Am Freitag hatte der ostbelgische EU-Abgeordnete Pascal Arimont (CSP-EVP) zu einem Mittagsworkshop ins Hotel Ambassador in Eupen eingeladen. Thema war die DSGVO, also die neue europäische Datenschutz-Grundverordnung. Was muss mein Unternehmen oder Verein jetzt tun?
Die rund 170 anwesenden Teilnehmer des Workshops richteten viele konkrete Fragen an Datenschutzexperten der Europäischen Kommission, der IT-Branche sowie die anwesenden Rechtsanwälte.
Die neue Verordnung gilt seit dem 25. Mai und stellt neue Vorschriften für die Verarbeitung personenbezogener Daten auf – nicht nur für Datenkraken wie Amazon oder Google, sondern auch für Unternehmen und Vereine.
In seiner Begrüßung erläuterte Gastgeber Pascal Arimont die Hintergründe für die neue Verordnung. Dabei ging er auf verschiedene Skandale wie den um Cambridge Analytica ein, die klar gemacht hätten, wie dringend die Daten der User vor großen Tech-Konzerne wie Facebook, Google, oder Amazon geschützt werden müssten.
Die DSGVO biete besseren Schutz vor Missbrauch und passe die Gesetzgebung an die Gegebenheiten des Internetzeitalters an – die letzte Richtlinie stamme aus dem Jahr 1995, so Arimont. Viele Vereine und kleinere Unternehmen seien im Vorfeld aber unsicher geworden, welche Schritte zur Umsetzung der DSGVO genau zu treffen seien, da seitens der Mitgliedstaaten bislang wenig praktische Hilfeleistungen angeboten würden.
„Erschwerend kommt hinzu, dass es – trotz meiner Nachfragen beim für Datenschutz zuständigen Staatssekretär und der Datenschutzkommission – in Belgien nahezu keine Informationen in deutscher Sprache gibt. All das macht die Umsetzung im Alltag hier vor Ort nicht leicht und führt zu Unsicherheit“, so Arimont.
Impulsreferat von Expertin
Die Expertin der EU-Kommission, Anne Schilmöller (Generaldirektion Justiz und Verbraucher), führte in einem Impulsreferat die Vorteile der neuen Verordnung nochmals genauer auf.
Erstmals gebe es in Europa ein einheitliches Gesetz, das Rechtssicherheit für den grenzüberschreitenden Umgang mit Daten schaffe, betonte sie. Besser geschützt würden alle Daten, die Personen identifizierbar machten. Die Bedingungen für deren Verarbeitung seien eine rechtmäßige Grundlage – also eine bewusste Einwilligung, ein Vertrag oder ein Gesetz, das die Verarbeitung verlangt –, eine klare Kenntlichmachung des Zwecks sowie das Recht auf Widerspruch. Ausnahmen seien insbesondere dort vorgesehen, wo Daten in sehr geringem Umfang verarbeitet würden. Besonderer Schutz gelte für sensible Daten – etwa bezüglich der Gesundheit, der sexuellen Orientierung oder der Hautfarbe.
Anhand konkreter Beispiele ging Schilmöller auf die Anforderungen für Unternehmen ein. Diese verfügten für die Verarbeitung der Daten ihrer Angestellten oftmals schon über eine rechtmäßige Grundlage, etwa für die Lohnauszahlung oder zur Anwendung des Arbeitsvertrags. Eine besondere Einwilligung sei in diesem Fall nicht notwendig. Wichtig bleibe jedoch, dass die entsprechenden personenbezogenen Daten sicher verwahrt werden, damit diese nicht in die Hände Dritter gelangen.
In Bezug auf das Versenden eines Newsletters bestehe hingegen die Pflicht der Einwilligung. Diese dürfe nicht passiv erfolgen, sondern wissentlich. Eine Einwilligung müsse aufgrund der DSGVO nicht erneut erfragt werden, wenn diese bereits vor dem Inkrafttreten vorlag. Diesbezüglich bestehe jedoch eine Dokumentationspflicht, so dass man nachweisen können müsse, dass eine Einwilligung erfolgt sei. Auch müssten Datenbanken generell sehr ordentlich geführt werden. Der Aufforderung von Betroffenen, eine Anpassung vorzunehmen, müsse unverzüglich entsprochen werden können.
Elementar sei es, die betroffenen Personen in einer einfachen Sprache darüber zu informieren, zu welchem Zweck die Daten verarbeitet würden. Ein Datenschutzbeauftragter sei für Unternehmen oder Vereine nicht notwendig, sofern die Datenverarbeitung nicht die Hauptaktivität der Organisation darstellt, bzw. es sich bei den Daten um keine besonders sensiblen Daten – wie etwa Angaben zur gesundheitlichen Verfassung – handelt.
Schwieriger gestaltete sich die Diskussion beim Umgang mit Videos und Fotos. Hier müsse theoretisch jede Person eine Einwilligung erteilen, die auf einem Foto identifizierbar sei, das nicht zu privaten Zwecken veröffentlicht werde. Für die Presse gelte diese Vorgabe nicht in gleichem Maße, da die Informationsfreiheit ebenfalls geschützt bleiben müsse.
Missbrauch von Daten in sozialen Netzwerken
Die Anwälte Rainer Palm und David Hannen (Kanzlei Zians & Haas) erklärten, dass die DSGVO vor allem vor dem Missbrauch von Daten in sozialen Netzwerken schützen müsse. Tech-Giganten wie Google und Facebook könnten über die Gesichtserkennung bei Fotos klare Muster im Verhalten der User erkennen, was wiederum eine Nutzung für gewerbliche Zwecke ermögliche.
Jedoch betonten sie im Allgemeinen die Maxime des „gesunden Menschenverstands“. Es gehe nicht darum, einem Verein zu verbieten, die Fotos seiner Veranstaltung auf eine Internetseite hochzuladen. Daher seien in diesem Bereich weitere Konkretisierungen in der Gesetzgebung gefragt.
In Bezug auf den Datenschutz bei Unternehmens- und Vereinswebseiten erklärte der Web-Entwickler David Mattar (CLOTH. kreativbureau) die wichtigsten Grundlagen. Die Art der Daten, die durch eine Website gesammelt würden, und der Zweck der Sammlung müssten in den Datenschutzbestimmungen der Seite transparent und klar verständlich aufgeführt werden. Für gewisse Dienste wie Cookies stoße man an die technischen Grenzen, da theoretisch für jeden einzelnen Dienst eine Einwilligung erfragt werden müsse.
Was die Dauer der Aufbewahrung von Daten angehe, gebe es verschiedene Grundlagen, erklärte der Rechtsanwalt Rainer Palm. Für eine VoG sei die Auflistung der Mitglieder eine Grundvoraussetzung, was auch ein Gesetz vorsehe. Hier bestehe also eine rechtliche Vereinbarung zwischen Verein und Mitglied. Für Unternehmen gebe es ebenfalls „berechtigte Interessen“, Daten zu verarbeiten, wie etwa die, Kunden informiert zu halten. Diese berechtigten Interessen sollten allerdings von der Kommission genauer definiert werden, um Grauzonen zu vermeiden.
„Kein Grund zur Panik“, brachte Pascal Arimont die Erkenntnisse des Workshops auf den Punkt. Zwar gebe es einige Neuerungen zu beachten, allerdings müssten die zuständigen Datenschutzbehörden vor allem das Verhalten der großen Unternehmen im Umgang mit schützenswerten Daten unter die Lupe nehmen.