(bim). Eine katholische Kindertagesstätte in Dormagen (NRW) schwärzt im Erinnerungsalbum für die Eltern die Gesichter fast aller Kinder aus Angst vor Klagen, die Stadt Roth nahe Nürnberg sagt ihre beliebte Wunschzettel-Aktion für Kinder ab, und Hauseigentümer diskutieren, ob das Anbringen von Namen auf Klingelschildern noch erlaubt ist. Manche Vereinshomepage wird abgeschaltet, weil man sich lieber gar nicht präsentiert, als eine Abmahnung zu riskieren. Die vom EU-Parlament beschlossene Datenschutzgrundverordnung (DSGVO) sorgt seit ihrem Inkrafttreten vor einem Jahr bei vielen Organisationen, Vereinen und Unternehmern für Verunsicherung. 
Egal ob beim Zahnarzt, im Reisebüro oder beim Arbeitgeber - fast überall muss man inzwischen einen Zettel ausfüllen und unterzeichnen und damit zustimmen, dass die pesonenbezogenen Daten ausschließlich für den dafür bestimmten Zweck verarbeitet oder veröffentlicht werden dürfen. Ob das auch tatsächlich der Fall ist, ist im Alltag indes nicht nachvollziehbar bzw. überprüfbar. Aber die Angst vor dem, was passiert, wenn dieser Nachweis fehlt, ist groß. Denn die DSGVO bietet einigen IT-Spezialisten und (Abmahn-)Anwälten ein willkommenes Terrain. Wer auf Nummer sicher gehen will, muss eigentlich immer einen Experten zu Rate ziehen.

Viel lesen oder Experten befragen

Geschwärzte Kindergesichter und abgesagte Wunschbäume sind auch in Zeiten der Datenschutzgrundverordnung (DSGVO) nicht nötig: In beiden Fällen hätte eine zusätzliche Unterschrift aller Eltern gereicht, damit ihre Kinder abgebildet bzw. ihre Anschriften für die Auswertung der Wünsche verwendet werden dürfen. Aber die Beispiele zeigen, wie verunsichert mittlerweile viele Menschen in Deutschland sind, wenn es um Datenschutz geht. Deshalb sind auf der Homepage des Bundesinnenministeriums Antworten auf die gängigsten Fragen zusammengefasst (www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html). Hier einige Auszüge:

Hintergrund der DSGVO
Die DSGVO löst die Europäische Datenschutzrichtlinie aus dem Jahr 1995 mit dem Ziel der Harmonisierung und Modernisierung des europäischen Datenschutzrechts ab. Sie fördert den Schutz der Betroffenen bei der Verarbeitung personenbezogener Daten und den freien Verkehr solcher Daten. Die DSGVO gilt grundsätzlich für jegliche Verarbeitung personenbezogener Daten.
Was ändert sich für Vereine?
Lediglich Institutionen, deren Kerntätigkeit in der Verarbeitung personenbezogener Daten liegt oder die außergewöhnliche, hochriskante Datenverarbeitungsvorgänge vornehmen, unterliegen dem vollen Pflichtenkatalog der DSGVO.
Geht die Datenverarbeitung hingegen nicht über eine übliche, unterstützende Tätigkeit (z.B. Lohnabrechnung, Mitglieder- und Beitragsverwaltung, Betrieb einer Vereinswebsite) hinaus, führt die DSGVO im Vergleich zur geltenden Rechtslage zu keinen wesentlichen Neuerungen.
Zur Gewährleistung der Datensicherheit genügen im Rahmen der üblichen Vereins- oder ehrenamtlichen Tätigkeit im Regelfall Standardmaßnahmen, wie die Lagerung personenbezogener Daten in abschließbaren Vorrichtungen, aktuelle Betriebssysteme mit Passwortschutz, Zugriffsrechten und aktuellem Virenschutz den Anforderungen.
Was kostet die Umsetzung?
Dazu belastbare Daten zu finden, gestaltet sich schwierig.
Laut einer im vergangenen September vom Personaldienstleister Randstad und dem ifo Institut durchgeführten Personalleiterbefragung kommt einen Teil der Unternehmen die DSGVO nach eigenen Aussagen besonders teuer zu stehen: Neun Prozent haben demnach bis zu 100.000 Euro für die Umstellung gezahlt, fünf Prozent sogar mehr als 100.000 Euro. Offenbar gilt: Je größer das Unternehmen ist, desto mehr Kundendaten bezieht es und desto mehr Aufwand bedeutet die Umstellung in der Datenverarbeitung. Doch auch kleine Betriebe hätten mit der Umsetzung der DSGVO zu kämpfen. Vielen fehlte das Fachwissen, die Zeit und das Personal, um die zusätzlichen Arbeitsschritte fristgerecht zu bewältigen. Deshalb hätten sich 60 Prozent aller befragten Unternehmen externe Hilfe in Form von Beratern und Anwaltskanzleien geholt.
Wer kontrolliert die Einhaltung?
Die Einhaltung der DSGVO und der nationalen Rechtsvorschriften zum Datenschutz wird in allen Mitgliedstaaten durch unabhängige Aufsichtsbehörden überwacht und durchgesetzt. In Deutschland sind dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Aufsichtsbehörden der Bundesländer. Die BfDI ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, die gemeinsamen Einrichtungen nach dem Sozialgesetzbuch II (Jobcenter) und die Unternehmen, die Telekommunikations- oder Postdienstleistungen erbringen; im Übrigen sind die Aufsichtsbehörden der Länder zuständig.
Verarbeitung personenbezogener Daten
Diese ist nur rechtmäßig

