Am 25. Mai 2018 durfte ich im Rahmen des 8. Self-Publishing-Day einen Vortrag halten. Meine Rede fusste auf nachfolgenden Informationen. Hier das Wichtigste in Kürze:
Zum 25. Mai 2018 trat EU-weit die sogenannte Datenschutz-Grundverordnung in Kraft. Sinn und Zweck dieser Verordnung ist es, personenbezogene Daten vor privaten Unternehmen und öffentlichen Stellen zu schützen und damit das Recht auf freie Daten-Selbstbestimmung zu wahren.
Die DSGVO gilt für alle Unternehmen und -unabhängig ihrer Größe auch- für Einzelunternehmer, die Ihre Waren oder Dienstleistungen im europäischen Markt anbieten (sog. Marktortprinzip nach Art. 3 Abs.2 DSGVO; zum Unternehmerbegriff siehe § 14 BGB).
Für Selfpublisher bedeutet dies, dass sich bereits durch eigene Vermarktung des Werkes der sachliche Anwedungsbereich der DSGVO eröffnet.
Schutzgut der DSGVO sind die personenbezogenen Daten und deren Verarbeitung.
Die DSVGO definiert den Begriff der personenbezogene Daten äußerst weit und bietet daher viel Spielraum für Interpretationen:
Als personenbezogene Daten gelten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind" (zit. Art. 4 Nr.1 DSGVO).
Gemeint sind also alle Informationen, die die abstrakte Möglichkeit eröffnen, die betreffenden Personen kenntlich zu machen (siehe z.B. EuGH, Urteil vom 19.10.2016 - C-582/14). Als Faustregel gilt:
Personenbezogene Daten = Informationen mit denen Personen potenziell erkannt werden können
Verarbeitung meint "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung" (zit. Art. 4 Nr.2 DSGVO).
Der Begriff der Verarbeitung ist sehr weit gefasst und beginnt bereits bei der Erhebung (=Erfassen der Personeninformation) und geht über die Verwendung bis hin zur Verwahrung der Daten. Als Faustregel gilt:
Verarbeitung = vom Empfang der Daten bis hin zum Zeitpunkt der vollständigen Löschung
Nach er Datenschutz-Grundverordnung stehen Betroffenen umfangreiche Rechte zu, um ihr Datenschutzrecht und die damit einhergehende Selbstbestimmung zu gewährleisten. Diese Rechte sind größtenteils nicht neu, werden in der DSGVO jedoch gezielter geregelt. Zu den Rechten zählen:
→ Für Selfpublisher, die eine eigene Internetseite betreiben, bedeutet dies, dass vor Nutzung der Internetseite über die Erhebung der personenbezogener Daten zu informieren ist. Erst wenn die Benutzer in die Datenerhebung einwilligen, darf eine Verarbeitung erfolgen. In der Praxis erfolgt dies mit durch die sog. "Buttonlösung" wie folgt:
→ Selfpublisher sollten auf Ihrer Webpräsenz durch eine Datenschutzerklärung hinweisen, welche Daten erhoben und im Anschluss wie und wofür genutzt werden. Dabei ist zu unterscheiden, welche Daten bei dem reinen Besuch der Internetseite anfallen und welche Daten auf andere Weise -z.B. bei Verwendung eines Bestellformulars- übermittelt werden. Gerade wenn ein Webshop betrieben wird, ist es ratsam, darauf hinzuweisen, dass die Kontaktdaten für die personalisierte Rechnung gespeichert und nach Bedarf an den Steuerberater oder die Finanzbehörde, o.ä. übermittelt werden.
→ Ist die Verarbeitung aber gerade "zur Ausübung des Rechts auf freie Meinungsäußerung und Information" (siehe Art. 17 Abs.3 a) DSGVO) erforderlich, dann können Autoren der Löschung widersprechen.
→ Selfpublisher, die auf einer Social Media - Plattform einen Account betreiben, können dies nutzen, um ihre Beiträge auf einen Account mit weniger Mühe auf eine andere Plattform zu übertragen. Dadurch entfällt potenziell das Erfordernis, den anderen Account manuell zu "füttern". Dies könnte die Arbeit, Öffentlichkeitsarbeit auf mehreren Kanälen zu betreiben, und damit ein breites Marketing zu erleichtern.
Wenn gegen die Datenschutz-Grundverordnung verstoßen wird, dann drohen Sanktionen . Hierbei ist wie folgt zu unterscheiden:
Werden die Bestimmungen der DSGVO nicht beachtet, dann kann die zuständige Aufsichtbehörde ermitteln und eine Warnung aussprechen (siehe Art. 58 DSGVO). Bei der Warnung handelt es sich um eine relativ milde Sanktion, da es vor allem darum geht, den "Datenverarbeiter" auf Missstände hinzuweisen und ihm eine 2. Chance einzuräumen, die Missstände in Zukunft abzustellen.
Auch kann die zuständige Aufsichtbehörde - neben oder anstatt der Warnung- eine Geldbuße verhängen, welche bis zu 4 % des "gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs" ausmachen können (siehe Art. 83 DSVGO).
Daneben drohen den Verletzern gar strafrechtliche Verurteilungen mit Freiheitsstrafen bis zu 3 Jahren (siehe § 42 BDSG).
Neben den vorbezeichneten Beschwerderecht der Betroffenen (siehe Art. 77 DSGVO) haften Datensammler bei Verstößen gegenüber den Nutzern auch direkt für alle materiellen und immateriellen Schäden, die durch den Verstoß auftreten (siehe Art. 82 DSGVO).
