Welche Möglichkeiten habt ihr als Initiative oder Verein mit nur ein paar Hauptamtlichen, um euch mit digitalen Mitteln effizienter zu organisieren? Von Cloud-Diensten, Newslettersoftware, Aufgabenmanagement bis hin zum eigenen Wiki ist vieles denkbar. Gibt es das alles vereint? Gibt es (versteckte) Kosten oder Probleme mit dem Datenschutz? Und wie gut müsst ihr euch dann auch mit Dingen wie Hosting auskennen?
Es gibt kein Zaubermittel, das für alle passt. Wir möchten euch mit diesem Wegweiser aber einige Kriterien an die Hand geben, die euch bei der Auswahl eines passenden Tool(-sets) helfen sollen.
Wie finden wir das passende Tool für uns? Eine Übersicht
Es gibt leider keine Software, die für jeden Verein passt, von allen Aktiven gemocht wird und für alle einfach zu benutzen ist. Doch es gibt einige Aufgaben, die in vielen Vereinen anfallen:
- Online Dateiablage, häufig auch „cloud“ genannt
- Videokonferenzen durchführen
- Buchhaltung
- Interne Kommunikation
- Ticketing / Veranstaltungsanmeldung
- Versammlungen durchführen
- Aufgabenmanagement
- Online Dokumentenbearbeitung
- Terminfindung
In jeder dieser Kategorien gibt es unzählige Tools und wir können an dieser Stelle unmöglich alle auflisten. Dennoch möchten wir euch einen Überblick geben:
Da es so viele Tools gibt, wird deshalb oft gefragt: Welches ist denn jetzt das beste Tool? Wir sehen da 3 Hauptkriterien:
- Kriterium: Die unmittelbare Gebrauchstauglichkeit des Tools. Es sollte effektiv, effizient und benutzerfreundlich sein.
- Kriterium: die Machbarkeit der Umsetzung in eurem Verein. Dabei geht es um die Ersteinrichtung, den laufenden Betrieb sowie um die organisatorische Einbindung bei euch in den Verein. Hierbei spielen auch die Präferenzen eures Vereins und der Aktiven eine Rolle.
- Kriterium: die rechtssichere Nutzung. Hierbei geht es um Vertragsabschlüsse und Datenschutz.
Kriterium 1: Gebrauchstauglichkeit eines Tools
Die obige Aufzählung an Tools zeigt, dass es für das gleiche Ziel nicht nur eine Lösung gibt. So gibt es beispielsweise in jedem Aufgabenmanagementtool Überschrift, Textfeld und die Möglichkeit, einer Person die Aufgabe zuzuweisen. Aber braucht ihr ein Fälligkeitsdatum? Soll eine Datei angehängt werden können? Soll jemand zweites die Aufgabe mit beobachten können? Braucht ihr nur die Standardkategorien „offen“ in Arbeit“ und „erledigt“ oder braucht ihr weitere?
Wie ihr schon sehen könnt, macht es zumindest Sinn, sich kurz zu überlegen, was ihr wirklich damit machen wollt und was ihr dafür benötigt. Leider können wir an dieser Stelle nicht zu jeder Kategorie eine Übersicht liefern, aber es gibt einige Überblickseiten, die die Funktionalität einiger Tools gegenüberstellt.
- Übersicht diverser Tools für Vereine vom Berliner digital verein(t)-Projekt
- Artikel- und Webinarreihe von D3 mit Vorstellung diverser Tools
- Auflistung verschiedener Werkzeuge vom Land Rheinland-Pfalz
- Artikel einer der Autoren zu Videokonferenzen, mit generellen Kriterien und Anbieterübersicht
- Liste der Berliner Datenschutzaufsicht mit Prüfung verschiedener Videokonferenzanbieter
Besonders wichtig an dieser Stelle ist die Kombinationsmöglichkeit von Tools. Häufig wird nicht nur ein Tool benutzt sondern gleich mehrere. Besonders oft sehen wir in Vereinen z.B. eine Dateiablage, einen gemeinsamen Kalender, ein Aufgabenmanagement, interne Umfragen und eine Wissensdatenbank (ein Art internes Wiki).
Dabei ist es dann besonders wichtig, dass diese Tools so miteinander verknüpft sind, dass man mit einem Login alle diese Tools erreichen kann und Querverweise (z.B. vom Wiki zu einem Kalendereintrag) möglich sind.
Kriterium 2: Präferenzen, Machbarkeit und Umsetzung
Grundsatzentscheidung: Proprietäre oder freie Software
Die Software die ihr benutzt, muss ja irgendwo her kommen. Irgend jemand muss sie also entwickeln und euch zur Verfügung stellen. Dabei kann man ganz grundsätzlich zwischen proprietärer und freier Software unterscheiden. Da dies einen enormen Einfluss auf die Preis- und Geschäftsmodelle möglicher Anbieter hat und auch die technischen Möglichkeiten im Sinne eines eigenen Server beeinflusst, möchten wir an dieser Stelle kurz darauf eingehen.
