Themenspezial: Verbraucher & Service Hintergrund

Das ändert sich durch die neue EU-Datenschutzverordnung

Jahrelang konnten Firmen wie Facebook in Europa weitgehend unbehelligt schalten und walten. Nun müssen sie umdenken. Doch auch auf deutsche Vereine kommt Arbeit zu. Was wird die neue EU-Daten­schutz­ver­ordnung verändern?
Von dpa /

Kritik an Datenlecks, Hassrede, Wettbewerbsgebaren und fragwürdigen Steuerpraktiken - amerikanischen Technologie-Firmen bläst in Europa mittlerweile ein schärferer Wind entgegen. Der nächste Schritt kommt in einem Monat: Am 25. Mai treten die neuen Datenschutzregeln in Kraft, die vor allem Facebook und andere Online-Dienste in Zugzwang bringen. Die EU versucht zwar nicht nur Facebook einzuhegen - das weltgrößte Online-Netzwerk steht in vielen Bereichen jedoch exemplarisch.

Facebook-Chef Mark Zuckerberg bemüht sich um versöhnliche Töne - und gibt sich als großer Fan der sogenannten Datenschutz-Grundverordnung. Bei beinahe jeder Gelegenheit kündigt er an, die Regeln weltweit anwenden zu wollen - wenn auch die entsprechenden Rechte nur Einwohnern der Europäischen Union vorbehalten bleiben sollen. Die EU sieht sich als Vorreiterin: "Demokratische Staaten auf der ganzen Welt nehmen die Datenschutz-Grundverordnung jetzt als Inspiration", sagte EU-Justizkommissarin Vera Jourova jüngst.

Dabei haben amerikanische Internetfirmen noch vor wenigen Jahren heftig im Hintergrund gegen das neue EU-Gesetz lobbyiert. Heute sieht die Welt anders aus: Datenschutz ist im allgemeinen Bewusstsein angekommen, der aktuelle Datenskandal um Cambridge Analytica hat zumindest Facebook in seine tiefste Krise gestürzt. "Dieser Fall ist zu wichtig, um ihn wie gewöhnlich zu nehmen", sagte Jourova. Doch auch alle anderen Datensammler fürchten um das Vertrauen ihrer Nutzer. Ein Überblick über die Streitpunkte:

Datenschutz

Das ändert sich durch die EU-Datenschutzverordnung Das ändert sich durch die EU-Datenschutzverordnung
Bild: dpa 87 Millionen Menschen sind nach Facebook-Angaben vom aktuellen Datenleck betroffen, in der EU könnten es bis zu 2,7 Millionen sein. "Wir haben vorhergesehen, dass es Fälle wie diesen geben könnte, und wollten gut vorbereitet sein", sagte Jourova.

Tatsächlich: Die EU hat früh erkannt, dass soziale Netzwerke und andere Online-Dienste Schranken brauchen. Anfang 2012 stellte die EU-Kommission in Brüssel einen Vorschlag für die umfassende Reform des Datenschutzes vor. "Die heute vorgeschlagenen Änderungen werden das Vertrauen in Onlinedienste stärken", sagte die damalige Justizkommissarin Viviane Reding. Gut vier Jahre später einigten sich Europaparlament und EU-Staaten auf eine endgültige Fassung.

Die Tech-Giganten geben sich heute handzahm, wenngleich die meisten froh sein werden, dass derzeit Facebook im Mittelpunkt steht. Das Unternehmen entschuldigte sich mit ganzseitigen Zeitungsanzeigen für das Datenleck: "Es ist unsere Verantwortung, Deine Informationen zu schützen. Wenn wir das nicht können, haben wir diese Verantwortung nicht verdient." Für den Zuckerberg-Konzern geht es um das Vertrauen seiner Nutzer.

Justizkommissarin Jourova brachte in der "Süddeutschen Zeitung" angesichts der Dimension des Datenskandals noch härtere Geschütze ins Spiel: In der Kommission werde darüber nachgedacht, auch Algorithmen, die wichtigsten Instrumente der Plattformen, zu regulieren.

