10 verbreitete Rechtsirrtümer … zur Datenschutz-Grundverordnung (DSGVO)

Der Untergang des Internets wie wir es kennen, ist bekanntermaßen am 25.5.2018 eingeläutet worden. Ein halbes Jahr später steht das Internet zwar immer noch, rund um die Datenschutz-Grundverordnung existieren aber mehr Mythen denn je. Die passende Gelegenheit, sich einmal ein paar Fehlannahmen zu widmen, denen ich tagtäglich begegne.

Irrtum: Die DSGVO ist Teufelswerk
Tatsache: Mit der DSGVO ist Datenschutz endlich Thema.

Der Internetnutzer ist nicht mehr Kunde, er ist das Produkt. Jedenfalls, wenn er die großen Plattformen wie Facebook oder Google nutzt, in gewisser Hinsicht und teilweise auch bei Verkaufsplattformen wie Amazon. Es ist Zeit, dies nicht länger zu ignorieren und es wird Zeit, der Macht der Plattformen etwas entgegenzusetzen. Und genau dies erreicht die DSGVO. An ihr kommen nicht nur die vielzitierten und bemühten „kleinen Blogger“ nicht mehr vorbei, die sich nun mit dem Datenschutz befassen müssen. Es müssen sich nunmehr auch alle Daten-Dienstleister gegenüber ihren Kunden in Hinblick auf Datenschutz und Datensicherheit rechtfertigen. Erstmals wird dem Thema Datenschutz bereits bei der Auswahl von Dienstleistern Priorität eingeräumt. Und das ist gut so.

Irrtum: Die Umsetzung der DSGVO bringt keine Probleme mit sich.
Tatsache: Vieles in der DSGVO ist unklar. Einiges erscheint widersprüchlich. Manches ist überflüssiger Formalismus.

Gebetsmühlenartig hört man die Datenschützer in den Aufsichtsbehörden vortragen: Probleme mit der DSGVO und deren Umsetzung sind nur Missverständnisse auf Seiten der Verpflichteten. Es ist alles ganz einfach, man muss es nur wollen. Das ist aber ganz offensichtlich nicht der Fall. Denn die DSGVO ist voller unbestimmter Rechtsbegriffe und deren Auslegung durch die Landesdatenschutzbeauftragten ist nicht immer hilfreich. Gerade kleine Unternehmen sind mit der Erfüllung von Informations- und Dokumentationspflichten überfordert. Sind seitenlange Datenschutzerklärungen bei der Bestellung im Buchladen sinnvoll? Darüber kann man geteilter Meinung sein. Vielleicht kann man auch sagen: „Was für ein Blödsinn“. Eine Kommunikationsstrategie des Abwiegelns ist aber sicherlich nicht hilfreich bei dem Versuch, dem Datenschutz zu mehr Akzeptanz zu verhelfen.

Irrtum: Auf einmal Auftragsverarbeitung +  AVV!
Tatsache: Schon lange Auftragsverarbeitung + AVV (früher: ADV)!

Die größte Veränderung im Bereich der Auftragsverarbeitung seit Anwendung der DSGVO am 25. Mai ist, nach meiner bescheidenden Meinung, die Einsparung eines „D“ in der Abkürzung. Bis zum 25.5.2018 hieß die „Auftragsverarbeitung“ nämlich „Auftragsdatenverarbeitung“ und die entsprechenden Vereinbarungen hießen „Auftragsdatenverarbeitungsvereinbarungen“ oder kurz „ADV“. Seit dem heißen sie „AVV“. Sonst hat sich herzlich wenig geändert, insbesondere wurde die bereits in § 11 BDSG (alt) geregelte Verpflichtung des Auftraggebers, mit seinen Auftragsverarbeitern entsprechende Vereinbarungen mit bestimmten Mindestinhalten zu schließen, nicht von der DSGVO erfunden. Nur weil viele Menschen die schon vor Anwendung der DSGVO geltende Rechtslage nicht kannten, bedeutet das nicht, dass sie nicht existiert hätte.

Irrtum: Die DSGVO-Abmahnwelle kommt.
Tatsache: Die DSGVO-Abmahnwelle kommt nicht.

Niemand kann voraussagen, ob nicht morgen jemand anfängt, komische Briefe zu schreiben. Dennoch sprach schon vor dem 25. Mai einiges dafür, dass die herbeifantasierten DSGVO-Abmahnwellen, die das Internet sofort ab dem Stichtag überschwemmmen würden, ausbleiben und jedenfalls bis Herbst 2018 sind sie auch ausgeblieben. Die Argumente habe ich hier bereits vor einiger Zeit einmal ausführlich aufgeschrieben.

