Nach Abschluss der vierteiligen Artikelserie zu DSGVO und Fotobusiness gab es zahlreiche rechtspolitischer Aktivitäten, um die in der Praxis aufgetauchten Fragestellungen von Fotografen – teils hervorgerufen durch unzutreffende Aussagen – zu klären. Daher ist ein Zwischenbericht über die aktuellen Entwicklungen zum Datenschutz und Fotografie angebracht. Wen die Rechtspolitik nicht interessiert oder wer sie zu kompliziert findet, der findet weiter unten Antworten auf praktische Fragen.
In Teil 1 wurden Fotos als personenbezogene Daten eingeordnet, in Teil 2 folgte die Einordnung des Fotografierens als Datenerhebung und in Teil 3 die Darstellung der Rechtmäßigkeit der Datenverarbeitung nach der Datenschutzgrundverordnung im Verhältnis zum Kunsturhebergesetz (KUG) und dem Recht am eigenen Bild. In Teil 4 geht es um die Darstellung eines Plans mit 8 Maßnahmen zur Umsetzung des neuen Datenschutzrechts im Fotobusiness. Der DSGVO und Vermarktung von Personenfotos durch Bildagenturen wurde ein gesonderter Beitrag gewidmet.
Rechtspolitik bzgl. DSGVO und Fotografie
Der Bundesverband der deutschen Pressesprecher hat auf die Problematik der PR- und Öffentlichkeitsarbeit, die durch die Datenschutzgrundverordnung entsteht, aufmerksam gemacht und hierzu einer DSGVO-Fachkonferenz am 22.03.2018 organisiert, an der auch der Autor teilgenommen hat. Anwesend waren ein Vertreter des in puncto DSGVO federführenden Bundeministeriums des Innern (BMI), Jörg Eickelpasch, und sein Kollege Ulrich Deffaa vom Bundesministerium für Justiz und Verbraucherschutz (BMJV). Von Anwälten, Praktikern, Richtern und Professoren wurden den Ministerialbeamten die durch die DSGVO und deren Anwendungsvorrang sowie der durch die unterlassene Umsetzung von Art. 85 DSGVO verursachten Probleme, auch für die Personenfotografie, vor Augen geführt. Siehe den ausführlichen Tagungsbericht:
Die Antwort der Ministerialbeamten bezog sich im wesentlichen darauf, dass die Gesetzgebungskompetenz für das Presserecht bei den Bundesländern läge und der Bundesgesetzgeber hier nicht tätig werden könne. Zudem würde das Kunsturhebergesetz nicht aufgehoben. Offene Rechtsfragen würden die Gerichte klären, die durch die DSGVO ausreichende Auslegungsspielräume hätten. Zur Reduzierung der dadurch entstehenden Rechtsunsicherheit wolle man eine FAQ Liste veröffentlichen.
Dies ist dann Anfang April erfolgt: FAQ-Liste des BMI zur DSGVO
Dort wird ausgeführt, dass sich die Anfertigung von Fotografien, wie bislang schon, auf eine jederzeit widerrufbare Einwilligung oder alternative Erlaubnistatbestände wie die Ausübung berechtigter Interessen stützen könne. Für die Veröffentlichung von Fotografien bleibe das Kunsturhebergesetz (KUG) erhalten, an dem keine Änderung geplant sei. Das KUG könne sich auf Art. 85 Abs. 1 DSGVO stützen und werde nicht durch die DSGVO verdrängt. Die Meinungs- und Informationsfreiheit könne im Rahmen der Auslegung der berechtigten Interessen nach Art. 6 Abs. 1 f) DSGVO auch im Hinblick auf die im Erwägungsgrund Nummer 4 genannten anderen Grundrechte zur Geltung gebracht werden.
An anderer Stelle in der FAQ-Liste führt das BMI jedoch zutreffend aus:
„Das EU-Recht steht normenhierarchisch über dem nationalen Recht. Es genießt einen Anwendungsvorrang.“
Kritik an der fortgesetzten, unmittelbaren Anwendung des KUG
Dies ist die Meinung des deutschen Gesetzgebers (Legislative), der nicht für die Auslegung der DSGVO zuständig ist und dessen Meinung weder für die Gerichte (Judikative) noch für die Datenschutzaufsichtsbehörden (Exekutive) verbindlich ist. Daher kann man sich auf diese Aussagen nicht sicher verlassen – die Rechtsunsicherheit bleibt.
Der erwähnte Art. 85 DSGVO fordert in Absatz 1 die Mitgliedsstaaten dazu auf, durch Rechtsvorschriften das Datenschutzrecht mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit inklusive Datenverarbeitung für journalistische, wissenschaftliche, künstlerische oder literarische Zwecke in Einklang zu bringen.
