Wir beraten Sie umfassend im IT-Recht und Datenschutz. Ansprechpartner ist Rechtsanwalt und Notar Sven Bomrich. 

Datenschutz: Erst mal ist gar nichts erlaubt (Bergsträßer Anzeiger 12.09.2018)
Von unserem Mitarbeiter Ferdinand Derigs
LINDENFELS. Dass die Datenschutzgrundverordnung
(DSGVO) bei vielen Leuten Unsicherheit ausgelöst hat, davon konnte man sich am bei einem Vortrag zu diesem Thema in Lindenfels überzeugen. Im Bürgerhaus hatten sich mehr als 50 Zuhörer eingefunden, um klärende Hinweise zu diesem Thema zu erhalten, das seit Monaten durch die Medien geistert und so manchen Vereinsvertretern und Unternehmern schon schlaflose Nächte bereitet hat. Die Stadt Lindenfels hatte auf Anregung von Joachim Terporten, dem Ortsvorsteher des Lindenfelser Stadtteils Seidenbuch, den Fürther Rechtsanwalt und Notar Sven Bromich 
für einen Vortrag eingeladen. „Ich hoffe, sie werden heute Aufklärung darüber erhalten, was sich hinter diesem Wortmonster verbirgt“,
brachte es Bürgermeister Michael Helbig auf den Punkt. 
In dem gut eineinhalbstündigen Vortrag gab Sven Bromich – immer wieder von Verständnisfragen unterbrochen – zunächst einen Überblick über die Systematik der seit dem 25. Mai gültigen Verordnung. Ziel sei es, vor dem Hintergrund neuer Phänomene, wie der sozialen Medien, den Schutz persönlicher Daten zu erhöhen und gleichzeitig die Strafen für Datenschutzverstöße anzuheben. Ein grundsätzliches Verbot Die Verordnung gelte ausdrücklich nicht für die Verarbeitung von Daten im persönlichen und familiären Bereich und auch nicht dann, wenn die
Datenverarbeitung keinen Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit habe. Vereine fielen somit aber auch unter diese Verordnung. Bei der Verarbeitung von personenbezogenen Daten sollten einige Grundsätze beachtet werden, riet Bromich. Man sollte sich dabei vor einige Rechte. Sie müssten über die Augen führen, dass es sich grundsätzlich um ein Verbot handelt, für das es lediglich einen Erlaubnisvorbehalt gebe. Mit der Datenverarbeitung muss daher immer sparsam umgegangen werden. Es dürften also im Grundsatz nur solche Daten verarbeitet werden, die für den Zweck der Verarbeitung angemessen seien. Zudem gebe es eine Zweckbindung für die erhobenen Daten.
Geeignete technische und organisatorische Maßnahmen müssten deren Sicherheit gewährleisten. Zu guter Letzt müsse die Verarbeitung transparent sein, die Betroffenen müssten also immer wissen, welche Daten von ihr zu welchem Zweck erhoben werden.
Wann aber dürfen Daten verarbeitet werden? Die DSGVO sieht mehrere Fälle dafür vor. Da wäre zum einen die Einwilligung des Betroffenen, wenn es für den speziellen Fall nicht schon eine gesetzliche Regelung gibt. Auch dürfen Daten verarbeitet werden, wenn dies zur Anbahnung oder Erfüllung eines Vertrags erforderlich ist. Dies sei zum Beispiel bei einer Vereinsmitgliedschaft der Fall.
Die Betroffenen hätten aber einige Rechte. Sie müssten über die Datenerhebung informiert werden und könnten jederzeit Auskunft über die gespeicherten Daten einfordern. Es gebe außerdem das Recht auf Berichtigung und Löschung der Daten oder die Einschränkung der Verarbeitung
sowie ein Widerspruchsrecht und ein Recht auf eine Entscheidung hierüber. 
Sicherheit ist wichtig Zudem sei für die Sicherheit der Datenerhebung zu sorgen. Unberechtigte dürften nicht auf die Daten zugreifen, die Daten müssten vertraulich behandelt werden. Sven Bromich empfahl, ein Zugriffs- und Berechtigungsmanagement zu installieren, eine Verschlüsselung zumindest beim Zugriff auf Kontaktformulare vorhanden sein. Datenverluste könnten durch Datensicherungen vermieden werden. Würden die Daten von Dritten bearbeitet, sei auf jeden Fall darüber ein schriftlicher Vertrag abzuschließen. 
Ein Unternehmen oder Verein, das mindestens zehn Leute damit, beschäftigt, personenbezogene Daten automatisiert zu verarbeiten, benötigt
einen Datenschutzbeauftragten. Besonders sensible Daten, zum Beispiel zur Gesundheit, machen ebenfalls einen Datenschutzbeauftragten erforderlich. Darüber hinaus ist dieser erforderlich, wenn es zur Kerntätigkeit des Unternehmens oder Vereins gehört, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen. Über die Verarbeitungstätigkeiten ist ein Verzeichnis zu führen. Bei
