Vor allem: Keine Panik!

Version 2, 17.5.2018

Seit ein paar Wochen macht sich in Online-Foren, auf Twitter oder auch in Vereinen und kleinen Unternehmen eine steigende Unruhe breit, weil der Geltungsbeginn der EU-Datenschutz-Grundverordnung (DSGVO) am 25.5.2018 immer näher rückt. Wir bekommen selber vermehrt Anfragen und Beschwerden, auch aus der eigenen Partei. Befeuert wurde die Unsicherheit in jüngster Zeit leider noch durch Blogbeiträge u.a. von Sascha Lobo und Enno Park, die weite Verbreitung fanden. Beide Autoren schätzen wir ansonsten eigentlich sehr.

Daher sollen im Folgenden viele Fragen beantwortet werden, die wir immer wieder gestellt bekommen. Und anhand des Beitrags von Sascha Lobo soll beispielhaft gezeigt werden, welche verkehrten Annahmen oder Missverständnisse sich teilweise hinter der DSGVO-Panik verbergen. Weitere Hintergrundinformationen gibt es von uns auch hier.

Häufig gestellte Fragen (Frequently Asked Questions – FAQ)

Für wen und was gilt die DSGVO?

Sie gilt für die behördliche und geschäftsmäßige Verarbeitung personenbezogener Daten in der EU. “Geschäftsmäßig“ bedeutet nicht nur mit Gewinnerzielungsabsicht, sondern auch bei Vereinen, Kirchen und anderen gemeinnützigen und nicht profitorientierten Einrichtungen. Die DSGVO gilt nicht für die rein persönliche oder familiäre Datenverarbeitung. Sie gilt auch nicht für Strafverfolger, für die es eine spezielle EU-Richtlinie gibt, sowie für EU-Institutionen, die ebenfalls eine spezielle Verordnung haben, die derzeit an die DSGVO angepasst wird. Hier hat sich insgesamt im Vergleich zum bestehenden Recht auch nichts geändert.

Neu ist: Die DSGVO gilt auch für Datenverarbeiter außerhalb der EU, sofern sie z.B. online Dienste auf dem EU-Binnenmarkt anbieten oder in der EU regelmäßig Personen beobachten, z.B. durch Online-Tracker. Diese Einführung des Marktortprinzips stellt sicher, dass endlich die europäischen Online-Unternehmen dieselben Regeln haben wie ihre Konkurrenten z.B. aus Silicon Valley.

Als kleiner Blogger musste ich mich doch bisher um Datenschutz gar nicht kümmern. Was soll jetzt der ganze Aufwand mit der DSGVO?

Wenn es kein rein privates Blog war, sondern z.B. Anzeigen geschaltet wurden oder es die berufliche Tätigkeit beworben hat, galt das auch schon bisherige Datenschutzrecht, sofern persönliche Daten erhoben wurden. Wer hier z.B. Google Analytics einbindet oder die Besuche des Blogs mitprotokolliert, hat sich auch bisher schon mindestens im Graubereich des Datenschutzrechts bewegt. Es ist daher sinnvoll, die DSGVO zum Anlass zu nehmen und die Einstellungen, WordPress-Plugins und ähnliches mal durchzusehen, ob wirklich alle Daten, die erhoben werden, notwendig sind. Anstatt Like-Buttons von Facebook direkt zu laden und so jeden Besucher und jede Besucherin des Blogs automatisch an Facebook zu verpetzen, empfehlen wir die datenschutzfreundliche zwei-Klick-Lösung z.B. von heise.de. Als kleiner Blogger muss man aber auch nicht befürchten, dass einem sofort die Datenschutzbehörde den Server beschlagnahmt und hohe Bussgelder verhängt. Falls man überhaupt ins Visier der Behörden geraten sollte, müssen deren Maßnahmen immer verhältnismäßig sein, und in der Regel machen sie bei „kleinen Fischen“, die einfach aus Unkenntnis gehandelt haben, Beratung statt Bestrafung.

Drohen allen kleinen Unternehmen, Blogs oder Vereinen jetzt Bußgelder in Millionenhöhe?

