Geschützt werden nicht die Daten, sondern die Menschen
Die neue Datenschutz-Grundverordnung der EU wirbelt nicht nur jede Menge (Daten-)Staub auf, sondern ist ernst zu nehmen
Seit 25. Mai 2018 gilt die neue Datenschutz-Grundverordnung (DSGVO) der EU. UJ sprach darüber mit der TUD-Juniorprofessorin für Bürgerliches Recht, Immaterialgüterrecht, insbesondere Urheberrecht, sowie Medien- und Datenschutzrecht, Dr. Anne Lauber-Rönsberg.
UJ: Frau JProf. Lauber-Rönsberg, warum ist diese Datenschutz-Grundverordnung notwendig? Reicht das Bundesdatenschutzgesetz nicht aus?
Dr. Anne Lauber-Rönsberg: Vor der DSGVO gab es eine europäische Datenschutz-Richtlinie, die durch das BDSG und die Landesdatenschutzgesetze in das deutsche Recht umgesetzt wurde. Diese Gesetze stammten größtenteils aus dem Jahr 1995, also aus einer Zeit ohne soziale Netzwerke, ohne Big Data und ohne Clouds, und waren damit veraltet. Durch die DSGVO soll das Datenschutzrecht nun modernisiert und an die technischen Entwicklungen angepasst werden. Darüber hinaus soll die DSGVO EU-weit ein einheitliches Recht schaffen, damit Unternehmen sich nicht auf 28 verschiedene Datenschutzrechte einstellen müssen. Allerdings lässt sich nicht leugnen, dass während dieser Übergangsphase in vielen Fragen eine erhebliche Rechtsunsicherheit besteht, bis sich eine Verwaltungspraxis der Aufsichtsbehörden bzw. gesicherte Rechtsprechung der Gerichte etabliert hat.
Wen betreffen die neuen Regeln überhaupt? Wessen Rechte werden durch die DSGVO gestärkt?
Der Begriff des Datenschutzrechts ist strenggenommen irreführend: Geschützt werden nicht Daten, sondern Menschen – und zwar davor, dass der Staat oder Unternehmen ihre Daten ohne Befugnis verarbeiten. Betroffen sind damit alle diejenigen, die personenbezogene Daten verarbeiten – große Unternehmen wie Facebook, öffentliche Einrichtungen wie die TU Dresden bis hin zu Bloggen und kleineren Webseitenbetreibern.
Das Ziel des Datenschutzes ist die individuelle Datensouveränität: Die Betroffenen sollen darüber entscheiden können oder zumindest wissen, wer ihre personenbezogenen Daten zu welchen Zwecken verarbeitet. Aus diesem Grund stärkt die DSGVO die sog. Betroffenenrechte, indem z.B. mehr Transparenz und Information von den Datenverarbeitern verlangt wird. Diese gestiegenen Anforderungen sind auch der Grund dafür, warum viele Unternehmen ihre Kunden in den letzten Tagen und Wochen über ihre neu gefassten Datenschutzerklärungen informiert bzw. zu einer erneuten Einwilligung aufgefordert haben. Die DSGVO hat auch ein Recht auf Datenübertragbarkeit neu geschaffen, wonach Nutzer von einem Diensteanbieter ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen können, um sie dann im Falle eines Anbieterwechsels einem anderen Anbieter übermitteln zu können.
Was ist unter personenbezogenen Daten zu verstehen?
Personenbezogen sind Daten dann, wenn sie sich auf eine direkt oder indirekt identifizierbare Person beziehen. Einen Personenbezug können damit z.B. Namen, Personenportraits, Standortdaten und sonstige Merkmale aufweisen, die die Identifizierung einer Person ermöglichen. Der EuGH hat 2016 entschieden, dass auch dynamische IP-Adressen, die der Betreiber einer Internetseite von den Besuchern speichert, personenbezogene Daten darstellen, wenn die Identität der Besucher aufgrund der IP-Adresse und zusätzlicher Informationen, über die der Internetzugangsanbieter verfügt, ermittelt werden kann.
In der DSGVO wird das »Recht auf Vergessenwerden« jedem EU-Bürger eingeräumt. Was ist damit gemeint?
Die etwas pompös als »Recht auf Vergessenwerden« bezeichnete Regelung der DSGVO bringt eigentlich nichts Neues. Sie enthält im Wesentlichen den bereits zuvor bestehenden Anspruch auf Datenlöschung. Danach können Personen verlangen, dass Unternehmen oder Behörden ihre personenbezogenen Daten löschen, wenn ihre Speicherung nicht mehr notwendig ist oder wenn die Verarbeitung unrechtmäßig erfolgt ist.
Als Erweiterung dieser Löschungsansprüche hatte der Europäische Gerichtshof außerdem 2014 einem spanischen EU-Bürger Recht gegeben, der darauf geklagt hatte, dass eine mehr als zehn Jahre alte Meldung über die Zwangsversteigerung seines Hauses nicht mehr über Suchmaschinen wie Google auffindbar sein sollte. Das »Recht auf Vergessenwerden« umfasst seitdem auch ein Recht darauf, dass bestimmte Meldungen nicht mittels Suchmaschinen aufgefunden werden können, wenn das Interesse des Einzelnen an dem Schutz der Privatsphäre das öffentliche Informationsinteresse überwiegt.