Irrtum: Zwanzig Millionen Euro!
Tatsache: Erst mal alles andere.

Eins „weiß“ jeder über die DSGVO: Wer verstößt, muss 20 Millionen Euro zahlen (oder 4% des Jahresumsatzes, was eben höher ist). Diese Horrorzahlen sind natürlich sexy, um damit Werbung für Gegenmaßnahmen zu machen. Rechtsberatung, Datenschutzbauftragtensoftware, you name it. Nur haben sie mit der Realität nicht das geringste zu tun. Richtig ist, dass das maximal (!) mögliche (!) Bußgeld (!) für bestimmte Verstöße gegen die DSGVO 20 Millionen Euro beträgt  (oder 4% des Jahresumsatzes, was eben höher ist). Weder wird aber bei den meisten Verstößen überhaupt ein Bußgeld festgesetzt werden, selbst wenn die Datenschutzbehörde davon Kenntnis erlangt (weil viele andere Aufsichtsmaßnahmen exisitieren, die viel geeigneter sind, den jeweiligen Verstoß zu ahnden, zum Beispiel Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2 DSGVO, nämlich Rügen, Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen oder zeitlich begrenzte oder endgültiges Verbot der Datenverarbeitung). Noch werden auch in den Fällen, in denen Bußgelder verhängt werden, annähernd die genannten Maximalsummen erreicht werden.

Irrtum: Alle alten Newsletter-Einwilligungen müssen mit der DSGVO neu eingeholt werden.
Tatsache: Ordentlich eingeholte Einwilligungen müssen mit der DSGVO nicht neu eingeholt werden.

Zugegeben, der Hinweis kommt ein bisschen spät, denn zwischenzeitlich ist die Welle der E-Mails, die bei Newslettern und ähnlichem zu erneuter Einwilligung aufriefen, abgeebbt. Weil das, was alle machen, wohl seine Gründe haben muss, hat diese Welle aber zu der verbreiteten Meinung geführt, dass es eine Verpflichtung hierzu gibt. Diese gibt es natürlich nicht.

Bevor der Punkt erreicht war, an dem Alle sicherheitshalber ihre Einwilligungen noch einmal eingeholt haben, weil alle anderen das eben auch machen (…und außerdem 20 Millionen Euro !!!), dürfte es dieser Aspekt gewesen sein, der manche zurecht davon ausgehen ließ, ihre Einwilligungen seien unwirksam: Nach der DSGVO dürfen Einwilligungen (ausdrücklich) nicht (mehr) mit anderen Erklärungen verbunden werden, dies besagt das „Kopplungsverbot“ aus Art. 7 DSGVO. Einwilligungen, die in der Vergangenheit unter Verstoß hiergegen eingeholt wurden (weil z.B. die Newsletter-Bestellung mit etwas ganz anderem verbunden war), mussten tatsächlich „nachqualifziert“ werden, wie das im Marketing-Sprech heißt. Aber eben auch nur die.

Irrtum: Unter der DSGVO braucht jedes Unternehmen einen Datenschutzbeauftragten.
Tatsache: Die Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist, haben sich nicht wesentlich geändert.

Weiterhin müssen nur Unternehmen, die bestimmte Verarbeitungtätigkeiten zu ihren Kerntätigkeiten zählen (Art. 37 DSGVO) oder bei denen mehr als 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 BDSG), einen Datenschutzbeauftragten. Für andere Unternehmen kann ein Datenschutzbeauftragter sinnvoll sein. Vorgeschrieben ist er nicht.

Irrtum: Die DSGVO sorgt dafür, dass keiner mehr einen anderen Fotografieren darf. Und das Foto veröffentlichen schon gar nicht.
Tatsache: Die Voraussetzungen für das Anfertigen und Veröffentlichen von Fotos, die Menschen zeigen, haben sich nicht wesentlich verändert.

Obwohl die DSGVO schon seit 2016 galt, kam die Aufregung in Sachen Fotografie erst Anfang 2018 so richtig in Fahrt. Nicht weniger als das Ende der Personenfotografie, wie wir sie kennen, wurde ausgerufen. Bislang allerdings, ohne dass diese Diskussion große Auswirkungen auf die Lebenswirklichkeit außerhalb der Diskussion entfaltet hätte. Mit anderen Worten: Würde man es aus dem Internet nicht besser wissen, würde man gar nichts davon mitbekommen, dass die Welt untergegangen ist. Das mag auch daran liegen, dass die ersten Urteile und Einschätzungen aus dem Dunstkreis der Datenschutzaufsicht der Meinung zuneigen, dass das Recht, wie wir es kannten, auch weiterhin gilt (und die ganzen schlimmen Informationspflichten der DSGVO vielleicht gar nicht Anwendung finden). Fragen Sie einfach auch in Zukunft, bevor sie Fotos von anderen Menschen veröffentlichen.

