.
Aber habe ich auch noch nie gehabt, also diejenigen, die zu mir kommen, die wollen das.
Das ist nicht so, dass die alle einen wahnsinnigen Spaßfaktor daran haben, aber sie wissen halt, das ist eine Notwendigkeit und dem stellen sie sich und die Dinge werden erledigt.
Und ich wollte noch mal kurz darauf zurückkommen, du hast vorhin gefragt, was sind denn so die meisten Fragen?
Ganz profan, also so Dinge wie Fotoerlaubnis, das ist immer wieder ein Thema.

Gisela Bhatti:
[46:42] Oh ja, ja, ja, ja, stimmt.

Maik Meid:
[46:43] Mein Alltag.

Dirk Wolf:
[46:44] Ja, genau.
Oder Formulare, ich würde mal sagen, mein Alltag besteht zu 20 Prozent aus der Prüfung von Formularen.

Maik Meid:
[46:55] Allein, um den Leuten zu erklären, dass es pauschale Erlaubnisse nicht gibt, sowas, ja.
Du meldest dein Kind für die Schule an und du hast irgendwie bis zum Abi, hast dir die Einfach-Kind-Erklärung gegeben, dass dein Kind fotografiert werden darf und so. Furchtbar.

Dirk Wolf:
[47:08] Ja, und das ist die eine Seite. Die andere Seite ist aber, wenn ich sehe, wenn Schuldirektoren oder Rektoren, oder wie die heißen, wenn die pauschal verbieten, dass Gruppenfotos gemacht werden bei der Einschulung.
Ich finde, das ist ein Verbrechen.
Und bis heute, wenn wir mit alten Freunden zusammen sind, gucken wir bis heute manchmal auf diese Bilder.
Und das ist doch total einfach. Ich sage, jetzt gehen wir bitte alle zu der Gruppenaufnahme, wer daran teilnehmen möchte.
Und schickt das Kind jetzt bitte hin. Und wer das nicht möchte, der schickt das Kind nicht hin.

Maik Meid:
[47:51] Ganz einfach. Und auf der anderen Seite kriegen wir solche Geschichten, das jetzt auch bei uns im Alltag passiert. Also wir könnten auch eine ganze Folge zu Fotoeinverständniserklärungen machen.
Unsere Tochter macht jetzt gerade irgendwie nochmal weitergehende Schwimmabzeichen und dann kommt dann für die Mitgliedschaft im Schwimmverein Freigabe von Fotos.
Also für die Zeit der Mitgliedschaft in dem Sportverein, wo ich sage, ey die macht schwimmen, ich will auf gar keinen Fall meine Tochter, hast du aber keine Chance gehabt, du konntest das Ding halt ablehnen oder du konntest es halt zusagen.
Ich habe kein Problem damit, wenn die auf einem Foto von der Vereinsaktivität dargestellt wird.
Aber ich möchte nicht, dass die in Badeklamotten irgendwo dargestellt wird.
Möglicherweise auch noch als Porträt. Ja, da ist die Sensibilität überhaupt nicht vorhanden.

Gisela Bhatti:
[48:36] Ja, guck mal, andersherum bei uns. Unser Sohn ist in der vierten und wir haben nicht ein einziges Klassenfoto, weil es einfach immer darum geht, wenn nicht alle Eltern gesagt haben, es ist okay, dass ihr Kind fotografiert wird, dann machen wir halt kein Foto.

Maik Meid:
[48:50] Und bei uns in der Grundschule gab es jetzt noch Streit mit der Lehrerin zum Abschluss der Grundschulzeit und sie hat dann gesagt, ich möchte, dass alle Fotos, wo ich drauf bin, gelöscht werden.
Also ja, das Recht hat sie.

Dirk Wolf:
[49:02] Ja, es kommt darauf an, in was sie mal eingewilligt hat.
Also sie hat nicht unbedingt das Recht, dass das im Nachhinein sozusagen alles gelöscht wird.
Nur über die Dinge, die dann jetzt veröffentlicht werden.
Aber niemand hat das Recht zu sagen, ich habe mal eingewilligt, dass eine Broschüre gedruckt wird und jetzt willige ich nicht mehr ein und jetzt musst du verantwortlicher dafür sorgen, dass diese Broschüren in der ganzen Welt wieder eingesammelt werden.

