Die DSGVO hat in den letzten Monaten die Gesellschaft in ihrem Bann gehalten: Während sich die Datenschützer und Endkunden über eine europäische Verordnung freuen, verfielen Unternehmer und Marketingabteilungen in tiefe Depressionen und unendliche Panik. Man hatte das Gefühl, der Datenschutz wäre eine Erfindung der EU und es hätte ihn davor gar nicht gegeben. Wir haben mit Rechtsanwalt Christian Kuß von der Kanzlei Luther gesprochen, dessen Beratungsfelder die Informationstechnologie, das Urheber- und Datenschutzrecht sind.
Interview mit Christian Kuß zum „Schreckgespenst DSGVO“:
Wie sind „personenbezogene Daten“ im Sinne der DSGVO eigentlich zu definieren?
Anzeige
Grundsätzlich kann man dies sehr weit fassen – fast alle Information können personenbezogene Daten sein. Nach der gesetzlichen Definition lassen sich zwei Ebenen unterscheiden: Zum einen sind dies die Daten, die sich sofort mit einer natürlichen Person in Zusammenhang bringen lassen, wie z. B. der Name, das Geschlecht, etc. Auf der anderen Seite gibt es Daten, die erst einmal nicht als personenbezogen erscheinen – der Klassiker ist die IP-Adresse. Diese ist im Grunde nur eine reine Zahlenfolge, anhand derer man nicht direkt eine Person identifizieren kann. Womöglich könnte man aber einen Auskunftsanspruch gegenüber dem Telekommunikationsdienstleister besitzen, der die IP-Adresse vergeben hat. Zieht man diesen Anspruch mit in die Betrachtung, so ist die IP-Adresse auch ein personenbezogenes Datum.
Gibt es da nochmal Abstufungen in der Betrachtung der Sensibilität von personenbezogenen Daten?
In der Tat macht das Gesetz Abstufungen. Es gibt die, ich nenn es mal, Standarddaten, wie Name, Schuhgröße, Wohnanschrift, etc. und dann gibt es Stufen nach oben, die sogenannten besonderen Kategorien personenbezogener Daten – umgangssprachlich auch die sensitiven Daten. Dies sind Daten, die sich z. B. auf die Gesundheit beziehen, die Rasse, ethnische Herkunft, sexuelle Orientierung oder auch Zugehörigkeit zu einer Gewerkschaft. Das betrifft die Daten, bei denen man – unabhängig vom konkreten Aussagegehalt – befürchten muss, dass sie einen direkten negativen Einfluss auf die Beurteilung einer Person haben können.
Besonderheit der DSGVO
Der Großteil unserer Gesetze beruht auf dem Prinzip des Verbotes. Das bedeutet, dass man erstmal davon ausgeht, man dürfe alles, außer es ist explizit gesetzlich verboten. Die DSGVO arbeitet genau anders herum. Die Grundannahme lautet: Im Datenschutz dürfen erst einmal gar keine personenbezogenen Daten verarbeitet werden, es sei denn, die DSGVO erlaubt dies ausdrücklich.
Wie sieht es beim Thema Einwilligung aus: kann diese auch per Stillschweigen gegeben werden?
In diesem Bereich hat die EU bei der DSGVO stark Hand angelegt. Im bisherigen Datenschutzrecht wurde es oftmals in der Praxis genauso gehandhabt. Es wurde z. B. ein Zettel am Eingang aufgehängt auf dem stand, dass gefilmt und fotografiert wird und wenn man dies nicht möchte, man halt nicht an der Veranstaltung teilnehmen kann. Oder im Internet werden die „Häkchen“ bereits gesetzt, und wenn man nicht einwilligen möchte, muss man diese entfernen. Das ist jedoch verständlicher Weise problematisch. Die DSGVO hat nun eindeutig festgelegt, dass immer eine eindeutig bestätigende Handlung zu Grunde liegen muss – also eine proaktive Handlung. Die bisher oftmals praktizierte Negativoption, wie Vertragsbestandteile zu streichen, wenn ich es nicht will oder Opt-in-Haken wegklicken zu müssen, ist nicht mehr erlaubt. Das Beispiel mit dem Zettel an der Tür – man könnte das Durchtreten ja als proaktive Handlung definieren – ist keine wirklich saubere Einigung. Denn zum einem kann die Einwilligung ja jederzeit widerrufen werden und zum anderen gibt es das sogenannte Kopplungsverbot. Dieses besagt, dass man eine Einwilligung zur Datennutzung nicht mit einem Vertragsabschluss kombinieren darf. Bei Firmen-Veranstaltungen empfehle ich, dass man eine Anmeldemöglichkeit online anbietet und dort direkt die Einwilligung versucht einzuholen. Da kann ich meine Datenschutzerklärung direkt andocken – somit ist der Prozess nach DSGVO sauber in der Abwicklung.
