Vereinsinterne E-Mail-Kommunikation Datenschutzverstoß?

Guten Tag, liebe Community,

ich habe ein Problem, bei dem ich sehr auf Eure Hilfe hoffe. Ich muss ein wenig ausholen, um Euch den Sachverhalt vollständig darzustellen.

Ich bin seit 2019 ehrenamtlich als Kreisleiter einer Wasserwacht in einem DRK-Kreisverband tätig. Wir fungieren nicht als Ortsverein, so dass wir nicht eigenständig Rechnungen versenden können, sondern dies über die Buchhaltung der Geschäftsstelle erfolgt.

Ehrenamtlich bieten wir neben dem Training für unsere Mitglieder auch Nichtmitgliedern Schwimmkurse an. Die Kosten hierfür werden durch die Buchhaltung der Geschäftsstelle per Rechnung vereinnahmt. Dazu geben wir regelmäßig die Anmeldungen per Mail an den Geschäftsführer weiter.

Unsere Homepage und die speziellen Wasserwacht-Mailaccounts werden betrieben von DT-Internet (dem zentralen Provider des DRK). Hierzu hat der Kreisverband bereits vor Jahren einen Vertrag abgeschlossen. Es existiert zudem eine Auftragsverarbeitungsvereinbarung, die auch umfangreiche technische und organisatorische Maßnahmen zusichert. Das Verfahren zur Rechnungsstellung wurde etwa vor 2 Jahren mit dem Geschäftsführer vereinbart (vorher Einzahlung durch die Eltern), ebenso der Datenaustausch in dieser Form.

Die Mail mit den Anmeldebögen und der Auflistung der Teilnehmer versende wie seit Jahren schon von meinem Wasserwacht-Account direkt an den Geschäftsführer unseres DRK-Kreisverbandes. Die Anmeldebögen enthalten folgende Daten, die zur Rechnungsstellung und zur Durchführung der Schwimmkurse benötigt werden: Name des Kindes, Name und Adressdaten der Eltern als Rechnungsempfänger sowie Besonderheiten, die durch uns im Schwimmkurs bei dem Kind zu beachten sind.

Nunmehr wurde gegen mich ein schriftlicher Verweis ausgesprochen, da diese Form des Datenaustauschs nach Meinung des Geschäftsführers einen Datenschutzverstoß darstellen soll.

Über den Verweis wurden die Mitglieder der Wasserwacht (knapp 300) und andere Stellen außerhalb der Wasserwacht (u. a. der Landesdatenschutzbeauftragte) schriftlich informiert: unter Nennung meines Namens und detaillierter Beschreibung des Vorwurfs sowie Ankündigung weiterer rechtlicher Schritte und disziplinarischer Maßnahmen gegen mich.

Zudem wurde auch der Landesverband hierüber detailliert informiert und gebeten, gegen mich weitere disziplinarische Maßnahmen zu verhängen.

Ich bin nun sehr verunsichert. Zwar hatte der Geschäftsführer bereits einige Male mir ggü. gemeint, wir dürften per Mail keine Mitgliederdateien austauschen und schickte mir dann Mitgliederlisten per Post. Allerdings verstand ich nicht, warum. Mitgliedsanträge enthalten Datenschutzhinweise und auch die entsprechende Einwilligung der Mitglieder. Auch die Zweckbindung der Datenverarbeitung war stets gegeben. Zudem erfolgt die Kommunikation nicht über private Mailadressen, sondern über die speziellen DRK- und Wasserwacht-Mailaccounts mit entsprechender Vertragsgrundlage. Erst vor einigen Wochen (mit Erteilung des Verweises gegen mich) erfuhr ich , dass die Geschäftsstelle des DRK nicht über DT-Internet ihre Mailaccounts betreibt, sondern über Google Business.

Nun meine Fragen:

Inwieweit stellt der beschriebene vereinsinterne Mailverkehr einen Datenschutzverstoß dar?

Wie verhält es sich mit der Offenlegung ggü. den anderen Personen? Mitglieder haben z. B. mit den Schwimmkursen nichts zu tun.

Muss ich noch ein Bußgeld befürchten?

Ich würde mich wirklich sehr freuen, wenn ich Unterstützung von Euch bekäme, denn mittlerweile trauen wir uns gar nicht mehr, per Mail zu kommunizieren, sondern drucken jegliche Anfragen (Anträge, Kündigungen, Anmeldungen zu Kursen - also alles, wo auch nur ein Name drauf steht) aus und senden es per Post an den Kreisverband.

