Am 25. Mai tritt die neue Datenschutz-Grundverordnung in Kraft, und sie bringt viele Neuerungen. In der Genealogie-Community wurde sie aber bislang kaum diskutiert und meine eigenen Recherchen als Nicht-Jurist hinterließen bei mir mehr Fragen als Antworten. Nachdem das Thema aber sowohl Plattform-Betreiber als auch AhnenforscherInnen angeht und die möglichen Strafen sehr hoch sind, seien meine offenen Fragen hier zur Diskussion gestellt:
Geltungsbereich
Die DSGVO definiert gleich zu Beginn (Art. 2, Abs. 2 lit. d), dass sie „keine Anwendung auf die Verarbeitung personenbezogener Daten (…) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ findet. Damit ist zunächst einmal klar, dass private Ahnenforschung nicht durch die DSGVO berührt wird. Auf meinem privaten Computer darf ich also die Daten meiner lebenden Familienmitglieder verarbeiten.
Frage 1: Wie ist das aber, wenn ich meinen Stammbaum zu einem Online-Service übertrage, zum Beispiel zu Ancestry oder MyHeritage oder zu unserer geplanten Plattform GenSoup? Ist das dann immer noch eine persönliche oder familiäre Tätigkeit?
Verantwortlicher
Der „Verantwortliche“ ist nach Art. 4, Abs. 7 „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Über den Zweck und die Mittel entscheidet zweifellos der betroffene private Genealoge, wer sonst? Daraus ergibt sich
Frage 2: Wenn die DSGVO für Private nicht gilt, kann dann ein Privater überhaupt „Verantwortlicher“ im Sinne der Verordnung sein? Wenn nein, was ist er dann in diesem Kontext?
Auftragsverarbeiter
Der Auftragsverarbeiter ist jene Stelle, „die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ (Art. 4, Abs. 8)
Frage 3: Wenn der private User kein Verantwortlicher ist, da die DSGVO für ihn/sie nicht gilt, gibt es dann in diesem Kontext überhaupt einen „Auftragsverarbeiter“ im Sinne dieser Verordnung? Wo kein Verantwortlicher, da kein Auftragsverarbeiter, oder?
Wer bis hierher gelesen hat und diese Diskussion zu akademisch findet möge trotzdem weiterlesen, dann das war nur das Vorspiel. Denn es geht letztendlich um Haftung – und damit auch um viel Geld.
Zwischenstand: Wir wissen also nicht, ob private User einer Online-Genealogieplattform der DSGVO überhaupt unterliegen und, wenn ja, ob sie dann „Verantwortliche“ im Sinne der Verordnung sind. Wir wissen daher auch nicht, ob die Plattform selbst Auftragsverarbeiter (oder vielleicht doch Verantwortlicher?) ist.
Einwilligung
Eine der wichtigsten Bestimmungen der DSGVO ist, dass eine Verarbeitung peronenbezogener Daten lebender natürlicher Personen nur erfolgen darf, wenn es dafür eine Rechtsgrundlage gibt. In unserem Fall wäre das vermutlich Art. 6, Abs. 1 lit. a: „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben“. Diese Regelung entspricht durchaus dem common sense: Wenn man die Daten eines lebenden Familienmitglieds ins Internet stellt, dann sollte man dieses vorher fragen, das ist ebenso sinnvoll wie höflich. Wie das jemand machen soll, dessen Stammbaum 100.000 Personen und mehr umfasst (und die sind gar nicht so selten), bleibt allerdings dahingestellt. Aber es geht nicht um praktische Fragen, es geht um die Haftung.
Frage 4: Im Lichte obiger Erwägungen: Wer ist dafür zuständig, wenn sich ein Familienmitglied beschwert, dass seine/ihre Daten ohne Einwilligung verarbeitet wurden? Der Hausverstand sagt, dass das natürlich der User sein müsste, der die Daten eingespielt hat. Was ist aber, wenn der nicht erreichbar oder unwillig ist? Muss der Plattformbetreiber dann von sich aus tätig werden? Wenn ja, auf welcher Rechtsgrundlage? Und haftet dann der Plattformbetreiber gegenüber dem User, weil er dessen Daten ohne seine Zustimmung verfälscht/gelöscht hat?
