Die Verunsicherung der Designbüros, Soloselbständigen aber auch Unternehmen (Auftraggeber in Deutschland), die online aktiv sind, Portale, URLs oder CMS-Systeme pflegen und verwalten, sowie bei Anbietern von z.B. Distributionsleistungen, Management, Serviceleistungen […] war in den letzten Tagen und Wochen groß. Der Datenschutzteufel und Rotstift machte vielen zu schaffen und wird es auch weiterhin tun. Ab dem 25. Mai 2018 sind die neuen Rechtsgrundlagen offiziell anzuwenden. Die Optionen und gewaltigen Strafandrohungen, die in den Medien kursierten, haben viele Anbieter und Ansprechpartner zudem massiv verunsichert, selbst wenn die maximalen Forderungen im Falle einer Verurteilung über "bis zu" 20 Millionen Euro wohl an die US-amerikanischen Internet-Plattformen wie Google oder Facebook adressiert waren.

Die unternehmerische DNA muss in einigen Fällen neu konzipiert werden. Unternehmen und Designer, die schon immer in Deutschland Provider und Dienstleister beauftragen, Vorgänge lückenlos dokumentieren und Datenschutz ernst genommen haben, sollten diesbezüglich keine wesentlichen Änderungen, Geldbußen oder Verstöße befürchten müssen. Aktionismus ist in der Regel nicht sinnvoll und auch nicht nötig. Jeglicher Datenkapitalismus aus dem Silicon Valley, der willkürliche Umgang mit persönlichen und intimen Informationen oder der Handel mit vertraulichen Informationen war noch nie akzeptabel, wenn auch ein verlockendes Geschäft. Alleine Vernunft und Moral hätten auch vor zehn Jahren schon plausibel darauf hinweisen können, weshalb beispielsweise Anbieter im Social Web kostenfrei umfassende Leistungen angeboten haben und damit "reich wurden", mit denen Dritte Geld verdienen mussten!? Trotzdem.

Wenn heute also bis zu 4% des Jahresumsatzes (siehe Sanktionen, unten), also im Falle Facebook (optional und exemplarisch!) rund 1,6 Mrd. gefordert werden könnten, kann das nicht grundsätzlich falsch sein und sollte zur Vorsicht animieren. Unternehmen, die global einwandfrei im Sinne der Nutzer und des Datenschutzes agieren, haben nichts zu befürchten: Natürlich auch Facebook u.a. nicht. Das neue Gesetz schafft Fakten und Möglichkeiten für eine mögliche Vollstreckung, die so bislang nicht möglich war. Ab 25. Mai 2018 droht keine Absichtserklärung, werden diplomatisch Ziele vereinbart oder versuchen Regeln Vernunft einzufordern: Es tickt der Counter der Exekutiven und formuliert damit eindeutig eine Verpflichtung und Verantwortung für alle, die bislang die Informationen nur zur Kenntnis genommen haben.

Keine Angst: Rund 85% der deutschen Internetnutzer haben ihr Verhalten bislang trotzdem nur geringfügig geändert und vertrauen schon seit einiger Zeit nicht mehr blind. Selbst Rekruiting, Personalmanagement, Lebenskonzeptionen, WebProstitution, Selbstmarketing und Eigenprofilierung erscheinen nicht mehr so kritisch, wie zu Zeiten der eigenen Persönlichkeitsspaltung, eigenen Schwächendokumentation oder der Darstellung des sog. "OnlineFlatratesaufens der Highpotentials". Der mögliche Missbrauch, aber auch die sachliche Dokumentation selbstinszenierter Horrorszenarien durch Dritte, scheint längst klar zu sein. Auch wenn die nötige Transparenz fehlt, folgen immer mehr Datenschutzrichtlinien, Verbraucherschutz (vor sich selbst), Gesetze gegen strafbare Inhalte im Internet, Netzdurchsetzungsgesetze, Sharingprinzipien […] und Verhaltensregeln, die Datenschutzbeauftragte, Verbände aber auch Nutzer gemeinsam weiterentwickeln werden. Wissen, Infosharing, Kenntnisse, Fähigkeiten und Sachverstand sind im Onlinezeitalter in jedem Fall sinnvoll und teleologisch.

