Neue Regeln beim Datenschutz überfordern Vereine und Firmen

Joachim Lehmann und Jennifer Burmeister vom TSV Glinde überprüfen, ob die Anmeldeformulare des Vereins den neuen Bestimmungen entsprechen © HA | Janina Dietrich

Glinde/Bargteheide. Neue EU-Datenschutzgrundverordnung tritt heute in Kraft. Viele Stormarner klagen über bürokratischen Aufwand. Abmahnungen befürchtet.

Wenn sich beim TSV Glinde ein Kursleiter krank meldet, werden die Teilnehmer darüber häufig per Rundmail informiert. Ein Service, damit niemand den Weg zur Sportstätte vergeblich zurücklegt. Auch bei Neuigkeiten verschicken die Sparten des knapp 3000 Mitglieder zählenden Sportvereins gern einmal einen elektronischen Newsletter. Eine Praxis, die durch die neue Datenschutzgrundverordnung der Europäischen Union erschwert wird. Denn der Vorstand muss sich dafür ab sofort das Einverständnis der Empfänger einholen – und dieses auch dokumentieren können. Deshalb bekommen die Mitglieder zurzeit E-Mails, in denen sie aufgefordert werden, der weiteren Nutzung ihrer Daten zuzustimmen. Ein Schreiben, das in ähnlicher Form zurzeit dutzendfach in den E-Mail-Postfächern landet – verschickt von vielen verschiedenen Unternehmen und Vereinen.

Das neue, 258 Seiten umfassende Gesetzeswerk der EU enthält eine ganze Reihe strengerer Vorschriften zum Datenschutz (siehe Textende). Sie treten am heutigen Freitag in Kraft. Darauf angesprochen, stöhnt der Vorsitzende des TSV Glinde, Joachim Lehmann, auf. Seine Vorstandskollegen haben in den vergangenen Wochen einige Fortbildungen zu dem Thema besucht, unter anderem beim Kreissportverband. Trotzdem fühlt sich der Club überfordert. „Es gibt eine Flut an Informationen“, sagt Lehmann. „Es ist sehr schwierig, zu überblicken, was davon für unseren Verein wichtig ist.“ Vieles sei im Juristendeutsch verfasst – „aber keiner von uns ist Jurist“.

Viele Firmen kritisieren, dass es keinen Leitfaden gibt

Durch die neuen Datenschutzregeln habe der Vorstand deutlich mehr Arbeit. Die vielen Vorgaben umzusetzen, das sei nicht nebenbei zu schaffen. Die Glinder sind erst noch dabei, einen Handlungsleitfaden zu entwickeln. Fest steht: Der Verein ist in vielfältiger Weise betroffen – nicht nur beim Verschicken von Newslettern und Trainingsinformationen. Lehmann: „Wir erheben ständig Daten – bei der Aufnahme in den Verein, aber auch bei Kursanmeldungen und Spartenwechseln.“ Die Formulare müssten nun alle überarbeitet werden. Und für die Berichterstattung über Wettkämpfe auf der vereinseigenen Internetseite und die damit verbundene Veröffentlichung von Fotos gebe es nun ebenfalls neue Regelungen.

Aktuellstes Beispiel seien die Anmeldungen für die Ferienfreizeit des TSV Glinde. Dabei werden für einen möglichen Notfall auch medizinische Daten der Kinder abgefragt. In Zukunft müssen die Eltern über den Hintergrund dafür aufgeklärt werden und vermutlich auch noch mehr unterschreiben als bisher. „Spaß macht das alles nicht“, sagt der Vereinsvorsitzende. „Wir sind doch schon immer sensibel mit den Daten der Mitglieder umgegangen. Das ist für uns selbstverständlich.“

Firmen vermissen Leitfaden, was konkret gefordert wird

Auch zahlreiche Firmen fühlen sich alleingelassen mit dem neuen Gesetzeswerk, heißt es bei der Industrie- und Handelskammer (IHK) zu Lübeck. „Es herrscht Unsicherheit und eine allgemeine Unzufriedenheit“, sagt Joseph Scharfenberger, Leiter der IHK-Rechtsabteilung. Die Unternehmen seien überrascht über die Fülle von Regeln, die sie künftig beachten müssen. Das Problem sei, dass es keine Muster gebe, an denen sie sich orientieren könnten. „Die Firmen vermissen einen Leitfaden, was konkret von ihnen gefordert wird“, sagt der Justiziar. „Denn das ist von Branche zu Branche sehr unterschiedlich.“

Viele Betriebe befürchteten, wegen fehlender Kleinigkeiten abgemahnt zu werden. Denn die Verordnung sieht ein hohes Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes vor. „Es wäre schön, wenn jetzt nicht sofort Strafen verhängt würden, sondern den Betroffenen im Fall eines Fehlers zunächst die Möglichkeit gegeben wird, nachzubessern“, sagt Joseph Scharfenberger zum Abendblatt.

