Grundsätzliches zur neuen Datenschutz-Grundverordnung (EU-DSGVO)

Welche Daten werden durch die Datenschutzgrundverordnung geschützt?

● Begriff der personenbezogenen Daten

● Begriff der Verarbeitung

Welche Rechte genießen Kunden und/oder Leser und mit welchen Pflichten der Selfpublisher geht dies einher?

Was droht, wenn der DSGVO keine Folge geleistet wird?

● Sanktionsmöglichkeiten der zuständigen Aufsichtbehörden

● Haftung gegenüber Betroffenen

● Kostspielige Abmahnungen durch Mitbewerber

Was ist zu tun?

Wie ist die Datenschutzlage in Bezug auf die Veröffentlichung von Personenbildern/-videos?

Haben Sie eine Frage oder eine Anmerkung zu diesem Thema? - Nutzen Sie die Kommentarfunktion!

Zum 25. Mai 2018 trat EU-weit die sogenannte Datenschutz-Grundverordnung in Kraft. Sinn und Zweck dieser Verordnung ist es, personenbezogene Daten vor privaten Unternehmen und öffentlichen Stellen zu schützen und damit das Recht auf freie Daten-Selbstbestimmung  zu wahren.

Die DSGVO gilt für alle Unternehmen und -unabhängig ihrer Größe auch- für Einzelunternehmer, die Ihre Waren oder Dienstleistungen im europäischen Markt anbieten (sog. Marktortprinzip nach Art. 3 Abs.2 DSGVO; zum Unternehmerbegriff siehe § 14 BGB).

Für Selfpublisher bedeutet dies, dass sich bereits durch eigene Vermarktung des Werkes der sachliche Anwedungsbereich der DSGVO eröffnet.

Schutzgut der DSGVO sind die personenbezogenen Daten und deren Verarbeitung.

Die DSVGO definiert den Begriff der personenbezogene Daten äußerst weit und bietet daher viel Spielraum für Interpretationen:

Als personenbezogene Daten gelten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind" (zit. Art. 4 Nr.1 DSGVO).

Gemeint sind also alle Informationen, die die abstrakte Möglichkeit eröffnen, die betreffenden Personen kenntlich zu machen (siehe z.B. EuGH, Urteil vom 19.10.2016 - C-582/14). Als Faustregel gilt:

Personenbezogene Daten = Informationen mit denen Personen potenziell erkannt werden können

Verarbeitung meint "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung" (zit. Art. 4 Nr.2 DSGVO).

Der Begriff der Verarbeitung ist sehr weit gefasst und beginnt bereits bei der Erhebung (=Erfassen der Personeninformation) und geht über die Verwendung bis hin zur Verwahrung der Daten. Als Faustregel gilt:

Verarbeitung = vom Empfang der Daten bis hin zum Zeitpunkt der vollständigen Löschung

Nach er Datenschutz-Grundverordnung stehen Betroffenen umfangreiche Rechte zu, um ihr Datenschutzrecht und die damit einhergehende Selbstbestimmung zu gewährleisten. Diese Rechte sind größtenteils nicht neu, werden in der DSGVO jedoch gezielter geregelt. Zu den Rechten zählen:

• Opt-In-Verfahren -  Nach dem sog. Opt-In-Prinzip ist es verboten, personenbezogene Daten ohne Einwilligung zu verarbeiten und damit auch zu erheben. Betroffene müssen demnach grundsätzlich vor der Verarbeitung der Kundendaten -und damit also vor der Datenerhebung- informiert werden. Erst wenn der Betroffene in die Verarbeitung einwilligt, darf eine Verarbeitung stattfinden (siehe Art. 13 u. 14 DSGVO)

→ Für Selfpublisher, die eine eigene Internetseite betreiben, bedeutet dies, dass vor Nutzung der Internetseite über die Erhebung der personenbezogener Daten zu informieren ist. Erst wenn die Benutzer  in die Datenerhebung einwilligen, darf eine Verarbeitung erfolgen. In der Praxis erfolgt dies mit durch die sog. "Buttonlösung" wie folgt:

• Datentransparenz durch Auskunftsrechte -  Betroffene haben das Recht zu erfahren, welche personenbezogenen Daten wofür erhoben werden und wie und wofür diese sodann verwendet werden (siehe Art. 15 DSGV).

