Kann Spaß machen: Datenschutz

Jürgen Recha ist seit fast einem Jahr der Datenschutzbeauftragte für den Bundesverband und die Landesverbände im Verband Wohneigentum. Er ist Überzeugungstäter und findet die Datenschutzgrundverordnung (DSGVO) gar nicht so schlimm. Mehr noch, er behauptet sogar frank und frei: "Datenschutz kann Spaß machen!" Na, dann mal los. Jürgen Recha im Gespräch mit Anna Florenske.

Jürgen Recha
Jürgen Recha, Datenschutzbeauftragter für den Bundesverband und die Landesverbände im Verband Wohneigentum   © interev
Herr Recha, als ich diesen Satz zum ersten Mal aus Ihrem Munde hörte, fand ich ihre Behauptung doch ein bisschen vorlaut. Wie, bitteschön, soll Datenschutz Spaß machen? Ist er nicht eher ein Klotz am Bein für alle, die mit Daten umgehen müssen?

Ein klares und eindeutiges Nein. Um wirklich Spaß und Begeisterung für den Datenschutz zu entwickeln, bedarf es die Zeit, die man sich dann nehmen muss, um ins Bewusstsein zu bringen: "Was ist wirklich Datenschutz?" In dem wichtigsten Buch Deutschlands, dem Grundgesetz, steht in Artikel 1: Die Würde des Menschen ist unantastbar. Und genau das ist Datenschutz. Tatsächlich galt dieser eine Satz vor fast 40 Jahren als Grundlage für die ersten datenschutzrechtlichen Gehversuche in Deutschland.

Viele erinnern sich bestimmt noch an das Volkszählungsurteil. Was bedeutet das heute? Genau das Gleiche wie vor Jahrzehnten, nur intensiver. Verein, Du bekommst von mir als Mitglied Daten, die Du brauchst, um den Vereinszweck gemäß der Satzung umzusetzen. Die bekommst Du sehr gerne, doch gehe damit angemessen um, denn es sind meine Daten.

In dem Wort "angemessen" spiegelt sich alles wieder. Behandle meine Daten, die Du bekommen hast, so angemessen, wie es deren Sicherheitsbedürfnis entspricht. Damit ist gemeint, dass ein Vorname nicht so geschützt zu werden braucht wie zum Beispiel Gesundheitsdaten. Wenn wir das nun alle angemessen machen und auch ein gutes Gefühl haben, dass das Gegenüber meinen Anspruch auf Schutz meiner Daten nicht missachtet, macht es sehr viel Spaß. Umso mehr noch, wenn unsere Kunden es verstanden haben und einen Datenschutz praktizieren - nicht, weil es eine Verordnung so will, sondern weil sie es vertrauensvoll und angemessen ihren Mitgliedern gegenüber machen möchten.

Nun gut, diese Antwort kann einem den Datenschutz etwas schmackhaft machen. Die Meisten von uns erdrückten nach Einführung der Datenschutzgrundverordnung aber die vielen strengen Vorschriften. Was ist beim Datenschutz für alle, die Daten erheben müssen, das wirklich Wichtigste, die Essenz?

Bevor ich auf das wirklich, wirklich Wichtigste eingehe, erlauben Sie mir kurz eine Positionsbestimmung. Fast alles, was heute in der DSGVO steht, galt vor deren Einführung bereits. Teilweise seit 1996 sogar, nur die klare Darstellung und besonders die öffentliche Aufmerksamkeit fehlte. Kurzum, das, was heute alle für den Datenschutz machen, hätten sie eigentlich schon vor Jahrzehnten machen müssen.

Nun zum Allerwichtigsten: Wenn ich darüber einen Überblick habe, dann stelle ich mir die zentrale Frage: "Hat durch mein Handeln jemand wirklich einen Schaden?" Wenn nein, alles gut. Wenn ja, sollte ich mein Tun verändern.

  • Prüfen Sie alle, welche Daten habe ich?

