Rechts- und Versicherungsfragen einfach erklärt

Konfliktpotenzial: Neue Eventtechnik trifft auf das Datenschutzrecht

Der Einsatz neuer Technik im Veranstaltungssegment inkludiert oft eine erweiterte Sammlung und Nutzung personenbezogener Daten. Besonders auch im Hinblick auf die neue Datenschutzgrundverordnung, die am 25. Mai in Kraft tritt, müssen Veranstalter jedoch bestimmte Richtlinien einhalten. Welche das sind und wie man sich gegen eventuelle Versäumnisse absichern kann, erklären Rechtsanwalt Thomas Waetke und Versicherungsexperte Christian Raith in unserer Reihe „Rechts- und Versicherungsfragen einfach erklärt“.

Gegensätzliche Lager: Neue Techniken und das Datenschutzrecht.
Gegensätzliche Lager: Neue Techniken und das Datenschutzrecht. (Bild: Pixabay.com)

Text: Thomas Waetke

Anzeige

Die Rechtssicht

Veranstaltungen und Veranstaltungstechnik warten immer wieder mit neuen Ideen und Erfindungen auf. Aber nicht jede tolle Idee ist auch legal. So macht insbesondere das Datenschutzrecht dem Veranstalter oft einen Strich durch die Rechnung. Zwei ganz besondere Aspekte sind dabei die Anforderungen an neue Techniken und das Gesicht der Besucher.

Neue Techniken im Fokus

Die ab 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (kurz: DSGVO) bringt eine Innovation mit sich – für Juristen etwas ganz Besonderes: Die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) ist eine Art Sicherheitskonzept für den Datenschutz, und findet vornehmlich im Zusammenhang mit neuer Technik Anwendung. Die Folgenabschätzung muss vorgenommen werden, wenn eine Datenverarbeitung „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Info

Solche Risiken können bspw. dann bestehen, wenn:

  • die Datenverarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen Nachteilen führen kann.
  • die betroffenen Personen, die sie betreffenden personenbezogenen Daten nicht mehr kontrollieren können.
  • persönliche Aspekte bewertet, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen. Insbesondere Details, die die Arbeitsleistung, die wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder den Ortswechsel betreffen, stehen hier im Fokus.
  • bei der Verarbeitung eine große Menge personenbezogener Daten sowie eine große Anzahl an Personen betroffen sind.

Gerade der vorletzte Punkt des Profilings kann beispielsweise bei Software gegeben sein, mit der Messeaussteller ihre Besucher identifizieren können. In diesen Fällen ist also eine Folgenabschätzung vorzunehmen. Dabei muss u.a. Folgendes schriftlich dokumentiert werden:

  • Die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
  • eine Bewertung der Risiken, sowie
  • die geplanten Abhilfemaßnahmen, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird.

Das Gesicht des Besuchers

Eine (unschöne) Besonderheit betrifft das Gesicht der Besucher: Denn an sich ist das Gesicht auch ein Datum im Sinne des Datenschutzrechts, für das es zwei miteinander konkurrierende Rechtsgebiete gibt: Das Datenschutzrecht und das Persönlichkeitsrecht, beide unterschiedlich wie Tag und Nacht. Der bedeutendste Unterschied: Die datenschutzrechtlich erteilte Einwilligung ist jederzeit frei widerruflich, die persönlichkeitsrechtliche Einwilligung grundsätzlich nicht.

Security
Die Sicherheit von Persönlichkeitsdaten wird gestärkt – Unternehmen müssen sich fügen. (Bild: Pixabay)

Bis zum 24.5.2018 gilt noch: Das (speziellere) Persönlichkeitsrecht verdrängt das Datenschutzrecht. Wer also „Gesichter“ nutzen möchte, muss sich „nur“ nach dem Persönlichkeitsrecht richten. Die Herausforderung beginnt am 25.5.2018, da ab diesem Tag das aktuelle Bundesdatenschutzgesetz durch die DSGVO verdrängt wird – und hier hat der Verordnungsgeber geschlafen: In der maßgeblichen Vorschrift (Artikel 85) sieht die DSGVO die Möglichkeit vor, dass die EU-Staaten nationale Bestimmungen treffen können. Insoweit hat Deutschland bisher bei Gesichtern immer dem Persönlichkeitsrecht den Vorrang gegeben. Die DSGVO aber schränkt diese Möglichkeit für journalistische, wissenschaftliche, künstlerische und literarische Zwecke ein. Es fehlt u.a. die Werbung bzw. der werbliche Einsatz, beispielsweise auf Fotos für die Webseite oder für Gesichtserkennungssoftware im Einsatz auf Veranstaltungen.

Derzeit ist daher noch völlig unklar, ob für diesen Bereich auch das Datenschutzrecht gelten soll oder weiterhin das Persönlichkeitsrecht zu Grunde liegt. Letztlich wird diese Frage nur der Europäische Gerichtshof beantworten können – dessen Antwort aber wohl noch einige Zeit auf sich warten lassen dürfte.