einer Mitgliederverwaltung zum Beispiel sollten im Verzeichnis der Zweck der Verarbeitung, die Kategorien der Personen und der Daten so wie Löschfristen aufgeführt werden. 
Verstöße gegen die DSGVO können mit Bußgeldern geahndet werden. Daneben besteht die Möglichkeit der Haftung bei Schadenersatz. Bei Wettbewerbsverstößen sind Abmahnungen denkbar. Bußgeldbehörde und Ansprechpartner für die Meldung von Verstößen ist das Regierungspräsidium  in Darmstadt.
Tipps für Vereine und Unternehmer (Starkenburger Echo,08.09.2018, von Katja Gesche)
LINDENFELS. Die Datenschutz-Grundverordnung (DSGVO) sorgt bei Privatpersonen ebenso wie in Firmen und bei Vereinen
für Unsicherheit. Auf Anregung des Seidenbuchener Ortsvorstehers Joachim Terporten (SPD) hatte daher Bürgermeister Michael
Helbig (SPD) den Anwalt und Notar Sven Bomrich als Referenten nach Lindenfels eingeladen. 
Er erläuterte bei seinem Vortrag im Bürgerhaus die wichtigsten Punkte der Verordnung und ihre Bedeutung für Vereine und Firmen. Rund 50 Gäste folgten der Einladung und stellten viele Fragen.
Nach einer Begrüßung durch Bürgermeister Helbig führte Anwalt Bomrich zunächst allgemein in das Thema ein. „Das Ziel der Verordnung ist es, den Schutz für persönliche Daten zu erhöhen“, hob er hervor. Personenbezogene Daten sind all jene, 
die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele sind neben Adressen auch Bilder
oder aber IP-Adressen, die man einem bestimmten Internetanschluss zuordnen kann. 
Betroffen ist jede Art der automatisierten Datenverarbeitung, sprich am Computer. Prinzipiell ist es nach der EU-DSGVO erst
einmal verboten, personenbezogene Daten zu verarbeiten.
Doch es gibt viele Ausnahmen. Gleich zu Beginn machte Bomrich klar, dass der familiäre und rein persönliche Bereich davon
nicht betroffen ist. Hier ist das Speichern von Adressbüchern oder Urlaubsfotos auf dem heimischen PC unproblematisch.
Vereine und Firmen jeder Größe müssen sich dagegen mit dem Datenschutz intensiv auseinandersetzen. Ein wichtiger Punkt
ist, dass Kunden oder Vereinsmitglieder in die Verarbeitung ihrer Daten einwilligen. Eine Ausnahme ist nur dann gegeben,
wenn die Vereinsmitgliedschaft oder ein Vertrag ohne die Daten gar nicht zustande kommen kann. So muss ein Lieferant natürlich die Adresse kennen, an die er liefert, und ein Verein muss wissen, wie ein Mitglied heißt. Bei allem, was darüber hinausgeht, sollte der Verein oder die Firma das Prinzip der Datensparsamkeit im Auge behalten. Will man mehr
vom Kunden oder Vereinsmitglied wissen, muss dieser um Einverständnis gefragt werden. Bei heiklen Daten zum Beispiel
über Gesundheit, Straftaten, Religion oder sexuelle Orientierung ist die Einwilligung immer notwendig. Wichtig ist auch die Zweckbindung. Der Betroffene muss erfahren, wieso seine Daten erhoben und ob sie weitergereicht werden.
Das Gebot der Transparenz fordert wiederum, dass jemand Auskunft erhalten kann, was wozu erhoben und gespeichert 
wird. Und auch die Datensicherheit ist wichtig. So müssen sich Firmen oder Vereine gegen Datenklau schützen. 
Das bedeutet zum einen, dass man seinen Computer oder die Daten mit Passwörtern sichern muss, aber auch, dass
Antivirenprogramme und Firewalls Schutz gegen Hackerangriffe gewährleisten. Eine Homepage muss ebenfalls gesichert
sein. So dürfen Daten zum Beispiel von Kontaktformularen nur über sichere Verbindungen (https) übermittelt werden. Da jede Webseite Informationen über die Besucher sammelt wie beispielsweise die IP-Adresse, ist eine Datenschutzerklärung stets notwendig. Beim Fotografieren gibt es wiederum die Besonderheit, dass hier auch das Kunsturhebergesetz wirksam ist. Generell
benötigt man bei Fotos von Versammlungen und öffentlichen Veranstaltungen keine Einwilligung.
Bei Minderjährigen sollte man aber immer die Erlaubnis der Erziehungsberechtigten einholen. Außerdem ist ein  Datenschutzbeauftragter notwendig, wenn mehr als neun Personen Zugriff auf personenbezogene Daten haben. 
Viele Fragen konnte Bomrich an diesem Abend beantworten. Die Umsetzung der schwierigen Materie liegt nun bei den Vereinen 
und Firmen. Klar wurde auf jeden Fall, dass heute kein Verein und keine Firma mehr darum herumkommt, sich intensiv mit Datenschutz zu befassen. 
 