→ Selfpublisher sollten auf Ihrer Webpräsenz durch eine Datenschutzerklärung hinweisen, welche Daten erhoben und im Anschluss wie und wofür genutzt werden. Dabei ist zu unterscheiden, welche Daten bei dem reinen Besuch der Internetseite anfallen  und welche Daten auf andere Weise -z.B. bei Verwendung eines Bestellformulars- übermittelt werden. Gerade wenn ein Webshop betrieben wird, ist es ratsam, darauf hinzuweisen, dass die Kontaktdaten für die personalisierte Rechnung gespeichert und nach Bedarf an den Steuerberater oder die Finanzbehörde, o.ä. übermittelt werden.

• Datenberichtigungsrecht -  Betroffene haben grundsätzlich das Recht, falsche personenbezogene Daten unverzüglich berichtigen zu lassen und hierüber Auskunft zu verlangen (siehe Art. 16 DSGVO).
  

• Recht auf Vergessenwerden / Löschungsrecht -  Daten sollen gelöscht werden, wenn der Betroffene dies einfordert (siehe Art. 17 DSGV). Das Recht auf Vergessenwerden geht gegenüber dem Löschungsrecht etwas weiter und sieht vor, dass auch Spuren von Datenveröffentlichungen getilgt werden sollen. Eine Löschung muss jedoch nicht veranlasst werden, wenn gewichtige Gründe eine Ausnahme rechtfertigen.

→ Ist die Verarbeitung aber gerade "zur Ausübung des Rechts auf freie Meinungsäußerung und Information" (siehe Art. 17 Abs.3 a) DSGVO) erforderlich, dann können Autoren der Löschung widersprechen.

• Recht auf Einschränkung der Verarbeitung -  Wird eine Datenberichtigung- oder Löschung abgelehnt oder werden Daten unrechtmäßig verarbeitet, dann kann der Betroffene bestimmen, dass die Daten nicht weiter zu verwenden sind. Die Daten dürfen dann zwar noch gespeichert sein, aber lediglich für gewichtigen Gründen  verwendet werden (siehe Art. 18 DSGVO). Falls z.B. ein Rechtsstreit entbrennt, dann dürfen die Daten des Betroffenen noch verwendet werden, um den Rechtsstreit zu betreiben.

• Mitteilungspflichten -  Macht ein Betroffener ein Datenschutzrecht - also Berichtung, Löschung oder Einschränkung der Verarbeitung- geltend, so ist dies auch den Dritten, an die die Daten weitergeleitet wurden, unverzüglich mitzuteilen  (siehe Art. 19 DSGVO), damit auch dort das Anliegen eines Betroffenen Gehör findet. Eine Mitteilung kann jedoch unterbleiben, wenn der Aufwand hierfür unverhältnismäßig hoch ist.

• Recht auf Datenübertragbarkeit -  Die Pflicht auf Datenübertragbarkeit richtet sich vor allem an Social Media - Plattformen wie Facebook, Instagram, Google+, u.a. Ein User hat dort das Recht seine Daten so herauszuverlangen, damit sie auf einer anderen Plattform eingespeist werden können (siehe Art. 20 DSGVO).

→ Selfpublisher, die auf einer Social Media - Plattform einen Account betreiben, können dies nutzen, um ihre Beiträge auf einen Account mit weniger Mühe auf eine andere Plattform zu übertragen. Dadurch entfällt potenziell das Erfordernis, den anderen Account manuell zu "füttern". Dies könnte die Arbeit, Öffentlichkeitsarbeit auf mehreren Kanälen zu betreiben,  und damit ein breites Marketing zu erleichtern.

Wenn gegen die Datenschutz-Grundverordnung verstoßen wird, dann drohen Sanktionen . Hierbei ist wie folgt zu unterscheiden:

Werden die Bestimmungen der DSGVO nicht beachtet, dann kann die zuständige Aufsichtbehörde ermitteln und eine Warnung aussprechen (siehe Art. 58 DSGVO). Bei der Warnung handelt es sich um eine relativ milde Sanktion, da es vor allem darum geht, den "Datenverarbeiter" auf Missstände hinzuweisen und ihm eine 2. Chance einzuräumen, die Missstände in Zukunft abzustellen.