Für diese Tätigkeiten erhalten wir keinerlei Aufwandserstattung und unsere ehrenamtliche Arbeit wird deutlich erschwert.

Danke im Voraus.

Ehrenamtlicher Wasserwachtler aus Leidenschaft

1. Ist die Wasserwacht eigentlich ein datenschutzrechtlich eigenständiger “Verantwortlicher”, der die Vorschriften umzusetzen hat? Sieht eher danach aus, dass die Verantwortung beim Kreisverband liegt. (Legt Zwecke und Mittel der Verarbeitung fest.) Dann haben nicht die Abteilungen, sondern die verantwortliche Stelle als Ganzes den Datenschutz zu organisieren. Dann treffen nur den Kreisverband alle Pflichten. Natürlich muss er intern Zuständigkeiten regeln; seinen Beschäftigten (auch ehrenamtlichen) Weisungen erteilen, wie sie seiner Meinung nach datenschutzkonform Daten zu verarbeiten haben. Mehr oder weniger (besser mehr) deutlich und einhaltbar.

2. Die Wahl der Plattform hätte datenschutzkonform auszufallen. Der Verantwortliche darf nur Dienstleister nehmen, die seine Daten für ihn vorschriftsmäßig verarbeiten können. Zusätzliche Zwecke (v. a. zugunsten des Dienstleisters) benötigen einen Erlaubnistatbestand für die Übermittlung dorthin; ansonsten sind sie wegzukonfigurieren. (Beim Selbstverständnis von Google wäre das sportlich.) Mit einem sauberen Dienst oder einer selbst betriebenen Mailplattform wäre es wohl unbedenklich, Mails untereinander zu schicken. Diese würden ja den Verantwortungsbereich nicht verlassen, nur für Absender und Empfänger lesbar, Auswertung für abweichende Zwecke des Dienstleisters /der technischen Administration ausgeschlossen. (Also nur im Mandantenbereich des Rechenzentrums unterwegs ; nicht etwa schwach /unverschlüsselt über das Internet zwischen mehreren Providern etc.)

3. Das Fehlverhalten einer Person außerhalb der disziplinarisch zuständigen Stellen zu verbreiten ist ein Verarbeitungsvorgang, für den die Datenschutzgrundsätze einzuhalten sind; v. a. die Rechtmößigkeit. Nämlich??? (Vergleichbar mit dem No-Go, Kündigungsgründe, Erkrankungen, private Details zu verkünden.)

D., dem diese Punkte besonders aufgefallen sind. (Als diskussionswürdig; keine Rechtsberatung.)

Hallo und vielen Dank schonmal.

Die Wasserwacht ist nur eine Gemeinschaft im Verein, die Rechtsperson ist der DRK Kreisverband. Nur er darf rechtsgültig Verträge schließen und hat auch den Vertrag mit DT-Internet für die Wasserwacht abgeschlossen.

Schriftlich fixierte Anweisungen für die Ehrenamtlichen liegen nicht vor. Erst im Zuge der Offenlegung des Verweises wurden den Mitgliedern Verpflichtungserklärungen sowie Datenschutzhinweise übermittelt.

Die Datenschutzhinweise selbst sind jedoch für Ehrenamtliche nicht umsetzbar, da dort z. B. geregelt ist, dass die Datenverarbeitung nur an Endgeräten des DRK und in den Räumlichkeiten des DRK erfolgen darf. Wir verfügen weder über die notwendige Anzahl an Geräten noch stehen uns adäquate Räumlichkeiten zur Verfügung.

Über den Verweis wurden die Mitglieder der Wasserwacht (knapp 300) und andere Stellen außerhalb der Wasserwacht (u. a. der Landesdatenschutzbeauftragte) schriftlich informiert: unter Nennung meines Namens und detaillierter Beschreibung des Vorwurfs sowie Ankündigung weiterer rechtlicher Schritte und disziplinarischer Maßnahmen gegen mich.

Ich glaube, der Datenschutzverstoß liegt hier eher bei dem Geschäftsführer, der solche Anschuldigungen in der Welt verbreitet.

Aus meiner Sicht liegt da eher eine persönliche Angelegenheit vor, die seitens des GF auf dem Rücken des Datenschutzes ausgetragen werden soll. Aus meiner Sicht hat er damit aber keine Chance, wenn sich alles nahezu so zugetragen hat, wie beschrieben. Mir scheinen die Prozesse und Verarbeitungen alle relativ zweckmäßig und die Daten auch eher unkritisch zu sein.

