Rockinghorse Foundation

Ingrid Winkler
9–13 Minuten

Rechtliche Compliance und Datenschutz – Rocking Horse Foundation

Rechtliche Compliance und Datenschutz: Wie die Rocking Horse Foundation Vertrauen schafft und Kinder schützt

Aufmerksamkeit geweckt? Gut — denn das Thema „Rechtliche Compliance und Datenschutz“ kann trocken klingen, betrifft Dich aber direkt, wenn Du mit uns spenden, zusammenarbeiten oder in unseren Projekten vor Ort arbeiten willst. Interesse geweckt? Dann lies weiter: Du erfährst, welche Grundsätze wir verfolgen, wie wir Spender- und Programmdaten schützen und wie wir bei internationalen Projekten und Audits vorgehen. Am Ende weißt Du auch, wie Du schnell und unkompliziert Kontakt aufnehmen oder Deine Rechte wahrnehmen kannst.

Rechtliche Compliance und Datenschutz bei der Rocking Horse Foundation: Grundsätze, Richtlinien und Verantwortlichkeiten

Compliance und Datenschutz sind für uns nicht nur juristische Pflicht, sondern Ausdruck unserer Wertvorstellungen. Wir arbeiten seit 2008 mit Kindern in benachteiligten Gemeinden — das bringt große Verantwortung mit sich. Deshalb haben wir klare Grundsätze: Rechtmäßigkeit, Transparenz, Datenminimierung, Zweckbindung, Richtigkeit, Speicherbegrenzung und Vertraulichkeit. Kurz: Wir wollen so wenig Daten wie möglich, so viel Schutz wie nötig.

Unsere verbindlichen Richtlinien

Damit aus Prinzip Praxis wird, haben wir mehrere Dokumente und Prozesse eingeführt. Dazu gehören die Datenschutzerklärung für externe Nutzer, interne Datenschutzrichtlinien für Mitarbeitende, Verfahrensanweisungen, Verträge für Auftragsverarbeiter und Checklisten für lokale Einsätze. Warum so viele Papiere? Weil klare Regeln Fehler und Missverständnisse vermeiden — und Fehler bei personenbezogenen Daten mitunter schwerwiegende Folgen haben können.

Praktische Umsetzung: Ein Beispiel

Stell Dir vor, ein neues Frühförderungsprogramm startet in einer Gemeinde: Bevor Daten überhaupt erhoben werden, legen Projektleitung und DPO fest, welche Informationen nötig sind, wie der Einwilligungsprozess aussehen muss, wer Zugriff erhält und wie lange die Daten gespeichert werden. Dann wird eine kurze, leicht verständliche Einwilligungserklärung erstellt und mit Eltern besprochen — persönlich, nicht nur als langatmiges Formular.

Wer ist wofür verantwortlich?

Verantwortlichkeiten sind bei uns klar verteilt, damit niemand ratlos bleibt:

  • Vorstand: Gesamtverantwortung für Compliance-Strategie und Ressourcen.
  • Datenschutzbeauftragter (DPO): Operative Koordination, Anlaufstelle für Betroffene und Aufsichtsbehörden.
  • Projektleitungen: Umsetzung der Datenschutzmaßnahmen in den Programmen.
  • IT & Sicherheit: Technische Maßnahmen, Zugriffskontrollen und Incident Response.

Diese Struktur sorgt dafür, dass die Theorie auch auf dem Feld funktioniert — denn Compliance ist nur so gut wie ihre Umsetzung. Wir nutzen regelmäßige Meetings, Checklisten und Reporting-Tools, damit Verantwortlichkeiten nicht nur auf dem Papier stehen, sondern gelebt werden.

Datenschutzpraktiken der Rocking Horse Foundation: Schutz von Spenderdaten, Partnerdaten und Programminformationen

Unterschiedliche Daten verlangen unterschiedliche Sicherheit. Spenderdaten, Partnerinformationen und personenbezogene Daten von Kindern oder Familien behandeln wir nach streng getrennten Prozessen. Dabei gilt immer das Prinzip der Datenminimierung: Wir fragen nur das ab, was wir wirklich brauchen.

