Datenschutzgrundverordnung DSGVO in letzter Minute geändert

Es ist kein Scherz. Seit Monaten sind Webseitenbetreiber, Katalogversender, Händler und Berater dabei, den riesigen bürokratischen Aufwand zu bewältigen, den die Datenschutzgrundverordnung (DSGVO) mit sich bringt. Kurz vor dem Stichtag wurde der Text noch einmal angepasst.

Seit zwei Jahren steht der Text. Kurz vor dem Stichtag 25.05.2018 zu dem die neuen Regelungen gelten sollen, kommt die EU mit Änderungen auf 386 mehrsprachigen Seiten. Allerdings betreffen nur 18 Seiten den deutschsprachigen Text. Neben sprachlichen kleinen Änderungen (z.B. „Personen“ statt „Person“ in Erwägungsgrund 47 Satz 1), Zeichensetzung und Änderungen von fehlerhaften Verweisen finden sich auch weiterreichende Änderungen mit Auswirkungen auf Umsetzung und Praxis.

Juristen stoßen sich besonders an der Änderung von Art. 25 Abs. 2 Satz 1 DSGVO.

Dort geht es um Voreinstellungen zur Verarbeitung bestimmter personenbezogener Daten, die der Verantwortliche so zu treffen hat.

Anstatt:

„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“

Soll es jetzt heißen:

„Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.“

Die kleine Änderung kann tatsächlich größere Auswirkungen haben, wenn man etwa auf Newsletter-Einwilligungen schaut. Nur die Abfrage der E-Mail-Adresse selbst ist erforderlich.  Abfrage von Namen oder Anrede aber nicht. Grundsätzlich bedeutet in der Rechtssprache, dass es auch neben der Regel Ausnahmen geben kann. Die will man aber offenbar nicht (mehr) zulassen.

Auch Mobilgeräte oder Computer enthalten Voreinstellungen etwa im Browser oder sind im Betriebssystem vorgesehen.

Tatsächlich war in der englischen Sprachversion diese „Ausnahme“ nicht enthalten.

Newsletter Datennutzung

Ob im Newsletterfall Behörden die bloße Abfrage von Ansprachedaten wirklich als rechtswidrig ansehen, ist zu bezweifeln.

Hier geht es letztlich um einen Einwilligungsfall. Die Einwilligungstexte nehmen zwar nicht zwingend sprachlich die Nutzung aller angegebenen Daten mit auf. Sie stehen aber im Kontext mit diesen vom Benutzer zudem auch noch selbst angegebenen oder bestätigten Daten. Der Betroffene ist also zumindest durch die Angabe ausdrücklich mit der Verwendung der Daten einverstanden.

Es muss in jedem Fall dazu geraten werden, die Anmeldung nicht von der Angabe von Ansprachedaten abhängig zu machen. Zudem ist zu empfehlen, dass dem Benutzer auch die Angabe von Pseudonymen ausdrücklich gestattet wird, wenn es um Newsletter geht.

Problem E-Mail-Werbung ohne Einwilligung

Natürlich gibt es auch die berühmt / berüchtigte Ausnahme nach § 7 Abs. 3 UWG. Danach können Unternehmen E-Mail-Adressen „zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwenden“, wenn noch eine Reihe anderer Voraussetzungen eingehalten sind (was übrigens fast nie der Fall ist). Jedenfalls dürfte dabei die Änderung greifen, da man hier ja nicht von einer Einwilligung sprechen kann. Ob dann der Hinweis auf den in jeder E-Mail enthaltenen Abmeldelink hilft, wäre abzuwarten. Wer sich auf diese Ausnahme stützen will, sollte am besten die Verwendung von anderen Daten, als die der E-Mail-Adresse unterlassen.

 

Martin Rätze