Am 25. Mai 2018 erlangte die DSGVO nach zweijähriger Übergangszeit Geltung. Sechs Monate sind seitdem vergangen. Eine Zeit, in der viele Unternehmer noch unsicher im Umgang mit den neuen Vorschriften sind. Diese ersten sechs Monate waren aber auch geprägt von einigen Kuriositäten, die wir noch einmal für Sie zusammengefasst haben.
Österreich schafft Bußgelder ab – und verhängt als erstes Land Bußgelder
In Österreich wurde kurz vor dem 25. Mai noch schnell das Datenschutzgesetz angepasst. Durch diese Änderung in letzter Minute sollten Bußgelder wegen DSGVO-Verstößen eine seltene Ausnahme werden.
Im September wurde dann aber ausgerechnet in Österreich das – soweit ersichtlich – erste Bußgeld wegen eines Verstoßes gegen die DSGVO verhängt. Ein Wettlokal musste ein Bußgeld in Höhe von 4.800 Euro zahlen, weil es an seiner Tür eine Kamera installiert hatte, die einen Großteil des öffentlichen Fußweges mitfilmte und nicht ausreichend gekennzeichnet war.
Im Hinblick auf einen Bußgeldrahmen von bis zu 20 Mio. Euro war die Strafe in Österreich also sehr günstig.
Portugal: 400.000 Euro Bußgeld
Ganz anders dagegen ein Fall in Portugal: Ein Krankenhaus erhielt einen Bußgeldbescheid über 400.000 Euro. Der größte Anteil dieses Bußgeldes wurde verhängt, weil eine Vielzahl von Personen Zugriff auf Patientendaten hatte. Im System des Krankenhauses waren knapp 1.000 zugriffsberechtigte Personen registriert, obwohl das Krankenhaus nicht einmal 300 Ärzte beschäftigte. Jeder Techniker hatte den gleichen Zugriff auf Daten wie die Ärzte.
Deutschland: 20.000 Euro Bußgeld
Auch in Deutschland wurde das erste Bußgeld verhängt: Ein Unternehmen aus Baden-Württemberg muss 20.000 Euro zahlen, weil es die E-Mail-Adressen und Passwörter seiner Kunden unverschlüsselt und unverfremdet im Klartext gespeichert hat.
Den vollständigen Bericht zu dem Fall finden Sie hier bei uns.
Sind Klingelschilder illegal?
Wieder ein Fall aus Österreich – dieses Mal aber einer aus der absurden Ecke. Eine Hausverwaltung in Wien hatte sich nach einer Beschwerde eines Mieters dazu entschieden, nach und nach alle 220.000 Klingelschilder zu entfernen. Angeblich habe die Stadt Wien die Verbindung von Vor- und Nachnamen als Verstoß gegen die DSGVO eingestuft.
Kurze Zeit später äußerte sich auch der deutsche Vermieterverband Haus & Grund dazu und empfahl seinen Mitgliedern pressewirksam ebenfalls das Entfernen der Klingelschilder. Der Präsident des Verbandes meinte, nur so können Vermietern Bußgelder in Millionenhöhe vermeiden.
Diese Äußerungen in der Presse veranlassten am Ende sogar die EU-Kommission dazu, eine Stellungnahme abzugeben:
„Die Europäische Kommission hat gestern (Donnerstag) klargestellt, dass die EU-Datenschutzgrundverordnung (DSGVO) Namen auf Türschildern oder Briefkästen nicht regelt und auch nicht deren Entfernung verlangt.
Diesbezügliche Behauptung in mehreren Medienberichten in Deutschland und Österreich sind schlicht und einfach falsch.“
Fotografieren im Kindergarten und bei der Einschulung
Besondere Wut auf die DSGVO erlebte man in diesem Jahr im Sommer, als sich die Ferien in den Bundesländern dem Ende näherten und die Einschulungen vor der Tür standen. Schulen wiesen darauf hin, dass bei der Einschulung keine Fotos erstellt werden dürften.
Hintergrund dieser „Warnungen“ war ein Fehlverständnis über die DSGVO.
Es stellt sich schon die Frage der Anwendbarkeit. Wenn Mutter oder Vater ein Foto des eigenen Kindes bei der Einschulung erstellen und auf diesem Bild noch andere Kinder abgebildet sind, dürfte man sich noch immer im rein privat-familiären Bereich bewegen, sodass die DSGVO gar nicht greift.
Zum anderen war und ist nicht die Frage nach der Fotoerstellung das Problematische. Vielmehr geht es um die Frage der Verwendung des Bildes.
Und selbstverständlich ist es unzulässig, wenn Eltern ein Foto bei Facebook und Co. hochladen, auf dem nicht nur das eigene Kind abgebildet ist. An diesem Umstand hat aber die DSGVO nichts geändert, denn das war schon nach altem Recht unzulässig.
