DSGVO – diese fünf Buchstaben haben in den vergangenen Wochen für viel Aufregung gesorgt. Die neue Datenschutz-Grundverordnung tritt am 25. Mai offiziell in Kraft, 99 Artikel in elf Kapiteln regeln zukünftig europaweit den Umgang mit personenbezogenen Daten. Rechtsanwalt Malte Jörg Uffeln, Bürgermeister in Steinau an der Straße, informierte in den vergangenen Wochen auf zahlreichen Veranstaltungen im gesamten Main-Kinzig-Kreis über das neue EU-Datenschutzrecht und rät Vereinen und Unternehmen zu prüfen, wie sie mit den von ihnen gesammelten Daten umgehen.
Herr Uffeln, können Sie mal kurz für alle Nicht-Juristen erklären, was das Ziel dieser "DSGVO" ist? Malte Jörg Uffeln: „Der Schutz der EU-Bürgerinnen und Bürger bei der Verarbeitung ihrer personenbezogenen Daten und Schutz der Grundrechte und Grundfreiheiten der Bürger in der EU. So definiert Artikel 1 DSGVO die Ziele. Das Recht auf ‚informationelle Selbstbestimmung‘ der Bürgerinnen und Bürger, Menschen und deren Daten sollen effektiv und effizient geschützt werden. Die DSGVO ist primäre eine Verbraucherschutzverordnung. Neu ist der sogenannte ‚digitale Radiergummi‘, der den Bürgerinnen und Bürger ein Recht auf Vergessen im Internet gibt, dem Datenverarbeiter nachkommen müssen.“
Und wer hat sich das ausgedacht? Uffeln: „Das Europäische Parlament, der Rat der Europäischen Union, die im Verfahren beteiligten nationalen Parlamente. Die DSGVO ‚fußt‘ im Wesentlichen auf deutschem Recht. Der hohe Standard des Datenschutzes in Deutschland ist Grundlage der DSGVO. Mutterland des Datenschutzes ist Hessen, das 1970 das erste Datenschutzgesetz erlassen hat. Die DSGVO setzt die deutschen Standards in europäisches Recht um, verschärft aber leider Auskunfts-, Kontroll- und Nachweispflichten der Datenverarbeiter.“
Man liest überall noch von einer Rechtsunsicherheit und die Bundesregierung müsse reagieren. Stimmt das? Uffeln: „Wir müssen uns zunächst sprachlich auf neue Begrifflichkeiten einstellen. Die DSGVO umfasst 99 Artikel und weitere 173 Erwägungsgründe, die in Zusammenhang gelesen werden müssen. Weiter gilt das Bundesdatenschutzgesetz – neu – fort. Das macht die Rechtsanwendung schwierig. Es herrscht allenthalben ein Vollzugsdefizit. Die Bundesregierung hat es bei der Umsetzung der DSGVO bisher insbesondere ‚verpennt‘, nach Artikel 85 DSGVO eine Rechtsverordnung zu erlassen, die im Bereich der Presse und sozialen Medien klipp und klar regelt, wie beispielsweise künftig mit Bildern und Daten von Menschen in der Presseberichterstattung umzugehen ist. Das Verhältnis der DSGVO zu den Bestimmungen des Kunsturhebergesetzes ( §§ 22,23 KUG) ist nicht klar geregelt. Das wird zu Problemen führen, nicht aber zum Erliegen der Presseberichterstattung. Im Ergebnis werden Zweifelsfälle der Bildberichterstattung zunächst einmal die Gerichte klären müssen. Die DSGVO ist auch nicht zuletzt eine Arbeitsbeschaffungsmaßnahme für Juristen. Erwägungsgrund 153 formuliert für den Journalismus unter anderem: ‚Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf die Freiheit beziehen, weit ausgelegt werden.‘ Auch künftig wird es daher, freilich unter erschwerten Bedingungen - Thema Einwilligung in Bild- und Datenberichterstattung -, eine freie Presse geben.“
Welche Berufsgruppen sind noch betroffen? Uffeln: „Primär richtet sich die DSGVO als Verbraucherschutzverordnung an Unternehmen, die im freien EU-Dienstleistungsmarkt tätig sind. Vereine und Verbände und NGOs sind aber auch vom Schutzbereich der DSGVO umfasst. Das Bundesdatenschutzgesetz bleibt weiter in Kraft. Klipp und klar: Die DSGVO gilt für alle juristischen Personen des öffentlichen und privaten Rechts, die in Europa Daten verarbeiten.“
