Es ist ein klein wenig so wie früher in der Schule. Der Termin der nächsten Schulaufgabe steht lange fest – aber mit dem Lernen beginnt man dann doch wieder erst kurz vorher. Aber diesmal sind es keine pubertierenden Schüler, denen ein Mathe-Test, ein Deutsch-Aufsatz oder eine Englisch-Prüfung Sorgen bereitet. Es sind gestandene Erwachsene, die unter Druck geraten sind und unter diesem lautstark ächzen. Die Aufgaben, die ihnen gestellt werden, haben zwar nichts mit der Lösung komplexer Integralgleichungen oder der Interpretation deutscher Dichtkunst zu tun. Für viele fühlt es sich aber ein Stück weit so an. Schon die Abkürzung lässt viele nur den Kopf schütteln: EU-DSGVO.
Im Jahr 2016 hat die Europäische Union die sogenannte Datenschutz-Grundverordnung – wer will, erkennt darin die oben aufgeführte Buchstabenkombination wieder – erlassen. Sie soll sicherstellen, dass persönliche Daten von Bürgern in ganz Europa gleichermaßen behandelt und vor allem geschützt werden. Sie soll verhindern, dass Unbefugte Zugriff auf Namen, Adressen oder weitaus sensiblere Informationen wie Kontoverbindungen oder Krankenakten haben. Sie soll gewährleisten, dass jeder Mensch weiß oder wenigstens erfahren kann, wer seine Daten hat und was dieser damit anfängt. Zwei Jahre bekamen die EU-Mitgliedsstaaten, Behörden, Unternehmen und Organisationen Zeit, sich den europaweit geltenden Regeln anzupassen. Weil aber Unklarheit herrschte, was die Verordnung überhaupt bedeutet, geschah lange nichts.
Sie schlagen die Hände über dem Kopf zusammen
An diesem Freitag läuft diese Übergangsfrist nun ab. In einigen Einrichtungen bekommen die Verantwortlichen feuchte Hände. Und in Vereinen schlagen die Ehrenamtlichen die Hände über dem Kopf zusammen. Denn auch für sie gelten künftig die europäischen Datenschutzregeln.
Ein Unding, findet Hans-Jürgen Abmayr. „Die Politik drückt uns immer noch mehr Verwaltungskram auf, der mit unserer eigentlichen Arbeit, dem Sport und dem Naturschutz, überhaupt nichts zu tun hat. In Deutschland sind wir auf dem besten Weg, uns zu Tode zu verwalten“, schimpft der Vorsitzender der Sektion Günzburg im Deutschen Alpenverein mit rund 2000 Mitgliedern.
Was die neue EU-Verordnung für Verbraucher bedeutet
Warum kommen die neuen Regeln jetzt?
Datenschutz ist in der EU ein Grundrecht. „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“, heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren allerdings von 1995 – und ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor zwei Jahren haben sich EU-Staaten und das Europaparlament auf die sogenannte Datenschutz-Grundverordnung geeinigt. Von Freitag an muss sich jedes EU-Land daran halten. Ein Argument für die neue Verordnung hat Facebook zuletzt selbst geliefert: Bis zu 87 Millionen Nutzer waren Unternehmensangaben zufolge vom aktuellen Datenskandal betroffen. Facebook-Chef Mark Zuckerberg zeigte Reue und wurde zuletzt fast zum Botschafter der EU-Verordnung: Er kündigte an, die Regeln künftig weltweit anwenden zu wollen.
Was regelt die neue Verordnung?
Im Kern soll die Verarbeitung personenbezogener Daten etwa durch Unternehmen oder Vereine geregelt werden. Dazu gehören Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse. Wie die Daten gespeichert werden – digital, auf Papier oder mittels Videoaufnahme –, ist egal. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Die Regeln gelten auch für Unternehmen, die außerhalb der EU sitzen, ihre Dienste aber hier anbieten. Deshalb sind Internetriesen mit US-Sitz wie Facebook oder Google davon betroffen.
Was ändert sich für Verbraucher?
EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen, ist das Versprechen. Das bedeutet zum Beispiel, dass ihnen ein „Recht auf Vergessenwerden“ zugestanden wird. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes. Kunden könnten etwa erfahren, wie oft sie die Karte verwendet, bei welchen Supermärkten sie eingekauft haben, und ob der Supermarkt die Daten an eine Tochterfirma weitergegeben hat. Außerdem bekommen Internetnutzer durch den sogenannten Datenrucksack mehr Kontrolle über ihre persönlichen Daten. Wechseln sie von einem Anbieter zum anderen, können sie E-Mails, Fotos oder Kontakte mitnehmen. Zudem müssen Verbraucher über Datenschutzverstöße – etwa durch Datenlecks oder Hackerangriffe – informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden.
