Zum Inhalt

Einwilligung und Datenschutz

HERA verarbeitet personenbezogene Daten ausschließlich auf Grundlage einer ausdrücklichen Einwilligung der betroffenen Personen. Dieses Kapitel beschreibt die zugehörigen Funktionen, die im Code als eigenständige Module umgesetzt sind.

Einwilligungs-Gate beim ersten Aufruf

Beim ersten Aufruf einer geschützten Seite wird eine Person, deren Einwilligungsstatus noch offen ist, automatisch zur Einwilligungs-Seite geführt. Sie kann die Anwendung erst nach einer ausdrücklichen Entscheidung weiter nutzen.

Die Einwilligung gliedert sich in zwei Ebenen:

  1. Generelle Einwilligung in die Verarbeitung und Speicherung der Daten zur Nutzung von HERA. Ohne diese Einwilligung kann HERA nicht genutzt werden.
  2. Optionale Einwilligung pro Datenkategorie für die Übernahme bestimmter Daten aus der Verwaltungssoftware THWin.

Die optionalen Kategorien sind:

Kategorie Inhalt
Ausbildungsstand Eigener Stand und Unterstützung der Führungskräfte bei der Ausbildungsplanung.
Belehrungen DGUV-Belehrungen, Bescheinigungen, Terminplanung und Hinweise zur Einsatzbefähigung.
Kontaktdaten aus der Helferakte Übersicht und Pflege der Kontaktdaten aus der Helferakte.
Gesundheitsdaten Impfstatus, Untersuchungen, Terminplanung und Hinweise zur Einsatzbefähigung.

Die optionalen Einwilligungen sind unabhängig voneinander wählbar. Eine später widerrufene Einwilligung führt zur Löschung der zugehörigen Daten.

Folgen einer Ablehnung

Wer der generellen Einwilligung widerspricht, gibt damit den Verzicht auf eine Nutzung von HERA zu erkennen. Die Anwendung führt in diesem Fall folgende Schritte aus:

  1. Das Benutzerkonto der Person wird entfernt.
  2. Der zugehörige Mitgliederdatensatz wird anonymisiert. Personenbezogene Felder werden überschrieben, ein Sperreintrag verhindert eine erneute Anlage durch Importe.
  3. Der Vorgang wird im Audit-Log mit dem Ereignis „Einwilligung abgelehnt“ dokumentiert.

Damit ist sichergestellt, dass der Wille der Person ohne weitere Eingriffe respektiert wird.

Folgen eines Widerrufs einzelner Kategorien

Wird eine optionale Einwilligung später entfernt, löst HERA die Datenminimierung für die betroffene Kategorie aus:

  • Ausbildungsstand – die in HERA gespeicherten Trainingsfortschritte der Person werden entfernt.
  • Belehrungen – Bescheinigungen und Anhänge der Person werden gelöscht.
  • Kontaktdaten aus der Helferakte – die aus THWin übernommenen verschlüsselten Kontaktdaten werden entfernt.
  • Gesundheitsdaten – die zur Person gehörenden Gesundheitsdaten werden aus dem organisationsbezogenen Datensatz entfernt.

Der Widerruf wird ebenfalls im Audit-Log dokumentiert. Damit ist nachvollziehbar, dass die Daten auf Grundlage einer aktuellen Entscheidung der Person nicht mehr verarbeitet werden.

Importe nur mit Einwilligung

Personenbezogene Importe verarbeiten ausschließlich Daten von Personen, die der zugehörigen Datenkategorie eingewilligt haben. Vor jedem Import prüft HERA pro Datensatz die hinterlegten Einwilligungen. Datensätze ohne passende Einwilligung werden übersprungen und mit einem entsprechenden Hinweis im Importprotokoll vermerkt.

Damit gilt:

  • Ein Import des Ausbildungsstands wirkt nur auf Personen mit Einwilligung in die Kategorie Ausbildungsstand.
  • Ein Import von Berechtigungen oder Belehrungen wirkt nur auf Personen mit Einwilligung in die Kategorie Belehrungen.
  • Ein Import der Gesundheitsdaten wirkt nur auf Personen mit Einwilligung in die Kategorie Gesundheitsdaten.
  • Importe der Helferakte (Kontaktdaten, Bankverbindung, Arbeitgeber, Status) wirken nur auf Personen mit Einwilligung in die Kategorie Helferakte.

Damit lässt sich auch in laufenden Verfahren sicherstellen, dass nur Daten verarbeitet werden, für die eine Einwilligung vorliegt.

Datenminimierung als Verwaltungswerkzeug

Für Personen mit der Rolle OV-Administration steht ein Werkzeug zur Datenminimierung bereit. Es richtet sich an Situationen, in denen größere Datenmengen einer Kategorie strukturiert entfernt werden sollen, beispielsweise vor Übergabe einer Ortsverbandsführung oder bei der Bereinigung historischer Bestände.

