DSGVO-konforme Plattformen: Der Leitfaden für die Zusammenarbeit mit Externen
Die Situation ist ein ungeschriebenes Gesetz in deutschen Verwaltungen, NGOs und Stiftungen: Die interne IT ist eine Festung – sicher, zertifiziert und streng reguliert. Doch sobald die Zusammenarbeit die Mauern der eigenen Organisation verlässt und externe Partner, Ehrenamtliche, Vereine oder Bürgerinitiativen an Bord kommen, bricht das Chaos aus. Es entstehen unkontrollierte WhatsApp-Gruppen, private Google Docs werden geteilt und der Begriff „DSGVO“ löst sich in Luft auf.
Die Folge ist eine gefährliche Schatten-IT, die nicht nur ineffizient, sondern auch ein massives rechtliches Risiko darstellt. Dieser Leitfaden zeigt, warum klassische Tools für die externe Zusammenarbeit scheitern und wie eine souveräne, DSGVO-konforme Plattform als „sicherer dritter Raum“ die Lösung bietet.
Das Dilemma: Warum klassische Tools (Teams, WhatsApp & Co.) an Externen scheitern
Organisationen greifen aus der Not heraus zu den Tools, die (scheinbar) am einfachsten sind. Jedes dieser Werkzeuge schafft jedoch spezifische, unlösbare Probleme in der Zusammenarbeit mit Externen.
Problem 1: Microsoft Teams & SharePoint (Das „Gast“-Problem) Das Öffnen der eigenen Microsoft-Infrastruktur für Externe ist ein Albtraum für jede IT-Abteilung. Die Verwaltung von Gast-Accounts ist komplex, Lizenzen sind teuer und oft ist es aus Sicherheitsgründen schlichtweg nicht erlaubt, Externe in die Kern-IT einzuladen. Für den externen Nutzer (z.B. einen ehrenamtlichen Helfer) ist die Hürde, einen Microsoft-Account anzulegen oder sich im komplexen SharePoint zurechtzufinden, oft zu hoch.
Problem 2: WhatsApp (Die rechtliche Zeitbombe) WhatsApp ist das Synonym für Schatten-IT. Es ist niederschwellig, aber für eine professionelle Organisation untragbar. Die Probleme sind gravierend: Metadaten-Transfer in die USA (Verstoß gegen DSGVO/Schrems II), Vermischung von privaten und dienstlichen Daten, keine Dokumentation und unklare Verantwortlichkeiten. Wer haftet, wenn sensible Bürgerdaten in einer privaten WhatsApp-Gruppe landen?
Problem 3: Google Docs / Workspace (Das Souveränitäts-Problem) Ähnlich wie bei WhatsApp ist die Nutzung von Google Workspace für die strukturierte Zusammenarbeit mit Externen datenschutzrechtlich heikel. Die Daten liegen auf US-Servern, unterliegen dem CLOUD Act und es ist unklar, ob ein AV-Vertrag (Auftragsverarbeitungsvertrag) den Anforderungen der DSGVO für den Transfer in ein Drittland standhält.
Das Ergebnis ist immer dasselbe: Frustration bei den Externen, Kontrollverlust bei der Organisation und ein permanentes Haftungsrisiko.
Was eine DSGVO-konforme Plattform wirklich leisten muss
Um dieses Dilemma zu lösen, reicht ein „sicheres Tool“ nicht aus. Eine echte Lösung muss vier Kriterien gleichzeitig erfüllen:
Technische Souveränität: Die Plattform muss DSGVO-konform sein. Das bedeutet: Klares Hosting in der EU (ohne US-Subunternehmer), ein gültiger AV-Vertrag, Verschlüsselung, klare Protokollierung und die Einhaltung der Grundsätze von „Privacy by Design“.
Niederschwelligkeit (Usability): Wenn die Plattform komplizierter ist als WhatsApp, wird sie nicht genutzt. Sie muss mobil funktionieren, ein einfaches Onboarding (z.B. per Einladungslink) ermöglichen und intuitiv bedienbar sein – auch für nicht-technikaffine Nutzergruppen.
Strukturierte Zusammenarbeit: Sie muss mehr können als nur Chat. Sie braucht Funktionen für Projektmanagement, Dateiablage, Kalender und die Möglichkeit, Wissen in Gruppen zu strukturieren.
Klare Governance: Die Plattform muss klare Rollen und Rechte bieten. Wer darf wen einladen? Wer sieht welche Inhalte? Die Organisation muss die Kontrolle behalten, ohne die Zusammenarbeit zu blockieren.
Der blinde Fleck: Warum Externe die Gleichung verändern
Das Kernproblem ist, dass interne IT-Lösungen für Mitarbeiter gebaut wurden, nicht für das Ökosystem einer Organisation. Externe Akteure haben fundamental andere Bedürfnisse:
Ehrenamtliche: Wollen schnell informiert werden, meist mobil. Sie haben keine „dienstliche E-Mail“ und werden keinen komplexen Registrierungsprozess akzeptieren.
