Das erste halbe Jahr DSGVO - viel Rauch um Nichts oder doch gefährlicher Schwelbrand?
von Rechtsanwalt Michael Terhaag, LL.M.
Am 25. Mai 2018 und damit in diesen Tagen vor sechs Monaten endete die Übergangsfrist für die neue Datenschutzgrundverordnung.
Unter anderem das Verbraucher Magazin Volle Kanne des ZDF bat aus diesem Anlass den Verfasser zu einem kurzen Fazit und nachdem er bereits im Mai hierzu dort zu Gast sein durfte, stand er nocheinmal zur Thematik Rede und Antwort. Das ganze aktuelle Interview finden Sie hier - den Beitrag aus Mitte Mai hier.
Auch in Deutschland mussten die Regelungen also zum Ende 2018 endgültig umgesetzt werden. Die DSGVO verstärkte dabei die Rechte der Verbraucher und setzte die Bußgelder für Verstöße drastisch nach oben. Dadurch entstand eine regelrechte Panik vor Abmahnwellen und horrenden Bußgeldern. Doch haben sich diese Befürchtungen tatsächlich bewahrheitet und welche Fragen sind immer noch offen? Hier eine erste Zwischenbilanz:
Ist die befürchtete Abmahnwelle eingetreten?
Diese Frage kann eindeutig mit nein beantwortet werden. Zwar gab es bislang ein paar wenige Abmahnungen aufgrund von Verstößen gegen die DSGVO, von einer Abmahnwelle kann jedoch bislang sicher nicht gesprochen werden. Nach unserer Einschätzung liegt das zu großen Teilen daran, dass die Rechtslage insgesamt noch Recht strittig ist und wegen vieler Unwägbarkeiten für die klassischen Abmahnanwälte das Terrain wohl noch zu unsicher ist.
So sind sich aktuell die Gerichte noch nicht einmal einig, ob man Verstöße gegen die Datenschutzgrundverordnung überhaupt kostenpflichtig über das Gesetz gegen unlauteren Wettbewerb abmahnen kann. So gibt es Stimmen, die sagen die Vorschriften der DSGVO dienen vorrangig dazu, die Daten der Nutzer und damit die Verbraucher zu schützen und nicht die im Wettbewerb stehenden Unternehmen.
Unterschiedliche Rechtsauffassungen zu dieser Thematik gab es schon vor der DSGVO - dies setzt sich leider fort.
So hat das Landgericht Bochum mit Urteil vom 07.08.2018 als erstes hierüber entschieden. Das Gericht schloss sich relativ knapp einer Auffassung aus der Literatur an und verneinte die Abmahnfähigkeit aus UWG insgesamt. Die Regelungen in der DSGVO würden die Rechtsfolgen zu Verstößen schon hinreichend regeln, vor allem in Bezug darauf, wer Verstöße geltend machen darf - so das Gericht. Davon seien Mitbewerber jedoch gerade nicht umfasst.
Diese Ansicht teilte das Landgericht Würzburg im September 2018 (Beschluss vom 13.09.2018, Az. 11 O 1741/18) nicht und nahm an, dass sich Mitbewerber bei Verstößen nach der DSGVO abmahnen können. Auch das OLG Hamburg ist in seinem Urteil vom 25.10.2018 (Az. 3 U 66/17) dieser Meinung gefolgt. Nach Ansicht der Hamburger Richter können Verstöße gegen die DSGVO Abmahnungen begründen. Es muss jedoch bei jedem Verstoß und damit in jedem Einzelfall untersucht werden, ob die verletzte Vorschrift auch die Mitbewerber und den allgemeinen Markt schützen soll.
Insgesamt geht die Tendenz wohl dahin, dass Verstöße gegen die DSGVO abgemahnt werden können. Vor allem die Hamburger Richter haben hier den richtigen Ansatz, dass bei Abmahnungen jeder Verstoß einzeln betrachtet werden muss - von einer gesicherten Rechtssprechung kann man aber natürlich noch nicht sprechen.
Wurden Bußgelder verhängt?
Durch die deutschen Behörden wurden noch keine Bußgelder verhängt*. Und auch in den weiteren Mitgliedsstaaten wurde bislang lediglich in Portugal ein Bußgeld nach der DSGVO verhängt. Dort wurde ein Krankenhaus zu einer Geldstrafe in Höhe von 400.000 € verurteilt, da die Patientendaten nicht genug nach außen geschützt wurden.
Das bedeutet aber natürlich nicht, dass das nicht noch kommt. So hat etwa das bayrische Landesamt für Datenschutz Kontrollen bei Online-Shops, Arztpraxen und großen sowie mittelständischen Unternehmen angekündigt und führt solche bereits durch. So hat der dortige Landesdatenschutzbeauftragte auch bereits einen konkreten Fragebogen zu diesen Untersuchungen veröffentlicht, bei dem sich sicher nicht alle betroffenen Unternehmen locker zurücklehnen können. So fragt auch die niedersächsische Datenschutzbehörde nach eigenen Angaben seit Ende Juni 50 Unternehmen an, wie sie den Datenschutz umsetzen.
