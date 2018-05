Am 25. Mai tritt mit der Datenschutzgrundverordnung (DSGVO) eine neue EU-Richtlinie des Datenschutzes in Kraft. Längst haben sich Sorgen breit gemacht: Online-Gewerbetreibende, Website-Betreiber, Fotografen, Newsletter-Versender und Blogger fürchten Einschränkungen, Aufwände oder sehen gar ihr Geschäftsmodell gefährdet. Was es zukünftig zu beachten gilt, hat Juristin Anja Neubauer in einem Gastbeitrag aufgeschrieben.

Ein Gastbeitrag von Anja Neubauer

Wenn Mitglieder unterschiedlicher Berufsgruppen nicht mehr ruhig schlafen, Fotografen zum Sturm auf das Bundeskanzleramt aufrufen, Internetseitenbetreiber und Blogger mitteilen, sie müssten nun ihre Seiten schließen, weil sie der Datenverwaltung nicht mehr Herr würden, haben Emotionen und Befürchtungen die Steuerung übernommen: Tatenlosigkeit einer Bundesregierung wird kritisiert, unfähig, jenen drohenden Bürokratie-Tsunami zu verhindern, der durch die DSGVO auf Menschen erbarmungslos zurolle.

DSGVO: Alter Wein in neuen Schläuchen?

Die DSGVO wird als EU-Richtlinie normalerweise von Regierungen der EU-Staaten in Landesrecht umgewandelt. Annähernd jedes Element der aktuellen EU-Richtlinie wurde in Deutschland 1:1 bereits umgesetzt – so auch das Bundesdatenschutzgesetz.

Diese alte Datenschutzrichtlinie übrigens bildete die Grundlage für die neue DSGVO-Richtlinie.

Allerdings wirkt die DSGVO nun direkt in allen EU-Ländern und muss als Richtlinie nicht in Landesgesetze umgewandelt werden. Ein Zwitter quasi. Er gilt EU-weit verbindlich für jeden, der in einem EU-Land Waren oder Dienstleistungen erbringt, auch wenn die Firma ihren Sitz im Nicht-EU-Ausland hat. Auch dies ist prinzipiell nicht neu, allerdings waren die bisherige Auslegungen kraftlose Papiertiger. Im Ausland ansässige Firmen, auch große Social Media-Netzwerke, hatten den Raum, sich über sämtliche Regeln des Datenschutzes hinwegzusetzen. Mit der neuen DSGVO kann dieses Verhalten nun teuer werden.

Im Grundsatz also gelten bestehende Regelungen in Form der DSGVO weiter, auch wenn Rechte Betroffener nun deutlicher betont, Aufklärungspflichten ausdrücklicher verlangt werden und der Umgang mit der Weitergabe personenbezogener Daten an Drittanbieter und so genannte ‚Auftragsverarbeiter‘ deutlich strenger reguliert wird: Jeder, der Daten verarbeitet, ist nun mit deutlich mehr Aufklärungspflichten persönlich verantwortlich dafür, was mit den Daten geschieht.

Auch wenn sich viele nicht daran hielten, hier ein Beispiel für bislang schon geltendes Recht:

Online-Gewerbetreibende mussten bereits vor der DSGVO ein ausdrückliches, unmissverständliches Einverständnis des Kunden einholen, bevor dessen Mailadresse für Werbung genutzt werden durfte.

Vielleicht hatten auch Sie einmal in einem Online-Shop gekauft und bekamen danach unaufgefordert weitere Mails mit Produktempfehlungen? Dies war auch bisher nicht erlaubt, genau genommen seit 15 Jahren nicht: Der BGH hatte bereits vor sämtlichen Neufassungen im Wettbewerbsrecht – sogenannten „Körben“- und Neufassungen des Bundesdatenschutzgesetzes entschieden, dass Kundenmailadressen nicht für Werbung genutzt werden dürfen, ohne dass der Kunde sich hierzu ausdrücklich einverstanden erklärt. Online-Gewerbetreibende erfanden also ein Häkchen, dass gleich beim Kauf gesetzt werden musste, etwa zur Bestellung eines Newsletters. Begründung der Verkäufer für die Kopplung: „Sie können sich ja jederzeit wieder abmelden.“. Rechtskonform? Nein! Auch das war nie erlaubt.