Initiativen & Vereine: Arbeiten oft projektbezogen und temporär. Sie brauchen einen abgegrenzten Raum für ihre spezifische Aufgabe, aber keinen Vollzugriff auf die Organisations-IT.
Projektpartner:innen (z.B. aus anderen NGOs oder Stiftungen): Bringen ihre eigenen Tools mit. Die Plattform muss neutral und so einfach sein, dass sie als „Common Ground“ akzeptiert wird.
Bürger:innen (bei Beteiligungsverfahren): Die Hürde muss bei null liegen. Jede erforderliche Registrierung halbiert die Teilnehmerzahl.
Eine Plattform für Externe muss also ein „sicherer dritter Raum“ sein – abgekoppelt von der internen Kern-IT, aber kontrolliert und sicher gehostet von der Organisation.
Die 4 Lösungsansätze (und warum 3 davon in die Sackgasse führen)
Betrachtet man den Markt, kristallisieren sich vier Ansätze heraus, um das Problem zu lösen:
Ansatz 1: Die Kern-IT öffnen (z.B. SharePoint für alle)
Grenzen: Wie beschrieben – technisch komplex, rechtlich heikel, von Nutzern nicht akzeptiert. Ein IT-Albtraum.
Ansatz 2: Teams-Gäste oder Slack Connect
Grenzen: Bindet die Organisation tief an US-Anbieter. Das DSGVO-Problem (Drittstaatentransfer) bleibt ungelöst. Zudem teuer und für reine Ehrenamtliche oft überdimensioniert („Overkill“).
Ansatz 3: Nextcloud + externe Links
Grenzen: Nextcloud ist ein hervorragendes Tool für „Filesharing“ und Datensouveränität. Es ist aber primär eine Datei-Ablage, kein strukturierter Kollaborations- oder Community-Raum. Die Projekt- und Kommunikationsfunktionen sind oft nicht intuitiv genug für heterogene externe Gruppen.
Ansatz 4: Die dedizierte Community-Plattform für Externe (Der Lösungsraum)
Der Ansatz: Eine separate, oft als Whitelabel betriebene Plattform, die als „Brücke“ zur Zivilgesellschaft dient. Sie ist speziell für die Kommunikation und Projektarbeit in heterogenen Gruppen gebaut, einfach bedienbar und wird souverän (DSGVO-konform) gehostet.
Best Practices: So gelingt die externe Zusammenarbeit in Kommunen & NGOs
Eine Plattform ist nur so gut wie die Regeln, nach denen sie genutzt wird.
Governance vor Tooling: Klären Sie zuerst die Verantwortlichkeiten. Wer ist der „Eigentümer“ der Plattform (z.B. der Koordinator für Ehrenamt)? Wer darf neue Gruppen (Räume) anlegen? Wie lange werden Daten gespeichert?
Onboarding als Service: Planen Sie das Onboarding der Externen aktiv. Erstellen Sie kurze Anleitungen (PDFs, Videos) und benennen Sie klare Ansprechpartner für Rückfragen.
Klarer Fokus: Verhindern Sie, dass die Plattform zur „zweiten E-Mail“ wird. Definieren Sie klare Anwendungsfälle (z.B. „Koordination des Sommerfestes“, „AG Digitalisierung“, „Förderprojekt X“).
Gemeinsame Verantwortlichkeit: Wenn Netzwerkarbeit zur Haftungsfalle wird
Ein oft übersehenes Risiko in der Zusammenarbeit mit externen Partnern: die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Sobald zwei Organisationen gemeinsam entscheiden, welche Daten erhoben und wie sie verarbeitet werden, haften sie gesamtschuldnerisch – egal, bei wem der Datenschutzverstoß passiert.
Wann liegt gemeinsame Verantwortlichkeit vor?
Typische Szenarien in der Netzwerkarbeit:
Projektverbünde: Ein Förderprojekt mit drei Partnern führt eine gemeinsame Teilnehmer-Datenbank. Alle drei entscheiden, welche Daten erhoben werden → gemeinsame Verantwortlichkeit.
Runde Tische: Kommune, Wohlfahrtsverband und freier Träger betreiben gemeinsam eine Beratungsstelle. Klientendaten werden geteilt → gemeinsame Verantwortlichkeit.
Ehrenamts-Netzwerke: Ein Dachverband und seine Ortsgruppen koordinieren Freiwillige über eine gemeinsame Plattform. Kontaktdaten werden zentral gepflegt → möglicherweise gemeinsame Verantwortlichkeit.
