Dresden: Ein Hutbürger will Geld sehen

Es war eines der Aufreger-Themen des vergangenen Sommers: Der so genannte „Hutbürger“, der im August 2018 bei einer Dresdner Pegida-Demonstration von einem Kamerateam des ZDF gefilmt wurde und dabei exakt so aussah wie Karikatur, nunja: eines Pedigda-Demonstranten. Das Deutschlandschlapphut-Outfit kann schon als ikonisch bezeichnet werden und schaffte natürlich als Meme den Sprung in die sozialen Medien. Ein gutes Jahr später geht es vor Gericht – und um Geld.

Mehr erfahren

#Ibizagate und Datenschutz: Wenn man nur einen Hammer hat…

Der Baden-Württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit hat sich zu #Ibizagate geäußert und vor allem die Medien einer kritischen Betrachtung unterzogen: Diese seien „über das Ziel hinaus geschossen“. In Folge 3 meines Vlogs von unterwegs bespreche ich ein paar Minuten lang die Frage, wer in dieser Beziehung (meiner Ansicht nach) tatsächlich über das Ziel hinaus schießt.

Ein Video zu der erwähnten Diskussion zum „Recht auf Vergessenwerden“ ist als „Jurafunk Nr. 116“ hier zu finden. Noch etwas älter ist der Text „Die Wahrheit als Datenschutzproblem„, der sich ebenfalls mit der Gonzales-Entscheidung befasst, aber grundsätzlich noch immer Gültigkeit hat. Eine Kleine Korrektur noch: Aufmerksame Nutzer haben außerdem bemerkt, dass ich im Video einmal „Informationssicherheit“ sage, wo es eigentlich „Informationsfreiheit“ heißen muss.

B. Höcke und das Recht am eigenen Bild

B. Höcke (Foto: Alexander Dalbert, Lizenz: 
CC BY-SA 3.0)

Der aus Funk und Fernsehen bekannte rechtsradikale  Landtagsabgeordnete B. Höcke muss sich, wie Medien berichten, mit einem Ermittlungsverfahren auseinandersetzen, nachdem er das Foto eines Mordopfers in über soziale Medien verbreitete (und viele sagen: instrumentalisierte).

Ich habe bei einer Onlinerecherche nicht zielgenau ermitteln können, welche Strafnorm die Staatsanwaltschaft verletzt sieht, gehe aber davon aus, dass es um § 33 des Kunsturhebergesetzes (KUG) geht, der die Verletzung des Rechts am eigenen Bild nach § 22 KUG durch Verbreitung oder öffentliche Zurschaustellung ohne Einwilligung und ohne, dass die Einwilligung entbehrlich wäre, unter Strafe stellt.

Wer dem Mann das Strafverfahren gönnt  – das immerhin bereits zu einer Aufhebung seiner Immunität im Thüringischen Landtag geführt hat – sollte sich hiervon aber nicht allzu zuviel versprechen. Der Strafrahmen ist mit „Freiheitsstrafe bis zu einem Jahr oder Geldstrafe“ nicht allzu üppig bemessen, und B. Höcke muss nicht befürchten, kurz vor Weihnachten noch in U-Haft genommen zu werden.

Im Allgemeinen ist eine Strafanzeige wegen der Verletzung des Rechts am eigenen Bild auch nicht unbedingt das erste Mittel der Wahl, um sich gegen Übergriffe wie den, der hier in Frage steht, zu wehren. Nicht nur ist der Strafrahmen gering, es handelt sich auch noch um ein Privatklagedelikt nach 374 Abs. 1 Nr. 8 StPO, so dass die Staatsanwaltschaft die Möglichkeit hat,  das Verfahren unter Hinweis auf den Privatklageweg einzustellen (§ 170 Abs. 2 StPO). Dann passiert in der Regel nichts weiter.

Effektiver, schneller und ggf. sogar schmerzvoller als ein Ermittlungsverfahren, das im Zweifel wie das Hornberger Schießen endet, kann es da sein, die entsprechenden Unterlassungs- und Schadensersatzansprüche zivilrechtlich durchzusetzen. Soweit recherchierbar, scheint dies vorliegend nicht geschehen zu sein. 

