DSGVO und Fotografie – Teil 2

DSGVO, Fotorecht, Fotobranche, Fotobusiness, Einwilligung, Model-Release, Löschkonzept, Speicherfrist, Auftragsverarbeitung, Auftragsdatenverarbeitung, Drittstaatenverarbeitung, Metadaten und Datenschutzrecht, Recht am eigenen Bild, Bildnisrecht, personenbezogene Daten, besondere Kategorien personenbezogener Daten, Datenverarbeitung, Rechtsanwalt David Seiler, Cottbus, Brandenburg, Berlin, Leipzig, Dresden

Rechtsanwalt David Seiler erklärt, was sich durch das neue EU-Datenschutzrecht, das am 25. Mai in Kraft treten wird, für Fotografen, Fotostudios, Bildagenturen und sonstige Unternehmen der Fotobranche verändert.

Auswirkungen der EU-Datenschutzgrundverordnung auf die Fotobranche – Teil 2

Nachdem im ersten Beitrag zur EU-Datenschutzgrundverordnung (DSGVO) und Fotografie (pp 01-2018, S. 12 – 13) Fotos als personenbezogene Daten eingeordnet und besondere Kategorien personenbezogener Daten beispielhaft aufgezeigt wurden, soll es in diesem Teil um die Datenverarbeitungsvorgänge und deren grundlegende rechtliche Einordnung gehen, bevor es dann in weiteren Folgen um Hinweise zur Anpassung an die DSGVO gehen wird.

Datenverarbeitungsvorgänge im Zusammenhang mit Fotos unter der DSGVO

Die zu betrachtenden Datenverarbeitungsvorgänge kann man in der Fotobranche grob in vier Aspekte untergliedern:

  1. Fotografieren,
  2. Speichern, Sichern, Löschen
  3. Vermarkten
  4. Veröffentlichen / Publizieren

Die Verarbeitung von Daten, die unter das Datenschutzrecht fällt, ist in Art. 4 Ziff. 2 DSGVO wie folgt definiert:

Verarbeitung“ ist jeder – mit oder ohne Hilfe automatisierter Verfahren – (Anmerkung: mit oder ohne Computer bzw. Software) ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Datenverarbeitung ist also das Fotografieren, selbst wenn keine Person als Motiv aufgenommen wurde, aber Daten des Fotografen erfasst werden, die Bildbearbeitung, die Verschlagwortung, das Speichern der Bilddateien samt Backup, der Upload der Bilddateien in einen Cloudspeicher oder auf eine Webseite, die Übermittlung an einen Online-Printdienstleister, der ggf. sogar eine Nachbestellfunktion für die fotografierten Personen anbietet, die Übermittlung an eine Bildagentur, eine Werbeagentur, die Speicherung und Archivierung der Fotos, ja sogar das Löschen der Fotos etc.

Die Verarbeitung von personenbezogenen (pb) Daten darf nur rechtmäßig erfolgen, Art. 5 Abs. 1a) DSGVO. Derjenige, der die Daten verarbeitet (Verantwortlicher), muss über die Rechtmäßigkeit der Datenverarbeitung Rechenschaft ablegen können, die Rechtmäßigkeit also nachweisen können, sogenannte Accountability, Art. 5 Abs. 2 DSGVO. Die Rechtmäßigkeitsvoraussetzungen sind in Art. 6 DSGVO aufgelistet: hierzu gehören insbesondere

  • die Einwilligung,
  • die Verarbeitung für die Erfüllung eines Vertrages und
  • die Verarbeitung zur Wahrnehmung berechtigter Interessen.

Hier wäre zu überprüfen, ob die Inhalte bisheriger Einwilligungsformulare, sog. Model-Releases, die am KUG (Kunsturhebergesetz) von 1907 ausgerichtet sind, den neuen datenschutzrechtlichen Anforderungen genügen oder angepasst werden müssten (dazu in einer späteren Folge mehr).

Die Rechtmäßigkeit der Datenverarbeitung bei Fotos muss sich auch auf die Vermarktung beziehen, sei es auf die Vermarktung durch den Fotografen selbst oder durch eine Bildagentur und ggf. deren Partneragenturen. Dazu muss eine passende Rechtsgrundlage aus Art. 6 DSGVO gesucht, gefunden und dokumentiert werden

Schließlich muss sich die Rechtmäßigkeit der pd Datenverarbeitung auch auf die Veröffentlichung von Fotos beziehen.

