Vertraulichkeitsverpflichtung

Verpflichtung auf das Datengeheimnis nach § 53 BDSG i. V. m. Art. 29 und Art. 32 Abs. 4 DSGVO

Fassung 1.0 · Stand: 19.04.2026

Präambel und Geltungsbereich

Diese Erklärung verpflichtet Mitwirkende des ehrenamtlichen Online-Projekts „Minewache" (nachfolgend „Projekt"), die im Rahmen ihrer Tätigkeit Zugang zu personenbezogenen Daten erhalten, auf das Datengeheimnis. Sie ergänzt die Projektordnung (§ 7 Abs. 3) sowie die Datenschutzerklärung (Abschnitt 17.4).

Die Verpflichtung richtet sich insbesondere an:

• Entwicklerinnen und Entwickler mit Zugriff auf die Datenbank, den Anwendungsserver oder auf Systeme, über die personenbezogene Daten verarbeitet werden.
• Bewerbungsbeantworterinnen und Bewerbungsbeantworter sowie weitere Teammitglieder mit Zugang zum Administrationsbereich der Bewerbungsverwaltung und zu Nutzerprofildaten.
• Sonstige Mitwirkende, denen personenbezogene Daten im Rahmen ihrer projektbezogenen Aufgaben anvertraut werden.

§ 1 – Verantwortlicher

1. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:
   Leon Schatte
   Berliner Eck 10, 23738 Harmsdorf
   E-Mail: [email protected]
2. Der Verantwortliche erlässt Weisungen zur Datenverarbeitung und ist zur Kontrolle der Einhaltung dieser Erklärung befugt.

§ 2 – Datengeheimnis (§ 53 BDSG)

§ 53 BDSG – Vertraulichkeit:

„Mit Datenverarbeitung befasste Personen dürfen personenbezogene Daten nicht unbefugt verarbeiten (Datengeheimnis). Sie sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit fort."

Ich verpflichte mich, personenbezogene Daten, die mir im Rahmen meiner Mitwirkung am Projekt zugänglich werden, nicht unbefugt zu verarbeiten. Eine unbefugte Verarbeitung liegt insbesondere vor bei unberechtigtem Zugriff, unberechtigter Weitergabe, Veränderung, Löschung, Speicherung, Nutzung oder Offenbarung personenbezogener Daten.

§ 3 – Weisungsbindung (Art. 29 DSGVO und Art. 32 Abs. 4 DSGVO)

Art. 29 DSGVO:

„Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet."

Art. 32 Abs. 4 DSGVO:

„Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet."

Ich verarbeite personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen. Weisungen werden grundsätzlich im Rahmen der projektinternen Kommunikationskanäle (Discord, E-Mail, projektinterne Dokumentation) dokumentiert. Eine eigenmächtige Verarbeitung – etwa für private, kommerzielle oder projektfremde Zwecke – ist ausgeschlossen, es sei denn, ich bin hierzu nach dem Recht der Europäischen Union oder eines Mitgliedstaats verpflichtet.

§ 4 – Fortbestand der Pflicht nach Ende der Tätigkeit

Das Datengeheimnis und die aus dieser Erklärung folgenden Pflichten bestehen gemäß § 53 Satz 3 BDSG auch nach der Beendigung meiner Mitwirkung am Projekt fort. Dies umfasst insbesondere die Pflicht zur Vertraulichkeit, zur Unterlassung unbefugter Verarbeitung sowie zur Rückgabe und Löschung aller mir überlassenen Daten und Zugänge.

§ 5 – Zweckbindung und Umfang der zugänglichen Daten

1. Ich verarbeite personenbezogene Daten ausschließlich für Zwecke des Projekts und im Rahmen meiner konkreten Aufgaben.
2. Zu den mir im Rahmen meiner Rolle zugänglichen Daten können insbesondere gehören:
   • Discord-Identifikatoren, Nutzernamen, Avatare und Rollen
   • Bewerbungsdaten (Freitexte, Alter, technische Angaben, Hardware, Portfolio-Links)
   • Kontaktangaben der Erziehungsberechtigten bei minderjährigen Bewerbern
   • Interne Kommentare, Statusverläufe und Bearbeitungsprotokolle
   • Für Entwickler zusätzlich: Backup-Artefakte, Logs, API-Schlüssel, Datenbank-Dumps
3. Eine Verarbeitung für eigene, private oder kommerzielle Zwecke ist untersagt. Ein Export, eine Kopie oder eine Übertragung auf private Systeme (einschließlich Upload in KI- oder Cloud-Dienste außerhalb der projektgenehmigten Infrastruktur) ist untersagt.
4. Eine Weitergabe an Dritte – auch innerhalb des Projekts – ist nur zulässig, soweit dies für die konkrete Aufgabenerfüllung notwendig ist und die Person ebenfalls auf das Datengeheimnis verpflichtet wurde.