• mit der Einwilligung der betroffenen Person oder wenn die Verarbeitung erforderlich ist,
• für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen ,
• zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person,
• zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen,
• zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder
• für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen.

Kleine Unternehmen werden in Passivrolle gedrängt / Große Konzerne spionieren weiter

(bim). Wie für viele Vereine und Unternehmen ist es auch für die unabhängige Versicherungsmaklerin Jasmin Kramer und ihre Kundschaft eine Herausforderung gewesen, den neuen Datenschutzbestimmungen gerecht zu werden. Denn die DSGVO bedeutete für sie zunächst eine Investition in die Dienste von IT-Fachleuten und/oder Rechtsanwälten sowie auf Dauer mehr Arbeit. Sechs Wochen lang habe sie erstmal keine Neukunden mehr angenommen, weil die Vollversion ihrer Datenschutzerklärung noch nicht perfekt gewesen sei.
"Wenn mich zum Beispiel heute Frau X am Telefon bittet, ihr ein individuelles Haftpflichtangebot zu schicken, brauche ich von ihr zuvor eine schriftliche Einverständniserklärung, um ihre personenbezogenen Daten zu speichern und zu nutzen. Denn diese Daten benötige ich, um Angebote zu vergleichen und das beste zu ermitteln", erläutert Jasmin Kramer.
Um das Verfahren zu vereinfachen, hat sie auf ihrer Homepage für bestimmte Versicherungsarten einen Onlinerechner zur Verfügung gestellt. "Dort entscheidet dann jeder selber, was er/sie angeben will.“
Auf Jasmin Kramers Datenschutz-erklärung steht u.a. auch, dass die Nutzer einwilligen, wenn sie ihnen ein Angebot unterbreitet, denn das allein gilt als Werbung, "weil ich ein Produkt einer Gesellschaft bewerbe", erklärt sie.
"Extra bezahlt habe ich auch den Cookie-Hinweis auf meiner Web-site, dass der Webanbieter die Daten speichert und verarbeitet." Dabei seien große Konzerne wie Google oder die sogenannten Cookies die eigentlichen Verbrecher, weil die nämlich Verbrauchervorlieben ausspionierten und den Nutzern unaufgefordert entsprechende Werbeangebote unterbreiteten, so die Versicherungsmaklerin. "Ich will niemanden ausspionieren, sondern Menschen helfen, das zu bekommen, was sie benötigen", so Jasmin Kramer.
"Wer einen guten Datenschutz will, darf eigentlich gar nichts mehr online machen", sagt die selbstständige Fotografin Jennifer Felkner. Sie stellt Aufnahmen ihrer Kunden seit jeher passwortgeschützt online zur Verfügung und wartet bei der Auswahl auf deren Bestätigungs-E-Mail. Bei Hochzeitsfeiern schließt sie einen Vertrag ab. "Im Grunde darf ich aber nur die fotografieren, mit denen ich einen Vertrag habe, also das Brautpaar", erklärt die Fotografin. Was natürlich unpraktikabel ist, denn wer will schon Erinnerungsfotos ohne die geladenen Gäste, Familie und Freunde? Im Grunde genommen müsse sie Unterschriftenlisten auslegen.
"Neu im Vertrag ist, dass die Kunden mir sagen, wie lange ich ihre Bilder speichern soll. Das geschieht auf einer externen Festplatte, die bei Nichtbenutzung im Tresor liegt", beschreibt Jennifer Felkner den Aufwand. Und bei Abzügen schließt sie einen Auftragsverarbeitungsvertrag mit dem Fotofachlabor ab. "Darin steht, wie das Labor mit Daten umgeht. So kann ich bei Verlangen meinen Kunden darlegen, was mit ihren Daten passiert", erläutert Jennifer Felkner.
Während die beiden Unternehmerinnen in eine passive Rolle gedrängt werden, weil jedes aktive Zugehen auf Kunden als Werbung gedeutet werden könnte, seien sie andersherum schon von IT-Spezialisten angeschrieben worden mit dem Hinweis, dass ihre Homepages nicht DSGVO-konform seien. "Das ist echt gruselig", so Jasmin Kramer.
• Welche Erfahrungen haben Sie, liebe Leserinnen und Leser, mit der DSGVO gemacht? Schildern Sie uns (möglichst kurz) Ihre Erfahrungen an bianca.marquardt@kreiszeitung.net.