Auch die Hinterbliebenen sind hier (für den Zeitraum von 10 Jahren nach dem Tod des/der Abgebildeten) anspruchsberechtigt, wie sich aus § 22 S. 3 KUG ergibt. Ein Anspruch auf Geldentschädigung kommt allerdings nur in Betracht, wenn die Nutzung des Fotos hier die Rechte von Angehörigen selbst verletzen würde; das dürfte eher schwierig zu begründen sein (mehr zur Frage der Geldentschädigung bei Verletzung des Rechts am eigenen Bild hier). 

Trotzdem finde ich hier (auch) die Strafanzeige und den Strafantrag durchaus sinnvoll – und sei es nur, um die öffentliche Aufmerksamkeit auf die Scheinheiligkeit der selbsternannten Rechtsstaatsverteidigerpartei zu lenken, bei deren Repräsentanten es sich reihenweise ganz einfach um (mutmaßliche) Straftäter handelt. 

Jurafunk Nr. 154: Captain Knutsch und die „Selbstöffnung“, Jörg Knörr und die Lustigkeit

Kurz vor Jahresende haben es die Jurafunker noch einmal geschafft, sich für die endgültige Ausgabe des Jahres 2018 zusammenzufinden.

Besprochen werden in Folge 154: Die Monopolisierung des Begriffs „Titan“ (as in: „Pop-Titan“ oder „Podcast-Titan“), die Selbstöffnung von Captain Knutsch und deren Folgen und, last but not least, der Qualitätsgehalt eines bestimmten Werks des Comedians Jörg Knörr. 

 

Jurafunk Nr. 154 – Inhalt:

00’00“ – Intro

01’25“ – Kahn ./. T1tan: Wie ein ehemaliger Top-Torhüter einmal ein Wort ganz für sich haben wollte (LG München I, Az. hier nicht bekannt, mehr dazu)

08’56“ – Warum Captain Knutsch sich gegen bestimmte Berichterstattung  nicht erfolgreich wehren kann und was es mit der „Selbstöffnung“ auf sich hat (OLG Köln, Urt. vom 22.11.18, Az. 15 U 96/18 ).

21’10“ – Warum sich Entertainer und Stimmimitator Jörg Knörr um ein Honorar streiten musste und wieso es dabei auf seine Witzigkeit (nicht) ankam (OLG Köln, Urt. v. 14.11.2018, Az. 11 U 71/18).

26’55“ – Warum Whatsapp-Kettenbriefe zwar auch zu Weihnachten doof sind aber nicht so gefährlich wie viele meinen (Mehr dazu).

Das Jurafunk-Team ist für dieses Jahr „durch“ und wünscht allen Hörerinnen und Hörern frohe Weihnachten und ein gesundes und erfolgreiches neues Jahr. Bleiben Sie sich und uns treu – Wir sind in 2019 wieder da!

10 verbreitete Rechtsirrtümer … zur Datenschutz-Grundverordnung (DSGVO)

Der Untergang des Internets wie wir es kennen, ist bekanntermaßen am 25.5.2018 eingeläutet worden. Ein halbes Jahr später steht das Internet zwar immer noch, rund um die Datenschutz-Grundverordnung existieren aber mehr Mythen denn je. Die passende Gelegenheit, sich einmal ein paar Fehlannahmen zu widmen, denen ich tagtäglich begegne.

Irrtum: Die DSGVO ist Teufelswerk
Tatsache: Mit der DSGVO ist Datenschutz endlich Thema.