Erhebung und Rechtsgrundlagen

Jede Datenerhebung wird dokumentiert: Warum brauchen wir diese Informationen? Auf welcher Rechtsgrundlage basiert die Verarbeitung — Einwilligung, Vertragserfüllung, berechtigtes Interesse? Gerade bei sensiblen Daten wie Gesundheitsinformationen oder Daten von Minderjährigen holen wir in der Regel eine ausdrückliche Einwilligung der Sorgeberechtigten ein. Keine Einwilligung, keine Verarbeitung — so einfach und so wichtig.

Formulierungs-Tipp für Einwilligungen

Einwilligungen sollten knapp und verständlich sein. Zum Beispiel:

  • „Ich willige ein, dass die Rocking Horse Foundation meine Kontaktdaten zur Projektkoordination verwendet.“
  • „Ich erteile meine Einwilligung zur Verarbeitung der Angaben meines Kindes zur Auswahl geeigneter Fördermaßnahmen.“

So vermeidest Du Missverständnisse — und die Eltern wissen, worauf sie sich einlassen.

Zugriffs- und Zugriffskontrolle

Stell Dir vor: Ein Ordner mit persönlichen Daten liegt offen in einem Gemeinschaftsraum. Unvorstellbar, oder? Deshalb gilt bei uns das Need-to-know-Prinzip. Nur jene Mitarbeitenden, die Daten für ihre Arbeit benötigen, bekommen Zugriff. Zusätzlich protokollieren wir Zugriffe und überprüfen Berechtigungen regelmäßig.

Konkrete Maßnahmen

  • Rollenbasierte Zugriffskonzepte
  • Regelmäßige Berechtigungsreviews (mindestens halbjährlich)
  • Session-Timeouts und sichere Passwortstandards

Speicherung, Löschung und Anonymisierung

Daten werden nicht für die Ewigkeit aufgehoben. Nach dem Zweckprinzip löschen oder anonymisieren wir Daten, sobald der Zweck erfüllt ist. Für Berichte und Forschung nutzen wir wann immer möglich pseudonymisierte Datensätze — so bleibt die Aussagekraft erhalten, die Identität aber geschützt.

Beispielhafte Löschfristen

Unsere typischen Löschfristen (orientiert an Verarbeitungszweck und gesetzlichen Vorgaben) sehen etwa so aus:

  • Spenderkontaktdaten: 6 Jahre nach letzter Aktivität (sofern keine Einwilligung für längere Speicherung vorliegt)
  • Projektteilnehmerdaten (nicht-sensibel): 3 Jahre nach Abschluss des Projekts
  • Sensible Daten (z. B. Gesundheitsinfos): nach Wegfall des Zwecks und auf Wunsch der Betroffenen oder nach Ablauf gesetzlicher Aufbewahrungsfristen, unter zusätzlicher Schutzprüfung

Compliance-Management in Non-Profit-Organisationen: Governance, Transparenz und Rechenschaftspflicht bei Rocking Horse Foundation

Was bedeutet Compliance für eine gemeinnützige Organisation? Mehr als Paragraphen: Es heißt verantwortungsvoll mit Spendengeldern umgehen, transparent berichten und moralisch integer handeln — jeden Tag. Deine Spende soll dort ankommen, wo sie wirken soll. Punkt.

Governance-Strukturen

Unsere Governance ist so gestaltet, dass Entscheidungslinien klar sind. Vorstand, Geschäftsführung und Projektteams arbeiten eng zusammen, aber mit klaren Kontrollen. Finanz- und Datenprozesse sind getrennt, damit weder Interessenkonflikte noch Missbrauch entstehen.

Transparenz & Rechenschaftspflicht

Du willst wissen, wohin Dein Geld fließt? Recht so. Deshalb veröffentlichen wir regelmäßige Berichte zu Projektergebnissen und Mittelverwendung. Darüber hinaus führen wir unabhängige Prüfungen durch, um externe Validierung zu ermöglichen. Transparente Kommunikation ist Teil unseres Selbstverständnisses — wir berichten nicht nur Erfolge, sondern auch Herausforderungen und Lernprozesse.

