Ich weiß, ich mache mich wieder einmal unbeliebt. Aber was raus muß, muß raus.
Im Vorfeld der DSGVO, also vor mehr als einem Jahr, war ich schon oft verwundert, welcher Schwachsinn von sogenannten “Datenschutzexperten” verbreitet wird und welche Ratschläge zur rechtlich einwandfreien Umsetzung der Verordnung gegeben wurden.
Nun, mehr als ein Jahr später, bin ich der Meinung, das Thema DSGVO hätte sich normalisiert, auch wenn es von vielen noch nicht ordentlich umgesetzt wurde und nach wie vor Bußgelder drohen.
Ein wenig verwundert habe ich dem Vortrag “Datenschutz für Podcaster”, den Klaudia Zotzmann-Koch auf der Subscribe 10 hielt im Video verfolgt. Da ich ebenfalls als Datenschutzbeauftragter tätig bin, möchte ich ein paar Anmerkungen zu dem Vortrag machen.
Die Aussage, dass die menschliche Stimme ein biometrisches Datum ist und damit in die “besonderen Kategorien personenbezogener Daten” fällt ist nur bedingt richtig. Für Podcaster ist dieses Kriterium jedoch eher uninteressant:
Nach Art. 4 DSGVO Abs. 14 “Begriffsbestimmungen” sind “„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten”. Die Aufnahme eines Interviews kann man zwar als “technisches Verfahren” sicherlich nicht jedoch als “spezielles” technisches Verfahren bezeichenen.
Daraus ist zu schließen, dass es sich bei Interviews mit Dritten nicht um die Verarbeitung von biometrischen Daten handelt, sondern die DSGVO “nur” in normalem Umfang greift.
Das ist insofern wichtig, weil bei der Verarbeitung biometrischer Daten einige unangenehme Formalien zu berücksichtigen sind. So ist u. a. ein Datenschutzbeauftragter (DSB) zu benennen und eine Datenschutzfolgenabschätzng vorzunehmen. Auf die Pflichten, die bei der Verarbeitung biometrischer Daten einzuhalten sind, wird in dem Vortrag nicht eingegangen.
Pelevant ud wichtig für Podcaster kann Art. 85 DSGVO Abs. 1, der die “Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit” regelt.
Hier heißt es u. a. “Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.”
Damit läßt auch die Heranziehung des Artikels 85 den Schluß zu, dass es sich bei Interviews und Podcasts nicht um biometrische Daten handelt.
Da die Podcasts veröffentlicht werden, müssen natürlich alle anderen Virgaben der DSGVO eingehlaten werden. Die Stichworte sind hier: Transparenz, Information, Rechtmäßigkeit etc. Lertztendlich sind die Vorgaben nach Art. 5 DSGVO einzuhalten und zu dokumentieren. Auch und insbesondere dem Interviepartner gegenüber.
Kommen wir zu Art. 6 DSGVO “Rechtmäßigkeit der Verarbeitung”.
Richtig ist, dass die “Einwiligung des Betroffenen” nach Art. 6 DSGVO “Rechtmäßigkeit der Verarbeitung” Abs. 1 lit a) die schlechteste Form der Zusammenarbeit ist. Denn in diesem Fall muss auch Art. 7 DSGVO “Bedingungen für die Einwilligung” vollumfänglich beachtet werden. Unter anderem hat der Betroffene das Recht, seine Einwilligunng JEDERZEIT zu widerrufen.
Die von Klaudia gemachte Aussage, dass dann alles gelöscht werden müsse, ist jedoch falsch. In Art. 6 DSGVO heißt es in Abs. 3 ausdrücklich “Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt”.
Hier wird augenscheinlich der Widerruf mit deem Recht auf Löschung (das ebenfalls besteht) verwechselt.
Grundsätzlich würde ich keinesfalls die Einwilligung nach Art. 6 DSGVO Abs. 1 lit a) als Rechtsgrundlage nennen, sondern Art. 6 DSGVO Abs. 1 lit. f): “die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen”.
Das berechtigte Interesse des Podcasters einen guten und für die Hörer interessanten Podcast zu erstellen überwiegt das Interesse und die Grundrechte des Interviewten. Dieser wird schließlich nicht gezwungen, an dem Podcast teilzunehmen sondern macht dies in Kenntnis der Verwendung der Daten freiwillig.
Mit einer Rechtsgrundlage nach Art. 6 DSGVO Abs. 1 lit f) ist das Leben für den Host also wesentlich einfacher, zumal hier nicht widerrufen werden kann.
Ich bin jedoch nicht sicher, ob die Produktion von Podcasts eine Verarbeitung von personenbzogenen Daten im Sinne der DSGVO darstellt und diese überhaupt Anwendung findet. Höchstens auf Grund der Tatsache, dass diese veröffentlicht werden.
Aber bitte: Dies ist keine juristische Aussage und keine juristische Beratung. vorsichtshalber kann man den oben aufgezeigten Weg wählen und so evtl. Anfragen vorbeugen. Oder einfach den Anwalt fragen.
Beachtet jedoch, dass sich dieser Weg dann auch in den Verfahrensverzeichnissen und in der Datenschutzerklärung wiederfinden muss.
Ich empfehle eine gesonderte Datenschutzerklärung für die Podcast-Produktion.
Weiteren Aussagen in dem Vortrag stehen m. E. auf ebenso wackligen Beinen. So ist z. B. beim Privacy Shield unerheblich, wie und zu welchen Kosten amerikanische Firmen diesem Abkommen beitreten können. Tatsache ist, dass dieses bilaterale Abkommen den freien Datenaustausch mit amerikanischen Unternehmen, die im Privacy Shield gelistet sind, rechtsverbindlich regelt und dem Podcaster die zur Zeit größtmögliche Sicherheit bietet.
Allerdings möchte ich darauf hinweisen, dass auch diese Vereinbarung jederzeit kippen kann. Dann sollte man Alternativen geplant haben, denn die Nutzung von US-Maillinglisten oder amerikanischen Services zur Marketing-Automation sind dann solange untersagt, bis ein neues Abkommen steht.
Die DSGVO hat jedoch noch einige andere gemeine Fallstricke für Podcaster, auf die in dem Vortrag leider nicht hingewiesen wurde:
Zum Beispiel das Aukunftsersuchen nach Art. 15 DSGVO “Auskunftsrecht der betroffenen Person”.
Ich bin mir sicher, dass niemnd von Euch in der Lage ist, ein Auskunftsersuchen rechtlich einandfreies zu beantworten.
Hatte man früher Sorge vor eine Abmahnung, der immer bestimmte juristische Begebenheiten zugrunde liegen müssen, ist das Auskunftsersuchen die “Rache des kleinen Mannes”. Er kann es formlos stellen und eine unzureichende Beantwortung hat weitreichende (spprich teure) Konsequenzen.
In der Regel erfolgt nach einer schlecht gegebenen Auskunft eine Beschwerde des Betroffenen bei der Aufsichtsbehörde, die dann tätig werden MUSS. Diese statet normalerweise eine detaillierte Überprüfung eurer Datenschutzmaßnahmen und erläßt meistens ein Bußgeld zwischen 3 und 10 T€.
Kümmert euch also SOFORT darum, wie ihr Auskunfstersuchen rechtswirsam beantwortet. Richtet die entsprechenden Prozesse ein. Wenn das Ersuchen bei euch auf dem Tisch liegt, ist die Zeit meis zu kanpp, alles richtig zu machen.
In diesem Sinne:
Viel Spaß mit der DSGVO ud ihren Auswirkungen.