Maik Meid:
[49:31] Danke für diesen Klassiker, weil mit dem habe ich im Alltag auch ständig zu tun, gerade auch so was Videoaufnahmen und so weiter angeht.
Du machst einen Recruiting-Film und der ist gerade produziert und veröffentlicht und zwei Monate später ist aber eine der Protagonistinnen weg vom Unternehmen und sagt, ich will das aber nicht mehr.

Dirk Wolf:
[49:47] Da habe ich einen Tipp.
Wenn du solche Sachen machst, mach das nicht mit einer Einwilligung, sondern mach das mit einem Vertrag.
Also man schließt einen Vertrag sozusagen mit Models und man bezahlt sie auch.

Maik Meid:
[50:04] In dem Fall bin ich da sogar raus, weil das ist ja im Prinzip das Innenverhältnis innerhalb der Organisation gewesen.

Dirk Wolf:
[50:11] Du kannst ja trotzdem sagen, mit meinen Mitarbeiterinnen und Mitarbeitern mache ich einen Imagefilm und wenn die daran teilnehmen, dann machen die einen Vertrag mit mir und dafür bekommen sie eine extra Entlohnung.

Maik Meid:
[50:22] Einen Tag frei oder...

Gisela Bhatti:
[50:24] Der kann ja so klein wie möglich sein, also muss ja jetzt nicht irgendwie in die Tausende gehen, aber kann ja auch 20, 50, was auch immer Euro hinschreiben.

Dirk Wolf:
[50:31] Ja, oder ein Tag frei oder wie auch immer. Es muss also eine Entlohnung da sein in einer glaubhaften Form.
Und dann hast du einen Vertrag und aus dem Vertrag kannst du dich einfach aussteigen.

Maik Meid:
[50:44] Das ist ein guter Hinweis. Das ist wirklich gut. Guck mal, habe ich sogar in diesem Podcast richtig was gelernt und mitgenommen.

Gisela Bhatti:
[50:49] Ja, na guck mal.

Maik Meid:
[50:51] Sehr gut.
Jetzt dürfen wir diesen Podcast ja auch nicht überstrapazieren.

Prozesse in Vereinen und Aufwand

[50:58] Du hast jetzt über die Dokumente schon gesprochen, du hast über den Audit schon gesprochen.
Jetzt lass uns mal das Positives sehen, wenn ihr beide in die Organisation geht und die wollen ein bisschen was lernen und wollen sich im Datenschutzbereich auch noch ein bisschen verbessern.
Wie lange dauert denn so ein Prozess vom professionellen Bereich, wo hauptamtliche Kräfte vorhanden sind, bis hin zum Sport, vor allem mit nur Ehrenamtlichen?

Dirk Wolf:
[51:22] Also wir können das vielleicht tatsächlich am Beispiel von Giselas Organisation erzählen.

[51:29] Da kam irgendwann von Gisela Doris die Anforderung, wir gründen uns jetzt als Organisation und da muss natürlich auch der Datenschutz erledigt werden und da haben sie mich damit beauftragt.
Gisela kann es glaube ich bestätigen, wir haben einen Tag intensiv miteinander gearbeitet Und danach hat es noch drei, vier Nachfragen gegeben, wo wir noch mal nachgesteuert haben, über ein halbes Jahr ungefähr und das war's.

[52:05] Und das ist von der Größe der Organisation dann abhängig, wenn sie wirklich groß ist.
Also wenn es Abteilungen gibt, wenn es Organisationen gibt. Ich habe zum Beispiel bei German Watch, bin ich Datenschutzbeauftragter, da gibt es auf der einen Seite diese Verwaltungseinheit und da gibt es auf der anderen Seite diese politische Einheit.
Und in solchen Fällen ist es natürlich schon mal umfangreicher, so ein Verarbeitungsverzeichnis zum Beispiel.
Und da ist auch der Prozess, das zu machen, ist manchmal ein bisschen länger, dauert ein bisschen länger, weil einfach dann Mitarbeiterinnen nicht da sind, dann muss nachgefragt werden, dann wird das Ganze irgendwie in einen Prozess gepackt und dann dauert das manchmal ein bisschen.
Aber ich sag mal, mein Part dabei ist wirklich meistens mit ein bis maximal zwei Tagen zu veranschlagen und mehr ist es nicht.

