Europäisches Urheberrecht

Europäisches Urheberrecht

Kinder auf deutschen Schulhöfen klagen lauthals, dass es youtube 2019 nicht mehr geben wird.

Europäisches Urheberrecht

von Uplaodfiltern, Linksteuern, Lobbyschlachten und politischer Debatte im digitalen Zeitalter

Nach einer hitzigen medienwirksamen Debatte im September 2018 verabschiedete das EU-Parlament den Richtlinienentwurf  “Über das Urheberrecht im digitalen Binnenmarkt“. Noch ist die Richtlinie nicht abgeschlossen und das Thema polarisiert weiterhin stark.

Befürworter der geplanten Regelungen sind vor allem auf der Seite der Rechteinhaber zu finden, zum Beispiel den Verwertungsgesellschaften und Verlagen wie Axel Springer. Auf der anderen Seite stehen Seite vor allem Verbraucherschützer, Bürgerrechtsorganisationen und die Internetwirtschaft wie Youtube, Google und Facebook.

Der aktuelle Stand

Im September 2018 beschloss das EU-Parlament mit knapper Mehrheit den Vorschlag für eine Richtlinie des Europäischen Parlaments zum Urheberrecht im digitalen Binnenmarkt. Die Abstimmung war ein zweiter Anlauf, nachdem ein erster Entwurf Anfang Juli gescheitert war.

Nach der Abstimmung  verhandeln Mitglieder des EU-Parlaments gemeinsam mit der EU-Kommission und dem Rat der Mitgliedsstaaten im sogenannten Trilog über die endgültige Fassung der Richtlinie, im Detail stehen auch noch Entscheidungen aus. Hier sind jedoch keine großen Verwerfungen mehr zu erwarten. Dennoch sprechen sich jetzt schon einige Mitgliedstaaten gegen die Richtlinie aus oder sind noch unentschlossen. Wenn auch sehr unwahrscheinlich, es besteht noch immer die Chance, dass die Richtlinie kippt, was aber eher unwahrscheinlich ist.

Ein Ergebnis wird für den 13. Dezember erwartet. Die Richtlinie soll noch in der aktuellen Legislaturperiode des EU-Parlaments bis Mitte 2019 endgültig fertiggestellt und verabschiedet werden.¹

Beschlossene EU-Richtlinien müssen von den Mitgliedstaaten noch in eigenen staatliche Gesetzen umgesetzt werden, bevor sie volle Wirkung entfalten.

Die kritischen Punkte

Die Richtlinie ist vor allem unter den Stichworten “Uploadfilter” und “Linksteuer” in den Medien bekannt geworden. Diese Begriffe benutzen vor allem die Kritiker, um ihre Kritik mit einfachen Begriffen greifbar zu machen. Tatsächlich ist von Uploadfiltern und Linksteuer in der Richtlinie nichts zu lesen. Eine wirkliche Auseinandersetzung mit den Regelungen, die hinter den Kampfbegriffen stecken, blieb bisher aus.

Als “Uploadfilter” oder “Zensurmaschine” wurde Artikel 13 des Entwurfes verstanden. Nach Artikel 13 sollen Internetunternehmen für von Nutzern illegal hochgeladene Inhalte unmittelbar haften. Bisher galt, dass die Internetunternehmen erst ab Kenntnis über den bei Ihnen illegal gehosteten Inhalt haften. In der Konsequenz musste das Internetunternehmen nach aktueller Rechtslage bisher erst ab der Kenntnis den illegalen Inhalt löschen. Unklar ist, ob zukünftig das Internetunternehmen die Chance erhält, doch noch aus der Haftung zu kommen, zum Beispiel durch den Einsatz von technischen und organisatorischen Methoden, die illegale Inhalte verhindern sollen.

Ein technischer Inhaltserkennungsdienst könnte in Zukunft eingesetzt werden, um direkt nach dem Upload den Inhalt zu überprüfen und festzustellen, ob das Internetunternehmen eine Lizenz vom echten Rechteinhaber besitzt. Sollte so eine Lizenz nicht vorhanden sein, müsste der Inhalt sofort gelöscht werden, ohne dass er überhaupt öffentlich wird. Dieses Vorgehen wird als “Uploadfilter” bezeichnet.

Ob ein solcher “Uploadfilter” verpflichtend ist, ist noch nicht endgültig geklärt. Er könnte allerdings in der Praxis nötig sein, damit das Unternehmen Inhalte selbsttätig Inhalte filtert um zu überprüfen ob eine entsprechende Lizenz zur Nutzung vorhanden ist. Sollte das Internetunternehmen nicht weitreichende Lizenzen abschließen, müssen alle Inhalte ohne Lizenz durch den Filter gelöscht werden, bevor sie überhaupt auf der Plattform des Unternehmens veröffentlicht werden.

Daran schließt sich die entscheidende Frage an, nach welchen Kriterien Inhalte analysiert und gefiltert werden sollen.

Eine mögliche Gefahr ist hier, dass auch Inhalte vom Erkennungsdienst herausgefiltert werden, die eigentlich gar nicht illegal sind. Dies könnte beispielsweise bei Zitaten passieren, die nach § 51 Urheberrechtsgesetz ohne Lizenz genutzt werden können. Auch Parodien wie Memes, die nach § 24 Urheberrechtsgesetz als freie Benutzung gestattet sind, könnten vom Erkennungsdienst fälschlicherweise herausgefiltert werden, weil der dahinter stehende Algorithmus die feinen Nuancen einer Parodie nicht vom Original unterscheiden kann. Dieses technische Risiko wird von den Kritikern als Einschnitt in die Kunst- und Meinungsfreiheit gesehen. Bisher waren jedoch vor allem die Rechteinhaber im Nachteil. Bis ein Internetunternehmen von den illegalen Inhalten erfährt, werden bereits Downloads, Views und Klicks generiert, woraus das Internetunternehmen durch Traffic, Abonnements und Werbung wirtschaftliche Vorteile erhält.

Wie in der Praxis mit den Millionen von kleinen Rechteinhabern, die nicht in großen Verwertungsgesellschaften, Labels und Verlagen organisiert sind, Lizenzen geschlossen werden ist noch unklar.

Einen Erkennungsdienst für Inhalte nutzt Youtube unter dem Namen Content ID übrigens schon seit Jahren. Hiermit werden Inhalte auf Youtube identifiziert, die Rechteinhaber dort registriert haben. Sollte ein Nutzer einen registrierten Inhalt hochladen, kann der Rechteinhaber bestimmen, was mit dem Inhalt passieren soll. Er kann ihn beispielsweise löschen, freischalten oder monetarisieren lassen also sich an den Werbeeinnahmen, die im Rahmen dieses Inhaltes von Youtube erwirtschaftet werden, beteiligen.

Linksteuer

Wenn ein Internetdienst zusätzlich mit einem Link Textauszüge,  sogenannte Snippets oder Anleser, zeigt, soll dieser in Zukunft nach Artikel 11 der Richtlinie dafür Lizenzgebühren an die Rechteinhaber zahlen. Dieses Leistungsschutzrecht hat in der öffentlichen Debatte den Namen “Linksteuer” erhalten. Der Name ist verwirrend, denn weder ist hier eine Steuer fällig, noch muss für den Link an sich bezahlt werden. Es geht darum, ob für Ausschnitte eines Textes eine Lizenzgebühr fällig ist, wenn mit einem Link auf diesen Text verwiesen wird.

Die Kritiker der Richtlinie vergleichen Anleser mit den Titelblättern von Zeitungen in einem Kiosk. Demnach müssten auch Kioskbetreiber dafür zahlen, wenn Passanten am Kiosk vorbei gehen. Anleser sind Werbung, keine Inhalte, so die Kritiker.

Die Regelung des Richtlinienentwurfs zielt vor allem auf Nachrichten-Aggregatoren wie Google News. In Deutschland und Spanien wurde ein solches Leistungsschutzrecht bereits eingeführt. In Spanien führte dies dazu, dass Google den News-Dienst eingestellt hat. In Deutschland gewährten nahezu alle Rechteinhaber Google eine kostenlose Lizenz, weil Google sonst die Inhalte nicht mehr angezeigt hätte und somit keine Klicks mehr über Google News generiert worden wären. Nun besteht die Hoffnung, dass mithilfe einer EU-weiten Regelung der Internetgigant Google in die Knie gezwungen wird, weil nun die Verhandlungsmacht der Verlage gewachsen ist.

Die Lobbyschlacht

Das Argument, dass die Richtlinie oder das Nichtbestehen eben dieser nur dem Interesse von mächtigen Unternehmen zu Gute komme und nicht der Gesellschaft dient, wird merkwürdigerweise von beiden Seiten vorgebracht. Die Kritiker sehen die großen Verlage wie Axel Springer durch die Richtlinie bevorteilt, die Befürworter sehen Google, Facebook und Youtube im Vorteil, sollte die Richtlinie nicht zustande kommen. Tatsächlich stehen sich auf beiden Seiten mehr oder weniger mächtige wirtschaftliche Akteure gegenüber, die von der Richtlinie unterschiedlich betroffen wären. Auf der Seite der Gegner steht die Internetwirtschaft, also Plattformbetreiber, Soziale Netzwerke, Suchmaschinen und Webhoster, deren Geschäftsmodelle weitgehend darauf aufbauen, fremde Inhalte auf ihren Plattformen zu vermarkten. Die andere Seite sind die Rechteinhaber, also die Verleger, Produzenten, Künstler und Kreativen, die Inhalte erstellen, die heutzutage auf  Internetanbieter angewiesen sind, diese Inhalte zu bewerben oder in Partnerschaft zu monetarisieren.