Datenschutz: Erst mal ist gar nichts erlaubt (Bergsträßer Anzeiger 12.09.2018) Von unserem Mitarbeiter Ferdinand Derigs

LINDENFELS. Dass die Datenschutzgrundverordnung (DSGVO) bei vielen Leuten Unsicherheit ausgelöst hat, davon konnte man sich am bei einem Vortrag zu diesem Thema in Lindenfels überzeugen. Im Bürgerhaus hatten sich mehr als 50 Zuhörer eingefunden, um klärende Hinweise zu diesem Thema zu erhalten, das seit Monaten durch die Medien geistert und so manchen Vereinsvertretern und Unternehmern schon schlaflose Nächte bereitet hat. Die Stadt Lindenfels hatte auf Anregung von Joachim Terporten, dem Ortsvorsteher des Lindenfelser Stadtteils Seidenbuch, den Fürther Rechtsanwalt und Notar Sven Bromich für einen Vortrag eingeladen. „Ich hoffe, sie werden heute Aufklärung darüber erhalten, was sich hinter diesem Wortmonster verbirgt“, brachte es Bürgermeister Michael Helbig auf den Punkt. 

In dem gut eineinhalbstündigen Vortrag gab Sven Bromich – immer wieder von Verständnisfragen unterbrochen – zunächst einen Überblick über die Systematik der seit dem 25. Mai gültigen Verordnung. Ziel sei es, vor dem Hintergrund neuer Phänomene, wie der sozialen Medien, den Schutz persönlicher Daten zu erhöhen und gleichzeitig die Strafen für Datenschutzverstöße anzuheben. Ein grundsätzliches Verbot Die Verordnung gelte ausdrücklich nicht für die Verarbeitung von Daten im persönlichen und familiären Bereich und auch nicht dann, wenn die