Recht auf Auskunft/Information/Löschung/
Kapitel 3 der DSGVO regelt die „Rechte der betroffenen Person“, und die sind umfangreich: Es gibt das Recht auf Auskunft, auf Berichtigung, auf Löschung („Vergessenwerden“), etc.
Frage 5: An wen muss ein Betroffener sich wenden, wenn er diese Rechte geltend machen möchte? An den Plattformbetreiber? An den User? An niemanden, Pech gehabt? Wer haftet, wenn die Rechte des Betroffenen verletzt werden?
Aus der DSGVO ergeben sich noch viele weitere Fragen, die obigem Muster folgen. Es geht etwa um die besonders geschützten Daten nach Art. 9 (z.B. sexuelle Orientierung oder Verarbeitung genetischer Daten, wie in der DNA-Genalogie mittlerweile weit verbreitet). Es geht auch um die Veröffentlichung (entweder gegenüber einer breiten Öffentlichkeit oder auch nur gegenüber anderen Usern) im Zuge des Abgleichs von Stammbäumen („matching“). Und es geht letztlich auch um die Weitergabe von Daten, denn übereinstimmende Teilstammbäume werden natürlich von den meisten Usern in den eigenen Stammbaum übernommen, das ist ebenso sinnvoll wie komfortabel. So funktioniert Online-Genealogie seit vielen Jahren. Aber es landen die Daten des eigenen Cousins letztendlich bei entfernten Verwandten, ob der das will oder nicht.
Es geht also, um es noch einmal zu betonen, um Haftung. Es geht nicht darum, ob man etwas tun sollte oder nicht oder um Debatten zu best practices für Ahnenforschung, sondern mir geht es darum, wer für die Erfüllung der vielen Verpflichtungen nach der DSGVO zuständig ist und wer im Zweifelsfall geklagt werden kann, wenn er einer Verpflichtung nicht nachkommt? Wer zahlt die Strafe von bis zu 4 % des Jahresumsatzes? Der private User? Der Plattformbetreiber? Auf welcher Rechtsgrundlage? Oder niemand, weil die Verordnung schlicht für diesen Anwendungsfall nicht vorgesehen ist?
Ich freue mich über Antworten und eine rege Diskussion darüber, hier im Kommentarbereich und gerne auch auf Facebook. Sollte ich durch die Diskussion klüger werden schreibe ich gerne einen weiteren Artikel dazu.
Ui. Bei Genealogie-Plattformen wird das höllisch kompliziert – nämlich dann, wenn die Daten von Dritten betroffen sind, die ja keine Einwilligung erteilen können.
Zu Frage 4 fällt mir ein: Der Datenverabeiter muss dem Betroffenen eine Möglichkeit zur Löschung einräumen… aber das Problem ist die Zustimmung von Dritten überhaupt erst mal zu kriegen.
Ja, aber der Auftragsverarbeiter ist ja im Auftrag des Verantwortlichen tätig. Ein Privater kann aber – meiner These nach – kein Verantwortlicher sein. Ist er es doch, so treten jede Menge anderer Absurditäten auf. Der Auftragsverarbeiter hat ja jede Menge vertraglicher Pflichten, zum Beispiel die Löschung der Daten nach Vertragsende (was alleine schon wegen der durch matching von anderen User übernommenen Daten nicht geht). Lustig ist auch die Möglichkeit des Verantwortlichen, Einspruch gegen neue Sub-Auftragsverarbeiter zu erheben. Kann jeder MyHeritage-User beeinspruchen, wenn MyHeritage ein anderes Datencenter anmietet? Das kann’s wohl nicht sein…
(Mehr dazu unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Pflichten-des-Auftragsver.html)
Kann jeder MyHeritage-User beeinspruchen, wenn MyHeritage ein anderes Datencenter anmietet? Das kann’s wohl nicht sein…
Ja, genau darum würde es mir gehen! Das ist in Ordnung und wäre der großem Fortschritt.
Wäre aber nicht sehr sinnvoll, denn dann können die zusperren. Ist aber anscheinend ohnehin nicht der Fall.