Fotografieren als Datenverarbeitung und Einwilligung unter der DSGVO

Das Fotografieren einer Person stellt eine Erhebung personenbezogener Daten dar: wie die Person aussieht, Alter, Geschlecht, Rasse, Ort und Datum der Aufnahme, Umstände der Aufnahme wie z.B. Besuch einer Veranstaltung, Zusammensein mit anderen Personen etc. Parallel werden Daten zum Fotografen erhoben: wann er/sie mit welcher Kamera und Kameraeinstellung was bzw. wen und ggf. auch wo fotografiert hat. Das Fotografieren ist im Bildnisrecht des § 22 KUG nicht geregelt, sondern nur die Veröffentlichung von Fotos. Hier wird man sich also umgewöhnen müssen, dass auch schon das Fotografieren nur dann erfolgen darf, wenn eine der genannten Rechtmäßigkeitsvoraussetzungen vorliegt. Der Standardfall ist hierbei nach wie vor die Einwilligung, in der Praxis oft in Form eines Model-Releases eingeholt. Wurde das Model-Release bislang jedoch lediglich an den Erfordernissen des KUG gemessen, so wird es künftig an den strengen Voraussetzungen für eine datenschutzrechtliche Einwilligung zu messen sein, Art. 7 DSGVO. Zwar ist im Gegensatz zum bisherigen Datenschutzrecht keine Schriftform mehr vorgesehen, jedoch muss der Verantwortliche die Einwilligung nachweisen können, was derzeit wohl nach wie vor am einfachsten per Unterschrift zu erreichen ist. Eine wirksame Einwilligung erfordert eine Aufklärung darüber, worin eingewilligt werden soll. Diese Information muss in einfacher und leicht verständlicher Sprache erfolgen und die Datenverarbeitungsvorgänge und Zwecke transparent darstellen. Nur so kann der Betroffene, z.B. das Model, abschätzen, ob er bzw. sie in die beabsichtigte Datenverarbeitung tatsächlich einwilligen will. Zudem muss über das Widerrufsrecht belehrt werden. Es bietet sich an, mit der Einwilligung auch gleich die Informationspflichten nach Art. 13 DSGVO (dazu später mehr) zu erfüllen.

Datenverarbeitung im Auftrag nach DSGVO und Auftragsdatenverarbeitung nach BDSG a.F.

Erfolgte früher das Speichern von Fotos auf dem Negativ oder Dia und die Speicherung der dazugehörigen Daten auf Karteikarten, Foto- bzw. Negativtaschen o.ä., so erfolgt heutzutage die Speicherung der oft sehr großen Datenmengen von RAW-Daten, bearbeiteten Dateien und Metadaten auf Festplatten und inzwischen zunehmend häufiger auch bei externen Dienstleistern von Cloud-Diensten, deren Hilfe teils auch bei der Datenübermittlung von Fotodateien an bzw. Bereitstellung für Kunden genutzt werden. Auch hier gilt es zu beachten, dass dies Datenverarbeitungsvorgänge sind, die dem Datenschutzrecht unterliegen. Das Speichern der Fotos durch Dritte (externe Dienstleister z.B. Cloud-Speicherdienste wie Dropbox, Amazon-Cloud, Webhoster) stellt eine sogenannte Verarbeitung von Daten im Auftrag dar, die den Abschluss eines Vertrages zur Verarbeitung von Daten im Auftrag erfordert, der den Anforderungen von Art. 28 DSGVO entsprechen muss. Zudem müssen technisch-organisatorische Maßnahmen zum Schutz der Daten nach Art. 32 DSGVO ergriffen und vereinbart werden. Das war zwar auch bisher nach § 11 BDSG a.F. (alter Fassung) schon so, wurde jedoch kaum beachtet und unterlag “nur” eine Bußgeldandrohung bis 50.000 Euro und nicht wie nach künftigem Recht bis zu 10.000 Millionen Euro oder 2% des weltweiten Jahresgesamtumsatzes, Art. 83 Abs. 4 b) DSGVO.

Datenverarbeitung im EU-Ausland oder in Drittstaaten unter der DSGVO

Auch ist es erforderlich sich darüber Klarheit zu verschaffen, wo die Cloud-Dienste ihren Sitz und ihre Server haben, welches Recht anwendbar ist. So macht es datenschutzrechtlich einen deutlichen Unterschied, ob die Datenverarbeitung bei den Cloud-Speicherdiensten im Geltungsbereich der EU-Datenschutzgrundverordnung erfolgt oder in einem Staat außerhalb der EU, einem sogenannten Drittstaat, in dem zumeist kein vergleichbar hohes, angemessenes Datenschutzniveau besteht. Dies gilt insbesondere für die Datenverarbeitung in den USA oder durch US-Unternehmen. Die Verarbeitung in Drittstaaten ist nur zulässig, wenn die Grundsätze der Drittstaatendatenverarbeitung berücksichtig werden, Art. 44 DSGVO, also insbesondere, dass das in den Drittstaaten nicht durch die Umsetzung der DSGVO von Hause aus gegebene Datenschutzniveau auf andere Weise festgestellt (sogenannter Angemessenheitsbeschluss der EU-Kommission z.B. für Schweiz) oder sichergestellt wird (Abschluss von EU-Standardvertragsklauseln). Von der Drittstaatendatenverarbeitung betroffen sind z.B. Cloud-Dienste zur Fotospeicherung, Online-Bildbearbeitung oder auch Fernwartungszugriffe auf Fotosoftware.