Das aktuelle Procedere, komplexe juristische Tatbestände aber auch mögliche Abmahnvereinigungen, Juristen, Datenschutzrichtlinien, Kollisionen mit Gesetzen des Unlauteren Wettbewerbs (UWG) und moralische Verpflichtungen des Einzelnen sollten alle Betroffenen wach gerüttelt haben, sich rechtzeitig zu informieren und mögliche Abmahnungen und kostenpflichtiges Vorgehen zu vermeiden. Viele Details basieren zudem auf den Regularien des bereits geltenden Bundesdatenschutzgesetzes (BDSG).

Grundsätzlich sollen mit der DSGVO die Rahmenbedingungen und Regeln zur Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Einrichtungen EU-weit vereinheitlicht werden, um so diese Daten zu schützen und gleichzeitig den freien Datenverkehr innerhalb des Europäischen Binnenmarktes sicherstellen zu können. Das erscheint auch gut so, denn personenbezogene Daten und individuelle Informationen, mit denen natürliche Personen beispielsweise durch Namen, Kennnummern, Standortbestimmung, medizinische Merkmale, physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Eigenschaften eindeutig identifiziert werden können, dürfen nicht ohne vorherige Einwilligung oder Kenntnis der betroffenen Person Jedermann zugänglich sein. Bedenkt man, dass im Sinne des Dialogmarketings zur Schärfung der Profile einzelner Personen inzwischen Beschreibungen kostenfrei, persönlich, deutlich intimer, freizügiger und scheinbar ganz selbstverständlich im Social Web erstellt werden, erscheint es sinnvoll und höchste Zeit zu sein, dieser Selbstdarstellung und Informations-Prostitution zumindest gesetzliche Rahmenbedingungen vorzugeben, um den möglichen Missbrauch und das Risikomanagement zu reduzieren. Die Potentiale und Risiken sind groß, ein gigantischer Schaden möglich und der Prozess nicht unter Kontrolle.

Dieser Erlaubnistatbestand wird im Artikel 6 aufgeführt. Die betroffene Person hat ihre Einwilligung gegeben. Die Verarbeitung ist
– für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich
– zur Erfüllung einer rechtlichen Verpflichtung erforderlich
– erforderlich, um lebenswichtige Interessen zu schützen
– für die Wahrnehmung einer Aufgabe des »Öffentlichen Interesses« erforderlich
– zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

Die DSGVO basiert auf der Konzeption und weitgehend auch den Regelungen des geltenden Datenschutzrechts. Vielfach werden Bestimmungen der EG-Datenschutzrichtlinie 95/46 übernommen, die die Grundlage des BDSG bilden. Trotzdem müssen neue datenschutzrechtliche Vorgaben, allein schon aufgrund des immens erhöhten Bußgeldrahmens, beachtet werden.

Im Artikel 5 nennt die DSGVO explizit sechs Grundsätze für die Verarbeitung personenbezogener Daten:
1_ Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2_ Zweckbindung – Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke
3_ Datenminimierung – „dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“
4_ Richtigkeit – „es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder
berichtigt werden“
5_ Speicherbegrenzung – Die Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“
6_ Integrität und Vertraulichkeit – „angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“

Austausch personenbezogener Daten in der EU
„Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“ [Artikel 1, Absatz 3]

Geltungsbereich
Die DSGVO unterscheidet nicht zwischen der Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen. Für alle Verarbeiter von Daten gilt dasselbe Recht. Trotzdem fallen bestimmte Arten der Verarbeitung personenbezogener Daten nicht unter die Verordnung. Erwägungsgründe bestehen (vgl. Artikel 2, Erwägungsgründe 16 und 18).

Datenbegrenzung
Die etwa im deutschen BDSG festgeschriebene allgemeine Datensparsamkeit wird durch den Grundsatz der (zweckbezogenen) Datenminimierung ersetzt. Die DSGVO beschränkt damit nicht die Big-Data-Massenverarbeitung.

