DS-GVO-Faktencheck

Die großen Fünf der Irrtümer

Die Datenschutz-Grundverordnung (DS-GVO) gilt nunmehr seit fast einem halben Jahr. Nachdem sich die Panik rund um das neue Datenschutz-Regelwerk in der Zwischenzeit deutlich gelegt hat, kursieren dennoch haufenweise Gerüchte und Zweifel. Damit aus diesem gefährlichen Halbwissen keine Schäden für Ihre Unternehmen resultieren, klären wir an dieser Stelle über die fünf größten Irrtümer auf.

Irrtum 1: Einwilligungen („Wir brauchen jetzt für alles eine Einwilligung.“)

Es ist ein verbreiteter Irrtum, dass seit Inkrafttreten der DS-GVO nun für alle Datenverarbeitungen die Einwilligung des Betroffenen erforderlich wäre. Auch nach der DS-GVO gilt das sogenannte „Verbot mit Erlaubnisvorbehalt“ fort. Dies besagt, dass eine Datenverarbeitung nur dann rechtmäßig ist, wenn einer der sechs Bedingungen aus Artikel 6 Absatz 1. der DS-GVO erfüllt ist.

Die Einwilligung ist nur einer, aber mitnichten der einzige, dieser sogenannten „Erlaubnistatbestände“. Daneben ist eine Verarbeitung insbesondere dann erlaubt, wenn sie für die Erfüllung eines Vertrages, zur Durchführung vorvertraglicher Maßnahmen, zur Erfüllung einer rechtlichen Verpflichtung oder, im Bereich einzelner Gesetze, zur Wahrung des berechtigten Interesses des Verantwortlichen erforderlich ist. Damit ist ein großer Teil der Datenverarbeitungen vieler Unternehmen auch ohne die Einholung einer Einwilligung erlaubt.

Irrtum 2: Fotos („Die Veröffentlichung von Fotos ist nun grundsätzlich verboten.“)

„Datenschutz: KiTa schwärzt Gesichter in Fotoalben“ (Die Welt, 02.08.2018). Diese und ähnliche Schlagzeilen sind seit dem 25. Mai des Öfteren zu lesen, wodurch sich das Gerücht, Fotos zu veröffentlichen nun grundsätzlich verboten sei, hartnäckig hält.

Tatsächlich ist die Rechtslage nicht mehr so eindeutig wie früher. Denn bisher fanden sich die wesentlichen Vorgaben zur Veröffentlichung von Fotos im Kunsturhebergesetz (KUG), welches das Recht am eigenen Bild festlegte. Demnach ist die Verbreitung oder Veröffentlichung eines Fotos nur mit Einwilligung des Abgebildeten erlaubt (§ 22 KUG). Mit der DS--GVO verschärfen sich nun allerdings die Anforderungen an eine Einwilligung. Während das KUG nur von einer Einwilligungserfordernis bei der Veröffentlichung ausgeht, definiert die Grundverordnung diese bereits bei der Datenerhebung, also der Fotoaufnahme. Und die Einwilligung muss zudem informiert und freiwillig sowie vor der Datenerhebung selbst erfolgen. Sie muss jederzeit widerrufen werden können und der Verantwortliche muss nachweisen, dass die betroffene Person eingewilligt hat.

Darüber hinaus definiert das Kunsturhebergesetz in § 23 Erlaubnistatbestände, also Bedingungen unter welchen die Einholung einer Einwilligung an die Veröffentlichung nicht notwendig ist. Dies ist zum Beispiel bei Bildern aus der Zeitgeschichte oder von Versammlungen wie Demonstrationen der Fall. Ob nach dem 25. Mai diese Ausnahmen im Rahmen des Kunsturhebergesetzes fortbestehen können, ist zurzeit noch unklar. Erste Gerichtsurteile (OLG Köln, Az.: 15 W 27/18) deuten aber daraufhin, dass für bestimme Zwecke von der DS-GVO abweichende Gesetze bestehen bleiben können.

Irrtum 3: Bußgelder („Die Datenschutzaufsichtsbehörde verhängen für alle Vergehen hohe Bußgelder.“)

Insbesondere durch die hohen Bußgelder, die im Falle von Datenschutzverletzungen drohen, hat die DS-GVO vor ihrem Inkrafttreten für Aufmerksamkeit gesorgt. In der Tat können in Einzelfällen Geldbußen in Höhe „von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes“ verhängt werden (vgl. Art. 83. Abs. 4 lit. 5 DS‑GVO).

