merken

EU-Datenregeln verunsichern Vereine und Firmen

Jetzt sollen die Bürger besser im Internet geschützt sein. Doch zunächst gibt es Fragen. Ein Experte hilft weiter.

© Rafael Sampedro

Von S. Sodan & R.  Altmann-Kühr

Karsten Gust hat kein Risiko eingehen wollen – und seine Internetseite abgeschaltet. Der Kottmarsdorfer, der als Toni, der Weihnachtsmann bekannt ist, kann nicht mehr auf der eigenen Homepage für seine Auftritte als Weihnachtsmann werben. Er habe sich mit einer Rechtsanwältin beraten und sich fürs Abschalten entschieden. Denn Gust hatte auf seiner Seite auch Fotos von Veranstaltungen veröffentlicht. „Ich müsste nun von allen, die dort abgebildet sind, eine schriftliche Einverständniserklärung einholen“, sagt Gust. Da das schwer möglich sei, bedeute es für ihn, eine komplett neue Homepage erstellen zu müssen. Das ist aber zu teuer, sagt Gust, der ja nur im Nebenberuf als Ruprecht unterwegs ist und zudem aus gesundheitlichen Gründen nur noch wenige Termine im Jahr absolviert. Hintergrund ist die neue europaweite Datenschutzgrundverordnung (DSGVO), die seit wenigen Tagen in Kraft ist und mit der Verbraucher besser geschützt werden sollen, wenn es ums Speichern ihrer Daten geht.

Anzeige
Wissen schlägt Krise
Wissen schlägt Krise

Unternehmen in Krisenzeiten erfolgreich managen, Risiken erkennen, notfalls klug umstrukturieren und sanieren: Kurse der Ellipsis GmbH zeigen, wie.

Auch Peter Himmstedt, Geschäftsführer des Görlitzer Unternehmens Netcommunity, kennt ein ähnliches Beispiel. Eine kleine Kommune wollte kein Risiko eingehen und ihre Internetseite abschalten, als sie von der Datenschutzverordnung hörte. „Davon haben sie aber Abstand genommen“,erzählt Himmstedt. Sein Unternehmen ist eigentlich auf Hardware, Computersoftware und Breitbandausbau spezialisiert. Doch in letzter Zeit bekam Himmstedt auch Anfragen zu einem anderen Thema: Unternehmen, Vereine oder Kommunen fragen ihn, was es mit der neuen Datenschutzgrundverordnung auf sich hat.

Rechtlich ändert sich gar nicht so viel, erklärt Peter Himmstedt. „Es geht darum, europaweit einheitliche Standards zu schaffen beim Datenschutz.“ Vor allem beim Schutz personenbezogener Daten. Die EU hat dabei eigentlich Großunternehmen wie Amazon oder Facebook im Blick. Doch was für die gilt, trifft auch kleine Vereine, Einrichtungen und Gewerbetreibende. Deswegen ist die Aufregung flächendeckend groß. Für die Verbraucher geht es darum, dass sie leichter erfragen können, welche Daten über sie eigentlich gespeichert sind – und eine Löschung verlangen können. Für Firmen und Vereine auf der anderen Seite geht es darum, die Daten ihrer Kunden, Mitarbeiter oder Mitglieder besser zu schützen. „Es sollen nicht mehr so viele Daten erhoben und an Dritte weitergegeben werden“, sagt Computer-Experte Himmstedt.

Das geht schon beim Sportverein los, der ein Kontaktformular auf seiner Internetseite hat. „Man kann dort theoretisch viel erfragen.“ Wichtig für den Verein ist, auf die Pflichtfelder zu achten, also die, die unbedingt ausgefüllt sein müssen, um das Kontaktformular abzuschicken. „Es ist wichtig, dort nur Dinge abzufragen, die ich als Verein wirklich brauche.“ So ist es auch beim Speichern personenbezogener Daten: Abspeichern kann man viel, „aber ich muss stichhaltig begründen können, warum und wofür.“ Schon lange gilt: Nicht gespeichert werden dürfen Daten über die Herkunft, Gewerkschaftszugehörigkeit, Religion, Sexualleben, biometrische Daten. Änderungen gibt es auch bei der Weitergabe von Daten. „Es kann ja sein, dass der örtliche Sportverein einen Dachverband hat, an den er persönliche Mitgliederdaten weitergibt.“ Für die allgemeine Statistik oder für Wettkampfplanungen. Das ist auch weiter möglich. „Neu ist: Es haften jetzt beide Seiten, wenn diese Daten missbraucht werden“, erklärt Himmstedt.

