In der Sendung „Radio Mittagszeit“ vom 18.10.2018 blickten Rechtsexperte Mag. Peter Harlander und Moderatorin Viola Wörter auf fünf Monate DSGVO zurück, zogen eine erste Bilanz und beantworteten natürlich auch die zahlreichen Fragen der interessierten Hörer.
Der Salzburger Rechstanwalt bewertet die bisherige Entwicklung seit Inkrafttreten der DSGVO durchaus positiv. Zwar habe es auch vor dem Inkrafttreten der Verordnung bereits ein Datenschutzrecht gegeben, dieses sei jedoch „totes Recht“ gewesen. „Die DSGVO hat den Datenschutz sozusagen zum Leben erweckt und sorgt dafür, dass der Schutz personenbezogener Daten Schritt für Schritt besser wird“, so der Experte. Immerhin sei es ja der Wunsch aller Menschen, dass Unternehmen und Behörden gut auf personenbezogene Daten aufpassen und diese nicht missbrauchen.
DSGVO haucht dem Datenschutz europaweit Leben ein
Der Datenschutzexperte und die Moderatorin sind sich einig. Die DSGVO ist vor allem eines: Eine Erinnerung an Inhalte, die es auch schon vor dem 25. Mai 2018 gab. Allerdings gab es europaweit große Unterschiede zwischen den einzelnen Regelungen und zudem war auch der Vollzug mit Tücken versehen. „Die DSGVO hat den Datenschutz zum Leben erweckt“, erklärt der Experte. Auch wenn sich die Regelungen der Verordnung „bis in den letzten Winkel eines Unternehmens ziehen, so war sicherlich das Internet und damit zusammenhängend auch die Entwicklung im Bereich der Smartphones für die Reform ausschlaggebend“, berichtet Harlander. Die DSGVO brachte laut dem Anwalt noch eine ganz entscheidende Entwicklung mit sich: „Die Menschen sind viel sensibler geworden, was ihre personenbezogenen Daten betrifft“.
Privatsphäre und Datenschutz in Krankenhäusern und Ordinationen
Eine Hörerin nutzte die Gelegenheit und wollte wissen, ob es datenschutzkonform ist, dass in Arztpraxen und Krankenhäusern Diagnosen im Zusammenhang mit dem Namen des Patienten oft in Anwesenheit anderer Patienten mitgeteilt und diskutiert werden.
In Krankenhäusern besteht eine Sondersituation. „Aus datenschutzrechtlicher Sicht wäre es freilich die optimale Lösung, wenn es in allen Krankenhäusern nur Einzelzimmer gebe. Aus pragmatischen Gründen muss man da aber sicherlich Abstriche machen“, so Harlander. Wer sichergehen möchte, dass keine anderen Patienten oder Besucher eigene personenbezogene Daten – wenn auch ungewollt – erhalten, der soll laut dem Experten darauf drängen, „dass Besprechungen über den eigenen Gesundheitszustand nur in Privatsphäre stattfinden“. In Ordinationen gebe es hinsichtlich der Privatsphäre, vor allem im Bereich der Anmeldung, durchaus aber Nachholbedarf.
Wann sollten Betroffene handeln
Laut dem Experten sei es ratsam, Prioritäten zu setzen, einen Schritt zurücktreten und die Situation zu betrachten. „Wenn beispielsweise Versicherungen schlampig mit Daten umgehen und etwa unrichtige Daten an den KSV weitergeben, dann besteht dringend Handlungsbedarf“, rät Harlander.
Betroffene haben die Möglichkeit eines Auskunftsbegehrens und in der Folge eines Löschungsbegehrens. Dadurch können Betroffene herausfinden welche personenbezogenen Daten verarbeitet werden und aus welcher Quelle diese stammen. Das Löschungsbegehren gewährleistet für Betroffene, dass deren Daten unverzüglich und endgültig gelöscht werden müssen.
