Seit einem Jahr gilt das neue EU-Datenschutzrecht. Kaum eine EU-Verordnung polarisierte in allen Bereichen so sehr wie die Datenschutzgrundverordnung. Die Datenschutz-Grundverordnung der EU regelt die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen grundsätzlich neu.
DIE DSGVO lÖST EUROPÄISCHE DATENSCHUTZRICHTLINIE AB
Es war ein regelrechtes Mammutprojekt. Nach Jahren des Diskutierens und des Ringens mit Lobbyisten – der erste Entwurf lag bereits 2012 vor – und nachdem sich das europäische Parlament mit nicht weniger als 3100 Änderungsanträgen beschäftigen musste, trat am 25. Mai 2016 die Datenschutzgrundverordnung (DSGVO) in Kraft.
Wirksam wurden die neuen Regelungen erst nach einer Übergangsfrist von zwei Jahren, die von den allermeisten Datenverarbeitern jedoch weltverloren verschlafen wurde. Seit dem 25. Mai 2018 ist die DSGVO nunmehr anwendbar. Strenggenommen feiern wir also den dritten Geburtstag.
Anders als ihr Vorgänger, die europäische Datenschutzrichtlinie aus dem Jahr 1995, musste die DSGVO nicht in nationales Recht umgesetzt werden. Sie gilt unmittelbar in allen EU-Mitgliedsstaaten und hat gegenüber dem nationalen Recht Anwendungsvorrang, woraus die beabsichtigte Harmonisierung des Datenschutzrechts folgt.
Da der europäische Gesetzgeber den Mitgliedsstaaten durch sogenannte Öffnungsklauseln in einigen Bereichen jedoch einen gewissen Gestaltungsspielraum überlassen hat, wird die DSGVO vom Bundesdatenschutzgesetzt (BDSG) flankiert, dessen Neufassung ebenfalls vor einem Jahr in Kraft getreten ist.
Es gelten aber grundsätzlich europaweit einheitliche Regeln, die einerseits den Schutz personenbezogener Daten sicherstellen und anderseits den freien Datenverkehr innerhalb der EU gewährleisten sollen.
RÜCKBLICK AUF EIN TURBULENTES JAHR
Die Einführung der DSGVO inkl. der Umstellung auf das BDSG neu schlug in Deutschland hohe Wellen, beschäftigte alle Unternehmen und war vor allem in der Medienlandschaft omnipräsent. Viele Thematiken verunsicherten Fachleute und Unternehmen. Wir haben die größten Problemfelder zusammengetragen und im Zuge des Jubiläums der DSGVO reflektiert.
1. Die Diskussion um DSGVO und KunstUrhG
Nach dem 25. Mai gingen die Diskussionen los. Man darf überhaupt keine Fotos mehr machen ohne explizite Einwilligung, es gäbe Gesetzeslücken und große Unsicherheiten führten zu Fehlinterpretationen der Situation. Fakt ist aber, die Zulässigkeit der Anfertigung und Speicherung von Fotoaufnahmen auf Vereins- oder sonstigen Veranstaltungen beurteilt sich ab sofort nach der DSGVO; für die Zulässigkeit der Veröffentlichung sind auf der Grundlage einer entsprechenden Öffnungsklausel in der DSGVO weiterhin die Vorschriften des Kunsturheberrechtsgesetzes (KunstUrhG) heranzuziehen. Das Kunsturheberrechtsgesetz stützt sich dabei auf eine Vorschrift der DSGVO (Art. 85 Abs. 1), der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet, und fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DSGVO ein.
Damit ergeben sich auch hier keine wesentlichen Unterschiede zur aktuellen Praxis. Maßgeblich ist in erster Linie, ob bei der jeweiligen Fotoaufnahme eine (oder mehrere) Person(en) im Mittelpunkt stehen, oder ob die Veranstaltung als solche wiedergegeben wird.
