Ein Gespenst geht um in Deutschland: das Gespenst eines völlig neuen Datenschutzrechts, ersonnen in Brüssel und auf die Rechtsunterworfenen hierzulande niedergefahren wie ein unerwarteter Blitz in einem langen, trockenen Sommer. Wer hat nicht im Frühling dieses Jahres zahlreiche E-Mails und Briefe von allen möglichen Absendern erhalten, seien es Lieferanten, Behörden oder Beratern unterschiedlichster Couleur? Oft hatten diese den sinngemäßen Inhalt, aufgrund der plötzlich und für alle unerwartet in Kraft getretenen EU-Datenschutzgrundverordnung (DSGVO) sei man gezwungen, die bisherige Praxis über den Haufen zu werfen und man bitte nun um diese und jene Zustimmung. Bei dieser Gelegenheit wurde den so angeschriebenen Institutionen nicht selten die eine oder andere mehr oder weniger brauchbare Dienstleistung angeboten, wenn nicht sogar untergeschoben.
Auch die Medien waren nicht untätig und machten die Materie zu einem vorgezogenen Sommerloch-Thema. Berichtet wurde teilweise von skurrilen Stilblüten: dazu Unternehmen stellten ihre Online-Aktivitäten ein, Kindergärten vernichteten massenweise Fotos von vergangenen Sommerfesten, US-Unternehmen brachen ihre geschäftlichen Aktivitäten in Europa gleich ganz ab. War das nötig? Ist im Datenschutzrecht wirklich kein Stein auf dem anderen geblieben, wie oft behauptet wird? Rollt wirklich eine gigantische Welle an wettbewerbsrechtlichen Abmahnungen durch das Land und werden mittelständische Unternehmen sowie Kulturinstitutionen durch gigantische Bußgelder in die Knie gezwungen? All diese Befürchtungen sind noch vor wenigen Monaten geäußert worden.
Und in der Praxis?
Für eine Bilanz ist es jetzt, kein halbes Jahr nach Verbindlichwerden der DSGVO (die immerhin schon zwei Jahre zuvor mit entsprechender Übergangsfrist in Kraft getreten war!) noch zu früh, aber es sind erste Tendenzen erkennbar, die im Folgenden kurz und schlagwortartig dargestellt werden sollen, soweit sie für Museen und kulturelle Institutionen von Belang sind.
1. Die DSGVO ist nichts völlig Neues
Gerade hierzulande existiert seit Jahrzehnten ein äußerst elaboriertes Datenschutzrecht und seit jeher nehmen deutsche Experten eine führende Rolle bei der Weiterentwicklung des Datenschutzes ein. So war es auch beim Gesetzgebungsprozess der DSGVO. Diese gibt in weiten Teilen die bisher schon in Deutschland geltende Rechtslage wieder und bringt sie, mit einigen teils deutlichen Konkretisierungen und Verschärfungen, auf die europäische Ebene. Auch wenn es durchaus einige gravierende Neuerungen gibt, lässt sich vereinfacht sagen: Wer bisher schon die Belange des Datenschutzes einigermaßen ernst genommen hat, hat auch künftig nicht viel zu befürchten. Es müssen aber einige alltägliche Routinen und insbesondere Informationstexte angepasst werden, soweit dies noch nicht geschehen ist – dazu weiter unten mehr.
2. Es geht weiterhin (nur) um den Schutz personenbezogener Daten
Das bedeutet: nur solche Daten, welche einen tatsächlichen Bezug zu individuellen Einzelpersonen aufweisen, sind überhaupt Gegenstand des Datenschutzrechtes. Wenn in letzter Zeit oft behauptet wird, der Anwendungsbereich sei auf alle möglichen auf Unternehmen und Institutionen bezogenen Informationen ausgeweitet worden, so ist dies falsch.
3. Es müssen keine Personenaufnahmen vernichtet oder geschwärzt werden
Gerade dieser Aspekt wurde in den letzten Monaten im kulturellen Kontext hitzig diskutiert, wobei sich konträre Auffassungen unversöhnlich gegenüberstanden. Diese komplexe Materie lässt sich hier nicht ansatzweise erschöpfend darstellen, deswegen nur so viel: Erste Gerichtsentscheidungen widersprechen mit guter Begründung der häufig geäußerten These, dass das neue Datenschutzrecht im Hinblick auf Personenbildnisse Vorrang genieße gegenüber der hergebrachten Rechtslage, wie sie sich insbesondere aus den KUG-Paragrafen zum Recht am eigenen Bild ergibt. Das bedeutet: Wie bisher hängt die Frage der Zulässigkeit der Verwendung von Personenaufnahmen in erster Linie von deren Einwilligung ab, wobei Sonderregeln gelten bei Aufnahmen in der Öffentlichkeit und bei für jedermann zugänglichen Veranstaltungen. Der Teufel steckt wie immer im Detail, aber die Datenschutzgrundverordnung hat hieran grundsätzlich nichts geändert. Wichtig ist vor allem: Wenn bereits vorliegende Personenaufnahmen bisher berechtigterweise verwendet worden sind, so ist dies auch in Zukunft noch möglich.