Die DSGVO sieht in der Tat hohe mögliche Bußgelder vor – bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des Weltjahresumsatzes. Die Betonung ist aber hier auf „mögliche Bußgelder“. Wie unter 2. Schon geschrieben: Falls man überhaupt ins Visier der Behörden geraten sollte, müssen deren Maßnahmen immer verhältnismäßig sein, und in der Regel machen sie bei „kleinen Fischen“, die einfach aus Unkenntnis gehandelt haben, Beratung statt Bestrafung. Artikel 83(2) gibt außerdem eine Liste von Kriterien für die Bußgelder, woraus klar wird, dass z.B. Wiederholungstäter, die mit Vorsatz und Gewinnerzielungsabsicht besonders viele Daten rechtswidrig verarbeiten, die hohen Strafen befürchten müssen – nicht aber der kleine Verein, der aus Unkenntnis gehandelt hat. Gegen den wird es in aller Regel bei einem Erstverstoß keine Strafe geben, sondern eine Ermahnung mit Hinweisen, wie das Problem abgestellt werden kann.

Muss ich meinen Verein oder mein kleines oder mittleres Unternehmen (KMU) jetzt schließen, weil ich einen teuren Datenschutzbeauftragten bestellen muss, den ich mir nicht leisten kann?

Nein. Einen Datenschutzbeauftragten muss man nur bestellen, wenn mindestens zehn Mitarbeiter*innen (nicht Ehrenamtliche) als Kerntätigkeit, also quasi in Vollzeit, persönliche Daten verarbeiten. Das wäre etwa der Fall bei einem Lohnsteuerverein mit 20 Beschäftigten, nicht aber bei einem Sportverein, der ein paar Leute im Büro hat und darüber hinaus Trainer und Platzwarte bezahlt. Aber natürlich macht es auch im Verein oder kleinen Betrieb Sinn, dass nicht alle Mitarbeiter*innen oder Ehrenamtliche auf die Kunden- oder Mitgliederdaten zugreifen können. [Update v2: Genau genommen gibt es noch andere Umstände, unter denen ein Datenschutzbeauftragter Pflicht ist, z.B. wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Solche Unternehmen sind aber in der Regel mit dem Datenschutz schon bisher sehr vertraut gewesen und stellen jetzt nicht diese Fragen. Der Datenschutzbeauftragte muss aber ohnehin nicht Vollzeit beschäftigt sein und kann auch ein externer Dienstleister sein, der z.B. wenige Stunden pro Monat abrechnet. Es hängt halt vom der Art und dem Umfang der Datenverarbeitung ab. ] Aber spezielle Pflichten wie die Führung eines Verfahrensverzeichnisses etc. gelten erst ab 250 Mitarbeitern oder bei besonders sensiblen Daten (z.B. bei der AIDS-Hilfe oder einer Arztpraxis wäre das durchaus angebracht) [Update v2: Oder wenn die Verarbeitung häufig („nicht nur gelegentlich“) stattfindet oder „ein Risiko für die Rechte und Freiheiten der betroffenen Personen“ darstellt.]

Gute Hinweise für KMUs und Vereine gibt es zum Beispiel auf der Webseite der Bayerischen Landesdatenschutzbehörde. Für Sportvereine gibt es weitere Hinweise hier.

Generell hat die DSGVO den „risiko-basierten Ansatz“ eingeführt, der klarstellt, dass sich der Aufwand für den Datenschutz im Verhältnis zum bestehenden Risiko der Datenverarbeitung für die Betroffenen bewegen muss. Wer also viele und auch noch sensible Daten verarbeitet, hat natürlich höhere Pflichten etwa bei der IT-Sicherheit oder den Zugangskontrollen als der Bäcker um die Ecke, der nur auf einem iPad notiert, wer für nächsten Samstag wie viele Brötchen bestellt hat. Eine gute Handreichung zur Abschätzung des Risikos gibt es z.B. auf der Webseite der Bayerischen Datenschutzbehörde. [Update v2: Diese Handreichungen (wie auch die im vorigen Absatz erwähnte) wurden von den Datenschutzbehörden gemeinsam erstellt und sind auch anderswo verfügbar.]

Muss ich für meinen Newsletter jetzt von allen Abonnent*innen eine neue Einwilligung einholen?

Das kommt drauf an. Wenn die Leute den Newsletter aktiv abonniert haben, ist das nicht nötig. Auch wenn ich die Adressen anderswo, z.B. auf Veranstaltungen, gesammelt habe, kann ein Newsletterversand mit meinem „berechtigten Interesse“ als Datenverarbeiter begründet werden, sofern ich nicht wahllos Leute zu-spamme. Bei Vereinen ist der Newsletter in der Regel Teil der Mitgliedschafts-Dienstleistungen und damit zur Erfüllung eines Vertrages nötig und erlaubt. Wichtiger ist, dass im Newsletter auf eine einfache Möglichkeit hingewiesen wird, ihn abzubestellen. Und in diesen Fällen sollten auch die Daten dann wirklich gelöscht werden, sofern sie nicht noch für andere Zwecke (etwa Mitgliederverwaltung) benötigt werden.