Selbst im sehr unwahrscheinlichen Fall eines Bußgeldes würde das ja auch gegen die Verantwortliche Stelle gehen und nicht gegen einzelne Ehrenamtliche, die letztlich nur im Auftrag des Verantwortlichen handeln. Außer vielleicht bei grober Fahrlässigkeit oder Vorsatz.

Endgeräte: Na ja, die Weisungen sollten auf die Realität beziehbar sein. Z. B. Dienstgeräte stellen; vom Kreisverband verwaltete sichere Container auf Privatgeräten; Client-Server-Lösung, wo die Daten nie den sicheren Server verlassen und zum Privatgerät nur Bildschirm /Maus /Tastatur übertragen werden.

Falls es noch relevant ist, biete ich gerne meine weitere - kostenlose - Hilfe in dem Fall an. Der Vorwurf selbst scheint an den Haaren herbei gezogen zu sein. Eine Weiterverbreitung in der Form ist unzulässig. Datenaustausch per E-Mail-Verkehr ohne Verschlüsselung ist nicht ok, aber das ist ein lösbares Problem.

Sehr gerne. Vielen Dank.

Der Betreiber DT-Internet sichert lt. AVV u. a. Verschlüsselung zu. Gem. Mail-Quelltext erfolgte TLS-Verschlüsselung.

Aufgrund der beschriebenen Konstellation ist der DRK Kreisverband die für die Einhaltung des Datenschutzes verantwortliche Stelle - vertreten durch den Geschäftsführer. Wenn die E-Mail-Kommunikation so schon seit längerer Zeit durchgeführt wurde, ohne dass jemals etwas daran kritisiert wurde, kannst Du auch nicht verantwortlich dafür gemacht werden, zumal ja anscheinend bisher auch keinerlei Datenschutzschulungen oder - belehrungen stattgefunden haben und es keine anderweitigen Vorgaben diesbezüglich gab. Der Geschäftsführer steht in der Pflicht, sich um Datenschutzregelungen und deren Umsetzung zu kümmern.

Mit der Bekanntgabe einer disziplinarischen Maßnahme an Unbeteiligte hat der GF selbst einen Datenschutzverstoß begangen. Hier wäre die “Erforderlichkeit” sehr zweifelhaft.

Ein Bußgeld musst Du nicht befüchten, ein solches kann nur von der Datenschutzaufsicht gegenüber der verantwortliche Stelle festgesetzt werden, wenn von dieser eine (schwere) Datenschutzverletzung festgestellt wird. Ein solche kann ich in Deinem Fall auf den ersten Blick aber nicht unbedingt erkennen.

Ich verstehe nach wie vor nicht, was der konkrete Vorwurf, der im Raum stehende Datenschutzverstoß wäre.

Ist es die Nichtverwendung vorgeschriebener Geräte - wie es in der Originalbeschreibung anklingt?
Liegt eine Missachtung vorgegebener Hierarchien vor? Hätte mit Datenschutz nichts oder nur bedingt zu tun.
Unzureichende oder unzutreffende Datenschutzerklärung? Vermutlich ist die Verarbeitungstätigkeit auch nicht beschrieben. Aber welche Pflichtverletzung wird dann angemahnt?

Bei der E-Mail-Sicherheit schützt TLS (Transport layer security), wie der Name sagt den Transport ab. Ist gewissermaßen das Kuvert um die Postkarte. Es verhindert nicht den Fehlversand an ein fremdes Ziel. Wie gesagt, alles lösbare Probleme und sicherlich kein Datenschutzverstoß.

Das Wesentliche ist schon gesagt.

Nochmal zur Verdeutlichung, zwei Sachverhalte, die getrennt betrachtet werden sollten:

1. Verarbeitung beim INTERNEN Austausch der Mitgliederdaten per e-Mail
2. Interne namentliche Bekanntgabe von Verfehlungen eines Funktionsträgers