Wie die Datenschutzbehörde bisher mit Strafen umgeht
Mit Strafen gebe es noch relativ wenig Erfahrung. „Der Strafrahmen von bis zu 20 Mio. Euro bzw. vier Prozent des weltweit erzielten Jahresumsatzes ist nicht wegen kleinen Unternehmen, sondern wegen großen Konzernen eingeführt worden“, erklärt der Spezialist. So können große Konzerne wie Facebook und Co. unter Druck gesetzt und Änderungen herbeigeführt werden.
Es sei zwar noch nicht alles perfekt, man könne jedoch bereits beobachten, dass die Unternehmen sich bewegen.
Informationen vor Erteilung der Zustimmung lesen
Für viele Hörer zeigen sich die Auswirkungen der DSGVO unter anderem darin, „dass man im Internet seither permanent seine Zustimmung erteilen muss“. Aufgrund der Vielzahl an Checkboxen, die für die unterschiedlichsten Zwecke aktiviert werden können, wüssten viele User gar nicht mehr, wozu sie ihre Zustimmung eigentlich erteilen. Hier findet der Experte klare Worte: „Auch wenn wenig Zeit ist, sollte man sich unbedingt anschauen, wozu man seine Einwilligung erteilt“. Oft werden Daten für Analyse- und Werbezwecke erhoben. Es kann aber auch um Remarketing gehen. Daten werden dann an Werbenetzwerke weitergegeben und man wird quasi quer durch das Internet verfolgt. Im Zweifel sollte man eine Einwilligung lieber nicht erteilen. „Datenschutz erfordert auch die Mitwirkung der Betroffenen. Wer nachlässig überall auf okay klickt, weil er oder sie nicht lesen will worum es geht, für den wird sich auch aufgrund der neuen Verordnung nichts ändern“, mahnt Harlander.
Trotz strengerem Datenschutz nicht weniger Spam
Ein Hörer wunderte sich besonders darüber, dass er trotz des strengeren Datenschutzrechts nicht weniger Spam-Mails zugesendet bekommt. Das liege laut dem Datenschutzexperten vor allem daran, dass es sich bei einem Großteil der Spam-Mails um organisierte Kriminalität handelt. „Es gibt aber sicherlich auch freche Unternehmer, die sich nicht an die DSGVO halten. Für Spam-Mails ist jedoch die Fernmeldebehörde und nicht die Datenschutzbehörde zuständig“, erklärt Harlander. Wenn es in einem Mail die Möglichkeit gibt, sich vom zukünftigen Erhalt abzumelden, sollte diese Möglichkeit jedenfalls genützt werden. Stammen die Mails jedoch aus kriminellen Kreisen, würde wohl auch eine Abmeldung nicht viel nützen. Dann bestehe aber die Möglichkeit einer Anzeige bei der Fernmeldebehörde. Es ist aber fraglich, ob eine solche Anzeige tatsächlich zielführend ist. „Meist ist nicht nachverfolgbar, wer hinter den Spam-Mails steckt, denn oft werden für deren Versand Computer missbraucht, die zuvor gehackt worden sind“, erklärt Harlander. Es gebe Millionen von Computern, auf die sich jemand genau für diese Zwecke unautorisiert Zugriff verschafft hat. Um der Flut von Spam-Mails Herr zu werden, empfiehlt Harlander eher technische Lösungen, wie einen guten Spam-Filter.
Kein Name am Klingelschild aber Wählerliste im Hausflur
Für eine Hörerin stellte sich die Frage, wie es denn sein könne, dass es zwar gegen Datenschutzrecht verstoße, Namen auf Klingelschildern zu veröffentlichen, eine Wählerliste mit personenbezogenen Daten aber im Hausflur hängen dürfe. „Hausverwaltungen habe keine Rechtsgrundlage, Namen der Mieter auf Klingelanlagen zu publizieren“, erklärt der Experte. Es können aber bereits im Mietvertrag Regelungen getroffen werden, ob Mieter ihren Namen oder die Top-Nummer am Klingelschild haben wollen. Für den Aushang der Wählerliste gibt es eine gesetzliche Grundlage, weshalb dieser jedenfalls rechtskonform ist. Auch auf Briefkastenanlagen, die sich in aller Regel im Hausinneren befinden, stehen die Namen der Mieter. Dies vor allem deshalb, damit die Post weiß, wo sie adressierte Postsendungen einwerfen muss.
