Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung der EU wirksam. Sie soll die Kontrolle über die eigenen personenbezogenen Daten verbessern. Im Vorfeld war die Verunsicherung groß: Websites wurden offline gestellt, Vereinsvorstände traten zurück, von den Diensthandys verschwanden Messengerdienste wie zum Beispiel WhatsApp. Ist es denn jetzt so schlimm gekommen, wie viele gefürchtet haben? – Diese und einige Fragen mehr stellte Maria Bley an Bernd Ritscher, den externen Datenschutzbeauftragten des VFLL.

Von Maria Bley

Vielen Soloselbstständigen war gar nicht klar, dass sie personenbezogene Daten „verarbeiten“. Wann handelt es sich im Sinne der DSGVO denn um geschäftliche Datenverarbeitung?

Jeder „Vorgang“ im Zusammenhang mit personenbezogenen Daten – also den Informationen, die einen Menschen in irgendeiner Art und Weise identifizierbar machen würden – ist eine Verarbeitung. Dabei sind sowohl die analoge Verarbeitung (Karteikarten, Post-its, Papier) genauso betroffen wie die Verarbeitung von Daten am Computer. Also, wenn Sie einen Anrufer am Telefon fragen, wie er heißt, verarbeiten Sie schon Daten. Gut nachzulesen ist das auch in der Begriffsbestimmung der DSGVO (Art. 4 Abs. 1 und 2). Allerdings regelt die DSGVO nicht den sogenannten privaten und persönlichen Bereich. Das heißt, Ihr privates Umfeld ist von den Datenschutzregeln nicht betroffen.

Es gab ja die Befürchtung, dass es eine Welle von Abmahnungen geben würde, insbesondere im Hinblick auf Websites, deren technische Ausstattung und die Informationspflicht der Betreibenden – Stichwort „Datenschutzerklärung“. Haben sich die Befürchtungen bestätigt?

Bernd Ritscher, externer Datenschutzbeauftragter des VFLL, Foto: privat

Ich bin kein Rechtsanwalt, die Kollegen können das sicher besser erklären. Meines Erachtens kann ein „Abmahnen“ – bzw. die Aufforderung zur Abgabe einer strafbewehrten Unterlassungserklärung – zum Beispiel im Rahmen des Wettbewerbsrechts erfolgen. In dem Fall müsste jemand, der eine vergleichbare Tätigkeit ausführt, einem Marktteilnehmer unlauteren Wettbewerb unterstellen, da dieser unter Umständen einen Vorteil hat, wenn er die Datenschutzregeln nicht umsetzt. Allerdings ist dafür auch wiederum die jeweilige Aufsichtsbehörde zuständig. Es ist fraglich, ob bei der DSGVO überhaupt Wettbewerbsrecht angewendet werden kann. In ein paar Jahren und eventuell einige gerichtliche Instanzen weiter werden wir das sicher wissen. Bis dahin kann ich nur empfehlen, darauf nicht einzugehen. Wenn jemand tatsächlich mit einer Abmahnung Probleme bekommt, gibt es den Verbandsanwalt als Ansprechpartner.

Manche wählen die Vogel-Strauß-Strategie. Was ist davon zu halten?

Naja, das ist immer davon abhängig, wie hoch meine Risikobereitschaft ist.

Freie Lektorate haben üblicherweise keinen Rechtsbeistand und keine eigene Datenschutzberatung. Sie sind als Datenschutzbeauftragter zuständig für den Datenschutz des Verbands. Wo können Soloselbstständige einschlägige Informationen bekommen?

In Deutschland sind die Aufsichtsbehörden nicht nur für Kontrollen und Bußgelder zuständig. Jeder kann sich mit Fragen an den jeweiligen Landesbeauftragten für Datenschutz und Informationsfreiheit wenden. Diese Anfragen sind kostenlos. Viele Behörden veröffentlichen auch Informationsmaterial. Leider sind die Begriffe des Datenschutzes etwas hölzern und nicht jedes Infomaterial macht es der Leserschaft leicht, die Materie zu verstehen. Angesichts der derzeitigen Überlastung der Behörde kann auch das zeitliche Antwortverhalten etwas enttäuschend sein.

Vor dem 25. Mai kursierten ja auch viele Halbwahrheiten und sogar handfeste Fehlinformationen. Viele fühlten sich nicht ausreichend informiert. Oft ist beispielsweise nicht klar, wie die Informationspflicht gegenüber Kundinnen und Kunden gehandhabt werden soll. Müssen freie Lektorate ihre Kundschaft nun darüber informieren, wie sie mit deren Daten umgehen?