Und wie soll das durchgesetzt werden?
Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Von Ende Mai an drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden.
Was müssen Unternehmen und andere Organisationen beachten?
Grundsätzlich sollen so wenige Informationen wie möglich gesammelt werden. Es dürfen nur jene Daten erhoben werden, die tatsächlich gebraucht werden. Und diese müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist. Zudem dürfen die Daten nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Ihren Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen und wie lange sie gespeichert werden sollen. Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten oder eine bestimmte Größe überschreiten, müssen zudem einen Datenschutzbeauftragten ernennen.
Skitourengehen, Klettern, Radfahren – dem 57-jährigen Tierarzt fallen viele Dinge ein, die er in seiner Freizeit gerne tun würde. Stattdessen sitzt er nun hier in der „Geschäftsstelle“ seines Vereins – ein notdürftig eingerichtetes Büro in den in die Jahre gekommenen Gemäuern der 1929 erbauten Jahnhalle. Ein Tisch, zwei Regale, drei Stühle und ein Laptop – mehr nicht. Unzählige Stunden müsse er als Vereinsvorsitzender mittlerweile am Schreibtisch verbringen, um den ganzen „Verwaltungskram“, wie er es nennt, zu erledigen. Vor gut zwei Jahren stellte der Verein extra eine Verwaltungskraft ein, weil die Bürokratie ehrenamtlich kaum mehr zu stemmen war. Das hänge zum einen mit der in den vergangenen Jahren stetig gestiegenen Mitgliederzahl des Vereins zusammen, räumt Abmayr ein. Doch die zusätzlichen, politisch geforderten Aufgaben würden ebenfalls immer mehr.
Seit wenigen Jahren müssen Übungsleiter regelmäßig polizeiliche Führungszeugnisse vorlegen. Damit soll dem sexuellen Missbrauch von Kindern in Vereinen durch einschlägig vorbestrafte Täter vorgebeugt werden. Sinnvoll, ja. Aber eben auch Aufwand, sagt Abmayr. Zudem müsse er sich verstärkt mit Haftungsfragen auseinandersetzen, für den Fall, dass sich etwa bei Mountainbike-Touren ein Teilnehmer verletzt. Dann kümmere sich der Verein noch um die Siegerlandhütte in den Stubaier Alpen. „Da gelten mittlerweile Hygienevorschriften wie in einem Hotel. Wir mussten den ganzen Keller fliesen – in 3000 Meter Höhe. Da passt doch was nicht“, sagt Abmayr. Und jetzt auch noch der Datenschutz.
Was die Ehrenamtlichen alles stemmen müssen
Also haben er und seine Freunde vom Alpenverein sich notgedrungen in die Feinheiten des europäischen Datenschutzrechts gestürzt. Sie kämpften sich durch die Verordnung mit ihren elf Kapiteln, 99 Artikeln, dutzenden Seiten juristischer Formulierungen. Sie lasen Zeitungsartikel, recherchierten im Internet, bekamen Hilfestellungen von Dachverbänden. Mehr als 30 Stunden Arbeit seien nötig gewesen, um sich in das Thema „reinzufuchsen“. Alles ehrenamtlich, versteht sich. Und dann ging es an die Umsetzung. Alle Vereinsmitglieder müssen informiert, Mitarbeiter geschult, Internetseiten angepasst werden. Es muss dokumentiert werden, wer wie, wann und wo im Verein mit persönlichen Informationen über Mitglieder zu tun hat. Wo liegen die Daten? Ist der Schrank mit den Aktenordnern abgesperrt? Wer hat den Schlüssel? Hat der Computer ein Anti-Virus-Programm? „Im Grunde ist das alles kein Hexenwerk, aber viel ärgerliche Arbeit, die einfach noch oben drauf kommt“, resümiert Abmayr.
Vor allem zwei Dinge treiben ihn dabei um. Dass ihm und seinen Kollegen ein Fehler bei der Umsetzung des komplizierten Regelwerks unterlaufen könnte. Und dass sich findige Anwaltskanzleien auf die Suche danach machen und seinen Verein verklagen könnten. „Von solchen Abmahnwellen hört man doch immer wieder“, sagt Abmayr. Bei Verstößen gegen die europäische Verordnung drohen laut Gesetzestext Bußgelder in Höhe von bis zu 20 Millionen Euro, bei Unternehmen bis zu vier Prozent des weltweit erzielten Jahresumsatzes.
Es sind Paragrafen wie diese, die vielen Vereinsfunktionären Sorgen bereiten. Nicht unbedingt, weil sie befürchten, plötzlich Millionen zahlen zu müssen. Vielmehr, weil sie sich als Ehrenamtliche von der Verordnung überfordert fühlen.