Gisela Bhatti:
[53:03] Ich weiß nicht, Dirk, vielleicht magst du das auch mal in den Rahmen setzen.
Meine Erfahrung ist auch, dass das egal ist, ob das jetzt eine hauptamtliche oder ehrenamtliche Gruppe ist.
Ich habe oft auch ehrenamtliche, Vorstände sind es ja meistens, oder Arbeitsgruppen, Projektgruppen, die, wenn die sich in ein Thema reingefuchst haben und sich verantwortlich fühlen, unfassbar schnell ins Doing und ins Umsetzen kommen.
Und bei hauptamtlichen Teams, das oft einfach, Ich sag jetzt mal, auf der To-do-Liste ganz hinten runterfällt.

Dirk Wolf:
[53:31] Ja, ich glaube, das hängt natürlich mit dem Typ Mensch zusammen.
Es ist schon so, aber es ist schon genauso, wie du sagst.
Ganz viele MitarbeiterInnen, ich sage wirklich beide, Männer und Weiblein, die das Thema ernst nehmen, die machen das genau so. So, die gehen das an.
Haben zwei, drei Nachfragen und fragen dann noch mal, ist das jetzt alles?
Ist das damit erledigt? Und wenn ich ihnen bestätige, ja, das ist jetzt alles, dann legen sie es zu den Akten und gut gewesen.
Und es gibt andere, bei denen das manchmal sich wirklich über Jahre hinzieht.
Und man immer wieder fragt, wie sieht es denn aus? Wir hatten ja gesagt das und das. Ja, noch nicht so gekommen und so.
Findet man so zweimal in Ordnung, aber irgendwann sagt man, naja, komm mal in die Patte.

Maik Meid:
[54:27] Jetzt hast du gerade, Gisela, beziehungsweise der Begriff Cloud und Rüben als gemeinnützige GmbH, viel ja gerade schon. Gisela, jetzt bist du da aktiv.
Unabhängig davon, dass du, glaube ich, eine derjenigen bist, die im Datenschutz denkt und auch diese ganzen Grundbegriffe verstanden hast und auch lebst.
Aber wie viel hast du denn aktiv, rein formal so mit dem Thema Datenschutz in der GmbH zu tun? Also wie viel Aufwand ist es denn so?

Gisela Bhatti:
[54:55] Also Dirk hat es gerade schon gesagt, für mich ist das wirklich sehr, sehr, sehr übersichtlich.

Maik Meid:
[55:00] Ja, das Aufstellen war es, aber so im Alltag, wo man nochmal drauf schauen muss und wo möglicherweise auch das eine oder andere daraus entsteht, was man tun muss.

Gisela Bhatti:
[55:08] Wir haben das wunderbare Glück, dass wir eine Mitarbeiterin haben, die da echt ein Hirn für hat.
Und ich habe damit wirklich fast nichts zu tun.
Sie kann das eben wunderbar alles machen und manchmal schnell zurückfragen und ist aber unglaublich selten.
Klar, wir haben natürlich, dass wir, wenn wir einen Kunden haben, müssen wir schauen, ok, brauchen wir eine Auftragsdatenverarbeitungs- ne, einen Zettelkern, was wir irgendwo drunter schreiben. Früher haben wir immer Wert drauf gelegt, wir wollen eure Daten nicht sehen.
Mittlerweile auf Dirks Rat hin, machen wir das einfach pro Format, damit wir auch, selbst wenn irgendwann mal Daten gezeigt werden, weil die einfach unachtsam, keine Ahnung, Hintergrund noch irgendwas offen haben oder so, dass wir da irgendwie kein Problem mitbekommen, solche Geschichten, aber per se habe ich sehr, sehr wenig damit zu tun.
Also wirklich in den Beratungssettings, das dann eben schon, wenn es dann wirklich darum geht, seine Prozesse zu erfassen und seine Datenbank wirklich aufzusetzen und mit Leben zu füllen, dann ist natürlich immer das Thema Datenschutz eins, aber eben was bei mir hier im Alltag ist, ist super übersichtlich.
Zum Glück.

Maik Meid:
[56:13] Ab wann lohnt es sich, Dirk, du hast auch vorhin gesagt, dass du auch externer Datenschutzbeauftragter bist, ab wann lohnt es sich einen externen Menschen zu buchen, ohne dass das jetzt eine Vertriebsveranstaltung wird hier?

