Online-Genealogie und die DSGVO: Ich hätte da ein paar Fragen

Carl und Elise

 

Am 25. Mai tritt die neue Datenschutz-Grundverordnung in Kraft, und sie bringt viele Neuerungen. In der Genealogie-Community wurde sie aber bislang kaum diskutiert und meine eigenen Recherchen als Nicht-Jurist hinterließen bei mir mehr Fragen als Antworten. Nachdem das Thema aber sowohl Plattform-Betreiber als auch AhnenforscherInnen angeht und die möglichen Strafen sehr hoch sind, seien meine offenen Fragen hier zur Diskussion gestellt:

Geltungsbereich

Die DSGVO definiert gleich zu Beginn (Art. 2, Abs. 2 lit. d), dass sie „keine Anwendung auf die Verarbeitung personenbezogener Daten (…) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ findet. Damit ist zunächst einmal klar, dass private Ahnenforschung nicht durch die DSGVO berührt wird. Auf meinem privaten Computer darf ich also die Daten meiner lebenden Familienmitglieder verarbeiten.

Frage 1: Wie ist das aber, wenn ich meinen Stammbaum zu einem Online-Service übertrage, zum Beispiel zu Ancestry oder MyHeritage oder zu unserer geplanten Plattform GenSoup? Ist das dann immer noch eine persönliche oder familiäre Tätigkeit?

Verantwortlicher

Der „Verantwortliche“ ist nach Art. 4, Abs. 7 „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Über den Zweck und die Mittel entscheidet zweifellos der betroffene private Genealoge, wer sonst? Daraus ergibt sich

Frage 2: Wenn die DSGVO für Private nicht gilt, kann dann ein Privater überhaupt „Verantwortlicher“ im Sinne der Verordnung sein? Wenn nein, was ist er dann in diesem Kontext?

Auftragsverarbeiter

Der Auftragsverarbeiter ist jene Stelle, „die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4, Abs. 8)

Frage 3: Wenn der private User kein Verantwortlicher ist, da die DSGVO für ihn/sie nicht gilt, gibt es dann in diesem Kontext überhaupt einen „Auftragsverarbeiter“ im Sinne dieser Verordnung? Wo kein Verantwortlicher, da kein Auftragsverarbeiter, oder?

Wer bis hierher gelesen hat und diese Diskussion zu akademisch findet möge trotzdem weiterlesen, dann das war nur das Vorspiel. Denn es geht letztendlich um Haftung – und damit auch um viel Geld.

Zwischenstand: Wir wissen also nicht, ob private User einer Online-Genealogieplattform der DSGVO überhaupt unterliegen und, wenn ja, ob sie dann „Verantwortliche“ im Sinne der Verordnung sind. Wir wissen daher auch nicht, ob die Plattform selbst Auftragsverarbeiter (oder vielleicht doch Verantwortlicher?) ist.

Einwilligung

Eine der wichtigsten Bestimmungen der DSGVO ist, dass eine Verarbeitung peronenbezogener Daten lebender natürlicher Personen nur erfolgen darf, wenn es dafür eine Rechtsgrundlage gibt. In unserem Fall wäre das vermutlich Art. 6, Abs. 1 lit. a: „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“. Diese Regelung entspricht durchaus dem common sense: Wenn man die Daten eines lebenden Familienmitglieds ins Internet stellt, dann sollte man dieses vorher fragen, das ist ebenso sinnvoll wie höflich. Wie das jemand machen soll, dessen Stammbaum 100.000 Personen und mehr umfasst (und die sind gar nicht so selten), bleibt allerdings dahingestellt. Aber es geht nicht um praktische Fragen, es geht um die Haftung.

Frage 4: Im Lichte obiger Erwägungen: Wer ist dafür zuständig, wenn sich ein Familienmitglied beschwert, dass seine/ihre Daten ohne Einwilligung verarbeitet wurden? Der Hausverstand sagt, dass das natürlich der User sein müsste, der die Daten eingespielt hat. Was ist aber, wenn der nicht erreichbar oder unwillig ist? Muss der Plattformbetreiber dann von sich aus tätig werden? Wenn ja, auf welcher Rechtsgrundlage? Und haftet dann der Plattformbetreiber gegenüber dem User, weil er dessen Daten ohne seine Zustimmung verfälscht/gelöscht hat?

Recht auf Auskunft/Information/Löschung/

Kapitel 3 der DSGVO regelt die „Rechte der betroffenen Person“, und die sind umfangreich: Es gibt das Recht auf Auskunft, auf Berichtigung, auf Löschung („Vergessenwerden“), etc.

Frage 5: An wen muss ein Betroffener sich wenden, wenn er diese Rechte geltend machen möchte? An den Plattformbetreiber? An den User? An niemanden, Pech gehabt? Wer haftet, wenn die Rechte des Betroffenen verletzt werden?

