Seit rund 100 Tagen gilt die neue Datenschutz-Grundverordnung (DSGVO). Experten wie Thomas Aichelmann, Chef des Deutschen Datenschutz Instituts, beobachten vielerorts eine hohe Unsicherheit. Was wollen Unternehmen und Verbraucher am häufigsten wissen? Zehn Fragen, zehn Antworten.

Welche Arten von Daten sind durch die Verordnung überhaupt geschützt?

Alle Arten von personenbezogenen Daten. „Und dies unabhängig davon, um welche Kategorie von Personen es geht – also ob es sich hierbei um Mitarbeiter-, Geschäftspartner-, Kunden- oder Lieferantendaten handelt“, erklärt Lisa Schmidt, Datenschutz-Expertin bei der Industrie- und Handelskammer (IHK) Rhein-Neckar. Für die DSGVO gilt wie für alle weiteren Datenschutzgesetze: Sie sind immer dann zu beachten, wenn Unternehmen mit sogenannten personenbezogenen Daten umgehen. „Hierunter versteht man alle Informationen, die sich auf einen Menschen beziehen lassen“, sagt Schmidt. Dazu zählen etwa Name, Alter, Familienstand, Geburtsdatum, Anschrift und Telefonnummer.

Wann und wie müssen Firmen von sich aus einen Verstoß melden?

„Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn zum Beispiel der Verlust von Daten zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führen kann“, erklärt Lisa Schmidt von der IHK. Der Verstoß müsse innerhalb von 72 Stunden an die Datenschutzaufsicht gemeldet werden. „Die Aufsichtsbehörden halten dafür ein Online-Meldeformular bereit.“ Die betroffene Person müsse ebenso informiert werden.

Zuletzt war von einer Kita aus Nordrhein-Westfalen zu hören, die Gesichter von Kindern auf Gruppenfotos schwärzte. Muss das sein?

„Solche Auswüchse sind gute Beispiele für Überreaktionen“, sagt Thomas Aichelmann vom Deutschen Datenschutz Institut. Fotos beträfen in erster Linie den Urheberschutz. „Im Fall von Fotografien wird dies im Kunsturhebergesetz geregelt. Mit dem neuen Datenschutz hat das gar nichts zu tun.“ Wenn Kinderhorte und Schulen das Einverständnis der Eltern einholen, dass ihre Kinder auf Fotos abgebildet sein dürfen, dann können Kinder nach Aichelmanns Angaben problemlos Erinnerungsfotos mit nach Hause nehmen, auf denen ihre Freunde zu sehen sind. Bei Gruppenfotos könne man sich eine solche Zustimmung unter bestimmten Umständen sogar sparen, sagt der Datenschützer. Im Einzel- oder Zweifelsfall rät er dennoch, einen Fachmann zurate zu ziehen.

Sprechstundenhilfen von Ärzten trauen sich oft nicht mehr, Patienten mit Namen aufzurufen. Sind die Regeln wirklich so streng?

„An vielen Stellen wird völlig überreagiert“, sagt Thomas Aichelmann, Geschäftsführer des Deutschen Datenschutz Instituts in Bad Homburg. „Mit dem neuen Gesetz hat sich zwar einiges geändert, aber bei uns in Deutschland ist der Unterschied zum bisherigen Bundesdatenschutzgesetz gar nicht so groß.“ Trotzdem seien bestehende Regeln natürlich einzuhalten, und in Arztpraxen würden höchst sensible Daten verarbeitet. „Hier gilt es, im Einzelfall zu prüfen, wie mit den persönlichen Daten der Patienten – und dazu gehört grundsätzlich nun einmal auch der Name – umzugehen ist.“ Aichelmann sei vor Kurzem selbst in einer Praxis gewesen und mit Namen aufgerufen worden. „Ich werde den Arzt dafür ganz sicher nicht verklagen.“

Ein Unternehmen hat nur Firmenkunden. Muss es die DSGVO trotzdem beachten?

Auf jeden Fall. Datenschutz gilt grundsätzlich auch im Geschäftsverkehr mit anderen Unternehmen. Zwar sind Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, keine personenbezogenen Daten. Doch schlagen sich die Angaben oft auf natürliche Personen durch. In der Regel hätten Unternehmen bei Firmenkunden einen Ansprechpartner und erheben zum Beispiel Name, personalisierte E-Mail-Adresse oder Funktion, so die IHK. Hierbei handele es sich wiederum um personenbezogene Daten.

