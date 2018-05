Facebook

Sieger für die Ewigkeit? Müssen persönliche Daten in Ergebnislisten von Sportveranstaltungen auf Wunsch der Athleten gelöscht werden? Die BSO verneint © APA/HELMUT FOHRINGER

"Dann wäre der Sport tot." Radikale Formulierungen hört man aus der Bundessportorganisation (BSO), wenn es um die Datenschutzgrundverordnung (DSGVO) geht. Die Warnung bezieht sich aber ohnehin auf eine wenig realistische "Was wäre wenn"-Option: Würde nämlich jeder Athlet tatsächlich das in der DSGVO gewährte Recht auf Löschung seiner Daten beispielsweise aus (auch historischen) Ergebnislisten einfordern, würde das zu einem letalen Kollaps des Systems führen.

Daher verweist man in der BSO auf die "im öffentlichen Interesse liegenden Archiv-, wissenschaftliche oder historische Forschungs- oder statistische Zwecke" – und damit auf eine Ausnahme von der Löschungspflicht. Wesentlicher Bestandteil öffentlicher Wettkämpfe sei eben das Publikmachen der Leistungen, wird argumentiert. Dafür seien bestimmte persönliche Daten – Name, Geburtsdatum, bei Kampfsportarten die Gewichtsklasse, Vereinsname; im Behindertensport die Behindertenklasse – eben notwendig.

Drei Fragen an... In Österreich hat man sich politisch bei Verletzungen der DSGVO auf den Grundsatz „Verwarnen statt strafen“ geeinigt – kann das juristisch halten? MAX SCHREMS: Die heimische Datenschutzbehörde muss diesen Paragrafen ignorieren, weil er ein typisches Beispiel für eine Änderung ist, die schlichtweg europarechtswidrig ist. In der Datenschutzgrundverordnung steht aber ausdrücklich, dass es abschreckende Strafen geben muss. Man kann verwarnen, man kann aber der Behörde nicht per nationalem Gesetz vorschreiben, dass sie immer verwarnen muss. Sie wollen mit Ihrem Datenschutzverein „noyb“

ab heute klagen. Bleibt’s dabei? Wir werden am Anfang Beschwerden einbringen. Können Sie die Unsicherheit ob der neuen Regeln nachvollziehen, die in vielen Unternehmen herrscht? Absolut. Wir haben bei der DSGVO ein riesiges Problem in Sachen Rechtssicherheit. Die Gesetze sind teilweise so unklar, dass man wahrscheinlich erst in zehn Jahren, nach vielen Gerichtsentscheidungen wissen wird, was sie bedeuten.

Freibrief für die teilweise wegen der neuen Datenschutzvorgaben verunsicherte Vereinsszene ist das aber keiner. "Zu beachten gilt, nur die für die Ergebnisbestimmung notwendigen Daten zu veröffentlichen und auch nur jene Ergebnisse zu publizieren, die durch Wettkämpfe im eigenen Verantwortungsbereich ermittelt werden", heißt es im Informationsmaterial für die rund 15.000 Sportvereine, die unter dem Dach der BSO zusammengefasst sind.

Ganz neu ist das für die Vereine aber ohnehin nicht. Das meiste ist seit dem Jahr 2000 im Datenschutzgesetz festgeschrieben. Außerdem kann in den Vereinsstatuten, denen jedes Mitglied bei Eintritt zustimmen muss, ein entsprechender Passus zur Datenverarbeitung formuliert werden, der dann als rechtliche Grundlage dient. Selbst wenn die Umsetzung der DSGVO für den (Vereins-) Sportbereich durch seine vielen ehrenamtlichen Funktionäre eine große Herausforderung sei: "Es ist ein guter Anlass, seine Datenbearbeitung zu durchforsten und Prozesse zu optimieren", beruhigt man in der BSO-Zentrale in Wien.

Behörden schlecht vorbereitet Die Datenschutzbehörden in der Europäischen Union sind nach eigener Einschätzung schlecht auf ihre Aufgaben durch die DSGVO vorbereitet. 17 von 24 zuständigen EU-Behörden gaben in einer Umfrage an, es fehle bisher an der notwendigen Finanzierung oder an erforderlichen Befugnissen.

Auch beim Bundesfeuerwehrverband, der auch sämtliche Freiwillige Feuerwehren betreut, sieht man die Umsetzung der DSGVO gelassen. Es gelte, wie bisher intern gemäß den entsprechenden Ämtern Zugangsberechtigungen zu definieren. Der allgemeine Zugriff von Feuerwehrmitgliedern auf Daten der eigenen oder anderer Feuerwehren (Geburtsdaten, Telefonnummern, E-Mail-Adressen) ist datenschutzrechtlich jedenfalls nicht zulässig.

Arzt-Visite

In Arztpraxen wiederum wird sich im Behandlungsalltag zwischen Mediziner und Patient insofern nichts ändern, als dass laut Ärztegesetz die Verschwiegenheitspflicht ohnehin für "Mitteilungen oder Befunde des Arztes an die Sozialversicherungsträger und Krankenfürsorgeanstalten oder sonstigen Kostenträger" nicht gilt. Zumindest nicht in dem Umfang, der "zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet". Selbiges gilt für die Honorar- und Medikamentenabrechnung.

Die DSGVO unterstreicht das insofern, als sie Datenverarbeitung erlaubt, solange sie "im Sinne einer effektiven medizinischen Behandlung zum Beispiel in Krankenhäusern und einer funktionierenden Gesundheitsverwaltung (Abrechnung über Kassen) im jeweils notwendigen Ausmaß und der Geheimnisschutz gewahrt sind", erklärt der Grazer Rechtsanwalt Stefan Lausegger.

Aktenvermerk Newsletter treffen die strengen Regularien der Datenschutz-Grundverordnung nicht – sofern der Empfänger Kunde des Absenders ist oder dem Zusenden des Newsletters bereits explizit in einem Formular zugestimmt hat. Wurden Adressen von Newsletterempfängern einfach zugekauft, wird eine neuerliche Bestätigung notwendig – daher derzeit die Flut an einschlägigen Mails. Künftig darf die Box, in der diese Zustimmung eingeholt wird, nicht vorab mit einem „Hakerl“ versehen sein. Der Kunde muss es aktiv anklicken und die Möglichkeit haben, sich jederzeit abzumelden. Das Alter für allenfalls notwendige Einwilligungen zur Datenverarbeitung im Internet wurde in Österreich von 16 auf 14 Jahre gesenkt.

Der Jurist verweist aber auf andere möglicherweise heikle Behandlungssituationen – zum Beispiel, wenn mehrere Ärzte gemeinsam im Spital eine Visite machen und auch andere Patienten im Zimmer sind: "Dabei muss der Datenschutz der Patienten soweit wie möglich gewahrt werden." Auch andere Themen seien zu hinterfragen, sagt Lausegger: "Müssen die Patientennamen auf den Türschildern stehen? Muss der Patient namentlich aufgerufen werden?" Generell sei immer zu hinterfragen, ob die jeweilige Datenverwendung nicht weniger "eingriffsintensiv" erbracht werden könne.

