DSGVO komplett - alle Einzeltexte des 'Ratgeber Selbstständige'

Dies ist eine Zusamenstellung aller Texte des "Ratgeber Selbstständige" der ver.di zum Thema DSGVO - Wer sich nur für einzelne Aspekte interessiert ist gegebenfalls mit den Einzeltexten übersichtlicher bedient. Da jedoch die Informationen

grundsätzlich im Zusammenhang zu sehen sind, haben wir den Überblick sowie die Texte zu den am häufigsten gestellten Fragen hier auf eine Seite gepackt.
Der Stand dieser Seite ist der 31.10.2018. Kleinere Änderungen und Korrekturen der Einzelexte finden sich nur dort, erst bei größeren Korrekturen werden sie auch auf dieser Seite nachvollzogen.


1. Das neue Datenschutzrecht in Deutschland

Seit dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung (DSGVO) zeitgleich ist ein neues Bundesdatenschutzgesetz (BDSG neu) in Kraft getreten. In Behörden, Firmen und natürlich bei Selbstständigen löst das aktuelle Datenschutzrecht hektische Aktivitäten aus. Nicht weil sie die Einführung verschlafen haben, sondern weil die Rechtslage und ihre konkrete Umsetzung an vielen Stellen noch unklar ist. Normalerweise helfen bei wichtigen und interpretationsfähigen Gesetzen juristische Kommentare und Referenzurteile weiter. Momentan ist hier die Lage noch unbefriedigend. Es gibt zwar bereits einige Kommentare zur DSGVO, jedoch zu wenige Detailinformationen zum neuen BDSG. Letzteres ist ja quasi ein Teil der DSGVO: Jener der die Öffnungsklausel umsetzt, nach der EU-Nationalstaaten Teilbereiche des Datenschutzrechts autonom regeln dürfen. In Deutschland fallen darunter beispielsweise der Arbeitnehmerdatenschutz sowie spezielle Regeln für den Datenschutz bei Medien, der nun ausschließlich in Rundfunk-Staatsverträgen und den Landesgesetzen geregelt werden müssen.

Was will, was regelt die Datenschutz-Grundverordnung (DSGVO)?

Wir können in diesem Ratgeber nur in Grundzügen erläutern, worum es da überhaupt geht, warum der Datenschutz ein Thema für alle Selbstständigen ist und was akut getan werden sollte – und ansonsten auf Fachdienste im Internet und Fachdienstleister verweisen. Denn: Welche eigenen Geschäftsprozesse dokumentiert und welche angepasst werden müssen, welche Aufzeichnungen vorzubereiten und Vorkehrungen zu treffen sind, hängt schlicht vom Geschäft und dem Umfang der Datenspeicherung ab.

Für einen Schnelleinstieg ins Thema finden wir den Mini-Onlinekurs von elopage besonders geeignet. Ein anderes, etwas betulicheres Online-Tool mit einfachen Basis-Fragen, um kurz zu checken, welche Anforderungen sich ergeben können, gibt es beim Bayrischen Landesamt für Datenschutzaufsicht. Kurz vor Ende der Umsetzungsfrist kam dann auch die EU mit einer interaktiven Infografik um die Ecke, in der unter unter "Was muss Ihr Unternehmen tun?" in Stichworten steht, wer was umzusetzen hat und generell wozu die DSGVO (aus EU-Sicht) dienen soll.

Die Grundprinzipien

Die neuen Grundprinzipien sind eigentlich die alten. Der Ansatz und die Anforderungen des Datenschutzes werden durch die DSGVO nicht verändert, weshalb die meisten der im Folgenden genannten Herausforderungen nicht wirklich neu (und hoffentlich bereits länger umgesetzt) sind. Zentral geht es dabei um den Verbraucher- und Kundenschutz, weniger um die geschäftlichen Kontakte mit und Daten von Auftraggebern, die natürlich aber auch betroffen sein können:

Personenbezogene Daten dürfen nur für "festgelegte, eindeutige und legitime Zwecke" (Art. 5 DSGVO, Absatz 1 b) verarbeitet werden. Und das unter dem Grundsatz der Datensparsamkeit und Richtigkeit. Sie müssen auf ein notwendiges Maß beschränkt sein (Art. 5 DSGVO, Absatz 1 c) und wenn Fehler moniert werden "unverzüglich gelöscht oder berichtigt werden" (Art. 5 DSGVO, Absatz 1 d).

Alle personenbezogenen Daten müssen angemessen gegen fremden Zugriff gesichert sein und sind zu löschen, sobald sie nicht mehr gebraucht werden. Und natürlich muss bei Speicherung solch sensibler Daten der oder die Gespeicherte zustimmen und das nachgewiesen werden können. Wirklich neu ist hier eigentlich nur: Wer solche Daten auf fremde Servern aufspielt, muss dessen Betreiber – etwa einen Webhosting-Dienst – vertraglich an den Datenschutz binden oder die Betroffenen müssen dieser sogenannten Auftragsdatenverarbeitung einzeln und ausdrücklich zustimmen. - Der Frage "Brauche ich einen Vertrag über Auftragsverarbeitung?" widmet die Seite Onlinehändler-News einen gleichnamigen Artikel ausführlicher und kommt zum Schluss: Im Zweifel ja. Insbesondere auch, wenn Google Analytics eingesetzt wird, weil sich auf das Thema schon die Abmahnanwälte gestürzt haben. Siehe dazu Details im Text Datenschutzkonforme Website und Angebote unter der Zwischenüberschrift Web-Hosting und Analysetools.

Wozu dient das Ganze?

Die Grundprinzipien, die Artikel 5 DSGVO als generelle Normen festlegt, sind weitgehend selbsterklärend. Personenbezogene Daten dürfen ausschließlich verwendet werden, wenn

  • für die Einzelnen transparent ist, welche ihrer Daten wie und warum verarbeitet werden und sie im Zweifel ausdrücklich eingewilligt haben;
  • die Daten nur dafür verwendet werden, wofür sie erhoben werden. Der Zweck darf im Nachhinein nicht wesentlich verändert werden;
  • die personenbezogenen Daten so sparsam wie möglich genutzt werden und beispielsweise nicht auf Vorrat angelegt werden;
  • ein Schutz vor unbefugtem Zugriff auf die Daten besteht.

