| 21:42 Uhr

Verwirrung um DSGVO
Datenschutz macht Menschen Angst und Arbeit

Monika Grethel
Monika Grethel FOTO: LFDI
Saarbrücken. Eine umstrittene Verordnung der EU hat bei vielen Vereinen und Kleinbetrieben Panik ausgelöst. Die saarländische Datenschutzbeauftragte räumt mit Irrtümern auf. Von Gerrit Dauelsberg

Datenschutzgrundverordnung – dieses Wortungetüm klingt mindestens so umständlich, wie es für die meisten Kleinbetriebe und Vereine tatsächlich ist. Wo man auch hinhört, begeistert ist dort niemand von den neuen EU-Regeln zum Datenschutz, die seit dem 25. Mai verbindlich angewendet werden müssen. Die DSGVO – so lautet die nicht minder sperrige Abkürzung – verursacht im Saarland jede Menge Kopfzerbrechen. Und Arbeit.

Einen „Riesen-Aufwand“ beklagt etwa Friseur-Unternehmer Dominik La Roche, der vier Salons in der Region betreibt, darunter zwei „Liebeshaar“-Filialen in Saarbrücken. So sei derzeit keine Termin-Vereinbarung über Internet möglich, weil die Webseite erst den neuen Bestimmungen entsprechend überarbeitet werden muss. Auch die Kassensysteme der Salons müssten eingehend überprüft werden. Unbehagen bereiten La Roche zudem die Facebook-Auftritte seiner Läden: Hier ist er laut EU-Rechtsprechung für Datenschutz-Verletzungen durch das Soziale Netzwerk mitverantwortlich.

Die theoretisch möglichen Strafen von 20 Millionen Euro (oder vier Prozent des Umsatzes), die durch die Medien geistern, tragen nicht gerade zur Beruhigung der kleinen Betriebe und Vereine bei. Das bestätigt die Datenschutzbeauftragte des Saarlandes, Monika Grethel. Ihr Zwischenfazit gut anderthalb Monate nach dem endgültigen Inkrafttreten der DSGVO: „Die Unsicherheit ist allgemein noch hoch. Wir haben weiter viele Beratungsanfragen.“ Auch wenn der Ansturm jetzt in den Ferien etwas zurückgegangen sei.



Gerade vor dem Stichtag 25. Mai habe „Panik pur“ geherrscht, sagt Grethel. Dabei stellt sie eines klar: Vereine und Kleinbetriebe müssen keineswegs fürchten, für Verstöße gegen den Datenschutz demnächst Unsummen wie die genannten 20 Millionen aufgebrummt zu bekommen. „Die Strafen sollen verhältnismäßig sein. Ein kleines Unternehmen wird nicht behandelt wie Facebook“, sagt die Datenschutzbeauftragte. Richtig sei aber auch, dass die möglichen Bußgelder inzwischen höher seien als vor der neuen DSGVO – und dass sie durchaus abschrecken sollen.

Das hat ganz offensichtlich funktioniert – wenn auch fast zu gut, wie die zum Teil panischen Reaktionen auf die Verordnung zeigen. Es gab skurrile Irrtümer. Grethel nennt Beispiele: So werde teilweise geglaubt, man dürfe nun keine persönlichen Daten mehr auf dem PC verarbeiten. Das sei natürlich Unsinn. Falsch sei auch, dass man nun für wirklich jede Datenverarbeitung eine Einwilligung der betroffenen Person braucht: Vielmehr gebe es nach wie vor zahlreiche gesetzliche Regelungen, die die Verarbeitung personenbezogener Daten auch ohne ausdrückliche Zustimmung erlauben. „Auch wenn eine Verarbeitung personenbezogener Daten zur Durchführung und Erfüllung eines Vertrages erforderlich ist, bedarf es keiner Einwilligung“, ergänzt Grethel. Teilweise ist sogar zu hören, dass sich Unternehmen nicht mehr trauen, ihre Kunden ohne Einverständniserklärung mit Namen anzusprechen. Das sei ebenso überzogen, erklärt die Expertin: „Man kann auch weiterhin ein normales Miteinander pflegen“, sagt Grethel. Es gehe vielmehr darum, die Bestimmungen „mit Sinn und Verstand“ umzusetzen. Natürlich dürfe eine Sprechstundenhilfe einen Patienten namentlich ansprechen. Aber sie sollte eben nicht im Wartezimmer seine Diagnose erörtern.