Steuern

Eine der weitreichendsten Attacken auf das Geschäftsmodell der Tech-Industrie legte die EU-Kommission im März vor. Nach den Plänen der Brüsseler Behörde sollen große Internetkonzerne künftig deutlich mehr Steuern in Europa zahlen. Abgaben sollen in erster Linie dort fällig werden, wo die Nutzer sitzen und wo Online-Erträge entstehen.

Das Problem aus Brüsseler Sicht ist, dass klassische Industriebetriebe über Produktionsstätten und Geschäftsräume zu erfassen sind, Digitalkonzerne aber nicht. Sie haben ihren Sitz oft nur in einem EU-Staat oder gar außerhalb Europas und bündeln ihre Aktivitäten dann an Standorten mit für sie günstigen Steuersätzen. Dabei haben sie aber auf dem ganzen Kontinent Einnahmen. Facebook sitzt etwa seit Jahren in Irland.

Die irische Regierung gehört nun auch bezeichnenderweise zu den größten Kritikern der verschärften Steuerpläne aus Brüssel. Deutschland, Frankreich und eine ganze Reihe anderer EU-Staaten unterstützen sie hingegen.

Die irische Regierung argumentiert unter anderem mit einem drohenden Handelskrieg zwischen den USA und Europa. Angesichts der von Donald Trump angedrohten Abschottungszölle solle nicht noch weiter Öl ins Feuer gegossen werden. "Wir haben zwischen Europa und den USA derzeit ohnehin sehr schwierige Diskussionen über die Handelspolitik", sagte der irische Finanzminister Paschal Donohoe dem "Handelsblatt". "Wir glauben, dass die EU jetzt keine Steuerprojekte angehen sollte, die unsere Beziehungen weiter belasten könnten und die Gespräche noch schwieriger machen."

Das Wort der Iren hat besonderes Gewicht, da in Steuerfragen sämtliche EU-Staaten neuen Gesetzen zustimmen müssen. Das Thema könnte innerhalb der EU noch für Streit sorgen. "Es gibt eine große Mehrheit, die den Vorschlag der EU-Kommission gut findet", sagte Österreichs Kanzler Sebastian Kurz beim EU-Gipfel im März. "Wir werden Druck machen auf die Staaten, die sich hier bewegen müssen."

Fake News, Hassrede, Terrorpropaganda, Wettbewerb reguliert

Kindesmissbrauch, Falschnachrichten und Propaganda von Terroristen - auch das sind die Schattenseiten sozialer Netzwerke. Im Kampf dagegen setzt Brüssel bislang auf Freiwilligkeit. Anfang März präsentierte die EU-Kommission Empfehlungen für Facebook, Twitter und Co.: Die digitalen Plattformen sollten gemeldete Propaganda binnen einer Stunde löschen und es müsse automatische Mechanismen zum Erkennen gefährlicher Inhalte geben. Für das Melden illegaler Inhalte brauche es einfache Regeln, bei Beweisen für eine schwere Straftat müsse eng mit den nationalen Behörden zusammengearbeitet werden.

Insbesondere Facebook ist von der EU-Datenschutzverordnung betroffen Insbesondere Facebook ist von der EU-Datenschutzverordnung betroffen
Bild: dpa Allerdings: Bislang sind das eben nur Empfehlungen. Doch auch hier zieht die EU-Kommission die Daumenschrauben an: Man wolle die Umsetzung genau verfolgen - und gegebenenfalls Rechtsvorschriften erlassen. Die könnten dann verbindlich sein. Die Internet-Konzerne scheinen sich zu bewegen: Mittlerweile werden nach Angaben der Kommission 70 Prozent der gemeldeten Hassbotschaften gelöscht, in mehr als 80 Prozent der Fälle geschieht das innerhalb von 24 Stunden.

Auch bei Falschnachrichten setzt Brüssel noch auf Freiwilligkeit. Eine EU-Expertenkommission empfahl im März unter anderem Selbstverpflichtungen der sozialen Netzwerke. In Zusammenarbeit mit Medien sollten sie die Inhalte glaubwürdiger Quellen besser sichtbar machen.