Diese Prinzipien sind auch nicht wirklich neu. Was aber systematisch gegenüber dem bisherigen nationalen Datenschutzrecht stärker betont wird, ist die Vorsorge zur Vermeidung von Fehlern (und entsprechend hohe Bußgelder wenn die der Grund für Datenpannen ist). Die DSGVO erinnert also noch mal nachdrücklicher an den existierenden Grundsatz des Datenschutzes: Jede Speicherung persönlicher Daten ist verboten, wenn es keinen guten Grund gibt, sie aufzubewahren.

Die grundsätzlichen Herausforderungen

Die Anforderungen in Sachen Datenschutz sind für die meisten Werkvertragsunternehmer und Dienstleisterinnen durchaus zu bewältigen und überschaubar. Es ist ja nicht so, dass seit dem 25. Mai 2018 jeder mit einem Bein im Knast steht, der kein eigenes Datenschutz-Konzept hat. – Wer aber mit personenbezogenen Daten hantiert, braucht ein Datenschutz-Konzept und gegebennenfalls eine Datenverarbeitungs-Dokumentation. Das gilt insbesondere für den Online-Handel, den Versand von Newslettern oder jene, die viele Adressdaten von Kunden bekommen. In solchen und ähnlichen Fällen ist es notwendig, Geschäftsprozesse in denen Daten erhoben und verarbeitet werden zu dokumentieren und auf mögliche Probleme abzuklopfen. Grundsätzlich gilt:

Daten(schutz)

  • Erlaubnis: Keine Speicherung von personenbezogenen Daten ohne ausdrückliche Erlaubnis oder gesetzliche Vorgabe.
  • Einwilligung: Jeder Kontakt und Kunde ist leicht verständlich über die Speicherung und insbensondere die Weitergabe seiner Daten zu informieren. Alle Einwilligungserklärungen, auch die in Verträgen, sind entsprechend zu erstellen, zu ergänzen oder anzupassen.
  • Datenschutzerklärung: Dieses zentrale Statement gehört zu jedem eigenen Webauftritt. Es muss von jeder einzelnen Seite per Klick erreichbar sein. Und da Website-Nutzer nicht ohne Zustimmung nachverfolgt werden dürfen, braucht es auch für jedes nicht anonyme Tracking eine ausdrückliche Zustimmung per Opt-in.
  • Dokumentation: Alle gespeicherten Personen haben das Recht, innerhalb eines Monats darüber informiert zu werden, welche Daten von ihnen warum verarbeitet werden. Das bedeutet, dass diese Informationen sinnvoll und schnell auffindbar abgelegt werden.
  • Verzeichnis der Verarbeitungsschritte: Erfolgt die regelmäßige Verarbeitung von personenbezogenen Daten oder werden sensible Daten erhoben, gelten besonders hohe Standards. Hier muss ein Verzeichnis der Verarbeitungsschritte selbt dann geführt werden, wenn man nur ein Kleinstunternehmen betreibt.
  • Aufbewahrung: Alle pesonenbezogenen Daten sind - egal ob analog oder digital gespeichert - gegen Zugriff gesichert aufzubewahren.
  • Löschen: Nicht mehr gebrauchte Daten sind ohne Aufforderung zu löschen und auf jeden Fall dann, wenn gespeichte Personen das verlangen. Eine Ausnahme bilden natürlich Daten, die noch für die Steuer oder wegen anderer gesetzlicher Vorschriften aufbewahrt werden müssen.
  • Weitergabe: Bei jeder Weiergabe von personenbezogenen Daten (der eigenen Kunden) ist ein Vertrag zur Auftragsdatenvereinbarung mit dem Empfänger solcher Daten fällig. Etwa beim Mailversand über einen Dienstleister. Datenschutzrechtlich bleibt dabei der Auftraggeber verantwortlich.
  • Auskunft: Betroffene, die danach fragen, müssen innerhalb von vier Wochen Auskunft darüber bekommen, welche Daten von ihnen gespeichert sind.
  • Portabilität: Ebenfalls innerhalb von vier Wochen müssen einer gespeicherten Person alle personenbezogenen Daten in einer auslesbaren Form (etwa) einer Excel-Tabelle übergeben werden, wenn sie diese weitergeben will. Externe Hintergrundinformationen zur neuen Datenportabilität gibt es hier.

Je nach Geschäftsmodell reicht die Spanne des Handlungsbedarfs daher auch für Solo-Selbstständige von "dringend" bis "Entwarnung". Grundsätzlich lohnt es sich – nicht zuletzt wegen der happigen Bußgelder – zu checken, ob etwas zu tun ist und sich klar zu machen, ob die Daten anderer Personen durch die eigenen Datenbanken und Websites rauschen - und wie deren Verarbeitung rechtskonform bleibt.

Wer verpflichtet ist Datenschutzbeauftragte zu bestellen oder es tun will, weil das Thema einfach zu komplex für den eigenen Geschäftsbetrieb ist, kann externe Beauftragte bestellen. Die Kosten dafür starten bei etwa 150 €/Monat, die Stundensätze liegen in ähnlicher Höhe. Wer mit personenbezogenen Daten hantiert und sich vom Thema Datenschutz heillos überfordert fühlt, für den ist diese Investion - zumindest für eine Übergangszeit - lohnend. Im Prinzip gilt beim Datenschutz das Gleiche wie bei der Steuer: Externe Beratung zu engagieren, um sich auf's eigentliche Geschäft zu konzentrieren ist keine Schande, sondern schlicht professionell.