Weitergabe von Vereinslisten nur mit Zustimmung der Mitglieder?
Ein weiterer Hörer wollte wissen, wie es denn mit der Weitergabe von Vereinslisten an neue Mitglieder aussehe. Um personenbezogen Daten weitergeben zu dürfen, bedarf es grundsätzlich der Einwilligung der betroffenen Personen. Der Experte empfiehlt daher, eine Satzungsänderung zu veranlassen, die eine Datenverarbeitung aufgrund des Vereinszwecks regelt.
Was tun bei unerwünschter adressierter Postsendung
Wer ungewollt an ihn adressierte Post erhält, kann der Absenderadresse bekannt geben, dass er (adressierte) Sendungen nicht mehr wünscht. Es besteht ein Anspruch darauf, adressierte Postwerbung abbestellen zu können. Wer wissen möchte, von welcher Quelle der Absender die Adresse hat, der stellt am besten ein Auskunftsbegehren. In der Folge besteht die Möglichkeit den Absender durch ein Löschungsbegehren zur endgültigen Löschung seiner personenbezogenen Daten zu veranlassen.
Wann müssen Personen der Veröffentlichung von Fotos zustimmen?
Gleich mehrere Hörer wollten wissen, wie es mit der Veröffentlichung von Fotos aussieht. „Wenn ich eine Sehenswürdigkeit fotografiere, und auf dem Bild auch eine Menschenmenge zu sehen ist, dann muss ich nicht jedem einzelnen verzweifelt nachlaufen und ihn um seine Erlaubnis bitten“, so Harlander. Solche Fotos können sowohl aus urheberrechtlicher als auch aus datenschutzrechtlicher Sicht veröffentlicht werden. Wenn jedoch Personen im Vordergrund stehen, so müssen diese aufgrund deren Recht am eigenen Bild in eine Veröffentlichung einwilligen. Wenn es um gestellte Gruppenfotos geht, rät der Experte, die Personen über eine allfällige Veröffentlichung zu informieren und ihnen die Möglichkeit zu geben, nicht an der Aufnahme teilzunehmen. Personen des öffentlichen Lebens, wie etwa Politiker oder Prominente, haben ein sehr ausgedünntes Recht am eigenen Bild. Ein Foto von und mit dem Bundeskanzler oder einem Promi aus Film und Fernsehen darf auch ohne dessen Zustimmung veröffentlicht werden. In den intimsten Lebensbereich darf aber auch bei Personen des öffentlichen Lebens nicht eingegriffen werden.
„Außerdem gilt die DSGVO in großen Bereichen für Journalisten nicht, weil die Pressefreiheit über dem Datenschutz steht“, erklärt der Rechtsanwalt.
Fotografieren auf Veranstaltungen
Ein Hörer wollte wissen, ob es auf einem Vereinsfest ausreicht, Aushänge zu machen, auf denen die Gäste darauf hingewiesen werden, dass Fotos etwa in der Vereinszeitung veröffentlicht werden. Dieser Vorgehensweise erteilt der Experte eine klare Absage: „Eine Einwilligung muss freiwillig erfolgen. Eine Option, entweder fotografiert und publiziert zu werden oder wieder heimzufahren reicht nicht aus“. Ohnedies unproblematisch ist die Veröffentlich von Fotos, auf denen nicht einzelne Personen im Vordergrund stehen. Wer also eine Aufnahme vom bestens besuchten Festzelt macht, darf sie veröffentlichen, ohne vorher jeden Besucher um dessen Erlaubnis zu fragen. Wer eine typische Gesprächssituationen zwischen einigen wenigen Leute festhält, muss sich von diesen Personen wiederum die Erlaubnis für eine Veröffentlichung einholen. Eine schriftliche Einwilligung ist nicht zwingend notwendig. Die Einwilligung kann, solange sie in einem aktiven Tun besteht, in jeder erdenklichen Form erteilt werden. Bei rein mündlich erteilten Einwilligungen können sich jedoch Probleme bei der Beweisbarkeit ergeben. Derjenige, der behauptet, dass er eine Einwilligung erhalten hat, muss dies auch beweisen können. Der Experte empfiehlt daher ein möglichst standardisiertes Vorgehen. So kann der Fotograf beispielsweise bei der Einholung einer mündlichen Einwilligung Personen eine Visitenkarte geben.
