Externer Datenschutzbeauftragter für verschiedene Kommunen in der Region ist der Bruchsaler Rechtsanwalt Hartwig Heinzmann. Einen Vorteil in der EU-DSGVO sieht er in der europaweiten Harmonisierung. | Foto: Heintzen

EU-Datenschutz-Grundverordnung

Damoklesschwert über den Vereinen

Anzeige

Jeder redet über die EU-Datenschutz-Grundverordnung (EU-DSGVO). Die Wenigsten blicken wirklich durch. Was ist im Umgang mit Daten noch erlaubt? Wann macht man sich strafbar? Und wozu ist sie überhaupt gut?

Unser Redaktionsmitglied Jörg Uwe Meller sprach mit dem Bruchsaler Rechtsanwalt Hartwig Heinzmann, der als Datenschutzbeauftragter für über ein Dutzend Gemeinden tätig ist. Er schult die Mitarbeiter der Verwaltung, ist Beschwerdestelle für Betroffene, gibt datenschutzrechtliche Bewertungen ab und erarbeitet Vorschläge zur Lösung von Problemen.

Vor allem Firmen und Vereine sind wegen der DSGVO besorgt. Mit Recht?

Heinzmann: Ich kenne kein Gesetz, das dermaßen Wellen geschlagen hat wie die DSGVO. Der Hintergrund sind die hohen Bußgelder: bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens, je nachdem welcher Wert höher ist. Das Landesdatenschutzgesetz gestattet durch eine Öffnungsklausel eine Freistellung für Kommunen, nicht aber für Vereine und Firmen. Die Wortwahl zeigt jedoch, wen der Gesetzgeber vor Augen hatte: Internetfirmen wie Google zahlen in Europa nahezu keine Steuern, die trifft das jetzt über die Hintertür. Die Milliardenkonzerne sind seit Monaten dabei sich abzusichern. Bei 100 Milliarden Euro Umsatz wären das vier Milliarden pro Verletzungsfall. Am 25. Mai um 1.26 Uhr, da war das Gesetz noch keine 90 Minuten alt, hat ein Anwaltskollege aus Wien die erste Beschwerde gegen Facebook losgetreten. Wir werden sehen, ob solche extremen Bußgeldandrohungen tatsächlich vollstreckt werden.

Die Vereine hängen aber laut Gesetz trotzdem mit drin.

Heinzmann: Hier wird das Kinde mit dem Bade ausgeschüttet. Die Vereine leiden unter diesem Damoklesschwert. Selbst Bußgelder in Höhe von 50 000 Euro wären für sie existenzgefährdend. Der Landesdatenschutzbeauftragte behauptet, dass erst einmal mit Hinweisen und Abmahnungen reagiert wird und erst im Wiederholungsfall Bußgelder verhängt werden. Aber schriftlich haben wir das nicht. Ich halte Info-Veranstaltungen für Vereine ab. Dort ist man sehr verunsichert. Bei einer späteren Evaluierung sollte man die DSGVO soweit abändern, dass Vereine aus dem Bußgeldkatalog herausgenommen werden, zumal solche, die durch die Finanzverwaltung als gemeinnützig anerkannt sind. Alles andere geht weit über das Ziel hinaus.

Ein Großteil des Gesetzes ist aber keineswegs neu?

Heinzmann: Deutschland ist das Mutterland des Datenschutzes – das erste Landesdatenschutzgesetz der Welt wurde 1970 in Hessen erlassen –, deshalb hat man weitgehend deutsches Recht fortentwickelt.

Was ist beispielsweise neu?

