DSGVO in der Praxis der Datenschutzaufsicht – Teil 1

DSGVO in der Praxis der Datenschutzaufsicht – Teil 1

DSGVO in der Praxis der Datenschutzaufsicht – Teil 1

DSGVO, Datenschutz, Datenschutzaufsichtsbehörden, Auftragsverarbeitung, Informationspflichten

Datenschutzrecht und Fotografie in der Praxis der Datenschutzaufsicht – Teil 1

1 Jahr DSGVO und Fotografie

An dieser Stelle ist bereits grundlegend in mehreren Beiträgen über die neue EU-Datenschutzgrundverordnung (DSGVO – ab 25.05.2018) berichtet worden. Nun soll auf eine praktische Detailfrage und – in einem weiteren Artikel – die zwischenzeitlichen Stellungnahmen der Datenschutzaufsichtsbehörden zur Personenfotografie unter der DSGVO eingegangen werden.

1. Fotoauftrag als Auftragsverarbeitung

Einige Fotografen berichten von Auftraggebern, die von ihnen den Abschluss eines Vertrages zur Auftragsverarbeitung nach den neuen Regeln der DSGVO verlangen (Art. 28 DSGVO), schließlich seinen sie die Auftraggeber und der Fotograf (der sprachlichen Vereinfachung wegen wird nachfolgend die männliche Form genutzt, selbstredend sind aber Personen aller Geschlechter gleichermaßen gemeint) arbeite in ihrem Auftrag. Das klingt zunächst sprachlich schlüssig, ist es das aber auch rechtlich?

a) Was ist Auftragsverarbeitung und wer ist Verantwortlicher nach DSGVO

Nach der gesetzlichen Definition ist „Verantwortlicher“, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. (Art. 4 Nr. 7 DSGVO) Dabei ist „Verarbeitung“ der Oberbegriff für den gesamten „Lebenszyklus“ der Daten von der Erhebung (z.B. durch Fotografieren) über das Ordnen, Verändern (z.B. Bildbearbeitung), Speichern (ob Festplatte oder Cloud-Anbieter) Übermittlung (z.B. per ftp an den Auftraggeber), Bereitstellung (z.B. Web-Upload) bis hin zum Löschen. (Art. 4 Nr. 2 DSGVO)

Der Zweck der Verarbeitung in Form der Personenfotografie ist zunächst mal die Erfüllung des Berufs des Fotografen, des Fotoauftrages. Die Mittel der Verarbeitung sind die Fotoausrüstung (welche Kamera, welches Objektiv, Einstellung der Kamera etc.) und Computer- bzw. IT-Ausrüstung samt Bildbearbeitungs- und Archivierungsprogrammen des Fotografen. Über diese Mittel entscheidet der Fotograf grundsätzlich alleine. Er entscheidet auch darüber, wie er diese Mittel einsetzt, z.B. welche Kamera, welche Objektive, ob und welche Blitzgeräte. Hinzu kommt die Entscheidung über den genauen Zeitpunkt der Aufnahme, den Standort, die Perspektive etc. Schon diese eigene Verantwortlichkeit den Fotografen spricht gegen die Auftragsverarbeitung durch den Fotografen.