Drei Themen, die oft keine sind

Medial war ein wenig die Frage in den Vordergrund getreten, wer einen Datenschutzbeauftragten benennen muss und welche Dokumentationspflichten nach der DSGVO neu entstehen. Das erste Problem stellt sich für Solo-Selbstständige und die meisten Kleinunternehmen nur mittelbar: Internen oder externe (auf jeden Fall aber qualifizierte) Datenschutzbeauftragte muss nur benennen, wer regelmäßig zehn oder mehr Menschen mit personenbezogenen Daten hantieren lässt. Ob mit oder ohne die Pflicht, eine beauftragte Person zu benennen, bleibt ihr juristisch verantwortlich für die korrekte Datenverarbeitung. Schließlich gelten die grundsätzlichen gesetzlichen Bestimmungen zum Datenschutz unabhängig von der Unternehmensgröße. Bei extrem sensiblen Daten kann es allerdings sein, dass ein Unternehmen auch mit weniger als zehn Personen eine Datenschutz-Beauftragte benennen muss. So geht die Konferenz der unabhängigen Datenschutzbehörden beispielsweise in einem Beschluss vom 26. April 2018 davon aus, dass manche Arztpraxen und andere Gesundheitsberufe unter die Bestellpflicht fallen könnten.

Das zweite gern diskutierte Thema, die umfassende Dokumentation nach Artikel 30 der Verordnung. Also das berüchtigte "Verzeichnis von Verarbeitungstätigkeiten" - das die meisten Selbstständigen ebenfalls nicht betrifft. Wer weniger als 250 Mitarbeiter beschäftig, muss nicht alle Geschäftsprozesse in denen Daten erfasst und bearbeitet werden umfassend dokumentieren - außer die Verarbeitung "birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien". Letztere sind in Artikel 9 der Verordnung geregelt, der hier beispielsweise politische und sexuelle Überzeugungen, Gewerkschaftsmitgliedschaft und ethnische Merkmale als Kategorien nennt. Aktuelle Hinweise und Muster zum Verzeichnis von Verarbeitungstätigkeiten haben die Datenschutzbehörden von Bund und Ländern Mitte Februar 2018 erstellt und veröffentlicht.

Wettbewerbsrechtlich müssen sich die meisten Solo-Selbstständige weniger Gedanken machen, solange sie die Basisanforderungen - etwa eine Datenschutzerklärung auf der Website - erfüllen: Das Datenschutzrecht ist erst einmal ein individuelles Persönlichkeitsschutzrecht. Jeder Rechtsverstoß kann aber auch wettbewerbsrechtliche Aspekte im Sinne des §3a UWG haben. Immer dann, wenn ein Wettbewerber oder Verbraucher (deren Verbände klagen dürfen), durch den Verstoß konkret benachteiligt wird, kann er fordern, die Störung des Geschäfts (oder der Verbraucherrechte) zu beseitigen. Ob das auch für DSGVO-Verstöße gilt, ist leidlich unklar, hier gibt es sehr unterschiedliche Meinungen in der Fachliteratur und unterschiedliche Urteile. Klar ist: Die Gefahr mit dem Wettbewerbsrecht in Konflikt zu geraten, ist besonders hoch, wenn die Kundendaten selbst die Ware sind. Wer solch sensible Geschäfte betreibt, braucht natürlich sowieso einen professionellen betrieblichen Datenschutz. Alle Betreiber "normaler" beruflicher Websites aber sollten beachten: Grundsätzliche Verstöße - etwa eine fehlende Datenschutzerklärung oder die fehlende Verschlüsselung von Kontaktformularen - können Mitbewerber leicht erkennen und versuchen dagegen vorzugehen. Dazu hat dann etwa das Landgericht Würzburg Mitte September 2018 entschieden Az: 11 O 1741/18, dass hier eine Unterlassungsklage gerechtfertigt ist. Gegenteiliger Meinung war gut einen Monat zuvor das Landgericht Bochum (Az: I-12 O 85/18). Details zu den Urteilen stehen unter Datenschutzkonforme Website. - Um die Lage zu klären ist also offensichtlich der Gesetzgeber gefragt. Die Regierung bereitet derzeit (Stand 31.10.18) einen Gesetzentwurf zur Beschränkung des Abmahnmissbrauchs vor.

Gefahren

Eine gewisse Verunsicherung insbesondere bei Kleinbetrieben ist berechtigt: Die juristische Lage ist im Detail noch nicht wirklich geklärt. Wie unsicher die rechtliche Lage für Laien wie Profis derzeit ist, zeigen auch die Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK). In jedem dieser Papiere, die eine Einführung in einzelne Themenkomplexe des neuen Datenschutzrechts enthalten, steht der Hinweis "Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses." Anders gesagt: Selbst die wichtigen deutschen Datenschützer äußern sich noch sehr vorsichtig und die Bundesbeauftragte für den Datenschutz hält sich mit eigenen Veröffentlichungen zurzeit zurück. Es ist also tatsächlich nicht leicht, den gesetzlichen Anforderungen nachzukommen – weder für Behörden, noch für Konzerne, noch für Solo-Selbständige.

Da das neue Datenschutzrecht nun angewandt werden muss, werden sicherlich Abmahnkanzleien versuchen, damit ihr Geschäft zu machen. Das wird insbesondere bei Webseiten der Fall sein. Des Weiteren ist es theoretisch möglich, dass Aufsichtsbehörden zur Überprüfung der Einhaltung des Datenschutzes Kontrollen durchführen. Allerdings nicht im hierbei priviligierten Medienbereich. Jedoch ist auch diese theoretische Möglichkeit kein Grund zur Panik: Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat bereits im Vorfeld der Neuregelung beschwichtigt: "Es muss sich keiner vorstellen, dass ab dem 25. Mai alle Aufsichtsbehörden nur noch ausschwärmen und alle aufsuchen, die die DSGVO nicht einhalten." (Quelle: ARD - Plusminus-Beitrag vom 23.5.18) Wohl auch, weil die Aufsichtsbehörden für den Datenschutz bislang personell gar nicht ausreichend ausgestattet sind, um ihrer Aufsichtspflicht nachzukommen. Zudem überprüfen sie normalerweise nicht aus eigenen Antrieb, ob das Datenschutzrecht umsetzt wurde. Allerdings reagieren sie auf Beschwerden von Betroffenen meist zeitnah.