Welche Pflichten haben Unternehmen zukünftig beim Datenschutz zu beachten? Uffeln: „Im Prinzip ändert sich zur alten Rechtslage nach dem Bundesdatenschutzgesetz zunächst wenig. Datenverarbeitung in der EU ist verboten, es sei denn sie ist erlaubt. Es bleibt beim Prinzip des Verbotes mit Erlaubnisvorbehalt. Unternehmen brauchen auch künftig zur Verarbeitung personenbezogener Daten eine Einwilligung des Betroffenen, oder eine gesetzliche Grundlage, kraft derer die Verarbeitung personenbezogener Daten zulässig ist. Zentrale Vorschrift für die Einwilligung ist Art. 6 DSGVO. Datenverarbeitung ist erlaubt in folgenden Fällen: (1) Einwilligung (schriftlich oder elektronisch), (2) Vertrag oder vorvertragliche Maßnahmen, (3) rechtliche Pflichten (beispielsweise nach Melderecht), (4) lebenswichtige Interessen (beispielsweise bei einem Unfall, Aufnahme von Daten), (5) öffentliches Interesse, Ausübung öffentlicher Gewalt (Strafverfolgung, Ahndung von Ordnungswidrigkeiten) und (6) berechtigte Interessen eines Verantwortlichen oder Dritter (Güterabwägung nach dem Verhältnismäßigkeitsprinzip). Ärgerlich für Unternehmen ist die künftige Beweislastumkehr. Unternehmen müssen künftig nachweisen, dass sie ihren Rechenschafts- und Dokumentationspflichten, der Pflicht zur Führung eines Verfahrensverzeichnisses über alle Vorgänge der Datenverarbeitung im Unternehmen sowie gegebenenfalls einer Datenschutzfolgeabschätzung und der geeigneten technischen und organisatorischen Maßnahmen beim Datenschutz nachgekommen sind. Gegebenenfalls muss auch ein interner oder externer Datenschutzbeauftragter bestellt und der Aufsichtsbehörde gemeldet werden. Auf jeden Fall sollten Unternehmen ihre Homepages checken, insbesondere die Anbieterkennung, also das Impressum. Kurzresümee: Beweislastumkehr und ein ‚mehr‘ an Bürokratie sind für Unternehmen die Ärgernisse der neuen DSGVO.“
Wie sollten Vereinsverantwortliche jetzt reagieren? Uffeln: „Nicht panisch. Sechs Punkte sind wichtig und sollten unbedingt behandelt werden. Ich verweise auf meinen Aufsatz DSGVO für Vereine auf den Punkt gebracht auf www.maltejoerguffeln.de und meine weiteren Ausarbeitungen zur DSGVO: Stimmt die Einwilligungserklärung / Beitrittserklärung in den Verein? Stimmt die Datenschutzklausel in der Satzung? Meine Empfehlung: Verankerung einer Datenschutzklausel in der Satzung anlässlich der Mitgliederversammlung in 2019, das reicht. Wer ist im Vorstand für Datenschutz und Datensicherheit verantwortlich? Hier die Verantwortlichkeit durch Aufgabenzuweisungsbeschluss klären und kommunizieren. Braucht der Verein einen Datenschutzbeauftragten? Die Bestellung ist erforderlich bei mehr als neun Personen, also mindestens zehn, die ständig automatisiert – aber auch manuell - Daten verarbeiten. Ist das der Fall: Datenschutzbeauftragten bestellen und der Datenschutzaufsicht melden. Außerdem: Homepage checken auf Haftungsfallen, DSGVO-Ordner anlegen und ein Verfahrensverzeichnis über alle Verarbeitungsvorgänge führen.“
Was bedeutet das für Social-Media-Aktivitäten, beispielsweise für Facebook-Gruppen? Uffeln: „Auch bei Social-Media-Accounts von Unternehmen, Vereinen und Verbänden sollte – wie bisher – der Datenschutz beachtet werden. Insoweit ändert sich am Vorsorgeprinzip nichts. Jeder, der bei Facebook einen Account betreibt, ob alleine – einzelne – oder eine Facebook-Gruppe muss darauf achten, dass es in Zusammenhang mit diesem Account zu keinen Rechtsverstößen kommt.“
Und was droht bei Verstößen gegen die DSGVO? Uffeln: „Unternehmen drohen Bußgelder bis zu 20 Millionen Euro beziehungsweise zwei Prozent des weltweiten Umsatzes. Außerdem Beschwerden bei der Aufsichtsbehörde, Verbandsklagen durch einen Verbraucherschutzverband sowie Schadensersatz und Abmahnungen. Hier muss sich das Sanktionsrecht innerhalb der EU noch detailliert herausbilden. Die DSGVO gibt den Sanktionsrahmen. Es soll auf EU-Ebene eine EU-Datenschutzbehörde geschaffen werden, ein EU-Datenschutzausschuss, die sich mit den jeweiligen nationalen Behörden abstimmen und ins Benehmen setzen. Kohärenzverfahren nennt man das jetzt.“
Ihre Einschätzung: Was bringt den Bürgerinnen und Bürgern die DSGVO? Uffeln: „Aus der Sicht von EU-Parlament und dem Rat der EU mehr Schutz bei der Verarbeitung personenbezogener Daten, effizienter und effektiver Schutz der Grundrechte der Menschen sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedsstaaten.“