In Abs. 2 werden den Mitgliedsstaaten aufgefordert, Abweichungen und Ausnahmen von ganz konkreten datenschutzrechtlichen Regelung in der DSGVO zugunsten der genannten Zwecke vorzusehen, wenn und damit auch nur insoweit dies erforderlich ist, um das Datenschutzrecht mit der Freiheit der Meinungsäußerung und Informationsfreiheit in Einklang zu bringen. Dieser Aufgabe, abzuwägen ob und inwieweit das Datenschutzrecht einzuschränken ist, um den genannten Freiheitszwecken zur Geltung zu verhelfen, trägt das KUG naturgemäß nicht Rechnung – zu seiner Entstehungszeit 1907 gab es noch kein Datenschutzrecht. Auch die Datenschutzaufsichtsbehörden (DSK) habe in einer Entschließung vom 09.11.2017 auf die Notwendigkeit einer genauen Prüfung der einzelnen Bestimmungen und Ausnahmen davon hingewiesen:
„Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder fordert daher für die Anpassung …:
Die gesetzlichen Anpassungen i. S. d. Art. 85 DSGVO müssen konkret und spezifisch – bezogen auf die jeweiligen Normen und Vorgaben der DSGVO – Ausnahmen und Abweichungen regeln und diese begründen.
Eine faktische Beibehaltung der bisherigen nationalen Rechtslage würde dem nicht gerecht.“
In Art. 85 Abs. 3 DSGVO werden die Mitgliedsstaaten aufgefordert, der Kommission die Rechtsvorschriften die sie aufgrund von Abs. 2 erlassen haben, mitzuteilen. Das KUG wurde jedoch nicht aufgrund von Art. 85 DSGVO erlassen. Es stammt von 1907. Soweit bekannt, wurde der EU-Kommission auch nicht mitgeteilt, dass das KUG eine Umsetzung des Art. 85 DSGVO darstellen soll. Meines Erachtens wird damit nur versucht, die durch die unterlassene Umsetzung des Art. 85 DSGVO entstandenen Probleme mit der durch angeblich fehlende Gesetzgebungskompetenz begründeten Untätigkeit zu kaschieren. M.E. hätte der Bundesgesetzgeber durchaus aufgrund von Art. 85 DSGVO die Kompetenz, im Rahmen des Datenschutzrechtes und damit eben nicht im Rahmen des Presserechtes die datenschutzrechtlichen Normen einzuschränken, die den in Art. 85 DSGVO genannten Zwecken entgegenstehen. Zum Beispiel kollidieren ein Auskunftsrecht gegenüber Journalisten mit dem Quellenschutz und ein Löschungsanspruch mit der Meinungs- und Pressefreiheit.
Briefaktion von Freelens zur DSGVO-Auswirkung auf Pressefotografie
Die Fotografenorganisation Freelens hat in einer breit angelegten Aktion zahlreiche Bundestagsabgeordneten angeschrieben und diese mit dem Anwendungsvorrang der DSGVO und der fehlenden Umsetzung Art. 85 DSGVO sowie den drohenden Konsequenzen anhand von Fotos der Politiker mit anderen Personen auf den Webseiten der Politiker konfrontiert.
https://freelens.com/politik-medien/aus-fotos-werden-daten/
Die Antwort von SPD-Abgeordneten ähnelt der des BMI: das KUG gelte weiter (was formal korrekt ist, aber eben nicht inhaltlich), ob eine Person fotografiert werden dürfe, richte sich wie bislang schon nach dem Datenschutzrecht, wobei in den meisten Fällen aufgrund berechtigter Interessen keine Einwilligung erforderlich sei. Würden eine größere Anzahl von Menschen, insbesondere im öffentlichen Raum, aus künstlerischen oder kommerziellen Gründen fotografiert, gelte die DSGVO und man stehe vor der Schwierigkeit eine Einwilligung einzuholen oder die Personen über die Datenverarbeitung zu informieren. Vielfach werde man sich auf die berechtigten Interessen und die Interessenabwägung nach der bisherigen Rechtsprechung berufen können.
Die Antwort der CDU: Es ist richtig, dass die DSGVO gegenüber entgegenstehenden nationalen Gesetzen einen Anwendungsvorrang besitzt. Hier ist aber zu beachten, dass Artikel 85 Art. 1 DSGVO den an die Mitgliedstaaten gerichteten Auftrag enthält, durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen. Hier sind auch die Daten fotografierter Personen privilegiert (vgl. Pötters in: Gola, DSGVO, 1. Auflage München 2017; Rz. 11 zu Art. 85 DSGVO).