Bei Klagen Betroffener gegen Datenschutzverstöße sind bei schwerwiegenden Verstößen für Konzerne - aber eben nur für die - Geldbußen in Höhe von bis zu vier Prozent des Jahresumsatzes möglich. Mit gewaltigen Strafen müssen Solo-Selbständige nicht rechnen.

Fazit: Da das neue Datenschutzrecht einige unbestimmte Rechtsbegriffe und widersprüchliche Bestimmungen enthält, sind die Einhaltung und Kontrolle sehr schwierig. Rechtlich liegt vieles noch in einer Grauzone und wir können davon auszugehen, dass viele konkrete Anforderungen des neuen Datenschutzrechtes erst in einigen Jahren vorliegen werden. Da die Regeln aber eher für Facebook, Google und Co. gedacht sind dürften sie letztlich und langfristig den Solo-Selbstständigen (als Bürger) mehr nutzen, als sie ihnen (als Unternehmen) schaden.

Was ist akut zu tun?

Zuerst einmal Ruhe bewahren. Wer sich bislang an die Vorgaben des alten Datenschutzrechtes gehalten hat, ist prinzipiell auf der sicheren Seite und muss sich – wenn noch nicht geschehen – nur noch um die wirklich neuen Vorgaben kümmern und zuerst offensichtliche Schwachstellen schließen. Also jene Regeln umsetzen, die definitiv schon feststehenden und die Gefahr bergen, dass Abmahner Verstöße ausnutzen.

Der erste Schritt ist, die eigene Webseite rechtssicher zu machen. Worum es da alles geht und gehen kann, steht im Text Datenschutzkonforme Website und Angebote. Zumindest die von außen sichtbaren Fehler – etwa eine fehlende Datenschutzerklärung – gehören umgehend ausgebügelt. Ob ihr beispielsweise tatsächlich schon (soweit überhaupt notwendig), einen Vertrag zur Auftragsdatenverarbeitung abgeschlossen habt und ob eure Dokumentation der Datenverarbeitungen in Ordnung ist, kann akut niemand sehen oder prüfen. Da kann also später noch dran gefeilt werden.

Das ist jetzt kein Aufruf zur Schlamperei: Es geht natürlich darum, den ganzen Geschäftsbereich zeitnah auf die Konformität mit der DSGVO zu überprüfen. Alle erkennbar notwendigen Angleichungen sind auch wirklich umzusetzen. Auch weil der Ärger und die Stafen größer werden, je länger die Leichen im Keller liegen. In größeren Firmen werden die betrieblichen Datenschutzbeauftragten die Firmeninhaber und die Mitarbeiter auf den aktuellen Rechtsstand bringen. Anders sieht es bei kleinem Firmen oder Selbstständigen aus, die müssen sich komplett selber darum kümmern – oder sich, wie schon beschrieben, externe Hilfe besorgen.

Vertiefende Informationen

Wer tiefer in das Thema einsteigen will oder muss, sollte sich frühzeitig informieren und im Zweifel auch externe Datenschützer bemühen, die für das eigene Unternehmen eine rechtssichere Datenschutz-Strategie entwickeln. Auch für kleinere Unternehmen geeignete Informationen finden sich (Stand: Mai 2018) unter folgenden Quellen:




2. Datenschutzkonforme Website und Angebote

Erfahrungsberichte, etwa vom Versuch eine WordPress-Seite DSGO-konform zu gestalten, gibt es zurzeit viele. Sie zeigen die Mühen der Ebene und bieten in der Regel viele Anregungen und Tipps - wenn man sich um alle Details selbst kümmern muss oder will. Solche Berichte beginnen oft mit einem Seufzer wie "Gleich vorweg: ich hasse es, diesen Artikel zu schreiben." Und daher Gleich vorweg: Wem das Folgende viel zu viel ist, wer seine Website ohnehin nicht geschäftlich nutzt, wer letztlich lediglich eine personalisierte E-Mail-Adresse oder einen Domain-Namen sichern will, kann sich viel Stress sparen: Die öffentliche Seite der Site (vorübergehend) vom Netz zu nehmen, ist auch ein realistischer Umgang mit dem Thema und ein effektiver Beitrag zur Datensparsamkeit.

Wird die eigene Website geschäftlich, also zur eigenen Darstellung und Kundenwerbung benutzt, ist es auch jenseits des Datenschutzthemas eine gute Idee, den Aufbau und die Betreuung Profis zu überlassen. Aber egal, ob selbst gestrickt oder vom Webdesigner betreut: Ihr müsst wissen, was auf der eigenen Seite passiert, weil ihr genau dafür verantwortlich seid und nach der DSGVO erklären müsst was dort mit personenbezogenen Daten passiert. - Auch deshalb kann es schlau sein, jetzt mal mit jemandem zu reden, der sich mit Webdesign auskennt und damit, was die einzelnen Programme, Module, Datenbanken und Plug-Ins eigentlich mit den Daten der Website-Besucher veranstalten. Ein Zeit-Artikel vom 18. Mai 2018 umreißt kurz die wichtigsten Schritte, auf die wir im Folgenden detaillierter eingehen: Datenschutzerklärung erstellen, Plugins prüfen, gegebenenfalls Auftragsdatenverarbeitungsvertrag schließen, (mindestens) bei Formularen eine Verschlüsselung aktivieren. Die entsprechenden Basis-Informationen verbreiten auch Webhoster (Beispiel: 1&1-Checkliste).

Die neuen Informationspflichten

Die Datenschutz-Grundverordnung bringt neue Anforderungen bei allen Webauftritten mit sich. Zu dem gehört erst einmal eine erweiterte Datenschutzerklärung, die per Mausklick von jeder einzelnen Webseite eines Internetauftrittes aus erreichbar sein muss. Es reicht, wenn auf jeder Webseite unten ein Link zu dieser Erklärung eingefügt wird. Damit sie von allen Lesenden verstanden wird, muss sie übersichtlich gestaltet und verständlich geschrieben sein.

