Die DSGVO ist nun ca. 2 Wochen anzuwenden und die Ereignisse in den letzten Tagen vor der Einführung und kurz danach haben sich überschlagen. Wir möchten die einzelnen Geschehnisse hier kurz zusammenfassen und Ihnen damit hoffentlich etwas Klarheit in Bezug auf die DSGVO liefern.
Thema 1: Panik im Land
Die DSGVO hat für einige Verwirrungen und für Panik bei Unternehmen und Vereinen gesorgt. In den Medien haben sich die Meldungen von geschlossenen Blogs und Webseiten, sowie zurücktretenden Vereinsvorständen überschlagen. Bereits früh haben wie versucht Ihnen diese Panik zu nehmen. Auch derzeit sehen wir weiterhin keinen Grund für überhastete Reaktionen. Achten Sie auf Ihre Außenwirkung und arbeiten Sie mit uns Stück für Stück an der Umsetzung der neuen Regeln, dann wird das „Monster“ DSGVO an Bisskraft verlieren. Übrigens hat die DSGVO auch vor den Abgeordneten des Bundestages[1] nicht halt gemacht.
Thema 2: Google Analytics (zur Wiederholung)
Während bisher Google Analytics in anonymisierter Form durchaus angewendet werden konnte und auch die generelle Nutzung mit Möglichkeit zum Widerspruch (OptOut) durch den Betroffenen war unstrittig. Die Konferenz der Landesdatenschutzbeauftragten und die Bundesdatenschutzbeauftragte haben jedoch ein Positionspapier[2] herausgegeben, worin eine Zulässigkeit von Google Analytics nur mit expliziter Einwilligung des Betroffenen, also per OptIn, als gegeben angesehen wird. Bereits kurz nach Veröffentlichung dieser Meinung haben wir darauf aktiv hingewiesen. Diese Position hat erst einmal keine rechtliche Bindung, trotzdem werden die Aufsichtsbehörden diese Position im Streitfall wohl vertreten wollen.
Thema 3: Fotografieren erlaubt! (zur Wiederholung)
Im April ist ein Streit darüber entbrannt, ob die Regelungen des KUG im Bereich der Personenfotografie auch unter der DSGVO weiterhin Anwendung finden, oder ob die DSGVO als EU-Recht hier die Regelungen aus dem nationalen Recht verdrängen. Diese Unsicherheit ist dadurch entstanden, dass der Gesetzgeber bisher an dieser Stelle keinen Gebrauch der Öffnungsklausel nach Art. 85 Abs. 2 DSGVO macht. Auch wenn die Situation nicht endgültig geklärt ist und ein gewisses Restrisiko wohl nicht auszuschließen ist, möchten wir zur Erinnerung nochmals auf die Veröffentlichung[3] des Bundesministeriums des Innern hinweisen, worin das KUG weiterhin als anwendbar betrachtet wird.
Thema 4: Abmahnungen – Schreckgespenst oder Realität?
Entgegen ursprünglicher Vermutungen ist die große Welle an Abmahnungen bisher ausgeblieben. Trotzdem hat es bereits einzelne Abmahnungen gegeben[4]. Diese Abmahnungen beziehen sich auf falsche oder unzureichende Datenschutzerklärungen auf der Webseite. Wie sollten Sie sich verhalten? Grundsätzlich kann es sinnvoll sein, dass die Situation rechtlich durch einen Anwalt geprüft wird. Unseren bisherigen Erkenntnissen nach sollte man der Abmahnung widersprechen und keine Unterlassungserklärung abgeben oder Gebühr zahlen. Auf Grund der teils noch unklaren Rechtslage ist eine Abmahnung für den Abmahnenden wahrscheinlich vor Gericht ebenso riskant, wie für den Abgemahnten – es ist daher zweifelhaft, ob der Abmahnende dieses Risiko eingehen will.
Thema 5: Facebook [5] [6] – nach dem Urteil des EuGH
Direkt nachdem das EuGH sein Urteil zur Verantwortlichkeit der Unternehmen für Facebook-Fanpages veröffentlicht hat, wurden wir bereits gefragt, was nun mit den eigenen Facebook-Seiten passieren solle. Unsere Aussage war: Ruhe bewahren.
Erst einmal liegt es nun in der Verantwortung des BVerwG das Urteil des EuGH in der eigenen Urteilsfindung zu berücksichtigen. Wir sind gespannt, zu welchem Ergebnis das Gericht im Detail kommen wird. Zudem muss berücksichtigt werden, dass das Verfahren zu einer Zeit begonnen hat, als die Aufsichtsbehörden der Länder noch keine Durchgriffsmöglichkeit auf Facebook in Irland hatte. Dank der DSGVO hat sich dies geändert, so dass die Aufsichtsbehörden nun auch direkt an Facebook herantreten können. Daher bleibt es abzuwarten, ob die Aufsichtsbehörden überhaupt noch Interesse daran haben, die Betreiber der Fanpages zu belangen. Ein entsprechendes Vorgehen gegen die Betreiber könnte hier sogar möglicherweise unverhältnismäßig sein.
Bei dem Verfahren und dem getroffenen Urteil wird auch gar nicht der eigentliche Betrieb der Fanpages in Frage gestellt, es geht vorrangig um den intransparenten Umgang mit personenbezogenen Daten durch Facebook in Verbindung mit der Besucherauswertung „Insights“.
Bereits 2016 hat die Datenschutzaufsicht Rheinland-Pfalz eine Muster-Datenschutzerklärung[7] für Fanpages herausgegeben. Dieser Vordruck könnte in der nächsten Zeit verstärkt Beachtung finden, zeigt die Verwendung der Vorlage der Aufsichtsbehörde doch, dass man das Thema ernst nimmt und der Sache Beachtung schenkt. Und letztlich ist es doch das, was die Aufsichtsbehörde von uns verlangt: Einen sorgsamen, verantwortungsvollen und transparenten Umgang mit personenbezogenen Daten.
Wie bindet man diese Erklärung in die eigene Fanpage ein? Stellen Sie diese Information auf Ihrer Webseite bereit, ggf. als Teil der regulären Datenschutzerklärung. Rufen Sie Ihre Fanpage auf und navigieren Links zum Unterpunkt „Info“. Klicken Sie im Hauptfenster auf „Bearbeiten Datenrichtlinie“ und fügen im Eingabefeld die URL der bereitgestellten Datenschutzerklärung ein.
Fazit – unsere Meinung:
Mit Sicherheit hätte der Gesetzgeber gut daran getan, wenn einige Punkte zur DSGVO bereits im Vorfeld geklärt und den Unternehmen dadurch einige unklare Situationen erspart geblieben wären. Am Ende führen solche Unsicherheiten zur Unzufriedenheit bei denen, die die Regeln umsetzen müssen und zu erhöhtem Zeit- und Mittelaufwand, wenn eine bereits eingeführte Regelung im Unternehmen auf Grund eines neuen Urteils nochmals überarbeitet werden muss.
Trotzdem wird es wohl noch einige Zeit dauern, bis in das Thema Datenschutz etwas Ruhe einkehren wird, derzeit sind einfach noch zu viele Fragen ungeklärt. Wir bleiben für Sie am Ball und werden Sie auch weiterhin in regelmäßiger Form über Neuerungen informieren. Zudem stehen wir Ihnen auch weiterhin gerne mit Rat und Tat zur Seite.
Freundliche Grüße
Ihre Datenschutzbeauftragten der CompliPro GmbH
DSGVO – Update Juni 2018