Proprietär bedeutet grob gesagt, dass der Hersteller der Software die Nutzung der Software in einer Weise einschränkt, wie es seinem Geschäftsmodell dient. Es handelt sich bei proprietärer Software also in der Regel um ein kommerzielles Produkt, dass zumindest in einem Teil der angebotenen Varianten kostenpflichtig ist. Bekannte Softwareprodukte wie Microsoft Office, aber auch Online-Dienste wie der Videokonferenzdienst Zoom sind Beispiele hierfür.
Freie Software, oft auch Open Source Software genannt, kann von allen Menschen unentgeltlich und weitestgehend ohne Einschränkungen genutzt werden. Es gibt also insbesondere keine Nutzungsgebühren und es gibt die Besonderheit, dass man die Software selbst an seine Bedürfnisse anpassen kann. Vielen Menschen sind die Werte die dahinter stehen wichtig und für sie kommt daher eine proprietäre Software nicht in Frage. Das ist insbesondere bei Vereinen die in ihrem Vereinszweck ähnliche Werte leben oft der Fall.
Ein Beispiel für freie Software die recht weit verbreitet ist zum Beispiel der Webbrowser Firefox von Mozilla. Neben klassischer Desktop-Software die man sich selbst auf dem Computer installiert, gibt es jedoch auch webbasierte Anwendungen mit denen man sich quasi seine eigene Cloud bauen kann. Die Dateiverwaltung und Groupware Nextcloud oder die Videokonferenzsoftware BigBlueButton sind einigen von euch sicherlich ein Begriff.
Hosting – irgendwo muss die Software ja laufen
Software-as-a-Service oder eigenes Hosting
Im Bereich von Cloud-Tools ist es üblich, dass man die Anwendungen über das Internet direkt auf den Servern des Herstellers nutzt. Solche Techniken kommen sowohl beim Zugriff über den Web-Browser, als auch bei vielen Apps fürs Smartphone zum Einsatz. Man bekommt von der dahinter liegenden Technik so gut wie nichts mit, da die Software „einfach da ist“. Aus der Sicht von Nutzer*innen ist das natürlich sehr bequem.
Im Fall von proprietärer Software, ist der Hersteller der Software dann gleichzeitig Anbieter des Dienstes, weshalb man in diesem Fall von Software-as-a-Service (abgekürzt SaaS) spricht. In eher seltenen Fällen gibt es auch die Möglichkeit, proprietäre Software auf einem Server der Wahl selbst zu betreiben. Dies ist dann aber meistens mit einigem Aufwand verbunden und somit nur für größere Firmenkunden interessant.
Im Fall von Freier Software gibt es nicht den einen Anbieter, sondern man hat die Wahl. Denn die Software ist ja frei verwendbar, so dass es in dieser Hinsicht keinerlei Einschränkungen gibt. Es gibt Anbieter, die Installation, Betrieb und Wartung der Software aus einer Hand anbieten. Man spricht dann ebenfalls von Software-as-a-Service oder auch von einem „Managed Service“. Man kann die Software aber auch selbst auf eigenen oder gemieteten Servern installieren. In einem solchen Fall sprechen wir von Hosting bzw. der Installation bei einem Webhoster.
Software-as-a-Service: alles aus einer Hand
Ein einfacher, aber nicht immer passender Weg ist es, alles aus einer Hand zu beziehen. Sehr bekannt dürfte zum Beispiel die Microsoft-Cloud (Microsoft 365, vormals Office 365) sein. Hier bekommt man das klassische Office-Paket und Kommunikationswerkzeuge wie Microsoft Teams als integrierte Lösung. Für gemeinnützige Vereine gibt es Sonderkonditionen über Stifter-helfen. Aber so praktisch das Angebot auch sein mag, aufgrund seines Firmensitz in den USA und der nicht abschaltbaren Analyse des Nutzungsverhaltens steht Microsoft immer wieder in Bezug auf Datenschutz in der Kritik. Wer sich mit den entsprechenden Details nicht beschäftigen und auf Nummer sicher gehen will, sollte sich daher lieber auf andere Anbieter fokussieren.
Eine Alternative auf Basis von Freier Software bietet Wechange. Die Genossenschaft bietet eine gleichnamige Plattform zur Vernetzung der Zivilgesellschaft an. Finanziert wird das Ganze über ein solidarisches Preismodell bei dem jede*r das zahlt, was er/sie zahlen kann und will. Es gibt Funktionen zur Dateiablage, der gemeinsamen Arbeit an Dokumenten, einen integrierten Chat, Videokonferenzen und einiges mehr. Die Leistung von wechange ist die Integration und der Betrieb der Dienste. Technisch basiert das System unter anderem auf Nextcloud, OnlyOffice und Etherpad. Für Vereine gibt es auch einen Vertrag zur Verarbeitung im Auftrag, der für die passende Datenschutzeinbindung in formeller Hinsicht wichtig ist.