Ansonsten scheinen sich die Landesbehörden noch relativ viel mit Beschwerden einzelner vermeintlich Betroffener herumschlagen zu müssen. Die Landesdatenschutzbeauftragte von Rheinland-Pfalz hatte beispielsweise im Rahmen eines Vortrags ausgeführt, dass in den ersten 125 Tagen DSGVO bereits 345 Beschwerden, 727 Beratungen und Stellungnahmen zur Unterstützung von betroffenen Personen und Verantwortlichen sowie 46 Meldungen zu Verletzungen eingegangen sind.
Die oft zitierten (möglichen) Bußgelder sind also bislang ausgeblieben* - es wird aber wohl nur eine Frage der Zeit sein, bis es ein erstes Unternehmen einmal trifft - man darf gespannt sein, denn wenn ein solches seiner Rechtsschutzmöglichkeiten ausnutzt ist mit gerichtlichen Entscheidungen sobald nicht zu rechnen.
* Just zwei Tage nach diesem Beitrag wurde dann auch der erste deutsche Bußgeldbescheid bekannt. Wie heise.de berichtet, wurde soeben ein Bußgeld von immerhin 20.000,- Euro einem Social Media Dienst namens Knuddels.
Immer noch große Unsicherheit hinsichtlich Cookies
Beim Surfen im Internet werden wir auf Websites immer wieder mit Anfragen in Bezug auf Cookies konfrontiert. Cookies sind kleine Datenpakete, die bei Besuch der Website auf dem PC des Nutzers gespeichert werden. Auf diese kann derjenige, der das Cookie gesetzt hat, immer wieder zugreifen und so z.B. das Surfverhalten des Nutzers nachvollziehen. Da die Cookies Daten enthalten, sind diese auch für die DSGVO relevant.
Nach bisheriger Rechtslage reichte der Hinweis auf die Verwendung von Cookies und die damit einhergehende Möglichkeit, der Verwendung von Cookies zu widersprechen.
Die DSGVO verlangt jedoch, dass vor einer Datenverarbeitung die Einwilligung des Betroffenen eingeholt wird. Somit müsste der Nutzer auch in die Verwendung von Cookies explizit einwilligen. Fraglich ist, ob die DSGVO die bisherigen Regelungen verdrängt und wie mit den Cookies umzugehen ist.
In der Praxis hat sich nunmehr der Hinweis auf die Cookies dahingehend durchgesetzt, dass der Nutzer auf die Verwendung der Cookies und darauf, dass er sich durch den Verbleib auf der Website mit der Verwendung der Cookies einverstanden erklärt, hingewiesen wird. Eine endgültige, rechtsverbindliche Entscheidung über diese Problematik ist jedoch noch nicht ergangen, so dass die rechtskonforme Verwendung von Cookies weiterhin ungeklärt bleibt.
Welche Auswirkung hat die Verordnung auf Fotos?
Auch Fotografien sind personenbezogene Daten, für die die neue Verordnung relevant ist. Dies führt zu einer weiteren Unsicherheit, denn die Erstellung und Verwendung der Bildnisse von Personen wird auch im Urheberrecht bzw. genauer im so genannten Kunsturhebergesetz (KUG) ausführlich geregelt. Jederman hat nach wie vor das "Recht am eigenen Bild". Bislang hat sich nur das OLG Köln zum Verhältnis der DSGVO zum KUG geäußert (Beschluss v. 18.06.2018, Az. 15 W 27/18; 08.10.2018, Az. 15 U 110/18) und dabei auch nur zum journalistischen Bereich.
Nach Ansicht der Kölner Richter sind in diesem Bereich die urheberrechtlichen Vorschriften relevant, so dass sich diesbezüglich durch die DSGVO nichts geändert hat. Für andere Bereiche wurde dazu noch nichts entschieden. Selbst wenn die DSGVO dabei jedoch anwendbar sein sollte, muss dann im Rahmen einer konkreten Güterabwägung zu klären sein, ob der Erlaubsnistatbestand des berechtigten Interesses vorliegt oder doch der Privatssphäre des Abgebildeten der Vorrang zu geben ist, siehe in diesem Zusammenhang auch unsere Beiträge "Verbietet die DSGVO das Fotografieren von Personen?" und "Fotografie und Recht – Was darf ich fotografieren und was nicht?"
Fazit
Die große Angst vor der DSGVO hat sich bislang nicht als berechtigt erachtet. Es sind allerdings noch viele Fragen offen, die rechtsverbindlich geklärt werden müssen. Die DSGVO hat in der Gesellschaft aber den Blick für die Verwendung ihrer Daten geschärft - und allein das ist ihr schon hoch anzurechnen. Viele Vorschriften führen jedoch zu Unsicherheit, ebenso wie die Masse an Vorschriften, die eingehalten werden müssen. Der Verbraucher wird zudem dadurch überfordert, dass er permanent über diese Massen unterrichtet wird. Dies führt leider schon nach einem halben Jahr DSGVO zu einer Datenschutzverdrossenheit und es besteht genauso die Gefahr einer völligen Gleichgültigkeit im Umgang mit den eigenen oder sogar fremden personenbezogenen Daten.