Das DSGVO-Chaos ist angerichtet
Mit der Datenschutzgrundverordnung (DSGVO) wollte die EU ihre Bürger vor Datenmissbrauch schützen und bei allen Datensammlern sicherstellen, dass jeder Betroffene seine Zustimmung geben muss. In Deutschland müssen wohl die Gerichte ran, in Österreich überwiegt die Straffreiheit.
Die bekanntesten Neuerungen der DSGVO betreffen veränderte Transparenzpflichten, die vor allem dann greifen, wenn es um die Speicherung und Verarbeitung personenbezogener Daten geht. Dazu gehören Name, Adresse, Gesundheitsdaten und Konto- und Kreditkartennummern. Hier müssen auch Online-Shops ihre Webformulare für die Eingabe persönlicher Daten anpassen. Die Übermittlung der Daten darf nur noch verschlüsselt vorgenommen werden. Zudem dürfen nur solche Daten angefordert werden, die für den jeweiligen Vorgang unmittelbar benötigt werden. Hier greift die Forderung nach der Datenminimierung. Zu den Auflagen der DSGVO zählt auch, dass künftig in Betrieben ab zehn Mitarbeitern ein interner Datenschutzbeauftragter bestellt werden muss.
Dass für den Versand von Werbe-Mails die ausdrückliche Zustimmung der Adressaten vor dem Versand zwingend erforderlich ist, hat als gravierende Nebenwirkung, dass künftig auch Pressemeldungen nur noch an E-Mail-Adressen versandt werden dürfen, die dem Versand ausdrücklich zugestimmt haben. Bislang haben in Deutschland jedoch nur sehr wenige Unternehmen ihre Mailing-Listen für den Versand von Pressemitteilungen an die neuen Vorschriften angepasst. Das wird künftig für umfangreiche Rechtsverstöße sorgen oder für ein Versiegen der Pressemeldungen, weil die Unternehmen erst ganz kurzfristig feststellen werden, dass sie die Umstellungspflicht übersehen haben.
Die DSGVO und die Online-Veröffentlichung von Personenbildern
Als man festgestellt hatte, dass es sich bei digitalen Fotos letztlich auch um persönliche Daten handelt und diese somit auch der DSGVO unterliegen werden, wenn sie kommerziell veröffentlicht werden und es sich bei den Veröffentlichenden Einheiten nicht um Presse handelt. Als kommerzielle Veröffentlichungen zählen in der Regel auch die Publizierung von Bildern durch Privatpersonen auf kommerziellen Seiten wie Facebook. Hier galt bisher das 1907 eingeführte Kunsturhebergesetz (KUG), das für eine Güterabwägung zwischen dem Veröffentlichungsinteresse des Bildschaffenden und den Persönlichkeitsrechten der Abgebildeten sorgten.
Ab dem 25. Mai 2018 gilt jedoch jede digitale Anfertigung eines Fotos, auf welchem Personen erkennbar abgebildet sind, als Datenerhebung. Ohne Einwilligung dürfen personenbezogene Fotos künftig nur noch von der sogenannten institutionalisierten Presse sowie den für sie arbeitenden Journalisten und Unternehmen angefertigt und gespeichert werden. Ein weiteres Problem ergibt sich aus den EXIF-Daten, die mit den digitalen Bildern abgespeichert werden. Diese lassen bei Bedarf einen Rückschluss darauf zu, wo sich die abgebildete Person zu einem bestimmten Zeitpunkt befand. Dazu benötigt man künftig eine Erlaubnis oder die Einwilligung der abgebildeten Person. Was bislang noch völlig unklar ist, ist das Verhalten der Abgebildeten und allfällige Honorarforderungen.
Wer Bilder digital veröffentlicht, auf welchen Personen abgebildet sind, muss ab dem 25. Mai 2018, wenn er nicht der Presse zuzuordnen ist, von jeder Person auf dem Bild die Zustimmung für die Veröffentlichung einholen. Für die Street Photographie macht dies die digitale Veröffentlichung der Bilder äußerst schwierig. Wer auf der sicheren Seite bleiben will, wird seine Straßenaufnahmen, sofern sie nicht völlig menschenleer sind, künftig nur noch als Postkarte oder Fotobuch veröffentlichen. Ob die DSGVO auch für Bilder gilt, die vor dem 25. Mai 2018 online gestellt wurden, scheint derzeit noch nicht geklärt zu sein und dürfte ein erhebliches Prozessrisiko bergen.
Gilt die DSGVO auch für Fahndungsfotos?
Fein heraus sind die Strafverfolgungsbehörden. Auf Anfrage von Telepolis teilte das Ministerium für Inneres, Digitalisierung und Migration Baden-Württemberg mit, dass die DSGVO für Fahndungsfotos keine Anwendung finde. Im Detail erläuterte man: "Die Datenverarbeitung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Ordnungswidrigkeiten fällt unter die Richtlinie (EU) 2016/680 (Datenschutz-Richtlinie Polizei/Justiz), nicht unter die Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)."
Während es sich bei Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr um eine Richtline handelt, die jeweils in nationales Recht umgesetzt werden muss, handelt es sich bei der Datenschutz-Grundverordnung (EU) 2016/679 ebenfalls vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr um eine Verordnung. EU-Verordnungen müssen üblicherweise nicht in nationales Recht übernommen werden und gelten in allen EU-Mitgliedsländern.
Tu felix Austria?
Während sich in Deutschland vorwiegend kleine und mittelständische Unternehmen inzwischen Sorgen machen, ob sie ihre Datenverarbeitung noch rechtzeitig DSGVO-kompatibel umbauen können oder ab dem 25. Mai mit Abmahnungen rechnen müssen, wurde in Österreich, wo es keine der deutschen Situation entsprechende Abmahnungen gibt, der DSGVO der Zahn gezogen, vor welchem sich die deutschen KMUs so fürchten.
In Österreich gilt jetzt das Grundprinzip Verwarnen statt Strafen: "Nur besonders hartnäckige Täter, die keine Behörde sind, sollen belangt werden können." Unternehmen können übrigens nach dem schon im vergangenen Jahr beschlossenen Paragraphen 30 DSG für Gesetzesverletzungen untergeordneter Mitarbeiter nicht bestraft werden.
Wo man künftig Unternehmen, die gegen die DSGVO verstoßen, künftig nur noch ermahnen will, hat man in Wien jetzt ein "im Vorjahr beschlossenes Privileg für Arbeitnehmervertreter. Sie könnten sich nun doch mit allen Facetten der DSGVO befassen müssen."