Die §§ 22ff. des Kunsturhebergesetzes stellen in Deutschland eine Rechtsvorschrift im hier gemeinten Sinn mit der Folge dar, dass die Tätigkeit von Berufsfotographen weiterhin auf diese Normen gestützt werden können, die somit nicht von der DSGVO verdrängt werden. Der Gesetzgeber sieht daher kein Erfordernis und somit keinen Anlass, weitere Normen zum Schutz von Berufsfotografen auf Basis des Art. 85 DSGVO zu erlassen.
Abschließend ist darauf hinzuweisen, dass die strengeren Anforderung an die Einwilligung des zu Fotografierenden nach der DSGVO hiervon unberührt bleiben. Generell ist zur Einwilligung allerdings festzuhalten, dass von den Regelungen in Art. 7 DSGVO durch nationales Recht nicht zulasten der Betroffenen abgewichen werden kann.
Die FDP meint, dass der Deutsche Bundestag als nationaler Gesetzgeber gefordert ist, die Unsicherheiten der EU-Datenschutzgrundverordnung durch eindeutige nationale Regelungen zu beseitigen.
Die Grünen sind in der Situation, dass ihr Parteimitglied Jan Philipp Albrecht als Berichterstatter im Europaparlament maßgeblich die DSGVO mit verhandelt hat, weshalb sie sich bei dem Thema auch in der Opposition zurückhalten. Auch bisher bestünde keine grundsätzliche Fotografierfreiheit. Möglicherweise habe sich das zu Lasten der Fotografen durch die DSGVO noch verschärft. Es besteht der übliche Juristenstreit – der Ausgang ist offen. Die DSGVO ist gut, bietet einen echten Mehrwert für die Bürger und setzt Weltstandards. Art. 85 DSGVO sei eine Öffnungsklausel über deren Auslegung noch nicht entschieden sei. Möglicherweise werde erst der EuGH darüber entscheiden. Keine Panik – fragen Sie die Datenschutzaufsicht.
Auf dem Landesparteitag der Grünen in Schleswig Holstein wurde der Antrag gestellt, sich als Partei im Bundesrat für eine schnelle Umsetzung des Art. 85 DSGVO einsetzt. „Es ist deshalb notwendig, den durch Art. 85 der Datenschutz-Grundverordnung vorgesehenen Ausgestaltungsauftrag detailliert und konkret zu nutzen.“
Autorin des Antrages ist eine Datenschutzjuristin der Landesdatenschutzaufsicht SH: Kirsten Bock
Zumindest auf Landesebene sind die Gesetzgeber zugunsten journalistischer Datenverarbeitung aktiv geworden – hier eine Übersicht.
Als Beispiel für eine solche Umsetzung kann auf den Entwurf aus England verwiesen werden: Anpassungsgesetz UK – mit Entwurf zur Umsetzung von Art. 85 DSGVO und auf den Entwurf aus Österreich:
Abschließend sei noch auf die Online-Petition zum Thema hingewiesen.
Stellungnahmen von EU und Datenschutzaufsichtsbehörden zu DSGVO und Fotografie
Die EU-Kommission verweist in einem Schreiben an einen Fotografen auf die Datenschutzaufsichtsbehörden, nimmt aber selbst grundlegend Stellung (jpg eingebunden in einen Blogbeitrag):
Fotos von Personen sind personenbezogene Daten. Es genügt, wenn andere Betrachter, die die abgebildete Person kennen, diese erkennen und ihr das Foto zuordnen können. Werden die Fotos an Dienstleister weitergegeben, müssen Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO geschlossen werden. Das Datenschutzrecht gilt auch für Fotos von Veranstaltungen, über die berichtet werden soll. Dabei entstehen Überschneidungen mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit (vgl. Art. 85 DSGVO), die der nationale Gesetzgeber in Einklang bringen soll.
Landesdatenschutzaufsicht Bandenburg zu DSGVO und Fotografie im Verein
Die Landesdatenschutzaufsicht in Brandenburg hat mir am 26.04.2018 auf die Frage, ob man als Verein aufgrund einer ausdrücklichen Satzungsbestimmung in Verbindung mit einem ausdrücklichen Hinweis an die Mitglieder und einem Opt-Out-Recht Fotos von den Vereinsmitgliedern z.B. zum Thema der Berichterstattung über Vereinsaktivitäten auf der Vereinswebseite veröffentlichen können abschlägig geantwortet. Daten von Mitgliedern – also auch Fotos von Mitgliedern dürften nur aufgrund einer Einwilligung oder einer anderen Rechtsgrundlage verarbeitet werden. Hier komme insbesondere der Vertragszweck (Mitgliedschaftsvertrag) in Betracht. Danach dürften alle Daten, die zur Mitgliederverwaltung und Erfüllung des Vereinszwecks benötigt würden auch verarbeitet werden. Da der Vereinszweck auch ohne Fotoveröffentlichung erfüllt werden könne, bedürfe es also einer anderen Rechtsgrundlage. Die Satzungsregelung sei überraschend und daher keine wirksame datenschutzrechtliche Verarbeitungsgrundlage. Also bedürfe es einer ausdrücklichen Einwilligung nach Art. 7 DSGVO.