EDV
Die EDV eines Unternehmens muss ein bestimmtes Maß an Technik aufweisen, um Cyber-Versicherungen in Anspruch nehmen zu können. (Bild: Pixabay.com)

Text: Christian Raith

Die Versicherungssicht

Das Thema Datenschutz ist nicht erst seit der DSGVO sehr komplex und anders als bei früheren Schwerpunktthemen dieser Rechtskolumne können auch Versicherungsexperten keine Entwarnung geben. In erster Linie sind die Anwälte gefordert, während das Thema Versicherungen ganz zum Schluss kommt.

Vermögensschadenhaftpflichtversicherung

In der Verletzung von Datenschutzrichtlinien gibt es in erster Linie Vermögensschäden: Man verletzt also weder eine Sache noch eine Person. Diese Art von Versicherung nennt sich Vermögensschadenhaftpflichtversicherung und ist für alle beratenden Berufe relevant – u. a. auch für Versicherungsmakler oder Rechtsanwälte. Bei diesen Berufsgruppen ist die Gefahr eines Personen- oder Sachschadens sehr gering, durch Fehlberatungen kann jedoch das Vermögen des Einzelnen geschädigt werden.

In einer guten Berufs- oder Berufshaftpflichtversicherung ist die Verletzung von Datenschutzgesetzen für gewöhnlich mitversichert. Die Informationen dazu finden sich meist im Kleingedruckten der Bedingungen und können leicht in der eigenen Police nachgelesen werden. Im Rahmen der Datenschutzklausel spricht man meist von Sublimiten: Das bedeutet, dass die Höhe der Erstattung gedeckelt ist, beispielsweise auf 100.000 Euro. In den meisten Bereichen hilft diese Absicherung schon weiter und kostet zudem nicht einmal eine Zusatzprämie.

Cyberversicherung als Lösung?

Eine separate Deckung gibt es derzeit nicht am deutschen Markt. Auch wenn man in den letzten Monaten immer wieder etwas von einer sogenannten Cyber-Versicherung liest, so zielt diese in erster Linie darauf ab, dass man sich in Bezug auf gestohlene Kundendaten, Hackerangriffe, Viren und andere Risiken absichert. Bei derartigen Schäden geht es schnell um hohe Beträge, weshalb diese Versicherungen in erster Linie den Unternehmer absichern – und nebenbei auch Schadenersatzforderungen mitversichern.

HTML Code
Cyber-Versicherungen sichern u. a. Hackerangriffe, Viren und gestohlene Kundendaten ab. (Bild: Pexels.com)

Die Hürden für diese Versicherung sind derzeit jedoch noch relativ hoch: Auf der einen Seite kosten diese Versicherungen natürlich Geld, auf der anderen Seite muss die EDV eines Unternehmens einiges an Technik beinhalten, um überhaupt versichert werden zu können. Denn wie immer ist es nicht im Sinne der Versicherer, dass man das Risiko komplett auf den Versicherer abwälzt und sich dabei Schutzmaßnahmen wie Firewalls oder Virenscanner einspart.

Zudem muss stark zwischen Freelancern und größeren Firmen unterschieden werden: Besonders Unternehmen sollten sich Gedanken über diese Form der Absicherung machen, zumal viele Firmen mit internationalen Partnern zusammenarbeiten. Gerade in den USA gehören solche Versicherungen zur Tagesordnung und auch Schadenersatzansprüche erreichen dort schneller enorme Höhen.

Was ist zu tun?

Idealerweise checkt man die eigene Haftpflichtpolice bzw. lässt sie vom Versicherungsmakler des Vertrauens durchsehen, sieht sich den Passus Datenschutz genauer an oder lässt ihn eventuell einschließen. Ansonsten bleibt nur zu raten, die verbliebende Zeit bis Mai zu nutzen, um sich im Bereich des Datenschutzes fit zu machen. Darüber hinaus sollte man sich bereits im Vorfeld einen guten Anwalt nehmen – der sich idealerweise auf den Bereich Datenschutz spezialisiert hat – und diesen alles überprüfen lassen. Auch wenn man dazu anfangs etwas Geld investieren muss, spart es später umso mehr. Sollte der Anwalt trotz allem einen Fehler machen, ist er schließlich dagegen oder dafür versichert.

Abgesehen davon sollte man nicht außer Acht lassen, dass die Berufsgruppe der Anwälte auch einige findige Geschäftsleute umfasst, die sich gezielt ab Juni auf Abmahnungen und Ähnliches spezialisieren werden. Bevor die Strafen einsetzen, sollte man daher lieber vorher investieren.

Laptop
Angesichts der am 25. Mai in Kraft tretenden DSGVO müssen Unternehmen ihre Datenschutzbestimmungen genau überprüfen. (Bild: Pixabay.com)

[4551]

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.