Transparenz
Der Grundsatz der Transparenz im Rahmen jeglicher Datenverarbeitung wird für die betroffenen Personen hervorgehoben. Mehrere Artikel verlangen entsprechende Maßnahmen:
– Jede Person hat das Recht auf Auskunft über alle sie betreffenden Daten (Art. 15)
– Die Informationen darüber sind in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu liefern (Art. 12)
– Jeder betroffenen Person muss bei einer Datenerhebung umfangreich Auskunft u. a. über Zweck, Empfänger und Verantwortliche der Datenverarbeitung, Dauer der Datenspeicherung, Rechte zur Berichtigung, Sperren und Löschen und Verwendung der Daten für Profiling-Zwecke gegeben werden. Wenn sich der Zweck ändert, ist die betroffene Person aktiv zu informieren. (Art. 13/14)
– Die betroffene Person hat ein Recht auf Berichtigung falscher Daten (Art. 16)
– Ein Recht auf Einschränkung oder Sperrung der Datenverarbeitung, wenn Richtigkeit oder Grundlage der Datenverarbeitung bestritten werden (Art. 18)

Die Voraussetzung ist jedoch, dass betroffene Personen selbst verpflichtet sind, sich aktiv darum zu kümmern, wer ihre Daten sichert oder verarbeitet und ggf. entsprechende Rechte einzufordern. Eine entsprechende Kritik daran erscheint realistisch. Die Möglichkeit der Rechtssicherheit fraglich.

Das Recht auf Vergessenwerden, ist eines der zentralen Rechte der DSGVO. Eine betroffene Person hat damit das Recht, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Zudem muss auch der Verarbeiter selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.

Recht auf Datenübertragbarkeit
Eine betroffene Person hat das Recht, eigene, personenbezogene Daten in einer „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, um diese z.B. anderen „ohne Behinderung durch den Verantwortlichen“ zu übermitteln.

Sanktionen und Bußgelder
Für die Durchsetzung des Datenschutzrechts sind nun weitaus höhere Bußgelder als bisher möglich. Datenschutzaufsichtsbehörden können künftig durchsetzbare Anordnungen und Bußgelder gegen private Datenverarbeiter oder auch gegenüber Behörden erlassen, wenn das im nationalen Recht vorgesehen ist. Die Höhe der Bußgelder für Ordnungswidrigkeiten wird in bestimmten Fällen nach Artikel 83 Absatz (5) auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt (Bislang sah das deutsche BDSG ein maximales Bußgeld von 300.000 Euro vor). Weitere Sanktionen durch die Mitgliedsstaaten können darüber hinaus realisiert werden.

Privacy by Design, Privacy by Default
Im Erwägungsgrund 78 werden zudem „data protection by design“ und „data protection by default“ eingeführt, die auch als „Privacy by Design“ und „Privacy by Default“ bezeichnet werden. Diese Grundsätze bedeuten, dass die Technik (Design) der Datenverarbeitung so konzipiert, entworfen und ausgerichtet werden und die Voreinstellungen (Defaults) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird. Die nachvollziehbare Dokumentation kann dabei helfen, die Einhaltung der DSGVO nachzuweisen.

Datenschutzbeauftragter
Die Verpflichtung und Bestellung betrieblicher und behördlicher Datenschutzbeauftragter im Sinne der DSGVO sieht nun europaweit die Bestellung von Datenschutzbeauftragten vor. Gerade bei öffentlichen Stellen und privaten Unternehmen können so die Risiken der Datenverarbeitungen entsprechend eingeschränkt und ein Mindeststandard erreicht werden. Kleinunternehmer und kleine Unternehmen müssen keinen Datenschutzbeauftragten stellen, es sei denn, es sind regelmäßig mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG), es ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 lit. a DSGVO) verantwortlich, die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 lit. c DSGVO), eine Datenschutz-Folgenabschätzung ist durchzuführen (§ 38 Abs. 1 Satz 2 BDSG) oder zur Kerntätigkeit gehört die umfangreiche oder systematische Überwachung von betroffenen Personen (Art. 37 Abs. 1 lit. c DSGVO). Die »Umfangreiche Verarbeitung« und die Voraussetzungen für eine Datenschutz-Folgenabschätzung werden im Erwägungsgrund 91 etwas genauer beschrieben, damit bestimmte freie Berufe (wie Rechtsanwälte und Ärzte), aber etwa auch Apotheker (Gesundheitsberufe) in der Regel keinen Datenschutzbeauftragten einplanen müssen.