M.E. verengt diese Sicht zu sehr die Rechtsgrundlage auf die Einwilligung und übersieht insbesondere das berechtigte Interesse des Vereins, Art. 6 Abs. 1 f DSGVO, auch über seine Aktivitäten zu berichten und neue Mitglieder zu werben.
Die Landesdatenschutzaufsicht Baden Württemberg hat eine Praxisratgeber für Vereine zum Datenschutz inkl. Muster-Einwilligungsformular veröffentlicht:
Landesdatenschutzaufsicht Hamburg zu DSGVO und Veranstaltungsfotografie
Die Landesdatenschutzaufsicht Hamburg, Prof. Caspar, hat die m.E. juristisch fundierteste offizielle Stellungnahme einer auch zuständigen Behörde verfasst, wenn auch leider nur zu einem Teilaspekt: Der Fotografie von Veranstaltungen, Versammlungen, Events mit vielen Menschen außerhalb des Journalismus.
Die Bildaufnahmen enthalten regelmäßig personenbezogene Daten, die unter das Verbot mit Erlaubnisvorbehalt der DSGVO fallen – also: schon die Aufnahme ist verboten, wenn es nicht eine rechtliche Erlaubnis gibt. Andererseits ist es den Fotografen nahezu unmöglich, die Personen um Erlaubnis zu fragen (eine Einwilligung einzuholen) oder sie über ihre Rechte zu informieren. Praktisch geht es z.B. um Bildaufnahmen von Wahrzeichen, Sehenswürdigkeiten, oder Sportereignissen bei denen Menschen auf den Fotos zu sehen sind.
Zunächst wird klargestellt, dass rein private Aufnahmen nicht in den Anwendungsbereich der DSGVO fallen. Problematisch sind aber kommerzielle oder künstlerische Aufnahmen. Die digitale Fotografie fällt unter die DSGVO. Fotos von Personen sind personenbezogene Daten, wenn die Personen z.B. aufgrund ihrer individuellen Gesichtszüge identifiziert werden können, auch wenn dem Fotografen das nicht selbst möglich ist, weil er die Personen nicht kennt. Es genügt die prinzipielle Erkennbarkeit – ggf. auch mittels Gesichtserkennungssoftware.
Da eine Einwilligung faktisch nicht eingeholt werden kann, bedarf es einer anderen Rechtsgrundlage. Die kann nicht dem KUG entnommen werden. Das KUG ist aufgrund des Anwendungsvorrangs der DSGVO keine speziellere Regelung mehr, die dem Datenschutzrecht vorgeht. – Eine m.E. juristisch zutreffende Aussage, die im klaren Gegensatz zur Aussage der Politiker und Gesetzgeber steht – Außerdem enthält das KUG keine Regelungen zum Fotografieren (Datenerhebung), sondern nur für die Veröffentlichung. Das Fotografieren wurde bislang nicht nach Datenschutz bewertet (wie teils von Politikern oder Gesetzgeber behauptet), sondern nach dem allgemeinen Persönlichkeitsrecht in Abwägung mit anderen Interessen (z.B. Meinungs- und Pressefreiheit, Kunstfreiheit). Die DSGVO hat aber auch gegenüber der deutschen Verfassung Vorrang, so dass im Rahmen der Interessenabwägung nicht auf das deutsche Grundgesetz zurückgegriffen werden kann, sondern auf die EU-Grundrechtscharta.
Berechtigte Interessen als Rechtsgrundlage zum Fotografieren
Art. 85 DSGVO eröffnet zwar die Möglichkeit, eine nationale Norm zugunsten der Meinungs- und Informationsfreiheit zu schaffen, was die Datenschutzaufsicht auch für wünschenswert hält und dem Stellenwert der künstlerischen Betätigung für angemessen, aber der Gesetzgeber ist bislang untätig geblieben (s.o.). Solange es also an einem konkreten Gesetz nach Art. 85 DSGVO fehlt, kommt als Rechtfertigung für das Fotografieren von Menschenmengen ein berechtigtes Interesse des Fotografen z.B. seine Kunst auszuüben, in Betracht, Art. 6 Abs. 1 f DSGVO. Bei der Interpretation des berechtigten Interesses kann auf die ausdifferenzierte Rechtsprechung zum Recht am eigenen Bild (geregelt im KUG) zurückgegriffen werden. Also kommt das KUG nicht unmittelbar zur Anwendung, sondern mittelbar im Rahmen der Auslegung der berechtigten Interessen. Wenn die aufgenommenen Personen sich in der Öffentlichkeit bewegen (Sozialsphäre), stehen den berechtigten Interessen des Fotografen auch keine schutzwürdigen Interessen der Betroffenen entgegen. Das kann im Einzelfall anders sein, das war aber bislang auch schon so, insbesondere wenn Kinder mit auf den Fotos sind.