Doch was ist nun „Auftragsverarbeitung“. Die gesetzliche Definition der Auftragsverarbeitung ist recht schlicht: „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, … die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. (Art. 4 Nr. 8 DSGVO) Dahinter steht die schon im alten Datenschutzrecht anerkannte Arbeitsteiligkeit und Spezialisierung der Wirtschaft, die als Auftragsdatenverarbeitung bezeichnet wurde. Es ist dem Verantwortlichen gestattet, Datenverarbeitungsvorgänge auf Spezialisten auszulagern. Dies war datenschutzrechtlich insofern privilegiert, als hierfür die betroffenen Personen nicht um Zustimmung gebeten werden mussten. Wenn die Verarbeitung der Daten durch den Verantwortlichen (hier den Fotografen) zulässig ist, er hierfür eine Rechtsgrundlage hat (dazu später), dann darf er die Verarbeitung auch an einen Dienstleister auslagern. Aus Gegenzug für diese Privilegierung muss der Auslagernde (Auftraggeber – hier Fotograf) seinen Dienstleister (Auftragsverarbeiter, z.B. Cloud-Speicherdienst) mit einem Vertrag, der gesetzliche Mindestinhalte aufweisen muss, eng „an die Kette legen“. Der Auftragsverarbeiter hat bzgl. der Daten keine eigene Entscheidungsbefugnisse und ist streng weisungsgebunden. Das passt zu einem Rechenzentrum, zu einem Cloud-Speicherdienst, aber nicht zu einem selbständigen, kreativen Fotografen.

Würde man die Leistung des Fotografen als Auftragsverarbeitung einordnen, so müsste ein Vertrag zur Auftragsverarbeitung (AVV) mit dem in Art. 28 DSGVO geforderten Mindestinhalten abgeschlossen werden, der auch die Festlegung der technischen und organisatorischen Datenschutzmaßnahmen nach Art. 32 DSGVO enthält. Derartige Verträge umfassen üblicherweise rund 10 Seiten aufwärts. Obwohl es inzwischen einige Muster für derartige Verträge gibt, auch von Aufsichtsbehörden, dürften doch wohl nur die wenigsten Fotografen in der Lage sein, die Musterverträge korrekt auszufüllen. Der Auftraggeber, der Daten im Auftrag verarbeiten lässt ohne einen entsprechenden Vertrag abgeschlossen zu haben, setzt sich einem Bußgeldrisiko bis zu theoretisch 10 Millionen Euro oder 2% des Jahresgesamtumsatzes aus. Unter der DSGVO wurde z.B. gegen ein kleines Unternehmen wegen fehlendem Auftragsverarbeitungsvertrag ein Bußgeld i.H.v. 5.000,- Euro verhängt.

Auf eine Anfrage von mir vom 21.06.2018 an die Landesdatenschutzaufsicht Thüringen, die sich seinerzeit zur Frage der Fotografie unter der DSGVO geäußert hatte, erhielt ich am 24.01.2019 eine Antwort:

Ferner baten Sie um Auskunft dahingehend, ob Fotografen z. B. bei der Eventfotografie als Auftragsverarbeiter nach Art. 28 DS-GVO einzustufen sind. Diese Auffassung ist zu verneinen. Der Fotograf bleibt hier weiterhin Verantwortlicher für die Datenverarbeitung in Form der Fotoaufnahmen.„

Diese zutreffende Auffassung wird auch näher begründet:

Zwar kann der Verantwortliche die Entscheidung über die Mittel der Verarbeitung delegieren, jedoch die Entscheidung über inhaltliche Fragen, die den Kern der Rechtmäßigkeit betreffen, sind dem für die Verarbeitung Verantwortlichen vorbehalten, z. B. wie lange werden die Daten aufbewahrt, wer hat Zugang zu den Daten …. Wie lange der Fotograf die Aufnahmen letztendlich speichert, bestimmt dieser allein in seiner Verantwortung, hierauf hat ein Veranstalter keinerlei Einfluss. Auch nicht wer letztendlich in den Räumlichkeiten des Fotografen Zugriff auf die Daten haben darf und hat. Zudem ist der Fotograf im Rahmen seiner Tätigkeit nicht gegenüber dem Veranstalter/Unternehmer weisungsgebunden.“

2. Zwei Verantwortliche und keine Auftragsverarbeitung

Damit bestätigt die Landesdatenschutzaufsicht Thüringen meine Auffassung. Daraus ergibt sich folgende Konsequenz: Es gibt bei viele Fotoaufträgen zwei Verantwortliche, die nacheinander bzw. teils auch parallel für die Fotos verantwortlich sind.