Dirk Wolf:
[56:26] Also der Gesetzgeber hat ja gerade vor, weiß nicht, vor zwei Jahren oder sowas, wie ich finde, einen unfassbaren dummen Beschluss gefasst, dass die Anzahl der Mitarbeiter, notwendig sind, damit ein Datenschutzbeauftragter bestellt werden muss, von 10 auf 20 erhöht.
Es gab wirklich Politiker, die gesagt haben, wenn wir das machen, dann entlasten wir ja die Unternehmen, die zwischen 10 und 20 haben, sich um den Datenschutz zu kümmern, was natürlich vollkommener Blödsinn ist.
Ich muss mich immer um den Datenschutz kümmern, ob ich einen Datenschutzbeauftragten an meiner Seite habe oder nicht.

[57:12] Insofern, es lohnt sich immer dann, würde ich sagen, wenn man als Organisation eine größere Außenwirkung hat, weil dann immer, das sehe ich auch in der Praxis, sich Betroffene an den Datenschutzbeauftragten wenden können, was oftmals besser ist, als wenn man sich an die Organisation wendet.
Weil da oftmals dann kommt, ja, muss ich mich erst mal kundigen, gucken wir mal, wir melden uns oder so. Der Datenschutzbeauftragte kann in aller Regel sofort eine Antwort geben.
Also da würde ich sagen, lohnt es sich. Ansonsten kann man auch darüber nachdenken zu sagen, komm, bring mir die Dinge bei, mach die Dokumentation und stehe ansonsten zur Verfügung für Fragen.
Also ich denke wirklich, dass der Punkt ist, der, wenn ich eine relativ große Öffentlichkeit habe, dann sollte ich auf jeden Fall ein anderes Beauftragten haben.

Maik Meid:
[58:16] Wie lange brauchen wir denn noch in dieser Republik, bis die Organisationen

Blick nach vorne

[58:20] gelernt haben, dass man keine sensiblen Daten über E-Mail schickt, dass man keine offenen Word-Dateien verschickt.
Also ich meine, es ist ja schon gut, fünf Jahre haben wir jetzt das Wie lange brauchen wir denn noch, bis bestimmte Dinge einfach auch so selbstverständlich sind, dass man nicht mehr darüber nachdenken muss? muss.

Dirk Wolf:
[58:34] Ich glaube, das war's.
Das ist nicht sozusagen eine Schuld der Organisation, sondern ich glaube, das hat sehr viel damit zu tun, wie weit wir in diesem Land mit der Digitalisierung vorankommen.

Maik Meid:
[58:46] Willst du dieses Fass aufmachen jetzt?

Dirk Wolf:
[58:49] Wir waren so fangwärtig, da hatten wir einfach so, nee.
Wenn es selbstverständlich ist, dass ich meinen Ausweis über meinen Browser bestelle und es selbstverständlich ist, dass nicht die größte Digitalisierungsleistung einer Stadtverwaltung darin besteht, dass ich mir den Termin, den ich dann vor Ort wahrnehmen muss, im Web buchen kann.
Wenn das eine Selbstverständlichkeit wird, wie wir kennen dieses Beispiel, glaube ich, alle Estland, dann ist es auch selbstverständlich, dass meine eigenen Digitalisierungsprozesse so abgesichert sind, wie es eben sein muss.

Maik Meid:
[59:35] Diese Frustfolge machen wir tatsächlich lieber ein anderes Mal.

Gisela Bhatti:
[59:39] Ja, mit Sauch und Gurkenzeit, nächste Sommerferien oder so.

Maik Meid:
[59:42] Wir aber auch mindestens zehn Folgen davon, weil ich glaube, dass...

Gisela Bhatti:
[59:46] Ja, aber ich finde, das ist aber auch, ich finde, da kann man auch wirklich so in der Praxis nochmal anfangen.
Also wir haben ja auch viele Organisationen, bevor die sich in ein Fundfitting-Datenbanksystem reindenken, arbeiten die mit, ja womit eigentlich? Mit Excel, mit Outlook, mit schwarzen Notizbüchern und was auch immer. Und ganz, ganz, ganz vielen gelben Zetteln.
Und ich glaube, den kann man eben auch wirklich mit dem, mit dem, mit dem ja, mit der Unterstützung einfach kommen und sagen so, hey, in einem System könnt ihr das alles hinterlegen und dann entlastet, also dann müsst ihr diese Excel-Tabellen zum Beispiel nicht mehr hin und her stecken.
Ja, mit den ganzen Spenden, also da sind ja so viele Daten oft drin, da kann es einen ja wirklich gruseln und ja.