Ausnahmen von der Informationspflicht
Grundsätzlich müssen die von der Datenverarbeitung betroffenen Personen (die Personen auf den Fotos) über die Datenverarbeitungsvorgänge umfassen nach Art. 13 DSGVO oder Art. 14 DSGVO informiert werden. Es gibt jedoch Ausnahmen von der Informationspflicht.
Nach Art. 11 DSGVO entfällt die Infopflicht, wenn für die Datenverarbeitung (Fotografieren) die Identifizierung der Personen nicht nötig wäre und diese nur erfolgen würde, um der Infopflicht nachzukommen.
„Der einzelne Fotograf hat im Regelfall weder ein Interesse daran, noch die Möglichkeit, die auf dem Bild abgebildeten Personen ohne erheblichen Aufwand zu identifizieren.“
Würde man auf der Infopflicht bestehen, müssten zum Nachweis der Infopflicht zusätzliche Identifikationsdaten erhoben werden, was dem Grundsatz der Datenminimierung zuwider läuft. Also ist nach Art. 11 DSGVO keine Info im Fall der Fotografie von Menschenmassen oder sonstigen „anonymen“ Personen erforderlich.
Es wird noch eine zweite Ausnahme näher untersucht, Art. 14 Abs. 5 b) DSGVO. Danach entfällt die Infopflicht, wenn die Daten nicht „bei“ der betroffenen Person erhoben werden und die Infoerteilung unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde. Es könnte interpretiert werden, dass die Datenerhebung dann nicht „bei“ der fotografierten Person erfolgt, wenn diese nichts davon mitbekommt, ähnlich wie bei der heimlichen Videoüberwachung.
„Es ist daher überzeugender, das Fotografieren von großen Menschenmengen oder Menschen als Beiwerk von Sehenswürdigkeiten nach Art. 14 DSGVO zu beurteilen.“
Das Ergebnis der Stellungnahme lautet:
„Die derzeitige Rechtslage in Bezug auf Fotografien einer unüberschaubaren Anzahl von Menschen oder von Menschen als Beiwerk anderer Motive ist überwiegend unsicher. Dies beruht insbesondere darauf, dass der deutsche Gesetzgeber bisher keinen ausdrücklichen Gebrauch von der Öffnungsklausel des Art. 85 Abs. 2 DSGVO gemacht hat. Dies wäre aber im Sinne der Rechtssicherheit nötig.
Bis dahin ist es möglich, die Datenerhebung in den meisten Fällen über Art. 6 Abs. 1 lit. f DSGVO zu rechtfertigen. Eine Informationspflicht gegenüber den Abgelichteten besteht nicht. Dies ergibt sich aus Art. 11 Abs. 1 DSGVO, hilfsweise aus Art. 14 Abs. 5 lit. b DSGVO“
Praktische Fragen zur DSGVO und Fotografie
- private Fotografie – soziale Netzwerke
Die DSGVO sieht eine sogenannte Haushaltsausnahme vor, Art. 2 Abs. 2c DSGVO. Wenn natürliche Personen (= Menschen, nicht Firmen oder Vereine) Daten ausschließlich zu persönlichen oder familiären Zwecken verarbeiten, ist das Datenschutzrecht nicht anwendbar, also fallen Fotos von Familienfeiern oder Urlaubsfotos nicht unter die DSGVO. Nach Erwägungsgrund 18 fallen auch die Nutzung von sozialen Netzwerken und Online-Aktivitäten „im Rahmen solcher Tätigkeiten“ nicht unter die DSGVO. Den Rahmen ausschließlich privater oder persönlicher Zwecke verlasse ich aber, wenn ich Personenfotos nicht durch entsprechende Zugriffsbeschränkungen in einer nur für Familienmitglieder zugänglichen geschlossenen Gruppe, sondern frei für jedermann online stelle. - analoge Fotografie u. DSGVO
Das Datenschutzrecht gilt für automatisierte Verarbeitung personenbezogener Daten, was regelmäßig bei der Digitalfotografie der Fall ist, Art. 2 Abs. 1 DSGVO. Das Datenschutzrecht gilt aber auch für die Verarbeitung von Daten in einem Dateisystem. Damit ist die systematisch geordnete Datenverarbeitung gemeint, wozu auch alphabetische oder chronologische Ordnungssystem auf Papier, z.B. mittels Karteikarte zählen. Zumindest bei professionellem Umgang mit Fotos, Negativen oder Dias wird man von einem entsprechenden Ordnungssystem ausgehen können, da man andernfalls nicht arbeitsfähig ist. Dann fallen auch analoge Fotos in den Anwendungsbereich des Datenschutzrechts. - Fotos als besondere Kategorien personenbezogener Daten
Art. 9 DSGVO – Erwägungsgrund 51
Würden Personenfotos als „besondere Kategorien personenbezogener Daten“ einzuordnen sein, Art. 9 DSGVO, also Daten zu rassischer und ethnischer Herkunft, politischer Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung enthalten, käme als Rechtfertigung für die Datenverarbeitung nicht Art. 6 DSGVO und damit auch nicht die Abwägung berechtigter Interessen in Betracht, sondern ausschließlich die in Art. 9 DSGVO genannten Rechtsgrundlagen, insbesondere die Einwilligung.
