Gräßle: Es ändert sich nicht viel
Die CDU-Europaabgeordnete verteidigt die neue Europäische Datenschutzgrundverordnung
AALEN – Mit der Einführung der Europäischen Datenschutz-Grundverordnung (DSGVO) ändert sich für Deutschland nicht viel, weil die Standards schon bisher hoch waren. Daher überraschen sie die Reaktionen und die Kritik, die auch auf der Ostalb laut geworden sind, sagt die CDUEuropaabgeordnete Ingeborg Gräßle im Gespräch mit Viktor Turad. Zudem seien viele falsche Informationen im Umlauf, Ängste würden geschürt. Nötig geworden sei die Neuregelung, weil es im digitalen Binnenmarkt einheitlicher Regelungen bedürfe statt des bisherigen „Flickenteppichs“.
Neulich war im Neresheimer Gemeinderat im Zusammenhang mit der DSGVO die Rede von einem Bürokratiemonster. Im Gremium hieß es sogar, da tue sich die EU keinen Gefallen. Daher salopp gefragt: Was hat uns das EU-Parlament denn da wieder aufgedrückt?
Ich verstehe die Neresheimer Gemeinderäte und andere, weil Neuerungen zuerst einmal Fragen aufwerfen. Und die Verordnung ist unerhört neu: erstmals gibt es einen einheitlichen Datenschutz für alle 28 EU-Mitglieder und die Bürgerinnen und Bürger. Überall gibt es den gleichen Schutz. Deshalb sind wir eigentlich stolz, dass dieses erstmals gelungen ist. Zumal wir Deutsche gedacht haben, dass sich für uns wenig ändert, weil die deutsche Datenschutzverordnung eingearbeitet wurde. Wir haben aber auch gesehen, dass die deutschen Bestimmungen bislang nicht ausreichend bekannt waren und angewendet wurden. Im Übrigen wurde die Reform des europäischen Datenschutzes bereits am 27. April 2016 beschlossen. Kurz vor ihrem Inkrafttreten am 25. Mai 2018, also bei einem Vorlauf von über zwei Jahren, ist eine allgemeine Panik aufgekommen. Ich muss sagen: Zum einen sind von vielen verschiedenen Stellen falsche Informationen im Umlauf, zum anderen haben wir hier wieder einmal dazugelernt. Wir hätten viel früher mit der Kommunikation anfangen müssen. Das ändert jedoch nichts daran, dass nun vieles übertrieben wird.
Deutschland hat schon hohe Standards im Datenschutz. Warum braucht es nun diese Datenschutzgrundverordnung überhaupt und was ist das Ziel?
Deutschland war schon immer Vorreiter im Datenschutz. Das europäische Datenschutzrecht aber war bisher ein Flickenteppich mit 28 Verordnungen. Jetzt gibt es eine einzige. Sie schafft den Rechtsrahmen für den freien Verkehr personenbezogener Daten und der ist wichtig und unabdingbar für die Vollendung des digitalen Binnenmarktes und für gleiche Wettbewerbsbedingungen und gleichen Schutz der Bürger in der EU. Daten sind das Kapital im 21. Jahrhundert. Es war wirklich höchste Zeit für einheitliche Standards.
Konkret geklagt wird, dass die Verordnung mehr Bürokratie verursache. So müssten alle Formulare aufwendig überprüft werden. Sollten sie geändert werden, müssten überall neue Einwilligungen eingeholt werden.
Bei vielen Vereinen und Firmen hat der Datenschutz bisher offenbar keine so große Rolle gespielt. Der Nachholbedarf ist auch mit Bürokratie verbunden, das stimmt. Ich vergleiche das mit einem Hausputz: Das muss man einmal machen und dann ist man durch. Mit der Verordnung wollen wir auch dafür sensibilisieren, dass man mit den Daten das Eigentum anderer verarbeitet und dass man damit entsprechend verantwortungsvoll umgehen muss. Daher dürfen personenbezogene Daten nur mit der Einwilligung des Betroffenen weiter verarbeitet werden. Diese Erklärung muss eindeutig sein und neben dem Hinweis auf den Verarbeitungszweck auch die Rechte des Betroffenen auf Löschung, Auskunft und Widerspruch aufführen. Sportund Musikvereine, die sich an Kinder und Jugendliche unter 16 Jahren richten, dürfen deren Mailadressen zur Versendung von Informationen nur nach Einwilligung durch die Eltern verwenden. Wir sehen überall, dass die Menschen heute in diesen Dingen viel sensibler sind als früher. Dem trägt die Verordnung halt auch Rechnung.
Eine weitere Klage: Für jedes Verwaltungsverfahren sei ein Verzeichnis von Verarbeitungstätigkeiten zu führen und dafür gebe es mehrseitige Erfassungsbögen. Bis- herige Verfahrensverzeichnisse könnten so nicht mehr verwendet werden.
Es ist richtig, dass ein Verzeichnis über personenbezogene Daten geführt werden muss mit Namen und Kontaktdaten beispielsweise. Aus diesem muss hervorgehen, was mit diesen Daten geschehen darf. Um den Aufwand zu reduzieren, können in den einzelnen Beschreibungen Verweise auf bestehende Dokumente aufgenommen werden. Man darf also bestehende Verzeichnisse verwenden. Man muss sie unter Umständen anpassen, aber man muss nicht alles neu erfassen. Es sei denn, es gibt bisher überhaupt kein Verzeichnis.