Maik Meid:
[1:00:28] Dieses ganze Thema digitale Technik, ich hätte jetzt eine große Organisation, die ich jetzt wirklich nicht benenne, die haben für sich jetzt entschieden, sie wollten Online-Fundraising ausbauen und sie haben jetzt für sich endgültig entschieden, dass sie Paypal nicht nutzen werden fürs Online Fundraising, weil Datenschutz.
Damit sprechend natürlich Paypal auch als Zahlungseingangsquelle im Online Fundraising wegfällt. Punkt. Weil Datenschutz. Und solange wir da sind, ja.
Überhaupt, dieser ganze Online-Bereich ist ja auch nochmal ein Thema, wo wir über Datenschutz mal reden müssen, weil da ja noch viel mehr Unsicherheiten drin sind als, ich sag mal, im Lettershop und bei Mailings. Du hast immer noch nicht gesagt, was ein Lettershop eigentlich ist. Das machen wir zum Schluss.
Also, ich sag mal, wo man wirklich schon jahrzehntelange Erfahrung hat, ja, wie bestimmte Dinge und Prozesse aussehen.
Im Online-Bereich wird ja gefühlt jede Woche eine neue Sau durchs Dorf getrieben.
Gerade aktuell das ganze Thema, welches KI-Tool hier und, ah, Datenschutz da.
Da ist ja noch viel mehr Unsicherheit drin und dann reagiert ja immer sofort die German Angst. Und dann wird es erst mal wieder abgelehnt.

Dirk Wolf:
[1:01:34] Das erlebe ich auch so bei Menschen, die, wie du es gerade gesagt hast, nicht die Abwicklung über Paypal ablehnen, weil Datenschutz.
Und wenn du dann nach der Begründung fragst, dann kommt da halt nichts.
Ich muss ja auch mal fragen, warum denn nicht? Was hindert dich denn jetzt da anders zu tun.
Aber das ist, wir waren am Anfang auf einer ähnlichen Schiene.
Datenschutz wird für alles Mögliche verantwortlich gemacht, was man irgendwie unbequem findet.
Ich will irgendwas nicht machen, das geht nicht wegen Datenschutz.
Ja genau und ich sage, um es positiv zu sagen, ganz genau, ich sage, wenn etwas legitim ist, dann bekomme ich es auch hin, dass wir dafür eine saubere Rechtsgrundlage finden.

Maik Meid:
[1:02:30] Lass uns diesen Podcast positiv enden. Das eine noch mal, sag mal Dirk,

Was'n ein Lettershop?

[1:02:34] was ist eigentlich ein Lettershop?

Dirk Wolf:
[1:02:37] Der Lettershop ist, produziert schriftliche Werbung.
Das heißt, ich erkläre das immer so, das ist das, worüber sich jeder freut, wenn er abends nach Hause kommt und den Briefkasten öffnet und Werbung bekommt, die an ihn persönlich adressiert ist.
Wir sind allerdings, oder ein Lettershop ist kein, wir machen keine Kreation, wir machen kein Layout, bei uns rattern Maschinen.
Das heißt, wir drucken Leserbriefe aus, wir drucken Adressen auf Postkarten, auf Presseerzeugnisse und so weiter.

Maik Meid:
[1:03:12] Personalisiert die, deswegen auch eben ganz viel Daten.

Dirk Wolf:
[1:03:14] Genau, das ist der Lettershop. Man muss nur sagen, den klassischen Lettershop, wie wir ihn vor 30 Jahren gegründet haben, den gibt es so nicht mehr.
Also nur davon, diese Print-Mailings zu machen, kann, glaube ich, heute kaum noch jemand leben.
Das heißt, im Laufe der Jahre nimmt man sich immer neue Dinge dazu.
Also was in vielen Lettershops Thema ist, heute ist Fulfillment.
Wir machen sehr viel Werbemittel-Logistik, also wenn Unternehmen Werbemittel haben, Kataloge, Broschüren, Bleistifte, Tassen, wie auch immer.
Dann kann man uns damit beauftragen, das abzuwickeln.

Maik Meid:
[1:03:56] Und für das Fundraising, völlig klar, ist das natürlich der klassische Mailing-Bereich und Incentive-Bereich, mit dem ihr zu tun habt.
Jahresberichte vermutlich auch. Alles, was irgendwie in dem Bereich geht.
Wie erreiche ich Spenderinnen und Spender?