Wann müssen Unternehmen Daten löschen?

Die Verbraucherzentrale Nordrhein-Westfalen stellt klar, wann eine Pflicht zur Löschung besteht: „Wenn die Daten unrechtmäßig verarbeitet werden oder für den ursprünglichen Zweck, für den die Daten erhoben wurden, nicht mehr benötigt werden“, sagt eine Sprecherin. Zudem stärkt die neue Verordnung den Schutz von Kindern. Diese unterschätzten die Gefahren der digitalen Welt oft. „Sie können deshalb auch noch später als Jugendliche oder sogar als Erwachsene die Löschung der Daten, die im Kindesalter erhoben wurden, verlangen.“ Für Verbraucher gibt es unter https://bit.ly/2L4pdGq Musterbriefe der Verbraucherzentrale.

Welche Strafen sind zu befürchten, wenn die Vorgaben nicht eingehalten werden?

Bei Verstößen von Firmen kann die Strafe bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen. „Hier hat es im Vergleich zum bisherigen Recht erhebliche Verschärfungen gegeben“, sagt IHK-Mitarbeiterin Lisa Schmidt. Auch Vereine müssen die Datenschutzerklärung auf ihrer Internetseite erneuern. Ist diese Erklärung fehlerhaft, kann es zu Abmahnungen durch spezialisierte Anwälte kommen. Die Kosten können schnell 1000 Euro oder mehr betragen.

Wie kann man sich gegen Abmahnungen von Anwälten wehren?

Wer eine Abmahnung erhält, sollte jedenfalls Ruhe bewahren und nicht überstürzt handeln, rät der TÜV Nord. Der erste Schritt sei, den Vorwurf juristisch prüfen zu lassen. „Auf gar keinen Fall sollten Betroffene eine Unterlassungserklärung unterschreiben oder gar die geforderte Summe zahlen“, erklärt Rechtsanwalt Christopher Kunke, Datenschutz-Referent der TÜV Nord Akademie. Zu Besonnenheit rät auch das Deutsche Datenschutz Institut. Schon das Anzahlen von wenigen Euro könne als Anerkennung der Gesamtansprüche gewertet werden – „und dann ist nicht mehr viel zu retten.“ Vor allem Selbstständige und Freiberufler sollten darauf achten, die Vorgaben zu erfüllen und keine Angriffsfläche für Abmahnanwälte zu bieten. Nach Angaben der Datenschutzbeauftragten der Länder ist es bisher zu keiner Abmahnungswelle gekommen.

Werden auch Kleingewerbetreibende von der neuen Regelung erfasst?

Ja. Die DSGVO gilt für alle, egal ob Maschinenbau-Konzern, Fliesenleger oder Kiosk-Betreiber. „Kleine Unternehmen sind lediglich von einzelnen wenigen Pflichten ausgenommen; dies betrifft etwa unter Umständen die Pflicht zur Bestellung eines Datenschutzbeauftragten“, erklärt die Mannheimer IHK-Expertin Lisa Schmidt. Ansonsten müssten sämtliche Vorgaben verwirklicht werden – denn unter die DSGVO fällt jede Stelle, die personenbezogene Daten innerhalb der EU verarbeitet.

Wer sind die ersten Anlaufstellen für Unternehmen und Verbraucher?

Die Datenschutzbeauftragten der Länder. Zudem die Verbraucherzentralen und für Unternehmen die zuständigen Kammern. Allerdings ist Geduld gefragt: Die Behörden versinken in einer Flut von Anfragen. „Wir nennen uns nur noch Call-Center“, sagt eine Sprecherin des hessischen Datenschutzbeauftragten Michael Ronellenfitsch. „Die Zahl der Anfragen ist extrem hoch. Vor allem bei Firmen, Kommunen und auch bei Vereinen herrschen große Unsicherheiten.“ Auch Privatleute wenden sich mit ihren Fragen an den Datenschutzbeauftragten und seine Mannschaft. Wie viele formale Beschwerden unter den Anfragen sind, kann die Sprecherin nicht sagen.

© Mannheimer Morgen, Freitag, 14.09.2018