Das Problem: Unterschiedliche Rechtsregime
Besonders komplex wird es, wenn Partner unterschiedlichen Datenschutzgesetzen unterliegen:
| Partner | Rechtsregime | Besonderheit |
|---|---|---|
| Weltlicher Verein | DSGVO | Art. 6 Abs. 1 lit. f (berechtigtes Interesse) |
| Caritas-Einrichtung | KDG | § 6 Abs. 1 lit. g (kirchliches Interesse) |
| Diakonie-Träger | DSG-EKD | Längere Auskunftsfristen (bis 3 Monate) |
| Kommune | DSGVO + Landesdatenschutzgesetz | Besondere Transparenzpflichten |
Das Resultat: Was für Partner A rechtmäßig ist, kann für Partner B problematisch sein. Bei einem Verstoß haften trotzdem beide.
Die Lösung: Joint-Controller-Agreement
Art. 26 DSGVO verlangt eine Vereinbarung, die festlegt:
Wer ist wofür zuständig? Wer beantwortet Auskunftsersuchen? Wer löscht Daten?
Welcher Standard gilt? Bei gemischten Rechtsregimen (DSGVO + KDG + DSG-EKD) muss der strengste Standard als gemeinsamer Nenner dienen.
Wer ist Anlaufstelle für Betroffene? Betroffene können sich an jeden Partner wenden – intern muss klar sein, wer dann handelt.
Wie wird dokumentiert? Gemeinsames Verarbeitungsverzeichnis, abgestimmte Datenschutzerklärungen.
Praktische Empfehlungen für Netzwerke
Vor Projektstart klären:
Sind wir gemeinsam verantwortlich oder nur Auftragsverarbeiter?
Welche Rechtsregime gelten für alle Beteiligten?
Gibt es einen Lead-Partner für Datenschutzfragen?
Vertraglich absichern:
Musterverträge der Datenschutzbehörden nutzen und anpassen
Klauseln zur Konfliktlösung zwischen Rechtsregimen ergänzen
Haftungsverteilung explizit regeln
Technisch lösen:
Eine gemeinsame Plattform statt verteilter Insellösungen
Klare Berechtigungskonzepte: Wer sieht welche Daten?
Protokollierung: Wer hat wann was geändert?
Der Lösungs-Check: Welche Plattformen kommen infrage?
Vergleicht man Lösungen, die den Ansatz des „sicheren dritten Raums“ (Ansatz 4) verfolgen, sollte man auf die Kombination aus Souveränität und Usability achten.
| Plattform | Fokus | Ideal für Externe? | DSGVO-Souveränität |
|---|---|---|---|
| Matrix / Element | Sicherer, dezentraler Chat (Messenger) | Ja (als Chat) | Sehr hoch (bei eigenem Hosting) |
| Nextcloud | Filesharing, Office (Content) | Bedingt (Fokus auf Dateien, nicht Community) | Sehr hoch (bei eigenem Hosting) |
| OpenProject | Klassisches Projektmanagement | Nein (Zu komplex für Ehrenamt) | Sehr hoch (bei eigenem Hosting) |
| UniteOS | Kollaboration + Community | Ja (Fokus auf einfache Gruppenarbeit) | Sehr hoch (EU-Hosting, Open Source) |
Analyse: Während Tools wie Matrix stark im reinen Chat und Nextcloud stark im File-Hosting sind, fehlt ihnen oft die integrierte Schicht für die strukturierte Projekt- und Community-Arbeit in Gruppen. UniteOS wurde genau dafür entwickelt: die Funktionen von Chat, Dateiablage und Projektmanagement in einer einfach bedienbaren, souveränen Community-Plattform zu bündeln, die als Whitelabel betrieben werden kann.
Fazit: Der souveräne Raum außerhalb der Firewall ist entscheidend
Die Zusammenarbeit mit externen Akteuren ist kein IT-Problem, es ist eine Kernaufgabe moderner Verwaltungen, Stiftungen und Verbände. Diese Zusammenarbeit aus der Kern-IT auszusperren ist richtig; sie aber in die unkontrollierte Schatten-IT von WhatsApp und Google abzudrängen, ist fahrlässig.
Erfolgreiche Organisationen bauen eine Brücke: einen souveränen, datenschutzkonformen Raum außerhalb der Firewall, der sicher genug für die Organisation und einfach genug für die Externen ist. Eine Plattform, die Vertrauen schafft, statt Haftungsrisiken zu produzieren.
Wie geht es jetzt weiter?
1. Macht unseren Schnellcheck
Habt ihr das Gefühl, dass Schatten-IT (WhatsApp, Dropbox) eure Compliance gefährdet? Findet in drei Minuten raus, wie gut eure IT aufgestellt ist: mit unserem Compliance-Audit.
2. Nehmt Kontakt mit uns auf
Wir zeigen euch live, wie ihr externe Partner, Ehrenamtliche und Bürger:innen in UniteOS einladet – sicher, DSGVO-konform und ohne technische Hürden.
3. Vertiefende Themen
Technologie: Warum Open Source die Basis für Vertrauen ist
Kontext: Kollaboration jenseits der eigenen Firewall