4. Es drohen keine drakonischen Strafen
Zunächst ist hier zu unterscheiden zwischen Bußgeldern und Kosten für wettbewerbsrechtliche Abmahnungen – diese werden in der öffentlichen Diskussion mitunter durcheinandergeworfen. Zum einen ist es zwar richtig, dass die neue Rechtslage die Datenschutzbehörden die Möglichkeit einräumt, bei groben Verstößen Bußgelder zu verhängen, welche den bisherigen Rahmen weit übersteigen. Hiermit hat der Gesetzgeber aber in erster Linie große und nationale Unternehmen im Visier, welche mit einem nachlässigen bis missbräuchlichen Umgang mit personenbezogenen Daten ungerechtfertigte Gewinne erwirtschaften; diese können in der Tat künftig zu nicht unerheblichen Teil abgeschafft werden. Mittelständische Unternehmen und erst recht kulturelle Institutionen sehen sich diesbezüglich keinem hohen Verfolgungsdruck ausgesetzt – nicht nur weil letztere in der Regel ohnehin nicht auf die Erzielung von wirtschaftlichen Gewinnen ausgerichtet sind. Die Datenschutzbehörden der Bundesländer konzentrieren sich einhelligen Statements zufolge jedenfalls mittelfristig fast ausschließlich auf größere Unternehmen und Konzerne, soweit sie im großen Stil personenbezogene Daten verarbeiten und dabei Fehler begehen. Selbst in solchen Fällen möchten sie sich zunächst auf Hinweise und Warnungen beschränken, ohne gleich vom scharfen Schwert der Bußgelder Gebrauch zu machen. Etwas anderes sind die berüchtigten wettbewerbsrechtlichen Abmahnungen, welche tatsächlich bei den so betroffenen Unternehmen und Institutionen einigen Schrecken auslösen können, weil sie mit einigem Ärger und erheblichen Kosten verbunden sind. Vor allem ist man im Falle einer de facto zutreffenden Abmahnung genötigt, die monierten Verhaltensweisen und Geschäftspraktiken in kürzester Zeit zu korrigieren, da sonst eine teure Gerichtsentscheidung und eventuell noch teurere Ordnungsgelder drohen. Diesbezüglich ist gegenwärtig noch umstritten, ob nach neuer Rechtslage Datenschutzverstöße tatsächlich auch abmahnfähige Wettbewerbsverstöße darstellen. Eine erste publizierte Entscheidung des Landgerichts Würzburg sprach sich dafür aus, allerdings ohne dies näher zu begründen. Die weitere Entwicklung wird abzuwarten sein.
Aktuelle Datenschutzerklärungen sind wesentlich
Jedenfalls ist fürs Erste den Unternehmen und Institutionen dringend zu empfehlen, soweit noch nicht geschehen, an erster Stelle diejenigen Datenschutzverstöße zu korrigieren, die nach außen leicht erkennbar sind. Das sind in erster Linie Datenschutzerklärungen, die auf jede professionell genutzte Webseite gehören und den neuen Bestimmungen entsprechen müssen. Darin müssen den Nutzern sämtliche Datenverarbeitungsvorgänge transparent erläutert werden, wobei die (neue) rechtliche Grundlage jeder einzelnen Maßnahme zu benennen ist. Zusätzlich ist es erforderlich, die Nutzer über alle ihnen zustehenden Ansprüche und Rechte in Bezug auf ihre personenbezogenen Daten aufzuklären. Das Ergebnis sind Datenschutzerklärungen, die deutlich länger ausfallen als zuvor. Es gibt diesbezüglich reichlich Leitfäden und Beratungsangebote, die man nutzen sollte, um unnötigen und kostspieligen Ärger zu vermeiden.
Es ist dies wohl der wichtigste Hinweis, der betreffenden Institutionen derzeit zu erteilen ist: Aktuelle Datenschutzerklärungen sind sehr wichtig. Wer auf diese Weise einen Einstieg in die Materie gefunden hat, kann sich sodann sukzessive mit anderen Maßnahmen wie Auftragsbearbeitungsverträgen mit Drittunternehmen, Verzeichnis der Verarbeitungstätigkeiten usw. beschäftigen. Es besteht nach alledem Handlungsbedarf, aber kein Grund zur Panik.
Rechtsanwalt Fortmeyer
Jan-Alexander Fortmeyer
c/o Landgraf & Schneider RAe
Zeppelinallee 21, 60325 Frankfurt am Main
Tel 0049 / 69 / 7137318-0
Fax 0049 / 69 / 7137318-50
ra(at)fortmeyer.de
www.fortmeyer.de
DieserBeitrag wurde erstmals publiziert in KulturBetrieb zwei 2018, S. 92 f.
