Was ist die DSGVO und wozu wurde sie eigentlich geschaffen?
Die DSGVO (auch: EU-DSGVO) ist eine Verordnung der Europäischen Union und steht EU-weit über nationalen Gesetzen. Seit dem 25. Mai 2016 gilt eine Übergangsfrist. Vom 25. Mai 2018 an ist die DSGVO in allen Mitgliedsstaaten einzuhalten. Ziel der Verordnung ist es, den Schutz persönlicher Daten zu stärken und die unterschiedlichen Regelungen in den Mitgliedsstaaten zu vereinheitlichen – zumindest weitgehend, denn Individualisierungen sind möglich. Es gibt sogenannte „Öffnungsklauseln“.
Datenschutz ist ein Grundrecht, in Europa festgehalten in Artikel 8 der Charta der Grundrechte der EU. Neu ist bei der Verarbeitung von Daten das Prinzip „Verbot mit Erlaubnisvorbehalt“. Es lässt sich so beschreiben: „Die Verarbeitung personenbezogener Daten ist verboten, wenn sie nicht ausdrücklich erlaubt ist.“ Jeder Nutzer hat das Recht, über die Verwendung seiner personenbezogenen Daten zu bestimmen. (jh)
Gibt es eine Muster-Datenschutzerklärung?
„Nein, die eine Muster-Datenschutzerklärung für die PR kann es nicht geben. Denn anders als bisher verlangt die DSGVO den Nachweis spezifischer und konkreter‚ technischer und organisatorischer Maßnahmen und sehr weitreichende Dokumentationspflichten im konkreten Einzelfall. Daher gibt es zwar unzählige Muster für einzelne Verarbeitungsprozesse, Formulare und Beispiele für verschiedene Verarbeitungssituationen. Man wird aber nicht umhinkommen, diese für die jeweilige Organisation und Tätigkeit spezifisch an und in das Gesamtkonzept der eigenen Organisation einzupassen. Hier gilt jedoch: Es gibt kein Richtig im Falschen. Eine Kommunikationsabteilung kann nicht isoliert ‚DSGVO-ready‘ werden, wenn es der Rest der Organisation nicht ist. Deshalb: Reden Sie mit Ihren Datenschutzexperten im Unternehmen oder holen Sie sich Rat von außen!“ (jm)
Werden die Aufsichtsbehörden in den Bundesländern Bußgelder bei Verstößen gegen die DSGVO wirklich und unmittelbar nach dem 25. Mai verhängen? Oder wird es eine Art „Schonfrist“ geben?
„Eine weitere Schonfrist nach dem 25. Mai ist nicht mehr vorgesehen. Allen Unternehmen muss klar sein, dass ab diesem Zeitpunkt die Sanktionen mit der DSGVO deutlich härter als unter den bisher geltenden nationalen Bestimmungen in Deutschland ausfallen können. Gerade für größere Unternehmen stellt die Anknüpfung der Bußgeldhöhe an den Konzernumsatz eine neue Dimension des Risikos dar.
Allerdings sind die vielzitierten Bußgelder bei den neuen Aufgaben der Aufsichtsbehörden nur ein Baustein der zahlreichen Maßnahmen, die bei Datenschutzverstößen zur Anwendung kommen können. Das Instrumentarium umfasst zuallererst auch Hinweise, Warnungen, Auskunftsrechte oder Anordnungsbefugnisse. Wichtig ist auch: Nicht aus jedem Datenschutzverstoß folgt zwingend ein Bußgeldverfahren. Vielmehr sind die Kriterien wie ‚Schwere des Verstoßes, Quantität und Sensibilität der Daten’ bereits bei der Frage zu berücksichtigen, ob ein Bußgeldverfahren eingeleitet wird.“ (jt)
Was muss ich in Zukunft beim Fotografieren von Veranstaltungen beachten, beispielsweise an einem Tag der offenen Tür in meiner Firma oder einer Preisverleihung meiner Organisation an Ehrenamtliche?
„Das Fotografieren auf Veranstaltungen bleibt erlaubt, und man braucht auch nicht von jedem Gast ein schriftliches Einverständnis. Allerdings gibt es Informationspflichten. Die Besucher sollten auf einem Zettel oder per Aushang informiert werden: darüber, dass Fotos beabsichtigt sind; und darüber, dass der Besucher ein Widerspruchsrecht hat.“ (nh)
Kann ich Journalisten weiterhin ungefragt Themenangebote und Pressemitteilungen via E-Mail schicken?
„Zunächst einmal: Die DSGVO oder der Datenschutz haben nichts damit zu tun, ob man einem Journalisten E-Mails schicken darf. Das ist grundsätzlich erlaubt. Allerdings: Wenn die Mails Werbung enthalten – und das gilt auch bei Pressemitteilungen zu einem neuen Produkt –, greift das Wettbewerbsrecht. Sobald es um den ‚Absatz’ von Produkten und Dienstleistungen geht, gilt ‚Opt-in’ für E-Mails. Journalisten ungefragt Produktinformationen zuzusenden, war also bisher schon nicht erlaubt, wenngleich gängige Praxis. Die DSGVO ändert daran nichts.“ (nh)
Kann ich Adressdatenbanken wie Zimpel weiterhin bedenkenlos verwenden?