Im Zuge des Richtlinienentwurfs kam es zu einer regelrechten Lobbyschlacht zwischen den betroffenen Akteuren. In einem Spannungsfeld zwischen den Gegnern stehen die Nutzer und Privatleute. Auf der einen Seite wollen die Nutzer günstige und möglichst einfach zugängliche Inhalte. Auf der anderen Seite muss für dieses Angebot ein stabiler Markt bestehen, in welchem den Kreativen finanzielle Mittel zur Erstellung von hochwertigen Inhalten zur Verfügung stehen.

Die Lobbyarbeit der Rechteinhaber und Internetunternehmen zielt darauf ab, die Nutzer auf ihre jeweilige Seite zu ziehen und somit die Entscheidung der Parlamentarier zu beeinflussen. Die Rechteinhaber brachten Themen wie die Eindämmung des Internetkapitalismus, der Schutz der finanziell unabhängigen Presse und des Qualitätsjournalismus sowie die Eindämmung von Fake News auf die Tagesordnung. Die Gegenseite brachte Begriffe wie die Gefahr der Netzneutralität und Meinungsfreiheit, den Medienwandel und, wie schon oben genannt, die Uplodfilter und die Linksteuer ins Spiel. Dass es diese beiden Begriffe so in den Fokus der Debatte geschafft haben, zeigt, dass die Seite der Richtlinengegner zumindest in Punkto Öffentlichkeitsarbeit die Nase vorn hat.

Youtube fällt mit widersprüchlichen Aussagen auf

Obwohl Youtube schon Vorreiter in Sachen Inhaltserkennung ist hat sich Susan Wojcicki, die Chefin von Youtube, an die „Creators“ von Inhalten auf Youtube gewand und sich gegen die Richtlinie ausgesprochen. Durch die Richtlinie sei die „beeindruckende Kreativwirtschaft“ gefährdet und die Richtlinie bedeute eine “klare Bedrohung für euren Lebensunterhalt“.² Tatsächlich hat die Richtlinie das Ziel die Kreativen, die „Creators“, zu schützen und die Internetgiganten zu fairen Lizenzen zu bewegen. Wojcicki verdreht hier Ursache und Wirkung. In der Vergangenheit ist Youtube bereits negativ aufgefallen weil sich das Unternehmen über Jahre nicht mit der GEMA auf faire Lizenzen für Musik einigen konnte. Dies führte zu den bekannten Sperrtafeln für Inhalte, bei welchen es Youtube so aussehen ließ, als würde die GEMA die Videos sperren lassen. Jedoch war es Youtube selbst, welche die Videos aus Angst sperrten, damit die Rechteinhaber gegen die lizenzlose Nutzung nicht vorgehen.

Der Meinungskampf mit Bits und Bytes

Nicht nur verbal wurde um die Richtlinie gerungen. Auch auf technischer Seite wurde der Kampf fortgesetzt. Von Seiten der Gegner der Richtlinie sind  mit Hilfe von Bots und DDoS-Attacken angeblich vor der Abstimmung schätzungsweise sechs Millionen E-Mails an EU-Abgeordnete versendet worden,die vorspielen sollten, dass die Nachrichten von besorgten Bürger stammen. Hinter einem der Initiatoren dieses Massenmailings steht die Organisation saveyourinterent.eu, die über mehrere Ebenen mit der amerikanischen Industrievereinigung Computer & Communications Industry Organization verbunden ist, der Amazon, Facebook, Google und Uber angehören. In den sozialen Medien wurde die botgesteuerte Meinungsmache auch fortgesetzt und es sollen Gesprächsleitfäden für Telefonate mit Abgeordneten im Umlauf gewesen sein. Sogar von Morddrohungen gegen Abgeordnete wird berichtet, tatsächlich sind einige Abgeordnete aus Angst nicht zur Abstimmung erschienen.³

Der Untergang des Internets

Von den Kritikern der Richtlinie wird wortwörtlich der Untergang des Internets beschoren. Das Internet, wie wir es heute kennen, gebe es mit der Richtlinie nicht mehr.

Die Netzneutralität sei gefährdet, weil das freie Teilen von Inhalten verhindert wird und hier vor allem Blogger, kleinere Newsseiten und sogar private Nutzer treffen wird, so die Kritiker. In der letzten Fassung des Richtlinienentwurfs wurden Kleinstunternehmen, kleine und mittlere Unternehmen explizit aus dem Anwendungsbereich der Richtlinie herausgenommen. Hier waren die Kritiker erfolgreich. Ob das Teilen von Inhalten ohne Lizenz auf den großen Plattformen wie Facebook, Google und Co. tatsächlich eine Bedingung für die vielbeschworene Netzneutralität ist, ist zumindest fragwürdig.

Die politische Debatte

Der Konsum von Medieninhalten hat sich durch das Internet radikal verändert. Ob sich damit auch das Recht ändern muss, wird seit Jahrzehnten diskutiert. Die Kritiker der Richtlinie stellen fest, dass das Urheberrecht  nicht schuld sei am Medienwandel. Ist es daher sinnvoll, möglicherweise antiquierte Geschäftsmodelle unter besonderen Schutz zu stellen und somit moderne Technologien und Geschäftsmodelle auszubremsen?

Auch wenn beide Seiten in der Debatte einfache Antworten mit simplen Kampfbegriffen und bedeutungsschwangeren Diskussionen, um Meinungsfreiheit und Internetkapitalismus geben, wird diese Frage nicht einfach zu beantworten sein. Für die Meinungsfreiheit einzustehen und die Schwachen zu schützen, reklamieren interessanterweise beide Seiten für sich.

Die Richtlinie könnte dazu führen, dass die Profiteure des Medienwandels etwas mehr als bisher oder überhaupt erst einmal Geld an die Urheber zahlen müssen. Aber dies ist ungewiss, weil die Kreativwirtschaft von den Internetgiganten abhängig  ist, wie das Scheitern des Leistungsschutzrechts für News-Anleser in Deutschland und Spanien zeigt. Die Richtlinie kann das Gefüge der Kreativ- und Internetwirtschaft jedoch nicht auseinanderreißen. Dafür ist sie im Anwendungsfall zu speziell. Sie trifft nur große gewinnorientierte Internetunternehmen. Wo die Grenzen für Größe und Gewinnorientierung liegen, ist allerdings noch nicht entschieden.

In dieser, in erster Linie von wirtschaftlichen Interessen geprägten Debatte, das große Faß rund um Meinungsfreiheit, Netzneutralität und Grundrechte aufzumachen schießt weit über das Ziel hinaus, eignet sich allerdings hervorragend um mit populistischer Meinungsmache die an einfachen und emotionalen Antworten interessierten Teile der Bevölkerung auf seine Seite zu ziehen.

_____________________________________________________________________________________________
¹ https://www.urheber.info/aktuelles/2018-10-29_spekulationen-rund-um-das-zweite-trilog-treffen
²
https://youtube-creators.googleblog.com/2018/10/a-final-update-on-our-priorities-for.html
³ http://einspruch.faz.net/recht-des-tages/2018-08-18/b150cb44b8b4b2a08e087bf54978cd56/?GEPC=s5

 

DSGVO Abmahnungen sind möglich

DSGVO Abmahnungen sind möglich

DSGVO Abmahnungen sind möglich

Ein Urteil des Oberlandesgericht Hamburg bestätigt, dass bei Datenschutzverstößen Abmahnungen durch Konkurrenten möglich sind.

 

Eins der vielen umstrittenen Probleme der EU Datenschutz-Grundverordnung (DSGVO) war bis jetzt die Frage, ob Verstöße gegen die DSGVO Abmahnungen nach sich ziehen können.

Bereits in Art. 82 DSGVO ist ein Recht auf Schadenersatz für betroffene Personen geregelt. Hinzu kommen noch Bußgelder, die nationale Aufsichtsbehörden gegenüber Unternehmen verhängen können. Die Bußgelder reichen bis zu 20 Millionen Euro oder bis zu 4 % des weltweit erzielten Jahresumsatzes. Als eine weitere Gefahr stehen die Abmahnungen durch Konkurrenzunternehmen im Raum.

Nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) können Abmahnungen gegen Konkurrenten erhoben werden, wenn sie  sich einen Wettbewerbsvorteil sichern, indem sie sich nicht an die datenschutzrechtlichen Vorgaben halten. Als Argument hierfür wird angeführt, dass ein Unternehmen, dass den Datenschutz nicht ernst nimmt, Kosten und Aufwände spart, die einem rechtschaffenen Konkurrenten entstehen.

Auch können durch mangelhaften Datenschutz die Kunden eines Unternehmens in die Irre geführt werden und deshalb Verträge mit diesem Unternehmen abschließen, die dem rechtschaffenen Konkurrenten somit entgehen würden.

