ANZEIGE
ANZEIGE
ANZEIGE
| 18:26 Uhr

Neue Datenschutz-Grundverordnung ab 25. Mai 2018
Wie ist das jetzt mit Party-Bildern, Selfies und Webseiten?

Die DSGVO ist auch für Fotografen ein wichtiges Thema, denn einmal fotografierte Personen haben nicht nur umfangreiche Rechte, sondern auch die Möglichkeit des Widerrufs.
Die DSGVO ist auch für Fotografen ein wichtiges Thema, denn einmal fotografierte Personen haben nicht nur umfangreiche Rechte, sondern auch die Möglichkeit des Widerrufs. FOTO: fotolia / Tomasz Zajda
Cottbus/Berlin. Die neue Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 Kraft und das erfordert für Verbraucher und Unternehmen eine höhere Sensibilität bezüglich der Daten von anderen Menschen. Die RUNDSCHAU fragte den Berliner Anwalt für Medienrecht, Prof. Dr. Johannes Weberling, worauf besonders zu achten ist. Von Frank Hilbert

Müssen Webseiten-Betreiber jetzt ihre Datenschutz-Erklärung ändern und was sollte weiterhin nicht unbeachtet bleiben?

Prof. Dr. Johannes Weberling.
Prof. Dr. Johannes Weberling. FOTO: Dietmar Horn/GMD

Aufgrund der umfassenden Informationspflichten gemäß Art. 13 Abs. 1 DSGVO gegenüber der betroffenen Person bei der Datenverarbeitung wird der Umfang der Datenschutzerklärung für Websites zunehmen. Die Datenschutzerklärung sollte auf Websites nur mit einem Klick erreichbar sein, denn der Verstoß gegen die Informationspflichten kann zu Sanktionen führen.

Haben Fotos, die vor dem 25. Mai 2018 auf einer Webseite eingestellt worden sind, gewissermaßen rechtlichen Bestandsschutz oder müssen diese jetzt alle auf den Prüfstand der DSGVO?

Nach dem Erwägungsgrund (ErwG) 171 der DSGVO gelten bereits abgegebene Einwilligungen auch nach Inkrafttreten der DSGVO am 25. Mai 2018 fort. Soweit die bisherige Datenverarbeitung auf einer rechtswirksamen Einwilligung beruht, ist keine erneute Einwilligung erforderlich.

Allerdings muss der Verantwortliche für die Webseite nach Art. 7 Abs. 1 DSGVO nachweisen, dass die Verarbeitung der Fotos auf einer Einwilligung beruht. Aufgrund dieser erhöhten Nachweispflicht ist der Fotograf durch eine (schriftliche oder ausdrückliche) Einwilligung immer auf der sicheren Seite.

Ein großes Thema ist die DSGVO für Fotografen und Filmer. Stichwort Party-Bilder: Reicht es für den Veranstalter aus, wenn er am Eingang oder auf der Einladung lediglich darauf hinweist, dass Fotos gemacht werden? Und müssen das die Gäste dann hinnehmen, inklusive jeglicher möglichen Veröffentlichung?

Grundsätzlich ist die Arbeit von Pressefotografen und deren Datenverarbeitung zu journalistischen Zwecken durch das Medienprivileg geschützt. Die Bestimmungen des Kunsturhebergesetz (KUG) gelten uneingeschränkt fort. Über einen Hinweis auf der Einladung und am Eingang der Veranstaltung hinaus, sollten sich Pressefotografen als solche zu erkennen geben und darüber informieren, dass Fotos gemacht und auch veröffentlicht werden. Als Einwilligung kann auch ein Nicken als eindeutige bestätigende Handlung ausreichen, da keine schriftliche Einwilligung erteilt werden muss.

Jedoch ist zu beachten, dass das Presseunternehmen im Zweifelsfall den Nachweis für das Vorliegen einer Einwilligung erbringen muss. In kritischen Fällen ist dem Fotografen zu raten, in einer Aktennotiz aufzuschreiben, warum er von einer Einwilligung ausgeht.

Selfies mit dem Handy sind beliebt und landen zu Tausenden in den sozialen Netzwerken. Oft sind auf solchen Bildern aber auch andere unbeteiligte Menschen mit zu sehen. Was sollte jetzt bei Selfies beachtet werden?