Auf ein Wort: Im Alltag versagt die DSGVO

Auf Treu und Glauben war gestern - der DSGVO sei Dank. Ich vertraue meinen Versicherungsexperten und auch meiner Zahnärztin. Trotzdem musste ich entsprechende Zettel ausfüllen, um zu unterstreichen, dass diese Personen meine Daten verantwortungsbewusst und zu meinen Gunsten verwenden dürfen. Das stand und steht für mich jedoch außer Frage.
Anders sieht es im undurchdringlichen "Dschungel" des World Wide Web aus. Einmal auf eine Seite geschaut, werde ich ungefragt mit vergleichbaren Angeboten "bombardiert", was einfach nur nervt. Und nach wie vor bekomme ich namentlich an mich adressierte (analoge) Post von (Kommunikations-)Unternehmen, deren Leistungen ich nie in Anspruch genommen habe. Woher die meine Daten haben, bleibt ein Rätsel. Insofern gibt es keine Handhabe.
Und seien wir mal ehrlich: Bei aller Aufklärung über AGBs, Cookies und Datenschutz: Wer liest sich denn wirklich das seitenlange Kleingedruckte in Verträgen oder auf dem Computerbildschirm durch? Bianca Marquardt

Europabgeordneter Bernd Lange: "Stimmungsmache führte zu Verunsicherungen"