Wettbewerb

Eine, die bislang weitgehend weder vor großen Konzernen, noch vor politischen Befindlichkeiten Scheu zeigte, ist EU-Wettbewerbskommissarin Margrethe Vestager. Apple, Google, Ikea - die Liste der von ihr ins Visier genommenen Großkonzerne ist lang.

Wegen irreführender Angaben bei der Übernahme des Messengerdienstes WhatsApp verdonnerte sie den US-Konzern im vergangenen Jahr zu einer Strafe von 110 Millionen Euro. Dabei ging es um die Bündelung von Nutzerdaten zwischen dem sozialen Netzwerk Facebook und WhatsApp. Facebook hatte 2014 erklärt, nicht zum zuverlässigen automatischen Datenabgleich zwischen den Benutzerkonten beider Dienste imstande zu sein. Im August 2016 folgte jedoch genau dies: Telefonnummern der WhatsApp-Nutzer konnten mit den jeweiligen Facebook-Profilen verknüpft werden. Es ist nicht auszuschließen, dass Vestager noch weitere Pfeile im Köcher hat.

Angesichts der neuen EU-Regeln formulierte Facebook kürzlich seine Datenschutz- und Nutzungsbedingungen um. Klarer und transparenter sollten sie fortan sein, betonte das Netzwerk - und schrieb gleichzeitig die Grundlage für die geplante Einführung von Gesichtserkennungs-Funktionen in Europa rein. Hier waren sie nach Widerstand von Datenschützern bislang nicht verfügbar.

Nicht mehr verfügbar für den europäischen Rechtsrahmen sind künftig auch die Daten 1,5 Milliarden nicht-europäischer Nutzer. Bisher war ein Facebook-Ableger in Irland für das gesamte Geschäft außerhalb der USA zuständig. Jetzt sollen nur noch die zuletzt 370 Millionen Nutzer in Europa dort angesiedelt sein. Die Daten der restlichen Nutzer weltweit werden künftig in den USA gespeichert. Facebook betont, dies ändere nichts daran, dass neuen EU-Datenschutz-Werkzeuge künftig weltweit verfügbar sein werden.

Eine Einladung zur Anhörung im EU-Parlament schlug Zuckerberg unlängst aus und wollte einen seiner Politik-Verantwortlichen vorschicken. Parlamentspräsident Antonio Tajani insistierte: Es sei dringend notwendig, über die Rolle von Cambridge Analytica im Brexit-Referendum sowie bei anderen Wahlen in EU-Staaten aufzuklären.

Das ändert sich wirklich für Verbraucher

Gläserne Bürger? In der Vergangenheit hatten Unternehmen wie Facebook bei der Nutzung von Userdaten in Europa wenig Grenzen. Am 25. Mai treten nach jahrelanger Lobbyschlacht in allen 28 EU-Staaten neue Regeln in Kraft. Ein Überblick über die Änderungen:

Warum kommen die neuen Regeln jetzt?

Datenschutz ist in der EU ein Grundrecht. "Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten", heißt es in der EU-Grundrechtecharta aus dem Jahr 2000. Die entsprechenden Regeln waren allerdings von 1995 - und ziemlich überholt. Die Umwälzungen durch Google, Facebook und andere Dienste waren nicht absehbar. Hinzu kommt, dass die Umsetzung der Regeln bislang jedem EU-Staat selbst überlassen blieb. Vor zwei Jahren haben sich EU-Staaten und das Europaparlament auf die sogenannte Datenschutz-Grundverordnung geeinigt. Vom 25. Mai an muss sich jedes EU-Land daran halten.

Ein Argument für die neue Verordnung hat Facebook zuletzt selbst geliefert: Bis zu 87 Millionen Nutzer waren Unternehmensangaben zufolge vom aktuellen Datenskandal betroffen. Facebook-Chef Mark Zuckerberg zeigte Reue und wurde während der vergangenen Wochen fast zum Botschafter der EU-Verordnung: Er kündigte an, die Regeln künftig weltweit anwenden zu wollen.