Das bedeutet aber natürlich weder, dass für jede Datenschutzverletzung ein Bußgeld verhängt wird, noch, dass jedes Bußgeld diese Größenordnung erreicht. Ob überhaupt ein Bußgeld verhängt wird, ist nach Artikel 83 Absatz 2 der DS-GVO stets eine Einzelfallentscheidung, die unter anderem von der Art, Schwere und Dauer des Verstoßes, dem Ausmaß des erlittenen Schadens und der Vorsätzlichkeit oder Fahrlässigkeit abhängt. Außerdem ist zu beachten, dass von einer Höhe von bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes die Rede ist. Eine solche Höhe wird die absolute Ausnahme für besonders schwerwiegende Vergehen sehr großer Unternehmen bleiben (wenn solche hohen Bußgelder überhaupt jemals verhängt werden).

Irrtum 4: Rechenschaftspflicht („Wenn uns jemand verklagen will, muss er die Beweise liefern.“)

Eine der entscheidenden Änderungen, die sich durch die DS-GVO ergeben, ist die sogenannte Rechenschaftspflicht. Die verantwortliche Stelle ist nicht nur dazu verpflichtet, die Datenschutzgrundsätze einzuhalten, darüber hinaus muss sie auch nachweisen können, dass sie das macht (Stichwort Beweislastumkehr). Der mit dieser Nachweispflicht verbundene Dokumentationsaufwand stellt viele Unternehmen vor Herausforderungen und sollte systematisch angegangen werden.

In der Praxis bedeutet dies z. B., dass Einwilligungserklärungen schriftlich und möglichst konkret, bestenfalls auf den Einzelfall bezogen, eingeholt werden. In vielen Einrichtungen des Gesundheits- und Sozialwesens hat man in der Vergangenheit gesehen, dass Bewohnern oder Patienten allgemeine Entbindungen von der beruflichen Schweigepflicht abverlangt worden sind. Da hier ein konkreter Bezug zu einem Zweck aber nicht gegeben ist, kann dies nicht als Nachweis für eine Datenübermittlung herhalten.

Irrtum 5: WhatsApp („Ein so großes Unternehmen wird schon sicher mit den Daten umgehen“)

Mal eben das Röntgenbild abfotografieren und an den befreundeten Kollegen verschicken, um seine Meinung einzuholen oder die Dienstplangestaltung für Weihnachten in der der Stationsgruppe ausdiskutieren - nur zwei Beispiele, wie WhatsApp die berufliche Arbeit deutlich einfacher macht.

Aber so unbedenklich wie sich die Nutzung auf den ersten Blick darstellt, ist diese in Wirklichkeit nicht! Denn was viele nicht wissen: WhatsApp übermittelt neben den Kontaktdaten aus dem Adressbuch auch Verkehrsdaten (Wer kommuniziert wann mit wem?) und Bestandsdaten (Wer ist für den Dienst angemeldet?) als auch automatisch erfasste Informationen wie Nutzungs- und Log-In-, Geräte- und Verbindungsdaten sowie Standort-Informationen.

Diese Datensammelwut hat einige Landesdatenschutzbeauftragte bereits dazu veranlasst, eindringlich vor der dienstlichen Nutzung von WhatsApp zu warnen. Laut der Aussage der NRW-Datenschutzbeauftragten ist der Dienstgeber verpflichtet für alle technischen und organisatorischen Maßnahmen für Datenschutz und Datensicherheit auf Dienstgeräten zu sorgen. Sind Sicherheitsrisiken bekannt, und das ist bei WhatsApp ganz zweifelsfrei der Fall, sind verhältnismäßige Schutzmaßnahmen zu treffen, ansonsten handelt der Dienstgeber grob verlässig oder vorsätzlich. Außerdem ist eine nicht-private Nutzung von WhatsApp laut der Geschäftsbedingungen (Stand: 08.10.2018) nur nach ausdrücklicher Genehmigung des Unternehmens zulässig.

Ihre Ansprechpartner

  • Dr. Uwe Günther

    Partner
    uwe.guenther@curacon.de
    0 89/99 27 57-922
    »IT-Management sowie Datenschutz sind zentrale Themen unserer Zeit. Mein Ziel ist, unsere Mandanten bestmöglich bei der Optimierung dieser Prozesse zu unterstützen.«
  • Stefan Strüwe

    Prokurist / Senior Manager
    stefan.struewe@curacon.de
    02 51/9 22 08-209
    »Ein guter Datenschutzbeauftragter hat die gesetzlichen Anforderungen im Blick und kann dazu umsetzbare Lösungen finden.«