Zusammenfassung zum Vortrag: Die neue Datenschutz-Grundverordnung (EU-DSGVO) – was steht uns als Selfpublisher bevor?


Am 25. Mai 2018 durfte ich im Rahmen des 8. Self-Publishing-Day einen Vortrag halten. Meine Rede fusste auf nachfolgenden Informationen. Hier das Wichtigste in Kürze:

  • Selfpublisher, die die Vermarktung und/oder den Vertrieb ihrer Werke selbst in die Hand nehmen, gelten als Unternehmer im Sinne der DSGVO und haben die datenschutzrechtlichen Bestimmungen  zu beachten
  • Daten, die die Kunden oder Leser potenziell erkennbar machen, sind bis zu ihrer vollständigen Löschung zu schützen
  • Solange wie die Personendaten noch nicht gelöscht sind, werden diese verarbeitet und Betroffenen stehen Rechte wie Auskuft, Berichtigung, Löschung, u.a. zu
  • Werden diese Rechte missachtet oder wird gegen den Datenschutz verstoßen , können behördliche Sanktionen wie Geldbußen verhängt werden; zudem können Betroffene Schadensersaz einfordern und es drohen kostenpflichtige Abmahnungen
  • Selfpublisher sollten daher auswerten, auf welchen Kanälen welche Daten gesammelt werden und Leser sowie Kunden bestenfalls vor Erhalt der Daten über die Erhebung und die weitere, konkrete Verwendung aufklären 

Wenn noch offene Fragen bestehen, können Sie diese gerne am Ende der Seite in der Kommentarfunktion stellen. Es bietet sich an, Ihre Frage zu veröffentlichen, damit auch weitere Leser dieser Seite etwas davon haben. Wenn Sie das nicht wünschen, gilt:

 

Schreiben Sie uns einfach eine Email!



Grundsätzliches zur neuen Datenschutz-Grundverordnung (EU-DSGVO)

Zum 25. Mai 2018 trat EU-weit die sogenannte Datenschutz-Grundverordnung in Kraft. Sinn und Zweck dieser Verordnung ist es, personenbezogene Daten vor privaten Unternehmen und öffentlichen Stellen zu schützen und damit das Recht auf freie Daten-Selbstbestimmung  zu wahren.

 

Die DSGVO gilt für alle Unternehmen und -unabhängig ihrer Größe auch- für Einzelunternehmer, die Ihre Waren oder Dienstleistungen im europäischen Markt anbieten (sog. Marktortprinzip nach Art. 3 Abs.2 DSGVO; zum Unternehmerbegriff siehe § 14 BGB).

Sie werben für Ihr Buch auf Ihrer Internetseite? Sie betreiben vielleicht einen Onlineshop oder verkaufen über Plattformen wie Amazon? Sie veröffentlichen Leserbriefe zu Marktingzwecken? - Dann sind Sie Unternehmer und haben die DSGVO zu beachten!

Für Selfpublisher bedeutet dies, dass sich bereits durch eigene Vermarktung des Werkes der sachliche Anwedungsbereich der DSGVO eröffnet.


Regelungskern der DSGVO: Verarbeitung personenbezogener Daten

Schutzgut der DSGVO sind die personenbezogenen Daten und deren Verarbeitung.

 

● Begriff der personenbezogenen Daten

Die DSVGO definiert den Begriff der personenbezogene Daten äußerst weit und bietet daher viel Spielraum für Interpretationen:

 

Als personenbezogene Daten gelten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind" (zit. Art. 4 Nr.1 DSGVO).

 

Gemeint sind also alle Informationen, die die abstrakte Möglichkeit eröffnen, die betreffenden Personen kenntlich zu machen (siehe z.B. EuGH, Urteil vom 19.10.2016 - C-582/14). Als Faustregel gilt:

 

Personenbezogene Daten = Informationen mit denen Personen potenziell erkannt werden können

Beispiele: Name, Adresse, Emails, dokumentierte Verkaufsvorgänge mit personalisierter Rechnungsstellung, Leserbriefe, Kunden- oder Leserkartei, u.a.

● Begriff der Verarbeitung

Verarbeitung meint "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung" (zit. Art. 4 Nr.2 DSGVO).