Als Rechtsgrundlagen kommen neben der Einwilligung der betroffenen Person(en) auch die entsprechenden Ausnahmetatbestände des KunstUrhG oder eine Interessenabwägung nach der DSGVO in Frage. Damit können Fotos von Veranstaltungen, an denen die abgebildeten Personen teilgenommen haben und/oder auf denen sie praktisch nur als Beiwerk zu sehen sind, auch weiterhin ohne Einwilligung auf der Website oder in Printmedien veröffentlicht werden.
Bei geschlossenen Veranstaltungen kann über vertragliche Regelungen (z. B. Veranstaltungs-AGB) eine Veröffentlichungsbefugnis begründet werden. Die Annahme, dass die DS-GVO dem Anfertigen oder der Veröffentlichung von Fotografien entgegenstehe, ist daher unzutreffend.
2. Erstes Bußgeld nach DSGVO
Der baden-württembergische Datenschutzbeauftragte Stefan Brink verhängte in Deutschland das erste Bußgeld nach DSGVO und es waren nicht direkt die 20 Millionen, die nun jeder für obligatorisch zu halten schien. Erwischt hat es hier als ersten den karlsruher Chatanbieter Knuddels, der über ein Datenleck fast zwei Millionen Zugangsdaten „veröffentlicht“ hatte in dem Passwörter ungehasht gespeichert wurden. Dies war natürlich ein klarer Verstoß gegen Artikel 32 der EU-Datenschutz-Grundverordnung (DSGVO), die hier entsprechende technische und organisatorische Maßnahmen zur Sicherheit fordert. Das Bußgeld belief sich dann aber nicht im Millionenbereich, wie angstschürende „Experten“ seit langem drohten. Das Unternehmen hatte beispielhaft kooperiert um die Vorgaben und Empfehlungen der Behörde umzusetzen. Per Gesetz haben die Bußgelder aber nicht nur wirksam und abschreckend, sondern auch verhältnismäßig zu sein. Somit wurden hier gerade mal 20.000 Euro festgelegt.
3. Die DSGVO in den kleinen und mittelständischen Unternehmen
Es war immer wieder aus den Medien zu entnehmen, dass die kleinen und mittelständischen Unternehmen am meisten unter der Umsetzung der DSGVO zu leiden hatten. Was gerne vergessen wurde, war die Existenz von Datenschutz vor dem Start der DSGVO. Eine Erhebung, Verarbeitung und Nutzung von Kundendaten zur Erstellung von Angeboten oder zur Rechnungsstellung fielen bereits in den Datenschutz und somit auch in das BDSG (alt). Handwerker waren schon vor der DSGVO verpflichtet technische und organisatorische Maßnahmen bereitzustellen, dass eine vollkommende Sicherheit personenbezogener Daten sichergestellt und garantiert. Die Datenschutzgrundverordnung brachte eigentlich keine wirklich vielen Neuerungen mit sich. Wie auch bereits vorher geregelt, darf ein Handwerksbetrieb personenbezogene Daten verarbeiten, um seinen vertraglich festgelegten Pflichten und Vereinbarungen abzurechnen oder zu regeln. Dazu gehören nicht nur die Daten des Kunden, sondern auch andere Dinge, wie zum Beispiel Angaben zur Wohnung, des Lieferorts oder ähnlichem. Die Sicherheit dieser Daten muss wie bereits vorher schon gesetzlich geregelt, gewährleistet werden. Auch eine grundsätzliche Dokumentation davon ist eigentlich nichts Neues. Hat man sich vor der DSGVO mit dem BDSG schon beschäftigt wird man feststellen, dass es sich bei den Neuerungen eigentlich mehr um Erleichterungen handelt. Bisher musste ein Verfahrensverzeichnis zur Einsichtnahme für jedermann, also ein öffentliches Verzeichnis geführt werden. Sogar eine Meldepflicht musste nach §4d BDSG (alt) gegenüber der Aufsichtsbehörde bestehen. Dieses Verzeichnis gilt nun seit Mai 2018 nur noch intern bzw. zur Einsichtnahme durch die Aufsichtsbehörde.