Selbst Werbung für Partnerprodukte, im Werbe-Sprech „Affiliate-Werbung“, war nicht erlaubt. Der BGH hatte diesbezüglich schon vor fast 20 Jahren in Fragen der Werbung von Telekom-Produkten entschieden, das Einverständnis der Kunden für die Übersendung von Newslettern sei ausschließlich auf jene Produkte beschränkt, für deren Newsletter er sich angemeldet hat, nicht jedoch für Produkte der Konzerntöchter. Kaum jemand hielt sich daran. Das nun in der DSGVO beschriebene „Kopplungsverbot“ gab es also schon immer. Selbst die IHK Köln versendete bis 2005 an sämtliche Mitglieder Newsletter, allein aufgrund des Mitgliedsstatus. Rechtswidrig.

Wenn Sie aktuell viele Mails zur Bestätigung des Newsletter-Empfangs erhalten, hat das diesen Hintergrund. Selbst Anbieter aus den USA reagieren in diesen Tagen mit der Bitte um Newsletter-Bestätigung bereits auf die DSGVO.

Bestehende Mailinglisten können von Anbietern weiter genutzt werden: Jedoch muss präzise dokumentiert sein, wann und wozu das Einverständnis für den Newsletterversandt erteilt wurde: Sämtliche gängigen Softwareprodukte speichern IP, Datum und Uhrzeit. Dieser Dokumentationspflicht musste übrigens schon bisher gefolgt werden. Der Verwender der Daten war schon immer in der Beweislast.

Aufklärungspflichten und Datenschutzerklärung

Die mit der DSGVO verbindlichen Aufklärungspflichten stellen eine neue Herausforderung dar.

Betroffene müssen nun ausdrücklich über Rechte aufgeklärt werden:

Der Nutzer muss darüber informiert werden, welche Rechte er hat, muss genau aufgeklärt werden, welche personenbezogenen Daten von ihm gesammelt werden, wie sie verarbeitet und gespeichert werden, wie lange sie gespeichert werden, warum dies gerechtfertigt ist und wie und unter welchen Voraussetzungen die Daten gelöscht werden.

Klingt kompliziert? Zu wenig! Das ist kompliziert, und es kann schwer werden, korrekte Formulierungen zu verwenden: Denn es gibt in der DSGVO Rechtfertigungsgründe für Datenverarbeitung, die einzeln benannt werden müssen. Einfach ist das z.B. im Falle eines Kaufes, denn dann besteht die Rechtfertigungsgrundlage in der Erbringung der Leistung. Schwer wird es, wenn es um Cookies von Social Media Plattformen geht. Letztlich kann und muss der Nutzer der Daten sich auf einen Grund berufen und hoffen, dass damit wirklich die Nutzung gerechtfertigt ist. Präzise wissen kann es niemand sicher. Wann genau welche Rechtfertigung akzeptabel ist, ist die große Unbekannte in der DSGVO. Es fehlt an Klarheit.

Diverse Generatoren bieten aktuell Hilfestellung an: Viele Anwaltskanzleien stellen diese kostenlos oder kostenpflichtig zur Verfügung. Im persönlichen Einzelfall könnten Rechtfertigungsgründe sich allerdings sehr voneinander unterscheiden. Wer wirklich Sicherheit will, muss einen Anwalt beauftragen, der haftet im Zweifel bei Abmahnungen mit seiner Berufshaftpflichtversicherung.

Ein anderer Weg ist die Nutzung der Muster-DSGVO, etwa von Thomas Hoeren, Urheberrechtsprofessor an der Universität Münster, die an die individuelle Situation angepasst werden muss: Es ist die bislang wahrscheinlich präziseste Form der Darstellung in einer Datenschutzerklärung. Eine Garantie allerdings kann auch Hoeren nicht geben. Im Einzelfall kann nur der rechtssicher formulieren, der weiß, mit welchen Tools er wofür welche Daten sammelt.

Cookies noch erlaubt? Opt-In, Opt-Out?