  • Wie sensible sind die?

  • Wo speichere ich die Daten?

  • An wen gebe ich sie weiter?

  • Habe ich einen Plan, wann Daten zu löschen sind?

Datenschutz im Verband Wohneigentum: Auf was müssen besonders die Landes- und Bezirksverbände achten, auf was die Vereine und Gemeinschaften, auf was die Mitglieder, die Privatmenschen?
Auf all das, was ich eben angedeutet habe. Welche Daten habe ich? An wen gebe ich die weiter? Sind die, die die Daten erhalten, zur Verschwiegenheit verpflichtet? Und sicher das Entscheidendste: Auf welcher Grundlage habe ich als Landes-, Bezirks- oder Bundesverband, Verein oder Privatperson die Daten? Besteht ein Vertrag (eine Vereinsmitgliedschaft zählt darunter) oder habe ich die Zustimmung von der Person auf anderem Wege bekommen, dass ich die Daten haben darf? Ich frage gerne: Wer hat Dir erlaubt, meine Daten weiterzugeben? Haben wir einen Vertrag? Nein! Hast Du meine Zustimmung? Nein! Da es meine Daten sind und ich darüber herrschen darf, frage ich dann: Wer hat Dir erlaubt, meine Daten weiterzugeben? Hier wird es verständlich: Das ist immer wieder die Frage nach der Würde des Menschen.

Wieso müssen nicht nur hauptamtliche Mitarbeiter, sondern auch ehrenamtlich Tätige eine Verschwiegenheitserklärung abgeben?

Ob nun ein hauptamtlich oder ehrenamtlich Tätiger etwas weitererzählt, was ich als Inhaber meiner Daten nicht möchte, ist doch egal. Beispiel: Ob ich als Mitarbeiter meinem Nachbarn sage, dass mein Kollege X eine gefährliche Krankheit hat oder als ein Vereinsvorsitzender, der das beim Gartenzaungespräch über die Hecke macht, das ist kein Unterschied. So ist es übrigens auch generell mit dem Datenschutz. Ob Verein, Unternehmen, Konzern oder Einzelunternehmer: Alle haben den Schutz der ihnen anvertrauten Daten sicherzustellen.

Was wäre zum Beispiel ein Verstoß oder gar eine Datenpanne, die wir unbedingt vermeiden müssen. Und wenn es passiert: Was ist dann zu tun?

Wann ist ein Verstoß einer, der Ärger macht? Ich konstruiere einen Beispielfall: Wenn Sie Daten veruntreuen, weitergeben, publizieren, die nicht dafür bestimmt waren und dies ein Risiko für den Betroffenen bedeutet. Dies ist immer dann für Sie gefährlich, wenn Sie vorsätzlich so etwas tun sollten und/oder Sie nichts dafür tun, dass der Schaden minimiert wird und dass er nicht noch einmal passiert. Beispiel: Sie haben Gesundheitsdaten von einem Mitglied, die - wenn diese öffentlich werden - für ihn ein Risiko für Leib und Leben oder Vermögen bedeuten. Sie leiten diese Information an einen offenen E-Mail-Verteiler an alle Mitglieder, obwohl Sie wissen, dass Sie das nicht tun dürfen. Als die Mail raus ist, unternehmen Sie nichts, um den Betroffenen zu schützen. Sie informieren ihn nicht einmal, dass Sie das gemacht haben. Und oben drauf käme noch, dass Sie das immer wieder machen. So etwas muss unterbunden und strafrechtlich geahndet werden! Aber auch bei Schäden, die Sie fahrlässig verursachen, müssen Sie reagieren: Schaden gutmachen, weitere Schäden vermeiden.

Haftung bei vorsätzlichen Datenpannen

Wer als Verantwortlicher solche Datenpannen produziert, haftet auf zwei Wegen: Die Aufsichtsbehörde wird dem Verantwortlichen in einem Bußgeldverfahren aufzeigen, dass gegen den Datenschutz verstoßen wurde. Der Betroffene kann zivilrechtlich auf Schadensersatz klagen.