Was regelt die neue Verordnung?

Im Kern soll die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden geregelt werden. Dazu gehören etwa Name, Adresse, E-Mail-Adresse, Ausweisnummer oder IP-Adresse. Wie die Daten gespeichert werden - digital, auf Papier oder mittels Videoaufnahme - ist egal. Besonders empfindliche Daten zu religiösen Überzeugungen, Gesundheit oder Sexualleben dürfen nur in Ausnahmefällen verarbeitet werden. Die neuen Regeln gelten auch für Unternehmen, die außerhalb der EU sitzen, ihre Dienste aber hier anbieten. Deshalb sind Internetriesen mit US-Sitz wie Facebook oder Google davon betroffen.

Was ändert sich für Verbraucher?

Das ändert sich für Verbraucher durch die neue Verordnung Das ändert sich für Verbraucher durch die neue Verordnung
Bild: dpa EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen, ist das Versprechen. Das bedeutet zum Beispiel, dass ihnen ein Recht auf Vergessenwerden zugestanden wird. Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, müssen gelöscht werden. Zudem haben Verbraucher das Recht auf Auskunft. Unternehmen und Organisationen müssen gespeicherte Daten auf Anfrage zur Verfügung stellen. Die EU-Kommission nennt als Beispiel die Bonuskarte eines Supermarktes: Kunden könnten etwa erfahren, wie oft sie die Karte verwendet haben, bei welchen Supermärkten sie eingekauft haben, und ob der Supermarkt die Daten an eine Tochter weitergeben hat.

Außerdem bekommen Internetnutzer durch den sogenannten Datenrucksack mehr Kontrolle über ihre persönlichen Daten. Wechseln sie von einem Anbieter zum anderen, können sie E-Mails, Fotos oder Kontakte mitnehmen. Zudem müssen Verbraucher über Datenschutz-Verstöße - etwa durch Datenlecks oder Hackerangriffe - informiert werden. Wenn ein Risiko für sie entstanden ist, müssen Unternehmen die Verstöße zudem bei nationalen Behörden melden.

Und wie soll das durchgesetzt werden?

Der EU-Datenschutz war bislang ziemlich wirkungslos. Das lag auch an fehlenden Sanktionsmöglichkeiten. Von Ende Mai an drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes - je nachdem, was höher ist. Bei Facebook übersteigt das schnell die Milliarden-Marke. Beim Strafmaß sollen Faktoren wie Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und die Vorsätzlichkeit berücksichtigt werden.

Was müssen Unternehmen und andere Organisationen beachten?

Grundsätzlich sollen so wenige Information wie möglich gesammelt werden - es dürfen nur jene Daten erhoben werden, die tatsächlich gebraucht werden. Und diese Daten müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist.

Zudem dürfen die Daten nicht länger gespeichert werden, als sie tatsächlich gebraucht werden, und für keinen Zweck genutzt werden, der nicht mit dem ursprünglichen Zweck vereinbar ist. Ihren Kunden müssen Unternehmen in einfacher Sprache erklären, warum sie die Daten überhaupt brauchen und wie lange sie gespeichert werden sollen. Unternehmen und Organisationen, die viel mit personenbezogenen Daten arbeiten, müssen zudem einen Datenschutzbeauftragten ernennen.

Wie fallen die Reaktionen aus?

Verbraucher- und Datenschützer jubeln. Für sie sind die neuen Regeln ein Meilenstein: besserer Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten, mehr Macht für Strafverfolgungsbehörden bei Rechtsverstößen. "Das ist der letzte Schritt der bahnbrechenden Reform des EU-Datenschutzes", sagte etwa der Grünen-Abgeordnete und Verhandlungsführer des Europaparlaments Jan Philipp Albrecht nach der Einigung mit den EU-Staaten. Zwei Jahre später sagt die Vize-Generaldirektorin des europäischen Verbraucherschutzverbands Beuc, Ursula Pachl: "Konsumenten profitieren natürlich von vielen neuen Diensten, die auf der Verarbeitung von Nutzerdaten basieren. In vielen Fällen war die Einhaltung dieser Regeln jedoch das schwache Element dieser Dienste."

