DSGVO – Diese Verordnung gilt – vielleicht – nicht für die Verarbeitung personenbezogener Daten juristischer Personen!

Oder etwa doch? Die Absichten des Gesetzgebers sind – wie so oft – nicht leicht zu durchschauen. Fraglich ist, wie nun vorzugehen ist. Und Fakt ist: Jeder muss die Verantwortung für sein Handeln tragen und mit den Konsequenzen – bis zu € 20 Mio. Bußgeld – leben können!

Wie nun allseits bekannt sein sollte, ist bis 25. Mai 2018 die neue DSGVO umzusetzen bzw. anzuwenden. In diesem Artikel soll nicht darauf eingegangen werden, was die DSGVO mit sich bringt, was geändert wird, was zu beachten wäre oder wie es am einfachsten umzusetzen ist. Diese Themen werden bereits auf Hunderten von anderen Websites zum Nachlesen zur Verfügung gestellt. Jene, welche die Gunst der Stunde nutzen, bieten sogar Literatur und Schulungen zu teilweise horrenden Preisen an. In diesem Artikel soll es darum gehen, welche Schwierigkeiten die DSGVO für juristische Personen mit sich bringt und ob dies überhaupt die Intention des Gesetzgebers sein kann.

Historisches zum Schutz natürlicher Personen

Beginnen wir mit dem Jahr 1999: Der Vertrag über die Arbeitsweise der Europäischen Union (AEUV) in Artikel 16 sah vor, dass das Europäische Parlament und der Rat Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu erlassen haben.

Im Jahre 2016 wurde die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Datenschutz-Grundverordnung der Richtlinie 95/46/EG erlassen (kurz Datenschutzgrundverordnung – DSGVO), wobei im Erwägungsgrund 12 Bezug auf die im Jahr 1999 vorgesehene Regelung des Art 16 AEUV genommen wurde und im Erwägungsgrund 14 folgendermaßen ergänzt wurde:

„Der durch diese Verordnung gewährte Schutz sollte für die Verarbeitung der personenbezogenen Daten natürlicher Personen ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gelten. Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“

Recht auf Datenschutz: ein Jedermanns-Recht!?

Schnell wird klar, dass bereits 1999 der Schutz juristischer Personen gar nicht gemeint sein konnte, wenn die Rede von Vorschriften über den Schutz natürlicher Personen ist und in der gesamten Verordnung die natürlichen Personen explizit als solche genannt werden. Auch sind heute mit der DSGVO die juristischen Personen ausdrücklich ausgenommen, was – vom Erwägungsgrund 14 einmal abgesehen – alleine aus dem Titel des Gesetzes schon ableitbar ist: „Bundesgesetz zum Schutz personenbezogener Daten natürlicher Personen“.

Österreich ist innerhalb der EU einer von sehr wenigen Mitgliedsstaaten, die übereifrig die nationale Ausweitung der DSGVO anstreben, indem diese im gleichen Maße auch auf juristische Personen anzuwenden sein soll. Das geht bereits aus dem Datenschutzgesetz 2000 hervor, in dem schon im ersten Artikel festgehalten wird, dass Jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat. Dieser Artikel soll auch weiterhin gelten! Denn nach wie vor wird an diesem Gedanken festgehalten. Dr. Riedl, Legist im Bundeskanzleramt, der u.a. das Datenschutz-Anpassungsgesetz 2018, mit welchem das DSG 2000 geändert wird, maßgeblich mitentworfen hat, vertritt in einem Interview die Meinung, dass der Datenschutz in Österreich für juristische Personen bestehen bleibt! Entspricht dies aber auch der Intention der europäischen Rechtssetzungsorgane?

 

Welche Schwierigkeiten brächte das mit sich?