Zu 1.:
Der Versand von Mails mit pbD ist wegen nicht sicher gestellter Verschlüsselung i.d.R. kritisch zu sehen. Wenn jedoch vom Mail Client des Absenders die Daten direkt an den Mailserver der Organisation übermittelt werden, soweit der Client dort einen Account hat, ist dies verschlüsselt. Wenn Sie dort von einem Empfänger aus derselben Organisation abgerufen werden, auch.
Bedeutet: die Daten werden beim Mailverkehr innerhalb der Organisation NICHT per SMTP durch das Internet geschickt und es finden keine unverschlüsselten Übertragungen statt.
(Wenn ich mich da irre, so bitte ich um Korrektur.)
Demnach sollten hier die Risiken beim Mailversand innerhalb der Organisation in einem akzeptablen Rahmen bleiben.
Meine Meinung:
Sollte es nachweisbar eine interne Weisung geben, dass der Versand pbD per Mail nicht zulässig ist, dann ist das erstmal löblich, es sollte dann aber auch alternative Lösungen geben. Ebenso führt die andauernde Duldung von Verstössen gegen interne Anweisungen regelmäßig dazu, dass diese als unwirksam und damit als ungültig anzusehen sind.
Von daher ist hier der Vorwurf des “Datenschutzverstosses” kaum aufrecht zu erhalten. Der Verstoss gegen eine interne Anweisung ist, soweit dies Verhalten bislang geduldet wurde, vor allem mit Bezug zu geforderten Disziplinamaßnahmen gegenstandslos.

Zu 2.:
Die Offenlegung in der beschriebenen Form entbehrt der Notwendigkeit und Erforderlichkeit, ist damit ein Verstoss gegen die Datenminimierung, also ein Verstoss gegen den Datenschutz.

Zudem handelt es sich offensichtlich um etwas “persönliches”, bei dem es eigentlich um andere Sachverhalte oder die Person und nicht um den Datenschutz geht.
Man sollte überlegen, ob hier nicht ein “vereinsschädliches Verhalten” vorliegt, wenn ein Ehrenamtler unnötig öffentlich eines Fehlverhaltens beschuldigt wird.
Es wäre ein Zeichen guter Governance, wenn hier die höheren Vereins-/Verbandsebenen vermittelnd eingreifen würden, um den Ursprungskonflikt beizulegen.
Der Datenschutz ist nur unwesentlicher Nebenschauplatz.

Der Vorwurf lautete: “Herr XX XXX hat wiederholt personenbezogene Daten von Schwimmkursteilnehmern und Erziehungsberechtigten unverschlüsselt per Mail versandt” und “Der Versand dieser Daten in unverschlüsselt Form stellt einen Verstoß gegen die Datenschutzgrundverordnung dar.”

Im Schreiben an die Miglieder heißt es weiter “Wir möchten Sie daher über den Ablauf, die Bewertung und die weiteren Maßnahmen im Umgang mit diesem Datenschutzverstoß informieren.” und

“Am 11.11.2025 haben wir den Datenschutzverstoß beim Landesdatenschutzbeauftragten angezeigt.” und

“Ein schriftlicher Verweis wurde gegenüber Herrn XX XXX ausgesprochen. Weitere rechtliche Schritte und disziplinarische Maßnahmen werden mit den entsprechenden Gremien besprochen.”.

Tatsächlich erfolgte der Versand über die vom Kreisverband eingekaufte Plattform mittels konfigurierten Wasserwacht-Mailaccount ausschließlich vereinsintern an den Geschäftsführer an dessen dienstliche Mailadresse.

Ich gehe davon aus, dass es keine Reaktion von Seiten der oder des Landesdatenschutzbeauftragten geben wird, dazu ist der “Vorfall” zu unwichtig, zumal es hier zumeist nur um Rechnungsdaten (Name, Anschrift) geht - obwohl man die “Besonderheiten, die im Schwimmkurs bei dem Kind zu beachten sind“, als Gesundheitsdaten qualifizieren könnte. Vermutlich werden aber alle Beteiligten auf eine Reaktion der Aufsicht warten und bis dahin wird nichts entschieden. Das ist aber kein Zustand, Maßnahmen müssen unabhängig von einer Reaktion der Aufsicht ergriffen werden. Interessant wäre in diesem Zusammenhang der Inhalt der Meldung nach Art. 33 und zwar, welche Abhilfemaßnahmen denn seitens des Kreisverbands in Angriff genommen wurden oder werden, um eine Wiederholung eines solchen “Vorfall” zu vermeiden. Ein Verweis und disziplinarische Maßnahmen verbessern nicht den Datenschutz. Welche technischen und organisatorischen Maßnahmen hat der Keisverband ergriffen? Wurde auch eine Information der Betroffenen nach Art. 34 in Betracht gezogen?