Darf ich jetzt keine Fotos mehr machen oder veröffentlichen, ohne die Einwilligung der abgebildeten Personen zu haben?

Vielfach besteht die Angst, dass digitale Fotografien persönliche Daten sind und nur noch mit der Einwilligung aller abgebildeten Personen möglich sind. Fotos und auch deren Veröffentlichung – genau wie Äußerungen über andere Personen – fallen aber unter die Kunst- Presse- oder Meinungsfreiheit. Hier sieht die DSGVO in Artikel 85 vor, dass die EU-Mitgliedstaaten diese Grundrechte mit dem Datenschutz in Einklang bringen sollen, weil es hier vielfach noch unterschiedliche Rechtstraditionen gibt und die EU auch nicht wirklich für Regeln zur Meinungsfreiheit zuständig ist.

Durch die Paragraphen 22 und 23 des Kunsturhebergesetzes (KUG) hat der bundesdeutsche Gesetzgeber bereits seit Jahren (jedenfalls was Fotografie betrifft) seine Pflicht aus Artikel 85 der Datenschutz-Grundverordnung erfüllt. Es bedarf dazu keiner expliziten Referenzierung der DSGVO. Es gab ja bisher auch schon ein deutsches und europäisches Datenschutzrecht, und das KUG hat auch keine expliziten Vorränge oder Ausnahmen ggü. dem Bundesdatenschutzgesetz gehabt. Es galt aber dennoch. So sieht das auch das zuständige Bundesinnenministerium. Eine etwas andere Lesart haben manche Datenschutzbehörden (z.B. die Hamburgische), die aber über eine Auslegung der DSGVO zum selben Ergebnis kommen: Bei Aufnahmen von Menschenmengen (z.B. auf Demonstrationen oder Sportereignissen) muss man weder alle Personen auf dem Bild vorher fragen, noch sie über irgendwelche Datenschutzrechte informieren. Hier auch ein lesenswerter Blogpost eines Fachanwaltes.

Warum es sogar bei Veranstaltungen mit bekannten (z.B. angemeldeten) Teilnehmer*innen ebenfalls nicht sinnvoll und nötig ist, für Fotos eine Einwilligung zu holen, wird hier erklärt.

Was ist mit journalistischen Beiträgen oder Meinungsäußerungen?

Für die Presse ist der Ausgleich zwischen Datenschutz und Pressefreiheit nach Artikel 85 DSGVO im Staatsvertrag für Rundfunk und Telemedien (kurz Rundfunkstaatsvertrag) bereits geregelt. Diese werden derzeit an die DSGVO angepasst. Hier gilt fast immer: Wenn die Datenverarbeitung zu journalistischen Zwecken stattfindet, muss man sich an so gut wie keine Regeln – außer zur Datensicherheit – halten. In der DSGVO ist darüber hinaus klargestellt worden, dass im Zweifel auch Blogger und andere von diesem journalistischen Privileg geschützt sind: „Um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen, müssen Begriffe wie Journalismus, die sich auf diese Freiheit beziehen, weit ausgelegt werden.“ (Erwägungsgrund 153)

Häufig verbreitete Mythen

Anhand des Beitrages von Sascha Lobo auf Spiegel Online wollen wir beispielhaft nun die verbreitetsten Mythen und Missverständnisse angehen. Dazu werden wir ihn recht ausführlich zitieren. [Update v2: Sascha hat in den Kommentaren ausführlich geantwortet.]

Rückblick auf „ein herausragendes Jahr für den Datenschutz“. So feierte der europäische Datenschutzbeauftragte 2009, dass endlich zwei der wichtigsten Leitlinien des Datenschutzes, der „Einwilligung“ und der „Transparenz“, genüge getan werde. Gemeint war ein Teil der EU-Richtlinie 2009/136/EG, bekannt als „Cookie-Richtlinie„. Die heutige Konsequenz davon ist die Abfrage auf vielen Websites, ob man mit der Cookie-Speicherung einverstanden sei. Darauf folgen meist zwei oder drei von vier verschiedenen Reaktionsmöglichkeiten: Ja. Nein. Pop-up schließen. Nähere Informationen. Im Alltag wirken die ersten drei Möglichkeiten auf Nutzer exakt gleich: Man klickt drauf, das Pop-up verschwindet, sonst gibt es keine Konsequenzen. Die konträren Wahlmöglichkeiten Ja und Nein erscheinen in ihrer Wirkung identisch, wie bei einem kaputten Lichtschalter.

