Mitgliederlisten in der Cloud speichern?
Hallo,
ich bin in einem Verein als Vorstandsmitglied tätig und in der letzten Vorstandssitzung kam die Frage auf, ob es rechtlich bedenklich ist (ggf. auch vor dem Hintergrund der neuen Datenschutzverordnung), die Mitgliederlisten, auf denen auch Adresse etc. der Mitglieder angegeben sind, in einer Cloud (in diesem Fall Dropbox) zu speichern. Zugriff hat darauf natürlich nur der Vorstand.
Es geht also lediglich um die Frage, ob die Speicherung auf einer Cloud problematisch ist.
LG
5 Antworten
Bei der Fragestellung geht es eigentlich um 2 verschiedene Themen:
- Die Mitgliedsliste
- Speicherung in der Cloud
zu 1: Eine Einwilligung in die Erstellung einer internen Mitgliedsliste ist in aller Regel überhaupt nicht nötig.
Grund: Wie soll der Verein denn überhaupt tätig werden, wenn nicht bekannt ist, wer die Mitglieder sind? Also liegt es nicht nur im Interesse des Vereins, sondern auch der Mitglieder - sonst hätte eine Mitgliedschaft ja gar keinen Sinn.
Das ist durch DSGVO Art. 6, Satz 1 B abgedeckt (Vertragserfüllung, auch eine Mitgliedschaft ist ein Vertrag)
zu 2: Solange nur die berechtigen Personen (z.B. Vorstand) innerhalb des Vereins diese Liste einsehen und bearbeiten können und das durch wirksame technische Maßnahmen (z.B. Verschlüsselung, Protokollierung, Zugriffsberechtigungen) gelöst ist und die Liste innerhalb der EU gespeichert wird, ist alles ok.
Inhalte auf Dropbox werden in aller Regel nicht in der EU gespeichert, also ist das schon fraglich. Der Erklärungs-Aufwand steigt, denn auch wenn eine Speicherung außerhalb der EU möglich ist, muss das gleiche Schutzniveau herstellbar sein.
Einfacher für euch wäre also ein Cloud-Anbieter innerhalb der EU, mit dem ihr auch einen Auftragsverarbeitungsvertrag abschließen solltet. Den bieten inzwischen alle guten/seriösen Hoster an.
Gemäß BDSG und DSGVO ist von den Mitgliedern vorab die Genehmigung für die Weitergabe dieser Daten an Dritte einzuholen; das gilt übrigens auch für den Fall, dass deren Kontaktdaten z.B. einfach via WhatsApp o.ä. geteilt werden. Gegen eine Speicherung in verschlüsselter Form zum Zweck der Datensicherung wird vermutlich wenig einzuwenden sein, jedoch ist auch hier sicherzustellen, dass sich die Cloudserver in D und nicht anderswo befinden. Dropbox o.ä. geht gar nicht.
Ich bin mir nicht sicher, aber es könnte sein, dass die Mitglieder darüber informiert werden müssen und möglicherweise ihr Einverständnis erforderlich ist.
Ich würde die Daten auf keinem Speicher packen, der nicht in Deutschland steht.
Es geht also lediglich um die Frage, ob die Speicherung auf einer Cloud problematisch ist.
Kommt drauf an, was für eine Cloud das ist. Den Mainstream-Cloud-Anbietern (Dropbox, Google Drive, Microsoft OneDrive) würde ich da auf keinen Fall über den Weg trauen - die Server liegen in den USA, wo die Interessen der Regierung nachweislich über Datenschutz gestellt wird.
Eine interessante "Alternative" könnte eine gehostete Cloud in Deutschland (entweder direkt beim Verein selber falls die entsprechende Infrastruktur - oder technikaffine Mitglieder - besteht oder bei einem deutschen Hosting-Anbieter - dann eventuell gleich zusammen mit einer möglichen Vereinshomepage). Das Stichwort heißt Own- bzw. Nextcloud, eine Software, mit der man sich quasi "eine eigene Cloud aufsetzen" kann. - Übrigens wird die Bundesrepublik Deutschland in Zukunft auch auf Nextcloud setzen.