Nicht neu dagegen ist die Datenschutzerklärung auf der Internetseite, in der stehen soll, welche Daten wie lange gespeichert und an Dritte weitergegeben werden. „Da sind wir bei einem Punkt, an dem man als Privater anfängt, die Sache gut zu finden“ sagt Peter Himmstedt. Beispiel Versandhandel im Internet. „Man sieht ganz oft, dass bei der Datenschutzerklärung das Häkchen schon gesetzt ist.“ Oder, dass man als Kunde zwingend sein Häkchen setzen muss, weil es sonst nicht weitergeht im Bestellvorgang. Beides darf nicht sein, erklärt Himmstedt, das Geschäft darf von diesem Häkchen, also der Zustimmung, nicht abhängig gemacht werden. „Wenn ich mir ein paar Schuhe kaufen will, ist eine Speicherung oder Datenweitergabe sicherlich nicht zwingend nötig.“

Die neue Verordnung hat auch Folgen für bereits in der Vergangenheit gespeicherte Daten: So kann man anfragen, welche das sind und sie gegebenenfalls löschen lassen. Es gibt Einschränkungen: Eine Kommune beispielsweise muss im Melde-, Standes- oder Bauamt bestimmte Daten über eine bestimmte Frist aufbewahren. Ansonsten rät Himmstedt den Einrichtungen, sich eine Liste anzulegen: In welchem Amt, in welcher Abteilung, auf welcher Festplatte, welchem E-Mail-Account liegen personenbezogene Daten?

Neu ist für viele auch der Datenschutzbeauftragte. Den brauchen Einrichtungen, die sensible Daten erheben, zum Beispiel über Gesundheit. Und alle Einrichtungen ab zehn Mitarbeiter. Der Datenschutzbeauftragte kann jemand aus den eigenen Reihen sein oder ein Externer. „Wichtig ist, dass es weder der Geschäftsführer noch der IT-Experte des Vereins oder der Firma ist“, erklärt Himmstedt. Auch die Strafzahlungen scheinen für große Unternehmen gedacht zu sein: maximal 20 Millionen Euro oder vier Prozent des Jahresumsatzes. 20 Millionen für einen Fehler? Nein, sagt Andreas Schneider, Sprecher des sächsischen Datenschutzbeauftragten. „Die Strafe soll eine sanktionierende Wirkung haben. Die Höchstbeträge werden nach der finanziellen Leistungsfähigkeit berechnet.“

Gerade angesichts solcher Summen ist die Verunsicherung groß. Auch bei Christfried Heinrich. Er ist einer der Organisatoren beim Eibauer Bierzug, filmt und fotografiert am Festwochenende. Aus dem Material entsteht anschließend ein Film. „Ich weiß gar nicht, wie das jetzt gehen soll“, sagt Heinrich. Grundsätzlich kann das Anfertigen und Speichern von Fotos als eine Verarbeitung personenbezogener Daten angesehen werden. Experten gehen allerdings davon aus, dass trotz DSGVO auch weiterhin das bisher gültige Urheberrechtsgesetz für bildende Künste und Fotografie gilt. Dort heißt es, dass Bilder von Versammlungen und anderen öffentlichen Veranstaltungen auch ohne konkrete Einwilligung veröffentlicht werden dürfen.

Computerexperte Peter Himmstedt sieht trotz der Unsicherheiten die neue Datenschutzverordnung positiv. „Es zwingt die Leute, sich einen Kopf zu machen.“ Viele, auch er, befürchten aber Stress – durch Abmahnanwälte.

Auf ein Wort