DSGVO in der Feuerwehr – Der Leitfaden für FF, JF und mehr
Datenschutz in der Feuerwehr klingt nach Bürokratie, ist aber vor allem eines: Respekt gegenüber euren Mitgliedern. Wer die Daten seiner Kameradinnen und Kameraden sorgfältig behandelt, zeigt Professionalität, nicht Pedanterie.
Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) für jede Feuerwehr in Deutschland. Ob Freiwillige Feuerwehr, Jugendfeuerwehr oder Kinderfeuerwehr: Überall werden personenbezogene Daten verarbeitet, die durch Berechtigungen und rollenbasierten Zugriff geschützt werden müssen. Mitgliederlisten, Einsatzberichte, Fotos auf der Website, Gesundheitsdaten von Atemschutzgeräteträgern – all das fällt unter die DSGVO.
Dieser Leitfaden richtet sich an alle Feuerwehrbereiche: die Freiwillige Feuerwehr mit ihren erwachsenen Mitgliedern, aber auch die Jugendfeuerwehr und Kinderfeuerwehr mit ihren besonderen Anforderungen. Wer speziell den Datenschutz bei Minderjährigen und Elterndaten in der Jugendfeuerwehr vertiefen möchte, findet das in unserem gesonderten Artikel Datenschutz in der Jugendfeuerwehr.
Warum Datenschutz in der Feuerwehr wichtig ist
In vielen Feuerwehren werden sensible Daten in ungeschützten Excel-Tabellen gespeichert, per WhatsApp geteilt oder in unverschlossenen Aktenschränken aufbewahrt. Das ist ein Datenschutzverstoß. Eine Excel-Liste mit Handynummern und Adressen aller Mitglieder, die versehentlich an die falsche Person gerät – das ist kein theoretisches Szenario, sondern Alltag in vielen Wehren.
Die Feuerwehr ist eine gemeindliche Einrichtung. Rechtlich verantwortlich für die Datenverarbeitung ist die Gemeinde als Trägerin, nicht die Wehr selbst. Das hat praktische Konsequenzen, zum Beispiel beim Datenschutzbeauftragten.
Welche Daten verarbeitet eine Feuerwehr?
| Datenkategorie | Beispiele | Besonderheit |
|---|---|---|
| Stammdaten | Name, Adresse, Geburtsdatum, Telefon, E-Mail | Pflichtdaten für die Mitgliederverwaltung |
| Dienstdaten | Dienstgrad, Funktion, Eintrittsdatum, Abteilung | Für die Feuerwehrverwaltung erforderlich |
| Ausbildungsdaten | Lehrgänge, Prüfungen, Qualifikationen, Führerscheine | Teilweise mit Ablaufdatum |
| Gesundheitsdaten | Eignungsbeurteilung Atemschutzgeräte, Allergien, Impfstatus | Besondere Kategorie nach Art. 9 DSGVO |
| Einsatzdaten | Einsatzberichte, Einsatzzeiten, Alarmierungen | Können Rückschlüsse auf Personen zulassen |
| Finanzdaten | Bankverbindung (Aufwandsentschädigung), Spendenquittungen | Streng vertraulich |
| Fotos/Videos | Einsatzfotos, Übungsfotos, Porträts, Social Media | Einwilligung erforderlich |
| Minderjährigen-Daten | JF/KF-Mitgliederdaten, Erziehungsberechtigte, Gesundheit | Verstärkter Schutz (Art. 8 DSGVO) |
| Kontaktdaten Dritter | Notfallkontakte, Erziehungsberechtigte, Arbeitgeber | Nur mit Kenntnis der Betroffenen |
Besonders heikel sind Gesundheitsdaten – zum Beispiel Ergebnisse der Eignungsbeurteilung für Atemschutzgeräteträger (früher als „G26" bekannt, seit August 2022 als „DGUV Empfehlung Atemschutzgeräte" bezeichnet) – und Daten von Minderjährigen in der Jugend- und Kinderfeuerwehr. Gesundheitsdaten zählen zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und dürfen nur unter engen Voraussetzungen verarbeitet werden. Für beide gelten verschärfte Anforderungen.
Rechtsgrundlagen: Wann dürfen Daten verarbeitet werden?