Eine weitere Möglichkeit mit ähnlich großem Funktionsumfang, ist die Erweiterung von Nextcloud mithilfe der inzwischen vielfältigen Apps. So können neben der klassischen Dateiablage auch gemeinsame Kontakte, Kalender oder Karteikartenboards verwaltet werden. Für das kollaborative Arbeiten in einer Office-Umgebung gibt es mehrere Möglichkeiten und auch eine Lösung für Videokonferenzen ist integriert. Man sollte allerdings beachten, dass manche der Erweiterungen nicht so ausgereift und eher etwas für experimentierfreudige Personen sind. Auch bezüglich der Leistung kommt man, zum Beispiel bei der Videotelefonie, schnell an die Grenzen. Je nachdem wie wichtig einem bestimmte Funktionen sind, sollte man sich also vorab intensiver informieren.
Nextcloud gibt es als Software-as-a-Service bei diversen Anbietern. Größere Anbieter aus Deutschland sind IONOS mit der Managed Nextcoud und Hetzner mit StorageShare. Es gibt aber auch kleinere, spezialisierte Anbieter wie PortKnox oder Mehrtens.IT mit seinen Angeboten oCloud.de und nextfiles.de. Eine Liste von Anbietern mit einer ersten Einordnung gibt es zum Beispiel bei Digitalcourage. Die Anbieter unterscheiden sich neben dem Preis jedoch auch in Funktionen wie der Nutzung der Office-Integration oder der Nutzung einer eigenen Domain. Es lohnt sich also auch hier, genau hin zu schauen.
Software-as-a-Service: verschiedene Dienste bei verschiedene Anbietern
Etwas komplizierter, aber auch durchaus praktikabel, ist es, auf mehrere, spezialisierte Dienstleister zurück zu greifen. So kann man die Nextcloud bei einem Anbieter als Software-as-a-Service beziehen, einen Videokonferenzdienst bei einem Anderen und die Projektverwaltung bei einem dritten Anbieter. Prinzipiell spricht nichts gegen eine solche Vorgehensweise. Nachteilhaft ist jedoch, dass man Verträge mit verschiedenen Anbietern schließt und die ganzen Formalitäten somit schnell unübersichtlich werden können. Außerdem muss man für alle Aktiven einen Benutzeraccount auf den jeweiligen Plattformen anlegen, was ebenfalls den Verwaltungsaufwand erhöht.
Nextcloud als klassische Dateiverwaltung haben wir ja bereits im vorherigen Abschnitt beschrieben. Ähnlich wie es für Nextcloud verschiedene Software-as-a-Service-Anbieter gibt, gibt es das auch für andere Freie Software. Für Videokonferenzen sind hier zum Beispiel BigBlueButton mit den Anbietern bbbserver oder Senfcall, sowie Jitsi mit den Anbietern netways oder sichere-videokonferenz.de zu nennen. Mit etwas Recherche findet man solche Anbieter für viele Freie Software-Anwendungen.
Im Fall von proprietärer Software mit klassischem Software-as-a-Service ist euch dies wahrscheinlich noch geläufiger. Den Cloud-Speicher bei Dropbox, die Videokonferenz über Zoom und die Projektplanung bei Trello. So oder ähnlich dürfte es bei vielen Vereinen aktuell aussehen. Wenn ihr die Accounts jedoch alle sauber auf euren Verein registrieren wollt und auch noch auf Datenschutz achtet, wird auch die schnell kompliziert und teils auch teuer. Näheres hierzu in unserem Abschnitt Datenschutz und Rechtliches.
Webhosting – mehr als nur die Vereinswebseite
Falls ihr technisch versiert seid, könnt ihr viele Anwendungen auch auf den Servern eines Webhosters laufen lassen. Solches Webhosting wird in der Regel für normale Webseiten genutzt. Da die meisten Webseiten jedoch auf komplexeren Content Management Systemen wie WordPress, Typo3 oder Drupal basieren, sind technische Voraussetzungen wie die Skriptsprache PHP oder Datenbanken bei den meisten Webhostingtarifen enthalten. Damit kann man dann, technische Kenntnisse vorausgesetzt, auch andere webbasierte Anwendungen wie zum Beispiel Nextcloud auf einem Webspace installieren.
Je nach Anwendung werden jedoch andere technische Voraussetzungen benötigt. Auch die Leistung ist oftmals ein Problem, da Webhostingtarife nun mal für Webseiten und nicht für komplexere Anwendungen ausgelegt sind. Der Weg von der Auswahl eines passenden Anbieters, Tarifs, bis zur Installation und Wartung der Software ist also nicht ganz einfach. Daher solltet ihr diesen Weg nur dann gehen, wenn es Personen in eurem Verein gibt, die genug Expertise mitbringen all dies beurteilen zu können. Im Gegensatz zu Software-as-a-Service müsst ihr euch hier schließlich um alles selbst kümmern und viele Webhoster helfen euch auch nicht, wenn es Probleme an diesen Stellen gibt.
