Jede Schule, jede Bücherei, der Sozialdienst, die Zeitung,  jedes Unternehmen besitzt sie zuhauf: Daten. Persönliche Daten, empfindsame Daten. Um diese besser zu schützen, hat die EU eine  Personendatenverordnung auf den Weg gebracht, die ab Ende Mai in Kraft tritt.

Bis dahin müssen alle Institutionen und Unternehmen im ganzen Land eine eigene Politik dazu schriftlich ausformuliert haben. Doch wie schreibt man eine solche Politik?

Diese Frage müssen sich auch die Verbände und Einrichtungen des Bundes Deutscher Nordschleswiger beantworten. In dieser Woche kamen rund 30 Mitarbeiter aus dem Haus Nordschleswig zu einer Informationsveranstaltung zusammen.

Erster Schritt: Bestandsaufnahme

Käthe Nissen, die als DSSV-Konsulentin bereits seit August 2017 die Umsetzung des Gesetzes in den Schulen des DSSV vorbereitet, informierte. Da sie, zusammen mit  Anja Marcussen vom IT-Center des Deutschen Gymnasiums in zwei Referenzgruppen des Unterrichtsministeriums vertreten und somit mit dem Thema vertraut ist, konnte sie bereits gewonnene Einblicke an die Mitarbeiter des BDN weitergeben.

„Zunächst einmal müssen jede Schule und jeder Verband eine Art Bestandsaufnahme machen. Welche Daten halten wir fest? Welche besitzen wir? Archivieren wir Daten und wenn ja, wo und wie lange?“,  nennt Käthe Nissen einige noch zu klärende Aspekte.

Dabei muss zwischen Personendaten und empfindsamen Personendaten unterschieden werden. Erstere sind Name oder Adresse. Empfindsame Daten hingegen betreffen ärztliche Atteste, Berichte vom Schulpsychologen, Beurteilungen oder Krankheitsverläufe.

Akten, die „irgendwo in der Schublade“ liegen

„Es ist wichtig, dass man sich einen Überblick verschafft, welche Daten man aufbewahrt. Anschließend geht es darum, ein Prozedere zu entwickeln. Wie man vorgeht, wenn man Daten erhebt, beispielsweise wenn ein Kind an einer Schule aufgenommen wird.  An Schulen ist es häufig so, dass man ein Anmeldeformular in Papierform aufbewahrt und Dateien in einem Administrationsprogramm.“

Auch das Löschen alter Daten muss einer internen Politik unterliegen. Ein Beispiel: unaufgefordert eingesandte Bewerbungen. Hier müssen Schulen den Bewerbern entweder mitteilen, dass ihre Daten gesammelt werden, oder  die Akten werden innerhalb eines gewissen Zeitraums vernichtet, anstatt „irgendwo in der Schublade“ zu liegen.

Ein zu klärender Punkt ist auch, mit wem man die Daten teilt. Ob mit der Kommune oder dem UM – „die Daten dürfen nur mit Einverständnis weitergegeben werden, auch hier benötigt man eine interne Politik, nach der man sich richtet“, sagt Käthe Nissen. Bis zum 25. Mai müssen alle Vereine und Verbände eine eigene Politik zur Datensicherheit formulieren und verabschiedet haben. 

Hintergrund: Die EU fordert den Schutz der Bürgerdaten

Die Zeit drängt. In wenigen Monaten gilt laut Beschluss des EU-Parlaments die neue, einheitliche europäische Datenschutz-Grundverordnung (EU-DSGVO).

Alte Datenschutzerklärungen, in denen Organisationen die Kunden über den Umgang mit Privatsphäre aufklären, müssen daher schon bald an die neuen Regelungen angepasst werden. Im Kern geht es darum, die Rechte der Nutzer zu stärken und Transparenz zu schaffen. Sobald man Daten von Kunden oder Bewerbern speichert, ist  man  ein „Datenverantwortlicher“. 

Die DSGVO bindet somit im Prinzip alle, die Angaben von EU-Bürgern verarbeiten, nutzen und speichern. Eigentlich zielen die Regeln auf Internetgiganten wie Google, Amazon und Facebook. Deren Sammeleifer sollen die Vorgaben bremsen. Doch auch kleine Unternehmen werden in die Pflicht genommen. Betroffene Daten  können Mitarbeiter-, Nutzer- oder Kundendaten sein, zum Beispiel Name, E-Mail-Adresse, Kfz-Zeichen, Geburtstag oder aber Cookies.

Auch die analoge Papierakte in der Schublade gehört dazu.  Am 25. Mai  ist Stichtag. Ab hier endet die zweijährige Übergangsfrist.  Dann sind Verstöße durch die EU-Datenschutzaufsichtsbehörden und Gerichte überprüfbar.