Die häufigsten Irrtümer – wir klären auf

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO) – nicht nur in Deutschland, sondern in der gesamten EU. Die neuen Regeln zum Datenschutz haben nicht nur in den Medien ein gewaltiges Echo hervorgerufen. Viele kleinere Vereine, aber auch Kleinunternehmer sind verunsichert, was die DSGVO für sie bedeutet und wie sie diese umsetzen sollen. Im Internet kursiert eine Menge an widersprüchlichen und zum Teil falschen Informationen. Informieren Sie sich hier über die sechs häufigsten Irrtümer.

© Rudie - Fotolia.com

1. Aufgrund der DSGVO ändert sich der gesamte Datenschutz, alles ist neu

Die DSGVO enthält zwar neue Regeln, vor allem im Bereich der Transparenz. Deshalb verschicken seit der Einführung auch viele Unternehmen (z.B. Versicherungen und Banken) zahlreiche Informationsschreiben zum Datenschutz / zur Datenschutzerklärungen. Auch bestehen höhere Anforderungen an die Dokumentation. Inhaltlich ändert sich aber eigentlich recht wenig. Auch vor dem 25. Mai 2018 waren personenbezogene Daten kein „Freiwild“ und Unternehmen durften diese nur zu erlaubten Zwecken erheben und verarbeiten. Die sichere Aufbewahrung personenbezogener Daten war festgeschrieben und auch der gewerbliche Handel ist in diesem Bereich schon immer an strenge Anforderungen geknüpft.

Gerade für kleinere Vereine / Unternehmen gilt daher: Haben Sie sich bisher im Großen und Ganzen datenschutzkonform verhalten, haben Sie sich im Rahmen der Umsetzung der DSGVO zwar darum zu kümmern, die eigenen Datenverarbeitungsprozesse ordentlich zu dokumentieren (Stichwort: Verarbeitungsverzeichnis) und Betroffene über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Inhaltlich ändert sich aber nicht allzu viel – was bislang nicht erlaubt war, ist im Zweifel auch seit Geltung der DSGVO verboten, was bislang zulässig war, ist in aller Regel auch jetzt noch zulässig.

2. Aufgrund der DSGVO ist mit neuen Abmahnwellen zu rechnen und gerade kleine Vereine und Verbände haben keine Ressourcen, sich zur Wehr zu setzen

Vereine haben keine Abmahnwelle zu befürchten. Hintergrund hierfür ist, dass es vor allem dann zur Abmahnung von Datenschutzverstößen kommt (und selbst dies ist noch umstritten), wenn sie einen Wettbewerbsverstoß darstellen. Nicht wirtschaftlich tätige Vereine sind daher nicht gefährdet, Wettbewerbsverstöße zu begehen und können auch nicht von einem „Mitwettbewerber“ abgemahnt werden. Derzeit wäre es  nur möglich, dass ein Verband, der hierzu eine entsprechende Befugnis hat, einen Verein abmahnt. Angesichts der deutlich niedrigeren Abmahnkosten in diesem Bereich halten wir „Abmahnwellen“ aber für ausgeschlossen.

3. Die Aufsichtsbehörden verhängen Bußgelder in Millionenhöhe

Das ist theoretisch richtig. Aufsichtsbehörden verfügen über einen Ermessensspielraum, sind jedoch verpflichtet, dieses Ermessen auch richtig auszuüben. Zu berücksichtigen ist hier die Art und die Schwere des Verstoßes, ob Unternehmen / Vereine vorsätzlich oder fahrlässig handeln und welche Gegenmaßnahmen sie nach einer Datenpanne getroffen haben. Ein Grund zur Panik besteht daher, selbst wenn es zu kleineren Verstößen gegen dies DSGVO kommt, nicht, sofern Sie mit Daten von Vereinsmitgliedern / Kunden grundsätzlich vernünftig umgehen. Klar ist aber auch: Bei krassen Verstößen, beispielsweise beim Verkauf von Kunden- oder Mitgliederdaten eines Vereins an Datenhändler ohne entsprechende Einwilligung, ist durchaus mit empfindlichen Bußgeldern zu rechnen.

4. Wegen der DSGVO braucht jetzt jeder Verband / Verein einen Datenschutzbeauftragten

Vereine brauchen in der Regel keinen Datenschutzbeauftragten und auch kleine Unternehmen nicht. Als Faustregel gilt: Ein Datenschutzbeauftragter ist nur dann erforderlich, wenn mindestens 10 Personen im Unternehmen / Verein regelmäßig mit der Verarbeitung personenbezogener Daten zu tun haben.

5. Mit Geltung der DGSVO ist es notwendig, sich für alles Mögliche eine Einwilligung geben zu lassen

Das ist so nicht richtig. Eine Einwilligung ist – salopp ausgedrückt – nur dann erforderlich, wenn keine anderen Rechtsgrundlagen greifen. Für übliche und notwendige Vorgänge im Verein / Unternehmen benötigen Sie daher keine Einwilligung seitens der Betroffenen, wenn Sie die Daten zur Erfüllung des jeweiligen Vertrages benötigen oder ein berechtigtes Interesse des Vereins / Unternehmens an der Datenverarbeitung besteht. Ein neues Vereinsmitglied muss daher nicht „einwilligen“, sondern nur informiert werden, dass Sie seine Daten z.B. zur Mitgliederverwaltung, zur Abrechnung der Mitgliederbeiträge etc. verwenden. Eine Einwilligung wäre beispielsweise dann erforderlich, wenn ein Verein beabsichtigt, seine Mitgliederdaten an eine Versicherungsagentur zu Werbezwecken weiterzuleiten.

6. Datenpannen sind jetzt den Aufsichtsbehörden zu melden. Dies zieht ein Bußgeld nach sich, so dass man sich selber ans Messer liefert

Zunächst sind Datenpannen nur dann zu melden, wenn diese ein gewisses Ausmaß überschreiten. Nicht jede Datenpanne führt zwangsläufig zu einem Bußgeld. Die DSGVO erkennt an, dass Datenpannen nie zu 100 Prozent zu verhindern sind, so dass ein Bußgeld nur dann droht, wenn Sie keine ausreichenden Sicherheitsmaßnahmen haben oder eine gravierende Datenpanne nicht melden. Das geforderte Sicherheitsniveau hängt dabei von der Art der Daten und dem vorhersehbaren Risiko im Falle einer Datenpanne ab.

Gerade kleine Vereine und Unternehmen haben lediglich für einen gewissen „Grundschutz“ zu sorgen. Hierzu gehören aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Zugriffsberechtigungen.