Die Frage ist nicht leicht zu beantworten. Die künftig gültige ePrivacy-Verordnung als verbindliche Antwort sollte schon mit der DSGVO vorliegen, lässt aber noch auf sich warten. Wir befinden uns also zu den Themen Cookies und Webtracking in einer Übergangszeit, in der spekuliert wird: Gilt das TMG (Telemediengesetz) denn nun weiterhin? Wenn ja, wie muss man es auslegen in Gegenüberstellung zur DSGVO? Darüber streiten derzeit Juristen, die Meinungen sind vielfältig.

Im korrekten Umgang mit Cookies existieren derzeit drei Deutungsmöglichkeiten:

Erste Deutung: Nach der DSGVO dürfen Daten erst nach der aktiven Einwilligung verarbeitet werden (Opt-In). Eine User-Einwilligung via Klick und Weitersurfen reicht nicht aus. Darüber hinaus müsste technisch unterbunden werden, dass überhaupt Daten vor der Einwilligung erhoben werden.

Zweite Deutung: Im Sinne des TMG genügt die Option Cookies wieder ausschalten zu können (Opt–Out). Dies beschreibt in der Regel den aktuellen Status der meisten Website-Betreiber.

Dritte Deutung: Die ePrivacy-Verordnung sieht für bestimmte Cookie-Arten Ausnahmen bei berechtigtem Interesse vor. Was für wen genau ein berechtigtes Interesse ist und was nicht, wird beschrieben.

Die aktuelle Rechtssicherheit also ist verbindlich nicht vorhanden.

Es kann Sinn machen abzuwarten, bis geklärt wird, für welche Cookies ein Opt-In überhaupt bereitgehalten werden muss. Ohnehin scheint technisch fraglich, wie bei verschiedenen Browser-Arten Cookies zuverlässig ausgeschaltet werden können.

Sorgen von Fotografen

„Man darf keine digitalen Bilder mehr machen, sonst steht man ja mit einem Bein im Knast“, schrieb ein Fotograf neulich auf Facebook. Beispiel für eine situative Verunsicherung von Fotografen, deren Unrechtsbewusstsein zum Thema Datenschutz und Privacy ohnehin historisch eher unterrepräsentiert scheint. Das kann man auch verstehen: Fotografen fokussieren eher Pressefreiheit als potentielle Einschränkungen ihrer Gestaltungs-Impulse. Gleichwohl waren die Persönlichkeitsrechte ihrer Motive aus dem Sektor People-Fotografie aufgrund des Kunsturhebergesetzes schon immer sehr viel stärker, als allgemein von Fotografen angenommen.

Etwaige Probleme im Streitfall regelten bislang jene Verlage oder Online-Medien, die Bilder der Fotografen veröffentlichten und Abmahnungen der Abgebildeten erhielten. Manchmal nahmen Fotografen gar nicht wahr, wenn Rechte am eigenen Bild durch ein Produkt verletzt worden sein mochten.

Die DSGVO ändert dies nun. Künftig gilt per Definition: Personenbezogene Daten gelten als gespeichert, wenn der Auslöser betätigt wird und das Bild der Person auf der Speicherkarte landet. Ein radikaler Ansatz!

Der Fotograf verstößt gegen die DSGVO, wenn er ohne Einwilligung ein Bild einer Person fertigt.

Hintergründe dieser Stringenz mögen im Zeitgeist liegen: Im Zeitalter digitaler Fotografie ist es via Handy für jeden Laien möglich, Personen ohne ihr Wissen einfach überall ‚abzuschießen‘: ein Ding der Unmöglichkeit, auch wenn im Umgang mit Bildern von Kindern inzwischen ein Common-Sense der Sensibilität wuchs.

Was ist mit Bildern von Ihnen, mir, der Supermarktkassiererin? Empathie für die Rechte Dritter und Unrechtsbewusstsein schwinden mit der Verfügbarkeit technischer Möglichkeiten. Langsam beginnt ein Umdenken, dem die neuen Bestimmungen nun Rechnung tragen.