Speicher- und Löschkonzept nach DSGVO

Zu berücksichtigen ist auch, dass personenbezogene Daten grundsätzlich nur solange verarbeitet werden dürfen, wie dies zur Erfüllung des Zweckes, zu dem sie erhoben wurden, erforderlich ist. Anschließend sind die Daten zu löschen, dürfen also nicht bis zum „Sankt Nimmerleinstag“ gespeichert werden. Im Rahmen der Rechenschaftspflicht ist daher ein Löschkonzept zu erstellen, in dem dann auch die Gründe für eine ggf. längere Aufbewahrung anzugeben sind. So kann z.B. mit den Porträtkunden oder Models vereinbart worden sein, dass die Fotos für Nachbestellungen oder zur weiteren Vermarktung für z.B. 30 Jahre gespeichert werden dürfen (aber nicht müssen).

Das Medien- und Presseprivileg, Art. 85 DSGVO, Art. 5 GG, wäre darauf zu prüfen, ob sich hieraus nicht auch weitergehende Speicherrechte ableiten ließen. Hier sind der Wunsch nach einem umfassenden und vollständigen kulturellen und historischen visuellen Gedächtnis der Gesellschaft gegen das Recht auf Löschung und Vergessenwerden der abgebildeten Person gegeneinander abzuwägen. Die Rechtsprechung zum Entfernen von Fotos aus Online-Archiven kann als Orientierung herangezogen werden. Dazu im nächsten Teil mehr im Detail.

Zwischenfazit

Nachdem in diesem Beitrag die Datenverarbeitungsvorgänge in der Fotobranche näher beleuchtet wurden, wird es im nächsten Beitrag darum gehen, die Rechtsgrundlage für diese Verarbeitungsvorgänge näher zu betrachten, um dann in kommenden Beiträgen näher auf die sonstigen Anforderungen der DSGVO einzugehen.

Fortsetzung folgt.

Der Text der DSGVO und des neuen BDSG samt Erläuterungen und Erwägungsgründen ist kostenfrei abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.html

RA David Seiler berät u.a. auch zum Fotorecht und zum Datenschutzrecht

Cottbus, den 25.01.2018

Erscheinen in Photopresse 02-2018, S. 16 – 17 (Leseprobe)

Weitere Hinweise zum Verhältnis DSGVO und KUG:

– mehr dazu im nächsten Beitrag

Die Datenschutzkonferenz hat in einer Entschließung “Umsetzung der DSGVO im Medienrecht” vom November 2017 an den Gesetzgeber appelliert, den gesetzgeberischen Handlungsauftrag zur Umsetzung des Art. 85 DSGVO zu erfüllen.

Worum geht es: die EU-Grundrechtscharata enthält in Art. 8 ein Datenschutzgrundrecht und in Art. 11 die Meinungsäußerung, Medien- und Informationsfreiheit. Diese beiden widerstreitenden Grundrechte müssen praktisch in Einklang gebracht werden – Justizia wird nicht umsonst mit einer Waage dargestellt. Statt aber diese Aufgabe selbst zu lösen, überlässt Art. 85 DSGVO diese Aufgabe dem nationalen Gesetzgeber, der hierzu soweit ersichtlich in Deutschland aber noch nicht tätig geworden ist; zumindest liegt kein Entwurf eines KUG zur Anpassung an die DSGVO vor.

Artikel 8 Schutz personenbezogener Daten

  1. (1)  Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
  2. (2)  Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der

betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet wer- den. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Artikel 11 Freiheit der Meinungsäußerung und Informationsfreiheit

(1) Jede Person hat das Recht auf freie Meinungsäußerung. Dieses Recht schließt die Meinungsfreiheit und die Freiheit ein, Informationen und Ideen ohne behördliche Eingriffe und ohne Rücksicht auf Staatsgrenzen zu empfangen und weiterzugeben.

(2) Die Freiheit der Medien und ihre Pluralität werden geachtet.

Auf die Datenschutzproblematik weist auch RA Mönikes  hin: Datenschutz-Grundverordnung: Das Ende der modernen Presse- und Öffentlichkeitsarbeit (wie wir sie kennen)

Hierzu auch Hendrick Wieduwilt in der FAZ

Auch der Journalistenverband fordert eine Datenschutzregelung