10 verbreitete Rechtsirrtümer … zur Datenschutz-Grundverordnung (DSGVO)

Der Untergang des Internets wie wir es kennen, ist bekanntermaßen am 25.5.2018 eingeläutet worden. Ein paar Jahre später steht das Internet zwar immer noch, rund um die Datenschutz-Grundverordnung existieren aber mehr Mythen denn je. Die passende Gelegenheit, sich einmal ein paar Fehlannahmen zu widmen, denen ich tagtäglich begegne.

Inhalt:

#1: Die DSGVO ist Teufelswerk

#2: Die Umsetzung der DSGVO bringt keine Probleme mit sich.

#3: Auf einmal Auftragsverarbeitung +  AVV!

#4: Die DSGVO-Abmahnwelle kommt.

#5: Zwanzig Millionen Euro!

#6: Alle alten Newsletter-Einwilligungen müssen mit der DSGVO neu eingeholt werden.

#7: Unter der DSGVO braucht jedes Unternehmen einen Datenschutzbeauftragten.

#8: Die DSGVO sorgt dafür, dass keiner mehr einen anderen Fotografieren darf. Und das Foto veröffentlichen schon gar nicht.

#9: Die DSGVO verlangt, dass mit einem Layer auf Cookies hingewiesen wird und der Nutzer “OK” drückt”

#10: Viel (Papier unterschreiben) hilft viel.

#1: Die DSGVO ist Teufelswerk
Tatsache: Mit der DSGVO ist Datenschutz endlich Thema.

Der Internetnutzer ist nicht mehr Kunde, er ist das Produkt. Jedenfalls, wenn er die großen Plattformen wie Facebook oder Google nutzt, in gewisser Hinsicht und teilweise auch bei Verkaufsplattformen wie Amazon. Es ist Zeit, dies nicht länger zu ignorieren und es wird Zeit, der Macht der Plattformen etwas entgegenzusetzen. Und genau dies erreicht die DSGVO. An ihr kommen nicht nur die vielzitierten und bemühten “kleinen Blogger” nicht mehr vorbei, die sich nun mit dem Datenschutz befassen müssen. Es müssen sich nunmehr auch alle Daten-Dienstleister gegenüber ihren Kunden in Hinblick auf Datenschutz und Datensicherheit rechtfertigen. Erstmals wird dem Thema Datenschutz bereits bei der Auswahl von Dienstleistern Priorität eingeräumt. Und das ist gut so.

#2: Die Umsetzung der DSGVO bringt keine Probleme mit sich.
Tatsache: Vieles in der DSGVO ist unklar. Einiges erscheint widersprüchlich. Manches ist überflüssiger Formalismus.

Gebetsmühlenartig hört man die Datenschützer in den Aufsichtsbehörden vortragen: Probleme mit der DSGVO und deren Umsetzung sind nur Missverständnisse auf Seiten der Verpflichteten. Es ist alles ganz einfach, man muss es nur wollen. Das ist aber ganz offensichtlich nicht der Fall. Denn die DSGVO ist voller unbestimmter Rechtsbegriffe und deren Auslegung durch die Landesdatenschutzbeauftragten ist nicht immer hilfreich. Gerade kleine Unternehmen sind mit der Erfüllung von Informations- und Dokumentationspflichten überfordert. Sind seitenlange Datenschutzerklärungen bei der Bestellung im Buchladen sinnvoll? Darüber kann man geteilter Meinung sein. Vielleicht kann man auch sagen: “Was für ein Blödsinn”. Eine Kommunikationsstrategie des Abwiegelns ist aber sicherlich nicht hilfreich bei dem Versuch, dem Datenschutz zu mehr Akzeptanz zu verhelfen.

#3: Auf einmal Auftragsverarbeitung +  AVV!
Tatsache: Schon lange Auftragsverarbeitung + AVV (früher: ADV)!

Die größte Veränderung im Bereich der Auftragsverarbeitung seit Anwendung der DSGVO am 25. Mai ist, nach meiner bescheidenden Meinung, die Einsparung eines “D” in der Abkürzung. Bis zum 25.5.2018 hieß die “Auftragsverarbeitung” nämlich “Auftragsdatenverarbeitung” und die entsprechenden Vereinbarungen hießen “Auftragsdatenverarbeitungsvereinbarungen” oder kurz “ADV”. Seit dem heißen sie “AVV”. Sonst hat sich herzlich wenig geändert, insbesondere wurde die bereits in § 11 BDSG (alt) geregelte Verpflichtung des Auftraggebers, mit seinen Auftragsverarbeitern entsprechende Vereinbarungen mit bestimmten Mindestinhalten zu schließen, nicht von der DSGVO erfunden. Nur weil viele Menschen die schon vor Anwendung der DSGVO geltende Rechtslage nicht kannten, bedeutet das nicht, dass sie nicht existiert hätte.