Dirk Wolf:
[1:04:06] Alles, was irgendwie schriftlich ist. Alles, was mit schriftlichen Dingen zu tun hat, das machen wir im Lettershop.
Ich hatte ja gesagt, ich bin eigentlich überhaupt nicht mehr im Lettershop, bin ganz offiziell noch Geschäftsführer.
Ich bin eben vor allem in Sachen Datenschutz mit Fundraising-Unternehmen unterwegs und bin da natürlich auch total darauf spezialisiert.
95 Prozent.

Datenwelten.org

Maik Meid:
[1:04:34] Gisela, Datenwelten, jetzt Dein Werbeblock. Was ist Datenwelten und was hat das mit Software, was hat das mit Datenschutz zu tun?

Gisela Bhatti:
[1:04:42] Yay, ja Datenwelten ist erstmal eine Seite, ein Programm, wo wir Basisinformationen einfach rausgeben möchten.
Weil wir einfach erleben, wie viele Leute verunsichert sind und erstmal wissen, ok CRM, was ist das? Customer Relationship Management.
Ok, Customer haben wir keine, also passt das nicht zu uns. Fundraising-System.
Machen wir nicht, wir machen Mitglieder.
Also, dass wir im Prinzip den Organisationen, die an der Stelle einfach einsteigen, Informationen an die Hand geben.
Da kann man also sich Arbeitsmaterialien runterladen, da kann man sich Videos anschauen zu diesen Themen, was ist eigentlich ein Fundraising-System und was hebt das auch ab von anderen Systemen.
Und wenn ich eins auswählen möchte, Welche acht klugen Schritte kann ich eigentlich gehen, damit ich mich da gut selber aufstellen kann?
Da gehört aber eben auch der Datenschutz mit rein, dass man das eben mitdenkt.
Und das ist mein Pädagogie von Anfang an zu sagen, okay, wir stellen das jetzt neu auf und an dieser Stelle machen wir einfach diesen Exkurs quasi und machen den Datenschutz gleich von Anfang an mit an der Stelle, damit wir einfach sauber uns aufgestellt haben einmal für das System.
Also das ist Datenwelten, da kann man eben ganz viel nachlesen, nachgucken, nachhören und sich eben auch bei uns melden. Erstmal gar nichts.

Maik Meid:
[1:05:58] Wie kann das denn sein?

Gisela Bhatti:
[1:06:00] Jetzt kommt der Werbeblock, die Fundraiserin in mir sagt an dieser Stelle Danke an die Deutsche Stiftung für Engagement und Ehrenamt.
Das ist nämlich der Grund, warum es Datenwelten kostenfrei geben kann.
Also da gibt es ab und zu eben auch Formate, die einen kleinen Teiler kosten, aber eben das Gros des Materials ist, kostenfrei zu verwenden.
Und das ist jetzt auch nicht irgendwie, weiß ich nicht, eine Werbeschmiede für uns.
Und das ist auch der Grund, warum da nicht Klatt und Rüben drüber steht, sondern eben Datenwelten, das ein bisschen neutraler zu machen, weil eben auch so Menschen wie Dirk Wolf da ihr Wissen reinpacken, weil es eben wirklich der Ort sein soll, wo man zum Thema Fundraising, Datenbanken einfach das gebündelte Wissen der Zivilgesellschaft auch findet.

Maik Meid:
[1:06:43] Jetzt habe ich als Person ganz viel gelernt und bin vielleicht Mitglied in einem

Mehr erfahren

[1:06:48] Vorstand eines Vereins, muss meinen Verein natürlich auch auf Vordermann bringen, aber jetzt möchte ich mich persönlich qualifizieren, möchte ich persönlich mehr lernen, was vielleicht über Datenwelten hinausgeht. Dirk, wo kann ich denn mehr erfahren?

Dirk Wolf:
[1:07:02] Also wenn es um Datenschutzbildung geht sozusagen.

Maik Meid:
[1:07:05] Zum Beispiel?

Dirk Wolf:
[1:07:06] Der Deutsche Fernversicherungsverband veranstaltet regelmäßig Seminare, merkwürdigerweise mit mir. Wie kann das nun sein?

Maik Meid:
[1:07:14] Du hast es vorhin schon erwähnt, deswegen macht das gar nicht so viel Spaß.

Dirk Wolf:
[1:07:21] Ansonsten, es gibt natürlich Eigenwerbung, einen Blog auch von mir, DirkWolf.de, da kann man sich auch informieren und wenn es konkrete Fragen gibt, schreibt mir eine E-Mail.