Datenverarbeitung keinen Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit habe. Vereine fielen somit aber auch unter diese Verordnung. Bei der Verarbeitung von personenbezogenen Daten sollten einige Grundsätze beachtet werden, riet Bromich. Man sollte sich dabei vor einige Rechte. Sie müssten über die Augen führen, dass es sich grundsätzlich um ein Verbot handelt, für das es lediglich einen Erlaubnisvorbehalt gebe. Mit der Datenverarbeitung muss daher immer sparsam umgegangen werden. Es dürften also im Grundsatz nur solche Daten verarbeitet werden, die für den Zweck der Verarbeitung angemessen seien. Zudem gebe es eine Zweckbindung für die erhobenen Daten.

Geeignete technische und organisatorische Maßnahmen müssten deren Sicherheit gewährleisten. Zu guter Letzt müsse die Verarbeitung transparent sein, die Betroffenen müssten also immer wissen, welche Daten von ihr zu welchem Zweck erhoben werden.

Wann aber dürfen Daten verarbeitet werden? Die DSGVO sieht mehrere Fälle dafür vor. Da wäre zum einen die Einwilligung des Betroffenen, wenn es für den speziellen Fall nicht schon eine gesetzliche Regelung gibt. Auch dürfen Daten verarbeitet werden, wenn dies zur Anbahnung oder Erfüllung eines Vertrags erforderlich ist. Dies sei zum Beispiel bei einer Vereinsmitgliedschaft der Fall. Die Betroffenen hätten aber einige Rechte. Sie müssten über die Datenerhebung informiert werden und könnten jederzeit Auskunft über die gespeicherten Daten einfordern. Es gebe außerdem das Recht auf Berichtigung und Löschung der Daten oder die Einschränkung der Verarbeitung sowie ein Widerspruchsrecht und ein Recht auf eine Entscheidung hierüber.  

Sicherheit ist wichtig Zudem sei für die Sicherheit der Datenerhebung zu sorgen. Unberechtigte dürften nicht auf die Daten zugreifen, die Daten müssten vertraulich behandelt werden. Sven Bromich empfahl, ein Zugriffs- und Berechtigungsmanagement zu installieren, eine Verschlüsselung zumindest beim Zugriff auf Kontaktformulare vorhanden sein. Datenverluste könnten durch Datensicherungen vermieden werden. Würden die Daten von Dritten bearbeitet, sei auf jeden Fall darüber ein schriftlicher Vertrag abzuschließen. Ein Unternehmen oder Verein, das mindestens zehn Leute damit, beschäftigt, personenbezogene Daten automatisiert zu verarbeiten, benötigt einen Datenschutzbeauftragten. Besonders sensible Daten, zum Beispiel zur Gesundheit, machen ebenfalls einen Datenschutzbeauftragten erforderlich. Darüber hinaus ist dieser erforderlich, wenn es zur Kerntätigkeit des Unternehmens oder Vereins gehört, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen. Über die Verarbeitungstätigkeiten ist ein Verzeichnis zu führen. Bei einer Mitgliederverwaltung zum Beispiel sollten im Verzeichnis der Zweck der Verarbeitung, die Kategorien der Personen und der Daten so wie Löschfristen aufgeführt werden. 

Verstöße gegen die DSGVO können mit Bußgeldern geahndet werden. Daneben besteht die Möglichkeit der Haftung bei Schadenersatz. Bei Wettbewerbsverstößen sind Abmahnungen denkbar. Bußgeldbehörde und Ansprechpartner für die Meldung von Verstößen ist das Regierungspräsidium  in Darmstadt.

