Zum Inhalt

Einwilligungsmanagement

HERA verarbeitet personenbezogene Daten ausschließlich auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Person. Das Einwilligungsmanagement bündelt alle dazu gehörenden Funktionen und Verwaltungsoberflächen. Diese Seite richtet sich an OV-Administration und Verwaltung und beschreibt die operativen Abläufe vollständig.

Überblick

Das Einwilligungsmanagement umfasst fünf Bausteine:

  1. Einwilligungs-Gate beim ersten Aufruf für jede Person mit Benutzerkonto.
  2. Differenzierte Einwilligung in vier Datenkategorien für die Übernahme von Daten aus THWin.
  3. Importprüfung pro Datenkategorie, sodass personenbezogene Importe ausschließlich Daten verarbeiten, für die eine Einwilligung vorliegt.
  4. Datenminimierung als Verwaltungswerkzeug zur strukturierten Löschung größerer Datenmengen einer Kategorie.
  5. Audit-Log für sämtliche Vorgänge im Bereich Einwilligung und Datenschutz.

Ergänzend sorgt ein täglicher Hintergrundjob für die endgültige Anonymisierung soft-gelöschter Mitglieder.

Einwilligungs-Gate

Zweck

Vor der ersten produktiven Nutzung muss jede Person ausdrücklich entscheiden, ob HERA ihre Daten verarbeiten und speichern darf. HERA leitet eine Person mit offenem Einwilligungsstatus automatisch auf die Einwilligungs-Seite (/ov/consent) weiter. Erst nach einer Entscheidung sind die regulären OV-Funktionen erreichbar.

Inhalte der Einwilligung

Die Einwilligung gliedert sich in zwei Ebenen:

  1. Generelle Einwilligung in die Verarbeitung und Speicherung der Daten zur Nutzung von HERA. Ohne diese Einwilligung kann HERA nicht genutzt werden.
  2. Optionale Einwilligung pro Datenkategorie für die Übernahme bestimmter Daten aus der Verwaltungssoftware THWin.

Die optionalen Kategorien sind:

Kategorie (intern) Anzeige in HERA Inhalt
training_progress Ausbildungsstand Eigener Stand und Unterstützung der Führungskräfte bei der Ausbildungsplanung.
certifications Belehrungen DGUV-Belehrungen, Bescheinigungen, Terminplanung und Hinweise zur Einsatzbefähigung.
helper_file_data Kontaktdaten aus der Helferakte Übersicht und Pflege der Kontaktdaten aus der Helferakte (Telefon, E-Mail, Anschrift, Arbeitgeber, Bankverbindung).
health Gesundheitsdaten Impfstatus, Untersuchungen, Terminplanung und Hinweise zur Einsatzbefähigung.

Die optionalen Einwilligungen sind unabhängig voneinander wählbar und können später jederzeit angepasst werden.

Nur mit Datenimport aus THWin verfügbar

Die optionalen Einwilligungen wirken sich erst aus, wenn die zugehörigen personenbezogenen Daten tatsächlich aus THWin in HERA übernommen werden können. Aktuell ist dies aus datenschutzrechtlichen und organisatorischen Gründen nicht möglich. Personen können die optionalen Einwilligungen dennoch erteilen; eine Übernahme erfolgt erst, sobald die Importe wieder verfügbar sind. Mehr erfahren

Folgen einer Ablehnung

Wer der generellen Einwilligung widerspricht, gibt damit den Verzicht auf eine Nutzung von HERA zu erkennen. HERA führt in diesem Fall folgende Schritte transaktional aus:

  1. Das Benutzerkonto der Person wird entfernt.
  2. Der zugehörige Mitgliederdatensatz wird anonymisiert. Personenbezogene Felder werden überschrieben, und ein Hash über den Namen verhindert, dass eine Person über künftige Importe versehentlich erneut angelegt wird.
  3. Der Vorgang wird im Audit-Log mit dem Ereignis „Einwilligung abgelehnt“ dokumentiert.

Damit ist sichergestellt, dass der Wille der Person ohne weitere Eingriffe respektiert wird.