Maik Meid:
[1:07:35] Gibt es denn so etwas wie eine formale Qualifizierung in dem Bereich?
Wir brauchen ja Zertifikate in Deutschland immer.
Irgendwas für den Leitsordner.

Dirk Wolf:
[1:07:46] Mein Zertifikat habe ich tatsächlich machen müssen, weil der Verwaltungsrat einer Kundin das unbedingt wollte.
Ja, es gibt es gibt Haufenweise.
Der Goldstandard ist sicherlich GDD ZERT EU.
Das ist allerdings so, wenn man da wirklich alle Seminare mitmacht, um da hinzukommen, dann ist man schon mal einen kleinen fünfstelligen Betrag los.
Aber es gibt natürlich ganz viel TÜV und Organisationen, die einem das beibringen.
Man muss allerdings eines ganz klar sagen, wenn ich ein TÜV-Zertifikat mache, mit selbst, ich weiß gar nicht, wie lange die gehen, aber selbst wenn man da zwei Wochen sitzt und Datenschutz paukt und dann werde ich zum Datenschutzbeauftragten gemacht, dann habe ich nicht das Röstzeug.

[1:08:45] Ich bin bei einigen Organisationen, und ich finde das ein gutes System, bin ich sozusagen im Hintergrund.
Da gibt es also die Datenschutzbeauftragte, und die haben mich sozusagen als Auffang, oder um sie aufzufangen, um ihnen den Rücken zu stärken.
Wenn sie Fragen nicht beantworten können, dann kommen sie halt zu mir, und ich helfe ihnen dabei.
Das finde ich eigentlich auch noch ein ganz gutes System, aber ehrlich gesagt, mit einem Wochenendkurs wird man dem Datenschutz nicht beikommen.

Maik Meid:
[1:09:20] Liebe Kollegin, lieber Kollege, was haben wir vergessen?

Gisela Bhatti:
[1:09:24] Ich möchte den Dirk nicht aus dem Raum gehen lassen, ohne dass der sagt, was für einen praktischen Rat er hat an die Fundraiserin, die den gelben Zettel von ihrem Monitor loswerden möchte, wo draufsteht, Herrn so und so nicht anrufen, der ist schwerhörig.
Kann ich diese Gesundheitsdaten irgendwie verklausulieren? Was machst du da in der Praxis?

Dirk Wolf:
[1:09:45] Also würde ich in der Praxis immer an dich verweisen, dass ich eine ordentliche Datenbank bekomme.
Ja, sowas gehört am Ende in die Datenbank. Ich weiß, das wird jetzt viele überraschen, aber wie gesagt, ich kann viele Dinge ja mit dem berechtigten Interesse begründen.
Schwierigkeit, okay, da geht es um Gesundheit, hatten wir gesagt, da brauchen wir irgendwo eine Einwilligung.
Ich kann nur ermutigen, alle Fundraiserinnen und Fundraiser ermutigen, reden Sie mit Ihren Spendern und potenziellen Spendern ehrlich über das Thema.
Sagen Sie, wir arbeiten auf die und die Weise. Da können Sie auch gerne sagen, wir haben eine ganze Reihe von Spendern und wir können uns nicht alles merken und deswegen müssen wir das aufschreiben und Das macht man heutzutage in Datenbanken.
Und wie sieht es aus, dürfen wir das mit Ihren Daten auch machen.
Und dann werden Sie, im Allgemeinen gibt es ja ein positives Verhältnis.
Und dann wird normalerweise die Spenderin der Spender nicht sagen, nee, das dürfen Sie nicht.
Und wenn das wirklich kommt, wenn das, nein, das dürfen Sie nicht, dann würde ich mich tatsächlich fragen, ist das Verhältnis so positiv, wie ich das bisher gesehen habe?

Gisela Bhatti:
[1:11:06] Ja, aber ich finde, das ist ein schönes Fazit, also das, was wir ohnehin tun, nämlich mit unseren Leuten zu reden und im Kontakt zu stehen, einfach auch auf diesem Punkt auszuweiten und unter der Brille auch noch mal zu sehen.

Maik Meid:
[1:11:20] Ich danke euch sehr für dieses positive Verhältnis hier. Alles Gute euch und auf bald.

Dirk Wolf:
[1:11:26] Ja, danke schön. Auf bald.

Gisela Bhatti:
[1:11:27] Viel Erfolg!