Das erste Urteil einer höheren Instanz

Bisher waren sich die Gerichte über diese Frage nicht einig. Das Landgericht Würzburg sah eine Abmahnfähigkeit aufgrund der DSGVO gegeben, das Landgericht Bochum war anderer Meinung. Auch die EU-Justizkommissarin Vera Jourova verneinte die Anwendbarkeit der DSGVO für Dritte. Nur betroffene Personen sollen Schutz durch die DSGVO erhalten.

In einer Entscheidung des Oberlandesgericht Hamburg (Urt. v. 25.10.2018, Az. 3 U 66/17) wurde nun bejaht, dass die Regelungen der DSGVO sogenannte Marktverhaltensregeln sind. Eine Abmahnung aufgrund unlauteren Wettbewerbs ist daher möglich.

Begründet wird diese Entscheidung damit, dass die in der DSGVO vorhandenen Sanktionsmöglichkeiten nicht abschließend seien und weitere Sanktionsmöglichkeiten zum Schutz Dritter hinzu treten können – wie zum Beispiel Abmahnungen von Wettbewerbern.

Im durch das Oberlandesgericht Hamburg zu entscheidenden Fall wurden in erster Instanz übrigens beide Unternehmen wegen Verstößen gegen das Datenschutzrecht verurteilt. Das abgemahnte Unternehmen entdeckte bei dem anderen Unternehmen ebenfalls Verstöße gegen das Datenschutzrecht und erhob Widerklage. Das Datenschutzrecht kann schnell zu einem zweischneidigen Schwert werden, denn nur die wenigsten Unternehmen sind tadellos in Sachen Datenschutz aufgestellt.

Fazit

Wettbewerbsrechtliche Abmahnungen stellen ein neues Risiko für Unternehmen dar. Unternehmen, die ihre Hausaufgaben in Sachen Datenschutz bis jetzt nicht erledigt haben, sollten dies dringend nachholen. Sanktionen durch Abmahnungen werden in Zukunft sicherlich öfter verhängt. Die Konkurrenz schläft bekanntlich nie.

Dank DSGVO Klingelschilder bald ohne Namen?

Dank DSGVO Klingelschilder bald ohne Namen?

Dank DSGVO Klingelschilder bald ohne Namen?

Es vergeht keine Woche ohne neue Schreckensmeldungen zur DSGVO in den Gazetten und sozialen Medien. Die neueste Hiobsbotschaft lautet: “Deutschland droht ein Klingelschild-Chaos“.¹

Auslöser war die Beschwerde eines Mieters in Wien. Er sah seine Privatsphäre nicht ausreichend geschützt, weil sein Name auf dem Klingelschild stehe. Die kommunale Hausverwaltung „Wiener Wohnen“ ließ die Beschwerde prüfen und die zuständige Magistratsabteilung der Stadt Wien stellte fest, dass hier tatsächlich eine Verletzung der Privatsphäre vorliege. Nun sollen bei 220.000 Mietwohnungen die Namen auf dem Klingelschild entfernt und durch Nummern ersetzt werden. Wer doch seinen Namen auf dem Klingelschild haben möchte, könne ihn selbst aufkleben.²

Weiter ging es nur wenige Tage später in Deutschland. Der Eigentümerverband „Haus & Grund“ empfahl seinen ca. 900.000 Mitgliedern ebenso zu verfahren und die Namen gegen Nummern auszutauschen.³

Wird hier wieder unberechtigte Panik verbreitet oder ist etwas dran an dieser Forderung?

Sind Klingelschilder ein Dateisystem?

Wie immer beim Thema Datenschutz ist die Antwort nicht ganz einfach: Erst einmal gilt die DSGVO nach Art. 2 Abs. 1 DSGVO nicht nur für automatisierte elektronische Datenverarbeitung. Auch die guten alten Akten in Papierform fallen unter das Gesetz. Damit die physische, nicht automatisierte Datenverarbeitung auch wirklich unter die Anwendung der DSGVO fällt, müssen die personenbezogenen Daten zusätzlich auf einem Dateisystem gespeichert sein. Die Türschilder müssten also ein Dateisystem sein. Was nach der DSGVO unter einem Dateisystem zu verstehen ist, erfahren wir in Art. 4 Nr. 6 DSGVO. Da heißt es: “Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen [sic!] Gesichtspunkten geordnet geführt wird.”

Relevant für unsere Frage sind die Merkmale einer „strukturierten Sammlung“ und ob Daten „nach bestimmten Kriterien zugänglich sind“ nach Art. 4 Nr. 6 DSGVO . Hier braucht es viel Fantasie Türschildern diese Merkmale zuzuordnen.

Für eine strukturierte Sammlung müssen die Daten „nach bestimmten Kriterien zugänglich sein“. Das Ziel der DSGVO ist es, personenbezogene Daten und damit die betroffenen Personen vor einer missbräuchlichen Verwendung zu schützen. Die Gefahr eines Datenmissbrauchs ist bei Massenverarbeitung besonders hoch. Um Daten in der Masse zu verarbeiten, braucht es strukturierte Sammlungen, die nach bestimmten Kriterien zugänglich gemacht werden. Selbst wenn die Türschilder alphabetisch oder sonst irgendwie sortiert sind, sind sie nicht soweit “zugänglich, dass Sie einfach von der Tür aus verarbeitet werden” können. Im Ergebnis sind Türschilder keine automatisierte Verarbeitung oder Dateisysteme.

Zumindest der Thüringer Landesbeauftragte für den Datenschutz Dr. Lutz Hasse sieht in Klingelschildern ein Dateisystem, sofern für deren Erstellung auf ein ausgelagertes Dateisystem zurückgegriffen wird. Dem ist zuzustimmen, jedoch werden in der Praxis wohl nur große Wohnungsgesellschaften eine solche Datenbank nutzen. Digitale Klingelschilder wären wegen der damit verbundenen automatisierten Datenverarbeitung auch ein Dateisystem im Sinne der DSGVO. Die Fälle, in welchen die DSGVO überhaupt greift, sind demnach eher Ausnahmefälle.

Das sagt die DSGVO

Selbst wenn der Anwendungsbereich der DSGVO eröffnet ist, dann stehen die Regeln der DSGVO dem wilden Klingelschild-Abschrauben selbst im Weg. Der Vermieter kann sich auf seine so genannten berechtigten Interessen aus Art. 6 Abs. 1 lit. f DSGVO berufen, die ihm eine Rechtsgrundlage zur Verarbeitung von personenbezogenen Daten geben. Hier gilt es die Interessen aller Beteiligten abzuwägen. Es ist zumindest ein berechtigtes Interesse des Vermieters beim Mieter im Notfall mal klingeln zu können oder ihm Post zuschicken. Da hilft ein Klingelschild in der Regel weiter. Jeden einzelnen Mieter nur über Nummern zu identifizieren, geht über eine zumutbare Belastung für den durchschnittlichen Vermieter hinaus. Ab einer gewissen Anzahl von Mietern/Vermietungsobjejekten wäre eine automatisierte Datenverarbeitung nötig, die eine entsprechende Rechtsgrundlage in der DSGVO bedürfe. Die meisten Mieter sind mit ihrem Namen auf der  Klingel auch recht zufrieden, da sie so leicht Post und Besuch empfangen können. Das geht natürlich auch ohne Namen an der Tür, doch würde dies erst einmal für den Mieter zu einem Mehraufwand führen, weil er Bekannte und Postzusteller informieren müsste. Pauschal auf Klingelschilder mit Namen zu verzichten, liegt somit nicht im Interesse von Mietern und Vermietern.

Auf jeden Fall kann der Mieter dieser Datenverarbeitung nach Art. 21 Abs. S.1 DSGVO widersprechen, wenn er nicht möchte, dass sein Name am Klingelschild steht.

Fazit

Wenn ein Mieter wirklich nicht will, dass sein Name auf dem Klingelschild steht, wird ein Vermieter ihm das wohl zugestehen müssen. Dies ist aber eine Frage des Mietrechts und nicht der viel gescholtenen DSGVO. Vermieter können also beruhigt die Schraubenzieher im Werkzeugkasten lassen.

