Maßnahmenplan zur Umsetzung der DSGVO im Fotobusiness – Teil 4

Datenschutzrecht, Fotografie, DSGVO, BDSG, Gesetzestext, Rechtmäßigkeit der Datenverarbeitung, Maßnahmenplan Umsetzung, Verarbeitungsverzeichnis, technisch-organisatorische Maßnahmen, Verarbeitungsverzeichnis, Datenschutzinfo und Einwilligungserklärung, Webseite, Verschwiegenheitsverpflichtung, Datenschutzbeauftragte, Auftragsverarbeitungsverträge, Rechtsanwalt David Seiler, Cottbus, Brandenburg, Leipzig, Berlin, Dresden

Neue EU-Datenschutzgrundverordnung – DSGVO: Maßnahmenplan zur Umsetzung des neuen Datenschutzrechts im Fotobusiness – Teil 4

Nachdem in Teil 1 Fotos als personenbezogene Daten eingeordnet wurden, folgte in Teil 2 die Einordnung des Fotografierens als Datenerhebung und in Teil 3 die Darstellung der Rechtmäßigkeit der Datenverarbeitung nach der Datenschutzgrundverordnung im Verhältnis zum Kunsturhebergesetz (KUG) und dem Recht am eigenen Bild. In Teil 4 geht es abschließend um die Darstellung eines Plans mit 8 Maßnahmen zur Umsetzung des neuen Datenschutzrechts im Fotobusiness.

Gesetzestexte und Aufsichtsbehörden

Zu den Basics gehört es, dass man die Kontaktdaten der am eigenen Geschäftssitz zuständigen Datenschutzaufsichtsbehörde des jeweiligen Bundeslandes kennt und z.B. ein einem Musteranschreiben gespeichert hat.

Um die immer wieder auftauchenden Begriff (Artikel – kurz Art. 4 DSGVO) und gesetzlichen Regelungen samt Erläuterungen nachlesen zu können, ist es sinnvoll, die einschlägigen Texte im Zugriff zu haben. Dazu bieten sich zwei kostenfrei herunterladbare Versionen an: Die Bundesbeauftragte für den Datenschutz stellt die „Info 6“ zur Verfügung, die nach einer Einleitung zum Datenschutzrecht den Text der EU-Datenschutzgrundverordnung so wiedergibt, dass dort die amtlichen Erwägungsgründe direkt den jeweiligen Artikeln zugeordnet sind. Das erleichtert das Auffinden der passenden Erwägungsgründe, in denen der Gesetzgeber erläutert hat, was er sich bei der jeweiligen Regelung gedacht hat. Dabei werden oft auch konkrete Beispiele gekannt. Zudem ist das neue Bundesdatenschutzgesetz mit abgedruckt.

Eine andere Quelle ist die Praxishilfe DS-GVO VI der Deutschen Gesellschaft für Datenschutz und Datensicherheit. (GDD-Dokumente sind teils durch einen Passwort-Zugang geschützt.)

Bei dieser Textausgabe werden den jeweiligen Artikeln der DSGVO, zu denen der deutsche Gesetzgeber konkretisierende Regelungen treffen musste bzw. durfte, die Paragrafen des neuen Bundesdatenschutzgesetzes zugeordnet. Zur Erleichterung sind die nur den öffentlichen Bereich betreffenden Regelungen in hellgrau dargestellt.

1. Rechtmäßigkeit der Datenverarbeitung

Jeder, ob Unternehmen oder Selbständiger, der im Zusammenhang mit seiner beruflichen und unternehmerischen Tätigkeit personenbezogene Daten (nachfolgend kurz pbD, Daten von lebenden Menschen) verarbeitet, unterliegt dem Datenschutzrecht. pbD dürfen überhaupt nur verarbeitet werden, wenn dafür eine Rechtsgrundlage besteht, Art. 6 DSGVO. Dort sind auch die in Betracht kommenden Rechtsgrundlagen genannt. Das sind im Wesentlichen die

  • Datenverarbeitung zur Vertragserfüllung (z.B. Auftrag für Porträtfotos),
  • die Datenverarbeitung auf Grundlage einer Einwilligung (z.B. Model-Release), zur Erfüllung rechtlicher Verpflichtungen (z.B. handels- und steuerrechtliche Aufbewahrungspflichten) und
  • die Verarbeitung zur Wahrung eigener berechtigter Interessen oder berechtigter Interessen eines Dritten (z.B. Betrugsprävention durch Schufa-Abfrage, Direktwerbung – bitte § 7 UWG zusätzlich beachten, Durchsetzung bzw. Abwehr von Rechtsansprüchen, z.B. Honorar- oder Schadensersatzklagen).