#4: Die DSGVO-Abmahnwelle kommt.
Tatsache: Die DSGVO-Abmahnwelle kommt nicht.

Niemand kann voraussagen, ob nicht morgen jemand anfängt, komische Briefe zu schreiben. Dennoch sprach schon vor dem 25. Mai einiges dafür, dass die herbeifantasierten DSGVO-Abmahnwellen, die das Internet sofort ab dem Stichtag überschwemmmen würden, ausbleiben und jedenfalls bis Herbst 2018 sind sie auch ausgeblieben. Die Argumente habe ich hier bereits vor einiger Zeit einmal ausführlich aufgeschrieben.

#5: Zwanzig Millionen Euro!
Tatsache: Erst mal alles andere.

Eins “weiß” jeder über die DSGVO: Wer verstößt, muss 20 Millionen Euro zahlen (oder 4% des Jahresumsatzes, was eben höher ist). Diese Horrorzahlen sind natürlich sexy, um damit Werbung für Gegenmaßnahmen zu machen. Rechtsberatung, Datenschutzbauftragtensoftware, you name it. Nur haben sie mit der Realität nicht das geringste zu tun. Richtig ist, dass das maximal (!) mögliche (!) Bußgeld (!) für bestimmte Verstöße gegen die DSGVO 20 Millionen Euro beträgt  (oder 4% des Jahresumsatzes, was eben höher ist). Weder wird aber bei den meisten Verstößen überhaupt ein Bußgeld festgesetzt werden, selbst wenn die Datenschutzbehörde davon Kenntnis erlangt (weil viele andere Aufsichtsmaßnahmen exisitieren, die viel geeigneter sind, den jeweiligen Verstoß zu ahnden, zum Beispiel Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2 DSGVO, nämlich Rügen, Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen oder zeitlich begrenzte oder endgültiges Verbot der Datenverarbeitung). Noch werden auch in den Fällen, in denen Bußgelder verhängt werden, annähernd die genannten Maximalsummen erreicht werden.

#6: Alle alten Newsletter-Einwilligungen müssen mit der DSGVO neu eingeholt werden.
Tatsache: Ordentlich eingeholte Einwilligungen müssen mit der DSGVO nicht neu eingeholt werden.

Zugegeben, der Hinweis kommt ein bisschen spät, denn zwischenzeitlich ist die Welle der E-Mails, die bei Newslettern und ähnlichem zu erneuter Einwilligung aufriefen, abgeebbt. Weil das, was alle machen, wohl seine Gründe haben muss, hat diese Welle aber zu der verbreiteten Meinung geführt, dass es eine Verpflichtung hierzu gibt. Diese gibt es natürlich nicht.

Bevor der Punkt erreicht war, an dem Alle sicherheitshalber ihre Einwilligungen noch einmal eingeholt haben, weil alle anderen das eben auch machen (…und außerdem 20 Millionen Euro !!!), dürfte es dieser Aspekt gewesen sein, der manche zurecht davon ausgehen ließ, ihre Einwilligungen seien unwirksam: Nach der DSGVO dürfen Einwilligungen (ausdrücklich) nicht (mehr) mit anderen Erklärungen verbunden werden, dies besagt das “Kopplungsverbot” aus Art. 7 DSGVO. Einwilligungen, die in der Vergangenheit unter Verstoß hiergegen eingeholt wurden (weil z.B. die Newsletter-Bestellung mit etwas ganz anderem verbunden war), mussten tatsächlich “nachqualifziert” werden, wie das im Marketing-Sprech heißt. Aber eben auch nur die.

#7: Unter der DSGVO braucht jedes Unternehmen einen Datenschutzbeauftragten.
Tatsache: Die Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist, haben sich nicht wesentlich geändert.

Weiterhin müssen nur Unternehmen, die bestimmte Verarbeitungtätigkeiten zu ihren Kerntätigkeiten zählen (Art. 37 DSGVO) oder bei denen mehr als 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 BDSG), einen Datenschutzbeauftragten. Für andere Unternehmen kann ein Datenschutzbeauftragter sinnvoll sein. Vorgeschrieben ist er nicht.

#8: Die DSGVO sorgt dafür, dass keiner mehr einen anderen Fotografieren darf. Und das Foto veröffentlichen schon gar nicht.
Tatsache: Die Voraussetzungen für das Anfertigen und Veröffentlichen von Fotos, die Menschen zeigen, haben sich nicht wesentlich verändert.