 

Der Begriff der Verarbeitung ist sehr weit gefasst und beginnt bereits bei der Erhebung (=Erfassen der Personeninformation) und geht über die Verwendung bis hin zur Verwahrung der Daten. Als Faustregel gilt:

 

Verarbeitung = vom Empfang der Daten bis hin zum Zeitpunkt der vollständigen Löschung

Beispiele: Empfang von Zugriffdaten beim Aufrufen von Internetseiten, Emails oder Leserbriefe, dokumentierte Verkaufsvorgänge mit personalisierter Rechnungsstellung, Leserbriefe, Kunden- oder Leserkartei, u.a.

Rechte der Kunden und/oder Leser = Pflichten der Selfpublisher

Nach er Datenschutz-Grundverordnung stehen Betroffenen umfangreiche Rechte zu, um ihr Datenschutzrecht und die damit einhergehende Selbstbestimmung zu gewährleisten. Diese Rechte sind größtenteils nicht neu, werden in der DSGVO jedoch gezielter geregelt. Zu den Rechten zählen:

  • Opt-In-Verfahren -  Nach dem sog. Opt-In-Prinzip ist es verboten, personenbezogene Daten ohne Einwilligung zu verarbeiten und damit auch zu erheben. Betroffene müssen demnach grundsätzlich vor der Verarbeitung der Kundendaten -und damit also vor der Datenerhebung- informiert werden. Erst wenn der Betroffene in die Verarbeitung einwilligt, darf eine Verarbeitung stattfinden (siehe Art. 13 u. 14 DSGVO)

Für Selfpublisher, die eine eigene Internetseite betreiben, bedeutet dies, dass vor Nutzung der Internetseite über die Erhebung der personenbezogener Daten zu informieren ist. Erst wenn die Benutzer  in die Datenerhebung einwilligen, darf eine Verarbeitung erfolgen. In der Praxis erfolgt dies mit durch die sog. "Buttonlösung" wie folgt:

  • Datentransparenz durch Auskunftsrechte -  Betroffene haben das Recht zu erfahren, welche personenbezogenen Daten wofür erhoben werden und wie und wofür diese sodann verwendet werden (siehe Art. 15 DSGV).

Selfpublisher sollten auf Ihrer Webpräsenz durch eine Datenschutzerklärung hinweisen, welche Daten erhoben und im Anschluss wie und wofür genutzt werden. Dabei ist zu unterscheiden, welche Daten bei dem reinen Besuch der Internetseite anfallen  und welche Daten auf andere Weise -z.B. bei Verwendung eines Bestellformulars- übermittelt werden. Gerade wenn ein Webshop betrieben wird, ist es ratsam, darauf hinzuweisen, dass die Kontaktdaten für die personalisierte Rechnung gespeichert und nach Bedarf an den Steuerberater oder die Finanzbehörde, o.ä. übermittelt werden.

  • Datenberichtigungsrecht -  Betroffene haben grundsätzlich das Recht, falsche personenbezogene Daten unverzüglich berichtigen zu lassen und hierüber Auskunft zu verlangen (siehe Art. 16 DSGVO).
  • Recht auf Vergessenwerden / Löschungsrecht -  Daten sollen gelöscht werden, wenn der Betroffene dies einfordert (siehe Art. 17 DSGV). Das Recht auf Vergessenwerden geht gegenüber dem Löschungsrecht etwas weiter und sieht vor, dass auch Spuren von Datenveröffentlichungen getilgt werden sollen. Eine Löschung muss jedoch nicht veranlasst werden, wenn gewichtige Gründe eine Ausnahme rechtfertigen.

Ist die Verarbeitung aber gerade "zur Ausübung des Rechts auf freie Meinungsäußerung und Information" (siehe Art. 17 Abs.3 a) DSGVO) erforderlich, dann können Autoren der Löschung widersprechen.