Der Internetnutzer ist nicht mehr Kunde, er ist das Produkt. Jedenfalls, wenn er die großen Plattformen wie Facebook oder Google nutzt, in gewisser Hinsicht und teilweise auch bei Verkaufsplattformen wie Amazon. Es ist Zeit, dies nicht länger zu ignorieren und es wird Zeit, der Macht der Plattformen etwas entgegenzusetzen. Und genau dies erreicht die DSGVO. An ihr kommen nicht nur die vielzitierten und bemühten „kleinen Blogger“ nicht mehr vorbei, die sich nun mit dem Datenschutz befassen müssen. Es müssen sich nunmehr auch alle Daten-Dienstleister gegenüber ihren Kunden in Hinblick auf Datenschutz und Datensicherheit rechtfertigen. Erstmals wird dem Thema Datenschutz bereits bei der Auswahl von Dienstleistern Priorität eingeräumt. Und das ist gut so.

Irrtum: Die Umsetzung der DSGVO bringt keine Probleme mit sich.
Tatsache: Vieles in der DSGVO ist unklar. Einiges erscheint widersprüchlich. Manches ist überflüssiger Formalismus.

Gebetsmühlenartig hört man die Datenschützer in den Aufsichtsbehörden vortragen: Probleme mit der DSGVO und deren Umsetzung sind nur Missverständnisse auf Seiten der Verpflichteten. Es ist alles ganz einfach, man muss es nur wollen. Das ist aber ganz offensichtlich nicht der Fall. Denn die DSGVO ist voller unbestimmter Rechtsbegriffe und deren Auslegung durch die Landesdatenschutzbeauftragten ist nicht immer hilfreich. Gerade kleine Unternehmen sind mit der Erfüllung von Informations- und Dokumentationspflichten überfordert. Sind seitenlange Datenschutzerklärungen bei der Bestellung im Buchladen sinnvoll? Darüber kann man geteilter Meinung sein. Vielleicht kann man auch sagen: „Was für ein Blödsinn“. Eine Kommunikationsstrategie des Abwiegelns ist aber sicherlich nicht hilfreich bei dem Versuch, dem Datenschutz zu mehr Akzeptanz zu verhelfen.

Irrtum: Auf einmal Auftragsverarbeitung +  AVV!
Tatsache: Schon lange Auftragsverarbeitung + AVV (früher: ADV)!

Die größte Veränderung im Bereich der Auftragsverarbeitung seit Anwendung der DSGVO am 25. Mai ist, nach meiner bescheidenden Meinung, die Einsparung eines „D“ in der Abkürzung. Bis zum 25.5.2018 hieß die „Auftragsverarbeitung“ nämlich „Auftragsdatenverarbeitung“ und die entsprechenden Vereinbarungen hießen „Auftragsdatenverarbeitungsvereinbarungen“ oder kurz „ADV“. Seit dem heißen sie „AVV“. Sonst hat sich herzlich wenig geändert, insbesondere wurde die bereits in § 11 BDSG (alt) geregelte Verpflichtung des Auftraggebers, mit seinen Auftragsverarbeitern entsprechende Vereinbarungen mit bestimmten Mindestinhalten zu schließen, nicht von der DSGVO erfunden. Nur weil viele Menschen die schon vor Anwendung der DSGVO geltende Rechtslage nicht kannten, bedeutet das nicht, dass sie nicht existiert hätte.

Irrtum: Die DSGVO-Abmahnwelle kommt.
Tatsache: Die DSGVO-Abmahnwelle kommt nicht.

Niemand kann voraussagen, ob nicht morgen jemand anfängt, komische Briefe zu schreiben. Dennoch sprach schon vor dem 25. Mai einiges dafür, dass die herbeifantasierten DSGVO-Abmahnwellen, die das Internet sofort ab dem Stichtag überschwemmmen würden, ausbleiben und jedenfalls bis Herbst 2018 sind sie auch ausgeblieben. Die Argumente habe ich hier bereits vor einiger Zeit einmal ausführlich aufgeschrieben.

Irrtum: Zwanzig Millionen Euro!
Tatsache: Erst mal alles andere.

