INTERVIEW

EU-Datenschutz? „Keine Panik!“

Ralf Rösler ist Rechtsanwalt und hat sich in den letzten Jahren immer mehr auch auf das Thema Datenschutzrecht spezialisiert. Zudem berät er seit über 15 Jahren einen großen Fundraising-Dienstleister. An der Fundraising-Akademie gab er bereits zwei Seminare zur neuen EU-Datenschutzverordnung. Seiner Meinung nach muss man vor der EU-Datenschutzgrundverordnung keine Angst haben. Aber man sollte sich jetzt damit beschäftigen und sein Datenschutzkonzept daran anpassen.

NGO-Dialog: Im Mai 2018 tritt das neue Bundesdatenschutzgesetz in Deutschland in Kraft. Das neue EU-Datenschutzrecht gilt aber bereits. Es gibt da große Unsicherheiten. Zum Beispiel beim Opt-in, also der Einwilligung Spenderinnen und Spender für Werbe- und Informationszwecke anschreiben zu dürfen. Wie sehen Sie da die aktuelle Lage?

Ralf Rösler: Also zunächst gilt es Ruhe zu bewahren, denn von der Überlegung her, was darf ich mit den Daten tun und was nicht, wird es eher besser als schlechter. Wer bisher im Datenschutz gut aufgestellt war und das geltende Recht eingehalten hat, der darf die Dinge, die er bisher gemacht hat, auch weiterhin tun. Aber es haben sich die formellen Pflichten etwas erweitert. Insbesondere die Informationspflichten. Ich muss den Betroffenen also umfassender darüber informieren, was mit seinen Daten geschieht. Das Europäische Recht ist an einigen Punkten sogar besser geworden. Das sorgt aber für Unruhe, weil sich nicht nur Fundraiserinnen und Fundraiser sagen: „Oh, ich merke gerade, ich halte mich ja jetzt schon nicht an das geltende Recht.“

NGO-Dialog: Können Sie uns ein Beispiel für diese Veränderungen geben?

Ralf Rösler: Ja, zum Beispiel braucht man bald ein Löschkonzept für Daten. Bisher musste man nach dem BDSG ein Verfahrensverzeichnis führen, in dem alle Arten der Datenverarbeitung aufgeführt werden, und in diesem Rahmen hätte man sich unter dem Stichpunkt der Datensparsamkeit und Datenvermeidung eigentlich jetzt schon Gedanken machen müssen: Wie lange speichere ich diese Daten? Zukünftig hat man ein Verarbeitungsverzeichnis, im Grunde etwas ähnliches, was klärt, welche Daten man wie verarbeitet. Nur haben viele bereits jetzt Mängel in ihrem Verfahrensverzeichnis, zum Beispiel eben nicht festgelegt, wann Daten zu löschen sind, sondern damit argumentiert, dass eine technische Speicherung bis ultimo geht.

NGO-Dialog: Sich Gedanken zu machen heißt also, die Zeit der Speicherung genau festzulegen? Paragraph 13 der EU-DS-GVO beinhaltet ja einen ganzen Katalog von Informationspflichten für die Verarbeitung personenbezogener Daten, und dort steht drin, man müsse dem Spender die Dauer der Datennutzung mitteilen. Wenn ich also jetzt 110 Jahre reinschreibe, also die maximale Lebensdauer eines Spenders, wäre das okay?

Ralf Rösler: Die Dauer der Datenspeicherung muss nicht zwingend als Frist verstanden werden. Es muss nur eine Möglichkeit geben, irgendwann einen Punkt erreichen zu können, an dem gelöscht wird. Zum Beispiel schreibt man in das Verarbeitungsverzeichnis hinein, dass man die Daten mindestens für die Dauer der gesetzlichen Aufbewahrungspflichten vorhält, also zehn Jahre mindestens. Damit fängt es an. Oder ich weise ein Konzept nach. Zum Beispiel speichere ich Ihre Daten für die Dauer von vier Jahren, nachdem ich zuletzt mit Ihnen oder Sie mit uns Kontakt hatten. Da ist eine Möglichkeit natürlich, vor Ablauf dieser vier Jahre nochmal Kontakt aufzunehmen und so die Frist wieder um vier Jahre zu verlängern. Ein Endtermin ist damit aber trotzdem gegeben. Man muss also keine Angst um seinen Datenbestand haben. Aber natürlich können sie auch reinschreiben, es gelte für 30 Jahre, also die längste gesetzliche Verjährungsfrist. Das wäre eine gesetzeskonforme Aussage. 110 Jahre dürften allerdings sachlich kaum zu rechtfertigen sein.

