Freyung. „Weil das Thema viele Menschen bewegt und verängstigt“ habe man sich um einen Vortrag des renommierten Professors der Uni Passau bemüht, der dort nicht nur den Lehrstuhl für Internetrecht innehat, sondern kürzlich auch Mitglied der Datenethikkommission der Bundesregierung wurde. Bezirkstagspräsident und Freyunger Bürgermeister, Dr. Olaf Heinrich, hatte den Fachmann zuvor in Passau reden gehört und Prof. Dr. Dirk Heckmann daraufhin zu einem Vortrag eingeladen. Die gemeinsame Veranstaltung des Bezirks Niederbayern und der Stadt Freyung fand am Donnerstagabend in der Aula des Freyunger Gymnasiums statt, wo der Referent in einem kurzweiligen, verständlichen Vortrag den rund 200 Zuhörern viele Ängste zum Thema Datenschutzgrundverordnung nehmen konnte.
In seiner „Mini-Vorlesung“ ging er auf die wichtigsten Punkte ein, die es im Zusammenhang mit der neuen, europaweit geltenden Datenschutzgrundverordnung zu wissen gilt:
- Tatsächlich habe sich an den gesetzlichen Vorgaben, die vorher das Bundesdatenschutzrecht regelt, wenig verändert. „Nur hat das bisher niemanden wirklich interessiert“, weshalb Heckmann die DSGVO allein schon wegen der höheren Sensibilisierung für das Thema gut findet – und weil es die Bürger schützt.
- Ziel des Gesetzes ist nicht, kleine Unternehmen und Vereine zu gängeln, der Fokus des Gesetzgebers liegt vielmehr auf den großen Konzernen, die mit Datenerhebung, -verarbeitung und -handel viel Geld verdienen.
- Betroffen sind nur „personenbezogene Daten“, also alles, was einen Bezug zur Identität eines Menschen hat. Daten, die rein privat verarbeitet werden, fallen nicht unter die DSGVO.
- Es gehe vor allem um Daten, mit deren Hilfe Geld verdient wird (auch in Form von der Erstellung von Profilen) und um besonders schützenswerte Daten (z. B. Gesundheitsdaten).
- Prinzipiell gibt es zwei Wege, um eine Datenverarbeitung zu rechtfertigen: Wenn man die Einwilligung der Betroffenen hat, dass man ihre Daten verarbeiten darf oder wenn man ohnehin schon die gesetzliche Erlaubnis dazu hat (Apotheker dürfen Daten ihrer Kunden speichern und an die Krankenkassen weitergeben, das Finanzamt die Steuerdaten der Bürger etc.)
- Facebook & Co.: Wer seine Vereinsseite direkt mit einer Facebook-Fanpage verlinkt (in Form des Originalbuttons, der automatisch weiterleitet) macht rechtlich „gemeinsame Sache“ mit dem Konzern und haftet deshalb auch mit (beim Verein der Vorstand, beim Unternehmer der Geschäftsführer) für das, was Facebook mit den Daten macht. Löschen brauche man seine Fanseite auf Facebook deshalb nicht gleich, so Heckmann, es gelte stattdessen eine eigene Datenschutzerklärung einzubauen, die dem User die „Kooperation“ mit Facebook erklärt. Er riet, abzuwarten, ob der Konzern entsprechende Mustererklärungen demnächst zu diesem Zweck veröffentlicht und die Fanpage-Betreiber intern von einer Haftung freistellt. „Wenn nicht, dann würde ich die Seite löschen.“ Schon jetzt solle man auf seiner Homepage statt des direkten Links den Hinweis einbauen, dass man auf Facebook vertreten sei und unter welchem Namen der User dort die Seite findet. Ähnlich verhält es sich beispielsweise mit der Einbettung von Youtube-Videos. „Sobald Sie eine Verknüpfung installieren, verfolgt Sie das Unternehmen bis ins Schlafzimmer.“
- Berechtigtes Interesse: Eine Einwilligung braucht es nicht dort, wo ein berechtigtes Interesse für die Daten vorliegt. Etwa bei der Videoüberwachung eines Bankomats oder beim Privathaus im Eingangsbereich. Hier genügt ein Hinweisschild auf die Videoaufnahme.