Die DSGVO verbietet die Verarbeitung personenbezogener Daten nicht pauschal, sie verlangt aber eine Rechtsgrundlage. Die zulässigen Rechtsgrundlagen sind in Art. 6 DSGVO abschließend aufgezählt. Für Feuerwehren kommen vor allem folgende in Betracht:
Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung
Die wichtigste Rechtsgrundlage für Feuerwehren: Die Landesbrandschutzgesetze verpflichten Gemeinden zur Aufstellung und Unterhaltung einer leistungsfähigen Feuerwehr. Dafür ist die Verarbeitung von Mitgliederdaten zwingend erforderlich.
Betrifft: Stammdaten, Dienstgrade, Ausbildungsstand, Einsatzbereitschaft, Einsatzdokumentation
Beispiel: Der Wehrführer muss wissen, welche Mitglieder die Eignungsbeurteilung für Atemschutzgeräte besitzen, um eine Einsatzabteilung zusammenstellen zu können. Diese Daten dürfen verarbeitet werden, weil eine gesetzliche Grundlage existiert.
Art. 6 Abs. 1 lit. e DSGVO – Öffentliches Interesse
Feuerwehren nehmen eine Aufgabe im öffentlichen Interesse wahr. Die Datenverarbeitung ist zulässig, soweit sie für diese Aufgabe erforderlich ist.
Betrifft: Einsatzdokumentation, Alarmierungsdaten, Brandschutzerziehung
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung
Für alle Datenverarbeitungen, die über das gesetzlich Erforderliche hinausgehen, braucht es eine freiwillige Einwilligung.
Betrifft: Fotos auf der Website, Social-Media-Beiträge, Newsletter, WhatsApp-Gruppen, Geburtstagslisten
Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse
In bestimmten Fällen rechtfertigt ein berechtigtes Interesse der Feuerwehr die Datenverarbeitung, sofern die Interessen der Betroffenen nicht überwiegen.
Betrifft: Interne Kommunikation, Terminplanung, Fahrtorganisation
Übersichtstabelle: Datentyp, Rechtsgrundlage und Löschfrist
| Datentyp | Rechtsgrundlage | Speicherdauer / Löschfrist |
|---|---|---|
| Stammdaten aktiver Mitglieder | Rechtl. Verpflichtung (Art. 6 Abs. 1 lit. c) | Während der Mitgliedschaft + 3 Jahre |
| Stammdaten ausgetretener Mitglieder | Berechtigtes Interesse / Aufbewahrungspflicht | 3 Jahre nach Austritt, dann löschen |
| Dienstgrade und Funktionen | Rechtl. Verpflichtung | Während der Mitgliedschaft + 10 Jahre (Archiv) |
| Lehrgangsnachweise | Rechtl. Verpflichtung | Während der Mitgliedschaft + 5 Jahre |
| Eignungsbeurteilung Atemschutz | Einwilligung + rechtl. Verpflichtung (Art. 9 Abs. 2) | Bis zum Ablauf + 1 Jahr |
| Einsatzberichte | Rechtl. Verpflichtung / Öffentl. Interesse | 10–30 Jahre (je nach Landesrecht) |
| Anwesenheitslisten | Rechtl. Verpflichtung | 5 Jahre |
| Fotos (Website/Social Media) | Einwilligung (Art. 6 Abs. 1 lit. a) | Bis zum Widerruf der Einwilligung |
| Fotos (interne Dokumentation) | Berechtigtes Interesse | 3 Jahre |
| JF/KF-Mitgliederdaten | Einwilligung der Erziehungsberechtigten | Während der Mitgliedschaft + 1 Jahr |
| Gesundheitsdaten (JF/KF) | Einwilligung (Art. 9 Abs. 2 lit. a) | Während der Mitgliedschaft, danach sofort löschen |
| Notfallkontakte | Einwilligung | Während der Mitgliedschaft, danach sofort löschen |
| Bankverbindungsdaten | Vertrag / Berechtigtes Interesse | So lange wie für Zahlungen erforderlich; danach löschen |
Wichtig: Diese Fristen sind Richtwerte. Die genauen Aufbewahrungsfristen können je nach Landesrecht variieren. Im Zweifelsfall gilt der Grundsatz der Datensparsamkeit: So wenig wie nötig, so kurz wie möglich.