Es ist ein lauer Frühlingsabend, die Sonne scheint, es ist ein bisschen zu frisch für einen Biergartenbesuch, aber viel zu schön, um sich in einer bestuhlten Turnhalle in Höchstädt im Landkreis Dillingen mit juristischen Spitzfindigkeiten herumzuschlagen. Und doch haben sich an diesem Abend rund 100 Vertreter von Sportvereinen aus der Region genau dazu entschlossen. Sie alle haben schon von der Datenschutzverordnung gehört, viele haben sich eingelesen – und hatten danach mehr Fragen als Antworten.
Bin ich überhaupt betroffen? Was sind schützenswerte Daten? Wie ist das mit Fotos auf der Internetseite des Vereins? Darf ich Mitglieder noch zu einem Sommerfest einladen oder ist das schon Missbrauch von Adressdaten? Und braucht mein Verein einen Datenschutzbeauftragten? Wer soll das denn bitteschön machen? Fragen, auf die an diesem Abend ein Anwalt und Referent des Bayerischen Landessportverbandes (BLSV) Antworten geben soll – sich aber in vielen Fällen ebenfalls schwer tut. Oft sind die Anliegen der Vereine sehr speziell, die Aussagen im Gesetzestext dagegen eher allgemein.
Ein Beispiel macht die Probleme und Folgen deutlich. Fotos von Siegerehrungen dürfen weiterhin gemacht und veröffentlich werden, erklärt Anwalt Patrick Zeitz – aber nur mit Einwilligung der Sportler. Bei Kindern müssen die Eltern zustimmen. Zudem muss der Verein dokumentieren, wer auf dem Bild zu sehen ist, wer es wann ins Internet gestellt hat, zu welchem Zweck und wann es voraussichtlich wieder gelöscht wird. Denn der Verein ist künftig verpflichtet, einem Mitglied auf Nachfrage zu erklären, welche Daten von ihm im Umlauf sind. Gegebenenfalls muss er sie löschen.
Der Sportverband will das Schlimmste verhindern
„Die Volksseele kocht“, sagt Alfons Strasser nach zweieinhalb Stunden. Auch der Kreisvorsitzende des BLSV im Landkreis Dillingen ist erschlagen von all den juristischen Fallstricken, die den Vereinen „das Leben schwer machen und die Verantwortlichen angreifbar“. Als wäre es nicht schon so schwer genug, Freiwillige zu finden, die sich engagieren. „Diese Verordnung ist sicher keine Werbung für das Ehrenamt“, ist Strasser überzeugt.
In München, in der Zentrale des Landessportverbandes, sieht man das ähnlich. Das Ziel, den Datenschutz in ganz Europa zu verbessern, sei ja redlich, sagt BLSV-Vizepräsident Jörg Ammon. „Aber die neue Verordnung schießt über das Ziel hinaus. Kleine Vereine werden genauso behandelt wie weltweit agierende Unternehmen. Das ist nicht verhältnismäßig.“ Seit Monaten stehe der Verband bei Politikern auf der Matte, um daran etwas zu ändern. Bislang ohne sichtbaren Erfolg. Daher tue der Verband, in dem rund 12.000 Sportvereine organisiert sind, sein Möglichstes, um die Ehrenamtlichen in Sachen Datenschutz zu unterstützen. Schulungen, eigene Ansprechpartner, gebündelte Informationen im Internet – all das gebe es. „Wir können es unseren Mitgliedern leider nicht abnehmen, dass sie sich selbst informieren. Dafür sind die Vereine zu unterschiedlich“, sagt Ammon.
In Günzburg blättert Hans-Jürgen Abmayr in einem Stapel an Papieren, Vordrucken, Musterformularen und To-Do-Listen, die ihm der Alpenverein-Dachverband zur Verfügung gestellt hat. Tief durchatmend lehnt er sich dann auf seinem Bürostuhl zurück. „Ich denke, das Wichtigste kriegen wir bis Freitag hin“, sagt er halbwegs zufrieden. Der Ärger über die EU-DSGVO ist nicht verraucht, aber er hat sich etwas gelegt. „Das mit dem Datenschutz sehe ich ja ein. Und wenn dieser ganze Bürokratiekram dazu führt, dass Facebook, Google, oder wie sie alle heißen, nicht mehr alles mit unseren Daten machen können, dann soll mir das recht sein“, sagt Abmayr. Nur befürchtet er, dass das nicht passiert: „Am Ende trifft es wie immer nur die Kleinen.“
Wir möchten wissen, was Sie denken: Die Augsburger Allgemeine arbeitet daher mit dem Meinungsforschungsinstitut Civey zusammen. Was es mit den repräsentativen Umfragen auf sich hat und warum Sie sich registrieren sollten, lesen Sie hier.