NGO-Dialog: NGOs dürfen ja bisher in Deutschland jede Person per Brief anschreiben. E-Mail und telefonischer Anruf bilden da eine Ausnahme. Wird es dabei bleiben?

Ralf Rösler: Ja, und zwar in einem anderen Kontext. Bisher gab es ein Werbeverbot. Das heißt, man brauchte grundsätzlich ein Opt-in, also eine Zustimmung zur werblichen Nutzung. Außerdem gab es eine Ausnahme für Listendaten und die Spendenwerbung. Telefonnummern oder E-Mail-Adressen waren aber keine Listendaten. Das neue Recht in der DS-GVO arbeitet nicht mehr mit einem grundsätzlichen Opt-in für die Werbung, sondern umgekehrt mit einer Interessenabwägung. Das Opt-In fällt also weg. Jetzt heißt es im Gesetz: Es gibt grundsätzlich ein berechtigtes Interesse für Werbung, und das gilt solange, bis der Betroffene widerspricht, und er muss über dieses Recht von Vereinen und Stiftungen umfassend aufgeklärt werden. Es ist also ein Paradigmenwechsel vom Opt-in mit Ausnahmen zum Opt-out. Werbebriefe kann ich jetzt also erst recht schreiben, Listendaten gibt es nicht mehr.

NGO-Dialog: Und das sorgt auch für Unsicherheit.

Ralf Rösler: Richtig. Immer wieder wird gefragt, was eine Interessenabwägung ist. Das wirkt schwammig. Und da gebe ich auch recht. Die Datenschutzgrundverordnung ist ein innereuropäischer Kompromiss. Klar ist aber, wenn es keine gesetzlichen Vorgaben zur Umsetzung gibt, aber die werden bald kommen, dann muss man sich den Themen annähern und eine Lösung anbieten. Bestraft werden die, die keine Lösung haben. Wir sollten schauen, dass wir uns datenschutzkonform verhalten, und mit Strafen beschäftigen wir uns, wenn es soweit ist. Angst ist ein schlechter Ratgeber. Wenn man die Muster der großen Verbände nutzt, die ja in den politischen Gesetzgebungsprozess eingebunden waren, dann ist man eigentlich auf der sicheren Seite.

NGO-Dialog: Also alles kein Problem?

Ralf Rösler: Ich sage: Keine Panik! Es gibt Seminare, Handreichungen und Muster. Es ist machbar. Und meine Aufforderung gerade an die, die bisher nichts gemacht haben, ist: Jetzt wäre der beste Zeitpunkt damit anzufangen! Wir habe noch ein halbes Jahr Zeit uns darauf einzustellen. Die Deadline ist März 2018, danach wird es für die Umsetzung bis Mai 2018 schwierig.

NGO-Dialog: Nochmal zurück zur Werbung per Telefon und E-Mail.

Ralf Rösler: Da ist die Antwort noch „Jein“. Weil für diese speziellen Kommunikationskanäle nicht die Datenschutzgrundverordnung, sondern die ePrivacy-Verordnung gilt, die derzeit noch im Gesetzgebungsverfahren ist. In der aktuellen Fassung ist zum Beispiel für E-Mail ein Opt-in obligatorisch. Hier werden Fundraiser momentan sogar gegenüber Gewerbetreibenden benachteiligt. Denn Firmen können E-Mail-Adressen, die sie durch einen Bestellvorgang gewinnen, bis auf Widerruf auch mit Werbung ohne Opt-in anschreiben. Da Fundraiser keine Waren oder Dienstleistungen verkaufen, gilt das für Vereine und Stiftungen nicht. Ein gutes Gefühl ist eben nicht justiziabel. Ich sehe auch nicht, dass sich das ändert.

NGO-Dialog: Aber bei Telefonwerbung wird das anders?

Ralf Rösler: Ja, denn dort greift zwar auch der Grundsatz, es brauche ein Opt-in. Aber nach dem derzeitigen Verordnungsentwurf müssen die EU-Mitgliedstaaten eine Opt-out-Regelung für Telefonwerbung bei natürlichen Personen vorsehen. Damit wären Telefonanrufe von Mitarbeitern oder Call-Centern möglich, und es würde sich an der Stelle sogar verbessern, weil ich kein Opt-in mehr brauche.

NGO-Dialog: Das heißt, ich kann mich beim Spender auch per Telefon bedanken ohne eine gesetzliche Grauzone zu betreten?