Lieber Mikee,
Verantwortlicher ist diejenige (natürliche oder juristische) Person, die über den Zweck und die Mittel der Datenverarbeitung entscheidet. Derjenige, der seine Daten zur Verfügung stellt (eingibt) ist Betroffener. Also bei deinem Beispiel ist die Firma oder Organisation, die MyHeritage betreibt der Verantwortliche, und der kann Auftragsverarbeiter (z.B. ein Hoster oder Rechenzentrum) beauftragen. Wenn dieser Auftragsverarbeiter Subauftragsverarbeiter einsetzt, dann kann der Verantwortliche dem widersprechen.
Übrigens Datenschutz ist ein persönliches Grundrecht einer natürlichen Person – Tote haben keinen Datenschutz.
Lieber Kurt, ich kann Dir nicht folgen.
Ich als User entscheide doch selbst über Zweck und Mittel, nämlich, indem ich meinen Stammbaum bei MyHeritage eingebe/importiere (oder doch bei Ancestry oder gar nicht). Wer soll das sonst entscheiden, wenn nicht der User selbst?
Aber nehmen wir mal an, dass Du recht hast. Dann können nämlich sämtliche Online-Genealogie-Plattformen sofort zusperren, weil sie die Anforderungen der DSGVO als Verantwortliche schlicht nicht erfüllen können. Der Dienstleister kann nicht überprüfen, ob irgendjemand in einem Stammbaum zugestimmt hat, in ein Online-Service importiert oder gar mit anderen Stammbäumen gematcht zu werden. Er kann auch nicht überprüfen, ob die Daten auch wirklich stimmen. Das sind alles undefinierte Anwendungsfälle. Aber wenn sich Deine Ansicht durchsetzt ist das Haftingsrisiko insbesondere für kleinere Anbieter viel zu groß.
Dass es nur um lebende Personen geht ist eh klar, aber das sind alleine in meinem Stammbaum auch schon ein paar hundert.
Wäre ich ein Abmahnanwalt auf der Suche nach einem Geschäftsmodell würde ich mich auf MyHeritage registrieren, lebende Mitglieder diverser Stammbäume suchen, mir von denen ein Mandat geben lassen und Rechnungen an MyHeritage schicken. So läuft das ja bei den Fotografen in Deutschland schon länger – aber deren Rechnungen gehen nicht alle an dieselbe Adresse.
Ich möchte dem Begriff „Privater“ widersprechen. Es gibt keinen „Privaten“!
Was da privat ist, sind meine persönlichen Daten, die nur ich habe. Aber sobald diese eine andere Person verwendet, wird daraus etwas anderes. Nämlich eine Information die zur Ware wird.
Von Verkauf darf ich in diesem Moment sprechen, wenn jemanden zB. Rabatte eingeräumt werden, als Belohnung für einen Datenupload. Damit hat jemand, eine ganz konkrete Finanzielle Gegenleistung erhalten. Also ist es ein ganz normales Handelsgeschäft. Daten sind nichts anderes als Waren, die jemanden gehören. Jemand verhökert Daten. Punkt.
Ich glaube nicht, dass sich die Genealogen dafür Einverständnisse eingeholt haben.
Es geht um die Begrifflichkeiten, die die DSGVO verwendet. Abgesehen davon würde ich nicht verallgemeinern, es gibt sicher auch viele Genealogen, die sich das Einverständnis geholt haben.
Die Verallgemeinerung da habens Recht, die ist natürlich nicht angebracht. Sorry.
Die neue Datenschutzverordnung schärfer als ihre Vorgänger, weil ich,
a) unmittelbar (also sofort) Auskunft über sämtliche gespeicherten Daten über die ich verfüge, eine Person betreffend, geben muss, wenn diese das verlangt.
b) unmittelbar Behörden gegenüber den Zugang zum Datenspeicher (Server, Aktenordner, etc.) geben muss.
Es geht im großen und ganze um Ordnung! Die mit erheblichen Aufwand verbunden sein kann. Und hier kommen die Genealogen in Zugzwang. Weil sie Daten (über Jahrzehnte) sammeln und gesammelt haben, aber selten die Information wie sie an die Daten gelangt sind und wo sie diese Daten überall rumliegen haben, dokumentieren.
Gebe ich Daten an Ancestry weiter, so übernehme die Haftung darüber, dass diese Daten nur im Rahmen der Vereinbarung die ich mit meiner Quelle hatte verwendet und das entsprechend dokumentiert ist.