Auch kann die zuständige Aufsichtbehörde - neben oder anstatt der Warnung- eine Geldbuße verhängen, welche bis zu 4 % des "gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs" ausmachen können (siehe Art. 83 DSVGO).

Daneben drohen den Verletzern gar strafrechtliche Verurteilungen mit Freiheitsstrafen bis zu 3 Jahren (siehe § 42 BDSG).

Neben den vorbezeichneten Beschwerderecht der Betroffenen (siehe Art. 77 DSGVO) haften Datensammler bei Verstößen gegenüber den Nutzern auch direkt für alle materiellen und immateriellen Schäden, die durch den Verstoß auftreten (siehe Art. 82 DSGVO).

Um nicht der Gefahr von Sanktionen ausgesetzt zu sein, sollte folgendes beachtet und angegangen werden:

Selfpublisher haben natürlich ein Interesse daran, Fotos und Videos über Veranstaltungen  öffentlichkeitswirksam in Szene zu setzen. Dies dient der eigenen Reputation und damit gerade dem Markting eines jeden Selfpublishers. Gerade bei Bildnern von Veranstaltungen wie Lesungen bleibt es nicht aus, dass mitunter dritte, oftmals unbekannte Personen auf den Fotos ebenfalls abgelichtet sind. Insoweit stellt sich die Frage, ob und ggf. was hierbei im Zusammenhang mit der DSGVO zu beachten ist.

Schutzgut der DSVGO sind -wie dargestellt- personenbezogene Daten. Ob Personenbilder  und Videos, die Personen ablichten, als personenbezogene Daten gelten oder nicht und was in diesem Zusammengang zu beachten ist, ist aktuell höchst umstritten. Wie kontrevers die Rechtslage momentan bewerten wird, sehen Sie an nachfolgenden Beispielen:

Der Ansicht des BMI, dass die Rechtslage sich durch die DSGVO für Personenbildnisse nicht ändert, erscheint vorzugswürdig. Ob prinzipiell Personenbildnisse veröffentlich werden dürfen bestimmt sich demnach nach dem Kunsturhebergesetz (KUG).

Grundsätzlich ist für die Aufnahme, aber auch die spätere Verwendung des Personenfotos die Einwilligung des Betroffenen erforderlich.

Gerade bei öffentlichen Veranstaltungen ist es jedoch unpraktikabel, jeden einzelen um Erlaubnis zu bitten und die Einwilligung gar noch nachzuhalten. Für öffentliche Veranstaltungen gilt daher, dass die dortigen Teilnehmer grundsätzlich auch ohne Einwilligung eine Anfertigung und Veröffentlichung ihrer Personenfotos zu dulden haben (siehe BGH, Urteil vom 8.4.2014 - VI ZR 197/13 nach § 23 KUG), selbst wenn die Person nicht in einer Gruppe, sondern lediglich auf einem Einzelfoto abgelichtet wurde; insoweit kann das Bild nämlich repräsentativ für alle Teilnehmer sein (siehe BGH, Urteil vom 8.4.2014 - VI ZR 197/13).

Bitte beachten Sie, dass trotz sorgfältiger Recherche keine Gewähr für die inhaltliche Richtigkeit oder Aktualität, etc. der Informationen übernommen werden kann. Ebenso wird jegliche Haftung ausgeschlossen. Diese Informationen ersetzen keine Rechtsberatung. Die Informationen sind allgemein gehalten, während eine Rechtsberatung sich inhaltlich ganz konkret mit Ihrem persönlichen Anliegen auseinandersetzt. Es ist daher dringend zu empfehlen, dass Sie sich, soweit Sie konkret betroffen sind, unverzüglich mit einem Rechtsanwalt in Verbindung setzten.

Nach Prüfung werden wir Ihre Frage beantworten. Bitte beachten Sie jedoch, dass die Beantwortung Ihrer Rechtsfrage grundsätzlich keine Rechtsberatung ersetzt. Auch hier gilt der Gewährleistungsausschluss. Natürlich freuen wir uns auch über Anmerkungen, Verbesserungsvorschläge und ein Feedback!