Heinzmann: Die Selbstanzeige, die Mitteilungspflicht, einen datenschutzrechtlichen Verstoß innerhalb von 72 Stunden an den Landesdatenschutzbeauftragten in Stuttgart zu melden, gab es vorher nicht. Wer das tut, soll beim Strafmaß begünstigt werden. Das wird eine enorme Dynamik entwickeln. Bei rund 1 100 Kommunen in Baden-Württemberg bedeutet das einen Riesenaufwand, den man personell nicht aufarbeiten können wird. Eventuell müssen auch Betroffene verständigt werden, die sich dann außerhalb des Bußgeldverfahrens Gedanken über zivilrechtlichen Schadensersatz machen könnten, weil mit ihren Daten Missbrauch getrieben wurde. Die DSGVO ist ein Konjunkturprogramm für Gerichte und Anwälte.

Was hat sich konkret für die Arbeit in den Kommunen geändert?

Heinzmann: Was nach altem Recht das Verfahrensverzeichnis war, ist heute ein Tätigkeitsverzeichnis, in dem sämtliche Vorgänge datenschutzrechtlicher Art systematisch erfasst werden. Zum Beispiel die Anwendung des Programms Outlook: Wer hat Zugang zum Programm? Welche Daten werden gespeichert? Was kann wann gelöscht werden? Das gab es vorher schon, man hat ein paar Punkte hinzugefügt. Verschärft hat das neue Recht beispielsweise die Informationspflicht, die als Bringschuld darüber informiert, welche Daten über eine Person gespeichert sind. Zu meinen Aufgaben als Datenschutzbeauftragter gehört, die Verwaltungsmitarbeiter zu schulen, wann personenbezogene Daten vorliegen, wie mit diesen Daten umzugehen ist und worin die Rechtsgrundlage für die Verarbeitung liegt. Das kann dazu führen, dass die Kommunalverwaltung nicht weiterhelfen kann. In manchen Fällen kann eine Einwilligungserklärung eingeholt werden. Aber das ist wieder zusätzlicher Verwaltungsaufwand. Man muss kontrollieren, eine Akte anlegen, die Rechtmäßigkeit der Einwilligungserklärung prüfen, eine Widerrufsbelehrung beilegen und regelmäßig überwachen, ob ein Verstoß hinsichtlich der Mitteilungspflichten vorliegen kann.

Auch ein Verwaltungsmitarbeiter kann Datenschutzbeauftragter sein?

Heinzmann: Größere Kommunen haben eine eigene Rechtsabteilung. Die dortigen Juristen könnten den kommunalen Datenschutz bearbeiten. Der Nachteil ist, dass die Verwaltung sich selbst überprüfen muss. Deshalb vergeben die Bürgermeister diese Aufgabe gerne an Externe. Auch, damit es zwischen den Mitarbeitern nicht zu Streitigkeiten über das Thema Datenschutz kommt. Ein Datenschutzbeauftragter überwacht die Verwaltung und nicht zuletzt deshalb ist Fingerspitzengefühl gefragt.

Wurden Sie als externer Datenschutzbeauftragter für über ein Dutzend Kommunen in der Region bisher schon oft um Klärung gebeten?

Heinzmann: Im Moment gehen täglich Anfragen der Mitarbeiter der Verwaltungen, die wir beraten, ein. Anfragen oder eingehende Beschwerden von betroffenen Bürgern sind noch eher die Ausnahme.

Was ist tatsächlich der Vorteil der DSGVO?

Heinzmann: Die europaweite Harmonisierung. Wenn es vorher 28 verschiedene Datenschutzvorschriften gab, gibt es jetzt nur noch eine. Und nicht in der Form einer Richtlinie, die in ein nationales Gesetz umgesetzt werden muss, sondern als europaweites Gesetz. Während aus deutscher Sicht vielleicht nur zehn Prozent neu sind, haben andere Länder teilweise extremen Nachholbedarf. Das muss über die Aufsichtsbehörden aufgefangen werden. Man wird sicherlich bei der Anwendung von Bußgeldern zu einer Harmonisierung kommen. In einem Jahr, wenn die ersten Gerichtsprozesse angelaufen sind, werden wir mehr Klarheit haben, wie hoch die Bußgelder sein werden. Das wird hochspannend.