Zu Bankverbindungsdaten: Die handelsrechtlichen Aufbewahrungsfristen aus § 257 HGB (Buchungsbelege 10 Jahre, Handelsbriefe 6 Jahre) gelten für Kaufleute. Eine Freiwillige Feuerwehr als gemeindliche Einrichtung ist in der Regel kein Kaufmann, sodass § 257 HGB hier meist nicht greift. Für die Buchhaltung der Gemeinde können dagegen die steuerlichen Fristen nach § 147 AO relevant sein. Speichert die Bankverbindung also nur so lange, wie ihr sie für laufende Zahlungen (z. B. Aufwandsentschädigung) tatsächlich braucht, und klärt konkrete Belegfristen mit der Kämmerei eurer Gemeinde.
Besonderheiten bei Minderjährigen (JF/KF)
Die Datenverarbeitung von Minderjährigen unterliegt besonderen Schutzanforderungen. Das betrifft vor allem die Jugend- und Kinderfeuerwehr.
Einwilligungsfähigkeit
- Dienste der Informationsgesellschaft (z. B. Social-Media-Profile, Apps, Online-Dienste): Hier regelt Art. 8 DSGVO die Altersgrenze. In Deutschland gilt die Schwelle von 16 Jahren: Unter 16 müssen die Erziehungsberechtigten einwilligen, ab 16 können Jugendliche für solche Online-Dienste selbst einwilligen.
- Wichtig: Art. 8 DSGVO gilt nur für diese Online-Dienste, nicht generell für jede Einwilligung. Außerhalb davon (z. B. Vereins-Einwilligungen auf Papier) richtet sich die Einwilligungsfähigkeit nach der Einsichtsfähigkeit des Minderjährigen im Einzelfall; bei jüngeren Kindern und bei sensiblen Daten sollten immer die Eltern einwilligen.
- Kinderfeuerwehr (bis ca. 10 Jahre): Ausnahmslos Einwilligung der Erziehungsberechtigten erforderlich
Was JF/KF-Warte beachten müssen
- Schriftliche Einverständniserklärung der Eltern bei Aufnahme einholen
- Gesonderte Foto-Einwilligung (Website, Social Media, Presse)
- Gesundheitsdaten (Allergien, Medikamente) nur mit Einwilligung und nur für Berechtigte zugänglich
- Keine Aufnahme von Kindern in WhatsApp-Gruppen oder Social-Media-Kanäle ohne Elterneinwilligung
- Bei Austritt: Daten zeitnah löschen, spätestens 1 Jahr nach Austritt
Ein Kind verlässt die Kinderfeuerwehr, aber die Gesundheitsdaten stehen noch monatelang in einer alten Excel-Liste auf privaten Laptops. Genau das darf nicht passieren.
Für die Besonderheiten bei Elterndaten und Einwilligungen in der Jugendfeuerwehr lest unseren Spezialartikel zum Datenschutz in der Jugendfeuerwehr. Dort sind Muster-Einwilligungen, Fristen und der Umgang mit dem Abmeldeprozess detailliert beschrieben.
Fotografie und Social Media
Fotos und Videos sind in der Feuerwehr allgegenwärtig. Gerade hier passieren in der Praxis die meisten Fehler.
Grundregeln für Fotos
| Situation | Einwilligung nötig? | Hinweise |
|---|---|---|
| Übungsfoto (nur intern) | Berechtigtes Interesse | Personen sollten informiert sein |
| Foto für Website | Ja, schriftlich | Einzelne Einwilligung pro Person |
| Foto für Social Media | Ja, schriftlich | Einwilligung muss „Social Media" explizit nennen |
| Foto für Presse | Ja, oder Presseprivileg | Berichterstattung über Ereignisse von öffentlichem Interesse |
| Einsatzfoto (mit Betroffenen) | Verboten | Keine erkennbaren Betroffenen oder Unbeteiligte |
| Einsatzfoto (nur Einsatzkräfte) | Berechtigtes Interesse | Keine erkennbaren Adressen/Kfz-Kennzeichen |
| Fotos von Minderjährigen | Ja, von Erziehungsberechtigten | Für jeden Kanal einzeln |
| Gruppenfoto JF/KF | Ja, von allen Erziehungsberechtigten | Fehlt eine Einwilligung: kein Foto veröffentlichen |
Muster-Einwilligungserklärung (Kurzfassung)
Eine wirksame Einwilligungserklärung für Fotos enthält mindestens:
- Name und Geburtsdatum der abgebildeten Person
- Bei Minderjährigen: Name und Unterschrift der/des Erziehungsberechtigten
- Konkreter Zweck (Website, Facebook, Instagram, Presse, interne Dokumentation)
- Hinweis auf das Recht zum jederzeitigen Widerruf
- Hinweis auf die Folgen des Widerrufs (Fotos werden entfernt)
- Datum und Unterschrift
Social-Media-Richtlinie
Eine Social-Media-Richtlinie für die Feuerwehr sollte regeln:
- Wer darf im Namen der Feuerwehr posten?