  • Recht auf Einschränkung der Verarbeitung -  Wird eine Datenberichtigung- oder Löschung abgelehnt oder werden Daten unrechtmäßig verarbeitet, dann kann der Betroffene bestimmen, dass die Daten nicht weiter zu verwenden sind. Die Daten dürfen dann zwar noch gespeichert sein, aber lediglich für gewichtigen Gründen  verwendet werden (siehe Art. 18 DSGVO). Falls z.B. ein Rechtsstreit entbrennt, dann dürfen die Daten des Betroffenen noch verwendet werden, um den Rechtsstreit zu betreiben.
  • Mitteilungspflichten -  Macht ein Betroffener ein Datenschutzrecht - also Berichtung, Löschung oder Einschränkung der Verarbeitung- geltend, so ist dies auch den Dritten, an die die Daten weitergeleitet wurden, unverzüglich mitzuteilen  (siehe Art. 19 DSGVO), damit auch dort das Anliegen eines Betroffenen Gehör findet. Eine Mitteilung kann jedoch unterbleiben, wenn der Aufwand hierfür unverhältnismäßig hoch ist.
  • Recht auf Datenübertragbarkeit -  Die Pflicht auf Datenübertragbarkeit richtet sich vor allem an Social Media - Plattformen wie Facebook, Instagram, Google+, u.a. Ein User hat dort das Recht seine Daten so herauszuverlangen, damit sie auf einer anderen Plattform eingespeist werden können (siehe Art. 20 DSGVO).

Selfpublisher, die auf einer Social Media - Plattform einen Account betreiben, können dies nutzen, um ihre Beiträge auf einen Account mit weniger Mühe auf eine andere Plattform zu übertragen. Dadurch entfällt potenziell das Erfordernis, den anderen Account manuell zu "füttern". Dies könnte die Arbeit, Öffentlichkeitsarbeit auf mehreren Kanälen zu betreiben,  und damit ein breites Marketing zu erleichtern.


Was droht, wenn der DSGVO keine Folge geleistet wird?

Wenn gegen die Datenschutz-Grundverordnung verstoßen wird, dann drohen Sanktionen . Hierbei ist wie folgt zu unterscheiden:

● Sanktionsmöglichkeiten der zuständigen Aufsichtbehörden

Werden die Bestimmungen der DSGVO nicht beachtet, dann kann die zuständige Aufsichtbehörde ermitteln und eine Warnung aussprechen (siehe Art. 58 DSGVO). Bei der Warnung handelt es sich um eine relativ milde Sanktion, da es vor allem darum geht, den "Datenverarbeiter" auf Missstände hinzuweisen und ihm eine 2. Chance einzuräumen, die Missstände in Zukunft abzustellen.

 

Auch kann die zuständige Aufsichtbehörde - neben oder anstatt der Warnung- eine Geldbuße verhängen, welche bis zu 4 % des "gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs" ausmachen können (siehe Art. 83 DSVGO).

 

Daneben drohen den Verletzern gar strafrechtliche Verurteilungen mit Freiheitsstrafen bis zu 3 Jahren (siehe § 42 BDSG).

● Haftung gegenüber Betroffenen

Neben den vorbezeichneten Beschwerderecht der Betroffenen (siehe Art. 77 DSGVO) haften Datensammler bei Vertößen gegenüber den Nutzern auch direkt für alle materiellen und immateriellen Schäden, die durch den Verstoß auftreten (siehe Art. 82 DSGVO).

Beispiel für einen materiellen Schaden: Ein Kunde hinterlegt in einem Webshop seine Adress- und Zahlungsdaten. Der Onlineshop wird gehackt. In der Folgezeit werden diese Daten missbraucht und daruch dem Kunden entsteht ein finanzieller Schaden. Diesen kann er nun gegenüber dem Webshop geltend machen.
Beispiel für einen immateriellen Schaden: Ein User hinterlegt auf einer Social-Media-Account Nacktfotos. Durch einen Datenschutzverstoß gelangen diese Fotos in die Hände Dritter, welche die Bilder veröffentlichen. Der User kann nun wegen der Persönlichkeitsrechtsverletzung, die auch auf den Datenschutzverstoß fußt, eine immaterielle Entschädigung verlangen.

