(jak) Sabine Stahl, Geschäftsführerin der DJK-Geschäftsstelle Weiden, wirkt drei Monate nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) erleichtert: "Man kommt als Verein noch relativ glimpflich davon." Die Umstellung sei "bei Weitem noch nicht abgeschlossen. Aber es ist auch nicht so schlimm geworden, wie im Vorfeld gedacht". Da die Aufnahme von Neumitgliedern bei der DJK zentral laufe, kommen nur sie selbst und die Schatzmeisterin mit Daten in Kontakt. Bei unter zehn Personen, die in einem Verein Daten verarbeiten, braucht es keinen Datenschutz-Beauftragten. Für die sichere Aufbewahrung der Daten sei gesorgt: Sie werden in einem abschließbaren Schrank abgelegt und auf einem mit Passwort geschützten PC gesichert.
Angefertigt wurde das sogenannte Verfahrens- oder Verarbeitungsverzeichnis, in dem dokumentiert wird, wer welche Daten zu welchem Zweck verarbeitet. Auch die Aufnahmeanträge und die Datenschutzhinweise auf der Website wurden überarbeitet. Letztere umfassen ganze 17 DIN-A4-Seiten. Die DSGVO habe dem Verein durchaus Arbeit gemacht. "Auch fortlaufend, denn das hört ja nicht auf", so Stahl. "Aber es ist machbar." Der Verein konnte ungehindert weiterarbeiten, nahm aber Bilder von der Website, weil es von den Abgebildeten oder deren Eltern zwar ein mündlich geäußertes, aber kein schriftliches Einverständnis zur Veröffentlichung gegeben habe.
Stadtverband für Leibesübungen Weiden
Reinhard Meier, Präsident des Stadtverbands für Leibesübungen, macht sich Sorgen um die Zukunft: "Es wird schwieriger, Leute für den Vorstand zu finden, weil das wieder eine Schippe drauf ist. Der Vorstand arbeitet ehrenamtlich, ist aber für den Datenschutz verantwortlich. Und wenn man das extern machen lässt, kostet das vier- bis fünftausend Euro im Jahr." Meier steht den 63 Vereinen im Verband mit ihren 18 000 Mitgliedern bei Fragen zur DSGVO zur Verfügung, für die Umsetzung zuständig sei aber jeder Verein individuell.
Gut informiert gefühlt hat sich der Präsident vor Inkrafttreten der Verordnung nicht. "Wir haben gewusst, dass was auf uns zukommt. Aber was? Man rudert erst einmal zurück und muss seine Hausaufgaben machen." Die größte Herausforderung sei gewesen, die Struktur anzupassen und schriftlich zu dokumentieren: Wer greift auf welche Daten zu und macht was damit?
Meier eignete sich Wissen an, informierte und sensibilisierte in Vorträgen. Besonders für größere Vereine sei die DSGVO nicht einfach umzusetzen. So müsse der Datenschutz kostenpflichtig in die Satzung eingearbeitet werden, bei Angestellten in einigen Vereinen seien Änderungen in den Arbeitsverträgen notwendig gewesen, und einen Datenschutz-Beauftragten zu finden, sei schwierig.
Reinhard Meier, Präsident Stadtverband für Leibesübungen Weiden: „Es wird durch die DSGVO schwieriger, Leute für den Vorstand zu finden.“
Bild: Karin Wilck
Heimatring Weiden
"Aufgeschreckt hat mich ein Artikel in einer Vereinszeitschrift", erzählt Günther Magerl, erster Vorsitzender des Heimatrings Weiden. Zum Heimatring zählen 70 Vereine mit rund 26 000 Mitgliedern. In dem Artikel war von hohem Bußgeld bei Verstößen gegen die DSGVO die Rede. "Es war vorher niemandem bekannt, dass die DSGVO in Kraft tritt."