Eins „weiß“ jeder über die DSGVO: Wer verstößt, muss 20 Millionen Euro zahlen (oder 4% des Jahresumsatzes, was eben höher ist). Diese Horrorzahlen sind natürlich sexy, um damit Werbung für Gegenmaßnahmen zu machen. Rechtsberatung, Datenschutzbauftragtensoftware, you name it. Nur haben sie mit der Realität nicht das geringste zu tun. Richtig ist, dass das maximal (!) mögliche (!) Bußgeld (!) für bestimmte Verstöße gegen die DSGVO 20 Millionen Euro beträgt  (oder 4% des Jahresumsatzes, was eben höher ist). Weder wird aber bei den meisten Verstößen überhaupt ein Bußgeld festgesetzt werden, selbst wenn die Datenschutzbehörde davon Kenntnis erlangt (weil viele andere Aufsichtsmaßnahmen exisitieren, die viel geeigneter sind, den jeweiligen Verstoß zu ahnden, zum Beispiel Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2 DSGVO, nämlich Rügen, Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen oder zeitlich begrenzte oder endgültiges Verbot der Datenverarbeitung). Noch werden auch in den Fällen, in denen Bußgelder verhängt werden, annähernd die genannten Maximalsummen erreicht werden.

Irrtum: Alle alten Newsletter-Einwilligungen müssen mit der DSGVO neu eingeholt werden.
Tatsache: Ordentlich eingeholte Einwilligungen müssen mit der DSGVO nicht neu eingeholt werden.

Zugegeben, der Hinweis kommt ein bisschen spät, denn zwischenzeitlich ist die Welle der E-Mails, die bei Newslettern und ähnlichem zu erneuter Einwilligung aufriefen, abgeebbt. Weil das, was alle machen, wohl seine Gründe haben muss, hat diese Welle aber zu der verbreiteten Meinung geführt, dass es eine Verpflichtung hierzu gibt. Diese gibt es natürlich nicht.

Bevor der Punkt erreicht war, an dem Alle sicherheitshalber ihre Einwilligungen noch einmal eingeholt haben, weil alle anderen das eben auch machen (…und außerdem 20 Millionen Euro !!!), dürfte es dieser Aspekt gewesen sein, der manche zurecht davon ausgehen ließ, ihre Einwilligungen seien unwirksam: Nach der DSGVO dürfen Einwilligungen (ausdrücklich) nicht (mehr) mit anderen Erklärungen verbunden werden, dies besagt das „Kopplungsverbot“ aus Art. 7 DSGVO. Einwilligungen, die in der Vergangenheit unter Verstoß hiergegen eingeholt wurden (weil z.B. die Newsletter-Bestellung mit etwas ganz anderem verbunden war), mussten tatsächlich „nachqualifziert“ werden, wie das im Marketing-Sprech heißt. Aber eben auch nur die.

Irrtum: Unter der DSGVO braucht jedes Unternehmen einen Datenschutzbeauftragten.
Tatsache: Die Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist, haben sich nicht wesentlich geändert.

Weiterhin müssen nur Unternehmen, die bestimmte Verarbeitungtätigkeiten zu ihren Kerntätigkeiten zählen (Art. 37 DSGVO) oder bei denen mehr als 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 BDSG), einen Datenschutzbeauftragten. Für andere Unternehmen kann ein Datenschutzbeauftragter sinnvoll sein. Vorgeschrieben ist er nicht.

Irrtum: Die DSGVO sorgt dafür, dass keiner mehr einen anderen Fotografieren darf. Und das Foto veröffentlichen schon gar nicht.
Tatsache: Die Voraussetzungen für das Anfertigen und Veröffentlichen von Fotos, die Menschen zeigen, haben sich nicht wesentlich verändert.