Aus der DSGVO ergeben sich noch viele weitere Fragen, die obigem Muster folgen. Es geht etwa um die besonders geschützten Daten nach Art. 9 (z.B. sexuelle Orientierung oder Verarbeitung genetischer Daten, wie in der DNA-Genalogie mittlerweile weit verbreitet). Es geht auch um die Veröffentlichung (entweder gegenüber einer breiten Öffentlichkeit oder auch nur gegenüber anderen Usern) im Zuge des Abgleichs von Stammbäumen („matching“). Und es geht letztlich auch um die Weitergabe von Daten, denn übereinstimmende Teilstammbäume werden natürlich von den meisten Usern in den eigenen Stammbaum übernommen, das ist ebenso sinnvoll wie komfortabel. So funktioniert Online-Genealogie seit vielen Jahren. Aber es landen die Daten des eigenen Cousins letztendlich bei entfernten Verwandten, ob der das will oder nicht.

Es geht also, um es noch einmal zu betonen, um Haftung. Es geht nicht darum, ob man etwas tun sollte oder nicht oder um Debatten zu best practices für Ahnenforschung, sondern mir geht es darum, wer für die Erfüllung der vielen Verpflichtungen nach der DSGVO zuständig ist und wer im Zweifelsfall geklagt werden kann, wenn er einer Verpflichtung nicht nachkommt? Wer zahlt die Strafe von bis zu 4 % des Jahresumsatzes? Der private User? Der Plattformbetreiber? Auf welcher Rechtsgrundlage? Oder niemand, weil die Verordnung schlicht für diesen Anwendungsfall nicht vorgesehen ist?

Ich freue mich über Antworten und eine rege Diskussion darüber, hier im Kommentarbereich und gerne auch auf Facebook. Sollte ich durch die Diskussion klüger werden schreibe ich gerne einen weiteren Artikel dazu.

17 Kommentare

  1. Ui. Bei Genealogie-Plattformen wird das höllisch kompliziert – nämlich dann, wenn die Daten von Dritten betroffen sind, die ja keine Einwilligung erteilen können.

    Zu Frage 4 fällt mir ein: Der Datenverabeiter muss dem Betroffenen eine Möglichkeit zur Löschung einräumen… aber das Problem ist die Zustimmung von Dritten überhaupt erst mal zu kriegen.

    1. Ja, aber der Auftragsverarbeiter ist ja im Auftrag des Verantwortlichen tätig. Ein Privater kann aber – meiner These nach – kein Verantwortlicher sein. Ist er es doch, so treten jede Menge anderer Absurditäten auf. Der Auftragsverarbeiter hat ja jede Menge vertraglicher Pflichten, zum Beispiel die Löschung der Daten nach Vertragsende (was alleine schon wegen der durch matching von anderen User übernommenen Daten nicht geht). Lustig ist auch die Möglichkeit des Verantwortlichen, Einspruch gegen neue Sub-Auftragsverarbeiter zu erheben. Kann jeder MyHeritage-User beeinspruchen, wenn MyHeritage ein anderes Datencenter anmietet? Das kann’s wohl nicht sein…
      (Mehr dazu unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Pflichten-des-Auftragsver.html)

      1. Kann jeder MyHeritage-User beeinspruchen, wenn MyHeritage ein anderes Datencenter anmietet? Das kann’s wohl nicht sein…

        Ja, genau darum würde es mir gehen! Das ist in Ordnung und wäre der großem Fortschritt.

  2. Lieber Mikee,
    Verantwortlicher ist diejenige (natürliche oder juristische) Person, die über den Zweck und die Mittel der Datenverarbeitung entscheidet. Derjenige, der seine Daten zur Verfügung stellt (eingibt) ist Betroffener. Also bei deinem Beispiel ist die Firma oder Organisation, die MyHeritage betreibt der Verantwortliche, und der kann Auftragsverarbeiter (z.B. ein Hoster oder Rechenzentrum) beauftragen. Wenn dieser Auftragsverarbeiter Subauftragsverarbeiter einsetzt, dann kann der Verantwortliche dem widersprechen.
    Übrigens Datenschutz ist ein persönliches Grundrecht einer natürlichen Person – Tote haben keinen Datenschutz.

    1. Lieber Kurt, ich kann Dir nicht folgen.

      Ich als User entscheide doch selbst über Zweck und Mittel, nämlich, indem ich meinen Stammbaum bei MyHeritage eingebe/importiere (oder doch bei Ancestry oder gar nicht). Wer soll das sonst entscheiden, wenn nicht der User selbst?