Zusätzlich kommt die DSGVO mit dieser Regelung einem weiteren, bislang kaum beachteten Problem zuvor: Anhand digitaler Daten können Nutzer-Profile erstellt werden. Software zur Gesichtserkennung kann Bewegungsprofile von Personen kreieren. Eine Funktion, die in der Verfolgung von Straftätern unter bestimmten Voraussetzungen hilfreich ist, wird allgemein verfügbarer. Irrelevant für die Mehrzahl von Hobbyfotografen, relevant für Profis, die Bilder in großen Pools sammeln.

Kritiker staatlicher Nutzung von Überwachungskameras könnten bedenken, wie schnell man mit der heutigen Technologie auch ohne Überwachungskameras zur Zielscheibe einer Profilerstellung mit Bewegungsanalyse werden könnte. Technologische Möglichkeiten wachsen heute deutlich schneller als jene Gesetze und Bestimmungen, die sie regulieren.

Völlig unberührt davon und ein gesondertes Thema ist bei allen DSGVO-Details die Frage der Durchsetzbarkeit und Verfolgung: Es ist zu vermuten, dass Menschen erst nach der Veröffentlichung des Produktes davon erfahren, dass sie abgelichtet wurden und danach möglicherweise dagegen vorgehen. Die Zahl derer, die bestraft werden, weil sie bei Rot eine Fußgängerampel überqueren, steht in keinem Verhältnis zu realen Zahl von Fußgänger-Verstößen. Kein Grund zu vorauseilender Hysterie also. Das Fotografieren von Personen ist wie bisher zulässig, wenn entweder die abgebildeten Personen eingewilligt haben, oder eine sonstige gesetzliche Erlaubnis besteht.

Das Fotografieren auch ohne Einwilligung ist beispielsweise dann gesetzlich erlaubt, wenn ein berechtigtes Interesse vorhanden ist. Ein solches Interesse kann beispielsweise das berufliche Interesse eines Fotografen sein. Auf ein berechtigtes Interesse können sich Fotografen berufen, wenn mit der Aufnahme zugleich ein Grundrecht ausgeübt wird, etwa die Meinungs- und Informationsfreiheit.

Freiheit der Fotografen galt noch nie uneingeschränkt: Ob im Einzelfall die Interessen des Fotografen oder die Interessen der fotografierten Personen überwiegen, mussten bei einem Konflikt schon immer Gerichte entscheiden. Die jüngste Forderung einiger Fotografen, die DSGVO durch nationales Recht einzuschränken, ist also zumindest zwiespältig, obwohl grundsätzlich die Möglichkeit nationaler Regelungen besteht.

DSGVO: Wie umgehen mit E-Mails?

Mails enthalten Daten. Und Mails, selbst leere, sind Daten. Unabhängig von vollständigen Footern gilt schon die Mailadresse selbst als Element personenbezogener Daten. Mit jeder Mail werden IP-Adresse und weitere Daten-Server, Sendezeit, Ort, usw.- übersendet.

Schon bislang musste paradoxerweise ein Absender unaufgeforderter Mails vom Empfänger (!) darüber aufgeklärt werden, was bei Versenden der Mail mit seinen Daten geschieht. Das ist natürlich technisch und inhaltlich irre, weil ein Empfänger vor (!) Empfang einer Mail nicht wissen kann, wer ihm schreibt und den fantasierten Sender vorab über Datennutzung informieren kann.

Vor der DSGVO haben bereits einige große Firmen auf diesen Aspekt mit Auto-Respondern reagiert („Vielen Dank für Ihre Mail. Wir werden Ihre Daten nicht speichern, sondern nur zur Beantwortung Ihrer Anfrage nutzen und danach sofort wieder löschen“). Als nachträgliche Aufklärung war dies unwirksam.

Mit der DSGVO hat sich diese Problemstellung im Kern nicht geändert. Aber nun haben Empfänger der Mails die Möglichkeit, hier mit einem berechtigten Interesse zu begründen, dass die Maildaten zur Antwort genutzt werden. Diese Möglichkeit existierte formal bislang nicht. Für weitergehende Werbezwecke dürfen Mailadressen nach wie vor nicht genutzt werden. Dies war nie erlaubt, und das Verbot wird durch die DSGVO noch verschärft: Der Verantwortliche muss sich ausdrücklich das Einverständnis des Betroffenen einholen und auch dokumentieren, wann er die Einwilligung erhalten hat. So muss auch beim Kontaktformular ausdrücklich aufgeklärt und auf die Datenschutzerklärung hingewiesen werden.

