Bürgerengagement für Bürokratie?

Bürgerschaftliches Engagement fördern: ein schönes Thema für politische Sonntagsreden. Zumal Bürgerengagement längst in die Grundversorgung eingepreist ist – siehe die „Tafeln“. Motto: „Wir schaffen das!“

Der schnöde Alltag sieht anders aus. Und das besonders für Stiftungen und andere gemeinnützige Initiativen, die primär oder gänzlich ehrenamtlich getragen werden.

Ein aktuelles Beispiel, dessen Tragweite sich die meisten freiwillig Engagierten noch gar nicht bewusst gemacht haben: Die EU-Datenschutzgrundverordnung, die für uns alle am 25. Mai 2018 in Kraft tritt.

Datenschutz ist ein hohes Gut. Jeden Tag nehmen wir scheinbar kostenlose digitale Leistungen in Anspruch, bei denen wir tatsächlich mit unseren Daten bezahlen. Wir wissen, dass das gute alte Post-, Brief- und Fernmeldegeheimnis längst wertlos geworden ist. Geheimdienste in allen Himmelsrichtungen lesen unsere E-Mails und verfolgen unsere Telefonate. Das Bankgeheimnis: längst dahin. Wer mit dem Smartphone unterwegs ist, wird von Google auf Schritt und Tritt erfasst. Suchmaschinen merken sich, welche Krankheiten, Chemikalien oder politischen Tatbestände uns interessieren, um daraus Schlüsse zu ziehen. Wir leben in einem kafkaesken Überwachungssystem.

Daran wird sich durch die neue Brüsseler Datenschutzgrundverordnung aller Voraussicht nach nichts Grundstürzendes ändern. Aber sie kriminalisiert, was zivilgesellschaftlich Engagierte jeden Tag machen: Zum Zwecke von Netzwerken, Fundraising, Projektdurchführung, Antragsbearbeitung und Hilfen für Bedürftige, Kinder und Alte, Talentierte und Lernschwache nützliche Angaben sammeln. Kriminalisierung heißt: Das ist grundsätzlich verboten, wenn nicht eine Erlaubnis vorhanden ist.

Dabei werden wir künftig denselben Regularien wie irgendwelche Konzerne unterworfen. Gemeinnützigkeit, Ehrenamtlichkeit, Rechtsform spielen keine Rolle. Selbst die Nachbarschaftsinitiative zur Organisierung von Straßenfesten ist betroffen. Nur der unmittelbar persönliche Bereich wie die Vorbereitung Ihrer Geburtstagsfeier bleibt frei. Es wird zwar eine Mitarbeitergrenze von 250 genannt, unter der bestimmte Anforderungen entfallen, aber die praktische Relevanz ist wie vieles in der DSGVO unklar und umstritten.

Nun sagen manche aus unserem Sektor, die sich auskennen: Regt euch nicht auf, das Meiste ist bereits durch das Bundesdatenschutzgesetz von 2010 so geregelt! Das stimmt zum Teil. Auch bisher brauchte man im Prinzip schriftliche Einwilligungen von allen, mit denen man kommunizieren wollte. Auch bisher wurde kaum Rücksicht auf Größe und Ziele von Datennutzung genommen.

Neu ist vor allem die drastische Anhebung der Bußgelder von bisher maximal 300.000 € auf 20.000.000 €. Neu ist auch eine verschärfte Beweislastumkehr. Und wenn mehr als zehn Personen an der Datenverarbeitung beteiligt sind, muss ein Datenschutzbeauftragter (nicht aus dem Vorstand und dem Datenverarbeitungsteam und auch nicht deren Angehörige) bestellt und bei der zuständigen Aufsichtsbehörde gemeldet werden. Es gibt höhere Anforderungen an die IT-Sicherheit, Sie müssen künftig ermitteln, ob Ihre Daten z.B. über Clouds außerhalb der EU gespeichert werden und so weiter.