Offene Kritik kommt auch aus der Wirtschaft kaum noch. Der europäische Unternehmerverband Business Europe begrüßt etwa, dass die Regeln in der EU bald einheitlich sind. Während der Gesetzgebung haben jedoch besonders große Tech-Firmen versucht, den Datenschutz aufzuweichen. Heute fürchten vor allem kleinere und mittlere Unternehmen sowie Vereine den bürokratischen Aufwand - und hohe Strafen, falls sie gegen die neuen Regeln verstoßen.

Wie tief gehen die neuen Regeln in den Alltag?

Sie reichen in viele Bereiche hinein. Zum Beispiel auch Freiberufler müssen sich um die Informationspflicht kümmern und den Kunden Auskunft zu über sie gespeicherten Daten geben. Genauso betroffen sind etwa auch Vermieter, denn auch sie erheben und verarbeiten Daten ihrer Mieter, wie Namen, Bankverbindungen oder Telefonnummern. Zu den Pflichten gehört dann nicht nur, die Daten sicher abzuspeichern, sondern auch zu dokumentieren, wer Zugriff darauf hat.

Wie geht es weiter mit dem Datenschutz in der EU?

Die EU-Kommission hat im vergangenen Jahr weitere Reformvorschläge für die elektronische Kommunikation via WhatsApp, Facebook oder Skype vorgelegt. Diese sehen in vielen Fällen die ausdrückliche Einwilligung der Nutzer zur weiteren Verwendung von Informationen wie Inhalt und Metadaten vor.

Datenschutz "made in Europe": Amerikaner müssen umdenken

Strenge Datenschutzregeln galten in den USA lange als Innovationskiller. Besonders die Tech-Elite im kalifornischen Silicon Valley pochte darauf, frei agieren zu können, schließlich basiert der Großteil des Erfolgs von Google, Facebook, Amazon und Co. auf dem Geschäft mit Daten. Die Konzerne erwirtschaften gigantische Umsätze und schaffen Arbeitsplätze, dafür halten sich die Politiker weitestgehend raus: So in etwa lautete die Abmachung zwischen dem Valley und Washington. Und kam es doch zu Versuchen, striktere Regeln einzuführen, etwa 2016 von der US-Telekommunikationsaufsicht FCC, wurden diese von Lobbyisten erfolgreich abgeschmettert.

Deutschland und andere europäische Länder wurden von den Tech-Bossen fast schon belächelt. Behindere doch der dortige Datenschutz einen ähnlichen Erfolg. Doch ausgerechnet Europa kann jetzt für ein Umdenken in den USA sorgen.

Sogar Amerikaner rechnen mit positiven globalen Auswirkungen

Die Amerikaner lernen nun Datenschutz von den Europäern Die Amerikaner lernen nun Datenschutz von den Europäern
Bild: dpa Grund ist die EU-Daten­schutz­grund­ver­ordnung, die am 25. Mai in Kraft tritt und einheitlich für einen besseren Schutz sorgen soll - auch und gerade im Zusammenspiel mit den großen US-Konzernen. Denn die DSGVO gilt auch für außereuropäische Unternehmen, die auf dem riesigen europäischen Markt Geschäfte machen.

EU-Bürger sollen die Hoheit über ihre Daten zurückbekommen, lautet das Versprechen. "Demokratische Staaten auf der ganzen Welt nehmen die Datenschutz-Grundverordnung jetzt als Inspiration", jubelte EU-Justizkommissarin Vera Jourova jüngst.

"Glücklicherweise wird das EU-Gesetz auch den Amerikanern auf gewisse Weise helfen", schreibt der demokratische Politiker und ehemalige FCC-Chef Tom Wheeler in der "New York Times". In wenigen Wochen würden Facebook, Google und alle anderen Dienste, die private Informationen sammelten, europäischen Verbrauchern jenen Datenschutz zugestehen, den sie Amerikanern verweigerten. "In einer vernetzten Welt, in der der digitale Code geografische oder nationale Grenzen missachtet, wird das sicher positive globale Auswirkungen haben."