- Welche Inhalte dürfen geteilt werden?
- Wie wird mit Einsatzfotos umgegangen?
- Wie reagiert man auf Kommentare und Kritik?
- Welche Plattformen werden offiziell genutzt?
Auftragsverarbeitung bei Software-Nutzung (AVV)
Wer eine Feuerwehr-Verwaltungssoftware einsetzt, lässt den Anbieter personenbezogene Daten in seinem Auftrag verarbeiten. Dafür ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO erforderlich. Im Kern regelt er, was der Anbieter mit euren Daten machen darf und wie er sie schützt.
Was der AVV regeln muss
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien der betroffenen Personen
- Technische und organisatorische Maßnahmen (TOMs) des Anbieters
- Einsatz von Subunternehmern
- Unterstützung bei Betroffenenrechten
- Löschung oder Rückgabe der Daten nach Vertragsende
Worauf ihr bei der Software-Auswahl achten solltet
- Serverstandort: EU/EWR (am besten Deutschland)
- AVV: Wird ein AVV angeboten und ist dieser vollständig?
- Verschlüsselung: Werden Daten verschlüsselt übertragen und gespeichert?
- Zugriffsrechte: Gibt es ein Rollenkonzept (nicht jeder sieht alles)?
- Löschfunktion: Können Daten DSGVO-konform gelöscht werden?
- Audit-Trail: Werden Zugriffe und Änderungen protokolliert?
- Backup: Wie werden Backups erstellt und wie lange aufbewahrt?
Lest auch unseren Vergleich der Verwaltungsmethoden, in dem wir das Thema Datenschutz bei Excel vs. Software beleuchten.
Verzeichnis der Verarbeitungstätigkeiten
Nach Art. 30 DSGVO muss jede Feuerwehr ein Verzeichnis der Verarbeitungstätigkeiten (VVT) führen. Die Ausnahme für Organisationen mit weniger als 250 Mitarbeitern greift bei Feuerwehren in der Regel nicht: Feuerwehren verarbeiten typischerweise besondere Datenkategorien (Gesundheitsdaten) und tun dies regelmäßig, nicht nur gelegentlich. Damit fallen sie unter die Ausnahme von der Ausnahme.
Pflichtangaben im VVT
Für jede Verarbeitungstätigkeit müssen folgende Angaben gemacht werden:
- Bezeichnung der Verarbeitungstätigkeit (z. B. „Mitgliederverwaltung FF")
- Verantwortlicher (Gemeinde/Stadt als Träger, vertreten durch den Bürgermeister)
- Datenschutzbeauftragter (sofern bestellt)
- Zweck der Verarbeitung (z. B. „Verwaltung der Mitgliederdaten zur Sicherstellung der Einsatzbereitschaft")
- Kategorien betroffener Personen (z. B. aktive Mitglieder, JF-Mitglieder, Erziehungsberechtigte)
- Kategorien personenbezogener Daten (z. B. Stammdaten, Ausbildungsdaten, Gesundheitsdaten)
- Empfänger (z. B. Gemeindeverwaltung, Landesfeuerwehrschule, Software-Anbieter)
- Löschfristen (s. Tabelle oben)
- Technische und organisatorische Maßnahmen (TOMs)
Typische Verarbeitungstätigkeiten einer Feuerwehr
- Mitgliederverwaltung (FF, JF, KF)
- Einsatzdokumentation und -auswertung
- Lehrgangs- und Ausbildungsverwaltung
- Atemschutznachweisverwaltung
- Dienstplanung und Anwesenheitserfassung
- Öffentlichkeitsarbeit (Website, Social Media)
- E-Mail-Kommunikation
- Vereinsverwaltung (Förderverein)
Datenschutzbeauftragter: Braucht die Feuerwehr einen?