- Fotos: Wenn der Verein Bilder einer Veranstaltung veröffentlicht, braucht er nicht die Einwilligung jedes Einzelnen einzuholen. Für Panoramafotos, auf denen viele Menschen eher unscharf zu erkennen sind, gibt es eine gesetzliche Erlaubnis. Nur wenn es sich um Nahaufnahmen oder Personenfotos ohne Veranstaltungsbezug sowie um Fotos von Kindern handelt, braucht es die Einwilligung des Fotografierten (bei Kindern ein Elternteil). Das kann schriftlich sein, muss es aber nicht. „Sie müssen die Einwilligung nachweisen können, das geht aber auch mit glaubwürdigen Zeugen.“
- Rechenschaftspflicht: Jeder hat das Recht, kostenlos Auskunft darüber zu erhalten, welche Daten wie, wo und wielange und zu welchem Zweck gespeichert sind. Vereine könnten das an einem Nachmittag machen. Wenn es sich um „heikle“ Daten handele, etwa bei einem Kindergarten die Angabe welches Kind welche Allergie etc. hat, könne man (noch ist die Auslegung unklar) auf Nummer sicher gehen, indem man eine Tabelle anlegt, in der all das eingetragen ist. So könne man auf Anfrage schnell klären wo und wie diese Daten gespeichert sind.
- Datenschutzerklärung: Auf der eigenen Webseite solle man transparent darauf hinweisen, welche Daten zu welchem Zweck erhoben werden. Muster dazu gibt es auf der Internetseite des Landesamtes für Datenschutz.
- Datenschutzbeauftragte: Diese sind nur dann nötig, wenn sich in einem Unternehmen oder Verein mehr als 10 Personen hauptamtlich um Datenverarbeitung kümmern.
- Verarbeitungsverzeichnis: Dieses benötigen nur Organisationen mit mehr als 250 Beschäftigten, die sich „nicht nur gelegentlich“ um Datenverarbeitung kümmern und das ihr Hauptzweck ist. Auf Vereine trifft es deshalb nicht zu.
- Angst vor Abmahnanwälten: Bekomme man Post von einem Abmahnanwalt, solle man sich freuen, wie Heckmann mit einem Augenzwinkern ausführt. Denn: „Machen Sie per Einschreiben Ihrerseits Gebrauch von Ihrem kostenfreien Recht auf Auskunftspflicht. Und schicken Sie dieses Schreiben parallel an die Datenschutzaufsicht“, so Heckmann, der zugleich eine Anzeige bei der Anwaltskammer empfahl. „Genau das sind nämlich die Leute, die das Gesetz eigentlich drankriegen will, nicht Sie.“ Auch gegen Internetfirmen, die den Konsumenten ärgern, könne man sich ebenso mit einer Forderung auf Datenauskunft wehren.
- Insgesamt solle man sich beim Umgang mit Daten in denjenigen hineinversetzen, dessen Daten es sind: Wie würde man das als Betroffener sehen? Sei es problematisch, solle man sich eine Einwilligung einholen. Wenn etwa ein Verein seine Daten nur dazu nutzt, Einladungen zu Festen o.ä. zu verschicken, sei es unproblematisch. Wenn der Verein aber mit einem anderen Verein kooperiert, ihm die eigenen Daten weitergibt, müsse man die Mitglieder zuvor davon unterrichten. Und wenn der Vereinsvorsitzende mit einem Sponsor kooperiert, also die Daten sozusagen „verkauft“, brauche er dringend die Einwilligung der Mitglieder.
Mehr Informationen finden Sie außerdem auf der Internetseite des Landesamtes für Datenschutz unter www.lda.bayern.de