Kommen wir zu dem ganzen Bereich Bilder und Videos auf Events und Veranstaltungen. Ein Bild mit Schuss ins Publikum wird sicherlich schwierig sein, richtig?
Ja, das ist sicherlich ein sensibles Thema. Nach DSGVO wird man womöglich auf solche Bilder verzichten – zum einem, weil es prinzipiell schwierig ist das Einverständnis von allen einzuholen und zum anderen, weil ein Widerruf jederzeit möglich ist und es dann natürlich schwierig wird sicherzustellen, alle Bilder mit dieser Person zu finden. Aber in Deutschland gibt es noch ein weiteres geltendes Recht – das Kunsturhebergesetz. Dort ist zum Beispiel geregelt, dass man eine Veranstaltung fotografieren darf, auch wenn dann dort Menschen zu sehen sind. Das bedeutet, nicht die Person(en), sondern die Veranstaltung als solches steht im Mittelpunkt des Bildes.
Tipp: Online-Registrierung und farbige Badges
Nutzt eine Online-Registrierung für die Anmeldung eurer Gäste und fragt direkt dort die Einwilligung ab. Geht offen damit um, wie ihr Daten verwenden möchtet. Um sicherzugehen, dass ihr nicht die Personen ablichtet oder filmt, die ihre Einwilligung verwehrt haben, könnten unterschiedliche Farben der Veranstaltungsbadges helfen.
Wenn es jetzt eine europäische und eine deutsche Rechtsauslegung gibt, würde sich aber dann doch die europäische durchsetzen?
Das ist richtig, aber in der DSGVO gibt es viele unbestimmte Rechtsbegriffe, wie z. B. das „öffentliche Interesse“ oder die „Interessenabwägung”. Bei diesen Begriffen würden wir Juristen dann schauen, wo wurden solche Interessensabwägungen schon gemacht. Als Tipp kann man sagen, wenn solche unbestimmten Begriffe auftauchen, dann sollte man sich daran orientieren, wie es bisher gehandhabt wurde und ob es länderspezifisch geltende Gesetze dafür gibt. Das Kunsturhebergesetzt ist beim Thema „Bilder“ eine gute Referenz und auch die Behörden empfehlen das als Leitbild zu nehmen. Bis diese Begriffe europarechtlich klar definiert sind, wird es sicherlich noch Jahre dauern. Hier müssen erstmal konkrete Anwendungsfälle vor Gericht landen, anhand derer dann die unbestimmten Rechtsbegriffe geprägt werden können. Bis dahin würde ich mich am Kunsturhebergesetz orientieren. Gleichzeitig gibt es noch das neu veröffentlichte BDSG (Bundesdatenschutzgesetz). Das tritt mit der DSGVO in Kraft und adaptiert die Regelungen für Deutschland. Interessanterweise ist dort nicht die Situation der Presse geregelt, da es ein Bundesgesetz gibt und die Regelung der Presse Ländersache ist. Deshalb gibt es für die Presse aktuell noch keine klare Regelung – außerhalb vom Rundfunk, die schon eine besitzen.
Ein wesentlicher Punkt der DSGVO ist auch das Recht jeder Person die Löschung seiner/ihrer Daten zu verlangen. Jetzt werden im Online-Zeitalter Bilder und Videos gerne geshared oder auch mal runter- und neu hochgeladen – auch wenn das natürlich nicht rechtens ist. Wie weit muss denn das eigene Engagement gehen, um Sorge zu tragen, dass Daten, wie Bilder gelöscht werden?
Also wenn ich ein Bild rechtmäßig verwendet habe und es dann unrechtmäßig verbreitet wurde, z. B. weil es ohne meine Zustimmung von der Webseite kopiert wurde, dann habe ich keine Handhabe darüber und bin auch nicht in der Pflicht eine Löschung dieser Verbreitung zu garantieren. Habe ich das Bild jedoch bewusst zur Verwendung weitergegeben an Geschäftspartner oder im Rahmen einer Pressemitteilung, dann bin ich natürlich in der Pflicht diese Partner zu informieren, dass das Bild gelöscht werden soll. Die Verantwortung geht in diesem Moment dann aber an den Informierten.