Die Freiwillige Feuerwehr selbst braucht in der Regel keinen eigenen Datenschutzbeauftragten. Als gemeindliche Einrichtung ohne eigene Rechtspersönlichkeit ist die Gemeinde der datenschutzrechtliche Verantwortliche. Das Mandat des behördlichen Datenschutzbeauftragten der Gemeinde erstreckt sich damit im Zweifel auch auf die Freiwillige Feuerwehr.
Praktisch bedeutet das: Bei Fragen zum Datenschutz ist der Datenschutzbeauftragte der Gemeinde euer erster Ansprechpartner. Klärt frühzeitig, wer diese Rolle in eurer Gemeinde ausfüllt und wie ihr ihn bei Bedarf erreicht.
Betroffenenrechte
Die DSGVO gibt den betroffenen Personen umfangreiche Rechte. Das gilt auch für eure Mitglieder:
- Auskunftsrecht (Art. 15): Jedes Mitglied kann erfahren, welche Daten über es gespeichert sind
- Berichtigungsrecht (Art. 16): Fehlerhafte Daten müssen korrigiert werden
- Löschungsrecht (Art. 17): Unter bestimmten Voraussetzungen müssen Daten gelöscht werden
- Recht auf Einschränkung (Art. 18): Die Verarbeitung kann eingeschränkt werden
- Recht auf Datenübertragbarkeit (Art. 20): Daten müssen in maschinenlesbarem Format bereitgestellt werden
- Widerspruchsrecht (Art. 21): Gegen die Verarbeitung kann Widerspruch eingelegt werden
Ein ehemaliges Mitglied verlangt Auskunft über seine gespeicherten Daten. Ihr müsst innerhalb eines Monats alle gespeicherten Daten in verständlicher Form bereitstellen – kostenlos. Mit einer professionellen Feuerwehr-Verwaltungssoftware ist das ein Export auf Knopfdruck. Mit verteilten Excel-Listen und Papierakten wird es dagegen zur Detektivarbeit.
Technische und organisatorische Maßnahmen (TOMs)
Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.
Technische Maßnahmen
- Zugriffskontrolle: Passwortgeschützte Systeme, verschiedene Berechtigungsstufen
- Verschlüsselung: Verschlüsselte Datenübertragung (HTTPS), verschlüsselte Datenträger
- Backup: Regelmäßige Datensicherungen an einem sicheren Ort
- Aktualität: Software und Betriebssysteme auf dem neuesten Stand halten
- Endgerätesicherheit: Dienstliche und private Geräte mit Bildschirmsperre und Virenscanner
Organisatorische Maßnahmen
- Zugangsberechtigungen: Wer darf auf welche Daten zugreifen? (Need-to-know-Prinzip)
- Schulung: Regelmäßige Sensibilisierung der Führungskräfte und Datenverarbeiter
- Dokumentation: Verarbeitungstätigkeiten, Einwilligungen und Löschvorgänge dokumentieren
- Meldekette: Klare Zuständigkeiten bei Datenschutzvorfällen
- Entsorgung: Sichere Vernichtung von Papierunterlagen (Schredder, Datentonne)
Berechtigungsmatrix: Wer darf was sehen?
Das Need-to-know-Prinzip aus den TOMs wird in der Praxis zur Herausforderung, sobald mehrere Personen mit unterschiedlichen Funktionen in einem System arbeiten. Die folgende Matrix dient als Ausgangspunkt:
| Rolle | Stammdaten | Dienst-/Ausbildungsdaten | Gesundheitsdaten (Atemschutz) | Einsatzdaten | Finanzdaten |
|---|---|---|---|---|---|
| Wehrführer / stellv. Wehrführer | alle | alle | alle | alle | alle |
| Atemschutzbeauftragter | nur Atemschutz-relevante | nur Atemschutz | alle (für Eignungsplanung) | nein | nein |
| Gruppenführer | nur eigene Gruppe | nur eigene Gruppe | nein | nur eigene Gruppe | nein |
| Schriftführer / Vereinskassier | alle (Stammdaten) | nein | nein | nein | nur Beiträge/Spenden |
| Jugendwart | nur JF-Mitglieder | nur JF | nur Allergien (mit Einwilligung) | nein | nein |
| KF-Wart | nur KF-Mitglieder | nein | nur Allergien (mit Einwilligung) | nein | nein |
| Aktives Mitglied | nur eigene Daten | nur eigene Daten | nur eigene Daten | nur eigene Teilnahmen | nur eigene |
Diese Matrix sollte nicht nur in der Datenschutz-Dokumentation stehen, sondern auch technisch im Verwaltungssystem abgebildet sein. Eine Software, die Berechtigungen nur mit „Admin / Mitglied" abbildet, erfüllt die DSGVO-Anforderung an granulare Zugriffskontrolle nicht. Achtet bei der Software-Auswahl auf rollenbasierte Berechtigungen mit mindestens drei Stufen und der Möglichkeit, einzelne Datenkategorien (z. B. Gesundheitsdaten) separat freizugeben.