      Aber nehmen wir mal an, dass Du recht hast. Dann können nämlich sämtliche Online-Genealogie-Plattformen sofort zusperren, weil sie die Anforderungen der DSGVO als Verantwortliche schlicht nicht erfüllen können. Der Dienstleister kann nicht überprüfen, ob irgendjemand in einem Stammbaum zugestimmt hat, in ein Online-Service importiert oder gar mit anderen Stammbäumen gematcht zu werden. Er kann auch nicht überprüfen, ob die Daten auch wirklich stimmen. Das sind alles undefinierte Anwendungsfälle. Aber wenn sich Deine Ansicht durchsetzt ist das Haftingsrisiko insbesondere für kleinere Anbieter viel zu groß.

      Dass es nur um lebende Personen geht ist eh klar, aber das sind alleine in meinem Stammbaum auch schon ein paar hundert.

      Wäre ich ein Abmahnanwalt auf der Suche nach einem Geschäftsmodell würde ich mich auf MyHeritage registrieren, lebende Mitglieder diverser Stammbäume suchen, mir von denen ein Mandat geben lassen und Rechnungen an MyHeritage schicken. So läuft das ja bei den Fotografen in Deutschland schon länger – aber deren Rechnungen gehen nicht alle an dieselbe Adresse.

  3. Ich möchte dem Begriff „Privater“ widersprechen. Es gibt keinen „Privaten“!
    Was da privat ist, sind meine persönlichen Daten, die nur ich habe. Aber sobald diese eine andere Person verwendet, wird daraus etwas anderes. Nämlich eine Information die zur Ware wird.

    Von Verkauf darf ich in diesem Moment sprechen, wenn jemanden zB. Rabatte eingeräumt werden, als Belohnung für einen Datenupload. Damit hat jemand, eine ganz konkrete Finanzielle Gegenleistung erhalten. Also ist es ein ganz normales Handelsgeschäft. Daten sind nichts anderes als Waren, die jemanden gehören. Jemand verhökert Daten. Punkt.

    Ich glaube nicht, dass sich die Genealogen dafür Einverständnisse eingeholt haben.

  4. Die neue Datenschutzverordnung schärfer als ihre Vorgänger, weil ich,
    a) unmittelbar (also sofort) Auskunft über sämtliche gespeicherten Daten über die ich verfüge, eine Person betreffend, geben muss, wenn diese das verlangt.
    b) unmittelbar Behörden gegenüber den Zugang zum Datenspeicher (Server, Aktenordner, etc.) geben muss.

    Es geht im großen und ganze um Ordnung! Die mit erheblichen Aufwand verbunden sein kann. Und hier kommen die Genealogen in Zugzwang. Weil sie Daten (über Jahrzehnte) sammeln und gesammelt haben, aber selten die Information wie sie an die Daten gelangt sind und wo sie diese Daten überall rumliegen haben, dokumentieren.

    Gebe ich Daten an Ancestry weiter, so übernehme die Haftung darüber, dass diese Daten nur im Rahmen der Vereinbarung die ich mit meiner Quelle hatte verwendet und das entsprechend dokumentiert ist.
    DH ich muss wissen, was Ancestry damit macht und muss mir eine Möglichkeit von Ancestry einräumen lassen, ev. nicht konforme Verwendung zu unterbinden.
    Damit dürfte das Geschäftsmodell Ancestry am Server in den USA noch gehen, aber in Österreich komme ich in Teufels Küche damit. So sehe ich das.

    1. Wenn es stimmt, was Kurt Einzinger hier als Kommentar schrieb, dann trifft die Auskunftspflicht nach der DSGVO diesfalls Ancestry und nicht die Kunden, die die Daten raufladen. In diesem Fall muss ich als Privater gar nix, zumindest nicht nach der DSGVO. Ich halte das auch für ein bisserl absurd, aber das scheint tatsächlich die herrschende Rechtsmeinung zu sein.

      Abgesehen davon stimmt es nicht, dass die Auskunft sofort erteilt werden muss. Die Firma hat dafür 1 Monat (mit begründeter Verlängerung 3 Monate) Zeit.

      1. Für mich ist Krux bei der Sache die verlangte Dokumentation. Ich verstehe das so, dass Datenspender in Zukunft sehen werden, xy Daten sind gespeichert (oder im Aktenordner) und wurden übermittelt an NN. Der Aufwand wird sein, dass ich zu jedem meiner 5.000 Datensatz/Person die Information „Daten wurde an xy übermittelt“ aufzeichnen muss.

        Übermittle ich die Datenbank zB. einer Druckerei, weil daraus die Tabellen generiert werden, die in der Familienchronik vorkommen, muss ich das Dokumentieren.

        Was eben das Thema sein wird: werde ich aufgefordert Daten zu löschen, dann muss auch die Druckerei die dort vor sich hingammelnde DB aktualisieren, damit im Falle einer Neuauflage die Löschung greift. Dafür würde ich die Haftung haben.