Auch der Schulungsaufwand steigt angeblich. Denn alle Mitarbeiter der Verwaltung seien für den Datenschutz verantwortlich und müssten folglich geschult werden. Dabei müsse jede Verwaltung und jedes Unternehmen doch schon einen eigenen Datenschutzbeauftragten haben.
Die Schulungen sind wichtig für die Personen, die mit Daten arbeiten. Ein Datenschutzbeauftragter ist in Deutschland jetzt schon Pflicht, wenn personenbezogene Daten automatisiert verarbeitet werden. Das wird nun EU-weit eingeführt. Der deutsche Gesetzgeber hat aber eine Öffnungsklausel genutzt und festgelegt, dass ein Datenschutzbeauftragter dann einzustellen ist, wenn mindestens zehn Personen mit der ständigen automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Es kommt also nicht darauf an, wie viele Daten verarbeitet werden. Daher glaube ich nicht, dass eine Stadtverwaltung wie Neresheim betroffen ist. Auch ein kleiner Vogelschutzverein braucht keinen Datenschutzbeauftragten, sehr wohl aber beispielsweise der ADAC mit weit über 20 Millionen Mitgliedern und einer automatisierten Verarbeitung.
Sogar die bisherigen Anmeldungen zu Ferienprogrammen beispielsweise dürfen angeblich nicht mehr verwendet werden. Denn alle alten Adresslisten müssten gelöscht werden.
Adresslisten dürfen weiter verwendet werden, denn sie haben den klaren Zweck, zur Teilnahme am Ferienprogramm einzuladen. Die einmalige Einwilligung genügt, dann können die Daten für diesen Zweck solange genutzt werden, solange nicht Einspruch erhoben worden ist. Aber wie schon gesagt: Die Einwilligung muss eindeutig sein und die vorgeschriebenen Hinweise enthalten.
Jede Datenerfassung bedürfe einer Einwilligung, wobei eine Datenerfassung bereits stattfinde, wenn der Mitarbeiter einer Verwaltung sich den Namen eines Gesprächspartners notiere.
Das ist Unsinn. Man kann von keiner Verwaltungsmitarbeiterin und keinem Verwaltungsmitarbeiter verlangen, dass sie oder er sich jeden Namen merken kann. Die Notiz ist also eine Gedächtnisstütze und keine Datenerfassung. Ich sehe auch kein Problem darin, wenn Namen in Aktenvermerken aufgeführt werden. Auch die nicht automatisierte Verarbeitung personenbezogener Daten, etwa für Aktensammlungen, bedarf keiner Einwilligung, ebenso wenig die Verarbeitung zu ausschließlich persönlichen und familiären Zwecken. Bei der Strafverfolgung entfällt das Erfordernis sowieso, denn hier greift die Polizeirichtlinie.
Einzelne Betriebe kehren angeblich wieder zur Post zurück aus Angst, sich strafbar zu machen. Denn bei jedem Verstoß drohten bis zu 20 Millionen Euro Strafe oder vier Prozent des Jahresumsatzes.
Beim Postweg gelten die Regeln der DSGVO genauso. Im Übrigen wird hier viel Angst und Panik verbreitet. Bei den Millionenstrafen und bei der Vier-Prozent-Regel haben wir die großen Internetfirmen im Visier. Aber auch dann sind nicht Sanktionen und Bußgelder in der oben beschriebenen maximalen Höhe zu erwarten. Zunächst kämen Hinweise und Verwarnungen und andere Maßnahmen. In Deutschland haben Datenschutzbehörden bisher Sanktionen von 1000 bis 10 000 Euro verhängt. Außerdem hat der Gesetzgeber festgelegt, dass das Landgericht entscheidet, wenn die Geldbuße den Betrag von 100 000 Euro übersteigt. Vereine werden von der Strafandrohung ohnehin nicht betroffen sein, denn sie verarbeiten ja keine Daten. Sie dürfen sie sogar analysieren, solange keine namentliche Zuordnung möglich ist. Sie dürfen ihre Daten nur nicht verkaufen. Aber das ist jetzt schon so.
Wer Menschen fotografiert, muss immer eine schriftliche Genehmigung von allen einholen, ist eine weitere Klage.
Die neue Datenschutz-Grundverordnung bedeutet nicht das Ende der Fotografie. Hier greift das Kunsturhebergesetz. Dieses versucht, die verschiedenen Interessen zu berücksichtigen, also das Persönlichkeitsrecht des Abgebildeten und das Interesse des Fotografen an der Ausübung seines Berufs. Bei Ereignissen wie öffentlichen Konzerten, Sportveranstaltungen oder auch Gemeindefesten muss daher keine explizite Einwilligung jedes Einzelnen verlangt werden. Das bestätigen Bundesdatenschutzbeauftragter und Bundesinnenministerium. Dieses sagt auch, die vom Grundgesetz geschützte Meinungs- und Informationsfreiheit sei ein berechtigtes Interesse, das die Verarbeitung personenbezogener Daten auch ohne Einwilligung erlaubt. Ich hoffe sehr, dass möglichst bald Normalität einkehrt und dann die Vorteile der neuen Regeln sichtbar werden - dass nämlich Datenmissbrauch, etwa gehackte Mailadressen, den Nutzern auch mitgeteilt werden müssen.