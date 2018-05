Am heutigen Freitag, 25. Mai, tritt Europas neue Schutzregel für personenbezogene Informationen in Kraft. Mittelständler und Vereine stehen vor großen Problemen: Wer die Regeln nicht einhält, riskiert hohe Strafen. Dirk Frädrich (Leitung IT) erklärt zudem, was Leser des SÜDKURIER jetzt wissen müssen.

Sie sollte eine Revolution im Internet sein: Ab heute, den 25. Mai, wird die Datenschutz-Grundverordnung (DSGVO) der EU umgesetzt. Eigentlich ist das Ziel der neuen Regelung recht nobel: Internetriesen wie Facebook, Google und Co. soll ein Riegel im flegelhaften Umgang mit unseren Daten gesetzt werden. Die Umsetzung der DSGVO ist für große IT-Unternehmen zwar ärgerlich (immerhin dürfen sie mit den Daten ihrer Nutzer nicht mehr so sorglos umgehen wie bisher), aber machbar.

Richtig bitter trifft es andere: Vereine, Kirchen, Handwerker, kleinere Unternehmen und Blogger. Jeder Einzelne ist auf besondere Weise betroffen. Das Regelwerk verfolgt strikt den Grundsatz: Meine Daten gehören mir. Jedes Foto auf einer Webseite, jedes Mitgliedsformular, jede Krankenakte beinhaltet personenbezogene Informationen, die ab heute unter einem strengen Schutz stehen. Und das ist die zweite Seite der Datenschutz-Medaille.

Datenschutz-Verordnung Nach jahrelangen Verhandlungen treten heute die neuen EU-Datenschutz-Regeln in Kraft, die sogenannte Datenschutz-Grundverordnung (DSGVO). Im Kern soll die Verarbeitung personenbezogener Daten geregelt werden. Ursprüngliches Ziel war, Internetkonzerne und deren Umgang mit Daten einzudämmen. Betroffen sind aber alle Unternehmen jeder Größe und auch Vereine. Zu den sensiblen Daten gehören etwa Namen, Adressen, E-Mail-Adressen oder Ausweisnummern. Die Regeln gelten sowohl für digital gespeicherte Daten als auch für auf Papier festgehaltene Informationen zu Personen. Zudem müssen sich auch Unternehmen daranhalten, die nicht in der EU sitzen, aber ihre Dienste hier anbieten. Außerdem soll die Hoheit über Daten bei Verbrauchern liegen. (dpa)

Unter dieser zweiten Seite leiden zum Beispiel Lorenzo Patone und seine Turngemeinde Stockach. Sein Verein ist aktuell vollauf damit beschäftigt die Vereinsseite und Mitgliedsanträge an die EU-Bestimmungen anzupassen. Der Vereins-Vorsitzende Patone kritisiert: „Datenschutz ist wichtig und betrifft alle gleich, aber große Konzerne haben vermutlich schon einen Datenschutzbeauftragten.“ Kleinere Vereine haben oft keinen Datenschutzbeauftragten. Für die Turngemeinde sei noch unklar, ob sie einen benötigen: Eigentlich sei nur die Kassiererin ständig mit personenbezogenen Daten befasst. „Da sind wir gerade noch dabei, das abzuklären“, sagt Patone.Auch der Kreishandwerksmeister Hansjörg Blender (Landkreis Konstanz) findet keine guten Worte für die DSGVO. „Wenn die EU-Justizkommissarin Vera Jourova und das EU-Parlament stolz auf dieses Bürokratiemonster sind, dann haben sie die weite Auswirkung, gerade für den Mittelstand, die Vereine komplett unterschätzt“, schreibt Blender in einer Erklärung. Er fordert sogar die Aussetzung des Vollzugs der DSGVO für Vereine und kleinere Betriebe.