        Ancestry tut ja nix anderes, als die Daten a la Druckerei mir im Browser anzeigen. Rufe ich dort an und frage woher die die Daten haben, schicken die mir eine E-Mail mit Namen und Adresse und Datum des uploaders. Ich rufe den uploader an und verlange die Löschung. Uploader ruft Ancestry an und beauftrag die Löschung.
        Ist doch ziemlich easy. Und für etwas anderes könnte ich als privater Familienforscher auch gar kein okay geben.

        1. Wenn der private User tatsächlich nicht der „Verantwortliche“ nach der DSGVO ist, dann muss der gar nix (zumindest nicht nach der DSGVO). Die Auskunfts- und Dokumentationspflichten treffen ausschließlich Ancestry (um bei diesem Beispiel zu bleiben). Ich bin mir auch ziemlich sicher, dass Ancestry in diesem Fall die Daten des Uploaders nicht herausgeben darf.

          Der Fall der verlangten Datenlöschung ist für eine Genealogie-Plattform eine sehr schwierige Aufgabe, denn die Daten sind ja (zumindest nach einer gewissen Zeit) auch in vielen anderen Stammbäumen vorhanden und außerdem sind das vernetzte Daten: Wenn man an der falschen Stelle reinschneidet fallen die Bäume auseinander. Besonders absurd ist das im Fall von Geni, wo alle gemeinsam an einem „Weltstammbaum“ basteln.

          Was die Backups betrifft, so ist das auch in anderen Branchen ungelöst, denn wer kann schon einzelne Datensätze aus alten Backup-Dateien rauslöschen? Der Gesetzgeber dachte dabei an Anbieter professioneller ERP- und CRM-Systeme, aber sicher nicht an den Kleinbetrieb mit einer selbstgebastelten Buchhaltung.

          Noch was: Ich stell mir das interessant vor, wie Ancestry die Übermittlung personenbezogener Daten in Drittländer dokumentieren wird. Denn letztendlich ist jeder Aufruf einer Stammbaumseite mit lebenden Europäern eine Übermittlung in ein Drittland, wenn der Aufruf von außerhalb der EU erfolgt. Wie soll das bitte sinnvoll dokumentiert werden? Und wozu?

  5. Ich finde diese Diskussion hochaktuell und denke dass wir noch gewaltige Überraschungen erleben werden .eine Idee die mir immer kommt ist, dass der Umgang mit den persönlichen Daten letztlich auch einen Wert darstellt; irgendwann werden Firmen wie Heritage dazu übergehen müssen, Geld für die Verwendung von Daten bezahlen zu müssen. wie es wirklich werden wird weiß glaube ich keiner von uns. die

  6. Hallo zusammen:
    Ich gehe davon aus, wenn ich meine von mir erfassten Genealogischen Daten aus meiner Familie bei Ancestry und My Heritage speichere müssen die Blattform Betreiber den Datenschutz gewährleisten. Also die Möglichkeit anbieten, dass die Daten für dritte komplett gesperrt werden können sofern die Daten unter den Datenschutz fallen. Also bei lebenden Personen. Einzig und allein ich darf diese Daten sehen. Es handelt sich hierbei um eine Auftragsverarbeitung und dies muss den Datenschutz entsprechend gewährleisten.

    1. Die Frage ist falsch gestellt. Es geht nicht darum, wer die Daten sehen kann sondern darum, auf welcher Rechtsgrundlage die Daten Dritter (zum Beispiel lebender Cousins) verarbeitet werden. MyHeritage setzt in den Nutzungsbedingungen deren Einverständnis zwar voraus, aber ob das nach der DSGVO ausreicht? Es geht ja auch um sensible Daten (z.B. Sexualpräferenz), und eigentlich müssten die Betroffenen zu deren Verarbeitung „ausdrücklich“ einwilligen (Art. 9 Abs (2) a)), und zwar natürlich gegenüber dem Verantwortlichen.

      Wenn aber, wie Kurt Einzinger schreibt, MyHeritage der Verantwortliche ist, dann haben wir hier einen offensichtlichen und in Wirklichkeit nicht sinnvoll auflösbaren Konflikt, denn wie sollte MyHeritage das tun? Die kennen ja die Leute nicht. Der einzige sinnvolle Ansatz ist meiner Ansicht nach, dass in Wahrheit der Kunde (Stammbauminhaber) der Verantwortliche ist. Ob das ein Höchstgericht auch so sieht? Keine Ahnung…

      Übrigens schummelt sich die Datenschutzerklärung von MyHeritage um diese Frage herum, eine entsprechende Anfrage von mir wurde auch nicht beantwortet, was nicht weiter verwunderlich ist…

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

This site uses Akismet to reduce spam. Learn how your comment data is processed.