Zustimmung zum Klassenfoto
Eine Hörerin kritisierte, dass sie seit Inkrafttreten der DSGVO viel öfter aufgefordert werde, einem Verarbeitungsprozess zuzustimmen. Vor allem ärgert sie aber, „dass man mittlerweile alles unterschreiben muss“. So etwa auch, dass das eigene Kind auf dem Klassenfoto zu sehen sein darf. „Auch Kinder haben Rechte. Solange ein Kind unmündig ist, müssen grundsätzlich die Eltern dessen Rechte wahrnehmen. Das gilt auch für Veröffentlichungen von Fotos“, so der Experte. Spätestens wenn das Kind 14 Jahre alt ist, muss es jedoch selbst seine Einwilligung erteilen.
Registrierung darf keine Voraussetzung sein
Eine Hörerin teilte dem Experten mit, dass sie sich seit Inkrafttreten der DSGVO im Internet vermehrt registrieren müsse. „Wenn ein Dienst sinnvollerweise keine Anmeldung erfordert, dann darf eine solche auch nicht vorausgesetzt werden. Daher bieten immer mehr Shops die Möglichkeit, auch als Gast bestellen zu können“, erklärt Harlander. Ein Kundenkonto darf keine zwingende Voraussetzung für ein Bestellung sein.
Darf Weihnachtspost weiterhin versendet werden?
Ein Hörer erkundigte sich, ob er auch weiterhin Weihnachtskarten mit einem kleinen Dankeschön an seine Kunden versenden dürfe, oder ob er sich dafür zuvor deren Einwilligung einholen müsse. „Wenn die Karte und das Dankeschön per Post gesendet werden, bedarf es keiner vorherigen Einwilligung“, klärt der Experte auf. Zu bedenken gibt der Anwalt, dass bei der erstmaligen Zusendung der Karte datenschutzrechtlichen Informationspflichten nachgekommen werden muss. Darin muss der Empfänger unter anderem darüber aufgeklärt werden, dass und auf welchem Weg er sich gegen den Erhalt zukünftiger postalischer Weihnachtsgrüße aussprechen kann. Wer sich für Weihnachtsgrüße per Mail entscheidet, versendet Werbung und braucht dafür eine Einwilligung.
Darf die Polizei bei einer Verkehrskontrolle nach Daten fragen?
Einen Hörer interessierte, wie es mit der Verarbeitung personenbezogener Daten in Hinblick auf Verkehrskontrollen aussieht. „Es gibt gesetzliche Regelungen, welche Daten die Polizei erheben darf und was sie mit diesen Daten machen darf“, sagt Harlander. Trotz Datenschutz wird es also auch weiterhin Verkehrskontrollen geben.
Fazit von Marketingrecht.at
Nach fünf Monaten DSGVO lässt sich klar erkennen, dass das Bewusstsein der Menschen für Daten deutlich gestiegen ist. Viele gehen weniger leichtfertig mit der Bekanntgabe personenbezogener Daten um. „Der beste Datenschutz besteht darin, so wenig persönliche Daten wie möglich bekanntzugeben“, hat es eine Hörerin treffend formuliert. Datenschutzrechtliche Verstöße werden nicht mehr kommentarlos hingenommen.
Gerade im Bereich des Internets wird sich in Zukunft sicherlich noch vieles ändern. Es steht uns allen also noch eine spannende Entwicklung bevor. Auf Marketingrecht.at halten wir sie auf dem Laufenden!
