Datenschutz ist eine Daueraufgabe

Seit über einem Jahr setzen Firmen und Vereine die EU-Datenschutzgrundverordnung um – Das erfordert weiterhin viel Aufwand

Seit Ende Mai 2018 ist die Datenschutzgrundverordnung in Kraft und gibt seither das Maß der Dinge im Umgang mit Daten vor. Schrecken und Verunsicherung hat sie anfangs verbreitet. Zu Recht? Wie sind Vereine und Unternehmen in der Praxis im vergangenen Jahr mit der neuen europäischen Regelung zurechtgekommen? Ein Resümee.

Von Nicola Scharpf

BACKNANG. Einem erheblichen Aufwand sahen sich Vereine, Behörden und Unternehmen vor etwas mehr als einem Jahr gegenüber, als die EU-weit gültige Datenschutzgrundverordnung (DSGVO) in Kraft trat und viele Änderungen oder Neuerungen im Umgang mit Daten mit sich brachte. Die Verunsicherung, wie sich die DSGVO korrekt und lückenlos umsetzen lässt, war groß und warf viele Fragen auf: Was sind die neuen Dokumentations- und Informationspflichten? Wie wird der Datenschutz künftig kontrolliert? Wie hart sind die Sanktionen bei Verstößen gegen die Rechtsverordnung?

„Das ist für einen kleinen Verein eine große Kiste“, sagte Gerhard Strobel vor gut einem Jahr gegenüber unserer Zeitung. Der Vorsitzende des Kreisverbands Rems-Murr der Schutzgemeinschaft Deutscher Wald hält Datenschutz für sehr wichtig und hat sich daher „damals unheimlich viel Mühe gemacht, die Datenschutzgrundverordnung umzusetzen“. Seit Inkrafttreten der DSGVO herrsche Ruhe – auf dem Papier. „Wir haben unsere Hausaufgaben gemacht. Das ist ein gutes Gefühl. Der große Abmahner, der Fehler im eigenen Konstrukt sucht, ist ausgeblieben.“ In der Umsetzung sei der Datenschutz aber eine Daueraufgabe. Strobel meint damit, dass man sich ständig hinterfragen müsse, ob der Verein die DSGVO korrekt handhabt. Umfangreiche Anforderungen gelte es zu berücksichtigen: Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten muss geprüft werden. Es gibt Informationspflichten. Regelungen hinsichtlich Datenerhebung und Einwilligung, Datenspeicherung, -sicherheit, -nutzung, -verarbeitung, -löschung und -archivierung müssen eingehalten werden.

Die Schutzgemeinschaft Deutscher Wald hat im Rems-Murr-Kreis etwa 70 Mitglieder – eine überschaubare Zahl. Die TSG Backnang dagegen hat etwa 3200 Mitglieder, verteilt auf insgesamt 15 Abteilungen, und beschäftigt etwa 250 Übungsleiter. Vor Inkrafttreten der DSGVO hat die TSG-Geschäftsstellenleiterin Monika Naseband darauf hingewiesen, wie schwer zu überblicken es für einen großen Verein ist, wie die Vorgaben eingehalten werden. Diese Schwierigkeit sieht sie nach wie vor: „Für einen großen Verein mit vielen Abteilungen ist es schwieriger, die Verordnung komplett in allen Hierarchien umzusetzen als in einem kleinen Monoverein.“ Die TSG hat das Thema auf ihrem neuen Mitgliedsantrag explizit erwähnt und verweist auf ihrer Homepage auf den Datenschutz. Auch hat der Verein einen externen Datenschutzbeauftragten – dazu ist er verpflichtet. Dieser gibt die Felder vor, die abzuarbeiten sind. Es gebe eine Art Handbuch, nach dem man arbeiten könne. Das sei hilfreich, so Naseband. Die Umsetzung des Datenschutzes sei ein Prozess, der sich fortwährend erneuere – zum Beispiel, wenn neue Funktionsträger aufgrund von Wahlen ihre Aufgaben und Ämter antreten.

Lothar Buchfink hält an dem fest, wie er sich vor der Einführung der DSGVO positioniert hat: Für den Vorsitzenden des Backnanger Gewerbevereins ist die Neuregelung des Datenschutzes eine Überbürokratisierung und er sieht die Gefahr einer Überregulierung. Die Datenschutzerklärung, die er in seinem Autohaus ausgibt, umfasse neun Seiten. Ein Kreditvertrag belaufe sich inzwischen sogar auf 60 Seiten. „Früher waren es mal vier“, erinnert sich Buchfink.

„Der bürokratische Aufwand ist weiterhin schwer zu bewältigen“

Seit Inkrafttreten der DSGVO habe sich die Sache zwar beruhigt und jeder Unternehmer gehe das Thema ruhig an. „Den anderen Vereinsmitgliedern geht es da wie mir“, gibt Buchfink die einhellige Meinung wieder. Über dem Ehrenamt Vereinsarbeit hänge die DSGVO aber „wie ein Damoklesschwert“. „Das Gesetz hat seine Tücken. Es bleibt eine Gratwanderung“, resümiert Buchfink.

Die Prozesshaftigkeit bei der Umsetzung des Datenschutzes betont Andreas Kiontke, Bereichsleiter Recht und Steuern bei der IHK Region Stuttgart. „Es hat sich noch kein Unternehmen bei uns gemeldet und gesagt, dass es die Grundverordnung zu 100 Prozent fertig umgesetzt hat.“ Mit der Zielsetzung der DSGVO, nämlich die Vereinheitlichung des europäischen Datenschutzrechts anzustreben und die Rechte der Betroffenen zu stärken, könne niemand ein Problem haben. Doch die Umsetzung habe Unternehmen Belastungen gebracht und bringe sie nach wie vor. „Der bürokratische Aufwand ist für Unternehmen weiterhin schwer zu bewältigen“, sagt Kiontke. Insbesondere für kleine Betriebe bestehe seitens der IHK der Wunsch nach Entlastung durch Vereinfachungen oder Ausnahmeregelungen.

Die IHK-Mitgliedsbetriebe würden sich gerne alle an die DSGVO halten und hätten daher ein Bedürfnis nach Rechtssicherheit. „Die Unternehmen wünschen sich einheitliche oder verbindliche Checklisten und Auslegungshilfen von den Aufsichtsbehörden.“ Vor Inkrafttreten der DSGVO hat es bei Firmenchefs eine große Unsicherheit gegeben, weil man nicht wusste, wie der Datenschutz künftig kontrolliert wird und wie Verstöße geahndet werden. Bis heute bekomme die IHK viele Anrufe von Mitgliedsunternehmen, die beraten werden wollen. Bislang habe es zwar, anders als befürchtet, keine Abmahnungswelle gegeben. Auch sei kein existenzvernichtendes Bußgeld verhängt worden, so Kiontke.

Dennoch sei der große Schrecken, den die neue Verordnung verursacht habe, berechtigt gewesen – wegen des immensen Aufwands. „Jeder hat sich nun einmal mit der Verordnung arrangiert und ist das Thema auf seine Weise angegangen. Großen Aufwand haben die Firmen damit aber immer noch.“