(bim). Die Datenschutzgrundverordnung (DSGVO) hat für viel Verunsicherung bei Vereinen und Unternehmen gesorgt. Doch was wollte die EU mit dem Regelwerk erreichen? Und sieht sie das als gelungen an? Diese und weitere Fragen beantwortet der SPD-Europaabgeordnete Bernd Lange dem WOCHENBLATT.
WOCHENBLATT: Welche Ziele wollten die EU-Politiker mit der DSGVO erreichen?
Bernd Lange: Vor der DSGVO galten in der EU 28 verschiedene Datenschutzstandards – in jedem Land ein anderer, in Deutschland zusätzlich 16 Regelungen in 16 Bundesländern. Mit der Datenschutz-Verordnung haben wir endlich ein einheitliches Set von Regeln geschaffen. Das hat Vorteile für Unternehmen, die in mehr als einem Mitgliedstaat tätig sind, und für Unternehmen in Deutschland, die weniger Wettbewerbsnachteile dadurch haben, dass anderswo in Europa die Datenschutzregeln laxer sind. Bisherige Wettbewerbsnachteile gegenüber außereuropäischen Anbietern werden zudem dadurch aufgehoben, dass alle Anbieter von Produkten und Dienstleistungen auf dem EU-Markt sich an die Datenschutz-Verordnung halten müssen. Die Datenschutz-Verordnung erkennt zudem explizit die besondere Situation von "Kleinen und Mittleren Unternehmen" (KMU) an und hält die Aufsichtsbehörden an, bei der Anwendung der neuen Datenschutzregeln den besonderen Bedürfnissen von KMU Rechnung zu tragen.
WOCHENBLATT: Wäre es nicht Aufgabe der EU gewesen, besser und transparenter darüber zu informieren, anstatt unzählige Vereine und Unternehmen zu verunsichern?
Bernd Lange: Die DSGVO kam nicht aus dem Nichts. Der ursprüngliche Vorschlag der EU-Kommission für eine Datenschutz-Verordnung stammt aus dem Jahr 2012. Danach folgten viereinhalb Jahre intensive Gesetzesarbeit, an der das Europäische Parlament und die Regierungen der Mitgliedstaaten federführend mitgewirkt haben. Während des Prozesses wurden natürlich auch viele Interessengruppen gehört, zum Beispiel Vertreter von Start-ups, des Mittelstands, einzelner Branchen, Gewerkschaften, Nichtregierungsorganisationen und Handwerkskammern. Im April 2016 wurde dann ein finaler Text beschlossen, der eine zweijährige Übergangszeit enthielt, obwohl EU-Verordnungen normalerweise unmittelbar in jedem Mitgliedstaat gelten. Diese Umsetzungszeit wurde allerdings von vielen nicht genutzt und es entstand „auf den letzten Drücker“ ein enormer Druck. Das ist natürlich keine optimale Situation gewesen, aber die Ausrede, dass alle auf dem falschen Fuß erwischt wurden, lasse ich nicht gelten. Zudem entspricht die DSGVO zu 80 Prozent dem geltenden Deutschen Recht, das nicht überall richtig umgesetzt worden ist. Gerade in Deutschland ist leider viel Stimmung erzeugt worden, die z.B. bei den Vereinen zu Verunsicherungen geführt hat. Dabei gibt es eine klare Ausnahmeregelung für Vereine und ihren Vereinszweck.
WOCHENBLATT: Ist Ihnen bewusst, dass an der DSGVO bisher vor allem (Abmahn-)Anwälte und IT-Spezialisten verdient haben?
Bernd Lange: Die zweijährige Schonfrist hätte in der Tat besser genutzt werden müssen, damit sich Betroffene gezielt auf den einheitlichen Rahmen vorbereiten. Denn bei korrekter Umsetzung ist die Datenschutz-Verordnung ein Meilenstein für das EU-Grundrecht auf Datenschutz und setzt weltweit Standards für einen verbraucherfokussierten Datenschutz. Gegen eine Abmahnindustrie müssen wir vorgehen, das gilt übrigens nicht nur für die DSGVO.
WOCHENBLATT: Sind Sie sicher, dass mit der DSGVO tatsächlich diejenigen erreicht wurden, die die EU damit im Blick hatte?
Bernd Lange: Ja, denn die Datenschutz-Verordnung gibt dem Verbraucher sein Recht über seine Daten zurück. Eine wesentliche Voraussetzung für die Wahrnehmung eigener Rechte ist Transparenz – diese schafft die DSGVO, indem Nutzer über die bestehenden Datenverarbeitungsprozesse aufgeklärt werden müssen. Auch gelten nun strengere Anforderungen an die Einwilligung, um Daten zu erheben, zu verarbeiten und zu speichern. Das schützt Bürgerinnen und Bürger davor, dass einem eine angebliche Zustimmung zu einer Datenverarbeitung quasi im Kleingedruckten der AGB „abgeluchst“ wird.
Zweifelsohne gibt es noch Haken und Ösen und auch die zusätzlichen Regeln in Deutschland sind nicht ohne, deswegen sind alle aufgerufen, an der weiteren Verbesserung mitzuwirken und sich bei der nahen Überarbeitung einzubringen.