Irrtum: Die DSGVO verlangt, dass mit einem Layer auf Cookies hingewiesen wird und der Nutzer „OK“ drückt“.
Tatsache: Man kann sich auf den Standpunkt stellen, dass die DSGVO für bestimmte Cookies eine Einwilligung erfordert. Ein „OK“-Layer ist aber keine Einwilligung.

Die Sache mit den Cookies ist ein Beispiel für das (zumindest) kommunikative Versagen der Datenschutzaufsichtsbehörden, die es bis heute nicht einmal geschafft haben, anderen Menschen als Fachjuristen überhaupt nur zu erklären, was das rechtliche Problem an dieser Stelle ist. Der Jurafunk hat dies hier schon einmal versucht. Im Rahmen dieses Textes soll die Festellung reichen: Ob man für bestimmte Cookies eine „Einwilligung“ braucht, ist zum Zeitpunkt der Abfassung dieses Textes eine reine Glaubensfrage. Man kann mit guten Gründen der Meinung sein, dass eine Einwilligung notwendig ist. Wenn man aber dieser Meinung ist, dann genügen Cookie Banner der Art „… wenn Sie unsere Webseite nutzen, stimmen Sie zu“ nicht als Einwilligung, da es an der Freiwilligkeit fehlt. Letztlich ist der Cookie-Hinweis dann nur ein Hinweis, den man genauso gut direkt in der ohnehin notwendigen Datenschutzerklärung nach Art. 13 DSGVO geben kann.

Irrtum: Viel (Papier unterschreiben) hilft viel.
Tatsache: Gegen Hysterie hilft vielleicht Meditation (wobei...)

Spätestens, als der Kindergarten mich Anfang Mai mit einem Haufen Papier überschüttete, der die Frage behandelte, ob, wann und wohin Fotografien des Nachwuchses hergestellt, gespeichert oder übermittelt werden dürften und den ich schnell zu unterschreiben hätte, wurde mir klar: Hier liegt ein ganz grundsätzliches Missverständnis vor.

Die DSGVO hat nicht zum Ziel, der siechen Papierindustrie zu neuer Blüte zu verhelfen, in dem jeder Bürger ab sofort gezwungen werde, zigfach Einwilligungserklärungen für alles mögliche zu unterzeichnen. In den allermeisten Fällen ist der Formularwahn a.) unnötig, b.) verwirrend und/oder c) auch noch unwirksam, weil sich die verantwortlichen Stellen „um Dinge zu vereinfachen“ generalklauselartige Einwilligungen „für alles“ erteilen lassen. Genau dies will das Datenschutzrecht aber gerade nicht.

Anstatt also blindwütig hundertfach Blanko-Einwilligungen auszudrucken und im Akkord unterschreiben zu lassen, empfiehlt es sich, ein mal innezuhalten und sich zu fragen: Muss ich bestimmte Daten wirklich verarbeiten? (Überraschend häufige Antwort: „Nein“). Ist für diese Datenverarbeitung die DSGVO eigentlich anwendbar (Überraschend häufige Antwort: „Nein“). Benötige ich für diese Datenverarbeitung, die ich wirklich durchführen muss und für die tatsächlich die DSGVO andwenbar ist, eigentlich eine Einwilligung (Überraschend häufige Antwort: „Nein“). Was dann noch übrig bleibt, muss wirklich unterschrieben werden.

Was von DSGVO-Weltuntergang nach einem Jahr Anwendung der DSGVO übrig geblieben sein wird … sehen wir dann.

