Eine Welle von Hilferufen und Anfragen hat die EU-Datenschutznovelle dem Bayerischen Landesamt für Datenschutzaufsicht (LDA) in Ansbach beschert. Dessen Präsident Thomas Kranig hält Ängste vor Abmahnungen oder sogar noch drastischeren Sanktionen bei Verstößen aber für übertrieben und vielfach unbegründet.
Frage: Vor allem bei der Einführung der neuen DSGVO ist hierzulande eine Art Hysterie ausgebrochen. Manche Klubs haben aus Sorge vor Verstößen gleich ihre ganze Webseite abgeschaltet. War das gerechtfertigt?
Thomas Kranig: Natürlich war es nicht gerechtfertigt, dass Vereine oder sonstige Unternehmen pauschal ihre Website abschalteten. Hysterie ist immer ein schlechter Ratgeber im Umgang mit gesetzlichen Vorschriften. Notwendig war es aber vielerorts, zu überprüfen, ob die Webseiten die datenschutzrechtlichen Vorgaben einhalten, die ja nicht erst seit dem 25. Mai 2018, sondern auch schon davor gegolten haben.
Wie konnten Sie und Ihre Behörde zur Beruhigung der Lage beitragen?
Kranig: Unsere gesetzliche Aufgabe ist nicht Beruhigung, sondern Information und Sensibilisierung. Insbesondere mein Kollege Filip und ich waren in den Sommermonaten quer durch den Freistaat Bayern unterwegs, um in Turnhallen, Gaststätten oder sonstigen Orten Vorstandsmitglieder der Vereine zu informieren, welche Anforderungen die DSGVO stellt. Dass dies am Ende zur Beruhigung beigetragen hat, kann als positiver Nebeneffekt gesehen werden.
Was droht Vereinen und Verbänden, die nicht alle Auflagen der DSGVO erfüllen (können), denn im Extremfall?
Kranig: Im Schlimmsten drohen eine Geldbuße durch die Datenschutzaufsichtsbehörde oder gar strafrechtliche Verfolgung durch den Staatsanwalt. Unser Ziel ist es allerdings, Vereine dazu zu bringen, die aus unserer Sicht überschaubaren Anforderungen zu erfüllen. Wir haben zugesagt, ihnen auf diesem Weg zu helfen. Nur Vereine oder Unternehmen, die sich gar nicht um Datenschutz bemühen, müssen damit rechnen, auch bei einem Erstverstoß mit einer Geldbuße sanktioniert zu werden.
Halten Sie die Furcht vor einer Abmahnwelle für begründet?
Kranig: Eine Abmahnwelle sehen wir derzeit überhaupt nicht. Wir stellen aber fest, dass es eine nicht geringe Furcht vor derartigen Abmahnungen gibt. Unsere Auffassung ist, dass Abmahnungen nach dem 25. Mai 2018 nicht mehr zulässig sind, da nach der DSGVO nur die Datenschutzaufsichtsbehörden und konkret benannte Organisationen berufen sind, über die datenschutzrechtlichen Vorschriften zu wachen und Sanktionen auszusprechen. Wettbewerber sind keine Kontrollinstanz in diesem Sinne.
Gibt es nicht Bereiche der DSGVO, die sehr diffus angelegt sind, etwa was den Umgang mit Bildern angeht?
Kranig: Ja, der Umgang mit Bildern ist nicht ganz einfach. Wir haben aus den zahlreichen Veranstaltungen gelernt und ein Dokument auf unserer Homepage veröffentlicht, in dem wir die Anforderungen an den datenschutzkonformen Umgang mit Bildern beschrieben haben.
Es gibt innerhalb der Vereine wildeste Spekulationen, etwa die, dass Trainer während eines Spiels nicht mehr die Namen der Kinder aufs Spielfeld rufen dürfen, sondern nur noch deren Nummern auf dem Trikot.
Kranig: Diese Spekulationen sind so abstrus, dass man nur vermuten kann, jemand habe sie mit dem Ziel in die Welt gesetzt, das neue Datenschutzrecht bewusst zu diskreditieren. Das neue Datenschutzrecht verlangt von Verantwortlichen von Vereinen, Verbänden oder Unternehmen, die mit personenbezogenen Daten Dritter umgehen, ja nichts anderes als bisher: dass sie eine Rechtsgrundlage für den Umgang mit den Daten haben – und dass sie klarmachen, was sie mit diesen Daten vorhaben. Menschen mit ihren Namen anzusprechen ist im Sport, aber auch im Wartezimmer eines Arztes, natürlich datenschutzrechtlich zulässig.
Viele Vereinsvertreter, mit denen ich gesprochen habe, sehen es so: Die DSGVO verfolgt im Kern das richtige Ziel, setzt vor allem kleinere Klubs zu sehr unter Druck und behandelt sie wie die großen Internetkonzerne.
Kranig: Ich sehe, dass es diese Auffassungen gibt, und weiß, dass sie mit der Realität nichts zu tun haben. Jeder Verein kann sich bei uns auf der Homepage die relevanten Informationen beschaffen, die ihn in die Lage versetzen, die Datenschutzanforderungen innerhalb seines Vereins umzusetzen. Und die unterscheiden sich deutlich von den Anforderungen an große Internetkonzerne. Das Ergebnis unserer Informationsveranstaltungen war in den allermeisten Fällen, dass uns zum Schluss gesagt wurde: „Danke für die Information. Was Sie uns gesagt haben, schaffen wir und erkennen wir als notwendig an. Wir wünschen uns, dass auch die anderen mit unseren Daten so umgehen.“
Wie gehen Sie mit den vielen Anfragen verunsicherter Vereinsvertreter um? Manche dieser Ehrenamtlichen sehen sich ja schon mit einem Bein vor Gericht.
Kranig: Wir bemühen uns, die Anfragen so gut es geht zu bearbeiten. Fakt ist aber, dass sich Anfragen und Datenschutzbeschwerden mehr als verdoppelt haben und uns mehr als zehn Mal so viele Hinweise auf Datenschutzverletzungen erreichen wie vergangenes Jahr. Vereinsvertreter sollten sich nicht mit einem Bein vor Gericht sehen. Dort möchten wir sie nicht haben. Wir werden daher in aller Regel keine Entscheidungen erlassen, gegen die sie vor Gericht ziehen müssten. Wir wünschen uns, dass sich Vorstände etwas Zeit nehmen, sich zu informieren und sich danach in Ruhe wieder dem eigentlichen Zweck ihres Vereins widmen.