a) Zunächst ist der Fotograf für die Datenerhebung durch das Fotografien bis zur Datenübermittlung an den Auftraggeber, seinen Kunden, datenschutzrechtlich verantwortlich – und ggf. darüber hinaus auch für die weitere Speicherung (Archivierung) der Fotoaufnahmen bei ihm.

b) Nach der Übergabe der Fotos an den Auftraggeber ist dieser datenschutzrechtlich für den weiteren Umgang mit den Personenfotos verantwortlich. Der Auftraggeber des Fotografen ist datenschutzrechtlich dafür verantwortlich zu welchem Zweck und auf welcher Rechtsgrundlage er die Fotodaten verarbeitet, wie lange, wo, wie die Daten technisch absichert sind etc.

Durch diese Auffassung lassen sich auch Konflikte mit dem Urheberrecht an den Fotos vermeiden. Das Urheberrecht sieht z.B. die Möglichkeit vor, dass der Fotograf ein Nutzungsrecht an den Fotos behält und dem Auftraggeber nur ein zeitlich, örtlich oder inhaltlich beschränktes, einfaches Nutzungsrecht an den Fotos einräumt. Würde der Auftraggeber nun als alleiniger Verantwortlicher und der Fotograf als Auftragsverarbeiter angesehen, könnte der Fotograf sein Urheberrecht nicht eigenverantwortlich ausüben und müsste die Fotos sogar auf Anweisung des Auftraggebers löschen. Damit wäre ihm auch die Möglichkeit genommen, im Falle einer Verletzung der lizenzvertraglichen Schranken durch seinen Kunden oder bei Fotorechtsverletzungen durch Dritte, seine Urheberschaft an den Fotos durch die Vorlage von Originalen zu beweisen.

Update 16.10.2019: siehe hierzu auch meinen Vortrag auf der DSRI-Herbstakademie – sowie meinen Tagungsbandbeitrag (dort unter Publikationen / Buchbeiträge)

2.1. Informationspflichten nach Art. 13 DSGVO

Die praktische Konsequenz ist aber nun, dass im Grunde sowohl der Fotograf als auch sein Auftraggeber die Informationspflichten nach Art. 13 DSGVO erfüllen müssen. Hier ist es an den beiden abzustimmen, ob tatsächlich beide die fotografierten Personen informieren oder nur z.B. der Auftraggeber und Veranstalter im Rahmen der Einladung zum Event, wobei dann darauf zu achten ist, dass auch die den Fotografen betreffenden Informationen übermittelt werden. Dann kann sich der Fotograf darauf berufen, dass die betroffenen Personen bereits über die Informationen verfügen und er nicht noch mal informieren muss (Art. 13 Abs. 4 DSGVO).

2.2 Doch Auftragsverarbeitung

Es sind Situationen vorstellbar, in denen der Fotograf mit Teilleistungen doch in den Bereich der Auftragsverarbeitung fällt. Dies kann dann z.B. der Fall sein, wenn der Fotograf es als Leistung für seinen Kunden übernimmt, die Fotos in seinem Auftrag zu speichern, also die Fotos professionell zu ordnen, zu verschlagworten und zu archivieren. Ein Indiz dafür, dass der Fotograf für den Auftraggeber die Fotoarchivierung übernimmt, wäre die Bezahlung dieser Leistung. Archiviert der Fotograf hingegen die Aufnahme im eigenen Interesse daran, seine Urheberschaft im Verletzungsfall nachweisen oder Nachbestellungen bedienen zu können, liegt keine Auftragsverarbeitung vor.

Die bayrische Datenschutzaufsicht verlang von Schulen bei der Beauftragung von externen Fotografen ohne nähere Begründung den Abschluss eines Vertrags zur Auftragsverarbeitung.1

Fortsetzung: Demnächst hier Teil 2

David Seiler, Rechtsanwalt

veröffentlicht in Photopresse 05-2019, 12-13