Er macht der Politik einen "großen Vorwurf: Die haben die DSGVO 2015 beschlossen, aber bis 2018 nicht dazu informiert". Er wandte sich wie unzählige Verunsicherte an die zuständige Behörde, das Landesamt für Datenschutzaufsicht. Mit dessen Hilfestellung war er "super zufrieden" und fasst heute zusammen: "Die Befürchtungen sind zum Großteil weg. Bei Neumitgliedern kommt nun zum Formular für den Bankeinzug ein Blattl zum Datenschutz hinzu. Die Daten waren ansonsten vorher schon geschützt. Im täglichen Umgang hat sich nicht viel verändert."
Eine gewisse Sensibilisierung hat es dennoch gegeben: "Alles, was mit Daten zu tun hat, muss dem Vereinszweck entsprechen, sonst begebe ich mich auf Glatteis." Geburtstage werden nur noch in Absprache mit den Betroffenen veröffentlicht. Aus Vorsicht hatte der Heimatring auch die Namen aller Vorsitzenden der 70 Mitgliedsvereine von der Website genommen. Das Landesamt habe aber bestätigt, dass die Veröffentlichung dem Vereinszweck diene, deshalb werde das rückgängig gemacht.
Günther Magerl, 1. Vorsitzender Heimatring Weiden: „Alles, was mit Daten zu tun hat, muss dem Vereinszweck entsprechen, sonst begebe ich mich auf Glatteis.“
Bild: Gerhard Götz
Musikinitiative Vohenstrauß
"Die größte Herausforderung war es, den Überblick zu haben, was zu tun ist", sagt Hannes Gilch, erster Vorsitzender der Musikinitiative Vohenstrauß. "Halbwissen und Unwissen provozieren Unsicherheit." Er habe schon öfter gesehen, dass Vereine ihre Websites mit Hinweis auf die DSGVO abgeschaltet haben. "Das war ja relativ abstrakt und wir mussten Energie investieren, um einen Plan zu haben." Sein Fazit: "Die DSGVO hat wenig verändert. Wenn man den Datenschutz vorher vernünftig betrieben hat, hält sich der Aufwand in Grenzen. Das ist alles bürokratisch, aber nicht zu krass." Über die Praktikabilität der DSGVO könne man sich streiten, "aber das Thema ist natürlich wichtig".
Stadtverwaltung Weiden
"Ängste vor einer Abmahn- oder Auskunftswelle haben nicht bestanden", heißt es vonseiten der Stadtverwaltung Weiden zur Datenschutz-Verordnung. Bisher seien lediglich einzelne Auskunftsersuchen eingegangen. Die Änderungen durch die DSGVO seien "nicht gravierend", da für die Verwaltung vor Mai 2018 das Bayerische Datenschutzgesetz gegolten habe. "Auch hier war der rechtliche Standard bereits sehr hoch", so Pressesprecher Norbert Schmieglitz. Neu sei allerdings das Ausmaß der Informations- und Dokumentationspflichten, die den Ämtern einen "großen zusätzlichen Aufwand" bescheren: "Dies in allen 15 Ämtern der Stadtverwaltung für alle Dienstleistungen und Verarbeitungstätigkeiten umzusetzen, ist ein Prozess, der noch andauert." Der Schutz der personenbezogenen Daten der Bürger habe immer Priorität. Und Datenschutz sei "ein laufender Prozess, der niemals abgeschlossen ist". Dazu gehöre unter anderem die Beratung und Sensibilisierung der Mitarbeiter, ständige Weiterbildung, interne Kontrollen und Revisionen.
Schmid Datensicherheit, Weiden
"Datenschutz ist ein Prozess, der kontinuierlich läuft", bestätigt Lutz Josef Schmid, Geschäftsführer von Schmid Datensicherheit. Unter anderem im Auftrag des Landratsamtes Neustadt hält er Vorträge für Vereine und Unternehmen zur DSGVO. Er ist wie Günther Magerl der Meinung, dass es vor Inkrafttreten der Datenschutz-Verordnung vonseiten der Behörden nicht genug Öffentlichkeitsarbeit gegeben habe. "Viele haben erst im Mai 2018 mitbekommen, dass sie was tun müssen."