Nachtrag: Obwohl von einem Großteil von Datenschützern (wie auch der Autor dieses Beitrags) und selbst von Seiten der EU-Kommission die Meinung vertreten wird, dass Klingelschilder kein Dateisystem sind will “Wiener Wohnen” weiterhin an der Entfernung der Klingelschilder festhalten.
BGH-Urteil: Bitte um Zufriedenheitsbewertung ist Werbung und ohne Möglichkeit zum Widerspruch unzulässig

BGH-Urteil: Bitte um Zufriedenheitsbewertung ist Werbung und ohne Möglichkeit zum Widerspruch unzulässig

BGH-Urteil: Bitte um Zufriedenheitsbewertung ist Werbung und ohne Möglichkeit zum Widerspruch unzulässig

 

Der Bundesgerichtshof hat jüngst über die Klage eines Kunden entschieden, der in einer per E-Mail versendeten Kundenzufriedenheitsbefragung eine Verletzung seines allgemeinen Persönlichkeitsrechts gesehen hat. Was war geschehen: Der Kunde bestellte Ware über die Internetplattform „Amazon Marketplace“. Abgewickelt wurde der Verkauf durch Amazon. In der E-Mail mit der Rechnung des Verkäufers war auch die Bitte enthalten, eine Zufriedenheitsbewertung abzugeben und eine gute Bewertung abzugeben. In dieser Bitte sah der Käufer eine unaufgeforderte, unerlaubte Zusendung von Werbung, die in sein allgemeines Persönlichkeitsrecht eingreifen würde. Das allgemeine Persönlichkeitsrecht ist ein Grundrecht, dass so formuliert gar nicht im Grundgesetz steht. Es wurde nachträglich durch Verfassungsrichter aus Art. 2 Abs. 1 GG (freie Entfaltung der Persönlichkeit) in Verbindung mit Art. 1 Abs. 1 GG (Menschenwürde) abgeleitet. Dieses Recht soll einen umfassenden Persönlichkeitsschutz zum Schutz der Sozial-, Privat- und Intimsphäre gewähren. Unter anderem tangiert das allgemeine Persönlichkeitsrecht auch Gebiete wie Datenschutz und Werbung. Die Vorinstanzen wie das Landgericht Braunschweig hatten zunächst die Klage abgewiesen. Erst der BGH hat  zu Gunsten des Klägers entschieden.

 

Möglichkeit zum Widerspruch muss gegeben sein

Allgemein gilt, dass das Versenden von Werbung per elektronischer Post grundsätzlich ein Eingriff in die Privatsphäre des Empfängers ist und damit in sein allgemeines Persönlichkeitsrecht eingreift, wenn dies ohne vorherige Einwilligung des Empfängers erfolgt. Eine Ausnahme davon besteht nach § 7 Abs. 3 UWG wenn ein Unternehmer im Zusammenhang mit dem Verkauf seiner Ware oder Dienstleistung die E-Mailadresse des Kundens für  Direktwerbung für eigene, ähnliche Waren oder Dienstleistungen verwendet und der Betroffene dem nicht widersprochen hat. Diese Möglichkeit eines Widerspruchs war jedoch gar nicht erst möglich im vorliegenden Fall. Der Bundesgerichtshof argumentiert, dass es dem Verkäufer zumutbar wäre, dem Käufer die Möglichkeit einzuräumen, dem Versenden von Werbung zu widersprechen, bevor dieser die erste Werbe-E-Mail erhält. Im vorliegenden Fall war dies dem Käufer nicht möglich, weil die Werbung direkt an der Rechnungs-E-Mail hing. Der Verkäufer ist damit rechtswidrig in die Privatsphäre des Käufers eingedrungen.

 

Auch Aufforderungen zu Bewertungen sind Werbung

Die Kundenzufriedenheitsbefragung per E-Mail ist eine Form der Direktwerbung, auch wenn die Befragung zusammen mit der Rechnung in einer E-Mail versendet wird. Werbung ist außer der unmittelbar produktbezogenen Werbung auch die mittelbare Absatzförderung, beispielsweise in Form von Imagewerbung. Eine positive Bewertung durch den Käufer sollte das Image des Verkäufers verbessern. Zusätzlich sollte sich der Käufer wieder mit dem Verkäufer und seinen Produkten auseinander setzen.

 

Was bedeutet das für E-Commerce Anbieter?

Werbe-E-Mails dürfen zwar ohne Einwilligung des Empfängers verschickt werden, wenn bereits geschäftlicher Kontakt bestanden hat, jedoch müssen dem Kunden bei der Erhebung umfangreiche Informationen über die Verwendung der Daten bereitgestellt werden. Außerdem muss dem Kunden die Möglichkeit eingeräumt werden, solchen Werbe-E-Mails widersprechen zu können. Neben diesen werberechtlichen Vorgaben verschärft die DSGVO die Nutzung von Werbe-E-Mails zusätzlich. Es empfiehlt sich für Werbe-E-Mails immer ausdrückliche Einwilligungen einzuholen.

Das Urteil VI ZR 225/17-LG Braunschweig ist auf der Website des Bundesgerichtshofes zu finden (link).

Die DSGVO beim Austausch von  Visitenkarten

Die DSGVO beim Austausch von Visitenkarten

Die DSGVO beim Austausch von  Visitenkarten

 

In den letzten Wochen gingen viele Schreckensmeldungen über die DSGVO durch die Medien und durch die Social-Networks. Eine davon war, dass man auch beim Austausch von Visitenkarten eine schriftliche Einwilligung benötige. Was ist an der Sache dran?

 

Stellen Sie sich vor, Sie sind auf einem Geschäftstermin und tauschen mit den anwesenden Personen Visitenkarten aus. Die Visitenkarten bewahren Sie in Ihrem Portmonee auf und legen sie dann in Ihrem Büro alphabetisch sortiert in einem Visitenkarten-Ordner ab.

 

Braucht man jetzt mit der DSGVO eine Einwilligung zur Datenverarbeitung, wenn man jemanden seine Visitenkarte überreicht?

 

Oder muss man dem Gegenüber zumindest eine Datenschutzerklärung bei der Annahme von Visitenkarten überreichen, auf der über mehreren Seiten beschrieben wird, wie mit den Daten von der Visitenkarte verfahren wird?

 

Das könnte tatsächlich so sein, wenn man die DSGVO ernst nimmt. Unser Mitarbeiter Georg-Theophil Müller, seines Zeichens externer Datenschutzbeauftragter (IHK) und Student der Rechtswissenschaften in Heidelberg, geht der Sache auf den Grund.

 

Anwendungsbereich der DSGVO

 

Erst einmal müsste unser Fall überhaupt vom Anwendungsbereich der DSGVO umfasst sein. Tatsächlich wird in Art. 2 Abs. 1 DSGVO auch die “nicht-automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen” genannt. Daten nach der DSGVO sind demnachnicht nur elektronische Daten, sondern können auch auf Papier, oder wie in unserem Beispiel auf einer Visitenkarte stehen.

 

Weiterhin müssten diese Daten in einem Dateisystem gespeichert werden. Hier käme schon das Portmonee als “Datenspeicher” in Betracht. Dem Portmonee fehlt es sicherlich an der Eigenschaft einer systematischen Ablage von Visitenkarten. Der alphabetisch sortierte Visitenkarten-Ordner im Büro erfüllt diesen Anspruch aber mit Sicherheit. Das gleiche gilt übrigens auch für Mitarbeiterakten, die in Papierform alphabetisch oder in anderer Form systematisch sortiert sind.

 

Auch müssten die Visitenkarten gemäß Art. 2 Abs. 2 lit. c DSGVO nicht ausschließlich für persönliche oder familiäre Tätigkeiten genutzt werden. Wenn Daten nur im privaten Umfeld genutzt werden, interessiert uns die DSGVO erst gar nicht.

 

In unserem Beispiel werden die Visitenkarten auf einem Geschäftstermin ausgetauscht. In der Regel werden Visitenkarten geschäftlich genutzt. Wir sind also voll drin im Anwendungsbereich der DSGVO.

 

Rechtmäßigkeit der Verarbeitung

 

Um überhaupt Daten verarbeiten zu können, muss nach der DSGVO eine Rechtsgrundlage bestehen. Die DSGVO verbietet erst einmal jede Verarbeitung von Daten, erlaubt sie aber unter bestimmten Bedingungen. Unter Juristen nennt man das auch ein „Verbot mit Erlaubnistatbestand”.

 

Im Art. 6 Abs. 1 DSGVO sind gleich mehrere solche Erlaubnistatbestände aufgelistet. Sollte mindestens eine dieser Bedingungen erfüllt sein, dürfen die Visitenkarten alphabetisch im Ordner sortiert werden.

 

Gleich die erste (lit. a) der dort genannten Bedingungen beschäftigt sich mit einer Einwilligung zur Datenverarbeitung, welche die betroffene Person erteilen kann.

 

Welche Bedingungen so eine Einwilligung erfüllen muss, sagt uns Art. 7 DSGVO. Prinzipiell muss so eine Einwilligung nicht schriftlich erfolgen und kann auch mündlich geschlossen werden. Auf jeden Fall muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, nach Art. 7 Abs. 1 DSGVO. Das ist schriftlich und mit Unterschrift auf jeden Fall die einfachste Methode. Wenn die Einwilligung aber schriftlich erfolgt, dann muss das nach Art. 7 Abs. 2 DSGVO in verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache erfolgen. Um wirklich sicher zu gehen, bräuchten wir bei unserem Beispiel also doch eine schriftliche Einwilligung mit Unterschrift.

 

Um diese Zettelwirtschaft kommen wir vielleicht doch noch herum, denn in Art. 6 Abs. 1 DSGVO sind ja noch weitere Erlaubnistatbestände aufgelistet. Diese machen uns das Ganze vielleicht einfacher. Hier (lit. b) wird nämlich weiterhin als Rechtsgrundlage die Verarbeitung von Daten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen genannt. Wir wissen nicht eindeutig, was genau bei unserem Geschäftstermin besprochen wurde. Sicherlich drehte sich das Gespräch  um bestehende oder noch abzuschließende Verträge. Dass wir anschließend mit den Gesprächspartnern in Kontakt bleiben möchten und dafür die Daten der Gesprächspartner brauchen, versteht sich von selbst. Damit hätten wir den genannten Erlaubnistatbestand erfüllt. Eine Einwilligung wäre nicht nötig.