Streng genommen ist jedes Personenfoto als besondere Kategorie personenbezogener Daten einzuordnen, da zumindest rassische und ethnische Herkunft erkennbar sind. Die Datenschutzkonferenz der Aufsichtsbehörden (DSK) schreibt dazu in ihrem Kurzpapier 17:
„Andererseits wird auch künftig nicht jede mittelbare Angabe zu den besonderen Kategorien personenbezogener Daten die Anwendung der speziellen (strengen) Verarbeitungsbestimmungen nach sich ziehen … Schwieriger ist die Einordnung von Lichtbildern. Sie sind erst dann als biometrisches Datum zu qualifizieren, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen (ErwGr. 51).“
- Biometrische Passbilder werden wohl in diese Kategorie fallen, was jedoch kein besonderes Problem darstellt, da diese Fotos regelmäßig im Rahmen eines Fotoauftrages entstehen und es nicht des Rückgriffs auf berechtigte Interessen bedarf.
Personenfotos können aber nicht nur biometrische Daten darstellen, sondern auch andere besondere Angaben enthalten – z.B. Fotos bei der Konfirmation, der kirchlichen Hochzeit (Religion), Person im Rollstuhl oder Passbild mit Brille (Gesundheitsdaten: Behinderung, Fehlsichtigkeit), Streik von Gewerkschaftsmitgliedern (Gewerkschaftszugehörigkeit) etc. Hier hilft m.E. der nur auf biometrische Daten bezogene Erwägungsgrund 51 nicht weiter. Diese Problematik wurde in den bisherigen Stellungnahmen der Politiker, des Gesetzgebers oder der Aufsichtsbehörden negiert, da die Konsequenzen unpraktikabel, um nicht zu sagen weltfremd, wären. Wie man aber zu einer Einschränkung des weiten Anwendungsbereiches besonderer Kategorien personenbezogener Daten kommt, ist nicht einfach. Eine Kommentarstelle will z.B. ein Passbild eines Brillenträger nicht als besonderes Datum ansehen, wenn keine gesundheitsbezogene Auswertungsabsicht besteht. (Gola/Schomerus/Gola/Klug/Körffer BDSG § 3 Rn. 56a, beck-online). Fotos von der Teilnahme einer politischen Veranstaltung, aus denen deutlich wird, dass sich eine Person mit den Meinungen und Zielen der Partei identifiziert, stellt ein besonderes Datum dar (Gola, a.a.O), mit der Folge, dass dann keine Interessenabwägung mit den berechtigten Interessen nach Art. 6 Abs. 1 f DSGVO möglich wäre, um der Pressefreiheit zur Geltung zu verhelfen. Dieses Ergebnis kann aber im Rahmen der gebotenen Interessenabwägung und Beachtung anderer Grundrecht (vgl. Erwägungsgrund 4 und 153 sowie Art. 85 DSGVO) nicht richtig sein. Auch hieran zeigt sich, dass der Gesetzgeber seinem Umsetzungsauftrag nach Art. 85 DSGVO nachkommen muss. - Einwilligung der Eltern bei Kindern
Kinder ab 16 Jahre können selbst in die Verarbeitung ihrer Daten einwilligen. Bei Verträgen, z.B. einem Fotoauftrag, kommt neben dem Datenschutzrecht das Recht zur Geschäftsfähigkeit Minderjähriger zur Anwendung. Danach können Verträge im Rahmen des Taschengeldparagraphen auch ohne Zustimmung der Eltern wirksam sein, § 110 BGB. Ansonsten vertreten die Eltern das Kind gemeinschaftlich, sofern nicht ein Elternteil alleine das Sorgerecht hat, § 1629 Abs. 1 BGB. Bei Kindern unter 16 Jahre ist das Fotografieren nur zulässig, wenn die Einwilligung durch die Träger der elterlichen Sorge (also im Regelfall beide Eltern) oder mit dessen Zustimmung erteilt wird, Art. 8 DSGVO (der allerdings nur für Dienste der Informationsgesellschaft anwendbar ist). Fotografen sollten sich von den Eltern (beiden) also den Fotoauftrag, der die notwendigen datenschutzrechtlichen Informationen enthält, unterschreiben lassen. Wenn nur ein Elternteil mit dem Kind im Fotogeschäft erscheint, sollte sich der Fotograf zumindest unterschreiben lassen (Ankreuzoption), dass der erschienene Elternteil entweder mit Zustimmung des anderen Elternteils handelt oder allein sorgeberechtigt ist. Der Fotograf ist nach Art. 5 Abs. 2 DSGVO nachweispflichtig und muss bei fehlender Einwilligung bzw. wenn eine alternative Rechtsgrundlage fehlt die Daten (Fotos) löschen. Die Vorlage eines Sorgerechtstitels oder einer unterschriebenen Vollmacht des anderen Elternteils zu verlangen, würde m.E. aber zu weit führen, wenn es keinen Anhaltspunkt (z.B. Aussage des Kindes: „aber Mama will das nicht“) gibt, dass die Angaben nicht stimmen.