Die Informationen zur Verarbeitung der Daten sind in den sogenannten Transparenzvorgaben des Art. 12 und 13 der DSGVO geregelt. Hiernach sollten sich auch die Datenschutzhinweise für Kunden und Interessentinnen (zum Beispiel Webseitenbesucher usw.) richten. Ein langer und vom Anwalt sehr detailliert formulierter Datenschutzhinweis ist dabei nicht immer gut. Zum Beispiel regelt der Art. 12: Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Was im Einzelnen alles aufgeführt werden muss, steht im Art. 13 DSGVO. Sie müssen eine leicht zugängliche Form wählen. Das ist im Einzelfall recht unterschiedlich umzusetzen. Wer eine eigene Website hat, kann es dort hinterlegen. Wenn Sie keine haben, können Sie zum Beispiel eine Information an die Kundschaft senden, bei der Sie das erste Mal personenbezogene Daten verarbeiten. Auch hier wird die Zeit zeigen, was man sich konkret darunter vorzustellen hat. Meines Erachtens ist es aber nicht notwendig, jetzt jede Kundin mit einem Hinweis zum Datenschutz anzuschreiben.

In manchen Akquise-Seminaren wird empfohlen, zwecks Kundenpflege in einer Kundendatei beispielsweise auch Geburtstage o. Ä. festzuhalten. Ist das noch rechtens?

Das hängt jetzt vom jeweiligen Verarbeitungsvorgang ab, ist also wiederum sehr individuell zu betrachten. Die DSGVO geht einerseits recht „entspannt“ mit Regelungen zu Daten um, die öffentlich sind. Andererseits dürfen Daten auch nicht ohne Weiteres zu anderen Zwecken verarbeitet werden. Außerdem haben wir noch den §7 des Gesetzes gegen unlauteren Wettbewerb (UWG), bei dem es um sogenannte unzumutbare Belästigungen geht. Ohne Einwilligung lassen sich Daten auch nur im notwendigen Umfang zu vertraglichen Zwecken verarbeiten. Also … ist das Geburtsdatum zur Erfüllung des Vertrages oder zur Durchführung sogenannter vorvertraglicher Maßnahmen notwendig? Wenn nicht, dann sollte eine Erfassung / Speicherung auch nur mit einer Einwilligung erfolgen. Was eine Einwilligung ist, regelt wiederum der Art. 7 DSGVO.

In der EU-Verordnung sind viele Fragen ja nur grob geregelt. Wie findet die Klärung offener Fragen statt?

Ja, das ist auch ganz gut so. Interpretationsmöglichkeiten sind auch immer Gestaltungsspielräume. Ich denke nicht, dass es so vorteilhaft ist, dass Dinge hier zu eng geregelt werden. Wir werden über die Gerichte sicher noch Regelungen von Fall zu Fall bekommen. Die Aufsichtsbehörden werden auch einige Kommentare zur Umsetzung verbreiten. Am Ende ist es aber immer vom jeweiligen Einzelfall abhängig, ob das, was man tut, nun gesetzeskonform ist oder nicht.

Ein Urteil des Europäischen Gerichtshofshat Anfang Juni 2018 klargestellt, dass Facebook-Fanpage-Betreiber gemeinsam mit Facebook für den Datenschutz verantwortlich sind. Diese Entscheidung muss noch durch das Bundesverwaltungsgericht umgesetzt werden. Welches Risiko besteht derzeit bei Weiterbetrieb der Facebook-Seite?

Die Aufsichtsbehörden in Deutschland haben sich noch nicht so ganz eindeutig positioniert, wie das zukünftig aussehen soll. Wir müssen abwarten. Man sollte aber auf jeden Fall kritisch prüfen, ob man für die eigenen Geschäftszwecke unbedingt Daten sammeln muss. Ich denke da zum Beispiel an Facebook-Plugin oder Google Analytics usw. „Nice-to-know“ ist heute keine gültige Rechtsgrundlage mehr zur Datenverarbeitung.

Was wird die ePrivacy-Verordnung bringen, die sich derzeit im Gesetzgebungsverfahren der EU befindet? Lässt sich dazu schon was sagen?

Ich hoffe, dass die EU-Kommission noch mal wirklich kritisch über die Gesetzesvorlage geht. Was die Umsetzung anrichten kann, sehen wir ja heute schon. Viele Webseitenbetreibende haben in vorauseilendem Gehorsam Cookiehinweise vorgeschaltet. Das nervt und bringt kein Mehr an Datentransparenz. Wir werden vermutlich doppelt so große Smartphones brauchen, damit alle Hinweise beim Internetsurfen rechtskonform dargestellt werden können. Aber das ist nur meine persönliche Meinung. Vertrauen wir hier mal der EU.

Interview: Maria Bley

Foto (groß): Pixabay

Bernd Ritscher, Inhaber der 23-1 Service GmbH, ist Datenschutzbeauftragter des VFLL und berät den Verband in allen Belangen rund ums Thema Datenschutz.

Maria Bleys Website und Profil im VFLL-Lektorenverzeichnis

Mitgliederservice: Im internen Bereich der VFLL-Website finden sich zwei Dokumente zur DSGVO, die von VFLL-Mitgliedern heruntergeladen werden können.