Jeder sollte sich also überlegen, warum er/sie welche Daten verarbeitet, zu welchem Zweck und auf welcher Rechtsgrundlage und das auch aufschreiben (sogenannte Rechenschaftspflicht bzw. Accountability, Art. 5 Abs. 2 DSGVO).

2. Verarbeitungsverzeichnis

Jeder „Verantwortliche“ (Person, die über Zweck und Mittel der Verarbeitung pbD entscheidet, z.B. Fotograf, Bildagentur) sollte ein Verzeichnis aller Verarbeitungstätigkeiten in seinem Zuständigkeitsbereich aufschreiben und bei Änderungen aktualisieren. Was darin stehen soll, ergibt sich aus Art. 30 Abs. 1 DSGVO (Abs. = Absatz): Namen und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten, Zweck der Verarbeitung, Kategorien der Personen und der verarbeiteten Daten, Kategorien von Empfängern, etwaige Übermittlung in Drittstaaten (außerhalb EU/EWR), Löschfristen, Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten und betroffenen Personen.

Amtliche Muster samt Erläuterungen gibt es hier.

3. Technisch-organisatorische Datenschutzmaßnahmen

Das, was wahrscheinlich schon jeder schmerzlich erlebt hat, Datenverlust, ist einer der Punkte, die durch technische und organisatorische Maßnahmen zum Datenschutz vermieden werden sollen. Daten sollen einerseits vor unberechtigtem Zugriff geschützt und andererseits sicher verfügbar und notfalls schnell wieder herstellbar sein. Die allgemeine rechtliche Anforderung hierzu ergibt sich aus Art. 32 DSGVO. Nähere Erläuterungen dazu finden sich in den vorstehend genannten Erläuterungen zu den Verarbeitungsverzeichnissen. Die Maßnahmen wie Passwortschutz des Rechners, Virenschutz, Verschlüsselung der Backup-Platten und Backup-Konzept sollten dokumentiert werden. Das mag zwar eine lästige bürokratische Anforderung sein, positiv gewendet kann man es aber auch als amtliche Checkliste für die eigene IT-Sicherheit ansehen, denn schließlich sind gerade in Zeiten der Digitalfotografie die digitalen Fotodaten samt Metadaten das wesentliche Kapital der eigenen Berufstätigkeit. Muster hierfür finden sich z.B. in den Erläuterungen zum vorgenannten Muster für das Verarbeitungsverzeichnis.

4. Datenschutzinformation und Einwilligungserklärung

Eine der wesentlichen Neuerungen des neuen Datenschutzrechts sind die deutlich gestiegenen Transparenzanforderungen und damit einhergehende Informationspflichten. Nach Art. 13 DSGVO müssen dem Betroffenen (z.B. Mitarbeiter, Model) zum Beginn der Datenerhebung rund 12 Informationen gegeben werden. Dazu gehören auch die Dauer der Datenspeicherung, deren Zweck, das Recht auf Widerruf zur Datenübertragung, das Auskunftsrecht und das Recht zur Beschwerde bei der Datenschutzaufsicht.

Muster für Datenschutzinformationen finden sich z.B. beim Anwaltsverein oder bei der GDD.

Etwaige Einwilligungsformulare, z.B. Model-Releases sollten an die neuen Anforderungen für Einwilligungen nach Art. 7 und 8 DSGVO angepasst werden.

Muster und Hinweise siehe GDD-Praxishilfe Nr. 13:

Da eine Einwilligung jederzeit frei widerruflich ist und auch auf die Widerruflichkeit hingewiesen werden muss, ist das keine dauerhaft verlässliche Verarbeitungsgrundlage. Je nach Anwendungsfall und Möglichkeit unter den konkreten Umständen ist es daher zu empfehlen, statt eine Einwilligung einzuholen mit der fotografierten Person möglich einen Vertrag zu schließen, der die Bildnisnutzung als Vertragsbestandteil langfristig mit abdeckt.

