CREATIVE.Talk

Rafaela Wilde, geboren 1954 in Wesel, Studium der Geschichte und Rechtswissenschaften in Bonn, ist seit 1984 selbstständige Rechtsanwältin in Köln. Als Partnerin der Kanzlei Wilde Beuger Solmecke berät sie Unternehmen und Persönlichkeiten im Medien-, Entertainment- und Wirtschaftsrecht. Daneben ist sie seit 1994 Justiziarin des Film und Medienverbandes NRW und vertritt die Interessen von Produzenten und Dienstleistern gegenüber Politik, Förderern und Sendern. Sie ist stellvertretendes Mitglied des WDR Rundfunkrats sowie Mitglied des Medienausschusses der IHK Köln und Präsidentin des Palazzo Ricci e.V. – Europäische Akademie für Musik und Darstellende Kunst Montepulciano. Darüber hinaus lehrt sie als Dozentin und engagiert sich in verschiedenen Aufsichtsrats- und Beiratsfunktionen. Mit CREATIVE.NRW hat sie über die am 25. Mai 2018 in Kraft tretende Datenschutz-Grundverordnung (DSGVO) gesprochen.

Ab dem 25. Mai 2018 tritt die neue Europäische Datenschutz-Grundverordnung (DSGVO) in Kraft und damit gelten künftig neue Regeln – was verbirgt sich hinter der DSGVO und was sind die wesentlichen Neuerungen?

Ab 25. Mai 2018 gilt auch in Deutschland die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). Durch das neue EU-Recht werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG a.F.) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert, abgelöst. Zeitgleich tritt ein dazugehöriges BDSG neuer Fassung (BDSG n.F.) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert.

Ziel der DSGVO ist zunächst ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU. Darin sollen vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt werden, deren personenbezogene Daten verarbeitet werden (Betroffene). Personenbezogene Daten sollen dadurch stärker geschützt werden, gleichzeitig soll aber auch ihr freier Verkehr besser gewährleistet werden.

Wesentliche Elemente des bisherigen BDSG werden zwar erhalten bleiben. Dennoch wird es zukünftig einige Änderungen geben, die es zu beachten gilt – sowohl von Unternehmen als auch von Privatpersonen. Konkret in der neuen Verordnung geregelt werden vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Die Rechte der Nutzer werden durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen gestärkt. Betroffene sollen leichter Zugang zu ihren Daten und der Information über deren Nutzung haben. Außerdem wird nun das bislang nur gerichtlich konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf Löschung personenbezogener Daten, in Gesetzesform gegossen.

Neben bereits bekannten Pflichten stellt die DSGVO auch weitergehende Anforderungen an den Datenschutz in Unternehmen. Neu ist beispielsweise die Pflicht, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Ebenfalls neu eingeführt wird die Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten, etwa durch neue Technologien.

Außerdem gilt die DSGVO auch für Unternehmen, die ihren Sitz außerhalb der EU haben, wenn sich ihre Angebote an EU-Bürger wenden. Dies hat weitreichende Konsequenzen etwa für Unternehmen wie Facebook und Google mit Sitz in den USA.

Der Bußgeldrahmen bei Verstößen wird erheblich erhöht und kann bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen.

Durch die DSGVO wird das Fotografieren nun zum Akt der personenbezogenen Datenerhebung. Somit muss, so glauben viele, von nun an bereits vor der Aufnahme eine Einwilligung aller auf dem Foto abgebildeten Personen eingeholt werden. Das scheint in bestimmten Situationen unmöglich und schränkt vor allem auch die Presse- und Öffentlichkeitsarbeit sowie die Kunstfreiheit enorm ein. Wie sehen Sie diese Entwicklung?

Die Auffassung, für jede Aufnahme eines Fotos benötige man zukünftig eine Einwilligung, ist nicht korrekt.

Derzeit sieht es folgendermaßen aus: Alle Fotografen, die nicht im persönlich-familiären Umfeld tätig sind und nicht der Presse angehören, müssen sich erst wohl einmal an die DSGVO halten, wenn es um die Aufnahme einer Fotografie geht. Daher benötigen sie eine rechtliche Grundlage nach Art. 6 DSGVO, um eine Aufnahme anfertigen zu können. Meist wird dies aber nicht eine (frei widerrufliche) Einwilligung sein, sondern eine andere wie etwa „zur Erfüllung eines Vertrages“ oder einfach die Auffangnorm des „berechtigten Interesses“. Diese Rechtsgrundlage wird auch für weitere Verarbeitungsvorgänge, etwa die Speicherung und Vermarktung, benötigt.

Will man ein Foto aber veröffentlichen, so ist – nach Auffassung des Bundesministeriums des Innern sowie anderer Juristen – das Kunsturhebergesetz (KUG) weiterhin als spezielleres Gesetz einschlägig. Dieses schützt das sog. Recht am eigenen Bild als Teil des allgemeinen Persönlichkeitsrechts. Es gilt aber nur für die Veröffentlichung von Fotos, nicht für die Aufnahme.