Was ändert sich durch das DSGVO für Fotografen und das Veröffentlichen von Fotos im Internet? Verdrängt die DSGVO die bisherigen Regelungen des Rechts am eigenen Bild, die eine Veröffentlichung z.B. von Bildnissen aus dem Bereich der Zeitgeschichte erlaubten?
Das Verhältnis zwischen dem neuen Datenschutzrecht und dem Recht am eigenen Bild ist derzeit tatsächlich noch sehr unklar. Fest steht allerdings, dass sich für journalistische Nutzungen grundsätzlich nichts ändert. So gelten für die Berichterstattung in Presse und Medien weiterhin die gleichen Regeln, weil die DSGVO insoweit dem nationalen Recht Vorrang einräumt.
Umstritten ist allerdings, ob Datenverarbeitungen im Rahmen von Veröffentlichungen zu anderen Zwecken, z.B. zur Öffentlichkeitsarbeit, zu Werbezwecken oder auf einer privaten Facebook-Seite, noch nach den bisherigen Regeln oder nach dem neuen Datenschutzrecht zu beurteilen sind. So oder so gilt aber, dass in jedem Fall eine Abwägung stattfinden muss, ob bei einer Veröffentlichung, die personenbezogene Daten enthält, ein legitimes Informationsinteresse der Öffentlichkeit besteht oder ob das Interesse der Person an ihrer Privatsphäre überwiegt.
Übrigens unterliegen Datenverarbeitungen für ausschließlich persönliche oder familiäre Zwecke, z.B. das Teilen von Fotos in einer geschlossenen Nutzergruppe mit Freunden oder der Großfamilie, nicht dem Datenschutzrecht.
Sind sogenannte Social-Media-Buttons, die beispielsweise auf Facebook verweisen, auf Webseiten nicht ein »gefundenes Fressen« für Abmahnwillige?
Es ist in der Tat fraglich, ob die Einbindung des Facebook-Like-Buttons auf einer Internetseite datenschutzrechtlich zulässig ist, wenn hierdurch Daten über Webseitenbesucher an Facebook übertragen werden, ohne dass zuvor ihre Einwilligung eingeholt wurde. Seitdem das OLG Düsseldorf diese Frage dem Europäischen Gerichtshof 2017 vorgelegt hat, warten wir auf eine Klärung – insofern stellt sich diese Frage nicht erst seit Anwendbarkeit der DSGVO. Grundsätzlich ist natürlich möglich, dass datenschutzrechtliche Verstöße durch Mitbewerber unter bestimmten Voraussetzungen abgemahnt werden. Dies war aber auch schon nach der alten Rechtslage so, ohne dass es zu großen Abmahnwellen kam. Insofern würde ich erst einmal nicht mit großen Änderungen rechnen. Grundsätzlich sollten sich aber Webseitenbetreiber einen Überblick darüber verschaffen, inwieweit Plug-Ins oder Social-Media-Buttons personenbezogene Daten erheben, und nach Möglichkeit auf diese verzichten oder auf eine datenschutzkonforme Einbindung achten.
Trifft die DSGVO auch Aussagen zur Speicherung von Daten in einer Cloud?
Die DSGVO gilt für Datenverarbeitungen in der Cloud ebenso wie für andere Datenverarbeitungen.
Wer kontrolliert die Einhaltung der DGSVO in Deutschland?
Das sind zum einen die Datenschutzbehörden der Bundesländer und die Bundesdatenschutzbeauftragte. Außerdem können die betroffenen Personen sowie z.T. auch Verbraucherschutzverbände gerichtlich gegen Datenschutzverstöße vorgehen.
Welche Folgen kann ein Nichtbeachten der DSGVO – z. B. im Rahmen eines persönlichen Internetauftritts – auch für Privatpersonen haben?
Die DSGVO hat die Sanktionen für Datenschutzverstöße erheblich verschärft. So können die Aufsichtsbehörden nun Bußgelder bis zu 20 Millionen Euro bzw. vier Prozent des weltweiten Umsatzes verhängen. Zudem können Schadensersatzansprüche der Betroffenen drohen. Vorsätzliche Datenschutzverstöße sind sogar strafbar. Allerdings stehen diese Sanktionen nach wie vor unter dem Vorbehalt der Verhältnismäßigkeit. Daher ist es unwahrscheinlich, dass gegen Privatpersonen Bußgelder verhängt werden. Hier werden die Aufsichtsbehörden wohl weiterhin auf Verwarnungen setzen.
Wer ist an der TUD für die Umsetzung zuständig?
Für die Umsetzung der datenschutzrechtlichen Vorgaben ist grundsätzlich jede/jeder zuständig, der in Lehre, Forschung oder Verwaltung mit personenbezogenen Daten zu tun hat. Als Ansprechpartner stehen hierfür der Datenschutzbeauftragte der TU Dresden, Matthias Herber, sowie der IT-Sicherheitsbeauftragte, Jens Syckor, zur Verfügung.
Mit JProf. Anne Lauber-Rönsberg sprach Karsten Eckold.
Weitere Informationen beispielsweise unter: https://dejure.org/gesetze/DSGVO oder https://tinyurl.com/bmi-faq-DSGVO
Dieser Artikel ist im Dresdner Universitätsjournal 11/2018 vom 12. Juni 2018 erschienen. Die komplette Ausgabe ist hier im pdf-Format kostenlos downloadbar. Das UJ kann als gedruckte Zeitung oder als pdf-Datei bei doreen.liesch@tu-dresden.de bestellt werden. Mehr Informationen unter universitaetsjournal.de.