Gerade in der Medizin sind die Anforderungen durch die DSGVO hoch: „Hier gibt es in einem großen Umfang sensible Daten“, betont Grethel. Allerdings ließen sich viele Probleme durch einfache organisatorische Maßnahmen lösen: So sei es völlig unnötig, dass Karteikarten in Arztpraxen offen herumliegen. So etwas ist laut Grethel nicht erst seit Mai unzulässig. Denn: „Es gab vorher auch schon Datenschutzbestimmungen.“ Im Grundsatz hätten diese sich auch nicht geändert. Neu seien die höheren Strafen, eine Meldepflicht bei Datenschutz-Pannen, erweiterte Dokumentationsvorgaben und deutlich mehr Rechte für die von einer Datenverarbeitung betroffenen Personen.

Doch genau diese Änderungen verursachen auch bei Ehrenamtlichen wie Stephan Schaeidt viel Arbeit. Auf die DSGVO angesprochen, stöhnt der Vorsitzende des ATSV Saarbrücken: „Das ist schon ein aufwendiges Unterfangen.“ Sein Verein ist mit etwa 1700 Mitgliedern und 14 Sportabteilungen einer der größten im Saarland. Und von jedem dieser Mitglieder muss jetzt eine Einverständniserklärung eingeholt werden, dass bestimmte Daten weitergegeben werden dürfen – etwa für Wettkämpfe. Dazu müssen Trainer Verpflichtungserklärungen unterschreiben, dass sie mit Daten vertraulich umgehen. „Da wird es noch sehr viele Formulare geben“, sagt Schaeidt. Denn beim ATSV sei man noch mittendrin in der Umsetzung der neuen Richtlinien. Bislang habe man erst die minimalen Verpflichtungen erfüllt: So gibt es jetzt zum Beispiel einen Datenschutz-Hinweis auf der ATSV-Homepage und eine interne Verfahrensordnung für den Umgang mit Daten. Ein großer Teil der Arbeit müsse dabei von Ehrenamtlichen erledigt werden. Schaeidt plädiert deshalb dafür, dass bei den Bestimmungen an Vereine andere Anforderungen gestellt werden als an Unternehmen.

Doch das ist schwierig, sagt Grethel: Der Schutz eines Grundrechts – und das ist der Datenschutz laut EU-Charta – müsse in jedem Fall gewährleistet werden. Auch bei kleineren Vereinen, wo nur wenige Daten verarbeitet werden. Gerade dort habe man sich früher zum Teil wenig Gedanken um den Datenschutz gemacht – hier gehe es derzeit quasi von 0 auf 100. „Viele Dinge sind unangenehm“, räumt sie ein, „aber man muss sie machen.“ Doch die Vereine stünden dabei keineswegs alleine da: „Wir versuchen zu beraten, wo es geht“, sagt Grethel. Zudem habe ihre Behörde, das Unabhängige Datenschutzzentrum Saarland, eine Broschüre mit Tipps für Vereine herausgegeben, die auch im Internet abrufbar sei. Und wenn es dann doch einmal zu Verstößen komme, verhänge ihre Behörde auch nicht automatisch ein Bußgeld, sondern gebe Hinweise oder spreche Verwarnungen aus: „Es gibt viele Möglichkeiten, Datenschutz-konforme Zustände herzustellen.“

Bei allem Frust über die DSGVO – manche Vereine sehen darin auch etwas Positives: Sie führe immerhin „zu einer gewissen Daten-Hygiene“, sagt Christoph Dewes, Dramaturg und Pressesprecher am Saarbrücker Theater Überzwerg. Denn dessen Trägerverein habe die neue DSGVO zum Anlass genommen, seine diversen E-Mail-Verteiler zusammenzuführen. Eine mühsame Arbeit, bei der am Ende 1600 Adressen zusammen kamen. Die Empfänger bekamen jetzt die Möglichkeit, dem Erhalt weiterer Mails zu widersprechen, erläutert Dewes. Außerdem wurden sie darüber informiert, welche Daten gespeichert und für was sie verwendet werden. Nun müssen die Antwortschreiben bearbeitet werden. Die Arbeit nerve zwar, gibt Dewes zu. Allerdings sei der Datenschutz nun einmal ein wichtiges Thema.

Dabei müsse sich noch viel einspielen, sagt Grethel. „Es gibt viele Regeln, die man unterschiedlich auslegen kann.“ Dabei sei auch die Rechtsprechung gefordert. Viele Fragen, die jetzt aufkommen, würde daher erst in nächster Zeit beantwortet. „Aber in welchem Rechtsbereich ist das nicht so?“ Eines ist für Grethel klar: Exzesse beim Datenschutz soll es nicht geben. Beim Arzt darf Herr Müller also weiter mit Herr Müller angesprochen werden – auch ohne Einverständniserklärung.