Das Problem dieser Diskrepanz zeigt sich aber besonders am Beispiel einer Einwilligung: Die datenschutzrechtliche Einwilligung in die Aufnahme eines Fotos nach der DSGVO ist frei widerruflich, die Einwilligung in die Veröffentlichung nach dem KUG aber nur in Ausnahmefällen. Bisher hat die Rechtsprechung es so gehandhabt, dass auch im Hinblick auf die Aufnahme des Fotos kein Datenschutzrecht angewendet wurde. Stattdessen konnte man der Aufnahme nur widersprechen, wenn eine Interessenabwägung für das Persönlichkeitsrecht sprach. Dies führte dazu, dass letztlich die Einwilligung sowohl in die Aufnahme als auch die Fotografie nicht widerruflich war. Jetzt ändert sich das. Und das führt zu dem Problem, dass ich meine Einwilligung in die Aufnahme und Speicherung eines Fotos widerrufen kann. Dann müsste denklogisch auch eine bereits veröffentlichte Fotografie gelöscht werden. Damit wird das KUG im Ergebnis unterlaufen. Es bleibt abzuwarten, ob und wie die Rechtsprechung diesen Wertungswiderspruch austarieren wird.

Pressevertreter hingegen werden auch zukünftig unter das Medienprivileg fallen, müssen sich also bei der Aufnahme von Fotos nicht an die DSGVO halten, sondern es gilt weiterhin die alte Rechtsprechung.  

Wer wird die Umsetzung und Einhaltung der DSGVO überprüfen? Und vor allem: wie?

Die Datenschutzaufsichtsbehörden haben die Aufgabe, die Einhaltung der Gesetze zum Datenschutz zu kontrollieren und bei Nichteinhaltung mit entsprechenden Sanktionen zu reagieren. Die zuständigen Aufsichtsbehörden können zunächst nach Art. 83 DSGVO Bußgelder verhängen. Diese können – je nach Verstoß und dessen Schwere – bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen. Es gilt immer der jeweils höhere Betrag. Jedes Bundesland hat seine eigene Datenschutzaufsichtsbehörde.

Daneben besteht auch weiterhin die Möglichkeit, wegen bestimmter Datenschutzrechtsverstöße wettbewerbsrechtlich abgemahnt zu werden, was - je nach Ausmaß und Zahl der Verstöße - hohe Abmahnkosten verursachen kann. So werden sicherlich einige Abmahnkanzleien versuchen, z.B. fehlende Einwilligungen, die Nichteinhaltung des Kopplungsverbotes oder falsche Datenschutzerklärungen auf Webseiten abzumahnen.

Neu ist auch, dass Betroffene wegen der Verletzung des Datenschutzrechts im Rahmen ihrer Schadensersatzansprüche auch ihren immateriellen Schaden geltend machen können.

Nach außen haftet immer die Unternehmensleitung, auch für Mitarbeiter-Fehlverhalten.

Im internationalen Vergleich ist Deutschland und Europa im Hinblick auf Datenschutz anderen Ländern wie beispielsweise den USA oder China einen großen Schritt voraus. Ergeben sich daraus aber auch geschäftliche Nachteile für deutsche Kreativunternehmer auf dem internationalen Markt?

Letztlich sind alle Unternehmen, die sich an den europäischen Markt richten, zur Einhaltung der DSGVO verpflichtet. Die Unternehmen haben also keine Wahl und müssen sich an die DSGVO halten, wenn sie hierzulande tätig werden wollen – auch chinesische und amerikanische.

Der Vorteil innerhalb Europas: Die DSGVO schafft ein europaweit einheitliches Datenschutzniveau. Für europäische Unternehmen entsteht ein einheitliches „level playing field“. Bestehende Wettbewerbsverzerrungen infolge unterschiedlicher nationaler Datenschutzbestimmungen werden beseitigt. Und auch Unternehmen, die ihren Sitz außerhalb der EU haben, werden verpflichtet. Letztlich schafft die DSGVO damit mehr Fairness – schließlich konnten sich Facebook & Co. zuvor mit Hinweis auf ihren Sitz in Irland etc. dem deutschen, strengeren Datenschutzrecht entziehen.

Klar ist, dass die Einhaltung der DSGVO für große Unternehmen einen hohen logistischen, finanziellen und personellen Aufwand bedeutet. Dies ist aber für große Unternehmen gut finanzierbar, weil sie sich die beste Beratung leisten können – anders als Selbstständige und Kleinunternehmer, die viel größere Probleme haben.

Wo können sich die Akteure der Kultur- und Kreativwirtschaft bei der Umsetzung der DSGVO Hilfe holen?

Zunächst finden Sie im Internet gute Informationen, so etwa beim Bayerischen Landesamt für Datenschutzaufsicht, denn die Aufsichtsbehörden haben auch eine beratende Funktion.

Auch spezielle Seiten für die jeweilige Berufsgruppe aus der Kultur- und Kreativwirtschaft bzw. Beratungen der entsprechenden Berufsverbände können hier hilfreich sein.

Darüber hinaus lohnt sich im Einzelfall eine Beratung durch eine spezialisierte Anwaltskanzlei oder einen externen Datenschutzbeauftragten.