DH ich muss wissen, was Ancestry damit macht und muss mir eine Möglichkeit von Ancestry einräumen lassen, ev. nicht konforme Verwendung zu unterbinden.
Damit dürfte das Geschäftsmodell Ancestry am Server in den USA noch gehen, aber in Österreich komme ich in Teufels Küche damit. So sehe ich das.
Wenn es stimmt, was Kurt Einzinger hier als Kommentar schrieb, dann trifft die Auskunftspflicht nach der DSGVO diesfalls Ancestry und nicht die Kunden, die die Daten raufladen. In diesem Fall muss ich als Privater gar nix, zumindest nicht nach der DSGVO. Ich halte das auch für ein bisserl absurd, aber das scheint tatsächlich die herrschende Rechtsmeinung zu sein.
Abgesehen davon stimmt es nicht, dass die Auskunft sofort erteilt werden muss. Die Firma hat dafür 1 Monat (mit begründeter Verlängerung 3 Monate) Zeit.
Für mich ist Krux bei der Sache die verlangte Dokumentation. Ich verstehe das so, dass Datenspender in Zukunft sehen werden, xy Daten sind gespeichert (oder im Aktenordner) und wurden übermittelt an NN. Der Aufwand wird sein, dass ich zu jedem meiner 5.000 Datensatz/Person die Information „Daten wurde an xy übermittelt“ aufzeichnen muss.
Übermittle ich die Datenbank zB. einer Druckerei, weil daraus die Tabellen generiert werden, die in der Familienchronik vorkommen, muss ich das Dokumentieren.
Was eben das Thema sein wird: werde ich aufgefordert Daten zu löschen, dann muss auch die Druckerei die dort vor sich hingammelnde DB aktualisieren, damit im Falle einer Neuauflage die Löschung greift. Dafür würde ich die Haftung haben.
Ancestry tut ja nix anderes, als die Daten a la Druckerei mir im Browser anzeigen. Rufe ich dort an und frage woher die die Daten haben, schicken die mir eine E-Mail mit Namen und Adresse und Datum des uploaders. Ich rufe den uploader an und verlange die Löschung. Uploader ruft Ancestry an und beauftrag die Löschung.
Ist doch ziemlich easy. Und für etwas anderes könnte ich als privater Familienforscher auch gar kein okay geben.
Wenn der private User tatsächlich nicht der „Verantwortliche“ nach der DSGVO ist, dann muss der gar nix (zumindest nicht nach der DSGVO). Die Auskunfts- und Dokumentationspflichten treffen ausschließlich Ancestry (um bei diesem Beispiel zu bleiben). Ich bin mir auch ziemlich sicher, dass Ancestry in diesem Fall die Daten des Uploaders nicht herausgeben darf.
Der Fall der verlangten Datenlöschung ist für eine Genealogie-Plattform eine sehr schwierige Aufgabe, denn die Daten sind ja (zumindest nach einer gewissen Zeit) auch in vielen anderen Stammbäumen vorhanden und außerdem sind das vernetzte Daten: Wenn man an der falschen Stelle reinschneidet fallen die Bäume auseinander. Besonders absurd ist das im Fall von Geni, wo alle gemeinsam an einem „Weltstammbaum“ basteln.
Was die Backups betrifft, so ist das auch in anderen Branchen ungelöst, denn wer kann schon einzelne Datensätze aus alten Backup-Dateien rauslöschen? Der Gesetzgeber dachte dabei an Anbieter professioneller ERP- und CRM-Systeme, aber sicher nicht an den Kleinbetrieb mit einer selbstgebastelten Buchhaltung.
Noch was: Ich stell mir das interessant vor, wie Ancestry die Übermittlung personenbezogener Daten in Drittländer dokumentieren wird. Denn letztendlich ist jeder Aufruf einer Stammbaumseite mit lebenden Europäern eine Übermittlung in ein Drittland, wenn der Aufruf von außerhalb der EU erfolgt. Wie soll das bitte sinnvoll dokumentiert werden? Und wozu?