Einige Webhoster wie manitu oder all-inkl.com, bieten sogenannte OneClick-Installer mit denen ihr ausgewählte Software auf eurem gebuchten Webspace installieren könnt. Bei solchen Systemen könnt ihr im Prinzip darauf vertrauen, dass der Webhoster die technischen Voraussetzungen geklärt hat und der Installationsprozess automatisch läuft. Auch wenn euch dadurch einiges an Arbeit abgenommen wird, solltet ihr jedoch beachten, dass ihr bei solchen Angeboten in der Regel für die Softwarewartung (Updates, etc.) selbst verantwortlich bleibt. Es handelt sich also um eine andere Dienstleistung als bei Software-as-a-Service.
Andere Webhoster überlassen euch den Installationsprozess, stellen aber Anleitungen bereit, wie ihr typische Anwendungen installieren könnt. In diese Kategorie fallen zum Beispiel uberspace mit seinem Lab-Bereich, sowie Hostsharing mit einer Vielzahl von Installationsanleitungen im Wiki. Beide Anbieter sind übrigens in Bezug auf ihr Geschäftsmodell interessant. uberspace arbeitet mit einem solidarischen Preismodell und Hostsharing ist eine Genossenschaft, bei der ihr oder euer Verein selbst Mitglied werden könnt.
Für Profis: der eigene Server
Technisch noch einmal komplizierter wird es, wenn ihr euren eigenen Server betreibt. Egal ob ihr einen kleinen Server im Vereinsheim stehen habt oder einen Server in einem Rechenzentrum mietet. Ihr seid für den Betrieb dieses Servers verantwortlich und müsst für die Installation des Betriebssystems, regelmäßige Updates und eine ausreichende Sicherheit sorgen. Ob es sich bei einem gemieteten Server um einen dedizierten oder virtuellen Server handelt, macht in dieser Hinsicht keinen Unterschied.
Insgesamt ist der Betrieb eines Servers ein komplexes Unterfangen und sollte nur von Personen mit entsprechender Sachkenntnis durchgeführt werden. Sich einfach an einer Installationsanleitung aus dem Internet entlang zu hangeln, ohne zu wissen was die einzelnen Schritte bedeuten, mag zwar funktionieren, aber ist gefährlich. Die Gefahr, dass euer Server Sicherheitslücken hat oder ihr alle Daten verliert ist einfach zu groß. Daher solltet ihr diese Option nur in Erwägung ziehen, wenn ihr Personen unter euren Aktiven habt, die entsprechende Kenntnisse mitbringen und sich auch dauerhaft um den Betrieb eures Servers kümmern.
Um den Aufwand zum Betrieb eines Servers in Grenzen zu halten gibt es verschiedene Hilfsmittel. Zum Einen gibt es bei verschiedenen Anbietern virtueller Server sogenannte one click-images. Damit erhaltet ihr ein komplett vorkonfiguriertes Betriebssystem inklusive der Anwendungen welche ihr für euren Verein nutzen wollt. So etwas gibt es zum Beispiel von IONOS für eine Vielzahl von Anwendungen unter dem Stichwort Cloud Apps oder von Netcup als Betriebssystem mit vorinstallierten Anwendungen wie zum Beispiel NextCloud. Bedenkt aber, dass euch diese Anbieter in der Regel nur die Installation abnehmen und ihr trotzdem für den reibungslosen Betrieb eures Servers verantwortlich bleibt.
Einen etwas anderen Weg geht man mit sogenannten „selfhosting systems“. In diese Kategorie fallen zum Beispiel Cloudron oder YunoHost. Mit solchen Systemen installiert ihr eine Art Basissystem auf eurem Server. Von dort aus könnt ihr auf sehr einfache Weise weitere Anwendungen installieren und Benutzer anlegen. Der Vorteil dieser Systeme ist, dass ihr mehrere Anwendungen auf einem einzigen Server betreiben könnt und in vielen Fällen sogar eine gemeinsame Benutzerverwaltung für diese Anwendungen habt. Das hat den Vorteil, dass ihr eure Aktiven nur einmal als Nutzer anlegen müsst und diese dann auf alle Anwendungen zugreifen können.
Zuletzt wollen wir noch die Option eines Managed Server nennen. Dabei beauftragt ihr einen externen Dienstleister euch einen Server nach euren Vorstellungen einzurichten und auch für den Betrieb des Servers zu sorgen. So etwas wird von eigenständigen Dienstleistern angeboten, kann aber in vielen Fällen auch bei Rechenzentren die Server vermieten hinzu gebucht werden. Solche Dienstleistungen sind allerdings recht kostspielig und kommen für die meisten Vereine vermutlich nicht in Frage.
Organisatorische Einbindung
Die Einführung eines neuen Tools geht in der Regel mit einer Prozessveränderung einher (To-Dos werden jetzt z.B. digital geführt und nicht mehr per Mail hin- und hergeschickt) was gerade für ehrenamtlich Aktive eine zusätzliche Herausforderung bedeuten kann. Sie sollen jetzt nicht nur ihre Aufgabe erledigen, sondern auch noch Zeit für Einführung eines neuen Tools aufbringen.
Besonders schwierig wird es, wenn es zu einer grundlegenden Ablehnung des Tools kommt. Alle vorangegangenen Schritte (Auswahl, Finanzierung, Ersteinrichtung) können hier ein jähes Ende finden.