Es würde viel zu weit führen, hier die 99 Artikel der EU-DSGVO mit ihren ergänzenden 173 Erwägungsgründen auch nur zu umreißen. Um einen Geschmack davon zu geben, was auf Sie zukommt, hier die Ansprüche, die Personen deren Daten sie speichern, gegen Sie geltend machen können:
Nach Art. 13 DSGVO sind insbesondere die folgenden Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen:
• Identität des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Verarbeitungszwecke und Rechtsgrundlagen
• Berechtigtes Interesse
• Empfänger
• Übermittlung der Daten in Drittstaaten
• Dauer der Speicherung
• Betroffenenrechte
• Widerrufbarkeit von Einwilligungen
• Beschwerderecht bei der Aufsichtsbehörde
• Verpflichtung zur Bereitstellung personenbezogener Daten
• Automatisierte Entscheidungsfindung und Profiling

Die Datenschutzbehörden, die zurzeit ihren Personalbestand ausweiten, brauchen Ihnen zukünftig keine konkrete Verletzung von Datenschutz mehr nachweisen. Sie brauchen nur noch die Vorlage eines Dokuments verlangen, in dem Sie eine Art Selbstzertifizierung vorgenommen haben. Fehlt dies, sind Sie bereits in der Bußgeld-Falle. Schriftlich niederzulegen sind zum Beispiel
• Name und Kontaktdaten des Verantwortlichen, des Vertreters, ggfs. des gemeinsam Verantwortlichen sowie des etwaigen Datenschutzbeauftragten
• Zweck der Verarbeitung
• Rechtsgrundlage
• Kategorien der betroffenen Personen und personenbezogenen Daten
• Kategorien von Empfängern der Daten
• Übermittlung in Drittstaaten
• Löschfristen
• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherung
Dazu gehören etwa Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Trennungskontrolle, Weitergabekontrolle, Eingabekontrolle, Dokumentationskontrolle, Auftragskontrolle…

Nun mögen sie denken, die Datenschutzbehörden haben wahrscheinlich Wichtigeres zu tun als meine kleine Stiftung zu prüfen. Kann sein, aber hier kommen die modernen Raubritter ins Spiel: die Abmahnanwälte, die Sie mit Unterlassungserklärungen und Gebührenrechnungen drangsalieren.

Sie merken: Eigentlich wollten Sie kranken Kindern helfen, Migranten Deutschunterricht vermitteln, das Dorfleben bereichern, Kultur fördern oder Biotope retten – tatsächlich geht Ihre begrenzte Energie in ein uferloses Thema Datenschutz.

Und das ist ja nicht das Einzige. Die meisten Verantwortlichen im Ehrenamt empfinden schon die komplizierten Steuererklärungen und die Berichte an die Stiftungsaufsicht als Engagementbremsen. Nicht zu vergessen sind neue Auflagen wie das Transparenzregister, in dem Stiftungen ihre „wirtschaftlich Berechtigten“ zu melden haben. Gerade hat der Bund der Steuerzahler kritisiert, dass seit Jahresbeginn Empfänger von Aufwandsentschädigungen im Ehrenamt und die sogenannten Übungsleiter eine elektronische Steuererklärung über Elster machen müssen – keine leichte Übung, die wieder Stunden kostet.

Man mag sagen: Ich nehme das alles halb so ernst. Das alte Datenschutzrecht wurde im ehrenamtlichen Bereich auch nicht konsequent umgesetzt. Was dabei herauskommen kann, ist eine putineske Zivilgesellschaft, deren Akteure nicht mehr im gesunden Selbstbewusstsein ihrer Rechtstreue handeln können. Das lähmt Engagement und macht kleinlaut.

Und wenn sie übrigens meinen, zur Not greife ich auf meinen alten Karteikasten zurück, dann haben Sie Pech: Auch dafür gilt die EU-DSGVO.

Eine hohe Frustrationstoleranz wünscht Ihnen
Ihr
Wolf Schmidt

Hinterlasse eine Antwort