Die Datenschutzgrundverordnung
Mit der seit dem 25.5.2018 geltenden Datenschutzgrundverordnung (DSGVO) ist eine Regelung in Kraft getreten, die das bisherige deutsche Bundesdatenschutzgesetz (BDSG) weitgehend ersetzt und das Datenschutzrecht innerhalb der Europäischen Union harmonisiert hat. In Marketing und Werbung kommt es zum Beispiel bei Gewinnspielen, Kundenbindungsprogrammen, Zielgruppen-werbung, Fotoaufnahmen und bei Telefonmarketing zur Anwendung.
Zunächst werden von der Bestimmung nur „personenbezogene Daten“ erfasst (dazu 6.). Diese dürfen nur mit Einwilligung der betroffenen Person (dazu 7.) oder bei Vorliegen eines berechtigten Interesses (dazu 8.) verwendet werden. Die Verordnung regelt die Haftung für Verstöße und bestimmt, wer dafür verantwortlich ist (dazu 9.). Schließlich legt sie das Datenmanagement fest, also wie mit den personenbezogenen Daten verwaltungstechnisch umgegangen werden muss (dazu 10.).
1. 1. Europaweit einheitliches Datenschutzrecht
Die DSGVO hat Vorrang vor nationalem Recht, zum Beispiel deutschen Gesetzen wie dem Telemediengesetz (TMG) oder dem BDSG, den Datenschutzgesetzen der Bundesländer oder dem Gesetz gegen den unlauteren Wettbewerb (UWG). Diese Vorschriften haben allenfalls noch ergänzende oder präzisierende Bedeutung. Zu erwähnen ist noch die geplante neue e-Privacy Verordnung [1].
2. Hohe Bußgelder möglich
Die DSGVO sieht die Möglichkeit erheblicher Bußgelder von bis zu 2-4 % des Jahresumsatzes eines Unternehmens vor (Art. 43 DSGVO [2]). Da die Ahndung von Verstößen den Datenaufsichtsbehörden obliegt, ist nicht damit zu rechnen, dass in nächster Zeit Verstöße in großem Umfange geahndet werden, zumal sie weder über ausreichende personelle noch finanzielle Kapazitäten verfügen dürften und derzeit wohl gar nicht willens und in der Lage sind, Verstöße selbstständig zu verfolgen. Sie werden also in absehbarer Zeit noch auf Informationen aus den beteiligten Verkehrskreisen, also auf Anzeigen, angewiesen sein. Hinzu kommt ein weiteres: Während im Wettbewerbsrecht im Prinzip jeder Marktteilnehmer gegen den Verstoß eines anderen mit rechtlichen Mitteln wie Abmahnung und Antrag auf Erlass einer einstweiligen Verfügung vorgehen kann, ist dies auf der Basis des DSGVO zurzeit noch heftig umstritten. Denn es wird die Auffassung vertreten, dass die DSGVO selbst über ein ausreichendes Instrumentarium verfüge, weswegen angenommen wird, dass für Abmahnungen wegen Wettbewerbsrecht kein Raum ist[3].
3. „Schmerzensgeldanspruch“ bei unberechtigter Abmahnung
Neu in der Verordnung ist ein „Schmerzensgeldanspruch“ des Verletzten (= Betroffenen) im Falle einer unberechtigten Abmahnung (Art. 82).
4. Geltungsbereich
Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten (Art 2 Abs. 1) und die nicht automatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 4 Abs. 2 ). Sie gilt aber auch für die Erfassung von Daten auf Papier[4]. Sie gilt nicht für Verarbeitung von personenbezogenen Daten durch ausschließlich persönliche oder familiäre Tätigkeiten (Art. 2 Abs. 2 c ).
5. Grundsätze
Die DSGVO legt auch die Grundsätze fest, die im Umgang mit diesen Daten beachtet werden müssen, wobei diese im Wesentlichen schon vom BDSG bekannt sind. Der Umgang mit den personenbezogenen Daten muss den Grundsätzen von Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Integrität entsprechen. Daten dürfen auch nicht in Drittstaaten übermittelt werden, in denen ein Datenschutz nicht gewährleistet ist.