Sofern ein Fotoauftrag – im Idealfall von beiden Eltern – erteilt wird, erfolgt die Datenverarbeitung zur Vertragserfüllung, Art. 6 Abs. 1 b DSGVO, so dass es keiner gesonderten Einwilligung bedarf. Im Gegenteil und das gilt grundsätzlich: liegt eine gesetzliche Datenverarbeitungsgrundlage vor, sollte nicht noch zusätzlich eine Einwilligung eingeholt werden. Denn die Einwilligung kann frei widerrufen werden und ist an strenge Anforderungen bzgl. Information und Freiwilligkeit geknüpft und man kann nach einem Widerruf nicht einfach sagen „ätsch, ich verarbeite die Daten aber trotzdem weiter, weil ich mich auf eine gesetzliche Grundlage stützen kann“.
- Speicherdauer / Löschpflicht
Grundsätzlich sind Daten nach Wegfall des Verarbeitungszweckes, z.B. nach Vertragserfüllung (Ablieferung bzw. Verkauf der Fotos) zu löschen. Jedoch kann selbstverständlich vertraglich im Rahmen des Fotoauftrages vereinbart werden, ob, dass und wie lange die Fotos z.B. für Zwecke der Nachbestellung vom Fotografen aufbewahrt werden dürfen. Aber auch danach müssen die Daten nicht unbedingt gelöscht werden, wenn man im Rahmen eines Löschkonzeptes einen anderen Grund zur weiteren Speicherung dokumentiert hat.
Nach Art. 17 Abs. 3e) DSGVO besteht kein Löschungsanspruch, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sind. Personenfotos sind nicht nur personenbezogenen Daten, sondern auch Lichtbildwerke, § 2 Abs. 1 Nr. 5 UrhG, die nach § 64 UrhG 70 Jahre p.m.a. (nach dem Tod des Urhebers) urheberrechtlich geschützt sind (Schutzfristen). Um Rechte z.B. auf Anerkennung der Urheberschaft, § 13 UrhG oder Unterlassung und Schadensersatz, § 97 UrhG, geltend machen und die Urheberschaft, § 10 UrhG, beweisen zu können, sollten die Originale (RAW-Dateien) aufgehoben werden. Damit würde dann über das Urheberrecht die Pflicht zur Löschung der Personenfotos zu Lebzeiten des Fotografen + 70 Jahre entfallen. Hierüber ist dann der Kunde im Rahmen der allgemeinen Informationspflichten nach Art. 13 DSGVO zu informieren.
- Informationspflichten, Datenschutz-Erklärung auf Webseite – DSK-Position zu Tracking-Tools – Einwilligung
Dass man die User der eigenen Webseite über die Datenverarbeitungsvorgänge bei der Nutzung der Webseite informieren musste, ergab sich bislang schon aus § 13 TMG (Telemediengesetz). Unter der DSGVO sieht die Datenschutzkonferenz der Aufsichtsbehörden die Anforderungen bei Analyse- und Trackings-Tools verschärft und fordert eine vorherige ausdrückliche Einwilligung (Positionspapier der DSK). Mit der Thematik sollte sich jeder beschäftigten, der eine Webseite betreibt, denn hier drohen Abmahnungen, da etwaige Fehler leicht für jedermann (inkl. Abmahnanwälte) feststellbar ist. - Auftragsverarbeitung – AVV – Webhoster, Printdienstleister, Filetransfer-Dienstleister
Fotografen sollten auflisten, mit welchen Dienstleistern sie bei der Verarbeitung von personenbezogenen Daten, insbesondere von Fotos wofür zusammenarbeiten und ob es sich bei den Leistungen um eine Auftragsverarbeitung nach Art. 28 DSGVO handelt. Was das genau ist, erläutert die DSK (Datenschutzkonferenz der Aufsichtsbehörden) in ihrem Kurzpapier 13 mit zahlreichen Beispielen in der Anlage.