OLG Köln: § 22 Kunsturhebergesetz trotz DSGVO anwendbar

Es ist einer der großen Aufreger im Zuge der Anwendung der Datenschutz-Grundverordnung (DSGVO) seit 25.5.2018: Was bedeutet die DSGVO für § 22 und 23 des Kunsturhebergesetzes (KUG)? Diese Vorschrift regelte bislang das „Recht am eigenen Bild“, also die Frage, unter welchen Voraussetzungen Fotos veröffentlicht werden dürfen, auf denen Personen erkennbar abgebildet sind. 70 Jahre geltender Rechtsprechung im Bereich des Bildnisrechts befassen sich mit dieser Norm und ihrer Auslegung – und die Frage, ob diese seit dem 25.5. noch Gültigkeit hat ist genau so Gegenstand von Auseinandersetzungen zwischen Juristen, Journalisten und Datenschützern wie die Frage, ob denn Nun die DSGVO mit allem daranhängenden „Geraffel“ – vor allem Dokumentations- und Informationspflichten so wie Betroffenenrechte wie Löschung usw. – auch für das Anfertigen und Veröffentlichen von Fotos und Bewegtbildern gilt.

Mehr erfahren

EuGH entscheidet (vorab) in Sachen ULD ./. WAK SH („Facebook Fanpages“, EuGH Rechtssache C‑210/16)

Ein bisschen roch es schon danach, nachdem der Generalanwalt beim EuGH, Yves Bot, in Sachen ULD ./. WAK Schleswig-Holstein sein Schlussgutachten vorgelegt hatte. Nun ist es amtlich: Das unabhängige Landeszentrum für den Datenschutz in Schleswig Holstein (ULD) erlangt (zumindest) in einem Teilaspekt einen Etappensieg in dem Rechtsstreit über die Rechtmäßigkeit von Facebook-Fanpages, der bereits seit 2011 andauert und bei dem es um Datenschutzverstöße durch die Facebook-Reichweitenanalyse „Insights“ geht. Der EuGH hat am 5.6.18 über verschiedene Vorlagefragen entschieden, auf die es in dem derzeit beim Bundesverwaltungsgericht anhängigen Verfahren ankommt. Allerdings dürften die Sektkorken beim ULD wohl nicht allzu laut knallen.

Die wohl wichtigste Frage, nämlich die danach, inwieweit neben Facebook auch der Betreiber einer Fanpage selbst verantworlich ist für die Datenverarbeitung, die auf Seiten von Facebook durchgeführt wird, bejaht das Gericht:

Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

Allerdings: Der EuGH bejaht ebenfalls die Frage, ob die Datenschutzbehörde – hier: Das ULD – gegen Facebook Germany als Inländische Niederlassung vorgehen konnte, wenn Datenschutzverstöße der Konzernmutter festgestellt wurden. Hieran konnte man zweifeln, da am Hamburger Sitz von Facebook Germany (angeblich) nur der Verkauf von Werbeflächen uns sonstige Marketingaktivitäten entfaltet wurden. Der EuGH stellt hier fest: Das ULD konnte sehr wohl auch gegen diese Niederlassung vorgehen.

Das klingt erst einmal gut, muss allerdings gerade keine gute Nachricht für das ULD sein. Denn das Bundesverwaltungsgericht hatte schon in dem Vorabentscheidungsersuchen darauf hingewiesen, dass:

In dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.

Mit anderen Worten: Das Bundesverwaltungsgericht könnte sich nun auf den Standpunkt stellen, dass das ULD gegen Facebook selbst vorgehen konnte. Und wenn es dies konnte, dann musste es dies eventuell auch. Und damit könnte das Vorgehen des ULD dann doch wieder rechtswidrig gewesen sein.

Wie geht es jetzt weiter?

Der EuGH hat den Rechtsstreit heute nicht entschieden – sondern nur einzelne Fragen, die das im Moment mit dem eigentlichen Verfahren befasste Gericht, also das Bundesverwaltungsgericht – für maßgeblich hält. Wann dieses nun entscheidet, und noch viel wichtiger: Wie es entscheiden wird, ist heute meiner Ansicht nach nicht viel klarer geworden.

Welche Folgen hat das Urteil sonst noch?

Wie die meisten mitbekommen haben, weil es vom „Anwaltsblatt“ bis zur Tagesschau alle wichtigen Medien verbreitet haben, gilt seit 25. Mai die Datenschutz-Grundverordnung (DSGVO). So könnte man also auf die Idee kommen, dass die Entscheidung, die auf der Grundlage des alten Rechts – nämlich der Datenschutzrichtlinie 95/46 EU – ergangen ist, nur noch rechtsgeschichtlichen Wert hat. Dies ist aber nicht der Fall, denn hinsichtlich der Verantwortlichkeit ergeben sich gerade keine Änderungen zwischen altem und neuen Recht. Und das bedeutet wohl, dass jeder Nutzer jedenfalls von beruflich genutzten Social Media Profilen zukünftig für die Datenverarbeitung(sverstöße) des jeweiligen Anbieters (mit)verantwortlich ist. Oder, um es mit den Worten des hochgeschätzten Kollegen Thomas Schwenke zu sagen

(Kleine Einschränkung hierzu: Für private Accounts gilt dies aber jedenfalls „möglicherweise“ nicht, da die Anwendung der DSGVO in Bezug auf den Profilinhaber insoweit jedenfalls fraglich ist, so steht das in Art. 2 Abs. 2c DSGVO in Verbindung mit Erwägungsgrund 18).