„Kommt darauf an. Adressdatenbanken wird es natürlich auch weiterhin geben. Jedoch wird man bei Übernahme der Daten für eigene PR-Zwecke kaum rechtfertigen können, warum man den Betreffenden nicht gemäß Art. 14 DSGVO über die Verarbeitung seiner Daten aus dieser Quelle, über Kategorie, Zwecke, Rechtsgrund et cetera und seine folgenden Betroffenenrechte informieren muss. Denn eine Ausnahmeregelung von Informationspflichten zugunsten der Verarbeitung allgemein zugänglicher Daten wäre dem deutschen Gesetzgeber zwar möglich. Sie ist bislang jedoch nicht geplant. Insoweit bewirkt die DSGVO eine weitgehende Kommunikationsregulierung. Aber auch, wenn ich die Daten anschließend aus dieser Quelle unwidersprochen verarbeiten darf, können sich Beschränkungen ihrer Verwendung ergeben, die natürlich unverändert parallel zum neuen Datenschutzrecht existieren. Insbesondere das Verbot von werblicher E-Mail-Kommunikation – was eben auch nicht in Form eines Newsletters oder Presseverteilers geschehen kann – bleibt zu beachten.“ (jm)
Was ist bei der Zusammenarbeit mit Dienstleistern generell zu beachten? Wer haftet im Falle von Datenschutzverletzungen?
„Die DSGVO sieht vor, dass sich der Auftraggeber nicht hinter Verletzungen des Datenschutzes durch den Auftragnehmer verstecken kann. Sondern er steht für diesen in der Verantwortung, dass die Verarbeitung personenbezogener Daten durch ihn gemäß der DSGVO erfolgt (Art. 24 Abs. 1 S. 1 DSGVO). Mancher könnte vielleicht auf die Idee kommen, Informationspflichten zu vermeiden und/oder bestimmte problematische Verarbeitungen – zum Beispiel Monitoring sensibler Daten, Targeting, Profiling et cetera − einfach an Dienstleister auszulagern, die ihm hier vielleicht sogar falsche Sicherheit versprechen. Diese Idee könnte sich jedoch als ein ausgesprochenes Problem erweisen.“ (jm)
Was muss ich als PR-Verantwortlicher zum Verfahrensverzeichnis beitragen?
„Jede Adressliste und jedes Telefonverzeichnis muss verzeichnet werden. Wenn ich mit Dienstleistern zusammenarbeite und Adressen austausche, gehört auch dies in das Verarbeitungsverzeichnis.“ (nh)
Darf ich meine Kontaktdatenbank mit Journalisten wie bisher betreiben oder benötige ich Einverständniserklärungen auch von Bestandskontakten?
„Nein, ich muss auch in Zukunft keinen Journalisten fragen, wenn ich seine Adresse in eine Datenbank aufnehme. Adressen sind keine Geheiminformationen. Jedes berechtigte Interesse reicht aus, damit die Speicherung legal ist. Dass ein PR-Verantwortlicher ein berechtigtes Interesse an der Speicherung von Journalistenkontakten hat, steht außer Frage.“ (nh)
Viele Berater und Anwälte scheinen momentan ein gutes Geschäft zu wittern. Täuscht der Eindruck?
„Nein, genauso ist es. Wir Juristen und Berater sind die größten Nutznießer der Datenschutzreform. Denn die Regeln sind so kompliziert, dass man sie ohne Expertenrat nicht versteht. Wenn das neue Recht dann gilt, werden manche Juristenkollegen auch versucht sein, mit dem neuen Recht einträgliche Geschäfte zu machen.“ (nh)
Nach der DSGVO folgt demnächst ja auch noch die E-Privacy-Verordnung. Was hat es damit auf sich und inwieweit wird sie die Arbeit von Öffentlichkeitsarbeitern beeinflussen?
„Eigentlich sollte mit der DSGVO auch die E-Privacy-Verordnung überarbeitet werden und die Datenschutzrichtlinie für elektronische Kommunikation – die sogenannte E-Privacy-Richtlinie − einschließlich der sogenannten Cookie-Richtlinie ablösen und auch hier einen einheitlichen Rechtsrahmen setzen. Das wird sich jedoch noch bis weit ins Jahr 2019 hinein verzögern. Inhaltlich soll die Verordnung den Schutz des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation regeln. Wer also eine Webseite vorhält oder sonst Diensteanbieter nach dem Telemediengesetz ist, wird von der Verordnung betroffen sein. Hier werden sehr weitreichende Verbote etwa für Cookies und Tracking diskutiert. Sie stehen jedoch stark in der Kritik. Daher bleibt zu beobachten, wie sich nach den ersten Auswirkungen der DSGVO auf die Praxis die weitere Diskussion entwickelt. Für konkrete Aussagen ist es noch zu früh.“ (jm)
Die Experten
jm: Jan Mönikes ist Partner der Anwaltskanzlei Schalast & Partner und Justiziar des BdP.
jt: Jens Thurow leitet die Presse- und Öffentlichkeitsarbeit im Büro der Landesbeauftragten für den Datenschutz Niedersachsen.
nh: Niko Härting ist Partner der Anwaltskanzlei Härting und Honorarprofessor an der Hochschule für Wirtschaft und Recht (HWR Berlin).
jh: Jens Hungermann, pressesprecher-Redaktion.
Hinweis: Dieser Text ist eine erweiterte Version des Beitrags, der in der gedruckten Ausgabe erschienenen ist.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe SPIELEN. Das Heft können Sie hier bestellen.
