Es ist kein Scherz. Seit Monaten sind Webseitenbetreiber, Katalogversender, Händler und Berater dabei, den riesigen bürokratischen Aufwand zu bewältigen, den die Datenschutzgrundverordnung (DSGVO) mit sich bringt. Kurz vor dem Stichtag wurde der Text noch eunmal angepasst.
Seit zwei Jahren steht der Text. Kurz vor dem Stichtag 25.05.2018 zu dem die neuen Regelungen gelten sollen, kommt die EU mit Änderungen auf 386 mehrsprachigen Seiten. Allerdings betreffen nur 18 Seiten den deutschsprachigen Text. Neben sprachlichen kleinen Änderungen (z.B. „Personen“ statt „Person“ in Erwägungsgrund 47 Satz 1), Zeichensetzung und Änderungen von fehlerhaften Verweisen finden sich auch weiterreichende Änderungen mit Auswirkungen auf Umsetzung und Praxis.
Juristen stoßen sich besonders an der Änderung von Art. 25 Abs. 2 Satz 1 DSGVO.
Dort geht es um Voreinstellungen, die der Verantwortliche so zu treffen hat, dass nur bestimmte personenbezogene Daten verarbeitet werden.
Anstatt:
„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“
Soll es jetzt heißen:
„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“
Die kleine Änderung kann tatsächlich größere Auswirkungen haben, wenn man etwa auf Newsletter-Einwilligungen schaut, bei denen häufig die Anrede und Namen mit abgefragt werden. Nur die E-Mail selbst wäre zwingend erforderlich. Grundsätzlich bedeutet in der Rechtssprache, dass es auch neben der Regel Ausnahmen geben kann. Die will man aber offenbar nicht (mehr) zulassen.
Auch Mobilgeräte oder Computer, die Arbeitnehmern zur Verfügung gestellt werden enthalten Voreinstellungen etwa im Browser oder sind im Betriebssystem vorgesehen.
Tatsächlich war in der englischen Sprachversion diese „Ausnahme“ nicht enthalten.
Newsletter Datennutzung
Ob im Newsletterfall Behörden die bloße Abfrage von Ansprachedaten wirklich als rechtswidrig ansehen, ist zu bezweifeln.
Hier geht es letztlich um einen Einwilligungsfall. Die Einwilligungstexte nehmen zwar nicht zwingend sprachlich die Nutzung aller angegebenen Daten mit auf. Sie stehen aber im Kontext mit diesen vom Benutzer zudem auch noch selbst angegebenen oder bestätigten Daten. Der Betroffene ist also zumindest durch die Angabe ausdrücklich mit der Verwendung der Daten einverstanden.
Es muss in jedem Fall dazu geraten werden, die Anmeldung nicht von der Angabe von Ansprachedaten abhängig zu machen. Zudem ist zu empfehlen, dass dem Benutzer auch die Angabe von Pseudonymen ausdrücklich gestattet wird, wenn es um Newsletter geht.
Problem E-Mail-Werbung ohne Einwilligung
Natürlich gibt es auch die berühmt / berüchtigte Ausnahme nach § 7 Abs. 3 UWG. Danach können Werbe-E-Mails „zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet“ werden, wenn denn noch eine Reihe anderer Voraussetzungen eingehalten sind (was übrigens fast nie der Fall ist). Jedenfalls dürfte dabei die Änderung greifen, da man hier ja nicht von einer Einwilligung sprechen kann. Ob dann der Hinweis auf den in jeder E-Mail enthaltenen Abmeldelink hilft, wäre abzuwarten. Wer sich auf diese Ausnahme stützen will, sollte am besten die Verwendung von anderen Daten, als die der E-Mail-Adresse unterlassen.