Grundsätzlich bedarf es für Fotos, auf denen unbeteiligte Personen zu sehen sind und diese nicht nur als Beiwerk oder Hintergrund fungieren, für die Datenverarbeitung einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO, das heißt einer Einwilligung oder eines Vertrages. Gleichzeitig sind jedoch Fotos von Unbeteiligten „zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ nach Art. 2 Abs. 2 c) DSGVO nicht vom Anwendungsbereich der Datenschutzgrundverordnung umfasst und somit zulässig, soweit jeglicher Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit ausscheidet.

Kompliziert wird es durch das Hochladen von Fotos auf sozialen Netzwerken. In dem ErwG 18 der DSGVO ist als persönliche oder familiäre Tätigkeiten der betroffenen Person auch die Nutzung von sozialen Netzwerken genannt, für welche die DSGVO ausdrücklich nicht gilt. Gleichzeitig stellt ErwG 18 aber ausdrücklich klar, dass die DSGVO sehr wohl für die Anbieter von sozialen Netzwerken gilt, welche die Instrumente der Datenverarbeitung bereitstellen.

Wenn ein RUNDSCHAU-Leser der Redaktion ein Foto anbietet, was muss er jetzt unbedingt beachten?

Er sollte bei der Anfertigung der Fotos die abgebildeten Personen um eine Einwilligung bitten. Der Leser kommt nämlich nicht in den Genuss des Medienprivilegs wie Journalisten und muss sich vergewissern, dass die Datenverarbeitung rechtmäßig ist. So kann zwar das Fertigen von Fotos „zur Ausübung persönlicher oder familiärer Tätigkeiten“ nach Art. 2 Abs. 2c DSGVO durch Leser im Rahmen der privaten Nutzung erfolgen, sodass die Datenschutzgrundverordnung nicht anwendbar ist.

Sobald der Leser die Fotos jedoch der RUNDSCHAU-Redaktion anbietet und den persönlichen oder familiären Tätigkeitsbereich verlässt, sind die Vorschriften der Datenschutzgrundverordnung anwendbar. Die Frage ist dann, ob die Verarbeitung der Fotos, auf denen möglicherweise unbekannte Dritte als Unbeteiligte abgebildet sind, rechtmäßig ist und ob die kommerzielle Datenverarbeitung beispielsweise auf einer Einwilligung basiert.

Eine einmal erteilte Einwilligung zur Veröffentlichung kann jederzeit widerrufen werden. Was heißt jederzeit und wie muss dies erfolgen? Kann ein Fotograf dann den für ihn entstandenen möglichen Aufwand als Entschädigung einfordern?

Ja, die Einwilligung kann nach Art. 7 Abs. 3 S. 1 DSGVO jederzeit widerrufen werden. Jedoch hat der Widerruf der Einwilligung auf die Rechtmäßigkeit der Datenverarbeitung, die bis zum Widerruf der Einwilligung erfolgte, nach Art. 7 Abs. 3 S. 2 DSGVO keinen Einfluss. Das bedeutet, dass der Widerruf der Einwilligung grundsätzlich nur für die Zukunft gilt. Die Konsequenz ist, dass die Datenverarbeitung für die Zukunft aufgrund der widerrufenen Einwilligung unwirksam wird.

Der Widerruf der Einwilligung muss gemäß Art. 7 Abs. 3 S. 4 DSGVO genauso einfach und leicht möglich sein, wie die Erteilung der Einwilligung. Es besteht jedoch weder ein Formerfordernis für die Einwilligung noch für den Widerruf. Aufgrund der Nachweispflichten des Verantwortlichen ist jedoch sowohl eine schriftliche Einwilligung als auch ein schriftlicher Widerruf der Einwilligung zu empfehlen.

In Wartezimmern jeglicher Art werden die Menschen oft mit ihrem Namen aufgerufen. Nicht selten werden auch persönliche Daten am Tresen in Hörweite weiterer Wartender abgefragt. Ist das jetzt noch zulässig?

Bereits der Name und der Vorname eines Menschen sind gemäß Art. 4 Nr. 1 DSGVO „personenbezogene Daten“ und insofern Informationen, mithilfe derer die Person identifizierbar ist. Auch das Aufrufen des Wartenden im Wartezimmer ist aus datenschutzrechtlichen Gesichtspunkten eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO.