● Kostspielige Abmahnungen durch Mitbewerber

"Unlauter handelt, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, und der Verstoß geeignet ist, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen." (zit. § 3a UWG)
Die vorbezeichnete Norm (konretisiert durch § 5a UWG) erlaubt es am Markt teilnehmenden Konkurrenten (sog. Mitbewerber nach § 2 Abs.1 Nr.3 UWG wegen eines Fehlers in der Datenschutzbestimmung abzumahnen. In der Praxis erfolgt dies in der Regel durch einen Rechtsanwalt, den der Mitbewerber beauftragt. Die Kosten des Rechtsanwalts sind -bei gerechtfertigter Abmahnung- vom Abgemahnten zu tragen (siehe § 12 Abs.1 UWG) und können durchaus mehrere tausend Euro ausmachen.

Leitfaden, um die Bestimmungen der Datenschutzgrundverordnung zu beachten und umzusetzen:

Um nicht der Gefahr von Sanktionen ausgesetzt zu sein, sollte folgendes beachtet und angegangen werden:

  1. Welche Daten mit Personenbezug erhalte ich durch meinen Auftritt als Autor und Selfpublisher? - Durchleuchten Sie Ihre Komminikations- und Vertriebskanäle und erfragen Sie, welche Personendaten Ihnen zuteil werden.
  2. Beschränken Sie die Datenübermittlung auf ein Minimum! - Erheben Sie nicht mehr Daten, als dass es für Sie erforderlich ist. Es gilt Datensparsamkkeit.
  3. Sorgen Sie für Datentransperanz! - Informieren Sie ihre Leser und Kunden, welche Daten durch den Kontakt mit Ihnen offenbart werden. Wenn möglich sollte schon vor dem eigentlichen Kundenkontakt eine Aufklärung erfolgen. Setzten Sie auf die Buttonlösung, wenn Sie eine Internetseite und /oder einen Blog betreiben.
  4. Informieren Sie Kunden und Leser über deren Rechte! - Nicht nur in der Datenschutzerklärung auf Ihrer Website, sondern auch in etwaigen Verträgen sollten Sie 
  5. Achten Sie auf Ihre Vertriebskanäle! -Über eine Datenschutzerklärung können Sie Kunden und Lesern unproblematisch die Erfordernisse nach der DSGVO näherbringen. Die Datenschutzerklärung gehört aber nicht nur auf Ihre Internetseite, sondern z.B. auch in Verträge, die Sie als Autor mit natürlichen Personen schließen.

Besonderheit: Fotos und Videos

Selfpublisher haben natürlich ein Interesse daran, Fotos und Videos über Veranstaltungen  öffentlichkeitswirksam in Szene zu setzen. Dies dient der eigenen Reputation und damit gerade dem Markting eines jeden Selfpublishers. Gerade bei Bildnern von Veranstaltungen wie Lesungen bleibt es nicht aus, dass mitunter dritte, oftmals unbekannte Personen auf den Fotos ebenfalls abgelichtet sind. Insoweit stellt sich die Frage, ob und ggf. was hierbei im Zusammenhang mit der DSGVO zu beachten ist.

 

Schutzgut der DSVGO sind -wie dargestellt- personenbezogene Daten. Ob Personenbilder  und Videos, die Personen ablichten, als personenbezogene Daten gelten oder nicht und was in diesem Zusammengang zu beachten ist, ist aktuell höchst umstritten. Wie kontrevers die Rechtslage momentan bewerten wird, sehen Sie an nachfolgenden Beispielen:

Hamburgischer Datenschutzbeauftrage


Die DSGVO ist auf Personenbilder anzuwenden und entsprechende Vorgaben sind grundsätzlich zu beachten. Das KUG ist nicht einschlägig.

Quelle: Der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von  Menschen nach der DSGVO außerhalb des Journalismus
Quelle: Der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit, Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus

Siehe hier.

Bundesinnenministerium


Die DSGVO ist nicht auf Fotos anwendbar; es bleibt alles beim Alten, wonach das KUG einschlägig ist.

Quelle: Stellungnahme des BMI
Quelle: Stellungnahme des BMI

 

 

 

Siehe hier.


Der Ansicht des BMI, dass die Rechtslage sich durch die DSGVO für Personenbildnisse nicht ändert, erscheint vorzugswürdig. Ob prinzipiell Personenbildnisse veröffentlich werden dürfen bestimmt sich demnach nach dem Kunsturhebergesetz (KUG).

 

Grundsätzlich ist für die Aufnahme, aber auch die spätere Verwendung des Personenfotos die Einwilligung des Betroffenen erforderlich.

 

Gerade bei öffentlichen Veranstaltungen ist es jedoch unpraktikabel, jeden einzelen um Erlaubnis zu bitten und die Einwilligung gar noch nachzuhalten. Für öffentliche Veranstaltungen gilt daher, dass die dortigen Teilnehmer grundsätzlich auch ohne Einwilligung eine Anfertigung und Veröffentlichung ihrer Personenfotos zu dulden haben (siehe BGH, Urteil vom 8.4.2014 - VI ZR 197/13 nach § 23 KUG), selbst wenn die Person nicht in einer Gruppe, sondern lediglich auf einem Einzelfoto abgelichtet wurde; insoweit kann das Bild nämlich repräsentativ für alle Teilnehmer sein (siehe BGH, Urteil vom 8.4.2014 - VI ZR 197/13).


Gewährleistungsausschluss:

Bitte beachten Sie, dass trotz sorgfältiger Recherche keine Gewähr für die inhaltliche Richtigkeit oder Aktualität, etc. der Informationen übernommen werden kann. Ebenso wird jegliche Haftung ausgeschlossen. Diese Informationen ersetzen keine Rechtsberatung. Die Informationen sind allgemein gehalten, während eine Rechtsberatung sich inhaltlich ganz konkret mit Ihrem persönlichen Anliegen auseinandersetzt. Es ist daher dringend zu empfehlen, dass Sie sich, soweit Sie konkret betroffen sind, unverzüglich mit einem Rechtsanwalt in Verbindung setzten.


Haben Sie eine Frage oder eine Anmerkung zu diesem Thema? - Nutzen Sie die Kommentarfunktion!

Nach Prüfung werden wir Ihre Frage beantworten. Bitte beachten Sie jedoch, dass die Beantwortung Ihrer Rechtsfrage grundsätzlich keine Rechtsberatung ersetzt. Auch hier gilt der Gewährleistungsausschluss. Natürlich freuen wir uns auch über Anmerkungen, Verbesserungsvorschläge und ein Feedback!

Kommentar schreiben

Kommentare: 2
  • #1

    Tom (Donnerstag, 31 Mai 2018 16:52)

    Als junger Autor würde ich gern wissen, wo auf einer Homepage ich die Datenschutzerklärung positionieren muss. Kann ich diese z.B. ins Impressum schreiben oder muss es auf der obersten Gliederungsebene der Homepage einen eigenen Link "Datenschutzerklärung" geben?

  • #2

    Antwort zu #2 (Freitag, 01 Juni 2018)

    Hallo Tom,

    der BGH hat in Zusammenhang mit dem Impressum entschieden, dass dieses von jeder Seite und Unterseite aus mindestens durch 2 Klicks erreichbar sein muss (siehe BGH vom 20.07.2006 - I ZR 228/03). Daran orientiert sich meine Anwort.

    Sie sollten die Datenschutzerklärung am besten dort reinpacken, wo sie von jeder Seite und Unterseite aus gesehen werden kann. Das kann im Header, in der Navigationsleiste oder -wie bei mir- ganz unten in der Fußleiste geschehen. Letzters ist üblich.

    Die Datenschutzerklärung können Sie auch ins Impressum packen, denn Richtlinien hierzu gibt es keine. Vielmehr soll dem Betrachter die einfache Möglichkeit eröffnet werden, die Datenschutzerklärung lesen zu können. Darunter ist auch zu verstehen, dass sie eben nicht versteckt sein sollte.
    Wenn Sie die Datenschutzerklärung ins Impressum schreiben, sollten Sie den Link sinngemäß wie folgt benennen: "Impressum + Datenschutzerklärung". Allein aus Geschmacksgründen würde ich empfehlen, Impressum und Datenschutzerklärung nicht zu vermischen. Über Geschmack lässt sich bekanntlich aber streiten.


    Mit freundlichen Grüßen

    Sven Nelke
    Rechtsanwalt