Um nicht der Gefahr von Sanktionen ausgesetzt zu sein, sollte folgendes beachtet und angegangen werden:
Selfpublisher haben natürlich ein Interesse daran, Fotos und Videos über Veranstaltungen öffentlichkeitswirksam in Szene zu setzen. Dies dient der eigenen Reputation und damit gerade dem Markting eines jeden Selfpublishers. Gerade bei Bildnern von Veranstaltungen wie Lesungen bleibt es nicht aus, dass mitunter dritte, oftmals unbekannte Personen auf den Fotos ebenfalls abgelichtet sind. Insoweit stellt sich die Frage, ob und ggf. was hierbei im Zusammenhang mit der DSGVO zu beachten ist.
Schutzgut der DSVGO sind -wie dargestellt- personenbezogene Daten. Ob Personenbilder und Videos, die Personen ablichten, als
personenbezogene Daten gelten oder nicht und was in diesem Zusammengang zu beachten ist, ist aktuell höchst umstritten. Wie kontrevers die
Rechtslage momentan bewerten wird, sehen Sie an nachfolgenden Beispielen:
Hamburgischer Datenschutzbeauftrage
Die DSGVO ist auf Personenbilder anzuwenden und entsprechende Vorgaben sind grundsätzlich zu beachten. Das KUG ist nicht einschlägig.
Siehe hier.
Bundesinnenministerium
Die DSGVO ist nicht auf Fotos anwendbar; es bleibt alles beim Alten, wonach das KUG einschlägig ist.
Der Ansicht des BMI, dass die Rechtslage sich durch die DSGVO für Personenbildnisse nicht ändert, erscheint vorzugswürdig. Ob prinzipiell Personenbildnisse veröffentlich werden dürfen bestimmt sich demnach nach dem Kunsturhebergesetz (KUG).
Grundsätzlich ist für die Aufnahme, aber auch die spätere Verwendung des Personenfotos die Einwilligung des Betroffenen erforderlich.
Gerade bei öffentlichen Veranstaltungen ist es jedoch unpraktikabel, jeden einzelen um Erlaubnis zu bitten und die Einwilligung gar noch nachzuhalten. Für öffentliche Veranstaltungen gilt daher, dass die dortigen Teilnehmer grundsätzlich auch ohne Einwilligung eine Anfertigung und Veröffentlichung ihrer Personenfotos zu dulden haben (siehe BGH, Urteil vom 8.4.2014 - VI ZR 197/13 nach § 23 KUG), selbst wenn die Person nicht in einer Gruppe, sondern lediglich auf einem Einzelfoto abgelichtet wurde; insoweit kann das Bild nämlich repräsentativ für alle Teilnehmer sein (siehe BGH, Urteil vom 8.4.2014 - VI ZR 197/13).
Bitte beachten Sie, dass trotz sorgfältiger Recherche keine Gewähr für die inhaltliche Richtigkeit oder Aktualität, etc. der Informationen übernommen werden kann. Ebenso wird jegliche Haftung ausgeschlossen. Diese Informationen ersetzen keine Rechtsberatung. Die Informationen sind allgemein gehalten, während eine Rechtsberatung sich inhaltlich ganz konkret mit Ihrem persönlichen Anliegen auseinandersetzt. Es ist daher dringend zu empfehlen, dass Sie sich, soweit Sie konkret betroffen sind, unverzüglich mit einem Rechtsanwalt in Verbindung setzten.
Nach Prüfung werden wir Ihre Frage beantworten. Bitte beachten Sie jedoch, dass die Beantwortung Ihrer Rechtsfrage grundsätzlich keine Rechtsberatung ersetzt. Auch hier gilt der Gewährleistungsausschluss. Natürlich freuen wir uns auch über Anmerkungen, Verbesserungsvorschläge und ein Feedback!
Kommentar schreiben
Tom (Donnerstag, 31 Mai 2018 16:52)
Als junger Autor würde ich gern wissen, wo auf einer Homepage ich die Datenschutzerklärung positionieren muss. Kann ich diese z.B. ins Impressum schreiben oder muss es auf der obersten Gliederungsebene der Homepage einen eigenen Link "Datenschutzerklärung" geben?
Antwort zu #2 (Freitag, 01 Juni 2018)
Hallo Tom,
der BGH hat in Zusammenhang mit dem Impressum entschieden, dass dieses von jeder Seite und Unterseite aus mindestens durch 2 Klicks erreichbar sein muss (siehe BGH vom 20.07.2006 - I ZR 228/03). Daran orientiert sich meine Anwort.
Sie sollten die Datenschutzerklärung am besten dort reinpacken, wo sie von jeder Seite und Unterseite aus gesehen werden kann. Das kann im Header, in der Navigationsleiste oder -wie bei mir- ganz unten in der Fußleiste geschehen. Letzters ist üblich.
Die Datenschutzerklärung können Sie auch ins Impressum packen, denn Richtlinien hierzu gibt es keine. Vielmehr soll dem Betrachter die einfache Möglichkeit eröffnet werden, die Datenschutzerklärung lesen zu können. Darunter ist auch zu verstehen, dass sie eben nicht versteckt sein sollte.
Wenn Sie die Datenschutzerklärung ins Impressum schreiben, sollten Sie den Link sinngemäß wie folgt benennen: "Impressum + Datenschutzerklärung". Allein aus Geschmacksgründen würde ich empfehlen, Impressum und Datenschutzerklärung nicht zu vermischen. Über Geschmack lässt sich bekanntlich aber streiten.
Mit freundlichen Grüßen
Sven Nelke
Rechtsanwalt