Was ist Ihre Rolle als Datenschutzbeauftragter der Bundes- und der Landesverbände? Haften Sie auch, zum Beispiel bei Datenpannen?

Soweit kommt das noch. (Lacht.) Sie schmeißen die Daten auf die Straße und ich atme gesiebte Luft. Nein, als Datenschutzbeauftragter der Verbände sind meine Aufgaben:

  • Auf die Verantwortlichen (das ist immer der Vorstand) einzuwirken, dass sie den Datenschutz einhalten.

  • Neue Systeme dahingehend zu bewerten, dass sie den aktuellen Datenschutz-Auflagen entsprechen.

  • Ansprechpartner sein für Fragen/Anregungen und Hinweise zum Datenschutz aus den Verbänden heraus.

  • Die haupt- und ehrenamtlichen Mitarbeiter für das Thema Datenschutz sensibilisieren.

Ich als Datenschutzbeauftragter der Verbände mache den Vorstand darauf aufmerksam, dass, wo und wie der Datenschutz berücksichtigt wird. Doch ob er meine Vorschläge umsetzt, entscheidet der Vorstand selbst. Damit trägt auch der Vorstand die Verantwortung. Für das, was ich da mache in den oben genannten vier Aufgaben, dafür bin ich verantwortlich. Der Bereich der Betreuung als Datenschutzbeauftragter geht vom Bundesverband, den Landesverbänden bis hin zu den Bezirksverbänden in Bayern. Darüber hinaus in weitere Untergliederungen nicht, da sind die Landesverbände die Multiplikatoren. Fl

Check für Gemeinschaften

Internet

  • Liegt eine Datenschutzerklärung vor?

  • Ist sie leicht verständlich und durch einen Klick zu erreichen?

  • Zeigt sie auf, wie man die Daten aus online getätigten Angaben (Kontaktformular) verarbeitet?

Gründe der Datenverarbeitung
Mit welchem Recht werden die Daten verarbeitet?

  • weil ein Gesetz es verlangt oder

  • weil sie gebraucht werden, um einen Vertrag zu erfüllen oder

  • weil der Betroffene die aktive Zustimmung dazu gegeben hat

Rechte des Betroffenen
Sind Verfahren eingerichtet, die die Rechte der Betroffenen schützen?

  • Auskunft

  • Widerruf

  • Berichtigung

  • Löschung

  • Datenübertragung

Wichtige Formulare

  • Verschwiegenheitserklärung: Haben alle Beteiligten die Verschwiegenheit erklärt?

  • Mobil Device: Sind Laptops und Smartphones im Einsatz und ist der Datenschutz geregelt?

  • Auftragsverarbeitungs-Vertrag: Bekommen Dritte Daten (Druckereien, IT-Unterstützung, Versicherungen) von den Mitgliedern, ohne dass diese zugestimmt haben im Rahmen der Verbandstätigkeit?

  • Verzeichnis der Verarbeitungstätigkeit:

Antworten auf die Fragen:

  • Woher sind die Daten?

  • Welche Daten werden verarbeitet?

  • Wer hat darauf Zugriff?

  • Mit welchem IT-System werden diese verarbeitet?

  • Wie lange werden diese aufbewahrt?

  • Werden diese an Dritte weitergegeben?

  • Sind besonders sensible Daten enthalten?


Wichtig: Dieser Check erhebt keinen Anspruch auf Vollständigkeit.

Menü
Newsletter abonnieren
Der VWE-Newsletter
Wichtiges rund ums Wohneigentum
kostenlos, unabhängig & werbefrei, 1 x im Monat
Ihre Daten sind bei uns sicher. Wir nutzen sie nur für den Newsletter. Sie können sich jederzeit abmelden. Informationen finden sich in unserer Datenschutzerklärung.