Für die europäischen Bürger sind die neuen Regeln ein Gewinn. Besserer Schutz der Privatsphäre, mehr Kontrolle über die eigenen Daten oder das "Recht auf Vergessenwerden" - das bedeutet, dass Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt werden, gelöscht werden müssen. Zudem müssen Nutzer über Datenschutz-Verstöße - etwa durch Datenlecks oder Hackerangriffe - informiert werden.

US-Firmen lernen Datenschutz bei den Europäern

Kein Wunder, dass Verbraucher- und Datenschützer in den USA hellhörig werden. "Die Neue Welt muss von der Alten Welt lernen", schreibt Wheeler in der "New York Times". Und in der Tat. Es bewegt sich etwas auf der anderen Seite des Atlantiks.

Spätestens seit dem Datenskandal um Facebook und Cambridge Analytica, von dem bis zu 87 Millionen Nutzer weltweit betroffen waren, setzt auch in den USA langsam ein Umdenken ein. Erste Forderungen nach strengeren Regeln und einem besseren Datenschutz werden laut. Apple-Chef Tim Cook distanzierte sich deutlich von Facebook und erklärte: "Privatsphäre ist ein Menschenrecht."

Das soziale Netzwerk reagierte derweil mit einer Datenschutz-Offensive auf den Skandal. Diese war aber längst nicht so spontan, wie es schien. Viele der Änderungen lagen quasi in der Schublade, da sich Facebook seit Monaten auf die DSGVO vorbereitete.

Zuletzt präsentierte sich Konzernchef Mark Zuckerberg gar als eine Art Botschafter der EU-Verordnung. Bei fast jeder Gelegenheit kündigt er an, die Regeln weltweit anwenden zu wollen - wenn auch die entsprechenden festgeschriebenen Rechte nur Einwohnern der EU vorbehalten bleiben sollen. Allzu missionarisch sollte aber auch dieser Ansatz nicht gewertet werden: Ist es doch auch für die Unternehmen deutlich einfacher, global einheitliche Regeln umzusetzen.

Auch Google bereitet sich auf neue Richtlinien vor

Auch bei Google, wo im ersten Quartal des Jahres wieder kräftige Gewinne erwirtschaftet wurden, gibt man sich gelassen. Man bereite sich bereits seit 18 Monaten auf das neue Gesetz vor, sagte Google-Chef Sundar Pichai in einer Schalte mit Analysten.

So entspannt klangen die Tech-Bosse nicht immer. Während der jahrelangen Gesetzgebungsphase hatten Lobbyisten eifrig versucht, das Regelwerk aufzuweichen. Denn man ist sich des Ausmaßes bewusst. So hieß es beim TV-Sender CNN kürzlich: "Ein globales Tech-Erdbeben ist im Anmarsch, und das Epizentrum liegt Tausende Meilen vom Silicon Valley entfernt."

Datenschutzstandards: Deutsche Vereine haben Nachholbedarf

Wie gehen wir mit dem Datenschutz um? Diese Frage müssen sich auch deutsche Vereine spätestens zum 25. Mai neu stellen. Dann tritt die Europäische Datenschutz-Grundverordnung in Kraft, die auch Vereine und Verbände vor neue Anforderungen stellt. Denn mit jeder Anmeldung eines Mitglieds fallen personenbezogene Daten an und viele Vereine sind noch nicht auf die neuen Bestimmungen eingestellt. "Das ist gerade noch in Arbeit", sagt etwa Nadya Konrad vom Landesjugendring Rheinland-Pfalz.

Auch deutsche Vereine müssen sich mit der Umsetzung der Verordnung beschäftigen Auch deutsche Vereine müssen sich mit der Umsetzung der Verordnung beschäftigen
Bild: dpa Ähnlich klingt das beim Bundesverband Deutscher Vereine und Verbände (bdvv), der sich als Anlaufstelle und Sprachrohr für das Vereinswesen in Deutschland versteht, als Musterverein für alle Belange einer rechtskonformen Vereinsführung. "Wir sind dabei, uns mit der Thematik auseinanderzusetzen", sagt der Vorsitzende und Datenschutzbeauftragte Joost Schloemer. Die Vereine könnten dabei auf Hilfe von Software-Anbietern bauen, etwa bei der Mitgliederverwaltung. "Diese werben damit, dass sie ihre Hausaufgaben gemacht haben und die neuen Bestimmungen unterstützen."