Viele Vereine brauchen einen Datenschutzbeauftragten

Auch Augenoptikermeister Andreas Luther ist über die neue Datenschutzgrundverordnung wenig erfreut. „Es ist einfach nur verrückt, was inzwischen alles von uns gefordert wird“, sagt der Bargteheider. Kleine Betriebe müssten immer mehr Bürokratie bewältigen, statt sich auf ihre Kernaufgabe zu konzentrieren. Luther: „Dabei will ich doch eigentlich nur den Menschen vernünftige Brillen verkaufen.“ Der Gesetzgeber beschließe etwas, „aber niemand weiß, wie er damit umgehen soll“, sagt er. Reiche zum Beispiel ein Aushang im Geschäft? Oder müsse jeder Kunde etwas unterschreiben? Vieles im Gesetzeswerk sei unklar formuliert. Luther: „Aber von uns wird verlangt, dass wir jedem Kunden verständlich erklären, was wir mit seinen Daten machen.“

Unklar sei auch noch, ob er als Augenoptiker als Verarbeiter von Gesundheitsdaten gelte. Dann müsse er auch noch einen Mitarbeiter zum Datenschutzbeauftragten ernennen. „Dabei verschicken wir nicht mal Mails oder Werbebriefe, sondern verarbeiten die Daten nur hausintern.“ Lediglich beim Bestellen von Brillengläsern würden sie zurzeit weitergegeben.

Nachweis- und Informationspflicht sei künftig höher

Trotz seines Unmutes ist Andreas Luther vorbereitet. Eine Mitarbeiterin seines Geschäfts Optiker Scheel hat zum Beispiel einen Ordner angelegt, in dem – den neuen Vorgaben entsprechend – genau dokumentiert wird, was mit den erhobenen Kundendaten passiert. Auch der Ring Bargteheider Kaufleute, dem Andreas Luther vorsitzt, hat bereits auf die neuen Bestimmungen reagiert. So wurde auf der Internetseite des Vereins die Mitgliederliste gelöscht, um den Datenschutz nicht zu verletzen.

Verbraucher bekommen mehr Rechte

Vom heutigen Freitag an gilt die neue Datenschutzgrundverordnung EU-weit. Sie regelt die Verarbeitung personenbezogener Daten, etwa von Firmen und Vereinen, und stärkt die Rechte der Verbraucher.

Die Bürger müssen nun zum Beispiel informiert werden, wer ihre Daten aus welchem Grund erhebt und wie lange sie gespeichert werden – und dem zustimmen. Persönliche Daten dürfen nur zweckgebunden erhoben werden und müssen danach wieder gelöscht werden.

Die Nutzer haben jederzeit das Recht, sie sofort löschen zu lassen – auch aus dem Internet. Die Verarbeiter müssen auf Anfrage offen legen, welche Daten sie bereits erhalten haben. Ein wichtiger Aspekt ist das Thema Sicherheit: Unbefugte Zugriffe und versehentliche Verluste der Daten dürfen nicht möglich sein.

Viele Sportvereine werden wegen des neuen Gesetzes einen Datenschutzbeauftragten benennen müssen. Wie für Firmen ist dies auch bei ihnen erforderlich, wenn mehr als zehn Menschen mit personenbezogenen Daten arbeiten. „Das wird fast alle Vereine betreffen“, sagt Rüdiger Höhne, Geschäftsführer der TSV Reinbek. „Denn jeder Übungsleiter, der eine Liste mit den Daten seiner Kursteilnehmer bekommt, zählt dazu.“ Die Reinbeker werden voraussichtlich einen externen Dienstleister mit der Aufgabe beauftragen. Er soll dabei helfen, aufzuzeigen, wo es wegen des veränderten Datenschutzgesetzes Probleme geben könnte. „Umsetzen und überwachen müssen wir das aber weiterhin selbst“, sagt Höhne.

Auch die TSV Reinbek sei noch mitten im Umstellungsprozess. Trotzdem sieht Höhne den Verein gut für die neuen Vorgaben aufgestellt. „Wir haben auch vorher schon auf den Datenschutz geachtet, haben zum Beispiel Daten nach einer gewissen Zeit gelöscht und Telefonnummern nicht ohne Zustimmung rausgegeben“, sagt er. Nur die Nachweis- und Informationspflicht sei künftig höher. Höhne: „Aber das Ganze hat ja einen Sinn und ist inhaltlich nicht verkehrt. Deshalb ist es auch gut, sich intensiv damit auseinanderzusetzen.“