Einwilligungen über Einwilligungen
Egal ob beim Friseur, der Reinigung oder beim Arzt: Betroffene mussten rund um den 25. Mai 2018 eine Vielzahl von Einwilligungen erteilen, weil jeder der Meinung war, er dürfe sonst keine Daten mehr verarbeiten. Der überwiegende Teil dieser Einwilligungen war völlig unnötig.
Hintergrund: Die DSGVO kennt nicht nur die Einwilligung als Erlaubnistatbestand für die Verarbeitung von Daten. Andere Rechtfertigungstatbestände sind z.B. die Vertragserfüllung oder rechtliche Verpflichtungen.
Der Friseur darf (ohne Einwilligung) die personenbezogenen Daten verarbeiten, weil er z.B. Abrechnungen erstellen muss, damit er seine Steuererklärung erstellen kann.
Die Reinigung darf (ohne Einwilligung) die personenbezogenen Daten verarbeiten, weil auch diese Abrechnungen erstellen muss. Außerdem muss sie gewährleisten, dass jeder die richtigen Sachen nach der Reinigung zurückerhält.
Und auch der Arzt darf personenbezogene Daten ohne Einwilligung verarbeiten, weil er sonst den Behandlungsvertrag nicht erfüllen kann.
Wunschzettel-Aktion
Die Stadt Roth (nahe Nürnberg) machte von sich Reden, als es eine Wunschzettel-Aktion zu Weihnachten mit Verweis auf die DSGVO nicht durchführte.
Bei der Aktion schrieben bisher jedes Jahr Kinder ihren Wunsch und die Adresse auf einen Wunschzettel.
Die EU-Kommission stellte nun klar: Solche Aktionen dürfen auch weiterhin durchgeführt werden:
„Die Europäische Datenschutzgrundverordnung verbietet in keiner Weise Wunschzettel-Aktionen zu Weihnachten.
Berichte, die auf das Gegenteil schließen lassen, sind falsch.
Um Geschenke an die Kinder zu liefern, dürfen die Kontaktdaten der Familie aufgenommen werden – vorausgesetzt, die Eltern stimmen zu.
Das sind die Regeln, die schon seit 20 Jahren gelten. Die Datenschutzgrundverordnung hat daran nichts geändert.“
Abmahnungen möglich?
Die befürchteten Abmahnwellen blieben bisher aus. Das mag auch damit zusammenhängen, dass die Frage, ob Verstöße gegen die DSGVO überhaupt abgemahnt werden können, umstritten ist. Mehrere Landgerichte haben sich schon unterschiedlich zu dieser Frage geäußert.
Zuletzt hat das OLG Hamburg aber entschieden, dass Mitbewerber grundsätzlich Verstöße gegen die DSGVO abmahnen können, man in einem zweiten Schritt jedoch prüfen müsse, ob die Norm, gegen die verstoßen wurde, tatsächlich einen Bezug zum Markt aufweise.
Fazit
Die ersten sechs Monate unter Geltung der DSGVO sind vergangen. Noch viele Rechtsfragen sind ungeklärt, das dürfte sich in der nächsten Zeit aber ändern. Die Aufsichtsbehörden fangen so langsam an, auf Unternehmen zuzugehen. Auch die ersten EuGH-Entscheidungen kündigen sich schon an. Unternehmen sollten nicht nur auf all die Kuriositäten achten, die man der Tagespresse zum Thema DSGVO entnehmen kann, sondern Datenschutz ernst nehmen.
Das beginnt bei einem guten Datenmanagement-System und einem IT-Sicherheitskonzept. Die Verarbeitungsverzeichnisse sollten gepflegt, evtl. notwendige Datenschutz-Folgeabschätzungen durchgeführt werden. Nicht zu vergessen: Die Datenschutzerklärung muss aktuell sein und die gesetzlichen Anforderungen erfüllen. Außerdem vergessen Unternehmen häufig, dass Datenschutz nicht nur Kundendaten betrifft, sondern auch Mitarbeiter-Daten. Die Personalabteilung sollten also unbedingt geschult werden, damit dort der sichere Umgang mit den sensiblen Personaldaten gewährleistet ist. Weitere Themen im Unternehmen sind die Löschkonzepte, Beschwerde-Management, Benennung des Datenschutzbeauftragten, Dokumentation und die Einholung rechtswirksamer Einwilligungen. Wir stehen Ihnen bei der Umsetzung der Regeln aus der DSGVO im Unternehmen gerne beratend zur Seite. (mr)
Wie kann ich Ihnen helfen?
Nehmen Sie gerne Kontakt auf:
Tel.: +49 6131 30290460
Mail: mraetze@tcilaw.com
www.tcilaw.de
- Neue Produktsicherheitsverordnung: Was kommt auf Händler zu? - 19. April 2024
- Der Widerrufsbutton kommt - 27. März 2024
- Darf die Abfrage des Geburtsdatums im Online-Shop verpflichtend sein? - 26. Februar 2024