Die ersten sechs Monate…
Es ist nun schon wieder sechs Monate her seit der 25.05.2018 ins Land ging. Ein Datum an welches sich insbesondere Vorständer kleinerer Vereine sicher gut erinnern können. Viele Tage und Nächte wurden zugebracht, um den eigenen Verein für die neue Datenschutzgrundverordnung, kurz DSGVO, fit zu machen. Als Vorstand eines kleinen Vereins und derjenige, welcher die Hauptverantwortung für die Umsetzung der DSGVO im Verein trägt, möchte ich an dieser Stelle ein erstes Resümee ziehen. Was hat sich eigentlich verändert und war dieser 25.05.2018 wirklich so schicksalsträchtig wie es in den vielen Meldungen der Medien verbreitet wurde, welche Abmahnwellen in nie dagewesenen Größenordnungen herbeischrieben?
Zu Beginn möchte ich einmal herausstellen, was die DSGVO eigentlich darstellt und welche Bedeutung diese Verordnung hat. In meinen Augen handelt es sich bei diesem Werk um eine Art Pionierarbeit der Europäischen Union. Es wurde hier geschafft eine Verordnung zu schaffen, welche allen Mitgliedsländern der Europäischen Union einheitliche Standards im Datenschutz darlegt. Gerade wenn man bedenkt, dass es sich hierbei um eine Verordnung handelt, welche direkt umzusetzen und nicht erst in nationale Gesetze zu gießen ist, wird deutlich, dass wir tatsächlich einen Qualitätsstandard für ganz Europa geschaffen haben. Sicher ist die DSGVO noch nicht perfekt, jedoch ist sie ein großer Schritt nach vorn. Wir müssen uns stets vor Augen halten, dass die DSGVO nicht Daten, sondern den Menschen schützen soll. Auch wenn in einigen Bereichen wie dem „Scoring“ und dem „Profiling“ sicher noch Lücken zu erkennen sind und es da weiteres Entwicklungspotenzial gibt, so stellt die DSGVO den Schutz der Daten des Bürgers und somit den Bürger selbst in den Mittelpunkt der Betrachtung.
Wir als kleine, mittlere und größere Vereine müssen uns genauso an diese Verordnung halten, wie es auch die Firmen tun müssen. Immer wieder liest man im Internet, dass die DSGVO nicht für Unternehmen wie Google, Facebook oder Amazon gelte. Ich kann jedoch absolut nicht nachvollziehen, wie es dazu kommen kann das derartige Gerüchte sich so vehement halten können. Ist es doch ganz klar, dass ein jedes Unternehmen welches einem Europäer ein Produkt oder eine Dienstleistung anbietet, sich auch an europäisches Recht halten muss. Spätestens wenn Google das System „Android“ in deutscher Sprache zur Verfügung stellt, sind die Dienstleistung und das Produkt klar an einen Europäer gerichtet und somit gilt auch europäisches Recht.
Die DSGVO wurde unter dem Grundsatz des Datensammelverbotes unter Erlaubnisvorbehalt geschrieben. Das bedeutet, dass das Sammeln von Daten grundsätzlich verboten ist, es sei denn es gibt eine Legitimation dafür. Diese kann sich zum einen und auch eindeutigsten Fall in der schriftlichen oder mündlichen Bestätigung des Vereinsmitgliedes, des Kunden, des Bürger… wiederfinden. Diese Einwilligung besteht aber auch in Fällen, wo gewisse Daten für die Erfüllung eines Vertragsverhältnisses erforderlich sind. Bleiben wir hier im Verein, da dieser die Leser dieser Zeilen vermutlich am meisten betrifft und am greifbarsten ist. Wenn ein Mitglied in einen Verein eintritt, so kann der Verein gemäß der DSGVO Daten erheben, für welche er keine explizite Zustimmung des Mitgliedes benötigt, um diese zu verarbeiten. Ein Verein ist gesetzlich dazu verpflichtet eine Jahreshauptversammlung abzuhalten und ebenfalls gesetzlich verpflichtet ist dieser Verein dazu alle Mitglieder einzuladen. Zur Erfüllung des „Vertragsverhältnisses Vereinsmitgliedschaft“ ist also dringend eine Adresse erforderlich. Sollte in der Satzung festgeschrieben sein, dass die Einladung via E-Mail erfolgt, so ist die Speicherung und Verarbeitung der E-Mail-Adresse nötig. Natürlich braucht man auch den Vor- und Zunamen des Mitgliedes um es ansprechen zu können und um Beiträge einzufordern braucht es ggf. weitere Daten, um das Mitglied in die korrekte Beitragskategorie einzuteilen. Für all diese Fälle sieht die DSGVO vor, dass keine gesonderte Zustimmung zu erfolgen hat.
Gesonderte Zustimmung hingegen ist erforderlich, wenn man die Daten des Mitgliedes außerhalb dieser typischen und unabdingbaren Vereinsarbeit nutzen möchte. Möchte ich beispielsweise ein Mitglied, welches sich besonders um eine bestimmte Tätigkeit im Verein bemüht mit Bild und Kontaktdaten auf der Homepage veröffentlichen, so benötige ich für diese Zwecke die Zustimmung des Mitgliedes. Aber sind wir doch mal ehrlich: Wenn ich derartiges mit einem Mitglied vorhabe, dann suche ich so oder so das Gespräch mit diesem und dann bespreche ich doch – DSGVO hin oder her – mit dem Mitglied, was für Veröffentlichungen geplant sind. In den meisten Fällen wir die Einverständniserklärung dahingehend nur eine Formsache sein. Trotzdem ist es sinnvoll, dass diese eingeholt wird, denn so kann ohne das Wissen einer Person nicht einfach willkürlich mit den Daten verfahren werden.
Wir als Vereine haben keine großartigen Änderungen gegenüber dem alten Gesetz erfahren. Wir müssen lediglich besser und genauer dokumentieren, was mit den Daten der Mitglieder passiert und wir müssen umfassender und transparenter Auskunft erteilen, wenn dies ein Mitglied wünscht. Vor dem Hintergrund dass diese Bestimmungen aber auch für Unternehmen gelten und der Schutz des Bürgers somit in den Fokus geraten ist, sehe ich diese Arbeit jedoch als einen absolut vertretbaren Preis für unsere neu gewonnene Selbstbestimmung an.
Auch wenn ich die Medienberichterstattung die damit entwickelte Hysterie bzgl. Abmahn- und Bußgeldwellen, welche das Land seit dem 25.05.2018 überrollen sollten sehr kritisch sehe, was nicht nur daher rührt, dass diese Wellen ausgeblieben sind, so hatten sie doch ein Gutes. Durch die durch die geschürte Angst, wurde das Thema Datenschutz in den Fokus gerückt und viele Unternehmen, Vereine und Verbände haben lange vernachlässigte datenschutzrechtliche Umsetzungen ins Rollen gebracht.
Im Fazit bleibt zu sagen, dass die DSGVO keinesfalls so schlimm war, wie sie angekündigt wurde und dass auch der Arbeitsaufwand – wenn wir alle einmal ehrlich sind – nur deshalb so hoch war, weil wir Versäumnisse der letzten Jahre aufholen mussten, da der Zustand des Datenschutzes in unseren Vereinen und Verbänden auch unter dem zuvor geltenden Bundesdatenschutzgesetz nicht auf dem besten Stand war.