Archiv

DSGVO
Was Vereine und kleine Firmen beachten müssen

Ab 25. Mai gilt in der gesamten EU die neue Datenschutzgrundverordnung. Sie soll Verbraucher unter anderem vor der Datensammelei großer Internetkonzerne schützen, gilt aber auch etwa für Freiberufler, Handwerker und Vereine. Was müssen sie beachten?

Von Stefan Römermann |
    22.05.2018, Baden-Württemberg, Stuttgart: Aktenordner mit Mitgliedsanträgen des Sportvereins TUS Stuttgart stehen auf einem Tisch, während im Hintergrund ein Mann an einem Computer arbeitet. Am 25. Mai tritt die neue EU-Datenschutzregel in Kraft. Vereine und Unternehmen klagen über einen großen Aufwand. Datenschützer loben den besseren Schutz von personenbezogenen Daten der Bürger. (zu dpa "Neue Datenschutzregeln treiben Vereine und Unternehmen um" vom 23.05.2018) Foto: Sebastian Gollnow/dpa | Verwendung weltweit
    Ab Freitag ist die DSGVO vollständig in Kraft. Welche Daten darf zum Beispiel ein Sportverein künftig von seinen Mitgliedern erheben? (picture alliance / dpa / Sebastian Gollnow)
    Viele Verbraucher sind vermutlich längst genervt: Seit Wochen verschicken Unternehmen und Vereine massenhaft Mails zu neuen Datenschutzbestimmungen – und bitten meist mehr oder weniger höflich um die Zustimmung zur Verarbeitung der persönlichen Daten. Hintergrund ist die neue Europäische Datenschutzgrundverordnung, die am Freitag komplett inkraft tritt. Die Regeln betreffen aber nicht nur große Konzerne – sondern auch Freiberufler, Handwerker und Vereine.
    Worauf müssen Vereine, Selbstständige und kleine Unternehmen künftig besonders achten?
    Die wichtigste Grundregel beim Datenschutz gilt auch weiterhin: Das Gebot der "Datensparsamkeit". Ich sollte also möglichst nur solche Daten speichern, die ich für die Abwicklung von Aufträgen oder für das Vereinsleben tatsächlich brauche. Name und Anschrift von Kunden oder Vereinsmitgliedern gehören ganz sicher dazu. Bei anderen Daten, zum Beispiel zu Interessen oder auch Geburtsdaten muss genauer hingeschaut werden. Hier müssen die Betroffenen dann der Datenverarbeitung in der Regel explizit zustimmen.
    Wer eine Webseite betreibt, sollte jetzt auf jeden Fall die Datenschutz-Erklärung auf der Seite überprüfen und ggf. ergänzen. Häufig speichert auch die Server-Software der Webseite im Hintergrund Daten über die Besucher. Das kann auch problematisch sein. Hier sollte man genau schauen, welche Daten in den so genannten Log-Dateien protokolliert werden.
    Wichtig ist vor allem, das die Betroffenen jeweils die Zustimmung zu bestimmten Arten von Nutzungen gegeben haben. Die Adressdaten von Preisausschreiben und Gewinnspielen einfach für Werbezwecke zu benutzen, war früher schon problematisch – künftig kann es richtig teuer werden. Die Erlaubnis, die Daten für Werbung zu benutzen, muss deshalb, wenn überhaupt, extra auf bei der Teilnahme abgefragt werden – und darf nicht Bedingung für die Teilnahme sein.
    Heikel ist auch in jedem Fall die Übermittlung von persönlichen Daten an Dritte, beispielsweise an einen Dachverband (z.B. Landes- oder Bundesverband) des Vereins, an Partnerunternehmen oder auch an die Medien. So müssen Sportvereine unter Umständen aufpassen, wenn sie die Namen der Mannschaftsmitglieder an die Lokalzeitung weitergeben.
    Größere Vereine oder Handwerksbetriebe müssen außerdem ggf. einen Datenschutz-Beauftragen einsetzen. Das gilt immer dann, wenn dauerhaft mehr als neun Personen mit Verarbeitung von personenbezogenen Daten beschäftigt sind.
    Ausführliche Informationen geben die Datenschutzbehörden der Bundesländer, die Handwerkskammern und die Dachverbände vieler Vereine.
    Was passiert, wenn Vereinsmitglieder oder Kunden die vorformulierte Einverständniserklärung nicht unterschreiben?
    Das kommt darauf an, ob es sich bei den betreffenden Daten um wirklich für den Vereinszweck oder die Auftragserfüllung nötige Daten handelt, oder nicht. Für die Verarbeitung von Daten, die tatsächlich absolut nötig sind, darf man den Betroffenen sicherlich noch einmal darüber informieren, dass man diese Daten benötigt, um den Auftrag oder Ähnliches zu erfüllen.
    Etwas anderes gilt, wenn es um Daten geht, bei denen die Verarbeitung nicht unbedingt nötig ist. Beispiele wären der Austausch von Adressdaten mit Partnerunternehmen. Hier muss der Verein oder das Unternehmen diese Entscheidung des Betroffenen dann aber auch akzeptieren, und darf nicht Mitgliedschaft oder die Erfüllung des Auftrags von solchen Einwilligungen abhängig machen.
    Welche Konsequenzen haben Verstöße gegen die neuen Vorschriften?
    Die Bußgelder, die nach der Datenschutz-Grundverordnung verhängt werden dürfen, sind durchaus empfindlich: Je nach Unternehmensgröße können dabei Millionenbeträge fällig werden, insgesamt bis zu vier Prozent des weltweiten Jahresumsatzes des Gesamtkonzerns. Scharfe Waffen, die sich aber vor allem gegen große Konzerne richten. Bisher waren die Strafen für Verstöße gegen Datenschutzvorschriften nämlich deutlich niedriger und konnten von den Unternehmen praktisch aus der Portokasse bezahlt werden.
    Kleine Vereine und Handwerksbetriebe sollten sich von diesen Summen allerdings nicht verrückt machen lassen. Denn wenn sie nicht gerade massiv und vorsätzlich gegen die Vorschriften verstoßen, werden die Datenschutzbehörden wohl, wenn überhaupt, nur deutlich geringere Bußgelder verhängen.
    Für Unternehmen und Selbstständige könnten Verstöße allerdings trotzdem teuer werden. Denn selbst wenn die Datenschutzbehörden ein Auge zudrücken, können unter Umständen noch Konkurrenz-Unternehmen oder andere "Marktteilnehmer" Abmahnungen schicken und die Abgabe einer Unterlassungserklärung verlangen. Die Anwaltskosten dafür lassen sie sich dann in der Regel vom abgemahnten Unternehmen erstatten. Dabei kommen dann schnell mehre hundert oder gar tausende Euro zusammen. Wer eine solche Abmahnung bekommt, sollte allerdings auf keinen Fall vorschnell bezahlen und die mitgeschickte Unterlassungserklärung unterschreiben, sondern Hilfe bei einem Anwalt suchen. Denn nicht alle Abmahnungen sind rechtmäßig und die geforderten Beträge häufig extrem hoch angesetzt.