Öffnungsklauseln
Die DSGVO sieht vor, dass durch nationales Recht eine Erweiterung oder die detaillierte Festlegung des Datenschutzrechtes realisiert wird. Dies erfolgt über sog. »Öffnungsklauseln«, von denen die DSGVO 50 bis 60 beinhaltet. Hier werden eine Rechtshandlung der Mitgliedsstaaten sowie die Nutzung durch nationale Vorschriften geregelt. Die Harmonisierung des Datenschutzes durch die DSGVO darf grundsätzlich nicht unterlaufen werden. Im Artikel 88 Abs. 1 sieht beispielsweise eine Öffnungsklausel vor, nach der die Mitgliedsstaaten „spezifischere Vorschriften zur Gewährleistung der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext“ vorsehen können.
Weitere Öffnungsklauseln:
– Festlegung besonderer Bedingungen für die Verarbeitung besonderer Arten personenbezogener Daten, wie Gesundheitsdaten oder Daten zu sexuellen Vorlieben (Artikel 9 Abs. 2 und Abs. 4)
– Erlaubnis der Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10)
– Rechtliche Grundlagen der Auftragsdatenverarbeitung (Artikel 28)
– Bestellung von Datenschutzbeauftragten, abweichend von den festgelegten Voraussetzungen (Artikel 37)
– Ausgleich des Spannungsfelds zwischen Datenschutz und Meinungsfreiheit oder der Regelung eines Presseprivilegs (Artikel 85)
– Regelung der Verarbeitung nationaler Kennziffern oder anderer Kennzeichen von allgemeiner Bedeutung (Artikel 87)
– Regelung von Ausnahmen von Betroffenenrechten bei Verarbeitungen für wissenschaftliche, historische, statistische oder archivarische Zwecke (Artikel 89)

Abbildung von Personen
Fotos mit darauf abgebildeten Personen zu veröffentlichen, war bisher im sogenannten Kunsturhebergesetz (KUG) verankert. Das Gesetz ist über 100 Jahre alt und sicher nicht mehr so ganz aktuell. Wer aufmerksam Abbildungen von Personen auf Agenturbildern oder sonstigen Portalen verfolgt hat, konnte die Veränderungen beobachten. Auch dies ändert sich nun durch die Einführung der DSGVO. Danach beinhaltet bereits die Aufnahme von Personen (nicht nur die anschließende Veröffentlichung) die personenbezogene Datenerhebung und fällt mit allen Konsequenzen unter den Bereich der DSGVO Es ist dabei unerheblich, ob die abgebildete Person erkennbar ist oder nicht. Eine Konsequenz ist, dass jeder Fotograf ab sofort vor der Aufnahme alle Abgebildeten um Erlaubnis bitten muss. Dieser Vorgang erscheint in der täglichen Praxis schon technisch nicht realisierbar. Mögliche journalistische, wissenschaftliche, redaktionelle, designorientierte, künstlerische oder literarische Ausnahmeregelungen für die Verwendung von entsprechenden Darstellungen durch nationale Gesetzgeber sind noch nicht Gegenstand der Gesetzgebung und damit nicht relevant. Aktuelle, öffentliche Diskussion und Probleme der Presse erscheinen höchst fragwürdig.

Die Darstellung eines Fotos mit Passanten, Besuchern, »zufälliger Bevölkerung« oder Zuschauern in einem Fanblock eines Stadions auf einer Homepage wäre rechtlich nicht mehr gedeckt. Journalistische Veröffentlichung, die Darstellung von Referenzen oder Eigenwerbung befinden sich in der Grauzone, künstlerische Verwendungen müssten anwaltschaftlich vertreten oder gerichtliche Urteile im Laufe der nächsten Jahre als Erfahrungswerte riskiert werden. Fotoagenturen mit gewerblicher und werblicher Ausrichtung tappen im Niemandsland. Selbst die dauerhafte Wirksamkeit bleibt ein Risiko, da Verträge und Modelreleases mit abgebildeten Personen nicht mehr dauerhaft wirksam sind und nach der DSGVO gekündigt werden können. Das Ende der Verbindlichkeit, Spekulation, Risikomanagement und Einschränkung der Meinungsfreiheit?