Die notwendigen Schritte seien für Vereine und Unternehmen zwar "relativ identisch", trotzdem müsse jeder Fall individuell betrachtet werden. Gerade für Unternehmen ließen sich kaum allgemeingültige Aussagen treffen.
Die Aufregung um die Verordnung habe sich inzwischen gelegt. "Anfangs habe ich bei kleinen Betrieben teils eine halbe Stunde bis Stunde gebraucht, um die Leute zu beruhigen", erinnert er sich. Sanktionen seien für Vereine "nichts, wo man im Moment Angst vor haben muss".
Das könne sich allerdings ändern, wenn das Landesamt sich verstärkt um die Prüfung der Einhaltung des Gesetzes kümmern kann. Derzeit sei es vollends ausgelastet mit der Hilfestellung zum Thema. "Es werden die wildesten Sachen angestellt", so Schmid. Von der Veröffentlichung der Verfahrensverzeichnisse rät der Experte beispielsweise ab: "Bereits bei der Nennung der verantwortlichen Personen, spätestens aber bei der Beschreibung der technisch-organisatorischen Maßnahmen, wird es aus Sicht der Informationssicherheit bedenklich." Wer Details aufliste, mache sie für Angriffe auf das Unternehmen nutzbar.
Auch übertriebener Datenschutz sei unnötig: Niemand müsse einwilligen, dass seine Daten bei Aufnahme in einen Verein ins Mitgliedsverzeichnis übernommen werden, denn dies sei zwingend notwendig. "Wer damit nicht einverstanden ist, muss austreten." Die "Grenze des Datenschutzes" sei wiederum da erreicht, wo sich melden soll, wer nicht möchte, dass Fotos von ihm auf Vereins-Websites veröffentlicht werden. "Denn dann muss man ja auch die Daten der Person aufnehmen, die sich gemeldet hat."
Lutz Josef Schmidt, Schmid Datensicherheit GmbH: „Anfangs habe ich bei kleinen Betrieben teils eine halbe Stunde bis Stunde gebraucht, um die Leute zu beruhigen.“
Bild: Kerstin Stolberg / Foto Design Stolberg
Info:
Die DSGVO gilt gleichermaßen für den privaten und geschäftlichen Bereich, erklärt Datenexperte Lutz Josef Schmid. Vereine stünden allerdings weniger unter Druck. Hier drücke das Landesamt für Datenschutzaufsicht als Prüfstelle bei kleineren Unstimmigkeiten ein Auge zu – jedenfalls bisher. Nicht abschätzen kann man Schmid zufolge, wie viele Sanktionen künftig ausgesprochen werden. Denn das Landesamt komme wegen des hohen Beratungsaufwandes derzeit kaum zur Prüfung der Einhaltung des Gesetzes.
Thomas Kranig, Präsident des Landesamts, spricht von „Eigen-Sensibilisierung“. Eine Verpflichtungserklärung, in der diejenigen belehrt werden, die mit Daten umgehen, sichere die Vorstände ab. Das könnte bei Sanktionen berücksichtigt werden. Kranig hält den Aufwand, den kleine Vereine und Unternehmen wegen der DSGVO betreiben müssen, für überschaubar. „Fünf Prozent der DSGVO sind neue Regelungen, 95 Prozent haben schon immer gegolten.“ Die Sorgen, die sich viele im Vorfeld gemacht haben, findet er „übertrieben, aber nachvollziehbar, gerade im ehrenamtlichen Bereich“.
Die häufigsten Fragen an die Behörde und ihre Antworten werden auf der Website veröffentlicht. Hier können auch Verstöße gegen die DSGVO gemeldet werden.
Um Kommentare verfassen zu können, müssen Sie sich anmelden.
Bitte beachten Sie unsere Nutzungsregeln.