4. Der Einwilligungs-Wahnsinn
Seit Einführung der DS-GVO gibt es wohl keine größere Miss-Interpretation als die der willkürlichen Einverständnis- oder Einwilligungserklärung. Der datenschutzrechtliche Laie unterscheidet sich vom Experten meist dadurch, dass er tonnenweise Zustimmungserklärungen sammelt, ohne zu wissen was die DSGVO eigentlich regelt bzw. verbietet, ob eine Zustimmung notwendig ist und welche anderen (besseren) Alternativen es noch gäbe. Dem ein oder anderem ist dies sicher bekannt: Täglich erhält man Schreiben (ja auch im Jahr 2019 noch) mit der Bitte zur Einwilligung zur zukünftigen Verarbeitung der personenbezogenen Daten, wie z.B. Rechnungstellung, Kontaktaufnahme etc. Dieser falsch verbreiteten Annahme kann man einige Argumente entgegenstellen. Es gibt nämlich nicht nur die Zustimmung zur Verarbeitung von personenbezogenen Daten, sondern viele andere Rechtsgrundlagen, die hier ihre Anwendung finden. Betrachtet man Art.6 Abs.1 DS-GVO, gibt es folgenden Rechtsgrundlagen: Vertragserfüllung, rechtliche Verpflichtung, Schutz lebenswichtiger Interessen, öffentliches Interesse, berechtigtes Interesse des Verantwortlichen oder Dritten.
In den meisten Fällen kann die Verarbeitung von personenbezogenen Daten auf gesetzliche bzw. vertragliche Grundlagen gestützt werden. Das heiß, bei einem Vertragsverhältnis zwischen Unternehmen ist keine Einwilligung notwendig, um die Daten weiter zu verarbeiten. Sollte die Verarbeitung über das vertraglich vereinbarte Maß oder den Zweck hinausgehen, wird erst dann möglicherweise eine Einwilligung benötigt.
5. Die große Abmahnwelle blieb aus
Das Inkrafttreten der DSGVO hatte ohnehin schon genug Panikmache Tür und Tor geöffnet. Vielfach ging es auch um eine wettbewerbsrechtliche Abmahnwelle, die befürchtet wurde. Denn unter all jenen, die penibel auf die Einhaltung des UWG achteten, haben einige vielleicht die Einhaltung der DSGVO-konformen Datenschutzerklärung doch nicht richtig hinbekommen oder Kontaktformulare nicht SSL-verschlüsselt etc. Und wenn ein Konkurrent das mehr oder weniger zufällig mitbekommt, kann der den Verstoß gegen die DSGVO doch abmahnen, oder? Die Antwort darauf fällt unklar aus: JEIN! Die große wettbewerbsrechtliche Abmahnwelle wegen DSGVO-Verstößen blieb jedenfalls im ersten halben Jahr aus. Im September bestätigte das Landgericht Würzburg (Az. 11 O 1741/18) die Abmahnung eines Rechtsanwalts, der eine Mitbewerberin wegen eines fehlenden DSGVO-konformen Web-Impressums abgemahnt hatte. Auch das Oberlandesgericht Hamburg erachtet Verstöße durch Wettbewerber als abmahnfähig, schränkt diese Regelung allerdings stark ein. Der Verstoß gegen die DSGVO muss eine Regelung des Marktverhaltens beinhalten. Wenn ich also einen Friseursalon in Hamburg habe, kann ich keinen Schreinereibetrieb in Füssen abmahnen, weil seine Datenschutzerklärung nicht astrein ist. Und weil mittlerweile sogar das Bundesjustizministerium gemerkt hat, dass der Abmahnmissbrauch ein echtes Problem ist, hat die Bundesjustizministerin Katarina Barley im Herbst einen Gesetzentwurf vorgelegt, der nicht nur in puncto DSGVO und Abmahnwahn, sondern generell Abhilfe schaffen soll. Das „Gesetz zur Bekämpfung des Abmahnmissbrauchs“ könnte vor allem Klein- und Mittelstandsunternehmen sowie Vereine entlasten. Insbesondere „unerhebliche Wettbewerbsverstöße“ sollten dann weniger hart geahndet werden. Zwar könnten sie weiterhin abgemahnt werden, aber die Anwaltskosten könnten nicht mehr eingefordert werden. Wo die Grenze zwischen „unerheblichen“ und „erheblichen“ Verstößen liegt, müsste dann freilich noch geklärt werden.