Xing, LinkedIn & Co: Funktion ‚Freunde einladen‘ verboten!

Viele Netzwerke bieten Funktionen an, die Nutzern mit einem Klick ermöglichen, Freunde einzuladen und die Kontaktliste des Netzwerkes mit denen anderer bestehender Netzwerke oder etwa den vorhandenen Outlook-Kontakten zu harmonisieren: ein Vorteil für die Plattformen, der kostenlos potentiell zusätzliche Nutzer akquiriert. Vielleicht auch ein Vorteil für User, weil die Komplexität verschiedener, parallel genutzter Netzwerke reduziert wird.

Künftig gilt: Der User selbst darf Mailadressen seiner Kontakte nicht über derartige Funktionen weitergeben. Ein Bestätigungs-Klick auf das Angebot ist ein Verstoß! Täte er es dennoch, dürften die Plattformen jene Daten deshalb nicht nutzen, weil das ausdrückliche Einverständnis aller betroffenen Kontakte nicht vorliegt.

Bußgeld und Verfolgung durch Datenschutzbehörden

Die Bußgeldvorschriften werden verschärft: „Bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweiten Jahresumsatzes“, so liest man, können für Verstöße gegen die DSGVO anfallen. Eine Einschüchterung, die Spuren hinterlässt: Mark Zuckerberg äußerte, er würde aus steuerrechtlichen Gründen seinen Sitz für Abrechnungszwecke in Irland belassen. Alle anderen Belange, auch jene des Datenschutzes fielen unter die Steuerung der Zentrale in Kalifornien und seien von der neuen DSGVO-Richtlinie nicht berührt. Ein frommer Wunsch. Und eine Illusion.

Denn generell gilt: Bußgelder werden nach freiem Ermessen verhängt, orientieren sich am Niveau des Verstoßes und am Verletzenden, und sie beginnen zunächst in niedriger Höhe.

Ohnehin waren Aufsichtsbehörden bislang komplett überfordert und verfolgten Verstöße als eher zahnlose Tiger kaum. Einer Flut etwaiger Anzeigen nach DSGVO wären sie ohne drastische Aufrüstung niemals gewachsen. Und: Gegen jeden Bußgeldbescheid kann dem Grund oder der Höhe nach auf dem Rechtsweg vorgegangen werden. In Summe eine aktuell unüberschaubare , dramatische Maximierung der Arbeitsvolumina der Behörden.

Niemand muss die Höchstsumme eines Bußgeldes in Höhe von 20 Mio Euro befürchten: Es sei denn, der jemand heißt Mark Zuckerberg und verantwortet ein Geschäftsmodell, das weitgehend auf dem Erstellen von Nutzerprofilen beruht. Für Datenkraken kann es teuer werden.

Abmahn-Wellen raffgieriger Anwälte?

Abmahnwellen bildeten schon immer ein Risiko der Gewerbetreibenden. Im Sinne des Wettbewerbsrechts gelten die Vorschriften der DSGVO als so genannte „drittschützende Normen“.

Dies bedeutet: Bei Verstößen können Wettbewerber abmahnen. Das war schon immer so.

Wer etwa eine Verletzung der Impressumspflicht dadurch verursachte, dass der Vorname des Geschäftsführers nicht korrekt geschrieben war, durfte abgemahnt werden. Eine paradoxe Stilblüte, die eine gesamte Industrie von Abmahn-Anwälten ernährt: Geschäftsmodelle, die auf der Grundlage des „Gesetzes gegen den unlauteren Wettbewerb“ alles und jeden abmahnen, der sich nicht an „drittschützende Normen“ hält.

Eindämmen kann man das kaum, denn die Rechtsprechung ist sehr liberal, gesteht quasi jedem Wettbewerber zu, sein „gutes Recht einzuklagen“. Wir Anwälte sind schier daran verzweifelt: Man konnte darstellen, dass es sich hier um Massenabmahnungen handelt, die Gerichte wollten dennoch nicht folgen. Ein Problem des Wettbewerbsrechtes, das bis heute keine vernünftige Lösung fand.