Die Erklärung selber muss unter anderem darauf hinweisen, dass und welche personenbezogenen Daten erhoben werden. Also beispielsweise der Hinweis auf: Server-Logfiles, IP-Adressen, Datum und Dauer des Besuchs der Homepage, besuchte Seiten, Cookies, Google Analytics, Social-Media-Plug-Ins, Newsletteradressen, Daten aus Kontaktformularen, nicht anonyme Kommentar-/Bewertungsbereiche, geschützte Mitgliederbereiche etc. Für alle personenbezogenen Daten ist der Umgang mit ihnen zu beschreiben. Nochmal: Es geht nicht um jede Funktion der Seite, es geht um alle Bereich der Website, auf denen personenbezogene Daten verarbeitet werden.

Die Datenschutzerklärung bezieht sich auf alle Datenverarbeitungsvorgänge, die auf der Webseite stattfinden. Sie braucht aber kein juristisches oder technisches Kauderwelsch enthalten. Im Gegenteil: Sie muss allgemein verständlich, übersichtlich und ansprechend gestaltet sein. Alle darin enthaltenen Links müssen stimmen und nicht ins Leere führen.

Informationen auf beruflich genutzten Seiten

Wer geschäftliche Webseiten wie Online-Shops oder Online-Beratungen betreibt, hat umfassende Informationspflichten gegenüber den Nutzern. In diesem Fall muss die Datenschutzerklärung thematisieren und beantworten:

  • welche Art von Daten erhoben wird,
  • den Umfang der Daten,
  • den Zweck der Erhebung,
  • die konkrete Verarbeitung oder Nutzung der Daten,
  • die Rechtsgrundlage der Verarbeitung,
  • die Speicherdauer,
  • das Recht auf Auskunft, Berichtigung oder Löschung,
  • etwaige Widerrufsrechte,
  • Namen und die Kontaktdaten eines in der Firma für Datenschutz Verantwortlichen,
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten.

Sich um diese Pflichten zu kümmern, ist sehr sinnvoll, weil nicht nur (potenzielle) Kunden sondern auch Mitbewerber darauf einen Anspruch haben könnten. Das ist durchaus umstritten, aber ein Teil der Literatur und erste Urteile besagen: Auch Mitbewerber können wettbewerbsrechtlich gegen Seiten vorgehen, etwa wenn die keine oder nur eine unvollständige Datenschutzerklärungen enthalten. So hat etwa das Landgericht Würzburg Mitte September 2018 entschieden Az: 11 O 1741/18, dass Mitbewerbern bei Verstößen ein Abmahnanspruch nach § 8 Abs. 1 UWG zusteht. In diesem Fall haben sich zwei Rechtsanwälte beharkt, dem Unterlegenen wurde ohne weitere Begründung, warum das Wettbewerbsrecht hier greift, gerichtlich "für jeden Fall der Zuwiderhandlung die Verhängung eines Ordnungsgeldes von bis zu 250.000,00 €, ersatzweise Ordnungshaft bis zu 2 Jahren, sowie die Verhängung einer Ordnungshaft von bis zu 6 Monaten angedroht". Entgegengesetzt entschied Anfang August das Landgericht Bochum (Az: I-12 O 85/18): Nach dessen Ansicht steht einem Mitbewerber kein Unterlassungsanspruch zu, "weil die Datenschutzgrundverordnung in den Artikeln 77 bis 84 eine die Ansprüche von Mitbewerbern ausschließende, abschließende Regelung enthält". - Einstweilen bleibt also strittig, ob die Konkurrenz DSGVO-Verstöße abmahnen darf, oder dies ein Privileg von Behörden und Verbänden ist.

Muster-Datenschutzerklärungen

Es gibt verschiedene Muster und Vorlagen, die in der Regel auch deren größten Haken hinweisen: Die Datenschutzerklärung muss immer auf die eigenen Gegebenheiten angepasst werden. Das bedeutet konkret, dass der Umgang mit den Zugriffsdaten, Cookies etc. vor dem Erstellen der Datenschutzerklärung eigentlich mit dem Websitebetreiber oder Seitenprovider zu klären ist. Wir wissen, dass Viele jetzt auf die Schnelle irgendeine mehr oder weniger passende Erklärung zusammenschustern, um ein Abmahnrisiko zu mindern. Wer das macht, sollte sich aber wirklich zügig daranmachen, das Problem zu heilen und eine korrekte Erklärung auf die Seite zu zaubern.

Eine Vorlage – insbesondere eine mit Erläuterungen – ist auf jeden Fall geeignet, sich mit dem Thema Datenschutz zu beschäftigen. Ein relativ kurzes, verständliches Muster gibt es beispielsweise bei datenschutz.org, ein ausführlicheres Muster bei der Uni Münster. Wiederum eine Basic-Erklärung s gibt's als Standard-Erklärung von Lexware. - Wer auf die Schnelle etwas basteln will, kann es auch mit Internet-Tools versuchen, beispielsweise mit dem datenschutz-generator.de versuchen. Dieses Tool ist für Kleinunternehmen und Privatpersonen kostenlos.) Nochmal: Es bleibt eure Pflicht dafür so sorgen, dass die Erklärung auch auf die Realität der eigenen Seite passt und die abbildet. Es reicht nicht zu wissen, was auf der Website nicht passiert. Wer kein Analysetool wie Google Analytics einsetzt kann entsprechende Texte natürlich einfach aus einem Muster streichen. Aber bei Lücken in den oben genannten Informationspflichten gibt es keine Möglichkeit die eigenen Pflichten ganz oder teilweise durch (vermeintliche) Willenserklärungen der Nutzer auszuschließen.

Verschlüsselung von Kontakt- und Bestelldaten

Auf einer Website sind Kontakt- und Bestelldaten die dort eingegeben werden besonders gefährdete personenbezogene Daten. Um sie zu schützen, ist eine SSL/TSL-Verschlüsselung (siehe Wikipedia-Erläuterungen) zumindest für die Kontakt- und Bestelldatenformulare erforderlich. Diese externe Hintergrundinformation erläutert das Thema.