Folgen eines Widerrufs einzelner Kategorien

Wird eine optionale Einwilligung später entfernt, löst HERA automatisch die Datenminimierung für die betroffene Kategorie aus:

Widerrufene Kategorie Wirkung
Ausbildungsstand Trainingsfortschritte der Person werden gelöscht.
Belehrungen Bescheinigungen und Anhänge der Person werden gelöscht.
Kontaktdaten aus der Helferakte Die aus THWin übernommenen verschlüsselten Kontaktdaten werden entfernt.
Gesundheitsdaten Die zur Person gehörenden Gesundheitsdaten werden aus dem organisationsbezogenen Datensatz entfernt.

Der Widerruf wird im Audit-Log mit dem Ereignis „Einwilligung widerrufen“ dokumentiert.

Eigene Einwilligungen pflegen

Die betroffene Person kann ihre Einwilligungen jederzeit im persönlichen Bereich einsehen und anpassen. Die Verwaltung muss dafür nicht eingreifen. Die Pflege ist im Anwenderhandbuch beschrieben.

Importe nur mit Einwilligung

Personenbezogene Importe verarbeiten ausschließlich Daten von Personen, für die zum Zeitpunkt des Imports eine passende Einwilligung vorliegt. HERA prüft pro Datensatz die hinterlegten Einwilligungen. Datensätze ohne passende Einwilligung werden übersprungen und im Importprotokoll mit dem Hinweis skipped_consent_missing vermerkt.

Importtyp Erforderliche Kategorie
Ausbildungsstand Ausbildungsstand
Berechtigungen / Belehrungen Belehrungen
Gesundheitsdaten Gesundheitsdaten
Helferakte: Kontakt-Status, Arbeitgeber-Adressen, Arbeitgeber-Erreichbarkeit, Bankverbindungen Kontaktdaten aus der Helferakte
Helferliste, Helfer in Gruppe Generelle Einwilligung
Mitgliederliste (manueller Betrieb) Generelle Einwilligung

Damit lässt sich auch in laufenden Verfahren sicherstellen, dass nur Daten verarbeitet werden, für die eine Einwilligung vorliegt. Die Verantwortung für die Information der betroffenen Personen verbleibt beim Ortsverband.

Betriebsmodus für personenbezogene Daten

In den OV-Einstellungen wird festgelegt, wie personenbezogene Daten gepflegt werden:

  • Manueller Betrieb (Standard für neue Ortsverbände) – Personenbezogene THWin-Importe sind ausgeblendet. Mitglieder werden über das Bewerbungsverfahren oder den reduzierten Mitgliederliste-Import aufgenommen.
  • THWin-Personaldaten – Personenbezogene THWin-Importe stehen zusätzlich zur Verfügung. Sie verarbeiten ausschließlich Datensätze, für die eine passende Einwilligung vorliegt.

Eine Umstellung ist jederzeit möglich. Bestehende Daten bleiben erhalten. Der Betriebsmodus wirkt unmittelbar auf die in den Importen sichtbaren Datentypen.

Datenminimierung als Verwaltungswerkzeug

Zweck

Für Personen mit der Rolle OV-Administration steht ein Werkzeug zur Datenminimierung zur Verfügung. Es ist für Situationen vorgesehen, in denen größere Datenmengen einer Kategorie strukturiert entfernt werden sollen, beispielsweise vor Übergabe einer Ortsverbandsführung, bei Bereinigung historischer Bestände oder bei systematischen Überprüfungen.

Aufruf

  • Pfad: /ov/admin/data-minimization
  • Berechtigung: OV-Administration
  • Navigation: Administration → Datenminimierung

Aktionen

Die Funktion bietet fünf Aktionen zur Auswahl:

Aktion Wirkung Vorschau enthält
Berechtigungen und Anhänge Löscht Bescheinigungen und zugehörige Datei-Anhänge der ausgewählten Personen. Personen mit Bescheinigungen.
Gesundheitsdaten Entfernt Gesundheitsdaten der ausgewählten Personen aus dem organisationsbezogenen Datensatz. Personen mit verschlüsselten Daten.
Verschlüsselte THWin-Daten Entfernt verschlüsselt gespeicherte THWin-Daten von Personen, die nicht im Bewerbungs- oder Aufnahmeverfahren stehen. Personen mit verschlüsselten Daten ohne aktiven Bewerber-Status.
Ausbildungsstand Löscht den gespeicherten Ausbildungsfortschritt der ausgewählten Personen. Personen mit Trainingsfortschritten.
Mitglieder ohne Positionierung Markiert Mitglieder ohne Einheitenzuordnung und ohne aktive Bewerbung als gelöscht. Mitglieder ohne Einheit und ohne aktive Bewerbung.