 

In jedem Fall steht uns noch der letzte Erlaubnistatbestand (lit. f) zur Seite. In diesem ist von berechtigten Interessen des Verantwortlichen die Rede. Mit Geschäftspartnern in Kontakt zu bleiben ist selbstverständlich ein berechtigtes Interesse eines jeden Unternehmens. Anders würde es ja auch nicht gehen.

 

Die Rechtsgrundlage der berechtigten Interessen macht es uns aber nochmal ein bisschen schwerer. Wenn wir damit arbeiten wollen, müssen wir noch eine Abwägung der Interessen, Grundrechte und Grundfreiheiten der betroffenen Person durchführen. Ein berechtigtes Interesse könnte man sich sonst ziemlich einfach mit etwas Kreativität für jeden Fall ausdenken. Die hier geforderte Interessenabwägung kann es durchaus in sich haben. Man muss dafür vergleichsweise tief auf juristisches Fachwissen zugreifen. Allein die Grundrechte und Grundfreiheiten der Europäischen Union zu kennen, kann von einem juristischen Laien nicht erwartet werden. Am Ende steht dann eine Art Besinnungsaufsatz, der in den von Art. 30 DSGVO geforderten Verzeichnissen der Verarbeitungstätigkeiten archiviert werden muss. Hier hilft einem ein Datenschutzbeauftragter mit entsprechender Ausbildung.

Um eine schriftliche Einwilligung kommen wir also im Ergebnis schon einmal herum.

 

Transparenz

 

Der Papierkrieg könnte allerdings mit einer sogenannten Datenschutzerklärung weiter gehen.

 

Zum Zeitpunkt der Erhebung von Daten muss der Verantwortliche dem Betroffenen nach Art. 13 DSGVO eine Vielzahl an Informationen über die Verwendung und Verarbeitung seiner Daten mitteilen. Das muss in der Regel schriftlich oder elektronisch erfolgen.

 

Unter einer Erhebung von Daten bezeichnet man das Sammeln und Auswerten von Daten. Das Sammeln von Visitenkarten entspricht somit auch dem Sammeln von Daten. Wenn man also die Visitenkarte ins Portmonee steckt, spätestens jedoch wenn man die Karte im Büro einsortiert, muss eine Datenschutzerklärung ausgehändigt werden.

 

Sicherheitshalber sollte man somit immer einen Stapel Datenschutzerklärungen auf Papier dabei haben und diese bei der Entgegennahme von Visitenkarten dem Gegenüber zur Unterzeichnung überreichen, so die wortwörtliche Aussage der DSGVO.

 

Die spinnen doch, die EU-Parlamentarier!

 

Das klingt alles verrückt, oder? Will uns die EU hier wieder eine übertriebene Regelung auferlegen?

Nach einer wortwörtlichen Anwendung der DSGVO müsste man folglich wie eben beschrieben vorgehen, sonst würde man sich der Gefahr von gewaltigen Bußgeldern aussetzen, die nach Art. 83 DSGVO nun verhängt werden können. Das kann bis zu 20 Millionen Euro oder gar bis zu vier % des gesamten weltweit erzielten Jahresumsatzes sein.

 

Die Anwendung von Gesetzen ist jedoch nicht nur auf den reinen Wortlaut begrenzt. Wir Juristen nutzen eine Vielzahl von erweiterten Auslegungsmethoden, um das Recht anwendbar zu machen. Nicht immer reicht der Wortlaut eines Gesetzes aus, um für einen individuellen Einzelfall eine Lösung zu finden. So müssen unter anderem Gerichtsentscheide, der Vergleich mit anderen Gesetzesnormen, die Intention des Gesetzgebers und auch der verfolgte Zweck des Gesetzes herangezogen werden. Auch Wertungen aus höherrangigen Gesetzen, wie dem Grundgesetz, müssen in eine solche umfassende Auslegung einbezogen werden.

 

Reboot: Mehr als nur der Wortlaut zählt!

 

Betrachten wir den eben geschilderten Sachverhalt also noch einmal unter Hinzuziehung von Auslegungsmethoden, die über den reinen Wortlaut hinaus gehen.

 

Eine Besonderheit der DSGVO ist, dass sie neben den gesetzlichen Normen noch einmal 173 sogenannte Erwägungsgründe enthält. Diese erklären detailliert die Intentionen des Gesetzes und nennen sogar praktische Anwendungsbeispiele. Von Visitenkarten ist hier leider nicht die Rede, also müssen wir weiter suchen.

 

Schon in Erwägungsgrund 2 finden wir einige Ausführungen zum Zweck des Gesetzes, in denen von einer Wirtschaftsunion, vom wirtschaftlichen Fortschritt sowie der Stärkung und dem Zusammenwachsen der Volkswirtschaften zu lesen ist. Gleichzeitig wird aber auch das Wohlergehen und der Schutz natürlicher Personen erwähnt. Wir stellen fest, es geht hier um einen Ausgleich der Interessen zwischen der Wirtschaft, die heute mehr und mehr Macht durch den Einsatz von Daten gewinnt, und Privatpersonen, die durch den Missbrauch von Daten gefährdet sind. Die Grundrechte und europäischen Grundfreiheiten werden hier ebenfalls aufgeführt. Die EU-Grundrechtecharta erwähnt in Artikel 8 explizit den Schutz personenbezogener Daten. Auch die Achtung des Privat- und Familienlebens wird in Artikel 7 genannt. Ebenfalls die in Artikel 10 zu findende Gedanken-, Gewissens- und Religionsfreiheit oder die Freiheit der Meinungsäußerung und Informationsfreiheit aus Artikel 11 können durch den missbräuchlichen Einsatz von Daten bedroht sein. Vergleichbare Normen finden sich auch im deutschen Grundgesetz.

 

Auf der anderen Seite wird aber auch die unternehmerische Freiheit in Artikel 16 garantiert. Die vier europäischen Grundfreiheiten sind vor allem Freiheiten, die dem Wirtschaftsleben in der EU dienen sollen. Unternehmen sollen ihre Geschäftsmodelle weitgehend ungehemmt am Markt etablieren können. Innovative Geschäftsmodelle sind heute weitgehend datengetrieben. Ohne den Einsatz von Daten würden Teile unseres Wirtschaftssystems zusammenbrechen und das Wirtschaftswachstum würde quasi lahmgelegt werden.

 

Hier prallen verschiedene Interessen aufeinander, die jedoch alle ihre Berechtigung haben. Ziel der DSGVO ist es, diese Interessen in Einklang zu bringen und die Grundrechte von Privatpersonen und Unternehmen zu gleichen Teilen zu berücksichtigen. Keine Seite soll also übermäßig bevorteilt oder benachteiligt werden. Das Aushändigen von seitenlangen Datenschutzerklärungen würde einen Nachteil für Unternehmen darstellen sowie einen deutlichen Mehraufwand für beide Seiten bedeuten.

 

Wie man schon an den teilweise sehr bedeutungsschwangeren Ausführungen von Grundrechten und Grundfreiheiten erkennt; in der DSGVO geht es vor allem um große Themen wie Meinungsfreiheit und Schutz der Privatsphäre. Da passen Visitenkarten nicht so richtig rein. Es ist schwer erkennbar wie einfache Visitenkarten ein Ungleichgewicht in diesen Bereichen herstellen könnten. Der Missbrauch von Visitenkarten-Daten ist sehr unwahrscheinlich. Zum einen stehen dort keine besonders sensiblen Daten drauf. Kontaktdaten von Geschäftspartnern sind kein großes Geheimnis. Zum anderen können Visitenkarten nur von einem sehr beschränkten Personenkreis eingesehen werden, meist sogar nur die Person, der die Visitenkarte übergeben wurde und deren Kollegen. Wenn man bei einer banalen Tätigkeit, wie dem Austausch von Visitenkarten, verlagen würde umfangreiche Datenschutzerklärungen zu überreicht werden, würde dies Unternehmen übermäßig benachteiligen, ohne dass dadurch ein echter Mehrwert zum Schutz persönlicher Daten geschaffen werden würde.

 

Wie wir hier feststellen müssen, haben wir in diesem konkreten Einzelfall ein Wertungswiderspruch zwischen dem Wortlaut des Gesetzes und dem Sinn und Zweck des Gesetzes. Um diesem Widerspruch Herr zu werden, tun wir Juristen nun etwas total verrücktes: Wir wenden die einzelne kritische Norm für den Einzelfall gar nicht an und tun so, als würde sie gar nicht existieren. Hier spricht man in der juristischen Fachsprache von einer sogenannten teleologischen Reduktion. Legitimiert wird dieses Vorgehen damit, dass der vom Gesetz verfolgte Zweck in sein Gegenteil verkehrt werden würde, würde die Norm eins zu eins nach dem Wortlaut angewendet werden. Die eben dargestellten Wertungen aus den Grundrechten und Grundfreiheiten stehen über der DSGVO. Somit kann die DSGVO im Sinne der Grundrechten und Grundfreiheiten modifiziert werden. Wohlgemerkt ist ein solches Vorgehen nur bei einem individuellen Einzelfall möglich.

