Seite auswählen
Noch keine Bewertungen 3 Min. Lesezeit

Am 25. Mai 2018 tritt die DSGVO endgültig in Kraft – und in den vergangenen Wochen hatte man wohl keine Möglichkeit, dies nicht zur Kenntnis zu nehmen. In Artikeln, Sendungen und Blogbeiträgen wurde sie thematisiert, kritisiert, aufgebauscht und zurechtgerückt, es gab viel Informatives und manches Gerücht: Der Untergang der Bloggerszene wurde ebenso heraufbeschworen wie die zukünftige Unmöglichkeit der Veranstaltungsfotografie. Braucht man jetzt wirklich für alles eine Einverständniserklärung? Muss jeder Newsletter nochmals bestätigt werden? Muss man sofort mit Millionenforderungen von Datenschutzstellen und Abmahnkanzleien rechnen? Braucht jeder Verein oder jede Vier-Personen-Truppe jetzt eine*n eigene*n Datenschutzbeauftragte*n?

Zum Glück ist vieles gar nicht so wild wie es inszeniert wurde, ein paar Gedanken sind aber durchaus notwendig und sinnvoll. Der große Gewinn der DSGVO ist eine europaweit einheitliche Regelung von Datenschutzvorgaben – das hat es vorher nicht gegeben, was gerade bei grenzüberschreitenden Aktivitäten teilweise problematisch sein konnte. Viele Inhalte der DSGVO waren auch schon im deutschen Datenschutzrecht vorgesehen – und wurden nicht immer beachtet. Gerade für kleine und mittlere Unternehmen sowie Vereine ist die Einführung der DSGVO von daher eine gute Gelegenheit, sich einmal Gedanken zu machen, welche personenbezogenen Daten für den eigenen Betrieb eigentlich erhoben, gespeichert, verarbeitet und unter Umständen weitergegeben werden – Adressdaten für den Newsletter, Daten von Ansprechpartner*innen mit Notizen zum Kommunikationsverlauf, digitale Fotos von Veranstaltungen und Premierenfeiern und und und…

Ein paar Grundprinzipien helfen bei der Orientierung, die meisten davon dürften eigentlich selbstverständlich sein:

Prinzip der Datensparsamkeit und der Zweckbindung: Sind alle Daten, die erhoben werden für den jeweiligen Zweck wirklich nötig? Für Veranstaltungsbuchungen brauche ich z.B. von den Besucher*innen Kontaktdaten , um die Karten zusenden zu können oder eine Emailadresse, um eine Bestätigung zu verschicken. In der Regel braucht man hierfür aber kein Geburtsdatum und nach erfolgreicher Aufführung gibt es auch keinen Grund mehr, diese Daten zu speichern. Möchte man weiter Kontakt mit den Besucher*innen halten, dann muss das auch bisher schon explizit zugesagt werden.

Prinzip der Nachvollziehbarkeit: Auf vielen Rechnern von Vereinen und Kleinen und Mittleren Unternehmen schlummern vermutlich eine Menge an Daten über vergangene Veranstaltungen oder Adressen für das Versenden von Newslettern und Werbematerial. Nicht immer ist nachvollziehbar, wie man an diese Daten gekommen ist und ob es eine Zustimmung dazu gegeben hat. Hier ist es eine gute Gelegenheit, zukünftig das Zustandekommen personenbezogener Daten, speziell von Zustimmungen zu dokumentieren und vielleicht die eigene Datenhalde aufzuräumen.

Prinzip der Datentransparenz und des Vergessens: Mit der DSGVO hat jede Person das Recht zu erfahren, welche Daten von ihr gespeichert sind und wie damit verfahren wird. Und ebenso das Recht, dass diese Daten korrigiert oder evtl. gelöscht werden. Von daher sollte man sich überlegen, wie eine solche Auskunft bzw. Löschung organisiert werden kann.

Prinzip der Datensicherheit: Dass personenbezogene Daten nur auf Rechnern und Medien gespeichert werden, die mit Kennwort und Verschlüsselung geschützt sind, dass der Zugang zu den Daten geregelt und dass der Schutz der Daten durch regelmäßige Aktualisierungen, Virenscanner und Backups gesichert ist, das sollte eigentlich selbstverständlich sein…

Vieles haben Andere aber schon umfänglicher, anschaulicher und fundiert zusammengetragen und daher darf ich auf diese Auswahl zum Einstieg verweisen:

> Handreichungen für kleine Unternehmen und Vereine vom Bayerischen Landesamt für Datenaufsicht: https://www.lda.bayern.de/de/kleine-unternehmen.html

> Auch vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit kommt eine Reihe von Handreichungen: https://www.datenschutz-hamburg.de/datenschutzrecht-rechtstexteinfos/das-neue-datenschutzrecht/infos-zur-dsgvo.html

> Aus unserer Fördergemeinschaft mittelstand-digital gibt es eine Handreichung zu IT-Sicherheit und Recht: https://www.bmwi.de/Redaktion/DE/Publikationen/Mittelstand/mittelstand-digital-it-sicherheit-und-recht.pdf?__blob=publicationFile&v=4

> Eine gute Zusammenfassung von Datenschutzgrundsätzen bei Datenschutz.org: https://www.datenschutz.org/datenschutzgrundsaetze/

> Zum Schluss noch ein guter Kommentar zur Frage der Abmahnungen: https://www.drweb.de/seitenbetreiber-bleib-ruhig-abmahnungen-dsgvo-risiko-check/

Soweit in aller Kürze, in den folgenden Wochen werden wir peu a peu weitere Aspekte thematisieren, auf Handreichungen hinweisen und den weiteren Diskurs mitverfolgen. Bei konkreten Fragen gerne einen Thread über unser Quesion&Answer beginnen!

Bewertung abgeben