Interne Kontrollen und Meldesysteme

Unsere internen Audits prüfen sowohl finanzielle als auch datenschutzrelevante Prozesse. Falls etwas schiefgeht, haben wir ein Meldesystem — inklusive Whistleblowing-Schutz. Du kannst Probleme melden, ohne Angst vor Repressalien zu haben.

Kontrollmaßnahmen auf einen Blick

  • Regelmäßige Budget- und Projektreviews
  • Externe Jahresprüfungen
  • Prozessdokumentation und Freigabeläufe für Ausgaben
  • Berichte an Stakeholder in verständlicher Form

Datensicherheit in Programmen zur frühkindlichen Bildung und Spieltherapie: Maßnahmen der Rocking Horse Foundation

Bei Programmen mit Kindern ist der Schutz von Daten besonders sensibel. Wir kombinieren technische, organisatorische und personelle Maßnahmen, um sicherzustellen, dass Daten von Kindern und Familien nicht in falsche Hände geraten.

Technische Maßnahmen

  • Verschlüsselung in Transit und at-rest: TLS für Übertragungen, verschlüsselte Datenbanken für Speicherung.
  • Regelmäßige Backups und getestete Wiederherstellungsprozesse.
  • Endpoint-Security auf Dienstgeräten und striktes Patch-Management.
  • Zwei-Faktor-Authentifizierung für kritische Zugänge.
  • Netzwerksegmentierung, um sensible Systeme zusätzlich zu isolieren.

Organisatorische Maßnahmen

  • Privacy by Design/Default: Datenschutz wird von Anfang an mitgedacht.
  • Vertraulichkeitsvereinbarungen mit Mitarbeitenden, Ehrenamtlichen und Partnern.
  • Schulungen: Regelmäßige Trainings sensibilisieren für Risiken und Verantwortlichkeiten.
  • Hintergrundprüfungen für Mitarbeitende mit direktem Kinderkontakt, kombiniert mit klar definierten Rollen und Verantwortlichkeiten.

Schulungskonzept

Unsere Schulungen sind praxisnah: kurze E-Learning-Module, Präsenzworkshops vor Ort und Refresh-Sessions mindestens einmal jährlich. Die Inhalte umfassen Einwilligungen, sichere Kommunikation, Erkennung von Social-Engineering-Angriffen und den Umgang mit sensiblen Fällen im Projektalltag.

Vorfallmanagement

Falls trotzdem mal etwas passiert, ist der Incident-Response-Plan aktiviert: schnelle Eindämmung, Analyse, Meldung an die zuständige Aufsichtsbehörde und transparente Benachrichtigung der Betroffenen. Wir lernen aus Vorfällen — und verbessern unsere Systeme laufend.

Incident-Response-Checkliste

  • Sofortige Sicherung und Eindämmung
  • Analyse des Umfangs und der betroffenen Daten
  • Meldung an DPO und gegebenenfalls an Aufsichtsbehörde
  • Information der Betroffenen mit Handlungsempfehlungen
  • Lessons-Learned und technische/organisatorische Maßnahmen zur Vermeidung zukünftiger Vorfälle

Internationale Projekte und Datenschutz: Umgang mit personenbezogenen Daten in globalen Partnerschaften

Unsere Arbeit ist international. Dabei treffen unterschiedliche Rechtsräume und Kulturen aufeinander. Das ist spannend, bringt aber auch Herausforderungen für den Datenschutz mit sich. Unser Ansatz: Schutzstandards dürfen nicht auf der Strecke bleiben — egal, in welchem Land wir aktiv sind.

DPIA und Risikoanalyse

Bevor ein grenzüberschreitendes Projekt startet, prüfen wir Datenrisiken mit einer Datenschutz-Folgenabschätzung (DPIA). Welche Daten werden übertragen? Welches Risiko besteht für die Betroffenen? Auf Basis dessen definieren wir Schutzmaßnahmen und dokumentieren das Ergebnis.