Die Funktion bietet fünf Aktionen zur Auswahl:

Aktion Wirkung
Berechtigungen und Anhänge Löscht Bescheinigungen und zugehörige Datei-Anhänge der ausgewählten Personen.
Gesundheitsdaten Entfernt Gesundheitsdaten der ausgewählten Personen aus dem organisationsbezogenen Datensatz.
Verschlüsselte THWin-Daten Entfernt verschlüsselt gespeicherte THWin-Daten von Personen, die nicht im Bewerbungs- oder Aufnahmeverfahren stehen.
Ausbildungsstand Löscht den gespeicherten Ausbildungsfortschritt der ausgewählten Personen.
Mitglieder ohne Positionierung Markiert Mitglieder ohne Einheitenzuordnung und ohne aktive Bewerbung als gelöscht.

Der Ablauf folgt einer transparenten Vorgehensweise:

  1. Auswahl der Aktion in der linken Spalte.
  2. Vorschau der betroffenen Personen.
  3. Gezielte Auswahl oder Abwahl einzelner Personen.
  4. Ausführung in einer geschlossenen Transaktion.
  5. Eintrag im Audit-Log mit Aktion, Anzahl und betroffenen Personen.

Eine fehlgeschlagene Ausführung wird vollständig zurückgerollt, damit kein inkonsistenter Zustand entsteht.

Tägliche Anonymisierung gelöschter Mitglieder

Soft-gelöschte Mitglieder werden nicht unmittelbar entfernt. Damit besteht ein Zeitfenster, in dem die Verwaltung versehentliche Löschungen aufheben kann.

Nach Ablauf dieses Zeitfensters von sieben Tagen führt HERA eine vollständige Anonymisierung durch:

  • Personenbezogene Felder werden überschrieben.
  • Ein Hash über den Namen wird gespeichert, sodass eine erneute automatische Anlage durch Importe verhindert wird.
  • Verbleibende sensible Daten, beispielsweise verschlüsselte Inhalte, werden entfernt.

Die Aufgabe wird durch einen täglichen Hintergrundjob automatisch ausgeführt.

Einwilligung zurücksetzen

Personen, die der Nutzung widersprochen haben, sind anschließend gesperrt. Eine erneute Aufnahme in den Ortsverband ist nur möglich, wenn die Person erneut Stellung nehmen möchte.

Hierfür stellt HERA Personen mit der Rolle OV-Administration ein zusätzliches Werkzeug bereit. Im Bereich „Einwilligung entsperren“ können sie:

  1. Vor- und Nachname der betroffenen Person eingeben.
  2. Bestätigen, dass die Person erneut über die Einwilligung entscheiden möchte.
  3. Die Sperre für genau diese Person aufheben.

Anschließend kann die Person ein neues Benutzerkonto erhalten und durchläuft erneut das Einwilligungs-Gate. Der Vorgang wird im Audit-Log mit dem Ereignis „Einwilligung zurückgesetzt“ dokumentiert.

Audit-Log

Sämtliche Vorgänge im Bereich Einwilligung und Datenschutz werden in einem zentralen Audit-Log erfasst. Erfasst werden unter anderem:

  • Einwilligung erteilt
  • Einwilligung abgelehnt
  • Einwilligung widerrufen
  • Einwilligung zurückgesetzt
  • Datenminimierung ausgeführt
  • Anlage und Löschung von Benutzern und Mitgliedern
  • OV-Daten zurückgesetzt

Ergänzend werden sicherheitsrelevante Anmeldevorgänge protokolliert, beispielsweise erfolgreiche und fehlgeschlagene Passwort-Anmeldungen, der Versand und die Nutzung von Magic-Links sowie die Einrichtung und Verifikation des zweiten Faktors.

Pro Eintrag werden auslösende Person, betroffene Person, Organisation, Zeitpunkt sowie ergänzende Metadaten gespeichert. Damit lassen sich datenschutz- und sicherheitsrelevante Vorgänge nachvollziehen.

Verantwortung des Ortsverbands

HERA stellt geeignete Werkzeuge bereit, ersetzt jedoch nicht die organisatorische Verantwortung des Ortsverbands. Insbesondere obliegen dem Ortsverband:

  • Die Auswahl des Betriebsmodus (manueller Betrieb oder THWin-Personaldaten) und die zugehörigen organisatorischen Voraussetzungen.
  • Die Sicherstellung, dass Einwilligungen tatsächlich freiwillig und informiert erteilt werden.
  • Die Festlegung von Rollen und Berechtigungen, die den Zugriff auf besonders schützenswerte Inhalte begrenzen.
  • Die Beobachtung des Audit-Logs, soweit dies fachlich angezeigt ist.