Obwohl die DSGVO schon seit 2016 galt, kam die Aufregung in Sachen Fotografie erst Anfang 2018 so richtig in Fahrt. Nicht weniger als das Ende der Personenfotografie, wie wir sie kennen, wurde ausgerufen. Bislang allerdings, ohne dass diese Diskussion große Auswirkungen auf die Lebenswirklichkeit außerhalb der Diskussion entfaltet hätte. Mit anderen Worten: Würde man es aus dem Internet nicht besser wissen, würde man gar nichts davon mitbekommen, dass die Welt untergegangen ist. Das mag auch daran liegen, dass die ersten Urteile und Einschätzungen aus dem Dunstkreis der Datenschutzaufsicht der Meinung zuneigen, dass das Recht, wie wir es kannten, auch weiterhin gilt (und die ganzen schlimmen Informationspflichten der DSGVO vielleicht gar nicht Anwendung finden). Fragen Sie einfach auch in Zukunft, bevor sie Fotos von anderen Menschen veröffentlichen.

#9: Die DSGVO verlangt, dass mit einem Layer auf Cookies hingewiesen wird und der Nutzer “OK” drückt”.
Tatsache: Man kann sich auf den Standpunkt stellen, dass die DSGVO für bestimmte Cookies eine Einwilligung erfordert. Ein “OK”-Layer ist aber keine Einwilligung.

Die Sache mit den Cookies ist ein Beispiel für das (zumindest) kommunikative Versagen der Datenschutzaufsichtsbehörden, die es bis heute nicht einmal geschafft haben, anderen Menschen als Fachjuristen überhaupt nur zu erklären, was das rechtliche Problem an dieser Stelle ist. Der Jurafunk hat dies hier schon einmal versucht. Im Rahmen dieses Textes soll die Festellung reichen: Ob man für bestimmte Cookies eine “Einwilligung” braucht, ist zum Zeitpunkt der Abfassung dieses Textes eine reine Glaubensfrage. Man kann mit guten Gründen der Meinung sein, dass eine Einwilligung notwendig ist. Wenn man aber dieser Meinung ist, dann genügen Cookie Banner der Art “… wenn Sie unsere Webseite nutzen, stimmen Sie zu” nicht als Einwilligung, da es an der Freiwilligkeit fehlt. Letztlich ist der Cookie-Hinweis dann nur ein Hinweis, den man genauso gut direkt in der ohnehin notwendigen Datenschutzerklärung nach Art. 13 DSGVO geben kann.

#10: Viel (Papier unterschreiben) hilft viel.
Tatsache: Gegen Hysterie hilft vielleicht Meditation (wobei...)

Spätestens, als der Kindergarten mich Anfang Mai mit einem Haufen Papier überschüttete, der die Frage behandelte, ob, wann und wohin Fotografien des Nachwuchses hergestellt, gespeichert oder übermittelt werden dürften und den ich schnell zu unterschreiben hätte, wurde mir klar: Hier liegt ein ganz grundsätzliches Missverständnis vor.

Die DSGVO hat nicht zum Ziel, der siechen Papierindustrie zu neuer Blüte zu verhelfen, in dem jeder Bürger ab sofort gezwungen werde, zigfach Einwilligungserklärungen für alles mögliche zu unterzeichnen. In den allermeisten Fällen ist der Formularwahn a.) unnötig, b.) verwirrend und/oder c) auch noch unwirksam, weil sich die verantwortlichen Stellen “um Dinge zu vereinfachen” generalklauselartige Einwilligungen “für alles” erteilen lassen. Genau dies will das Datenschutzrecht aber gerade nicht.

Anstatt also blindwütig hundertfach Blanko-Einwilligungen auszudrucken und im Akkord unterschreiben zu lassen, empfiehlt es sich, ein mal innezuhalten und sich zu fragen: Muss ich bestimmte Daten wirklich verarbeiten? (Überraschend häufige Antwort: “Nein”). Ist für diese Datenverarbeitung die DSGVO eigentlich anwendbar (Überraschend häufige Antwort: “Nein”). Benötige ich für diese Datenverarbeitung, die ich wirklich durchführen muss und für die tatsächlich die DSGVO andwenbar ist, eigentlich eine Einwilligung (Überraschend häufige Antwort: “Nein”). Was dann noch übrig bleibt, muss wirklich unterschrieben werden.

Was von DSGVO-Weltuntergang nach einem Jahr Anwendung der DSGVO übrig geblieben sein wird … sehen wir dann.