Verweise:

Jurafunk Nr. 150: Facebook ist und bleibt kostenlos!

Die 150. Ausgabe des Kieler Rechtspodcasts hat in weiten Teilen wieder einmal ein Urteil gegen Facebook zum Gegenstand, das Mitte Februar bereits Wellen schlug. Das Landgericht stellt darin unter anderem fest, dass Facebook zurecht mit dem Slogan „Facebook ist und bleibt kostenlos!“ wirbt. Allerdings ist auch zuzugeben: Das ist so ziemlich das einzige, was dem Social Network nicht auf Antrag des Bundesverbands der Verbraucherzentralen verboten wurde. Daneben befassen wir uns noch mit einem Urteil zu den Persönlichkeitsrechten des Ex-Bundespräsidenten Wulff sowie mit einer (zu) vulgären Markenanmeldung.

Viel Vergnügen!

 

Jurafunk Nr. 150 – Inhalt:

0’00“ – Intro: Das Jahr des Atos
2’45“ – Facebook ist und bleibt kostenlos / (u.A.) Klarnamenpflicht rechtswidrig (LG Berlin, Urt. v. 16.1.18  – Az. 16 O 341/15 ).
19’08“ – „Bin beim ALDI!“ – Christian Wulff kauft Dinge ein (BGH, Urt. v. 06.02.2018, Az. VI ZR 76/17).
25’50“- Witzischkeit (bei der Markenanmeldung) kennt Grenzen (EuG, Urt. v. 24.1.18, Az. T-69/17).
31’30“ – Outro-

Hinweise und Notizen zu Folge 150:

„beA“ bedeutet „besonderes Anwaltspostfach“ und ist in Anwaltskreisen so etwas ähnliches wie der BER in Flughafenkreisen. Mehr zum beA-Skandal und der Rolle des Software-Dienstleister Atos hier. | Wenn Henry hin und wieder darauf hinweist, dass das Telemediengesetz bald in Teilen so nicht mehr gilt, dann liegt das an der Datenschutz-Grundverordnung (DSGVO), die am 23.5.2018 in Kraft tritt und dieses in Teilen ersetzt. | Die WAK Schleswig Holstein führt seit Jahren ein Verfahren gegen Henrys Dienstherren, das Unabhängige Landeszentrum für den Datenschutz in Schleswig Holstein, mehr dazu hier. Henrys Äußerungen dazu im Jurafunk sind aber – immer – rein privat | Das gilt insbesondere für die durch nichts bewiesene Behauptung, Gott habe Moses irgendwas „in die Hand gemeißelt“| Mehr zum Werktitelschutz steht in § 5 Abs. 3 MarkenG | Bei den Europäischen Gerichten wird landläufig zwischen „EuGH“ und „EuG“ entschieden, mehr dazu hier. | Wer sich partout nicht mehr daran erinnert, was die „Causa Wulff“ war und wie viele Jurafunk-Folgen wir damit bestreiten konnten, kann das hier und hier nachhören.

Jurafunk 149: Ein Bot namens Yves / Schweigen ist Gold / PayPal (Ver-)käuferschutz

Es war nun eine Zeit lang nichts vom Jurafunk-Team zu hören – Was man als nette Geste gegenüber dem Podcast-Team der Rechtsbelehrung framen könnte, die damit die Möglichkeit erhielt, den Folgen Vorsprung des Jurafunks etwas zu verkürzen. Aber das würde an der Wahrheit natürlich etwas vorbei gehen, denn wir hatten einfach zuviel anderes (wenn auch nicht Besseres) zu tun. In Folge 149 es wieder einmal um Facebook, die Gerichte und die für das ULD überraschende Aussicht, auch mal einen Prozess in Zusammenhang mit dem sozialen Netzwerk zu „gewinnen“. Außerdem besprechen wir Til Schweigers loses Mundwerk, das PayPal-Urteil des BGH und beginnen eine neue Rubrik im Podcast, die ich soeben „Henrys Wundertüte“ getauft habe.

Viel Vergnügen!

Mehr erfahren