Die neue Verordnung unterscheidet nicht mehr zwischen öffentlichen und nichtöffentlichen Stellen. Auch ist es unerheblich, ob ein Verein auch im Vereinsregister eingetragen oder ein nicht rechtsfähiger Verein ist, wie der Datenschutzbeauftragte in Baden-Württemberg in einem eigens für Vereine aufgelegten Leitfaden für den Umgang mit der EU-Datenschutzverordnung erklärt.

Grundsatz der neuen EU-Verordnung: Datenminimierung

Ein Grundsatz der neuen EU-Verordnung ist die "Zweckbindung und Datenminimierung". Das bedeutet, dass Daten nur "für festgelegte, eindeutige und legitime Zwecke" verarbeitet werden dürfen, wie der Landessportverband für das Saarland (LSVS) seinen Mitgliedern erklärt. Der Umgang mit Daten müsse "auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein". Sportvereine müssen das etwa beachten, wenn sie Mitgliederdaten an den Verband weitergeben. Und bei Sportlerprofilen im Internet muss bis 16 Jahren die Zustimmung der Eltern eingeholt werden, bisher galt dies nur bis 14 Jahren.

"Wir haben jetzt allen Landesverbänden ein zentrales Informationspapier zugestellt, damit diese ihre Mitgliedsvereine entsprechend beraten können, und dieses Papier auch auf unseren reichweitenstarken Kanälen für Nutzer und Vereine veröffentlicht", sagt ein DFB-Sprecher. "Uns ist wichtig, bei diesem alles andere als einfachen Thema unserer Dienstleistungsfunktion als Verband gegenüber der Basis nachzukommen."

In dem Papier heißt es etwa: "Wenn Sie im Bereich des Datenschutzes bisher gut aufgestellt waren, ist der Aufwand überschaubar." Vor allem bei Informationspflichten seien allerdings "geringfügige Anpassungen" erforderlich. Höher falle der Aufwand aus, wenn ein Verein dem Datenschutz bisher eher weniger Aufmerksamkeit geschenkt habe.

Viele Vereine sind verunsichert

Sicherlich sei nicht alles brandneu, was jetzt auf die Vereine zukomme, stimmt der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann zu. "Aber es gibt Probleme, wir haben ganz viele Anfragen von Vereinen." Aus Sicht der Datenschützer sei es durchaus eine erwünschte Wirkung, wenn sich Vereine jetzt intensiver mit den Anforderungen beschäftigten als bisher. Nachholbedarf sieht er bei der Anforderung, dass personenbezogene Daten nur zu festgelegten Zwecken erfasst werden dürfen.

Je nach Vereinszweck fallen unter Umständen auch sensiblere Daten an. Kugelmann nennt als Beispiel einen Verein, der Flüchtlingen hilft. Der korrekte Umgang etwa mit Daten wie der Zugehörigkeit zu einer ethnischen Gruppe könne da schon etwas aufwendiger werden. "Gerade wenn Vereine besonders sensible Daten speichern, die Aufschluss über die politische Einstellung geben, müssen Datenschutzvorgaben ernst genommen werden", sagt auch die Bürgerrechtlerin Katharina Nocun.

Rheinland-Pfalz sei mit dem neuen Landesdatenschutzgesetz gut aufgestellt, sagt Kugelmann. Das Gesetz wurde in dieser Woche verabschiedet, rechtzeitig vor dem 25. Mai.

Befremdlich für deutsche Verbraucher ist allerdings, dass in Zeiten, in denen viel über Datenschutz diskutiert wird, der Rundfunk-Beitragsservice einfach die Daten aller Einwohnermeldeämter bekommt.

Mehr zum Thema Datenschutz