Datenschutzvorfall: Was tun?
Ein Datenschutzvorfall liegt vor, wenn personenbezogene Daten unbefugt offengelegt, verändert, gelöscht oder verloren werden. Typische Beispiele aus dem Feuerwehr-Alltag:
- USB-Stick mit Mitgliederliste verloren
- Excel-Datei versehentlich an alle Mitglieder gesendet
- Laptop mit Feuerwehrdaten gestohlen
- Website gehackt und Mitgliederdaten abgegriffen
Sofortmaßnahmen
- Dokumentieren: Was ist passiert? Welche Daten sind betroffen? Wie viele Personen?
- Eindämmen: Zugang sperren, Passwörter ändern, betroffene Systeme sichern
- Melden: Innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde (Art. 33 DSGVO)
- Informieren: Betroffene Personen benachrichtigen, wenn ein hohes Risiko besteht (Art. 34 DSGVO)
- Verbessern: Ursache analysieren und Maßnahmen ergreifen, damit es nicht wieder passiert
Checkliste: DSGVO-Check für eure Feuerwehr
Organisation & Verantwortung
- Verantwortlicher für Datenschutz benannt (Gemeinde als Träger)
- Datenschutzbeauftragter der Gemeinde kontaktiert und Zuständigkeit geklärt
- Ansprechpartner für Datenschutz in der Feuerwehr benannt
Dokumentation
- Verzeichnis der Verarbeitungstätigkeiten erstellt
- Löschkonzept mit konkreten Fristen erstellt
- Datenschutzhinweise für Mitglieder erstellt (Informationspflicht nach Art. 13/14)
Einwilligungen
- Muster-Einwilligungserklärung für Fotos vorhanden
- Einwilligungen aller Mitglieder (bzw. Erziehungsberechtigten) eingeholt und archiviert
- Gesonderte Einwilligungen für Social Media
- Einwilligungen für Gesundheitsdaten (Eignungsbeurteilung Atemschutz, Allergien)
Technische Sicherheit
- Mitgliederdaten passwortgeschützt gespeichert
- Keine unverschlüsselten Excel-Listen per E-Mail versendet
- Papierunterlagen verschlossen aufbewahrt
- Regelmäßige Backups der digitalen Daten
- Alte Datenträger sicher entsorgt
Auftragsverarbeitung
- AVV mit Software-Anbieter abgeschlossen
- Serverstandort in EU/EWR geprüft
- Subunternehmer-Liste des Anbieters geprüft
Minderjährige (JF/KF)
- Einverständniserklärung der Erziehungsberechtigten bei Aufnahme
- Foto-Einwilligung gesondert eingeholt
- Gesundheitsdaten nur für berechtigte Betreuer zugänglich
- Keine Kinder in WhatsApp-Gruppen ohne Elterneinwilligung
- Daten bei Austritt zeitnah gelöscht
Betroffenenrechte
- Prozess für Auskunftsanfragen definiert
- Fähigkeit, Daten innerhalb eines Monats bereitzustellen
- Prozess für Löschanfragen definiert
Datenschutzvorfall
- Meldekette für Datenschutzvorfälle definiert
- Kontaktdaten der Aufsichtsbehörde bekannt
- Formular für die 72-Stunden-Meldung vorbereitet
Häufige Fehler und wie ihr sie vermeidet
Fehler 1: Fotos ohne Einwilligung veröffentlichen
Problem: Gruppenfoto vom Übungsabend auf Facebook, ohne alle Mitglieder zu fragen.
Lösung: Vor der Veröffentlichung Einwilligungen einholen. Bei JF/KF müssen Eltern zustimmen. Fehlt eine Einwilligung, bleibt das Foto unveröffentlicht oder die Person wird unkenntlich gemacht.
Fehler 2: Mitgliederlisten per WhatsApp teilen
Problem: Die komplette Mitgliederliste mit Handynummern wird in der WhatsApp-Gruppe geteilt.