6. Verarbeitung „personenbezogener Daten“
Die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn die Einwilligung des Betroffenen vorliegt oder die Verarbeitung im „berechtigten Interesse“ des Verarbeiters liegt (Art. 4 Nr. 2). Mit „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten gemeint, wie z. B. Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verbindung, die Offenlegung durch Übermittlung, Verbreitung oder Ähnliches, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
7. Einwilligung
Voraussetzung für eine wirksame Einwilligung ist zunächst einmal das vollendete 18. Lebensjahr, also die Geschäftsfähigkeit des Betroffenen. Bei Kindern unter 14 Jahren muss die Einwilligung der Sorgeberechtigten vorliegen. Diese ist im Streitfall vom Verwender der Information nachzuweisen. Die Einwilligungserklärung muss verständlich, leicht zugänglich, in klarer und einfacher Sprache vom Resttext klar unterscheidbar und darf nicht in Allgemeine Geschäftsbedingungen “eingebettet“ sein (nicht klar genug: „mir ist bekannt, dass…“,“Bin mir bewusst, dass..“). Die betroffene Person ist davon zu informieren (Art. 7 Abs. 3 S. 3 ) und kann ihre Einwilligung jederzeit widerrufen. Ein Widerruf muss so einfach wie die Erteilung der Einwilligung möglich sein (Art. 7 Abs. 3 S. 4). Nachträgliche Einverständniserklärungen sind juristisch möglich, aber riskant, da unter Umständen nicht mehr nachweisbar. Der Verwender der Daten muss angemessene Anstrengungen unternehmen, um sich von der Ordnungsgemäßheit der Einwilligung zu überzeugen. Die Einwilligung kann per E-Mail, Post, per Fax oder per SMS erklärt werden. Sie muss Ort, Datum, Unterschrift und eine Widerrufsbelehrung enthalten. Der Zweck der Datenerfassung muss angegeben werden, gibt es mehrere Zwecke, sind diese zu benennen. Ändert sich der Zweck, wird eine neue Einwilligung benötigt. Bei der Weitergabe von Daten muss der Empfänger der Daten angegeben werden. Bei rechtlichen Zweifeln der Einwilligungserklärung gilt sie als unwirksam. Jeder Betroffene hat das Recht auf Auskunft, Berichtigung seiner Daten, ihre Löschung, Sperrung und auf Widerspruch gegen die Verwendung (Art. 17). Liegt die Einwilligung nicht vor oder wurde sie widerrufen, sind die Daten zu löschen. Dazu sind alle Maßnahmen zu treffen, um diejenigen, die diese Daten verarbeiten über die Löschung zu informieren. Bei älteren Einwilligungserklärungen ist zu prüfen, ob sie noch heute der geltenden Rechtslage entsprechen. Eine Einwilligung muss ausdrücklich das Einverständnis mit der Übertragung der Daten in Drittländer vorsehen (zum Beispiel deutsche Tochter> amerikanische Mutter). Sie kann schriftlich, elektronisch, mündlich, konkludent, durch Kopfnicken erteilt werden. Schweigen gilt nicht als Zustimmung.
8. Berechtigtes Interesse
Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine Einwilligung des Betroffenen vorliegt oder die Verarbeitung für die Erfüllung oder zur Durchführung eines Vertrags bzw. vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1 b). Zu nennen ist hier zum Beispiel die Speicherung von Stammdaten und Abrechnungsdaten eines Vertragspartners, sein Name und seine Adresse, die Prüfung der Kreditwürdigkeit etc. Erlaubt ist die Verarbeitung auch, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt (Art. 6 Abs. 1 c ) wie zum Beispiel die Vorschriften des Handels- und Steuerrechtes, Mitteilungspflichten von Sozialdaten oder Meldepflichten als Arbeitgeber an die Sozialversicherung. Erlaubt ist die Verarbeitung von Daten auch, wenn dies zur Wahrung lebenswichtiger Interessen notwendig ist (Art. 6 Abs. 1 b DSGVO). Schließlich kann man auch im Wege einer Interessenabwägung zur Zulässigkeit der Verarbeitung von Daten gelangen. (Art. 6 Abs. 1 f ).
9. „Personenbezogene Daten“
Alle Informationen, über die irgendwie ein Personenbezug hergestellt werden kann, sind personenbezogene Daten, also zum Beispiel der Name und die Anschrift, die E-Mail-Adresse und die Telefonnummer, Kontodaten, Alter und Vorlieben etc.. Einen strengeren Schutz genießen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei der Bezug direkt oder indirekt sein kann, wenn nur eine Zuordnung möglich ist. Dies gilt auch für pseudonymisierte Daten (Art 6, E- Grund 28, 29). Personenbezogene Daten sind der Name, Standortdaten, die Onlinekennung, besondere Merkmale, die Ausdruck der physischen, psychologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Die relative und die absolute Bestimmbarkeit reichen aus.
Schließlich gibt es besondere Kategorien personenbezogener Daten, die gegebenenfalls noch strenger geschützt sind. Dies sind zum Beispiel Informationen über die rassische und ethnische Herkunft, über politische oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeiten, genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung.