Deswegen ist insbesondere die Anfangszeit kritisch. Häufig hilft:
- Alle, die damit später arbeiten sollen, sollten die Entscheidung über das gewählte Tool mittragen.
- Eine Person sollte Ansprechpartner rund um technische Fragen sein („wie geht das nochmal?“ oder „Wo kann ich mich nochmal einloggen?“)
- Früh Feedback fordern um gegebenenfalls noch rechtzeitig Maßnahme (z.B. eine eigene Schulung) ergreifen zu können.
Kriterium 3: Datenschutz und Rechtliches
Gerade im Ehrenamt steht die Aktivität „für die Sache“ im Vordergrund und die Auswahl der passenden Werkzeuge ist Mittel zum Zweck. Dennoch kommen vielen Aktiven Fragen bezüglich der Zulässigkeit diverser Cloud-Tools, vor allem in Bezug auf Datenschutz. Und das nicht ohne Grund, denn auch wenn es sich um kostenlose Angebote handelt, kommen Nutzungsverträge mit den Anbietern zustande und datenschutzrechtliche Vorgaben sind zu beachten.
Dabei ist es wichtig, sich zu vergegenwärtigen, dass man für eine Organisation tätig ist und nicht im eigenen Namen handelt. Denn auch wenn es nur einzelne Aktive sind, die entsprechende Tools einsetzen, so geschieht dies im Kontext der Arbeit für den Verein bzw. Organisation anderer Art. Und das hat weitreichende Auswirkungen.
Vertragliches Allgemein
Wenn ihr einen Cloud-Dienst für eure Vereinsarbeit nutzt, solltet ihr euch darüber im Klaren sein, dass ihr einen Nutzungsvertrag mit dem Anbieter des Cloud-Tools eingeht. Das ist auch bei kostenlosen Diensten der Fall. Auch dann werdet ihr in aller Regel Nutzungsbedingungen der Anbieter vorfinden und müsst diese im Rahmen der Anmeldung aktiv bestätigen. Es lohnt natürlich, dort auch einmal kurz hinein zu schauen, damit es später keine bösen Überraschungen gibt.
Was ihr euch aber auch fragen solltet, ist, wer den Vertrag eingeht. Denn ihr seid ja, wie oben angesprochen, für euren Verein tätig und handelt somit nicht als Privatperson. Daher solltet ihr dafür sorgen, dass der Vertrag auf euren Verein abgeschlossen wird. Das kann in der Praxis bedeuten, euren Vorstand oder andere Personen mit einzubeziehen und verkompliziert das Ganze natürlich. Aber wie schon beschrieben, geht es hierbei auch um Datenschutz und die Verantwortung des Vereins. Von daher sollte es nicht „am Verein vorbei“ laufen.
Nutzungsverträge und Preismodelle
Bei kostenlosen Cloud-Diensten solltet ihr in jedem Fall genauer hinschauen. Bei vielen Anbietern mit kostenlosen Angeboten ist es so, dass sie diese nur Privatpersonen kostenlos zur Verfügung stellen und die Nutzungsbedingungen dies entsprechend regeln. In dem Moment wo ihr mit einem solchen Account für euren Verein arbeitet, verstoßt ihr damit gegen die Nutzungsbedingungen. Daher ist bei kostenlosen Angeboten Vorsicht geboten.
Manche Anbieter haben spezielle Angebote für Vereine und NGOs. Wenn das der Fall ist, seid ihr natürlich mit diesen Angeboten gut bedient. Die meisten Anbieter allgemeiner Cloud-Tools unterscheiden jedoch nur zwischen Privatpersonen und Unternehmen. Und da ihr eben nicht als Privatperson tätig seid, fallt ihr automatisch in die Unternehmenskategorie. Um nicht gegen die Nutzungsbedingungen zu verstoßen, müsst ihr euch dann also als Unternehmen registrieren. Auch wenn das erst mal so gar nicht nach Verein und Ehrenamt klingt, ist das der rechtlich saubere Weg.
Einen Nutzungsvertrag einzugehen der für Unternehmen konzipiert ist wirkt sich häufig leider auch im Preis aus. Denn die Geschäftsmodelle vieler Anbieter basieren darauf Privatpersonen über kostenlose Angebote anzulocken und sich die geschäftliche Nutzung in den Tarifen für Unternehmenskunden bezahlen zu lassen. Die Tarife sind aber häufig darauf zugeschnitten, dass in Vollzeit arbeitende Menschen das Tool als Teil ihrer alltäglichen Arbeit nutzen. In so einem Fall sind für ein Unternehmen zum Beispiel 10 Euro pro Nutzer*in pro Monat sicherlich in Ordnung. Für Vereine in denen eine größere Zahl ehrenamtlich Aktiver nur ab und zu darauf zugreifen sind solche Kosten jedoch häufig nicht finanzierbar und gemessen am zeitlichen Nutzungsumfang auch nicht angemessen. Dennoch wäre dies der saubere Weg, wenn ihr mit diesen Anbietern arbeiten wollt.