Lösung: Sensible Daten nicht über Messenger teilen. Ein Feuerwehr-Verwaltungsprogramm mit Zugriffsrechten löst das Problem: Jeder sieht nur, was er sehen darf.
Fehler 3: Alte Daten nicht löschen
Problem: Mitgliederlisten von vor 20 Jahren lagern ungesichert im Keller des Gerätehauses.
Lösung: Regelmäßiger Löschlauf, mindestens einmal pro Jahr. Nicht mehr benötigte Unterlagen datenschutzgerecht vernichten.
Fehler 4: Kein AVV mit dem Software-Anbieter
Problem: Mitgliederdaten werden in einer Cloud-Software gespeichert, aber kein AVV wurde abgeschlossen.
Lösung: AVV beim Anbieter anfordern und prüfen. Seriöse Anbieter stellen den AVV proaktiv zur Verfügung. Fehlt ein AVV-Angebot, ist das ein Warnsignal.
Fehler 5: Gesundheitsdaten offen zugänglich
Problem: Die Liste der Atemschutz-Eignungsbeurteilungen hängt für alle sichtbar im Schulungsraum aus.
Lösung: Gesundheitsdaten nur für berechtigte Personen (Wehrführer, Atemschutzbeauftragter) zugänglich machen. Mit einem Zugriffsrechte-System sieht nur, wer es wirklich braucht.
Häufige Fragen
Braucht jede Freiwillige Feuerwehr einen eigenen Datenschutzbeauftragten?
In der Regel nicht. Als gemeindliche Einrichtung ohne eigene Rechtspersönlichkeit ist die Gemeinde der datenschutzrechtliche Verantwortliche, und der behördliche Datenschutzbeauftragte der Gemeinde ist auch für die Feuerwehr zuständig. Klärt frühzeitig, wer diese Rolle in eurer Gemeinde ausfüllt und wie ihr ihn erreicht.
Wie lange dürfen Mitgliederdaten nach dem Austritt gespeichert werden?
Pauschal lässt sich das nicht sagen, weil es von der Datenart und vom Landesrecht abhängt. Reine Stammdaten ausgetretener Mitglieder werden meist einige Jahre aufbewahrt und dann gelöscht, Gesundheitsdaten dagegen zeitnah. Maßgeblich ist der Grundsatz der Speicherbegrenzung: nur so lange wie nötig. Im Zweifel klärt ihr die konkreten Fristen mit dem Datenschutzbeauftragten der Gemeinde.
Dürfen wir Einsatz- und Übungsfotos auf Facebook oder Instagram posten?
Für die Veröffentlichung erkennbarer Personen braucht ihr eine schriftliche Einwilligung, die den jeweiligen Kanal ausdrücklich nennt. Bei Minderjährigen müssen die Erziehungsberechtigten zustimmen. Fehlt eine Einwilligung, bleibt das Foto unveröffentlicht oder die betreffende Person wird unkenntlich gemacht.
Ab welchem Alter dürfen Jugendliche selbst in die Datenverarbeitung einwilligen?
Die Altersgrenze von 16 Jahren aus Art. 8 DSGVO gilt nur für Dienste der Informationsgesellschaft, also Online-Dienste wie Social-Media-Profile oder Apps. Für sonstige Einwilligungen gibt es keine starre Altersgrenze; hier kommt es auf die Einsichtsfähigkeit des Minderjährigen an. Bei jüngeren Kindern und bei sensiblen Daten sollten immer die Eltern einwilligen.
Brauchen wir einen Auftragsverarbeitungsvertrag (AVV) für unsere Verwaltungssoftware?
Ja. Wer eine Cloud-Verwaltungssoftware nutzt, lässt den Anbieter personenbezogene Daten im Auftrag verarbeiten und benötigt dafür einen AVV nach Art. 28 DSGVO. Seriöse Anbieter stellen den AVV proaktiv zur Verfügung. Fehlt ein AVV-Angebot, ist das ein Warnsignal. --- Ihr wollt Datenschutz in eurer Feuerwehr ernst nehmen, ohne dafür Überstunden zu schieben? FWVS wurde von Grund auf mit Datenschutz als Kernfeature entwickelt: Rollenbasierte Zugriffsrechte, AVV inklusive, EU-Serverstandort, automatische Löschfristen und Audit-Logging. Jetzt kostenlos testen – unverbindlich und ohne Kreditkarte.