10. Datenmanagement
Der Verantwortliche muss sich auch darum kümmern, dass die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gegeben sind (Art. 6 b, Art. 32 ). Mitarbeiter sind über das Datenschutzmanagement zu informieren und das Wissen zu aktualisieren. Dazu gehört auch ein Plan, wie auf eventuelle Datenschutzverstöße und Pannen zu reagieren ist. Die Daten müssen auch gegen Eingriffe von außen gesichert werden, die Systeme sind in Räumen unterzubringen, zu denen nur dazu berechtigte Personen einen Zutritt haben. Auch für Ausfälle durch Brände oder Stromausfälle muss Vorsorge getroffen werden, die Daten sind regelmäßig zu sichern. In solchen Fällen müssen unter Umständen die Aufsichtsbehörden verständigt werden (Art. 32).
11. Fotos und DSGVO
Das Einverständnis einer fotografierten Person ist aufgrund ihres Persönlichkeitsrechtes grundsätzlich erforderlich. Aus zivilrechtlicher Sicht muss das Einverständnis des Fotografen als Urheber mit der Verwendung eines Fotos vorliegen, aber ebenso das Einverständnis der abgebildeten Person. Diese muss mit der Anfertigung der Aufnahme, ihrer Verbreitung und der Verwendung zu einem bestimmten Zweck einverstanden sein. Bei einer Veränderung (Bearbeitung) des Fotos muss der Fotograf als Urheber ebenfalls einverstanden sein. Werden Aufnahmen von Massenveranstaltungen (Betriebsversammlungen, Feiern etc.) gefertigt, sollten fotografierte identifizierbare Personen damit einverstanden sein. Sinnvoll ist beispielsweise bei derartigen Veranstaltungen ein allgemeiner, gut sichtbarer Hinweis, dass dem Veranstalter die Erlaubnis erteilt wird, während der Veranstaltung Foto- und Filmaufnahmen zu machen und diese Aufnahmen im Zusammenhang mit der Veranstaltung für Öffentlichkeitsarbeit und Dokumentation analog und digital zu verwenden.
Aus datenschutzrechtlicher Sicht muss eine betroffene Person mit der Datenerfassung und der Verarbeitung dieser Daten einverstanden sein. Nur bei Aufnahmen von Menschenansammlungen und Bildnissen aus dem Bereich der Zeitgeschichte ist ein Einverständnis abgebildeter Personen nicht erforderlich. Dies gilt auch für Personen, die nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen oder an Versammlungen, Aufzügen und ähnlichen Vorgängen teilgenommen haben (KUG[5] Art. 22). Die Einwilligung muss die Anfertigung der Aufnahme, ihre Veröffentlichung, die Weitergabe an Dritte, die Speicherung des Fotos und die Löschung der Daten - wenn nicht mehr benötigt - erfassen.
12. Information des Betroffenen gemäß Art. 13 DSGVO
Die betroffene Person ist über die Erhebung der Daten (also die Anfertigung der Aufnahme) zu informieren, den Zweck und die Rechtsgrundlage, gegebenenfalls die Empfänger, die Kategorien der Daten, die Dauer der Speicherung, die Quelle der Daten. Eine Ausnahme besteht nur dann, wenn die Daten bereits bekannt sind und der Erteilung der Einwilligung nicht möglich ist, zum Beispiel wegen zu großen Aufwandes. Wann ein zu großer Aufwand vorliegt, muss in jedem Einzelfall durch ein Gericht entschieden werden.
13. Verantwortlicher
Verantwortlich für die Einhaltung des Datenschutzes ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
14. Auskunftsrecht
Der Betroffene hat einen Anspruch auf Auskunft wie die Daten verarbeitet wurden, in welchen Kategorien, wer die Daten empfangen hat, über die geplante Dauer, der Verwendung, er muss auf sein Berichtigungs- und Prüfungsrecht hingewiesen werden ebenso wie auf das Recht der Beschwerde. Ebenso muss Auskunft über die Herkunft der Daten erteilt und auf Verlangen übermittelt werden.
©
Dr. Peter Schotthöfer
[1] RL 2009/136/EG „Cookie“ – in BRD noch nicht umgesetzt
[2] Artikelangaben ohne Gesetzesangabe beziehen sich auf DSGVO
[3] Köhler/Bornkamm, UWG, 35. Auflage § 3 a, Fn. 3, Rn. 1.68: „Mitbewerber können Datenschutzbehörden Mitteilung machen, DSGVO ist aber keine Marktverhaltensregel, s.a. WRP 2018, S. 790 „Wettbewerbsrechtliche Abmahnung von Verstößen gegen das neue Datenschutzrecht“, Tagesschau vom 25.8.2018: „Die große Abmahnwelle ist ausgeblieben“, www.tagesschau.de/Inland/dsgvo-datenschutz-grundverordnung-101.html).