Web-Hosting und Analysetools

Für den eigenen Webauftritt werden zumeist die Angebote von externen Dienstleister genutzt, die sowohl den Webauftritt technisch betreuen wie auch die Speicherkapazität zur Verfügung stellen. In einem solchen Fall liegt eine Auftragsverarbeitung vor und es muss beim Verarbeiten personenbezogener Daten unbedingt ein entsprechender Vertrag geschlossen werden. Größere Provider haben hier eigene Muster, die lediglich unterschrieben werden müssen. Allerdings heißt das nicht, dass nun der Provider die Verantwortung für alle Datenpannen übernimmt: Datenschutzrechtlich bleibt der Auftraggeber der Verarbeitung verantwortlich. - Der Frage "Brauche ich einen Vertrag über Auftragsverarbeitung?" widmet die Seite Onlinehändler-News.

Auch die Weitergabe von Nutzungsdaten bei der Verwendung von Google Analytics sehen Datenschützer als eine Auftraggeber- und Auftragnehmerbeziehung beim Datentransfer. Auf dieses Thema stürzen sich auch Abmahnanwälte - siehe bspw. hier - und es macht absolut Sinn, Analytics nicht mehr zu verwenden, wenn es nicht gebraucht wird oder aber mit Google einen Vertrag zur Auftragsverarbeitung abzuschließen sowie ein paar Anpassungen bei Analytics und bei der eigenen Datenschutzerklärung vorzunehmen. - Eine leicht lesbare umfassende Anleitung hierzu findet sich bei datenschutzbeauftragter-info.de. Eine weitere gute Quelle zum gleichen Thema ist datenschutz.org.

Erste Informationen, wie wettbewerbsrechtliche Abmahnungen eingeschätzt werden können finden sich hier bei WBS-law und hier bei e-recht24 und natürlich auch bei vielen anderen auf IT-Recht spezialisierten Kanzleien. Letztlich wird man - solange die Gemengelage nicht ansatzweise geklärt ist - zur Abwehrung von Abmahnungen auch anwaltliche Hilfe brauchen.

Blogs und Newsletter

Ein Blog benötigt wie jede Website eine Datenschutzerklärung, die von jeder Webseite des Blogs direkt erreichbar ist. Ein Newsletter muss datenschutzrechtlich drei Dinge erfüllen:

  • Ein Newsletter darf nur verschickt werden, wenn der Empfänger ausdrücklich zu gestimmt hat. Die Mehrheitsmeinung zu den bereits vor der DSGVO erfassten Newsletter-Abos lautet: Die dürfen fortgeführt werden, wenn die Erhebung datenschutzrechtlich korrekt erfolgte und die damalige Zustimmung nachweisbar ist.
  • Eine Online-Anmeldung muss bei neuen Abonnements auf jeden Fall bestätigt werden – etwa durch eine Mail an den Besteller, in der dieser die Anmeldung ausdrücklich bestätigen muss.
  • Empfänger müssen sich jederzeit und einfach vom Newsletter abmelden können.

Weitere Infomationen

Zusätzliche, teilweise ausführliche und abstraktere Beschreibungen der datenschutzrechtlichen Anforderungen bei eigenen Website, Blogs, Newsletter usw. finden sich unter folgenden Links:




3. Sonderregeln für Medien, Probleme bei Fotos

Was Journalistinnen, Blogger und andere Publizierende meist noch interessiert, ist der Umgang mit persönlichen Daten und Bildern bei eigenen Veröffentlichungen. Selbstverständlich sollte schon heute sein, Unterlagen mit sensiblen persönlichen Daten in verschlossenen Schränken oder Räumen, verschlüsselt und/oder passwortgesichert aufzubewahren. Spekulationen über umfassende Beschränkungen der Arbeit durch den Datenschutz sind zurzeit beliebt, sicher ist aber lediglich: Es hat sich die Zuständigkeit für spezielle presserechtliche Regeln geändert. Mit dem neuen Bundesdatenschutzgesetz (BDSG) sind die Bundesländer für die datenschutzrechtlichen Details und Ausnahmen für die Medien verantwortlich geworden. (Die wurden bisher durch §41 BDSG (alt) geregelt, der den Datenschutz im Rahmen der Publizistik eingeschränkt hatte.)
Der Grundkonflikt den nun die Länder gesetzlich geregelt haben, wird durch Art. 85 DSGVO umrissen und durch das neue Datenschutzrecht oder neue gesetzgeberische Zuständigkeiten nicht automatisch verschärft: Es ging in der Vergangenheit und geht in Zukunft schlicht darum, abzuwägen, ob bei Berichten und anderen Rechercheunterlagen das Persönlichkeitsinteresse Einzelner oder die Informationsfreiheit überwiegt. Für Gesetzgeber wie Medien(-schaffende) und im Einzelfall die Gerichte ist das kein wirklich neues Thema oder sollte es zumindest nicht sein. (Wer in dieses Thema sehr tief einsteigen will – was nicht zwingend notwendig ist – findet Details in einer gemeinsamen Stellungnahme der Presseverbände, die diese an die Landesparlamente verschickt hatte.)

Die Lage seit Inkrafttreten der DSGVO

Die speziellen Rechte für die Medien werden seit dem 25. Mai 2018 nicht mehr im Bundesrecht geregelt - sie müssen in den Rundfunk-Staatsverträgen sowie den Landesmedien- und Landespressegesetzen verankert werden. Die durch die DSGVO veränderte Rechtslage beim Datenschutz haben auch viele Länder zu spät begriffen. Während sich bei einigen Rundfunk-Staatsverträgen schon frühzeitig etwas getan hatte, etwa in Bremen und NRW, sind die Bundesländer mit ihren neuen Landesmedien- und Landespressegesetzen erst auf den letzten Drücker oder zu spät vorangekommen. Mit der Wirksamkeit der DSGVO waren erst wenige entsprechend angepasste Landesmedien- und Landespressegesetz verabschiedet. Inzwischen gibt es sie in fast allen Ländern, aber die Debatte konnte bei den Hau-Ruck-Verfahren nicht ausführlich ausfallen. So bleiben einstweilen viele Fragen insbesondere im Fotorecht sowie beim Medienprivileg für selbstständige Medienschaffende offen.