 

In unserem Fall, der Aufbewahrung von Visitenkarten, müssen folglich die Transparenzpflichten aus Art.13 DSGVO und die Anforderungen an die Rechtmäßigkeit einer Verarbeitung aus Art. 6 DSGVO nicht angewendet werden. Visitenkarten können also nach wie vor problemlos ausgetauscht werden.

 

Die Situation kann sich allerdings ganz schnell wieder ändern, wenn der Einzelfall sich ändert. Sobald die Daten von der Visitenkarte in ein elektronisches System eingeben werden, kippt unsere eben durchgeführte Interessenabwägung im Sinne der Grundrechte. Sobald Daten in einem elektronischen System sind, sind sie anfällig gegen Hackerangriffe, können beliebig oft kopiert und weitergegeben werden und können in Kombinationen mit anderen Daten in komplexen Algorithmen zur Profilbildung der betroffenen Person missbraucht werden. An diesem Punkt müssen wir wieder voll auf die umfangreichen Regelungen der DSGVO zurückgreifen, denn genau für solche Fälle wurde sie gemacht.

 

Handlungsempfehlung

 

Erst sobald Sie Daten von Visitenkarten in Ihr CRM oder elektronisches Adressbuch aufnehmen, sollten Sie der betroffenen Person eine Datenschutzerklärung zukommen lassen. Das kann mit der richtigen Software vollautomatisch nach Speichern des Kontakts passieren. Somit macht das Ganze nicht mehr Aufwand als bisher.

 

Wichtig ist allerdings, dass dieses Vorgehen sauber funktioniert, in den Verzeichnissen der Verarbeitungstätigkeiten dokumentiert ist und die Datenschutzerklärung alle wichtigen Punkte abdeckt. Hier steht Ihnen Ihr Datenschutzbeauftragter zur Seite.

 

Fazit

 

Die DSGVO macht es uns nicht leicht. Wie oben dargelegt, lassen sich aber vertretbare Wege finden mit dem Gesetz umzugehen. Dass eine so banale Sache wie der Austausch von Visitenkarten so viel Aufwand für Vorüberlegungen bedeutet, spricht sicher nicht für die DSGVO. Die Komplexität von Datenverarbeitung in ein abstraktes Gesetz zu gießen und dabei die unterschiedlichen Interessen aller Beteiligten zu berücksichtigen, war sicher keine leichte Aufgabe für den EU-Gesetzgeber.

 

Letztendlich ist die Diskussion um Visitenkarten vor allem akademischer Natur, auch wenn eine undifferenzierte Berichterstattung darüber für Clickbait-News oder populistische Anti-EU-Stimmungsmache ein gefundenes Fressen war.

 

Keine Aufsichtsbehörde wird ernsthaft Bußgelder wegen Visitenkarten verhängen, noch würde die Konkurrenz daraus abmahnfähige Wettbewerbsverletzungen ableiten können. Die wahren Herausforderungen lauern ganz woanders. Allein schon eine realistische Risikobewertung würde Überlegungen zu diesem Thema also unnötig machen.

 

In jedem Fall eignete sich unser Beispiel wunderbar um die Tücken der DSGVO und die Intention des Gesetzes aufzuzeigen und somit hoffentlich etwas Licht ins Dunkel des Datenschutzrechts zu bringen.

 

PS: Sicher sind auch andere Meinungen zu diesem Thema vertretbar als die hier dargelegte Meinung. Dass Juristen sich über Meinungen streiten, ist nichts neues, sondern Teil des Systems. Nicht umsonst heißt es: zwei Juristen, drei Meinungen.

 

Im Datenschutzrecht herrscht aufgrund der Neuheit der DSGVO aktuell noch viel Verwirrung. Viele Fragen sind noch offen und bedürfen einer höchstrichterlichen Klärung. So zählt zur Zeit vor allem, dass man Probleme erkennt und sich nach bestem Gewissen darauf einstellt und diese Maßnahmen und Gedanken auch protokollieren kann. Bei diesen Prozessen unterstützt sie zuallererst Ihr Datenschutzbeauftragter.

 

 

 

Datenschutz für Verlage

Datenschutz für Verlage

Wie und Wo Datenschutz anwenden?

 

Datenschutz für Verlage

 

Bald kommt die DSGVO und mit Ihr umfangreiche Pflichten zum Datenschutz, die auch Verlage empfindlich treffen können. Lesen Sie hier wie Sie ein Datenschutz-Management in Ihrem Verlag umsetzen. Am Ende des Artikels finden Sie noch eine Checkliste mit der Sie überprüfen können wie gut Ihr Unternehmen in Sachen Datenschutz aufgestellt ist.
 

Ab dem 25. Mai 2018 muss die Europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland angewandt werden. Verstöße gegen diese Regelungen können mit empfindlichen Strafen geahndet werden. Ordnungsgelder, die durch Aufsichtsbehörden verhängt werden,  können bis zu 20 Millionen Euro reichen. Landesdatenschutzbehörden und Verbraucherschutzverbände besitzen ein Klagerecht, um hier aktiv zu werden. 

Auch wenn die Strafen empfindlich wirken –  wenn Sie Ihre Hausaufgaben in Punkto Datenschutz gemacht haben, sind Sie auf der sicheren Seite. Es wird nicht verlangt, das gesamte Unternehmen datenschutzkonform nach einem starren Muster auf den Kopf zu stellen. Aber von jedem Unternehmen wird nun gefordert, nach den eigenen Verhältnissen ein passendes Datenschutzmanagementsystem zu etablieren. 

Disclaimer: Dieser Artikel dient zu Informationszwecken und ist ausdrücklich nicht als rechtliche Beratung zu verstehen. Die juni.com GmbH übernimmt keinerlei Haftung für die Richtigkeit und Vollständigkeit der dargelegten Informationen. Aufgrund der umfangreichen Materie sind die vorliegenden Unterlagen nicht erschöpfend. Die folgenden Ausführungen sollen Ihnen dabei helfen, einen ersten Einblick in den Datenschutz und die damit verbundenen rechtlichen Herausforderungen zu erhalten, um daraus die ersten Schritte zur Umsetzung für Ihr Unternehmen zu entwickeln.  Bei den Detailfragen sollten Sie auf einen ausgebildeten Datenschutzbeauftragten oder auf einen auf Datenschutzrecht spezialisierten Rechtsanwalt zurückgreifen. Auch wir von juni.com bieten ein umfangreiches Beratungsangebot zum Thema Datenschutz im Rahmen von Softwareanwendungen an.

 

Warum eigentlich Datenschutz?

 

Persönliche Daten verraten viel über einen Menschen. Vielleicht viel mehr als die Öffentlichkeit oder unbekannte Dritte wissen sollten. Daten gelten als das Erdöl des 21. Jahrhunderts, entsprechend steht hinter Daten ein beachtlicher wirtschaftlicher Wert. Findige Geschäftsleute, die wertvolle Daten ohne den Willen der betroffenen Personen sammeln, mögen raffinierte Geschäftsmodelle daraus entwickeln, agieren ethisch aber zweifelhaft. Neben den wirtschaftlich auswertbaren Daten ist der Missbrauch von solchen, die Rückschlüsse auf politische und religiöse Überzeugungen oder sexuelle Vorlieben und gesundheitliche Situationen zulassen, für eine demokratische und pluralisierte Gesellschaft eine große Gefahr. Diskriminierungen im großen Stil wären anhand einer Erhebung jener Daten möglich. Heute sind Big Data-Systeme schon so weit entwickelt, dass nicht einmal sensible Daten im Detail erhoben werden müssen, um Rückschlüsse zuzulassen. Mustererkennungen bei verschiedensten, weniger sensiblen Daten macht dies möglich. Datenschutz bedeutet, dem Konzept des gläsernen Menschen vorzubeugen, staatliche und privatwirtschaftliche Überwachungsmaßnahmen zu beschränken und letztendlich das Machtungleichgewicht zwischen großen Organisationen und dem Individuum herzustellen. Datenschutz wird nicht selten als Menschenrecht gefordert. Jede und jeder soll selbst entscheiden dürfen, welche ihrer und seiner Daten wie verwendet werden.

 

Wir, als wirtschaftliche Akteure in der Medien- und Verlagsbranche, stehen dabei in einem Dilemma. Einerseits wollen wir für unsere Geschäftsmodelle selbst so viele Daten wie möglich sammeln und nutzen, auf der anderen Seite ist jeder von uns persönlich betroffen. Umso mehr sollten wir Wert darauf legen, die gesetzlichen Anforderungen einzuhalten und im Rahmen des rechtlich Erlaubten zu operieren.

 

Begriffe im Datenschutz

 

Datenschutz: Datenschutz sind organisatorische und technische Maßnahmen gegen den Missbrauch von Daten.

 Personenbezogene Daten: Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

 Betroffener: Ein Betroffener ist ein Mensch, dessen Daten verarbeitet werden oder wurden.

 Verarbeiter: Ein Verarbeiter ist das Unternehmen, das die Daten verarbeitet oder verarbeitete.