Datenschutz – volles Programm statt Haushaltsausnahme
Vielen Aktiven sind datenschutzrechtliche Vorgaben eher aus dem beruflichen Kontext bekannt. Denn für die eigenen, privaten Aktivitäten gilt die Datenschutzgrundverordnung (DSGVO) nicht. Über die sogenannte Haushaltsausnahme werden Aktivitäten im Bereich ausschließlich persönlicher und familiärer Tätigkeiten vom Anwendungsbereich der DSGVO ausgeschlossen. Sobald man aber für einen Verein tätig ist oder sich andersartig als Gruppe gesellschaftlich engagiert, gilt die Haushaltsausnahme nicht mehr und hat das „komplette Programm“ der DSGVO zu beachten.
Verantwortlich für die Umsetzung des Datenschutzes ist im Fall von Vereinen der Vorstand. Er hat dafür zu sorgen, dass alle die für den Verein aktiv sind datenschutzrechtliche Vorgaben beachten. Dies gilt ungeachtet dessen, ob jemand beim Verein als Angestellte*r arbeitet oder rein ehrenamtlich aktiv ist. Die Aktiven wiederum trifft die Pflicht, die vom Verein gemachten Vorgaben zu befolgen. Allerdings gibt es in den allermeisten Vereinen keine ausdifferenzierten Vorgaben in Form von Richtlinien oder ähnlichem, wie man es von größeren Unternehmen kennt. Daher macht es in der Praxis durchaus Sinn, wenn sich einzelne Aktive, in Abstimmung mit dem Vorstand, selbst mit den datenschutzrechtlichen Vorgaben in ihrem Bereich beschäftigen. Ansonsten läuft man Gefahr, durch das eigene Handeln der Organisation, für die man aktiv ist, zu schaden.
Ein kleines 1×1 des Datenschutzes
Die Datenschutzgrundverordnung bringt eine Vielzahl von Pflichten mit sich. Ein kompletter Überblick würde daher den Rahmen sprengen. Dennoch möchten wir an dieser Stelle kurz auf die wichtigsten Elemente eingehen.
Zentral ist es, den Überblick über alle relevante Datenverarbeitung zu behalten, bzw. sich diesen erste einmal zu verschaffen. Hierfür ist ein „Verzeichnis von Verarbeitungstätigkeiten“ vorgeschrieben. In diesem Dokument notiert man welche Tätigkeiten mit Bezug zu Datenverarbeitung der Verein verfolgt, welche Personengruppen hierbei betroffen sind und weitere Details. Der Einsatz externer Dienstleister bzw. Cloud-Tools gehört hier ebenfalls dazu.
Wichtig ist, dass es für jede Datenverarbeitung einer Rechtsgrundlage bedarf. Neben der Einwilligung, welche man aktiv bei der betroffenen Person einholen muss, sind hier vor allem vertragliche Grundlagen (z.B. im Rahmen der Vereinsmitgliedschaft) und das sogenannte berechtigte Interesse relevant. Letzteres erlaubt es zum Beispiel, überblicksartige Fotos auf Veranstaltungen zu machen, ohne alle Personen aktiv um ihr Einverständnis zu fragen. Aber auch interne Aufzeichnungen und Auswertungen zur Dokumentation der Vereinsaktivität gehören in diese Kategorie.
Ungeachtet der Rechtsgrundlage auf die man eine Datenverarbeitung stützt, muss man die betroffenen Personen hierüber informieren. Beim aktiven Einholen einer Einwilligung ist dies offensichtlich, da man ja aktiv um die Erlaubnis fragt. Aber auch in allen anderen Fällen ist es verpflichtend, im Rahmen von Datenschutzhinweisen ähnlich denen auf Webseiten zu informieren. Bezüglich Form und Stelle hat man oftmals Wahlmöglichkeiten, aber es ist wichtig, dass man ein geeignetes Informationsangebot zur Verfügung stellt.
Als letzter Punkt im kleinen Datenschutz 1×1 sollen an dieser Stelle die technisch-organisatorischen Maßnahmen genannt sein. Dabei geht es grob gesagt darum, dass der Verein sicherstellen muss, dass sorgsam und sicher mit Daten umgegangen wird. Dies kann durch technische Maßnahmen wie Verschlüsselung, aber auch durch organisatorische Weisungen gegenüber Aktiven und Beschäftigten geschehen. Anders ausgedrückt geht es darum, dass Datenschutz ohne IT-Sicherheit als Grundvoraussetzung nicht funktioniert.
Die Besonderheiten beim Datenschutz in der Cloud
Bei der Nutzung von Cloud-Tools kommen nun noch ein paar Besonderheiten hinzu. Hierbei ist vor allem das Konzept der „Verarbeitung im Auftrag“ relevant. Man könnte sich als Verein ja prinzipiell selbst einen Server hinstellen und eine eigene Vereinscloud betreiben. Hierfür wäre dann ganz klar der Verein verantwortlich. In dem Moment, in dem man öffentlich verfügbare Cloud-Tools nutzt, muss man den gewählten Dienstleister anweisen, mit den Daten so umzugehen, als ob man den Dienst selbst betreibt. Dies geschieht durch den Abschluss eines entsprechenden Vertrags zur Verarbeitung im Auftrag. Dieser ist durch die DSGVO vorgeschrieben, ungeachtet dessen ob es sich um einen kostenlosen oder bezahlten Cloud-Dienst handelt.