Ich finde diese Diskussion hochaktuell und denke dass wir noch gewaltige Überraschungen erleben werden .eine Idee die mir immer kommt ist, dass der Umgang mit den persönlichen Daten letztlich auch einen Wert darstellt; irgendwann werden Firmen wie Heritage dazu übergehen müssen, Geld für die Verwendung von Daten bezahlen zu müssen. wie es wirklich werden wird weiß glaube ich keiner von uns. die
Hallo zusammen:
Ich gehe davon aus, wenn ich meine von mir erfassten Genealogischen Daten aus meiner Familie bei Ancestry und My Heritage speichere müssen die Blattform Betreiber den Datenschutz gewährleisten. Also die Möglichkeit anbieten, dass die Daten für dritte komplett gesperrt werden können sofern die Daten unter den Datenschutz fallen. Also bei lebenden Personen. Einzig und allein ich darf diese Daten sehen. Es handelt sich hierbei um eine Auftragsverarbeitung und dies muss den Datenschutz entsprechend gewährleisten.
Die Frage ist falsch gestellt. Es geht nicht darum, wer die Daten sehen kann sondern darum, auf welcher Rechtsgrundlage die Daten Dritter (zum Beispiel lebender Cousins) verarbeitet werden. MyHeritage setzt in den Nutzungsbedingungen deren Einverständnis zwar voraus, aber ob das nach der DSGVO ausreicht? Es geht ja auch um sensible Daten (z.B. Sexualpräferenz), und eigentlich müssten die Betroffenen zu deren Verarbeitung „ausdrücklich“ einwilligen (Art. 9 Abs (2) a)), und zwar natürlich gegenüber dem Verantwortlichen.
Wenn aber, wie Kurt Einzinger schreibt, MyHeritage der Verantwortliche ist, dann haben wir hier einen offensichtlichen und in Wirklichkeit nicht sinnvoll auflösbaren Konflikt, denn wie sollte MyHeritage das tun? Die kennen ja die Leute nicht. Der einzige sinnvolle Ansatz ist meiner Ansicht nach, dass in Wahrheit der Kunde (Stammbauminhaber) der Verantwortliche ist. Ob das ein Höchstgericht auch so sieht? Keine Ahnung…
Übrigens schummelt sich die Datenschutzerklärung von MyHeritage um diese Frage herum, eine entsprechende Anfrage von mir wurde auch nicht beantwortet, was nicht weiter verwunderlich ist…
Moin, ich bin heute über die Seite gestolpert, da ich genau die gleichen Fragen zu beantworten versuche. Nach meinem (unprofessionellen) Rechtsverständnis bin nach Lektüre der DSGVO auf folgende Anworten gekommen:
zu Frage 1: Eine familiäre Verarbeitung wäre die Sammlung meiner Verwandten in einer Excel-Tabelle. Wenn ich aber eine Software der Welt zur Verfügung stelle, ist der persönliche/private Rahmen gesprengt, selbst wenn bestimmte Personen durch Software-Funktionen nur ihre Familienmitglieder sehen können. Ich als Software-Anbieter agiere nicht mehr privat.
zu Frage 2: Die DSGVO unterscheidet nicht zwischen „privat“ und „geschäftlich“. Der Verantwortliche ist der Entscheider, was mit den erfassten Daten geschieht. Dies kann eine Privatperson oder eine Gesellschaft (=Firma) sein. Das ist der Anbieter der Software und Eigentümer der Datenbank. Auch wenn die Erfassung personenbezogener Daten von einem Dritten (dem Genalogen) geschieht, ist dennoch der Verantwortliche in der Pflicht, lebenden Personen über die Erfassung zu informieren und eine Erlaubnis einzuholen. Denn die betroffene Person ist nicht der Genealoge, sondern das Familienmitglied durch seine personenbezogenen Daten (Name, Geburtsdatum, Geschlecht usw.).
Artikel 14, Satz 1: „Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit: […] c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;[…]“
Da eine Rechtsgrundlage zum Zeitpunkt der Erfassung nicht vorliegt, muss diese durch eine Einwilligung unverzüglich geschaffen werden.