Tipp: Einwilligung Fotos
Einwilligungen können mündlich gegeben werden. Als Fotograf sollte man sich immer die Einwilligung holen, wenn man Personen ablichten möchte. Die Beweislage ist bei einer mündlichen Zusage jedoch schwierig. Als smarte Lösung könnte man einen Zettel vorbereiten auf dem die Einwilligung steht. Diesen drückt man den Personen in die Hand und fotografiert diese zusammen mit dem Zettel, bevor man das eigentliche Bild erstellt.
Im B2B-Bereich spricht man oft vom berechtigten Interesse, welches auch in der DSGVO abgebildet wird. Wie kann man das nun verstehen?
Berechtigtes Interesse ist ein unbestimmter Rechtsbegriff, der sich in der Bewertung sehr weit fassen lässt. Die Vorschrift dient als eine Art Auffangregelung und soll Fälle datenschutzrechtlich lösen, die vom Gesetzgeber nicht speziell festgelegt wurden – in der Praxis ist es damit eine der relevantesten Regelungen der DSGVO. Als Unternehmen muss ich aber nicht nur mein Interesse im Auge haben, sondern mir auch Gedanken über das mögliche berechtigte Interesse des Gegenübers machen, von dem ich die Daten erhebe und verarbeite. Diese Interessen müssen in Einklang gebracht werden und dann ist die Datenverarbeitung entweder erlaubt oder verboten. Die DSGVO hat darüber hinaus festgelegt, dass Direktwerbung ein berechtigtes Interesse ist. Diese Klarstellung ist gut, heißt aber nicht, dass jetzt alle Türen und Tore für Direktwerbung offenstehen. Denn neben dem Datenschutzrecht muss die Direktwerbung auch den Vorgaben des Wettbewerbsrechts genügen (§7 UWG – Unzumutbare Belästigung), die in diesen Bereich sogar strenger sein können, als das Datenschutzrecht. Dort ist für den deutschen Bereich geregelt, wann und wie ich Werbung versenden darf. Für die Direktwerbung per Email bedeutet dies z. B., dass ich keine Einwilligung brauche, wenn ich eine Mailadresse aus einem vorherigen Geschäftsabschluss besitze, ich bei der Erhebung der Email-Adresse darauf hingewiesen habe, dass ich diese für Werbung nutzen möchte, der Empfänger widersprechen kann und die Werbung für ähnliche Waren und Dienstleistungen erfolgt. Dann darf man einen Kontakt bewerben, ohne dass er dafür eingewilligt hat. Sowohl die DSGVO als auch das UWG ist für den Unternehmer aber bindend.
Die DSGVO fordert einen Datenschutzbeauftragten. Muss jetzt jedes Unternehmen einen bestellen oder gibt es Ausnahmen für kleinere Unternehmen?
Für Unternehmen unter zehn Mitarbeitern gibt eine solche Ausnahmen. Hier muss nur in Ausnahmefällen ein Datenschutzbeauftragter bestellt werden. Das heißt aber natürlich nicht, dass sich diese Unternehmen nicht an Datenschutzgesetze halten müssen. Diese Pflichten gehen dann auf die Geschäftsführung über, die ist dann verantwortlich für die Einhaltung dieser.
[5511]
Vita Christian Kuß
Christian Kuß berät zu Rechtsfragen der Informations- und Telekommunikationstechnologie, Software- und Datenschutzrechts. Ein Schwerpunkt seiner Tätigkeit liegt in der Erstellung und Verhandlung komplexer IT-Verträge, z. B. IT-Outsourcing oder IT-Projektverträge. Ein weiterer Schwerpunkt seiner Tätigkeit liegt in der rechtlichen Bewertung digitaler Geschäftsmodelle in der Industrie 4.0 und dem Internet der Dinge. Neben den Rechtsfragen zur Digitalisierung und Cybersecurity unterstützt Herr Kuß Unternehmen und Dienstleister im Umgang mit Softwarelizenzen. Großkonzerne, Mittelstand und Start-Ups vertrauen auf seine Fähigkeiten. Zudem referiert er bei Seminaren, Vorträgen und Workshops und verfasst regelmäßig Fachartikel und Buchbeiträge zu aktuellen Rechtsfragen. Christian.Kuss@luther-lawfirm.com