Seit dem 25. Mai 2018 herrscht im Hinblick auf die Datenschutzgrundverordnung immer noch eine große Verunsicherung. Viele wissen in etlichen Fällen nicht, wie mit der DSGVO und ihren Regelungen umzugehen ist. Agiere ich datenschutzkonform, wenn ich Microsoft Office verwende? Darf ich Werbemails überhaupt noch versenden? Muss jeder meiner Datenschutzerklärung auf der Website zustimmen? Solche Fragen bleiben für viele unbeantwortet. Nachfolgend einige Beispiele, in denen die DSGVO immer wieder unrichtig interpretiert wird.

• "Meine personenbezogenen Daten dürfen nur mit Einwilligung verwendet werden."

Im Zuge eines Vertragsverhältnisses hat man immer wieder mit Personen zu tun, die behaupten, dass die Einwilligung zwingende Voraussetzung für die Speicherung ihrer Vertragsparteidaten ist. Vielmehr sieht Art. 6 Abs. 1 lit. b DSGVO jedoch vor, dass bei der Erfüllung eines Vertrags die Verarbeitung von personenbezogenen Daten für diesen Zweck gerechtfertigt ist. Somit ist auch eine Einwilligung nicht erforderlich. Vertragsparteien muss es immer noch möglich sein, ihre abgeschlossenen Verträge zu erfüllen.

Ein weiterer Aberglaube ist, dass Werbemails nur nach erfolgter Einwilligung übermittelt werden dürfen. Art. 6 Abs. 1 lit. f DSGVO sieht jedoch vor, dass personenbezogene Daten aufgrund eines berechtigten Interesses des jeweiligen Verantwortlichen verarbeitet werden können und somit eine Einwilligung nicht immer eingeholt werden muss. Der Rechtfertigungsgrund des berechtigten Interesses kann auch bei der Versendung von Werbemails herangezogen werden. So sieht Erwägungsgrund 47 zur DSGVO vor, dass die Verarbeitung personenbezogener Daten, z. B. von E-Mail-Adressen, zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden kann.

• "Wenn ich einen Antrag auf Löschung stelle, muss das Unternehmen alle meine Daten löschen."

Auch diese Überschrift stellt einen weitverbreiteten Aberglauben dar: Richtig ist zwar, dass gemäß Art. 17 DSGVO ein Antrag auf Löschung sämtlicher personenbezogener Daten gestellt werden kann, jedoch besteht seitens des Verantwortlichen nur dann eine Löschverpflichtung, wenn keine andere Grundlage die weitere Verarbeitung der personenbezogenen Daten rechtfertigt. Verarbeitet der Verantwortliche die personenbezogenen Daten etwa gemäß einer gesetzlichen Verpflichtung, besteht ein Löschanspruch der betroffenen Person erst dann, wenn die gesetzliche Verpflichtung nicht mehr aufrecht ist. Als Beispiel ist hier die siebenjährige Aufbewahrungspflicht von Rechnungen gemäß § 132 Bundesabgabenordnung zu nennen.

• "Ich kenne die Person, deren Daten ich verwende, nicht, daher sind diese Daten anonym und fallen nicht unter die DSGVO."

Anonym sind Daten gemäß DSGVO erst dann, wenn daraus keine Rückschlüsse mehr auf die natürliche Person getroffen werden können, und dies von niemanden. Wenn also noch eine andere Person mit diesen Daten Rückschlüsse auf eine natürliche Person treffen kann, sind die Daten nicht anonym, sondern pseudonymisiert, und fällt die Verarbeitung dieser personenbezogenen Daten unter den Anwendungsbereich der DSGVO. Im Zweifel sollte man davon ausgehen, dass man mit pseudonymisierten Daten zu tun hat.

Kuriose Entscheidungen

Dieser Aberglaube kommt auch dadurch zustande, dass im letzten Jahr äußerst kuriose Entscheidungen der Aufsichtsbehörden oder anderer Entscheidungsträger durch die Medien gegangen sind. Ein paar Beispiele:

• Die Handynummer bleibt geheim

Auch wenn der Vorgesetzte es verlangt: Beschäftigte müssen ihre private Handynummer bei der Arbeit nicht mitteilen. Das hat das Thüringer Landesarbeitsgericht mit seinem Urteil vom 16. 5. 2018 entschieden.

• Klingelschilder ohne Namen

Nachdem ein Mieter einer Gemeindewohnung den mangelnden Datenschutz beklagte, will die kommunale Hausverwaltung der rund 2000 Wohnanlagen von Wiener Wohnen bis zum Ende des Jahres 220.000 Klingelschilder entfernen.

• Eklat in der Fleischerei

"Guten Tag Frau ...": So begrüßte die Verkäuferin einer Fleischerei eine Kundin und wurde erst einmal zurechtgewiesen. Sie wolle nicht, dass ihr Name öffentlich genannt wird. Außerdem verstoße dies nach ihrer Ansicht gegen die DSGVO. Damit lag sie falsch: Im konkreten Fall lag kein sachlicher Anwendungsbereich der DSGVO vor. Es handelt sich nämlich hier nicht um eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten oder eine nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

• Kita schwärzt Erinnerungsalben

Eine Kindertagesstätte hat, wie in jedem Jahr üblich, Erinnerungsalben mit Fotos der in die Schule kommenden Kinder angefertigt, um diese als Abschiedsgeschenk zu übergeben. Doch ist auf den Fotos immer nur das Kind zu erkennen, dem das Album geschenkt wurde. Alle anderen Kinder und auch Erzieher sind geschwärzt (durch blaue Gesichter oder Balken). Der Grund ist die DSGVO: Die dortigen Mitarbeiter befürchteten, dass sie gegen die neuen, strengeren Regeln verstoßen. Nun ist auf den Bildern in der Mappe nur noch das Kind, das das Erinnerungsalbum erhält, zu erkennen.

• Erzdiözese stoppt Livestreams

In den letzten Jahren übertrug die Erzdiözese Freiburg ihre Feiertagsgottesdienste aus dem Freiburger Münster im Internet. Damit ist jetzt Schluss. Der Grund ist die DSGVO: Alle Zelebranten, Ministranten, Lektoren und Chorsänger müssten sonst eine schriftliche Einwilligung geben.

In den oben zitierten Fällen sieht man, dass die DSGVO im letzten Jahr äußerst restriktiv ausgelegt wurde. Oftmals wurde auch auf andere mögliche Rechtfertigungsgründe zur Verarbeitung von personenbezogenen Daten "vergessen". Man kann gespannt sein, wie sich der Datenschutz im nächsten Jahr entwickeln wird. Fest steht, dass jedenfalls noch Aufklärungsbedarf besteht. (Daniel Stanonik, Karsten Kinast, Wirtschaft & Recht Spezial, 23.5.2019)