 Auftragsverarbeiter: Ein Auftragsverarbeiter ist ein Dritter, der für einen Verarbeiter als Dienstleister Daten verarbeitet.

 Sensible Daten: Sensible Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder das Sexualleben. Auch Daten, die Kinder betreffen, sind als sensible Daten zu werten.

 

Die 6 Gebote des Datenschutzes

 Die folgenden “6 Gebote des Datenschutzes” fassen die wichtigsten Regelungen aus der DSGVO zusammen.

 

1. Gebot: Verbot mit Erlaubnisvorbehalt

 Prinzipiell ist jede Datenverarbeitung zunächst verboten. Ausnahmen bestehen bei  Einwilligung des Betroffenen und/oder einer gesetzlichen Erlaubnis.

 Die Rechtmäßigkeit der Datenverarbeitung liegt vor bei:

  • der Einwilligung des Betroffenen
  • der Erfüllung eines Vertrags, vorvertraglichen Maßnahmen, Anfragen
  • der Erfüllung einer rechtlichen Verpflichtung
  • lebenswichtigen Interessen
  • öffentlichem Interesse
  • berechtigtem Interesse des Unternehmens

Ein lebenswichtiges oder öffentliches Interesse sollte in Geschäftsfeldern der Medien- und Verlagsbranche irrelevant sein. Deutlich wichtiger ist hier, was unter einem berechtigten Interesse des Unternehmens aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO zu verstehen ist. Eine Vielzahl von Datenverarbeitungen könnten unter diesen Punkt fallen. Denkbar sind hier vor allem Datenverarbeitungen im Rahmen von Marketing- oder Vertriebsaktivitäten. Wenn eine Datenverarbeitung im Rahmen eines berechtigtem Interesse passiert, hat dies den großen Vorteil, dass dafür keine separate Einwilligung nötig ist.

Weiter unten finden Sie einen umfangreichen Abschnitt, der sich genauer mit Einwilligungen und dem berechtigtem Interesse auseinandersetzt.

 

2. Gebot: Datensparsamkeit

Nur die Daten, die wirklich benötigt werden, dürfen erhoben werden. Eine Datenverarbeitung muss entsprechend ihrem Zweck angemessen sein. Daten, die erhoben werden, müssen für das Ziel relevant sein und auf das notwendige Maß beschränkt werden.

 

3. Gebot: Zweckbindung

Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Sollte der Zweck wegfallen oder erreicht werden, müssen die Daten gelöscht werden.

 

4. Gebot: Datensicherheit

Es müssen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Das heißt, es müssen ausreichende Maßnahmen getroffen werden, sodass Unbefugte nicht auf die Daten zugreifen können. Das reicht von umfangreichen Schutzmaßnahmen gegen Hackerangriffe bis hin zu klaren Rollen- und Rechtekonzepten für die Mitarbeiter eines Unternehmens.

 

5. Gebot: Transparenz

Betroffene sollen wissen, welche Daten und zu welchem Zweck von Ihnen erhoben wurden. Darüber sollen sie bei der Erhebung informiert werden und haben später ein Auskunftsrecht.Betroffene können anfragen, ob und in welchem Umfang ihre Daten verarbeitet werden.

Betroffenen, deren Daten erhoben werden, müssen folgende Informationen bei der Erhebung mitgeteilt werden:

  • Zweck der Datenverarbeitung
  • Dauer der Speicherung der Daten
  • Regelungen zur Weitergabe von Daten an Dritte (auch Auftragsverarbeiter)
  • Regelungen zur Übermittlung in ein Drittland
  • Aufklärung über die Rechte (Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit)
  • die Rechtsgrundlage der Erhebung: Vertrag/Gesetz
  • Kontaktinformationen (auch des Datenschutzbeauftragten)
  • der Hinweis auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung (Profiling)

 

6. Gebot: Dokumentation

Es gilt nun, alle Informationen rund um Ihre Datenverarbeitung zu dokumentieren. Gewisse Dokumente und Verzeichnisse vorzuhalten ist Pflicht. Nachweise dazu können jederzeit von Aufsichtsbehörden gefordert werden.

Es ist nun umso wichtiger zu dokumentieren, welche personenbezogenen Daten ein Unternehmen verarbeitet, woher diese Daten kommen und an wen die Daten weitergegeben werden. Grund dafür ist die Beweislastumkehr in der DSGVO. Nach dieser muss ein Unternehmen darlegen, dass es sich rechtskonform verhalten hat.

Eine umfangreiche Dokumentation wird auch nötig sein, um Datenschutz-Zertifizierungen zu erhalten, die Unternehmen besondere Fähigkeiten und Prozesse im Datenschutz als eine Art Gütesiegel bescheinigen. Eine solche Zertifizierung kann entsprechend öffentlichkeitswirksam eingesetzt werden. Es ist aber auch vorstellbar, dass eine Zertifizierung über den Datenschutz für manche Geschäftspartner aus Compliance-Gründen Pflicht wird.

Folgende Dokumente sollten Sie führen, um umfassend Ihre Datenverarbeitung und die datenschutzrechtlichen Grundlagen-Entscheidungen Ihres Unternehmens zu dokumentieren.

 

Grundlagen:

  • Löschkonzept
  • IT-Sicherheitskonzept
  • Rechte- und Rollenkonzept
  • Löschfristenverzeichnis
  • Technische und organisatorische Maßnahmen

 

Dokumentation:

  • Datenschutz-Folgenabschätzung
  • Verfahrensverzeichnis
  • Löschungs-Protokoll
  • Einwilligungs-Protokoll
  • Vertragsmanagement
  • Verzeichnis aller Datenschutzvorfälle/-verstöße

 

Einführung eines Datenschutz-Managementsystems

 Um den gesetzlichen Anforderungen Genüge zu tun, muss jedes Unternehmen ein Datenschutz-Managementsystem einführen. Dieses System beinhaltet:

1. interne Datenschutz- und IT-Richtlinien
In entsprechenden Dokumenten werden Richtlinien zum Umgang mit Datenschutz und IT im Unternehmen festgehalten. Diese Richtlinien müssen den Mitarbeitern zugänglich sein und Vorgesetzte müssen die Einhaltung der Richtlinien überwachen.

2. Datenschutz-Folgenabschätzungen
Datenverarbeitung, die sensible Daten betrifft oder die ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person beinhalten, muss im Vorfeld einer besonderen Datenschutz-Folgenabschätzung unterzogen werden. Diese ist relativ komplex und bezieht auch Wertungen aus den Grundrechten und den europäischen Grundfreiheiten ein. Eine solche Abschätzung sollte somit von entsprechend geschulten Datenschutzbeauftragten durchgeführt werden.

3. Regelmäßige Datenschutzschulungen der Mitarbeiter
Datenschutzmaßnahmen unterliegen der Gefahr, nach dem erstmaligen Erstellen der hier vorgestellten Richtlinien und Dokumentationen als bloße Theorie im Tagesgeschäft zu verstauben und vergessen zu werden. So werden nur die rechtlichen Anforderungen umgesetzt, das Konzept aber nicht firmenintern verinnerlicht. Nur durch regelmäßige Schulungen und Coachings aller Mitarbeiter, die mit Datenverarbeitung in Berührung kommen könnten, kann Datenschutz wirklich flächendeckend umgesetzt werden.

 

Der Datenschutzbeauftragte

Sollte Ihr Unternehmen zehn Mitarbeiter oder mehr beschäftigen, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten in Berührung kommen, müssen Sie einen Datenschutzbeauftragten benennen. Bei nicht automatisierter Datenverarbeitung liegt die Grenze bei 20 Mitarbeitern. In der Medien- und Verlagsbranche wird fast jeder Mitarbeiter in Form von E-Mails und Kundendaten in irgendeiner Form mit Datenverarbeitung in Kontakt kommen. Vermutlich werden nur sehr kleine Unternehmen ohne Datenschutzbeauftragten auskommen können. Der Datenschutzbeauftragte muss nicht zwangsläufig ein interner Mitarbeiter sein. Es kann ein externer Dienstleister eingesetzt werden. Der Datenschutzbeauftragte ist dafür verantwortlich, dass die Regelungen des Datenschutzes im Unternehmen eingehalten und diese rechtssicher dokumentiert werden. Der Datenschutzbeauftragte sollte dazu ausgebildet sein, die oben genannten Dokumente zu erstellen und zu pflegen. Die Eigenschaften eines Datenschutzbeauftragten sind Fachkunde, Einblick in Prozesse und eine hervorragende Kommunikationsfähigkeiten.

Die Aufgaben des Datenschutzbeauftragten im Detail variieren je nach individueller Datenverarbeitung eines Unternehmens. Der Datenschutzbeauftragte nimmt vor allem Beratungs- und Überwachungsaufgaben wahr, hat  aber keine Weisungsbefugnis im Unternehmen. Sollten Datenschutz-Verstöße im Unternehmen vorsätzlich oder fahrlässig begangen worden sein, muss der Datenschutzbeauftragte diese an die Aufsichtsbehörden melden.