Ralf Rösler: Richtig. Es soll ein nationales Do-Not-Call-Register geben. Sozusagen eine nationale „Robinson-Liste Telefon“. Wer dort nicht drin steht, den darf ich anrufen. So wird das derzeit diskutiert. Es ist spannend, ob das tatsächlich einmal Gesetz wird.

NGO-Dialog: Sich rechtskonform zu verhalten ist, Sie haben das vorhin angedeutet, eher eine Frage von Wissen und nicht von Können. Viele wissen also nicht, was Sie zu beachten haben. Gibt Ihr Seminar an der Fundraising-Akademie auch praktische Hinweise, wie man denn vorgehen soll?

Ralf Rösler: Ja. Zum Beispiel haben sich die Informationspflichten erweitert. So haben wir in dem Seminar den Punkt, dass wir für Prospect Mailings oder für Dankes- und Begrüßungsschreiben Muster entworfen und das dann diskutiert haben. Gerade beim Widerspruchsrecht gibt es zum Beispiel die interessante Möglichkeit, dass man bei den Informationen, die man dem Spender geben muss, auch auf seine Internetseite verweisen kann. Das heißt, man muss nicht den ganzen Katalog von Einwilligungsvoraussetzungen zur Datennutzung aufführen, sondern nur einige Kernaussagen und einen Link.

NGO-Dialog: Welche Dinge sollten also Fundraiserinnen und Fundraiser jetzt beachten?

Ralf Rösler: Es sind im Wesentlichen nur drei Dinge. Erstens, ein Verarbeitungsverzeichnis zu erstellen. Dafür gibt es zum Beispiel sehr gute Muster bei der Bitcom, dem Branchenverband der digitalen Wirtschaft. Dort sollte man dann an das Löschkonzept denken und kann sicher vieles aus dem bisherigen Verfahrensverzeichnis übernehmen. Punkt zwei ist, dass die Belehrungen, die wir für den Spender haben, nicht mehr datenschutzkonform sind. Artikel 13 und 14 der Datenschutzgrundverordnung sind sehr lang und umfangreich. Die Kunst ist hier, allen gesetzlichen Vorgaben nachzukommen, sich aber in der Datenschutzerklärung kurz und verständlich zu fassen. Auch auf den Werbeträgern, also in Mailings und im Internet. Das ist zu tun. Spätestens im Mai 2018 sollte das geschehen sein. Drittens: Viele Spendenorganisationen bedienen sich auch Dienstleistern. Die Fundraiser bleiben aber verantwortlich für die Nutzung der Spenderdaten. Das heißt, sie müssen alle Verträge mit Dienstleistern auf Konformität mit der neuen DS-GVO überprüfen und wahrscheinlich neu fassen. Hierist ein neuer Anforderungskatalog des Gesetzes zur Auftragsverarbeitung zu beachten. Aber auch da gibt es gute Hinweise.

NGO-Dialog: Fallen auch Cloud-Dienstleister, wo ich meine Daten speichere, unter diese Auftragsverarbeitung?

Ralf Rösler: Ja, leider. Man darf nur verschlüsselte Daten in der Cloud speichern, und man muss prüfen, ob der Cloudanbieter einen Zugriff auf die Daten hat oder nicht. Im Zweifelsfall sollte man auf Dienstleister zurückgreifen, die ihre Server in der EU oder Deutschland stehen haben. Viele amerikanische Dienstleister haben deshalb auch Rechenzentren in der EU. Eine Schnittstelle für einen US-Geheimdienst ist eben mit dem EU-Datenschutz nicht konform. Cloudanbieter haben sich mit meinen Daten nicht inhaltlich zu befassen. Punkt.

NGO-Dialog: Warum sollte man Ihr Seminar im März 2018 zum Thema ePrivacy und Datenschutz besuchen?

Ralf Rösler: Ich antworte mit den Worten eines Teilnehmers vom letzten Seminar: „Ich habe das Ganze erst nicht ernst genommen, aber jetzt stelle ich fest, ich muss etwas machen und kann es nicht aussitzen.“ Ich gehe im Seminar auf alle Praxisfragen ein. Ist mir zumindest bisher gelungen. Es ist kein akademisches Seminar, sondern will Praxis vermitteln. Das heißt, wir werden am 21. März 2018 den Fokus auf die Spendenkanäle und die damit in Zusammenhang stehenden Datenschutzfragen legen.

(Bild: privat)