Man muss also bei der Auswahl von Cloud-Diensten darauf achten, dass der Anbieter einem einen entsprechenden Vertrag anbietet. Häufig findet man Informationen hierzu im Hilfebereich der Anbieter. Ein solcher Vertrag sollte einen Anhang zu den technisch-organisatorischen Maßnahmen des Anbieters enthalten. Diese werden in den Vertrag einbezogen und man ist verpflichtet, diese zu prüfen. Denn der Verein bleibt hierfür verantwortlich, auch wenn ein externer Dienstleister einbezogen wird. Man muss quasi dafür sorgen, dass die Datenverarbeitung auch beim externen Dienstleister die Standards erfüllt, die man selbst anlegen würde. In der Praxis ist genau dies jedoch auch ein Vorteil von Cloud-Diensten, denn große Anbieter und deren Rechenzentren können einfacher für eine gute Sicherheit sorgen.
Ein weiteres Thema sind internationale Datentransfers. Viele Anbieter von Cloud-Tools haben ihre Server oder ihren Firmensitz nicht in der EU. In diesem Fall legt die DSGVO zusätzliche Maßstäbe an, um sicherzustellen, dass die Datenverarbeitung in sogenannten Drittländern den hiesigen Vorgaben entspricht. Manche Länder wie die Schweiz sind generell in Ordnung, bei manchen kommt es auf zusätzliche Verpflichtungen des jeweiligen Unternehmens an und bei einigen Ländern stellen staatliche Überwachungsbefugnisse ein generelles Problem dar. Letzteres ist leider seit einem Urteil des Europäischen Gerichtshofs aus dem Jahr 2020 (sogenanntes Schrems II-Urteil) auch bei den USA der Fall. Das ist in der Praxis ein großes Problem, denn viele Anbieter beliebter Cloud-Tools haben ihren Sitz in den USA. Je nach Einzelfall können Anbieter aus den USA weiterhin zulässig sein, aber allein dies zu prüfen und zu dokumentieren ist häufig aufwändiger als sich nach alternativen Anbietern aus der EU umzusehen.
Und jetzt? 3 typische Wege
Ziel dieses Wegweisers ist es, das notwendige Wissen als Basis einer für euch passenden Entscheidung zur Verfügung zu stellen. Das ist uns hoffentlich gelungen. An dieser Stelle möchten wir aber auch drei typische Szenarien skizzieren, die euch je nach eigener Situation als Ausgangspunkt dienen können.
Die (selbsverwaltete) Nextcloud mit Apps
Nextcloud hat sich zu DER Gesamtlösung aus dem Freien-Software Bereich entwickelt und kann mit vielen „Apps“ erweitert werden, z.B. „Deck“ (für Aufgabenmanagement), „Collectives“ (als internes Wiki), „Polls“ (für Umfragen), „Mind Map„, „Mail“ (zur Einbindung des E-Mail-Postfachs).
Um datenschutzrechtlich sauber dazustehen, solltet ihr einen Vertrag zur Verarbeitung im Auftrag mit eurem Webhoster oder sonstigem Anbieter eurer Nextcloud abschließen.
Um eine Nextcloud zu bekommen gibt es mehrere gangbare Wege:
- Ihr kennt euch gut aus und administriert auch eure eigene Webseite? Dann könnten ihr in der Regel bei dem Webhoster eurer Wahl auch eine Nextcloud installieren (ggf. auch über einen 1-Click-Installer, s.o. zu „Hosting“) und selbst verwalten. Aber bitte wirklich um Backups und Updates kümmern, im Zweifelsfall könnt ihr sonst eure ganze Organisation lahmlegen und habt am Ende auch noch ein handfestes Datenschutzproblem.
- zusätzliche Kosten: 0€ (ihr packt es zu eurer Webseite in den Account) bis ungefähr 7€/Monat (ihr schließt einen eigenen Webhostingvertrag dafür ab)
- Ihr kennt euch nicht so gut aus oder wollt euch nicht damit beschäftigen? Es gibt Anbieter, die eine Nextcloud als „managed service“ anbieten, d.h. sie ist bereits für euch installiert und die Backups und Updates werden für euch gemacht. Ihr müsst euch nur einloggen und könnt dann auch ein Großteil selbst administrieren, wenngleich häufig nicht in vollem Umfang.