5. Datenschutzinformation auf Webseite – IT-Sicherheit für Webseite

Kaum jemand wird ohne eine Webseite auskommen. Diese enthält oft Analyse- und Tracking-Tools, Cookies, Social Media Plug-Ins, eine Newsletterfunktion oder ein Kontaktformular oder auch Transaktions- und Bestellmöglichkeiten; alles Funktionen, die datenschutzrelevant sind und (auch jetzt schon nach § 13 TMG) zu datenschutzrechtlichen Informationspflichten führen. Diese sind sofort für jedermann bei Besuch der Webseite sichtbar und können deshalb leicht von etwaigen Abmahnvereinen aufgegriffen oder auch von Aufsichtsbehörden per Suchprogramm gefunden werden. Die Datenschutzinformationen auf der Webseite sind daher oft mit das erste, was sich eine Aufsichtsbehörde bei einer Prüfung z.B. nach einer möglichen Beschwerde ansieht. Daher sollten Datenschutzinformationen zur Datenverarbeitung bei Besuch und Nutzung der Webseite nicht fehlen.

Muster Datenschutzerklärung für Webseiten: vom Anwaltsverein und als Textbausteine vom DFN (Deutsches Forschungsnetz – Prof. Hoeren)

https://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien/musterdatenschutzerklaerung

6. Mitarbeiter zur Verschwiegenheit verpflichten

Zu den organisatorischen Maßnahmen gehört es, die eigenen Mitarbeiter (auch nur gelegentlich tätige Personen, wie Assistenten, Praktikanten) über die wesentlichen Aspekte des Datenschutzes zu belehren und sie zur Vertraulichkeit zu verpflichten. Die eigenen Mitarbeiter sind in der Praxis oft die größte Schwachstelle beim Datenschutz. Daher ist deren Unterrichtung und Verpflichtung wichtig.

Siehe dazu GDD Muster Verschwiegenheitsverpflichtung und das kürzere Muster der bayrischen Datenschutzaufsicht.

7. Datenschutzbeauftragten benennen + Meldung an Aufsicht

Wer 10 Mitarbeiter und mehr beschäftigt, die pbD verarbeiten, muss einen Datenschutzbeauftragen bestellen (alte Terminologie) bzw. benennen (neue Terminologie), Art. 37 bis 39 DSGVO, § 38 BDSG neu. Die Kontaktdaten des Datenschutzbeauftragten müssen unternehmensintern und gegenüber der Datenschutzaufsichtsbehörde bekannt gegeben werden, Art. 37 Abs. 7 DSGVO. Wer besonders viele, sensible Daten verarbeitet und daher eine Datenschutz-Folgeabschätzung durchführen muss, der muss ebenfalls einen Datenschutzbeauftragten bestellen, auch bei weniger als 10 mit Datenverarbeitung beschäftigten Mitarbeitern. Auch wer personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung verarbeitet, muss eine Datenschutzbeauftragten bestellen.

8. Auftragsverarbeitungsverträge + ggf. Regelungen zum Drittstaatentransfer

Jeder, der pb Daten extern verarbeiten lässt, muss mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung (AVV – früher ADV – Auftragsdatenverarbeitungsvertrag) abschließen, der bestimmten gesetzlichen Anforderungen entsprechen muss, Art. 28 DSGVO. Das war auch bisher schon der Fall, § 11 BDSG alt, wurde jetzt dahingehend erleichtert, dass derartige Verträge auch elektronisch (per E-Mail/Online-Bestellformular) geschlossen werden können, allerdings sind die möglichen Bußgelder bei fehlendem Vertrag zur Auftragsverarbeitung drastisch gestiegen und können jetzt auch den Auftragsverarbeiter selbst treffen.

Auftragsverarbeitung kann die externe Speicherung von Daten (z.B. Cloud), aber auch ein externes Lohnbüro, ein Newsletterversender oder ein Print-Dienstleister sein.

Es gibt bereits einige Muster für derartige Verträge, z.B. das Muster der Bayrischen Datenschutzaufsicht.

Wichtig zum Schluss noch: Ende der Übergangsfrist vom alten zum neuen Recht: 25.05.2018!

David Seiler, Rechtsanwalt – Cottbus, den 12.03.2018

RA David Seiler berät u.a. auch zum Fotorecht und zum Datenschutzrecht

Leicht gekürzt erscheinen in Photopresse 04-2018, S. 18 – 19

Webinar

Der BVPA veranstaltet ein Webinar zum Thema Datenschutz und Fotografie am 13.04.2018 mit mir als Referent.