Artikel 6, Absatz 1: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;[…]“
zu Frage 3: Der Auftragsverarbeiter ist der Webhoster, das Rechenzentrum – oder ich selbst, wenn die Webseite über meine private Fritzbox läuft und sich die dazugehörige mySQL-DB auf meiner Festplatte befindet. (Wobei vermutlich „Verantwortlicher“ und „Auftragsverarbeiter“ nicht die selbe Personen sein können). Also derjenige, der die Administration der Datenhaltung durchführt und ggf. Sicherheitskopien der Daten erstellt. Dabei ist es unerheblich, ob der Verarbeiter die personenbezogenen Daten – z.B. wegen einer Verschlüsselung – einsehen kann.
zu Frage 4: Wer willigt wem gegenüber was ein?
a) Die Einwilligung muss von der Person stammen, deren personenbezogene Daten verarbeitet werden. Also von dem Familienmitglied, das ggf. noch gar nichts über die Datenerfassung weiß.
(s.o. Artikel 6, Absatz 1a)
b) Die Einwillung geschieht gegenüber dem Verantwortlichen.
Artikel 7, Absatz 1: „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“
c) Das „Was“ ist in Artikel 6, Absatz 1a mit „einen oder mehrere bestimmte Zwecke“ beschrieben.
D.h. die Haftung liegt meines Erachtens bei dem Betreiber der Webseite. Dieser muss sicherstellen, dass alle personenbezogenen Daten von lebenden Personen, die gespeichert sind, durch eine Einwilligung rechtmäßig erfasst wurden. Im Umkehrschluss bedeutet das: Liegt keine rechtliche Grundlage (=Einwilligung) für die Speicherung vor, müssen sie unverzüglich gelöscht werden.
Artikel 17, Absatz 1: „[…] der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft: […] d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.[…]“
zu Frage 5: Da der Verantwortliche der Seitenbetreiber ist, müssen sich Betroffene an diesen wenden.
Artikel 17, Absatz 1: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden […], sofern einer der folgenden Gründe zutrifft:[…] b) Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.[…]“
Eventuell kann sich der Betroffene noch zusätzlich gegen den Erfasser (den Genealogen) wenden, weil es sich vermutlich um eine unrechtmäßige Weitergabe personenbezogener Daten an Dritte (den Software-Anbieter) handelt. Hierzu habe ich aber keinen Anhaltspunkt in der DSGVO gefunden.
Häufig findet man den Begriff „wissenschaftliche oder historische Forschungszwecke“ in der DSGVO. Meiner Meinung nach fallen Genelogie-Anwendungen jedoch nicht darunter, und das Recht auf informelle Selbstbestimmung lebender Personen wiegt weit schwerer.
Viele Grüße aus Hamburg
Ad Frage 1: Ja, genau, das ist ja der Punkt. Als Nutzer von MyHeritage bin ich ja nicht der Verantwortliche. Oder doch?
Ad Frage 2: Warum soll der, der nur eine Plattform (= eine leere Datenbank) zur Verfügung stellt, der Verantwortliche sein? Der hat mit der Datenerhebung und mit der Entscheidung, die Daten wo raufzuladen, nichts zu tun. Und wie soll der die erforderlichen Zustimmungen irgendwelcher Dritter einholen können? Wenn das von den Gerichten auch so gesehen wird, dann können sämtliche Genealogie-Plattformanbieter zusperren – und vermutlich auch sehr viele Social Media Services gleich dazu.
Ad Frage 3: Wie bereits angedeutet, mittlerweile bin ich der Meinung, dass eigentlich der User der verantwortliche ist, also ist der Plattformbetreiber sein Auftragsverarbeiter. was allerdings dann noch mehr Fragen aufwirft…
Ad Fragen 4+5: Das sehen viele so wie sie, ist aber letztendlich unrealistisch und absurd. Die DSGVO ist einfach ein handwerklich schlechtes Gesetz.
Was ich zeigen wollte, und da hat sich nichts geändert: Die DSGVO ist auf den Anwendungsfall „User Generated Content“ nicht ausgelegt und es wird Jahre dauern, bis die Gerichte zu einer einheitlichen Rechtsprechung finden. Bis dahin leiden Unternehmer und User gleichermaßen darunter.
Ist mir alles zu kompliziert, verstehe nur Bahnhof, daher meine Frage:
im Laufe meines Lebens hab ich Geburtsdaten meiner auch noch lebenden Verwandten gesammelt und in einer Excel-Datei als Stammbaum verarbeitet. Darf ich den ausgedruckten Stammbaum an meine Nachkommen verteilen?
Danke für ein ja oder nein
Ja. Die DSGVO gilt nicht für rein private Anwendungen.
Danke!