Es gibt aber Konsequenzen – das ist doch genau der Punkt. Wer nicht „ok“ klickt, wird nicht per Cookies überwacht – so jedenfalls die Rechtslage. Und dass man in Deutschland oft nur auf „ok“ klicken konnte ohne die Möglichkeit, „nein“ zu sagen, lag daran, dass die Bundesregierung das Telemediengesetz nie an die e-Privacy-Richtlinie von 2009 angepasst hat. Dass sowas natürlich Frust erzeugt, ist klar, aber gerade nicht Schuld des EU-Gesetzgebers oder jetzt der DSGVO.

Man könnte weitere Absurditäten nennen. Etwa dass der britische Datenschutzbeauftragte 2013 aufhörte, sich danach zu richten.

Ja, auch die irische und die luxemburgische Datenschutzbehörde waren in den letzten Jahren bekannt dafür, notorisch lax zu sein und Datenschutzverstöße nicht ernsthaft zu verfolgen. Das Verfahren von Max Schrems vor dem Europäischen Gerichtshof, das zum Ende der „Safe-Harbour“-Vereinbarung mit den USA führte, war ja keine Klage gegen Facebook Irland, sondern gegen die irische Datenschutzbehörde wegen Untätigkeit. Genau aus diesem Grund gibt es in der DSGVO jetzt einen Konsistenzmechanismus, der sicherstellt, dass nicht einzelne Länder als Schlupflöcher für Datenschutzverletzungen genutzt werden können. Im Konfliktfall könne sie sogar mehrheitlich überstimmt werden und müssen sich an die Beschlüsse des neuen EU-Datenschutzausschusses halten.

Auch die Verengung auf Facebook und Google zeigt die Dysfunktionalität der deutschen Datenschutzdebatte. Die Schufa hat konkret viel mehr Einfluss auf das Leben als Internetwerbung, Facebook kann nicht verhindern, dass man eine Wohnung bekommt oder einen Handyvertrag. Das Datengebaren vieler Verlage ist ähnlich problematisch und wird in den Presseorganen eben dieser Verlage selten thematisiert.

Die DSGVO ist nicht auf Facebook und Google verengt, und im Laufe des Gesetzgebungsprozesses war sie es auch nie. Wir haben mit Betroffenen aus allen Bereichen der Wirtschaft und Verbraucher*innen und Datenschutzaktivist*innen aus allen Teilen Europas geredet. Gerade zur Schufa gibt es z.B. den Artikel 22 zu Profiling. Wir haben jetzt „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“, und wir können eine menschliche Intervention verlangen und die Entscheidung anfechten.

Datenschutztheorie und digitale Praxis haben sich lange auseinanderentwickelt. Diesen Umstand berücksichtigt die DSGVO, aber auf unangenehme Weise. Die meisten DSGVO-Regeln galten schon lange, es hat sich bloß niemand drum gekümmert. Jetzt bekommt Datenschutz Zähne aus Geld, also Geldstrafen. Dadurch setzt sich in der Öffentlichkeit der Eindruck fest: Hohe Strafen drohen für bisher toleriertes Verhalten.

Alle Umfragen zum Datenschutz der letzten Jahre zeigen, dass die Bürger*innen das Verhalten – vor allem, sie ohne zu fragen im ganzen Netz zu überwachen und die Daten an unbekannte und zwielichtige Dritte weiterzugeben – eben nicht mehr tolerieren wollen. Was wäre denn die Alternative? Datenschutz ganz abschaffen? Das kann es ja wohl nicht sein.

Der Datenschutz bricht – zuvor folgenlos onkelig mahnend – massiv in den digitalen Alltag ein. Auch bei gewöhnlichen, digital aktiven Bürgern.

Bei gewöhnlichen, digital aktiven Bürgern gilt der Datenschutz nur, wenn es keine private Tätigkeit ist. Und ja, wer gewerblich bloggt oder andere Dienste anbietet, muss sich an die Regeln halten. Das war aber vorher auch schon so, und es ist gut, dass jetzt an vielen Orten ein Datenschutz-Frühjahrsputz stattfindet und auch kleine Unternehmen, Vereine oder Blogger sich endlich mal Gedanken machen, welche Daten sie eigentlich erheben, warum, und ob das wirklich so nötig ist. Und ob es den Betroffenen gegenüber fair ist. Datenschutz ist eben auch ein Gebot der Höflichkeit: Bevor ich jemanden in eine Datenbank kippe oder überwache, sollte ich vielleicht mal vorher fragen. Die Datenschutzbehörden haben aber schon deutlich gemacht, dass sie nicht vorhaben, jetzt sofort bei den kleinen Bloggern die Türen einzutreten und hohe Bußgelder zu verhängen. Dafür haben sie nicht die Mittel und auch nicht das Interesse.