Typische Risikoelemente

  • Übermittlung sensibler Daten in Länder mit schwächerer Rechtsdurchsetzung
  • Nutzung von lokalen Dienstleistern ohne ausreichende Sicherheitsstandards
  • Unklare Verantwortlichkeiten zwischen Partnerorganisationen

Rechtliche Übermittlungen

Bei Datenübertragungen außerhalb der EU nutzen wir rechtssichere Mechanismen wie Standardvertragsklauseln, Binding Corporate Rules oder prüfen das Vorhandensein eines angemessenen Datenschutzniveaus. Vertragsklauseln mit lokalen Partnern regeln Verantwortlichkeiten und Sicherheitsanforderungen klar und präzise.

Lokale Partnerschaften stärken

Wir investieren in Schulungen und technische Unterstützung für lokale Partner. Damit Daten sicher verarbeitet werden können, braucht es oft mehr als eine Klausel im Vertrag: Es braucht Kapazitätsaufbau, klare Prozessvorlagen und praktische Werkzeuge vor Ort.

Praxisbeispiel

In einem Projekt in Zentralamerika haben wir lokale Partner bei der Einrichtung sicherer Datenbanken unterstützt, Offline-Formulare digitalisiert und Schulungen zur sicheren Datenerhebung durchgeführt. Ergebnis: weniger Papierabläufe, schnellere Auswertungen und besserer Schutz der Familieninformationen.

Rechte der Betroffenen, Audits und Aufsicht: Unser Ansatz zur Einhaltung von DSGVO und ethischen Standards

Die DSGVO gibt Betroffenen wichtige Rechte — und wir sorgen dafür, dass diese Rechte auch gelebt werden. Du hast Fragen oder willst Deine Daten einsehen? Du kannst das bei uns einfach anstoßen.

Betroffenenrechte konkret

Du hast Anspruch auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Anfragen werden dokumentiert und innerhalb der gesetzlichen Fristen bearbeitet. Und ja: Wir kommunizieren das Ergebnis transparent, ohne unnötigen Bürokratieaufwand.

So läuft eine Auskunftsanfrage bei uns ab

  1. Einreichung der Anfrage per E-Mail an [email protected]
  2. Identitätsprüfung zum Schutz vor unberechtigtem Zugriff
  3. Prüfung und Zusammenstellung der relevanten Daten
  4. Bereitstellung der Informationen innerhalb der gesetzlich vorgegebenen Frist
  5. Weiteres Vorgehen bei Klärungsbedarf oder Korrekturanfragen

Audits und kontinuierliche Verbesserung

Unser Auditrahmen umfasst regelmäßige interne Prüfungen und externe Audits. Wir führen ein Verzeichnis von Verarbeitungstätigkeiten und aktualisieren Policies stetig. Veränderungen im Recht oder in der Technik nehmen wir ernst und passen unsere Prozesse an.

Auditfrequenz

Interne Audits finden mindestens einmal jährlich statt; kritische Projekte werden zusätzlich geprüft. Externe Prüfungen erfolgen in der Regel alle zwei bis drei Jahre oder bei signifikanten Änderungen in der Organisation.

Zusammenarbeit mit Aufsichtsbehörden

Bei Bedarf kooperieren wir offen mit Datenschutzaufsichtsbehörden. Transparenz ist uns wichtig: Kontrollen sind kein Strafgericht, sondern eine Chance zur Verbesserung. Wir sehen Audits als Spiegel — manchmal schonungslos, aber meistens hilfreich.

Organisationsstruktur: Rollen und Verantwortlichkeiten (Kurzüberblick)

Rolle Aufgaben
Vorstand Strategische Verantwortung für Compliance und Datenschutz.
Datenschutzbeauftragter (DPO) Beratung, Koordination und Anlaufstelle für Betroffene.
Projektleitung Operative Umsetzung von Datenschutzanforderungen vor Ort.
IT & Sicherheit Technische Absicherung, Backup-Strategien, Zugriffskontrolle.

Die klare Verantwortungskärtelung hilft uns, im Alltag schnell Entscheidungen zu treffen und gleichzeitig Rechenschaft abzulegen.

Praktische Hinweise für Betroffene, Partner und Spender

Kurz und knapp: So kannst Du mit uns interagieren, wenn es um Datenschutz geht.