Neben den Landesmediengesetzen müssen - so sehen es die vorsichtig pessimistischen Kommentare - sollten daher gegebenenfalls noch andere Gesetze an die veränderte Lage angeglichen werden. Insbesondere die Ausnahmen im sogenannten Kunsturhebergesetz aus dem Jahr 1907 (KunstUrhG), das auch regelt, welche Personenfotos veröffentlicht werden dürfen, sollten demnach gesetzlich Vorrang vor dem Datenschutz erhalten. - Es bleibt abzuwarten, ob und wie die Diskussionen insbesondere auch bei den Regeln jenseits der Presse-Fotografie ihren Niederschlag in Gesetzen finden werden. Immerhin hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder selbst die verfassungsrechtlich gebotenen Medienprivilegien - dazu gleich mehr - kritisch gesehen. In ihrer Entschließung "Umsetzung der DSGVO im Medienrecht" vom November 2017 hieß es unter anderem, die Grundsätze des Datenschutzes dürften für den Journalismus nicht "in weitem Umfang ausgeschlossen werden. Eine Regelung kann keinesfalls als notwendig ... angesehen werden, wenn sie zum Zwecke der Abwägung mit der Meinungs- und Informationsfreiheit die Transparenzrechte und Interventionsmöglichkeiten für betroffene Personen sowie Verfahrensgarantien über eine unabhängige Aufsicht missachtet."

Medienrecht und Medienprivileg

Von der Recherche bis zur Veröffentlichung ist eine journalistische Verarbeitung personenbezogener Daten heute erlaubt, jedoch keine andere Verarbeitung. Und natürlich muss auch bei diesen Daten - wie bisher schon - ein technisch-organisatorischer Schutz vorhanden sein, der die personenbezogenen Daten vor fremden Zugriff sichert. Und klar ist ebenfalls: Wegen der besonderen gesellschaftlichen Bedeutung der Medien dürfen Aufsichtsbehörden für den Datenschutz Redaktionen und eindeutig journalistisch Tätige nicht überwachen. - Im Detail gibt es aber auch hier noch Klärungs- und Anpassungsbedarf.

Bis Mitte Juni 2018 haben nun fast alle Bundesländer ihre Landespressegesetze verabschiedet und dort auch ein grundsätzliches Presseprivileg verankert. Für selbstständige Journalisten, Blogger und andere Medienschaffende scheint die Situation jedoch in vielen Ländern unbefriedigend. Sie sind nicht in allen Landesgesetzen ausdrücklich erwähnt und für sie gilt das Presseprivileg - dann, wenn sie keinen Auftrag einer Redaktion haben - offensichtlich nicht in allen Ländern automatisch. Nach Recherchen des ARD-Medienmagazins ZAPP, Sendung vom 30.5.18 (ab 4:30 min.) bei den Länder-Gesetzgebern soll das in NRW, Hessen, Thüringen, Saarland, Bayern, Hamburg und Brandenburg so sein, eingeschränkt durch eine Einzelfallprüfung soll es gelten in Bremen, Schleswig-Holstein, Mecklenburg-Vorpommern, Sachsen-Anhalt, Sachsen, Rheinland-Pfalz und Baden-Württemberg und (ohne konkreten Redaktions-Auftrag) gar nicht in Niedersachsen. Offen ist die Lage noch in Berlin. Das Land hat bislang (Stand 10.6.18) noch kein neues Medien- und Presserecht verabschiedet, holt das aber zeitnah nach.

Beispiele für geänderte Mediengesetze

Als erstes Bundeland hat Nordrhein-Westfalen seine Mediengesetze an die DSGVO angepasst, darin bleibt es insgesamt bei einer Sonderstellung und das Presseprivileg für Print-und Online-Redaktionen im Wesentlichen unverändert. Die Staatskanzlei NRW, Referat Medien- und Presserecht, Rundfunktechnik schreibt uns dazu zusammenfassend:

  • "Die Anpassung des Presserechts an die Vorgaben des europäischen Datenschutzrechts erfolgt durch eine Änderung von § 12 LPresseG (Artikel 4 des Entwurfs eines 16. Rundfunkänderungsgesetzes).
  • Danach wird das sog. Presseprivileg an die neue europäische Datenschutzgrundverordnung (DSGVO) angepasst:
    Die Presse wird mit dem neuen § 12 PresseG bei ihrer journalistischen Tätigkeit fast vollständig von den Vorgaben der DSGVO ausgenommen. Das ist keine neue Rechtslage, sondern Presseunternehmen werden seit Jahren bei ihrer journalistischen Tätigkeit in datenschutzrechtlicher Hinsicht privilegiert.
    Presseunternehmen müssen bei der journalistischen Tätigkeit lediglich das Datengeheimnis beachten und ihre personenbezogenen Daten durch geeignete und wirksame technische und organisatorische Maßnahmen schützen.
    Eine datenschutzrechtliche Aufsicht findet nicht statt. Hintergrund ist, dass sich die meisten Presseunternehmen dem Presserat und dem Pressekodex unterworfen haben.
  • Das Gesetz ist am 25.04.2018 in 2. Lesung im LT beschlossen worden, es soll am 25.05.2018 in Kraft treten."

Nachzulesen sind die konkreten landesrechtlichen Änderungen in NRW im Dokument Beschlussempfehlung und Bericht des Ausschusses für Kultur und Medien. Sie betreffen die Gesetze: Rundfunkänderungsstaatsvertrag, WDR-Gesetz, Landesmediengesetz NRW, Landespressegesetz NRW, Telemedienzuständigkeitsgesetz. Verabschiedet und damit Gesetz wurde der Text in der rechten Spalte des Dokuments. Das neue Landespressegesetz NRW mit der Anpassung an die DSGVO im §12 - Datenschutz ist beim Innenministerium veröffentlich.