Abmahnanwälte werden Verstöße massenhaft kostenpflichtig abmahnen, das Muster ist bekannt, das haben die DSGVO-Schöpfer zu wenig bedacht. Deshalb werden große Mengen digitaler Nebenbei-Projekte aus Furcht abgeschaltet werden: Archive, halbprivate Fachforen, historisch interessante Websites.

Wenn das so wäre, hätten die Abmahnanwälte bisher auch Datenschutzverstöße durch kleine Blogs ausnutzen können. Das war aber nicht der Fall. Solche Prognosen ohne substanzielle Evidenz führen leider genau dazu, dass sich unnötige Panik verbreitet und als Reaktion die Leute ihre Projekte abschalten.

Oder wie Enno Park schreibt:

Panikmache betreiben nicht diejenigen, die angesichts der DSGVO ihr Blog schließen. Sie haben schlicht keine Zeit, sich mit den Details der DSGVO auseinander zu setzen, weil sie wegen Berufstätigkeit, Kindererziehung und sozialem Engagement besseres zu tun haben. Deren Blogs verschwinden einfach.

Sie sind dann leider Opfer einer Panik, die auch solche „Rants“, wie Enno Park seinen Text selber bezeichnet, verbreiten und damit Teil des Problems sind.

Weiter bei Sascha Lobo:

Die halbprivate Seite wird riskanter als die Nutzung einer Plattform, das ist keine gute Nachricht für das freie Web. Es stärkt die großen Plattformen. (…) Google und Facebook haben schon alle denkbaren Daten, und durch ihre Marktmacht fällt es ihnen leichter als kleinen Konkurrenten, Zustimmung einzuholen. „Hier klicken, sonst können Sie Google nicht weiterverwenden “ – das ist fast eine Drohung.

Gerade die großen Plattformen wir Google, Youtube, Facebook und Co. werden sich ordentlich umstellen müssen, denn ihr Geschäftsmodell basiert weitgehend auf Werbung, die auch auf Überwachung der Nutzer und Besucher basiert, und eben keine Wahl lässt. Mit dem Koppelungsverbot der DSGVO (Artikel 7(4)) ist klar, dass eine Einwilligung in die eigene Vollüberwachung eben nicht mehr zur Bedingung dafür gemacht werden kann, die Plattformen zu nutzen. Die „angepassten“ Datenschutzerklärungen von Facebook und Google, die seit einiger Zeit angezeigt werden, sind jedenfalls offensichtlich DSGVO-widrig. Der Mythos, man bräuchte nur eine teure Rechtsabteilung, um davon zu kommen, wird sich schnell legen, wenn hier die ersten großen Verfahren laufen und klar wird: Es geht ans Eingemachte, also ans Geschäftsmodell.

Zum Börsengang des Netzwerks 2012 warnte Weichert etwa, das Geschäftsmodell von Facebook breche zusammen, wenn sich der europäische Datenschutz durchsetze. Wenn diese Einschätzung gestimmt haben sollte, dann hat sich der europäische Datenschutz mit der DSGVO nicht durchgesetzt.

Das ist eine etwas sportliche These zu einem Zeitpunkt, wo die DSGVO noch nicht einmal gilt.

Meiner Ansicht nach wird der Übergriffigkeit der Digitalkonzerne ein Paternalismus der Datenschützer entgegengesetzt. Das ist mein grundsätzliches Problem: Ein Kampf tobt darum, wer mir geilere Vorschriften machen darf.

Die Idee der informierten Einwilligung als Kern des Datenschutzes ist genau kein Paternalismus. Nur wenn ich diese Möglichkeit überhaupt habe, mich also frei zu entscheiden, ob meine Daten erhoben werden dürfen (über den technisch notwendigen Umfang zur Bereitstellung eines Dienstes natürlich – Amazon und die Post brauchen meine Adresse, um mir Päckchen zu schicken) oder eben nicht, ist die informationelle Selbstbestimmung überhaupt möglich. Wenn ich mich überwachen lassen will, ist das völlig in Ordnung, und kein Datenschutzbeauftragter dieser Welt wird dagegen vorgehen können oder wollen. Aber wer das nicht will, und das sind eben große Teile der Bevölkerung, muss die Wahlmöglichkeit bekommen.