  • Auskunftsanfragen: Richte sie an unseren DPO: [email protected].
  • Hinweise auf Datenschutzverstöße: Nutze unser internes Meldesystem oder kontaktiere uns vertraulich über die obige Adresse.
  • Partner: Verträge regeln Datenschutzpflichten. Wir bieten Trainings und technische Unterstützung an.
  • Spender: Du erhältst klare Informationen zur Verarbeitung Deiner Daten und kannst Einwilligungen jederzeit widerrufen.

Du bist uns wichtig — als Unterstützer, Partner oder Mitglied unserer Community. Deshalb möchten wir den Umgang mit Deinen Daten so einfach und transparent wie möglich gestalten. Wenn Du Fragen hast, schreibe uns ruhig konkret: „Welche Daten von mir habt Ihr?“, oder „Wie löscht Ihr die Daten meines Kindes?“ — Wir antworten klar und zeitnah.

FAQ — Häufig gestellte Fragen

Wie lange speichert die Rocking Horse Foundation personenbezogene Daten?
Wir speichern Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist und gesetzlich zulässig. Konkrete Löschfristen sind in unseren internen Richtlinien hinterlegt und richten sich nach dem jeweiligen Verarbeitungszweck.

Wer ist Ansprechpartner bei Datenschutzfragen?
Unser Datenschutzbeauftragter ist Dein erster Ansprechpartner: [email protected]. Du bekommst eine zeitnahe Rückmeldung und klare Schritte zur Lösung Deines Anliegens.

Wie werden Daten in internationalen Projekten geschützt?
Wir führen Datenschutz-Folgenabschätzungen durch, nutzen Standardvertragsklauseln oder andere rechtssichere Mechanismen und stärken lokale Partner durch Trainings und technische Unterstützung.

Was passiert bei einem Datenschutzvorfall?
Unser Incident-Response-Plan sorgt für sofortige Maßnahmen: Eindämmung, Analyse, Meldung an Aufsichtsbehörden und Information der Betroffenen. Danach verbessern wir gezielt unsere Prozesse.

Kann ich meine Einwilligung widerrufen?
Ja. Widerrufe sind jederzeit möglich. Du findest Informationen dazu in unseren Kommunikationsmails oder Du wendest Dich direkt an [email protected].

Warum Du uns vertrauen kannst — und warum das wichtig ist

Vertrauen wird nicht verschenkt. Es muss verdient werden — Tag für Tag. Für eine Organisation, die mit Kindern arbeitet, bedeutet Vertrauen: sichere Datenverarbeitung, transparente Mittelverwendung und verlässliche Partner vor Ort. Wir wollen nicht nur etwas Gutes tun, wir wollen es richtig tun.

Wenn Du mit uns zusammenarbeitest oder uns unterstützt, kannst Du sicher sein: Wir behandeln Informationen mit Respekt, schützen die Identität vulnerabler Personen und lernen ständig dazu. Klingt nach viel Bürokratie? Vielleicht. Ist es aber auch wertvoll — denn gute Prozesse bedeuten, dass Hilfe dort ankommt, wo sie gebraucht wird. Und außerdem: Niemand mag Überraschungen, besonders nicht, wenn es um persönliche Daten geht.

Kontakt & nächste Schritte

Hast Du noch Fragen zur rechtlichen Compliance und Datenschutz bei der Rocking Horse Foundation? Möchtest Du als Partner mit uns arbeiten oder Deine Rechte geltend machen? Schreib an unseren Datenschutzbeauftragten: [email protected]. Wir antworten innerhalb der gesetzlichen Fristen und bemühen uns um klare, verständliche Antworten.

Falls Du aktiv werden möchtest: Schau Dir unsere Projektbeschreibungen an, fordere die jeweiligen Datenschutzinformationen an und vereinbare ein kurzes Gespräch mit der Projektleitung — oft klärt ein fünfminütiges Telefonat mehr als zehn E-Mails.

Danke, dass Du Dich damit beschäftigst. Datenschutz ist Teamarbeit — und mit Deinem Interesse bringst Du uns weiter.

Tags

Neue Beiträge