- Kosten: ab 3,50€/Monat
- eine Übersicht unterschiedlicher Anbieter findet ihr bei digitalcourage oder weiter oben unter Hosting
Die Software-as-a-Service Lösung
Wenn ihr weder die personellen Kapazitäten noch die technischen Fähigkeiten bei euch im Team habt, kann auch eine proprietärer SaaS-Anbieter eine Lösung sein. Hierbei solltet ihr besonders auf folgendes achten
- Preisgestaltung für NGOs (s. Abschnitt Preismodelle): hier kann man schnell bei 10€ pro Monat pro Benutzer*in landen, was für die wenigsten tragbar ist.
- Vertragsabschluss: beim Einrichten darauf achten, dass nicht eine Privatperson sondern der Verein Vertragshalter ist.
- Accounts: die Aktiven sollten sich, wenn möglich, mit Vereins-Emailadressen und nicht mit privaten Email-Adressen bei dem Dienst anmelden und durch den Verein freigeschaltet werden.
Anbieter die an der Stelle interessant sein könnten:
- Wechange basiert auf Freier Software und finanziert sich über Spenden. Neben Nextcloud mit OnlyOffice gibt es Rocket.Chat sowie die Möglichkeit Veranstaltungen, ToDos und einige Dinge mehr anzulegen.
Wechange ist eher darauf angelegt ist, dass die Nutzer*innen mit einem persönlichen Account in mehreren Organisationen/Gruppen aktiv sein können. Es gibt jedoch auch die Möglichkeit einen Auftragsverarbeitungsvertrag im Namen der eigenen Organisation abzuschließen.
🠒 Wechange ist eine tolle Option um schnell mit einer neuen Initiative arbeitsfähig zu sein. Bei lang bestehenden Vereinen mit gewachsenen Strukturen zeigt sich eine eigene Nextcloud mit den entsprechenden Apps oft als passender und flexibler.
- Microsoft 365 Business Basic ist proprietäre Software und für gemeinnütizge Organisationen kostenlos. Allerdings können in diesem Preismodell die Office-Produkte nicht auf dem eigenen Computer installiert werden. Alternativ können für 2€/Nutzer*in/Monat die Office Produkte mitgenutzt werden. Alle Funktionen sind für 5€/Nutzer*in/Monat verfügbar, wobei die ersten 10 Nutzer*innen für NGOs kostenfrei sind.
Der Multitool-Ansatz
Zu guter Letzt kann es auch sinnvoll sein, für jedes Problem das ganz genau passende Tool zu finden. Und vielleicht gibt es ja auch nur einen Teil der vereinsinternen Arbeit, der digitalisiert werden soll. Da kann es sinnvoll sein, z.B. nur WeKan als Aufgabenmanagement und einen Messenger wie Signal für den schnellen Nachrichtenaustausch zu nutzen.
An der Stelle sei jedoch darauf hingewiesen, dass es meist nicht bei einem Tool bleibt und es dann kann schnell doch mehrere werden können. Eine Migration zu einem anderen Tool ist grundsätzlich recht aufwändig (manchmal auch gar nicht automatisiert möglich) weshalb es häufig große vereinsinterne Widerstände zu solchen Wechseln gibt.
Auf gehts!
Das war’s von uns! Wir hoffen wir konnten euch weiterhelfen.
Schreibt uns gerne auch euer Feedback und eure Erfahrungen in die Kommentare oder per Mail.
Wenn ihr weitere Fragen habt, nutzt gerne das Angebot eines Helpdesks im Haus des Engagements, dort könnt ihr kostenfrei eine persönliche Beratung in Anspruch nehmen:
Helpdesk Digitale Vereinsorganisation
Fußnoten:
Aktive: Wir sprechen in dem Beitrag von „Aktiven“ und nicht von „Mitgliedern“ oder „Ehrenamtlichen“, da nicht alle Aktiven auch Vereinsmitglieder sein müssen und es auch manchmal Personen im Hauptamt gibt. Gemeint sind einfach die Personen, die mit dem Tool arbeiten sollen.
Namentliche Nennung von Tools und Anbietern: An einigen Stellen im Text fallen Namen von Tools oder Anbietern, unabhängig davon ob sie Freie Software, kommerzielle Angebote oder Freeware sind. Meist sind sie nur als Beispiele gedacht, damit Leser*innen bereits bekannte Tools damit in Verbindung setzen können. Wir erhalten keine Vergütung für die Nennung bestimmter Tools.
Über uns:
Hendrik vom Lehn ist Informatiker, Policy Analyst und zertifizierter Berater für Datenschutzrecht (FernUni Hagen). Er informiert bei der Stiftung Datenschutz zum Datenschutz für Vereine und Ehrenamt und betreibt die Webseite vereint.digital mit Informationen und Angeboten zu digitaler Vereinsarbeit.
Finn Hees ist eigentlich gelernter Politikwissenschaftler und Softwarergonom, arbeitet aber derzeit als Softwareentwickler. Er ist im Vorstand des Treffpunkt Freiburg e.V., der u.a. auch Träger des Haus des Engagements ist, und kümmert sich dort besonders gerne um digitale Themen.
Wegweiser Digitale Tools Version 1.1 (Stand Dezember 2021)
Dieser Wegweiser wurde mit finanzieller Unterstützung der Stadt Freiburg erstellt.
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz.