In seinem Vortrag bei der Europace-Konferenz gibt er Tipps zum Umgang mit dem vermeintlichen Bürokratiemonster. „Rund 120 Tage nach in Kraft treten der neuen Datenschutzverordnung ist es an der Zeit für ein erstes Resümee“, meint Ulbricht. So sei es falsch, dass für jede Datenverarbeitung eine Einwilligung eingeholt werden müsse.

Ein Bericht von Michael Sudahl.

Der Blog-Betreiber erklärt, das Gesetz gestatte es, personenbezogene Daten über den „Erlaubnistatbestand“ zu verarbeiten. Darunter falle etwa das Verarbeiten von Namen, Adressen und Kontoverbindungen im Onlineshop. Auch wer Kundenanfragen etwa für eine Baufinanzierungen oder einen Ratenkrediten über ein Kontaktformular beantworte, brauche keine Einwilligung. Überdies verpflichte das HGB Unternehmen dazu bestimmte Unterlagen mindestens sechs Jahre lang aufzubewahren – auch das geht ohne Einwilligung. Gleiches gelte für alltägliche Vorgänge wie das Speichern von erhaltenen Visitenkarten im CRM System. Stichwort Interessenabwägung. „Wer seine Visitenkarte überreicht, muss damit rechnen, dass die Daten gespeichert und genutzt werden“, so der Experte.

Auch die Weitergabe von personenbezogenen Daten an Dritte sei möglich, ohne dass Vereinbarungen zur Auftragsverarbeitung getroffen werden müssen. Diese liegt nur vor, wenn ein Dienstleister explizit beauftragt wird, die Daten zu verarbeiten. Gleiches gelte bei personenbezogenen Daten, die offengelegt werden: Etwa, wenn eine Webseite mit angeschlossener Kundendatenbank gewartet werde, so wie bei einer Immobilienseite.
Den Mythos Nummer drei entzaubert Ulbricht mit Verweis auf das Urheberrecht. Fotos dürfen auch in Zukunft ohne schriftliche Einwilligung publiziert werden, wenn die abgelichtete Person Teil einer öffentlichen Veranstaltung ist. „Jeder darf vernünftigerweise erwarten, auf so einem Bild auch veröffentlicht zu werden“, sagt der Jurist.

Ebenso hält Ulbricht Bußgelder von bis zu 20 Millionen Euro für unverhältnismäßig – solange die Firmen nicht Facebook oder Google heißen. Der deutsche Mittelstand habe bei Verstößen nicht mit existenzgefährdenden Strafen zu rechnen. Vielmehr sei aus Kreisen der Landesdatenschutzbeauftragten zu hören, die Behörden wollen das kommende Jahr vor allem dazu nutzen, Unternehmen zu beraten die Vorgaben bestmöglich umzusetzen.

 

Auch zur Frage, ob Tracking nur noch mit Einwilligung erlaubt ist, hat Ulbricht eine Einschätzung: Betreiber von Webseiten sollten ihre Tracking- und Targetingwerkzeuge neu bewerten. Google Analytics (mit IP-Masking) oder Matomo (früher Piwik) lassen Legitimationen über berechtigte Interessen aufgrund der pseudonymen Datenverarbeitung und der Erwartbarkeit eines solchen Trackings mit guten Argumenten begründen. Wer darüber hinaus noch in einer Datenschutzerklärung über diese Datenverarbeitung aufklärt und eine Widerspruchsmöglichkeit anbietet, dürfte gut aufgestellt sein, so Ulbricht.

Die Zukunft wird zeigen, welche T&T-Maßnahmen legitimiert werden können, weil Nutzer sie erwarten müssen und welche Werkzeuge einer Einwilligung bedürfen. Schlussendlich wird nicht die deutsche Rechtsauffassung, sondern eine europäische Auslegung ausschlaggebend sein, verweist Ulbricht auf die Tatsache, dass die DSVGO ein Europarecht sei.