Für alle Unternehmer
Grundsätzlich sollten sich alle Unternehmer fundierte Gedanken machen zu den Bereichen:
– Informationspflicht | klar und verständlich (Art. 12 ff. DSGVO; Inhalte, Zeitpunkt, Zweck der Pflichtinformationen; Informationen für Kunden und Mandanten können nach §13 Abs. 1 TMG auch zusätzlich auf der Webseite veröffentlicht werden)
– Umgang mit Datenpannen, Verantwortlichkeiten, Dokumentation, Meldepflicht (z.B. Aufsichtsbehörde) und Schutz der Betroffenen z.B. Benachrichtigung der Betroffenen) | möglichst unverzüglich (Art. 33 DSGVO); z.B. Verlust USB-Stick, Entsorgung, versehentliches Fehlverhalten, Viren etc.;Maßnahmen zur Vermeidung von Störungen und Datenpannen
– Löschen von Daten | regelmäßige Kontrolle und Dokumentation der tatsächlichen Löschung; prinzipielles Recht der Betroffenen aufgrund des "Vergessenwerdens" gem. Art. 17 Abs. 1 DSGVO; Zweckbindung; vgl. Erstellung eines Löschungskonzepts (DIN 66398); Aufbewahrungs-, Archivierungs- und Löschungsfristen; Erwägungsgrund
– Datenschutz-Folgenabschätzung | BlackList und WhiteList; Risikoeinstufung; Bewertung und Durchführung; Konsultation der Aufsichtsbehörde
– Beantwortung von Auskunftsanfragen | Beantwortung, Identifikation, Verifizierung, Gründe, Sperranfragen und Auskunftsmanagement

Vorrang des Datenschutzes
Aufgrund bestehender Prioritäten werden die deutschen Gerichte möglicherweise die Freiheit der Meinungsäußerung ebenso berücksichtigen wie die wirtschaftlichen und gesellschaftlichen Gegebenheiten. Urteile und Ergebnisse zu rechtfertigen könnte rechtsdogmatisch nicht haltbar sein. Datenschutz und die freie Meinungsäußerung müssen gegeneinander abgewogen werden. Ein absoluter Vorrang des Datenschutzes besteht aus Sicht einiger Experten nicht. Die aktuelle Phase beschreibt so gesehen wohl einen Pfad der Unsicherheit, mangelnder Klarheit und des laufenden Prozesses, die durch Erfahrungswerte und konkrete Beispiele exemplarisch und im Speziellen entschieden werden müssen. Verfehlt die DSGVO damit ihren Sinn, den Zweck des Verbraucherschutzes und der Datensicherheit? Gesetze, Meinungen und Interpretation eröffnen hier einen Spielraum der Interessensvertretung. Aus meiner Sicht ist die Idee gut, der Weg fraglich und das Ziel nur ein Orientierungswert.

In der EU-Datenschutzverordnung werden letztendlich viele Standards geregelt, die zuvor bereits im Rahmen des geltenden Bundesdatenschutzgesetzes (BDSG) galten, aber kaum beachtet wurden. Neuerungen stellen das Dokumentieren und Protokollieren von Datenverarbeitungstätigkeiten dar. Die Anwendung aller Inhalte der DSGVO auf einzelne Designer (vgl. Art 30 Abs. 5 DSGVO) ist noch nicht eindeutig geklärt. Unsicher ist auch, ob die DSGVO auch bei Abbildungen von Personen gelten soll, was vor allem hinsichtlich Bilder und Illustrationen zu beachten wäre. Sicher ist, dass vor der Wirksamkeit der DSVGO auch keine Rechtsprechung entstehen kann. Die Erfahrungswerte und Entwicklungen der Rechtspraxis müssen daher auch weiterhin sorgsam beobachtet werden. Zudem darf die zukünftige Entwicklung von Zeitungen, Nachrichtenmagazinen, Übertragungen, Publikationen, Informationen von »Öffentlichem Interesse« […] mit Interesse verfolgt werden.

Aus meiner Sicht sollten alle Prozessabläufe, die noch nicht automatisch von Algorithmen gesteuert, geregelt oder terminiert werden können, mit Zielsetzungen bzw. gesetzlichen Vereinbarungen der DSGVO durch die Zuteilung von Verantwortungsbereichen im Sinne der Betroffenen und zum Schutz der Menschen und Daten festgesetzt und einwandfrei kanalisiert werden.