Deutsche Minderheit

Datenschutz – jeder BDN-Betrieb muss eigene Politik formulieren

Sara Wasmund
Sara Wasmund Hauptredaktion
Apenrade/Aabenraa
Zuletzt aktualisiert um:
Akten
Was passiert mit gesammelten Daten? Foto: Samuel Zeller/Unsplash (Symbolfoto)

Mitarbeiter des Bundes Deutscher Nordschleswiger erstellen neue Regeln zur Datensicherheit. Neue EU-Richtlinien zum Schutz der Bürger machen das notwendig.

Jede Schule, jede Bücherei, der Sozialdienst, die Zeitung, jedes Unternehmen besitzt sie zuhauf: Daten. Persönliche Daten, empfindsame Daten. Um diese besser zu schützen, hat die EU eine Personendatenverordnung auf den Weg gebracht, die ab Ende Mai in Kraft tritt.

Bis dahin müssen alle Institutionen und Unternehmen im ganzen Land eine eigene Politik dazu schriftlich ausformuliert haben. Doch wie schreibt man eine solche Politik?

Diese Frage müssen sich auch die Verbände und Einrichtungen des Bundes Deutscher Nordschleswiger beantworten. In dieser Woche kamen rund 30 Mitarbeiter aus dem Haus Nordschleswig zu einer Informationsveranstaltung zusammen.

Erster Schritt: Bestandsaufnahme

Käthe Nissen, die als DSSV-Konsulentin bereits seit August 2017 die Umsetzung des Gesetzes in den Schulen des DSSV vorbereitet, informierte. Da sie, zusammen mit Anja Marcussen vom IT-Center des Deutschen Gymnasiums in zwei Referenzgruppen des Unterrichtsministeriums vertreten und somit mit dem Thema vertraut ist, konnte sie bereits gewonnene Einblicke an die Mitarbeiter des BDN weitergeben.

„Zunächst einmal müssen jede Schule und jeder Verband eine Art Bestandsaufnahme machen. Welche Daten halten wir fest? Welche besitzen wir? Archivieren wir Daten und wenn ja, wo und wie lange?“, nennt Käthe Nissen einige noch zu klärende Aspekte.

Dabei muss zwischen Personendaten und empfindsamen Personendaten unterschieden werden. Erstere sind Name oder Adresse. Empfindsame Daten hingegen betreffen ärztliche Atteste, Berichte vom Schulpsychologen, Beurteilungen oder Krankheitsverläufe.

Akten, die „irgendwo in der Schublade“ liegen

„Es ist wichtig, dass man sich einen Überblick verschafft, welche Daten man aufbewahrt. Anschließend geht es darum, ein Prozedere zu entwickeln. Wie man vorgeht, wenn man Daten erhebt, beispielsweise wenn ein Kind an einer Schule aufgenommen wird. An Schulen ist es häufig so, dass man ein Anmeldeformular in Papierform aufbewahrt und Dateien in einem Administrationsprogramm.“

Auch das Löschen alter Daten muss einer internen Politik unterliegen. Ein Beispiel: unaufgefordert eingesandte Bewerbungen. Hier müssen Schulen den Bewerbern entweder mitteilen, dass ihre Daten gesammelt werden, oder die Akten werden innerhalb eines gewissen Zeitraums vernichtet, anstatt „irgendwo in der Schublade“ zu liegen.

Ein zu klärender Punkt ist auch, mit wem man die Daten teilt. Ob mit der Kommune oder dem UM – „die Daten dürfen nur mit Einverständnis weitergegeben werden, auch hier benötigt man eine interne Politik, nach der man sich richtet“, sagt Käthe Nissen. Bis zum 25. Mai müssen alle Vereine und Verbände eine eigene Politik zur Datensicherheit formulieren und verabschiedet haben.

Hintergrund: Die EU fordert den Schutz der Bürgerdaten

Die Zeit drängt. In wenigen Monaten gilt laut Beschluss des EU-Parlaments die neue, einheitliche europäische Datenschutz-Grundverordnung (EU-DSGVO).

Alte Datenschutzerklärungen, in denen Organisationen die Kunden über den Umgang mit Privatsphäre aufklären, müssen daher schon bald an die neuen Regelungen angepasst werden. Im Kern geht es darum, die Rechte der Nutzer zu stärken und Transparenz zu schaffen. Sobald man Daten von Kunden oder Bewerbern speichert, ist man ein „Datenverantwortlicher“.

Die DSGVO bindet somit im Prinzip alle, die Angaben von EU-Bürgern verarbeiten, nutzen und speichern. Eigentlich zielen die Regeln auf Internetgiganten wie Google, Amazon und Facebook. Deren Sammeleifer sollen die Vorgaben bremsen. Doch auch kleine Unternehmen werden in die Pflicht genommen. Betroffene Daten können Mitarbeiter-, Nutzer- oder Kundendaten sein, zum Beispiel Name, E-Mail-Adresse, Kfz-Zeichen, Geburtstag oder aber Cookies.

Auch die analoge Papierakte in der Schublade gehört dazu. Am 25. Mai ist Stichtag. Ab hier endet die zweijährige Übergangsfrist. Dann sind Verstöße durch die EU-Datenschutzaufsichtsbehörden und Gerichte überprüfbar.

Mehr lesen