Dringend muss der Gesetzgeber hier schnell einen Riegel vorschieben!

Es können also im DSGVO-Kontext tatsächlich Abmahnungen drohen, aber: Niemand weiß heute genau, wie die z.B. Aufklärungspflichten aussehen müssen, damit sie DSGVO-konform sind. Auch die Abmahner nicht. Bei Streitwerten von ca. 50.000 Euro im Wettbewerbsrecht müsste der Abmahner nur für den ersten Rechtszug rund 9.500,- Anwalts- und Gerichtskosten tragen, wenn sein Begehren abgewiesen wird. Eher unwahrscheinlich, dass Abmahner sofort drauflos klagen. Auch nach aktueller Datenschutzverordnung sind übrigens Abmahnungen bereits möglich. Viele wissen dies gar nicht.

Wessen Datenschutzerklärung sich noch am Bundesdatenschutzgesetz und nicht an der DSGVO orientiert, sollte diese schnellstmöglich zukunftsfähig ändern.

WhatsApp & Co.

Medien berichten von Alltagseinschränkungen durch die neuen Bestimmungen. Ein Beispiel aus aktuellen TV-News: „Die neue DSGVO wird unseren Alltag einschränken! Selbst wenn ein Handwerker dem Chef ein Foto per Whatsapp schickt, in dem er das Werk zeigen will, ist dies ein Verstoß gegen die DSGVO, es sei denn, der Kunde hat ausdrücklich zugestimmt“. Inhaltlich richtig, allerdings für Panik ungeeignet.

Wer von uns weiß schon genau, wie auf Servern gespeicherte Bilder über Whatsapp weitergegeben und genutzt werden? Nutzer haben keine Möglichkeit, einen etwaigen Missbrauch aktiv einzuschränken. Die AGB von WhatsApp & Co (sinngemäß „die hochgeladenen Bilder gehören uns“) sind nach unserem Recht unwirksam. Nicht allein, falls sie nur auf Englisch verbreitet werden, sondern auch, weil sie in vielen Punkten schlicht versuchen, unser geltendes Recht zu umgehen.

Aus DSGVO-Sicht ist auch der Verteiler des Handwerkers, in dem die Bilder landen können, ein Problem. Jedem Versand eines WhatsApp-Bildes muss der Auftraggeber ausdrücklich zustimmen, und der Versender muss dies dokumentieren. Die DSGVO selbst wird den Berufsstand der Handwerker in seiner Arbeit nicht behindern. Dennoch: Insgesamt müssen WhatsApp-Nutzer sich sicher umstellen und sensibler mit dem Versand von Daten umgehen.

Fazit:

Aus Verbrauchersicht darf man froh sein über konsequentere Transparenz und aktuelle Panik-Ansätze durchaus als sinnvolles Zeichen interpretieren: Lange schon hätten aktuelle Datenschutz-Vorgaben konsequenter gelebt werden müssen.

Für Unternehmer, Selbstständige oder Freiberufler bedeutet die Ausrichtung auf die DGSVO nun jenen Aufwand, den sie nach aktueller Rechtslage ohnehin schon hätten mobilisieren müssen: sich Gedanken über Datensammlung und –nutzung zu machen und zunächst anhand der Musterformulierungen für den jeweiligen Einzelfall zu kommunizieren – eine ausführliche Aufklärung der Website-Nutzer und ihrer Rechte eingeschlossen.

Die redundante Nutzung alter Routinen, ihrer Nachlässigkeiten und Schlupflöcher steht auf dem Prüfstand: Mit der DGSVO scheint sie nur noch begrenzt zukunftsfähig.

Anja M. Neubauer ist Inhaberin der Neubauer Media Medien- und Consultinggruppe. Sie arbeitet als Honorarprofessorin Jura im Fachbereich Design der RWTH Aachen. Neubauer ist Spezialistin für Internet-, Urheber-, Wettbewerbs-, Marken- & Medienrecht.