Wenn eine Auftragsverarbeitung vorliegt, dann ist mit dem Dienstleister ein Vertrag zur Auftragsverarbeitung abzuschließen. Den muss man nicht selbst erstellen, sondern kann ihn vom Dienstleister anfordern. Wenn der keinen Vertrag nach Art. 28 DSGVO mit technischen und organisatorischen Datensicherheitsmaßnahmen nach Art. 32 DSGVO liefern kann, ist es nicht der richtige Dienstleister. - Datenportabilität, Art. 20 DSGVO
Neu in der DSGVO ist das Recht auf Datenübertragbarkeit. Damit ist ein Anspruch auf Herausgabe und sogar auf direkte Übermittlung an einen anderen Dienstleister gemeint. Betroffen von dem Anspruch sind Daten, die der Betroffene „bereitgestellt“ hat. Darunter fallen Daten, die der Nutzer aktiv und willentlich eingegeben hat. Streitig ist, ob Daten, die durch die Nutzung eines Dienstes entstehen, darunter fallen. Der europäische Zusammenschluss von Datenschutz-Aufsichtsbehörden in der Art. 29 Gruppe bejaht auch das. Für Fotografen spannend ist die Frage, ob Kunden eines Fotografen auch einen Anspruch auf Herausgabe der Fotodateien haben, die der Fotograf von ihnen in ihrem Auftrag aufgenommen hat. Für den Kunden wäre das recht „elegant“, da er sich so die Bezahlung sparen könnte. Zum einen kann man aber argumentieren, dass die Fotos Daten sind, die nicht der Kunde bereitgestellt hat (außer bei einem Printdienstleister), sondern der Fotograf hat diese Daten selbst erzeugt, indem er die Fotos aufgenommen hat. Danach würde sich schon ein Anspruch ergeben. Zum anderen kann man damit argumentieren, dass das Recht auf Datenübertragbarkeit nicht die Rechte anderer Personen beeinträchtigen darf, Art. 20 Abs. 4 DSGVO. Zu den „Rechten anderer Personen“ zählt auch das Urheberrecht des Fotografen (vgl. Erwägungsgrund 63, WP 242 der Art. 29 Working Group, S. 12). Der Kunde kann sich also nicht die Bezahlung des Fotoauftrages durch die Geltendmachung eines Anspruchs auf Datenübertragung ersparen. - WhatsApp-Nutzung
Kann man WhatsApp in der Kommunikation mit Kunden nutzen?
Die bayrische Landesdatenschutzaufsicht beschreibt in einer guten Stellungnahme auf S. 138 eines Tätigkeitsberichts unter welchen Bedingungen man diesen Messanger noch einsetzen kann:
„wenn vom Unternehmen auf die Datenschutzbedenken ausdrücklich hingewiesen und den Kunden gleichzeitig parallel ein anderer, von uns als sicher eingestufter Kommunikationsweg angeboten wird (z. B. verschlüsselter E-Mail-Versand per PGP); der Kunde kann sich in einem solchen Fall frei für oder gegen eine WhatsApp-Kommunikation entscheiden.“ Da es um das Grundrecht auf informationelle Selbstbestimmung geht, halte ich es auch für richtig, die Kommunikationspartner selbst entscheiden zu lassen. Zu empfehlen sind aber andere Dienste, z.B. aus der Schweiz: Threema
In einem Merkblatt für die Nutzung von WhatsApp in Unternehmen der Datenschutzaufsicht Niedersachsen wird hingegen betont, dass der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation gegen die DSGVO verstößt. Dabei werden ausführlich folgende datenschutzrechtliche Problemstellungen beleuchtet:1. Die Übermittlung der Kontakte aus dem Adressbuch des Nutzers an WhatsApp.
2. Die Übermittlung von personenbezogenen Daten in die USA.
3. Die Nutzung von personenbezogenen Daten durch WhatsApp. - Kita/Schule – EKD
Zu Fotos in Kitas und Schulen gibt es interessante Stellungnahmen:
Einerseits von der EKD (Datenschutzkonferenz der evangelischen Kirche), vom ULD (Datenschutzaufsicht SH) und der Bayrischen Datenschutzaufsicht.
Zu weiteren Fragen siehe das Interview mit mir von Stefan Anker
David Seiler, Rechtanwalt – www.fotorecht-seiler.eu
Veröffentlicht in gekürzter Form in PHOTO Presse 07-2018, S. 14 – 15
12.05.2018 / Update im September 2018