In Rheinland-Pfalz finden sich entsprechende Regelungen in der Neufassung ebenfalls im § 12 LMG (Landesmediengesetz). Der legt unter anderem auch den nicht unumstrittenen Bezug des Rechts zu den Regularien eines Vereins fest: "Kapitel VIII der Verordnung (EU) 2016/679 findet keine Anwendung, soweit die in Satz 1 genannten Stellen der Selbstregulierung durch den Pressekodex und der Beschwerdeordnung des Deutschen Presserates unterliegen."

Fazit: Der Föderalismus macht das Thema Datenschutzregeln für Medien(schaffende) nicht leichter. - Eine Synopse des EMR (Institut für Europäisches Medienrecht) vom April 2018 führt die zu diesem Zeitpunkt geplanten landesrechtlichen Regeln (bedingt lesefreundlich) auf.


Sonderfall Fotografie

Derzeit am unübersichtlichsten sind die datenschutzrechtlichen Regelungen in der Fotografie. Maximal kleine Anhaltspunkte für mögliche Klarstellungen oder Interpretationen gibt das Bundesministerium des Innern (BMI) mit seiner BMI-FAQ zur Datenschutz-Grundverordnung. Dort geht das Ministerium in der Antwort auf die Frage Was ändert sich mit der Datenschutzgrundverordnung für Fotografen? davon aus, dass sich die geltenden Regeln nicht verändern und Betroffene weiterhin zwischen Persönlichkeitsschutz und anderen Interessen abwägen müssen. – Juristisch ist das richtig, eine echte Hilfestellung allerdings bietet diese Aussage nicht gerade.

Klar war Anfang Juni 2018 erst einmal nur, dass Änderungen am Kunsturhebergesetzes (KUG) wohl nicht geplant sind und Optimisten davon ausgingen, dass das Presseprivileg für Print-und Online-Redaktionen – und damit auch der Umgang mit journalistischen Bildveröffentlichungen – im Kern unverändert bleibt. Die Annahme war und ist nicht unberechtigt, denn: Dem Medien- /Presseprivileg unterliegen auch Fotos zu journalistischen Zwecken. Für sie gilt wie bislang, dass Deliktsrecht, Strafrecht, Presserecht, Rundfunkrecht und Kunsturheberrecht (KUG) gegeneinander abgewogen werden müssen, was im Zweifel Gerichte erledigen. Die im Frühjahr grassierende Panik, das Ende der Personenfotografie sei nahe, hat inzwischen das Oberlandesgericht Köln dämpfen können. In einem Beschluss vom 18. Juni 2018 (Az.: 15 W 27/18) hat es diesen Grundsatz und die Fortgeltung des KUG betont. Diesem ersten Urteil dürften weitere im gleichen Tenor folgen. Zurzeit gehen wir davon aus, dass für die Bildberichterstattung (weiterhin) gilt: Die Abwägungsgrundsätze sowie Rechte wie der Informantenschutz bleiben erhalten – und die Aufsichtsbehörden haben keine Kontrollbefugnisse.

Das Problem ist, die Verunsicherung jenseits der klassischen Medien-Fotografie: Dient das Fotografieren nicht der Bildberichterstattung, also journalistischen Zwecken, wird das Datenschutzrecht zusätzlich angewendet. Und hier fehlt es derzeit an verbindlichen Klar- und Hilfestellungen zur vernünftigen Interessenabwägung zwischen Persönlichkeitsrechten und beruflichen Interessen der Fotoschaffenden, die nicht-journalistischer Fotos veröffentlichen. Im Zweifel gilt: Die Themen Persönlichkeitsrechte und Model-Release-Verträge sind ernster zu nehmen als bisher üblich und gewohnt. Daher kommt die Autorin der medienpolitischen ver.di-Zeitschrift "M" auch zu dem Schluss "Fast alles wie gehabt". Das Problem ist also vor allem, dass die Persönlichkeitsrechte jetzt wohl auch in der Praxis eine größere Rolle spielen müssen - aber ist das jetzt wirklich ein Problem?

Wie komplex datenschutzkonforme Fotografie trotzdem ist, sein kann und im eigenen Business werden könnte, zeigen verschiedene Websites, die sich speziell mit dem Fotorecht auseinandersetzen.

  • Auf das Urteil des OLG Köln zum Fortgelten des KUG gehen zwei Beiträge von heise-online und einen Tick juristischer von t3n verständlich ein.
  • Die Artikel auf der Website des Anwalts David Seiler widmen sich in Teil 1, Teil 2 und Teil-3 den Grundlagen und offenen Fragen, konkrete Vorschläge für einen Maßnahmenplan zur Umsetzung der DSGVO im Fotobusiness folgen in Teil 4 und ein vorläufiges Update der Materie vom 12. Mai 2018 folgt im Text DSGVO und Fotografie – ein Update.
  • Auch die Kanzlei WBS hat eine aktuelle rechtliche Einschätzung - unter anderem zum OLG-Köln-Urteil zum KUG - zu bieten und setzt sich dabei auch mit einer Stellungnahme des BMI vom Mai 2018 auseinander, aus der die Anwälte folgern es sei nun "sehr wahrscheinlich, dass die Anfertigung und auch die Speicherung und Vermarktung einer Fotografie zukünftig der DSGVO unterfallen wird, wenn man nicht aufgrund des Medienprivilegs davon ausgenommen ist – mit allen daraus folgenden Konsequenzen".
  • Im 'fotomagazin' erläutert ein Medienrechts-Anwalt in seiner fotorechtlichen Einordnung wo Einwilligungen (bereits vor der Aufnahme) notwendig sind, wie diese aussehen sollten und wo sie entfallen können.
  • Eine umfangreichere Checkliste Foto-Einwilligungen, die für den Fall, dass eine Einverständniserklärung notwendig ist, gedacht ist, hat ein Bildrechts-Dozent (mit Hintergrundtext versehen) auf seiner Seite verlinkt.
Alle diese Texte machen klar: Eine (juristische) Fortsetzung zum Thema ist zu erwarten und einstweilen gibt es noch keine Rechtsklarheit jenseits der Fotografie mit Medienprivileg.


  Link zu dieser Seite.Seite drucken