§ 6 – Technische und organisatorische Pflichten

1. Ich schütze meine Zugangsdaten vor dem Zugriff Dritter, verwende, sofern angeboten, Zwei-Faktor-Authentisierung, teile keine Passwörter und gebe meine Sitzung nicht auf fremden Geräten preis.
2. Ich verwende für projektbezogene Tätigkeiten angemessen gesicherte Geräte (aktuelles System, Bildschirmsperre, Festplattenverschlüsselung, soweit technisch möglich).
3. Ich halte projektinterne Zugänge (Discord-Bot-Tokens, API-Schlüssel, Serverzugänge) streng vertraulich und speichere sie nur in den dafür vorgesehenen Systemen.
4. Ich fertige keine unautorisierten Screenshots oder Exporte von personenbezogenen Daten an und teile solche insbesondere nicht außerhalb projektinterner Kommunikationswege.

§ 7 – Meldepflicht bei Datenpannen

Bei jedem tatsächlichen oder begründet vermuteten Verstoß gegen den Schutz personenbezogener Daten – insbesondere bei unberechtigtem Zugriff, unberechtigter Offenlegung oder Verlust von Daten – melde ich diesen Vorfall unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung, an die Projektleitung, damit der Verantwortliche seiner Meldepflicht nach Art. 33 DSGVO (72-Stunden-Frist) nachkommen kann.

§ 8 – Rückgabe und Löschung bei Ausscheiden

Mit Beendigung meiner Mitwirkung – gleich aus welchem Grund – verpflichte ich mich, sämtliche mir überlassenen Daten, Datenträger, Zugänge, Schlüssel, Tokens und Kopien auf Verlangen des Verantwortlichen zurückzugeben beziehungsweise unwiederbringlich zu löschen. Über Art und Umfang der Rückgabe bzw. Löschung erteile ich dem Verantwortlichen auf Anforderung Auskunft.

§ 9 – Belehrung über Sanktionen

Ich bin darüber belehrt worden, dass Verstöße gegen das Datengeheimnis und die in dieser Erklärung übernommenen Pflichten zu rechtlichen Konsequenzen führen können, insbesondere:

• Bußgelder nach Art. 83 DSGVO (bis zu 20 Millionen Euro bzw. bis zu 4 % des weltweiten Jahresumsatzes).
• Strafbarkeit nach § 202a StGB (Ausspähen von Daten), sofern ich mir oder anderen unbefugten Zugang zu besonders gesicherten Daten verschaffe oder meine technische Zugriffsbefugnis überschreite.
• Strafbarkeit nach § 23 GeschGehG hinsichtlich projektinterner, nicht personenbezogener Informationen, die als Geschäftsgeheimnis im Sinne des § 2 GeschGehG einzustufen sind (z. B. Drehbücher, nicht veröffentlichtes Rohmaterial, redaktionelle Konzepte).
• Zivilrechtliche Schadensersatzansprüche des Verantwortlichen oder betroffener Personen.
• Projektinterne Konsequenzen: sofortiger Entzug aller Zugänge, Rollen und Mitwirkungsmöglichkeiten.

§ 10 – Minderjährige (§ 107 BGB)

Soweit ich zum Zeitpunkt der Abgabe dieser Erklärung minderjährig (unter 18 Jahre alt) bin, bedarf diese Erklärung gemäß § 107 BGB der Einwilligung meiner gesetzlichen Vertreter, da sie nicht lediglich rechtlich vorteilhaft ist. Die Einwilligung wird über den im Projekt etablierten Eltern-Einwilligungs-Prozess (E-Mail-Token-Verfahren) eingeholt. Ohne diese Einwilligung wird die Verpflichtung nicht wirksam und sensible Rollen werden nicht zugewiesen.

§ 11 – Schlussbestimmungen

1. Diese Erklärung gilt ab dem Zeitpunkt der digitalen Akzeptanz oder der handschriftlichen Unterschrift.
2. Ich kann meine Zustimmung jederzeit widerrufen. Der Widerruf führt zum sofortigen Entzug der sensiblen Rollen und Zugänge; die Pflichten aus § 4 (Fortbestand) bleiben hiervon unberührt.
3. Bei Änderungen des Dokuments wird eine neue Fassung veröffentlicht; vor Fortsetzung meiner Tätigkeit mit Datenzugriff ist die neue Fassung erneut zu akzeptieren.
4. Sollten einzelne Bestimmungen unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt (salvatorische Klausel).
5. Es gilt das Recht der Bundesrepublik Deutschland.

Bestätigung und Unterschrift

Mit meiner digitalen Akzeptanz oder meiner handschriftlichen Unterschrift bestätige ich, dass ich diese Erklärung gelesen, verstanden und akzeptiert habe. Ich wurde auf das Datengeheimnis nach § 53 BDSG verpflichtet und über die in § 9 genannten Sanktionen belehrt.