Ablauf

  1. Aktion auswählen in der linken Spalte.
  2. Vorschau prüfen – HERA zeigt die betroffenen Personen mit Name und Status.
  3. Auswahl anpassen – einzelne Personen lassen sich gezielt aus- oder abwählen.
  4. Ausführen – HERA führt die Löschung in einer geschlossenen Transaktion durch.
  5. Audit-Log – HERA erstellt einen Eintrag mit Aktion, Anzahl der betroffenen Datensätze und den Mitglieds-Identifikatoren.

Eine fehlgeschlagene Ausführung wird vollständig zurückgerollt, damit kein inkonsistenter Zustand entsteht. Nach erfolgreicher Ausführung aktualisiert HERA die Vorschau automatisch.

Hinweise

  • Die Aktion „Verschlüsselte THWin-Daten“ schützt Personen mit Status interessent, interessentin oder aufgenommen sowie Personen, die einen aktiven Bewerber-Account haben. Diese werden in der Vorschau nicht angezeigt.
  • Die Aktion „Mitglieder ohne Positionierung“ schützt ebenfalls Personen mit Bewerber-Status. Sie ist insbesondere für die Bereinigung historischer Datensätze geeignet.
  • Vor jeder Ausführung empfiehlt sich eine Sichtung der Vorschau, da die Aktion nur die explizit angehakten Personen betrifft.

Tägliche Anonymisierung gelöschter Mitglieder

Soft-gelöschte Mitglieder werden nicht unmittelbar entfernt. Damit besteht ein Zeitfenster, in dem die Verwaltung versehentliche Löschungen aufheben kann.

Nach Ablauf einer Aufbewahrungsfrist von sieben Tagen führt ein täglicher Hintergrundjob (member_anonymization_daily) die endgültige Anonymisierung durch:

  • Personenbezogene Felder werden überschrieben.
  • Ein Hash über den Namen wird gespeichert, sodass eine erneute automatische Anlage durch Importe verhindert wird.
  • Verbleibende sensible Daten, beispielsweise verschlüsselte Inhalte, werden entfernt.

Status und Laufzeit des Jobs sind in der Administrationsübersicht ersichtlich.

Einwilligung entsperren

Zweck

Personen, die der Nutzung von HERA widersprochen haben, sind anschließend gesperrt. Eine erneute Aufnahme in den Ortsverband oder ein neues Benutzerkonto sind ohne vorherige Aufhebung der Sperre nicht möglich. Das Werkzeug „Einwilligung entsperren“ erlaubt der Rolle OV-Administration, eine Sperre auf ausdrücklichen Wunsch der betroffenen Person gezielt aufzuheben.

Wann liegt eine Sperre vor?

Eine Sperre entsteht, sobald eine Person die generelle Einwilligung in die Datenverarbeitung ablehnt. Dies kann auf zwei Wegen geschehen:

  • Ablehnung am Einwilligungs-Gate beim ersten Aufruf von HERA.
  • Späterer Widerruf der generellen Einwilligung im persönlichen Bereich.

In beiden Fällen führt HERA die Anonymisierung des Mitgliederdatensatzes durch:

  • Der Mitgliederstatus wird auf anonymized gesetzt, der Einwilligungsstatus auf declined.
  • Vor- und Nachname werden überschrieben (Person gelöscht).
  • Verschlüsselte Daten und ausstehende Datenänderungen werden entfernt.
  • Ein Hash über den ursprünglichen Namen (name_hash) bleibt im Datensatz erhalten.