Der Wartende im Vorraum könnte in das Aufrufen seines Namens ausdrücklich eingewilligt haben. Aus Praktikabilitätsgründen ist fraglich, ob man andere Mittel und Wege findet, um Personen aufzurufen, möglicherweise mit einem Nummernsystem, um die Namensnennung zu umgehen.

Insbesondere in Wartezimmern von Ärzten, die sensible Daten der betroffenen Personen verarbeiten, ist Vorsicht geboten. Auch dort müssen technische und organisatorische Maßnahmen zur Einhaltung der Datensicherheit gewährleistet werden, beispielsweise durch einen Sicherheitsabstand zu den anderen Wartenden.

Worauf sollten vor allem Kleinunternehmer bezüglich ihrer Computer und des Personals achten?

Ein Kleinunternehmer sollten eine Datenschutzerklärung für die Website bereitstellen, soweit beim Besuch der Website personenbezogene Daten wie die IP-Adresse, Datum und Uhrzeit der Anfrage, Browser, Zugriffsstatus und die jeweils übertragene Datenmenge erhoben werden sowie bei der Verwendung von Cookies.

Der Computer sollte durch ein Passwort und der E-Mail-Versand durch eine Verschlüsselung gesichert werden. Es bedarf weiterhin der Kontrolle des Zugriffs auf personenbezogene Daten sowie des Zugangs zur IT und den Computersystemen. Über die technischen und organisatorischen Maßnahmen nach Art. 24, 32 DSGVO ist ein Verfahrensverzeichnis mit den Schritten zur Gewährleistung der Datensicherheit zu erstellen.

Die Mitarbeiter des Unternehmens sind über ihre datenschutzrechtlichen Rechte und Pflichten zu unterrichten und regelmäßig über das Datenschutzrecht zu informieren bzw. zu schulen. Mit allen Mitarbeitern des Unternehmens sollte eine Vertraulichkeitsvereinbarung im Sinne einer Verpflichtung auf das Datengeheimnis geschlossen werden.

Weiterhin ist mit Auftragnehmern, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten, eine Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO zu schließen.

Wie verhält es sich beispielsweise mit Kunden-Daten auf Rechnungen, die man dem Steuerberater oder Finanzamt übergeben muss?

Die Datenverarbeitung von Kundendaten auf Rechnungen, welche dem Finanzamt oder dem Steuerberater übergeben werden, ist auf der Grundlage von Art. 6 Abs. 1c DSGVO rechtmäßig. Nach Art. 6 Abs. 1c DSGVO ist die Datenverarbeitung rechtmäßig, soweit sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, worunter die Aufzeichnungs- und Aufbewahrungspflichten im Steuerrecht gehören. Die Datenverarbeitung durch einen Steuerberater kann auch auf Art. 6 Abs. 1e, Abs. 3 DSGVO gestützt werden.

Ab wann muss ein Datenschutz-Beauftragter in Firmen bestellt werden?

Ein Datenschutzbeauftragter muss nach Art. 37 Abs. 1 DSGVO in den folgenden Fällen benannt werden, wenn die Datenverarbeitung von einer Behörde oder einer öffentlichen Stelle durchgeführt wird, die Kerntätigkeit der Datenverarbeitung eine umfangreiche regelmäßige Überwachung der betroffenen Personen erfordert oder die Kerntätigkeit der Datenverarbeitung besondere Kategorien von Daten nach Art. 9 DSGVO (rassische und ethnische Herkunft, politischer Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung) oder nach Art. 10 DSGVO (strafrechtliche Verurteilungen, Straftaten oder damit zusammenhängende Sicherheitsmaßregeln) umfasst.

Darüber hinaus muss nach § 38 Abs. 1 BDSG n.F. ein Datenschutzbeauftragter benannt werden, wenn in dem Unternehmen mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind, das Unternehmen einer Datenschutz-Folgenabschätzung unterliegt oder die Datenverarbeitung, ganz unabhängig von der Beschäftigtenanzahl, zum Zweck der Übermittlung oder der Markt- oder Meinungsforschung stattfindet.

Ist die DSGVO das Aus für Internet-Plattformen wie Wikipedia, wo sich jeder mit seinen Informationen beispielsweise über Menschen einbringen kann? Müssen gar frühere Einträge jetzt von denjenigen gelöscht werden, die sie dort eingestellt haben?

Das wäre denkbar! Denn Wikipedia unterliegt derzeit weder den journalistischen Sorgfaltspflichten, noch genügt es wissenschaftlichen Standards.