Nehmen wir einmal an, die DSGVO ist tatsächlich auf juristische Personen in gleichem Umfang wie auf natürliche Personen anwendbar. Die Schwierigkeiten beginnen bereits mit der Kontaktaufnahme. Dazu ein Beispiel:

Herr S ist auf einem Event, auf dem sehr viele Geschäftsleute anwesend sind. Sein Ziel ist es, so viele Kontakte wie möglich zu knüpfen. Es folgen Gespräche, währenddessen erfolgt ein reger Austausch von Visitenkarten. Am nächsten Tag sitzt Herr S im Büro und möchte die Visitenkarten eine nach der anderen in seinem Adressverzeichnis abspeichern. Ach, du Schreck! Er hat vergessen zu fragen, ob der Betroffene einverstanden ist, dass Herr S seine Daten in sein elektronisches Kontaktverzeichnis aufnimmt! Und wenn er es trotzdem tut und jemanden dann auch noch per eMail anschreibt? Tja, was ist zu tun? Herr S überlegt, ob nicht das Austeilen der Visitenkarte per se schon eine Zustimmung war. Oder soll er auf Nummer sicher gehen und wie früher vor langer Zeit für die vielen Visitenkarten ein schönes Etui kaufen und sie dort aufbewahren? Ja, eine Option wäre auch, er ruft den Betroffenen an und holt seine Einwilligung ein – wie peinlich ist bitte das? Außerdem muss er das Einverständnis im Zweifel nachweisen können – also braucht er etwas Schriftliches. Per eMail kann er ihn nicht kontaktieren, weil er dann seine Daten elektronisch schon erfasst hätte. Heißt das alles nun, Herr S muss ihn persönlich aufsuchen?

Ein weiteres Beispiel aus der Praxis:

Frau M hat ein Verzeichnis, das sie jahrelang gut gepflegt hat. Sie hat viele Kontakte geknüpft, viele Leute kennengelernt, viele auch laufend kontaktiert, andere wiederum weniger bis gar nicht. Nun fällt ihr ein, XY, den sie letztes Jahr kennengelernt hat, wäre der richtige Partner für ihr nächstes Projekt. Sie hat seine E-Mail-Adresse, seine Telefonnummer und seinen Namen. Wie ist das jetzt, nachdem die DSGVO in Kraft tritt? Darf sie ihn überhaupt kontaktieren ohne dass er dem im Vorfeld zustimmt? Muss sie nun eigentlich von allen ihren Kontakten eine Zustimmung einholen, dass diese Leute weiterhin in ihrem elektronischen Adressverzeichnis verbleiben und sie sie kontaktieren darf?

Wie vielen würde es in solchen im Berufsalltag üblichen Situationen gleich ergehen? Naja, zumindest allen, die in Österreich eine Niederlassung haben.

Darf ich nun die juristische Person anschreiben? Darf ich bloß die juristische Person anschreiben, ohne eine Ansprechperson beim Namen zu konkretisieren? Oder darf ich die Ansprechperson der juristischen Person anschreiben, die eine natürliche Person ist, ohne deren Zustimmung im Vorfeld eingeholt zu haben? Wie sind eigentlich juristische Personen zu behandeln, die im Netz gefunden werden wollen? Erteilen diese nicht schon mit ihrem öffentlichen Auftritt eine Zustimmung zur Kontaktaufnahme? Wie lautet eigentlich die Definition von „Kontaktdaten“? Steht da nicht automatisch immer eine Person im Hintergrund? Fragen, Fragen und noch mehr Fragen, die derzeit ganz klar nicht durch die nationalen Gesetze beantwortet werden können.

Widersprüche: DSGVO, PSD2 und ePV

Und so wie Gesetze nun mal sind – nämlich widersprüchlich, denn sonst gäbe es ja nichts, worüber diskutiert werden könnte – steht auch die DSGVO im Widerspruch zur neuen EU-Richtlinie, die Payment Services Directive 2 (PSD2), welche seit dem 13. Jänner 2018 in Kraft ist, sodass nun Amazon, Ebay und sonst alle Online-Händler Zugriff auf die vergangenen 90 Tage der Kundenbankkonten haben, um deren Zahlungsfähigkeit beobachten zu können. Da wird nun auf der einen Seite vom Schutz personenbezogener Daten natürlicher Personen gesprochen und auf der anderen Seite werden Daten von natürlichen Personen eingeholt – weitreichend bis zum Arbeitgeber, Einkaufsgewohnheiten, Kreditraten, Unterhaltsleistungen, persönliche Ausgaben und über sonst alle Informationen, die am Konto ablesbar sind. Steht wirklich der Schutz der Privatsphäre der natürlichen Person im Vordergrund?