In jedem Fall muss der Datenschutzbeauftragte Kenntnisse der Datenschutzgesetze haben und die Datenverarbeitung des Unternehmens überwachen sowie Reports und Analysen erstellen. Ein Schwerpunkt der Tätigkeit ist die Überwachung der Datenverarbeitungsprogramme. Auch die Schulung der restlichen Mitarbeiter in Datenschutzfragen gehört zu seinen Aufgaben.

Entsprechende Zertifizierungen für Mitarbeiter können bei kommerziellen Anbietern erworben werden. Zwingend sind solche Zertifizierungen nicht nötig, wenn der Mitarbarbeiter die nötigen Expertenkenntnisse besitzt.

Es dürfen keine Interessenkonflikte zur üblichen Tätigkeit des Datenschutzfragen entstehen. Leiter von IT- oder Personal-Abteilungen werden somit eher nicht in Frage kommen.

Aufgrund der Tätigkeit des Datenschutzbeauftragten ergeben sich für diesen auch einige Haftungsrisiken. Er haftet für eigene Fehler und fehlerhaft ausgeführte Schulungen. Durch den sogenannten „innerbetrieblichen Schadensausgleich“ wird der Haftungsschaden jedoch in der Regel auf das Unternehmen umgewälzt. Tatsächlich privat haften müsste der Datenschutzbeauftragte nur bei wirklich groben Fehlern.

Damit der Datenschutzbeauftragte möglichst abgesichert ist, zählt, dass er in regelmäßigen Fortbildungen sein Wissen auf dem neuesten Stand hält, eine Berufshaftpflichtversicherung abgeschlossen wird und dass der Arbeitgeber ihn für die gewissenhafte Bearbeitung seiner Aufgaben von seinen sonstigen Tätigkeiten freistellt.

Die Verantwortung für die gesetzeskonforme Anwendung des Datenschutzes im Unternehmen liegt trotz Datenschutzbeauftragtem weiter bei der Geschäftsführung.

 

Die Einwilligung zur Datenverarbeitung und berechtigte Interessen

Wie bereits oben erwähnt, darf eine Datenverarbeitung nur dann getätigt werden, wenn der Betroffene eingewilligt hat oder eine gesetzliche Erlaubnis für diese Art der Datenverarbeitung benannt ist. Zu letzterem gehört die Datenverarbeitung auf Grundlage von berechtigtem Interesse. Weil hierfür keine Einwilligung des Berechtigten nötig ist, ist diese Grundlage in der Praxis besonders interessant. Damit auf dieser Grundlage eine Verarbeitung erlaubt ist, muss im Vorfeld eine relativ komplexe Interessenabwägung durchgeführt werden. Diese sollte von einem entsprechend geschulten Datenschutzbeauftragten erstellt werden. Es geht um das Abwägen des Unternehmensinteresses gegen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person.

Sollte eine betroffene Person bereits Kunde bei Ihnen sein, spricht dies zum Beispiel dafür, dass hier berechtigte Interessen vorliegen und sie die Daten für Marketingzwecken auch weiterverarbeiten dürfen. Das Interesse von Verbrauchern, nicht von Telefon- und Fax-Direktwerbung belästigt zu werden, überwiegt hingegen. Auch beim Weiterverkauf von Daten oder der Weiterverwendung von Daten nach einem Gewinnspiel sind zwingend Einwilligungen nötig.

 

Postalisches Marketing

 Wenn Sie Direktwerbung an Verbraucher ohne Einwilligung per Post versenden wollen, müssen folgende Bedingungen vorliegen:

  • der Betroffene muss ein Bestandskunde sein
  • die Werbung muss für ähnliche Waren erfolgen
  • der Betroffene hat keinen Widerspruch eingelegt
  • bei Erhebung der Daten muss ein deutlicher Hinweis auf das Widerspruchsrecht erfolgen

 In der Regel werden jedoch Einwilligungen nötig sein. Um wirklich rechtssicher zu sein, ergibt es durchaus Sinn, auch dann Einwilligungen einzuholen, wenn dies nicht unbedingt nötig ist.

 Mindestanforderungen an Einwilligungen sind:

  • Der Berechtigte muss eine bewusste und eindeutige Handlung zur Einwilligung getätigt haben.
  • Der Inhalt der Einwilligungserklärung muss jederzeit abrufbar sein. Der Zweck muss hinreichend beschrieben sein.
  • Die Einwilligung muss protokolliert werden (z.B. in einer CRM-Software wie open.junixx.FM)
  • Es muss auf eine jederzeitige Widerrufsmöglichkeit hingewiesen werden.
  • Weiterhin sinnvoll: Eine gesonderte Bitte zur Kenntnisnahme der Datenschutzerklärung.

 

E-Mail-Marketing

Auch E-Mail-Marketing benötigt die Einwilligung der Betroffenen. Hier sind zum einen besondere Anforderungen an die E-Mail-Marketingsoftware zu stellen. Der Serverstandort des Anbieters befindet sich im Idealfall in Deutschland oder in der EU. Ansonsten muss der Anbieter nach dem US-EU-Datenschutzabkommen „Privacy Shield“ zertifiziert sein und sich verpflichten, die EU-Datenschutzvorgaben einzuhalten. Eine Datenschutz-Zertifizierung des Dienstleisters ist in jedem Fall Pflicht.

Zum anderen gelten für die Anmeldung zu Newslettern weitere Vorschriften. Die Anmeldung muss über ein sogenanntes Double-Opt-in-Verfahren erfolgen. Dieses Verfahren muss werbefrei gestaltet sein. Der Zweck des Newsletters muss im Formular erwähnt werden. Es muss einen Hinweis auf die Datenschutzerklärung in der Einwilligung geben. Die Verwendung des externen Mail-Dienstleisters muss in der Datenschutzerklärung aufgeführt werden. Auch gilt mit der DSGVO ein Kopplungsverbot. Das heißt, ein Vertragsschluss darf nicht vom Newsletter-Abo abhängig sein.

 

Umgang mit Bestandskunden

 Sicher fragen Sie sich schon, wie die Lage für Ihre Bestandskunden ist, von denen Sie vermutlich noch keine Einwilligung nach der DSGVO abgeschlossen haben. Hier ist die rechtliche Lage zur Zeit noch etwas unklar und eine Klarstellung durch die Aufsichtsbehörden wäre wünschenswert. Voraussichtlich lässt sich die Problematik allerdings über das ältere Gesetz BDSG lösen. Hier war nach § 28 Abs. 3 BDSG auch schon eine Einwilligung nötig. Wenn alte Einwilligungen den neuen Bedingungen der DSGVO entsprechen, können diese voraussichtlich übernommen werden. Zweckänderungen brauchen aber gegebenenfalls eine neue Einwilligung. Sollten überhaupt keine Einwilligungen vorliegen, müssen sie diese wohl oder übel nachträglich einholen. Unter Umständen hilft Ihnen hier aber auch das berechtigte Interesse aus Art. 6 Abs. 1 Satz 1 lit. f DSGVO weiter, sodass auf Einwilligungen verzichtet werden kann. Weil die Lage bei Bestandskunden besonders unklar ist, ist Ihnen eine Beratung durch einen fachkundigen Experten für Ihren Einzelfall hier besonders ans Herz gelegt.

 

Partnerunternehmen / Subunternehmen

Sollten Daten, die Ihr Unternehmen erhoben hat, nicht nur bei Ihnen im Haus verarbeitet werden und Sie externe Dienstleister nutzen, die mit den Daten in Kontakt kommen, ist mit diesen nach Art. 28, 32 DSGVO ein sogenannter Vertrag zur Auftragsverarbeitung nötig. Dieser regelt neben dem Hauptvertrag der externen Dienstleistung die Rechten und Pflichten in Sachen Datenschutz zwischen Ihren Unternehmen und Ihrem Dienstleister. Ein solcher Vertrag ist schon nötig, wenn Sie ein Mailing über einen Lettershop abwickeln und dort Ihre Kundendaten abliefern.

 

Datenlöschung

Daten müssen sofort und völlig rückstandslos gelöscht werden, wenn dies der Betroffene verlangt. Ein Verarbeiter sollte ein unternehmensweit gültiges Löschkonzept haben. Dieses kann sehr gut durch Funktionen in einer Software dargestellt werden. Schriftlich ausformuliert muss es aber trotzdem vorliegen.

Daten, die nach dem Gesetz vorgehalten werden müssen (z.B. für die Buchhaltung), dürfen nicht gelöscht werden. Allerdings dürfen diese für keinen anderen Zweck als für die Buchhaltung verwendet werden.

 

Datenportabilität

Gespeicherte, personenbezogene Daten müssen vom Betroffenen jederzeit abrufbar sein.

 Jene Daten müssen an ein anderes Unternehmen gesendet werden können, beispielsweise über eine sichere API. Die Daten müssen strukturiert und in gängigen und maschinenlesbaren Formaten abrufbar und versendbar sein.

 

Fazit

Das Thema Datenschutz ist sicher komplex, doch auch kleinere Unternehmen können die Anforderungen mit vertretbarem Aufwand meistern, wenn man sich eingehend mit der Materie beschäftigt. Sollten Sie noch Fragen haben, wenden Sie sich gerne an uns. Gerne unterstützen wir Sie dabei, Ihr Unternehmen in Sachen Datenschutz besser aufzustellen.