Obwohl die DSGVO schon seit 2016 galt, kam die Aufregung in Sachen Fotografie erst Anfang 2018 so richtig in Fahrt. Nicht weniger als das Ende der Personenfotografie, wie wir sie kennen, wurde ausgerufen. Bislang allerdings, ohne dass diese Diskussion große Auswirkungen auf die Lebenswirklichkeit außerhalb der Diskussion entfaltet hätte. Mit anderen Worten: Würde man es aus dem Internet nicht besser wissen, würde man gar nichts davon mitbekommen, dass die Welt untergegangen ist. Das mag auch daran liegen, dass die ersten Urteile und Einschätzungen aus dem Dunstkreis der Datenschutzaufsicht der Meinung zuneigen, dass das Recht, wie wir es kannten, auch weiterhin gilt (und die ganzen schlimmen Informationspflichten der DSGVO vielleicht gar nicht Anwendung finden). Fragen Sie einfach auch in Zukunft, bevor sie Fotos von anderen Menschen veröffentlichen.

Irrtum: Die DSGVO verlangt, dass mit einem Layer auf Cookies hingewiesen wird und der Nutzer „OK“ drückt“.
Tatsache: Man kann sich auf den Standpunkt stellen, dass die DSGVO für bestimmte Cookies eine Einwilligung erfordert. Ein „OK“-Layer ist aber keine Einwilligung.

Die Sache mit den Cookies ist ein Beispiel für das (zumindest) kommunikative Versagen der Datenschutzaufsichtsbehörden, die es bis heute nicht einmal geschafft haben, anderen Menschen als Fachjuristen überhaupt nur zu erklären, was das rechtliche Problem an dieser Stelle ist. Der Jurafunk hat dies hier schon einmal versucht. Im Rahmen dieses Textes soll die Festellung reichen: Ob man für bestimmte Cookies eine „Einwilligung“ braucht, ist zum Zeitpunkt der Abfassung dieses Textes eine reine Glaubensfrage. Man kann mit guten Gründen der Meinung sein, dass eine Einwilligung notwendig ist. Wenn man aber dieser Meinung ist, dann genügen Cookie Banner der Art „… wenn Sie unsere Webseite nutzen, stimmen Sie zu“ nicht als Einwilligung, da es an der Freiwilligkeit fehlt. Letztlich ist der Cookie-Hinweis dann nur ein Hinweis, den man genauso gut direkt in der ohnehin notwendigen Datenschutzerklärung nach Art. 13 DSGVO geben kann.

Irrtum: Viel (Papier unterschreiben) hilft viel.
Tatsache: Gegen Hysterie hilft vielleicht Meditation (wobei...)

Spätestens, als der Kindergarten mich Anfang Mai mit einem Haufen Papier überschüttete, der die Frage behandelte, ob, wann und wohin Fotografien des Nachwuchses hergestellt, gespeichert oder übermittelt werden dürften und den ich schnell zu unterschreiben hätte, wurde mir klar: Hier liegt ein ganz grundsätzliches Missverständnis vor.

Die DSGVO hat nicht zum Ziel, der siechen Papierindustrie zu neuer Blüte zu verhelfen, in dem jeder Bürger ab sofort gezwungen werde, zigfach Einwilligungserklärungen für alles mögliche zu unterzeichnen. In den allermeisten Fällen ist der Formularwahn a.) unnötig, b.) verwirrend und/oder c) auch noch unwirksam, weil sich die verantwortlichen Stellen „um Dinge zu vereinfachen“ generalklauselartige Einwilligungen „für alles“ erteilen lassen. Genau dies will das Datenschutzrecht aber gerade nicht.

Anstatt also blindwütig hundertfach Blanko-Einwilligungen auszudrucken und im Akkord unterschreiben zu lassen, empfiehlt es sich, ein mal innezuhalten und sich zu fragen: Muss ich bestimmte Daten wirklich verarbeiten? (Überraschend häufige Antwort: „Nein“). Ist für diese Datenverarbeitung die DSGVO eigentlich anwendbar (Überraschend häufige Antwort: „Nein“). Benötige ich für diese Datenverarbeitung, die ich wirklich durchführen muss und für die tatsächlich die DSGVO andwenbar ist, eigentlich eine Einwilligung (Überraschend häufige Antwort: „Nein“). Was dann noch übrig bleibt, muss wirklich unterschrieben werden.

Was von DSGVO-Weltuntergang nach einem Jahr Anwendung der DSGVO übrig geblieben sein wird … sehen wir dann.