Genau dieser Namens-Hash wirkt als Sperre: Bei Importen oder bei einer manuellen Neuanlage erkennt HERA den Hash und verhindert, dass der gleiche Name versehentlich erneut angelegt wird. Die anonymisierte Person ist in der Mitgliederliste nicht mehr sichtbar.

Voraussetzungen für eine Aufhebung

  • Die betroffene Person hat den Ortsverband um eine erneute Entscheidungsmöglichkeit gebeten.
  • Vor- und Nachname der Person sind bekannt.
  • Die durchführende Person hat die Rolle OV-Administration für den betroffenen Ortsverband.

Aufruf

  • Pfad: /ov/admin/consent-reset
  • Berechtigung: OV-Administration (is_org_admin?)
  • Navigation: Administration → Einwilligung entsperren

Personen ohne die erforderliche Berechtigung werden automatisch auf die OV-Übersicht zurückgeführt.

Ablauf

  1. Vor- und Nachname eingeben. Beide Felder sind Pflichtfelder.
  2. Bestätigungs-Checkbox anhaken: „Die Person möchte erneut über die Einwilligung entscheiden“. Diese Bestätigung dient als nachvollziehbare Begründung für die Aufhebung.
  3. Sperre prüfen und aufheben auswählen.
  4. HERA berechnet den Namens-Hash und sucht in den Mitgliederdaten des Ortsverbands nach einem passenden Datensatz.
  5. Liegt ein Treffer vor und ist der Datensatz tatsächlich aufgrund eines Widerspruchs gesperrt, hebt HERA die Sperre auf:
    • Vor- und Nachname werden im Datensatz wiederhergestellt.
    • Der Einwilligungsstatus wird zurückgesetzt (consent_status: nil).
    • Der Mitgliederstatus wird auf den Status für manuell angelegte Mitglieder (angelegt) gesetzt.
    • Soft-Delete-Markierung (deleted_at) und Anonymisierungs-Markierung (anonymized_at) werden entfernt.
  6. HERA bestätigt die Aufhebung mit dem Hinweis, dass für die Person nun ein Benutzerkonto erstellt werden kann.

Mögliche Hinweise und Fehlermeldungen

Situation Anzeige in HERA
Vor- oder Nachname fehlt „Vor- und Nachname sind erforderlich.“
Bestätigungs-Checkbox nicht gesetzt „Bitte bestätigen Sie, dass die Person erneut entscheiden möchte.“
Kein passender Datensatz im OV gefunden „Keine passende gesperrte Person gefunden.“
Datensatz vorhanden, aber nicht durch Widerspruch gesperrt „Für diese Person liegt keine Nutzungssperre vor.“
Sperre erfolgreich aufgehoben „Sperre aufgehoben. Für die Person kann nun ein Benutzerkonto erstellt werden.“

In allen Fehlerfällen werden weder der Mitgliederdatensatz noch der Einwilligungsstatus verändert. Es kann erneut versucht werden, beispielsweise mit einer korrigierten Schreibweise des Namens.

Folgeaktionen nach erfolgreicher Aufhebung

  1. Die Person ist in der Mitgliederliste wieder sichtbar.
  2. Die OV-Administration legt für die Person ein neues Benutzerkonto an, beispielsweise über „Mitglieder ohne Konto“.
  3. Die Person erhält die Anmeldemöglichkeit per E-Mail.
  4. Beim ersten Aufruf von HERA durchläuft die Person erneut das Einwilligungs-Gate und entscheidet eigenständig über die generelle und die optionalen Einwilligungen.
  5. Wird der Person erneut die Einwilligung verweigert, läuft der Anonymisierungsprozess regulär ab.

Audit-Log

Jede Aufhebung wird im Audit-Log mit dem Ereignis „Einwilligung zurückgesetzt“ (consent_reset) protokolliert. Erfasst werden unter anderem:

  • Tätige Person – die OV-Administration, die die Aufhebung durchgeführt hat.
  • Betroffene Person – das Mitglied, dessen Sperre aufgehoben wurde.
  • Organisation – der zugehörige Ortsverband.
  • Zeitpunkt der Aufhebung sowie IP-Adresse und User-Agent.
  • Bestätigung als Begründung – der Wortlaut „Die Person möchte erneut über die Einwilligung entscheiden“ wird als Metadatum gespeichert (source: admin_consent_reset).