Diesen Vorschlag würde der Stockacher Vereins-Vorsitzende unterstützen. Doch das wird wohl nicht passieren. Deshalb sagt Patone: „Wir haben versucht, das Wichtigste umzusetzen.“ Dabei hätten sie sich besonders mit der Webseite und Datenerfassung befasst. „Wir haben uns einen Fachmann geholt, den wir bezahlen müssen“, sagt er. Ein Webdesigner habe geholfen, ein Sicherheitszertifikat einzurichten, Online-Kontaktformulare zu überarbeiten oder die IP-Adressen von Webseitenbesuchern zu anonymisieren. Nach einer Vorlage des Badischen Sportbundes hätten sie außerdem den Mitgliedsantrag überarbeitet und darin erklärt, welche Daten sie erheben. Dabei könne man nun auch extra ankreuzen, wenn etwa bei einem Wettkampf Bilder gemacht und diese veröffentlicht werden dürfen. Was jetzt noch auf der Aufgabenliste stehe, sei die Dokumentation. Klar wird: Die korrekte Umsetzung der Vorschriften kostet Vereine, Handwerksbetriebe und private Nutzer zahlreiche Nerven und eine Menge Geld.

Das Recht auf Vergessen Persönliche Daten können künftig gelöscht werden. Dieses „Recht auf Vergessen“ gehört zu den Kernpunkten des neuen europäischen Datenschutz-Paketes. Doch wie geht das? Zunächst sollte der Nutzer sich einen Überblick über die gespeicherten Informationen verschaffen. Dies ist durch einen formlosen Antrag an ein Unternehmen möglich. Unter genau festgelegten Bedingungen kann der Verbraucher dann die vollständige Löschung oder Sperrung seiner Informationen bei dem Unternehmen verlangen. Dazu müssen die Anbieter eine Anlaufstelle schaffen, die auch im Internet genannt wird. Der Nutzer kann diesen Antrag aber auch über den für ihn zuständigen Datenschutzbeauftragten seines Bundeslandes einreichen. (dr)

Abmahnwellen können drohen

Viel Zeit hat auch das Schwarzwald-Baar-Klinikum in Villingen-Schwenningen in das Thema Datenschutz investiert. „Es ist eine große Herausforderung, alles den Vorgaben entsprechend anzupassen“, sagt Sandra Adams, Pressesprecherin des Krankenhauses. „2017 haben wir 50 000 Patienten stationär behandelt, weitere 160 000 Patienten kommen noch ambulant dazu. Da fallen zwangsläufig viele sensible Daten an“, sagt Adams.

Jeder Patient, den die Klinik aufnimmt, gibt seinen Namen, Anschrift, Geburtsdatum, Versichertenstatus und Daten zur Erkrankung an. Personenbezogenere Daten gibt es kaum. Wie geht das Krankenhaus damit um? Für die Klinik bedeute das eine Menge Papierkram, so Adams. Es ändert sich vor allem die Informationspflicht gegenüber den Patienten. „Wir erklären den Patienten genau, welche Daten wir, zu welchem Zweck erheben. Auch Daten, die wir weiterleiten – zum Beispiel an den Hausarzt“, erläutert die Sprecherin. Für diesen Zweck musste die Klinik viele Formulare überarbeiten. Seit Juli 2017 arbeitet ein achtköpfiges Team an der Umsetzung. „Dafür haben wir einen externen Berater hinzugezogen, da die Anforderungen sehr umfangreich und komplex sind“, sagt Adams.

Das Schwarzwald-Baar-Klinikum ist damit gut beraten. Denn eine Gefahr dort: Ist die DSGVO nicht ordentlich umgesetzt, können hohe Strafen drohen. Bei Verstößen gegen die neuen EU-Regeln drohen Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Außerdem befürchten einige Rechtsexperten, dass findige Kanzleien sich auf die Suche nach Verstößen machen, Rechtsunsicherheiten ausnutzen und Abmahnungen schicken. Die zweite Seite der Datenschutz-Medaille kann dann richtig schmerzhaft werden.