6. Facebook Fanpage-Problematik
Am 5. Juni 2018 hat der Europäische Gerichtshof entschieden (Rechtssache C-210/16), dass die Betreiberin / der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Besucherinnen und Besucher der Fanpage datenschutzrechtlich verantwortlich ist. Der EuGH hat diese Entscheidung auf die Auslegung des Art. 2 Buchst. d der EUDatenschutz-Richtlinie (DSRL) 95/46/EG gestützt. Die Erwägungen des Urteils lassen sich jedoch in vollem Umfang auf die seit dem 25.Mai 2018 geltende Rechtslage übertragen, denn die Definition der verantwortlichen Stelle in Art. 2 Buchst. d der DSRL 95/46/EG, als eine Stelle, die „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“, ist deckungsgleich mit der Definition des Verantwortlichen in Art. 4 Nr. 7 Datenschutz-Grundverordnung (DS-GVO). Vor diesem Hintergrund hat die Entscheidung auch nach Gültigkeit der DS-GVO Bestand.
Im Falle der gemeinsamen Verantwortung sieht die DS-GVO zusätzliche Anforderungen vor, die in Art. 26 DS-GVO niedergelegt sind. Danach sind gemeinsam Verantwortliche verpflichtet, in einer Vereinbarung transparent festzulegen, wer welche Verpflichtungen nach der DS-GVO erfüllt. Darüber hinaus müssen gem. Art. 26 Abs. 2 DS-GVO
die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den betroffenen Personen in der Vereinbarung gebührend widergespiegelt und das Wesentliche der Vereinbarung muss den Betroffenen zur Verfügung gestellt werden.
Was bedeutet dies nun für Fanpage-Betreiber? Viele Punkte des Fragenkatalogs beziehen sich vor allem auf das Facebook-eigene Tool Insights. Insights lässt sich nur von Facebook selber deaktivieren und ist für den Nutzer nicht greifbar. Abgesichert ist man also selbst mit einer eigenen Datenschutzerklärung für die Fanpage nicht. Eine Interessensabwägung ist hier Seitens des Betreibers durchzuführen: Wie wichtig ist einem der Facebook-Auftritt. Sind künftige Geldbußen zu vernachlässigen, da der Kosten-Nutzen-Faktor höher ist? Dies müssen sich Betreiber in Zukunft fragen bzw. hoffen, dass die Urteile Facebook zur Handlung zwingen und eine Deaktivierung von Insights durch den Nutzer oder Betreiber möglich gemacht wird.
FAZIT
Etliche Markteilnehmer waren von den Neuerungen sichtlich überfordert, mit dem Ergebnis, dass viele deutsche Firmen kurz vor dem Stichtag im Mai 2018 immer noch nicht auf die DSGVO vorbereitet waren.
Ein Schuldiger war schnell gefunden, man schob es auf die geringe Unterstützung seitens der Datenschutzbehörden – dass man zwei Jahre Zeit gehabt hätte, die neuen Regelungen umzusetzen, ließ man einfach mal außen vor.
Die DSGVO ist sichtlich kein Hexenwerk und sollte anders betrachtet werden als die Medien es öffentlich breittreten. Vertrauen Sie auf Ihren Datenschutzbeauftragten.