Damit nicht genug: Auch steht die DSGVO in Konflikt mit der ePrivacy-Verordnung (ePV), die ebenfalls 2018 Geltung erlangen soll. Die ePrivacy-Richtlinie wurde erstmals 2002 erlassen und durch die Cookies-Richtlinie 2009 ergänzt, welche wiederum die europäische Datenschutzrichtlinie (Richtlinie 95/46/EG) ergänzen. Nachdem es sich um Richtlinien handelt und diese in den Mitgliedstaaten nicht automatisch gelten, sondern zuerst noch umgesetzt werden müssen, wurden die Datenschutzgrundverordnung sowie die ePV erlassen, welche in den Mitgliedstaaten unmittelbar gelten.

An die Erteilung der Zustimmung zur Verwendung von Cookies haben wir uns gewöhnt. Auch daran, dass die Meldung uns auf jeder Website, die wir besuchen, erscheint, verfolgt, gar nicht loslässt, bis der OK-Button betätigt wird. Auch sind wir es gewohnt, den Nutzungsbestimmungen oder den AGB zuzustimmen, wenn wir unsere persönlichen Daten irgendwo eingeben. Meist ohne diese Bedingungen überhaupt überflogen zu haben. Von Lesen dieser Bedingungen ist überhaupt nicht die Rede!

Nun hat sich das Ganze aber so entwickelt, dass entsprechend der ePV die natürliche Person in ihren Browser-Einstellungen schon die Voreinstellung haben soll, überhaupt keine Cookies zuzulassen. Das heißt, der Website-Besucher muss in den Browsereinstellungen die Grundeinstellung ändern, damit Cookies angewendet werden dürfen.

Die DSGVO hingegen sieht eine aktive Zustimmungspflicht vor. Was bedeutet, dass nach wie vor ein Button erscheint, der nach Zustimmung verlangt. Wie sollen Unternehmer diese beiden Verordnungen auf ihrer Website umsetzen?

Nachdem die ePV als lex specialis Vorrang vor der allgemeineren DSGVO genießt, wird wohl die Option mit der Browsereinstellung zum Tragen kommen. Bedeutet diese Grundeinstellung aber nicht einen gravierenden Einschnitt in die stark wachsende Online- und Digitalbranche? Ohne Cookies kann kaum sinnvoll Werbung betrieben werden und ohne Werbung erfolgt kein Absatz. Aber das macht ja offenbar nichts, sollen die Geschäfte halt andere Anbieter machen, die im Ausland sitzen und für die dieser ganze Unfug nicht gilt oder bei denen es nicht durchsetzbar ist!

Weiter noch: Das Sammeln von Informationen durch Cookies ist nach der DSGVO von der Zustimmung eines jeden abhängig. Die ePV hingegen sieht zwei Ausnahmen vor, welche die Verwendung von Cookies für zulässig erklären, ohne dass der Nutzer zustimmt: Einmal wenn dies ausschließlich für die Erbringung des vom Nutzer angeforderten Dienstes notwendig ist (zB Warenkorb) und einmal zur Messung des Webpublikums, sofern aber der Betreiber diese Messung durchführt! Die heimischen Websitenbetreiber haben die Ressourcen zur Messung gar nicht und bedienen sich dabei Dritter, was bedeutet, dass die heimischen Unternehmer einen starken Wettbewerbsnachteil genießen dürfen, während die großen nicht-europäischen Portale als Erstanbieter wie Google, Facebook und YouTube weiterhin solche Daten erheben und auswerten können.

Die Umsetzung der DSGVO und der noch ausstehender Überraschungen wie der ePV wird nicht ganz einfach sein. Wer denkt, ohne professionelle Hilfe mit diesen neuen Datenschutzregeln klar kommen zu können, wird sich sehr viel Zeit und Geduld einplanen müssen. Zumindest ein Gespräch mit einem Experten, in dem offene Fragen geklärt werden können, wird ratsam sein. Oder aber wir alle üben Druck auf unsere Politiker aus, diesen ganzen Blödsinn vernünftig zurückzufahren.

Ach, und vergessen Sie bitte nicht: Sollten Sie über Ihre Website einen Newsletter anbieten, fragen Sie nicht nach mehr Daten als dafür notwendig ist UND schicken Sie dem Abonnenten ab dem 25. Mai 2018 keine Bestätigungsnachricht bzgl. seiner Abmeldung mehr!

Hat Ihnen der Artikel gefallen? Dann fühlen Sie sich frei, ihn zu teilen!

Was brennt Ihnen unter den Nägeln?

Ihre Email-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit einem Stern (*) markiert.