 

Tipps für Vereine und Unternehmer (Starkenburger Echo,08.09.2018, von Katja Gesche) 

 LINDENFELS. Die Datenschutz-Grundverordnung (DSGVO) sorgt bei Privatpersonen ebenso wie in Firmen und bei Vereinen für Unsicherheit. Auf Anregung des Seidenbuchener Ortsvorstehers Joachim Terporten (SPD) hatte daher Bürgermeister Michael Helbig (SPD) den Anwalt und Notar Sven Bomrich als Referenten nach  Lindenfels eingeladen. Er erläuterte bei seinem Vortrag im Bürgerhaus die wichtigsten Punkte der Verordnung und ihre Bedeutung für Vereine und Firmen. Rund 50 Gäste folgten der Einladung und stellten viele Fragen. Nach einer Begrüßung durch Bürgermeister Helbig führte Anwalt Bomrich zunächst allgemein in das Thema ein. „Das Ziel der Verordnung ist es, den Schutz für persönliche Daten zu erhöhen“, hob er hervor. Personenbezogene Daten sind all jene, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispiele sind neben Adressen auch Bilder oder aber IP-Adressen, die man einem bestimmten Internetanschluss zuordnen kann. 

Betroffen ist jede Art der automatisierten Datenverarbeitung, sprich am Computer. Prinzipiell ist es nach der EU-DSGVO erst einmal verboten, personenbezogene Daten zu verarbeiten. Doch es gibt viele Ausnahmen. Gleich zu Beginn machte Bomrich klar, dass der familiäre und rein persönliche Bereich davon nicht betroffen ist. Hier ist das Speichern von Adressbüchern oder Urlaubsfotos auf dem heimischen PC unproblematisch. Vereine und Firmen jeder Größe müssen sich dagegen mit dem Datenschutz intensiv auseinandersetzen. Ein wichtiger Punkt ist, dass Kunden oder Vereinsmitglieder in die Verarbeitung ihrer Daten einwilligen. Eine Ausnahme ist nur dann gegeben, wenn die Vereinsmitgliedschaft oder ein Vertrag ohne die Daten gar nicht zustande kommen kann. So muss ein Lieferant natürlich die Adresse kennen, an die er liefert, und ein Verein muss wissen, wie ein Mitglied heißt. Bei allem, was darüber hinausgeht, sollte der Verein oder die Firma das Prinzip der Datensparsamkeit im Auge behalten. Will man mehr vom Kunden oder Vereinsmitglied wissen, muss dieser um Einverständnis gefragt werden. Bei heiklen Daten zum Beispiel über Gesundheit, Straftaten, Religion oder sexuelle Orientierung ist die Einwilligung immer notwendig. Wichtig ist auch die Zweckbindung. Der Betroffene muss erfahren, wieso seine Daten erhoben und ob sie weitergereicht werden. Das Gebot der Transparenz fordert wiederum, dass jemand Auskunft erhalten kann, was wozu erhoben und gespeichert wird. Und auch die Datensicherheit ist wichtig. So müssen sich Firmen oder Vereine gegen Datenklau schützen. 

Das bedeutet zum einen, dass man seinen Computer oder die Daten mit Passwörtern sichern muss, aber auch, dass Antivirenprogramme und Firewalls Schutz gegen Hackerangriffe gewährleisten. Eine Homepage muss ebenfalls gesichert sein. So dürfen Daten zum Beispiel von Kontaktformularen nur über sichere Verbindungen (https) übermittelt werden. Da jede Webseite Informationen über die Besucher sammelt wie beispielsweise die IP-Adresse, ist eine Datenschutzerklärung stets notwendig. Beim Fotografieren gibt es wiederum die Besonderheit, dass hier auch das Kunsturhebergesetz wirksam ist. Generell benötigt man bei Fotos von Versammlungen und öffentlichen Veranstaltungen keine Einwilligung. 

Bei Minderjährigen sollte man aber immer die Erlaubnis der Erziehungsberechtigten einholen. Außerdem ist ein  Datenschutzbeauftragter notwendig, wenn mehr als neun Personen Zugriff auf personenbezogene Daten haben.  Viele Fragen konnte Bomrich an diesem Abend beantworten. Die Umsetzung der schwierigen Materie liegt nun bei den Vereinen und Firmen. Klar wurde auf jeden Fall, dass heute kein Verein und keine Firma mehr darum herumkommt, sich intensiv mit Datenschutz zu befassen.