erweiterte Suche
Dienstag, 15.05.2018

EU-Datenregeln verunsichern Vereine und Firmen

Ab Ende Mai sollen die Bürger besser im Internet geschützt sein. Doch zunächst gibt es Fragen.

Von Susanne Sodan

Der 25. Mai ist Stichtag. Dann sollten auch kleine Vereine ihre Internetseiten auf den aktuellen Stand gebracht haben.
Der 25. Mai ist Stichtag. Dann sollten auch kleine Vereine ihre Internetseiten auf den aktuellen Stand gebracht haben.

© Nikolai Schmidt

Bautzen / Görlitz. Eine kleine Kommune wollte kein Risiko eingehen. Und ihre Internetseite einfach abschalten, als sie von der Datenschutzverordnung hörte. „Davon haben sie aber Abstand genommen“, erzählt Peter Himmstedt mit einem Schmunzeln. Er ist Geschäftsführer des Unternehmens Netcommunity, das eigentlich auf Hardware, Computersoftware und Breitbandausbau spezialisiert ist. Doch in letzter Zeit bekommt Himmstedt auch Anfragen zu einem anderen Thema: Unternehmen, Vereine oder Kommunen fragen ihn, was es denn mit der neuen Datenschutzgrundverordnung auf sich hat. „Viele haben davon auch noch gar nichts gehört“, erzählt Peter Himmstedt. Aber ab 25. Mai gilt die neue EU-Grundverordnung.

Rechtlich ändert sich gar nicht so viel, erklärt Peter Himmstedt. „Es geht darum, europaweit einheitliche Standards zu schaffen beim Datenschutz.“ Vor allem beim Schutz personenbezogener Daten. Die EU hat dabei eigentlich Großunternehmen wie Amazon oder Facebook im Blick. Doch was für die gilt, trifft auch kleine Vereine. Deswegen ist die Aufregung flächendeckend auch in der Oberlausitz groß. Für die Verbraucher geht es darum, dass sie leichter erfragen können, welche Daten über sie eigentlich gespeichert sind – und eine Löschung verlangen können. Für Firmen und Vereine auf der anderen Seite geht es darum, die Daten ihrer Kunden, Mitarbeiter oder Mitglieder besser zu schützen. „Es sollen überhaupt nicht mehr so viele Daten erhoben und an Dritte weitergegeben werden“, sagt Himmstedt.

Nur das Wichtigste speichern

Das geht schon beim Sportverein los, der ein Kontaktformular auf seiner Internetseite hat. „Man kann dort theoretisch viel erfragen.“ Wichtig für den Verein ist, auf die Pflichtfelder zu achten, also die, die unbedingt ausgefüllt sein müssen, um das Kontaktformular abzuschicken. „Es ist wichtig, dort nur Dinge abzufragen, die ich als Verein wirklich brauche.“ So ist es auch beim Speichern personenbezogener Daten: Abspeichern kann man viel, „aber ich muss stichhaltig begründen können, warum und wofür.“ Schon lange gilt: Nicht gespeichert werden dürfen Daten über die Herkunft, Gewerkschaftszugehörigkeit, Religion, Sexualleben, biometrische Daten.

Änderungen gibt es auch bei der Weitergabe von Daten. „Es kann ja sein, dass der örtliche Sportverein einen Dachverband hat, an den er persönliche Mitgliederdaten weitergibt.“ Für die allgemeine Statistik oder für Wettkampfplanungen. Das ist auch weiter möglich. „Neu ist: Es haften jetzt beide Seiten, wenn diese Daten missbraucht werden“, erklärt Himmstedt.

Nicht neu dagegen ist die Datenschutzerklärung auf der Internetseite, in der stehen soll, welche Daten wie lange gespeichert und an Dritte weitergegeben werden. „Da sind wir bei einem Punkt, an dem man als Privater anfängt, die Sache gut zu finden“ sagt Peter Himmstedt. Beispiel Versandhandel im Internet. „Man sieht ganz oft, dass bei der Datenschutzerklärung das Häkchen schon gesetzt ist.“ Oder, dass man als Kunde zwingend sein Häkchen setzen muss, weil es sonst nicht weitergeht im Bestellvorgang. Beides darf nicht sein, erklärt Himmstedt, das Geschäft darf von diesem Häkchen, also der Zustimmung, nicht abhängig gemacht werden. „Wenn ich mir ein Paar Schuhe kaufen will, ist eine Speicherung oder Datenweitergabe sicherlich nicht zwingend nötig.“

Folgen für bereits gespeicherte Daten

Die neue Verordnung hat auch Folgen für bereits in der Vergangenheit gespeicherte Daten: So kann man anfragen, welche das sind und sie gegebenenfalls löschen lassen. Es gibt Einschränkungen: Eine Kommune beispielsweise muss im Melde-, Standes- oder Bauamt bestimmte Daten über eine bestimmte Frist aufbewahren. Ansonsten rät Himmstedt den Einrichtungen, sich eine Liste anzulegen: In welchem Amt, in welcher Abteilung, auf welcher Festplatte, welchem E-Mail-Account liegen personenbezogene Daten?

Neu ist für viele auch der Datenschutzbeauftragte. Den brauchen Einrichtungen, die sensible Daten erheben, zum Beispiel über Gesundheit. Und alle Einrichtungen ab zehn Mitarbeiter. Der Datenschutzbeauftragte kann jemand aus den eigenen Reihen sein oder ein Externer. „Wichtig ist, dass es weder der Geschäftsführer noch der IT-Experte des Vereins oder der Firma ist“, erklärt Himmstedt.

Auch die Strafzahlungen scheinen für große Unternehmen gedacht zu sein: maximal 20 Millionen Euro oder vier Prozent des Jahresumsatzes. 20 Millionen für einen Fehler? Nein, sagt Andreas Schneider, Sprecher des sächsischen Datenschutzbeauftragten. „Die Strafe soll eine sanktionierende Wirkung haben. Die Höchstbeträge werden nach der finanziellen Leistungsfähigkeit berechnet.“ Peter Himmstedt sieht die neue Datenschutzverordnung allgemein positiv.„Es zwingt die Leute, sich einen Kopf zu machen.“ Viele, auch er, befürchten aber trotzdem Stress – durch Abmahnanwälte.