Damit lässt sich auch nachträglich nachvollziehen, wer eine Sperre wann auf welcher Grundlage aufgehoben hat.

Wichtige Hinweise

  • Einzelfallcharakter: Das Werkzeug ist bewusst auf das Aufheben einer einzelnen Sperre beschränkt. Massenoperationen sind nicht vorgesehen, um die Einzelfallprüfung sicherzustellen.
  • Nur auf ausdrücklichen Wunsch: Die Aufhebung ohne Wissen der betroffenen Person widerspricht dem Zweck der Sperre. Die Bestätigung dient als nachvollziehbare Selbstverpflichtung.
  • Keine Wiederherstellung der ursprünglichen Daten: Die Aufhebung reaktiviert lediglich den Mitgliederdatensatz und gibt den Namen wieder frei. Bereits gelöschte personenbezogene Inhalte (Trainingsfortschritt, Bescheinigungen, Helferakten-Daten, Gesundheitsdaten) bleiben gelöscht. Die Person beginnt damit fachlich auf einem leeren Datensatz und kann optional über THWin-Importe oder das Bewerbungsverfahren erneut Daten freigeben.
  • Keine direkte Kontoaufhebung: Das frühere Benutzerkonto wird nicht automatisch wiederhergestellt. Es muss neu angelegt werden, sodass die Person erneut zur Einwilligung geführt wird.
  • Datenschutz-Verantwortung: Die OV-Administration sollte eine kurze interne Notiz hinterlegen, weshalb eine Aufhebung erfolgte (beispielsweise schriftliche Anfrage der Person). Diese Notiz ergänzt das Audit-Log und unterstützt die Auskunftsfähigkeit gegenüber Aufsichtsbehörden.

Audit-Log

Sämtliche Vorgänge im Bereich Einwilligung und Datenschutz werden im zentralen Audit-Log erfasst. Aufrufbar ist das Audit-Log über die OV-Administration.

Ereignis Auslöser
Einwilligung erteilt (consent_granted) Person erteilt am Einwilligungs-Gate die generelle Einwilligung.
Einwilligung abgelehnt (consent_declined) Person widerspricht der generellen Einwilligung; Konto wird gelöscht und Mitglied anonymisiert.
Einwilligung widerrufen (consent_withdrawn) Eine optionale Kategorie wurde nachträglich entfernt.
Einwilligung zurückgesetzt (consent_reset) OV-Administration hebt eine Sperre über das Werkzeug „Einwilligung entsperren“ auf.
Datenminimierung ausgeführt (data_minimization) OV-Administration führt eine Aktion zur Datenminimierung aus.

Pro Eintrag werden auslösende Person, betroffene Person, Organisation, Zeitpunkt sowie ergänzende Metadaten gespeichert. Eine Übersicht aller weiteren Ereignistypen, beispielsweise Login-Ereignisse, befindet sich im Kapitel Ereignisprotokoll.

Empfehlung an die Verwaltung

Folgende Schritte unterstützen einen rechtssicheren Betrieb:

  1. Einführung im OV – die Mitglieder vor dem Roll-out informieren, wie das Einwilligungs-Gate funktioniert und welche Auswirkungen die einzelnen Entscheidungen haben.
  2. Begleitung neuer Mitglieder – im Aufnahmeprozess auf das Einwilligungs-Gate hinweisen und die Datenkategorien erläutern.
  3. Betriebsmodus festlegen – auf Basis der OV-internen Anforderungen entscheiden, ob personenbezogene THWin-Importe genutzt werden sollen, und den Betriebsmodus entsprechend setzen.
  4. Datenminimierung dokumentieren – größere Bereinigungen im OV-internen Vorgehen festhalten, beispielsweise im Übergabeprotokoll der Ortsverbandsführung.
  5. Audit-Log periodisch sichten – stichprobenartig prüfen, ob Vorgänge plausibel sind, insbesondere zurückgesetzte Sperren und ausgeführte Datenminimierungen.

HERA stellt die technischen Werkzeuge bereit. Die organisatorische Verantwortung verbleibt beim Ortsverband.