Tiger103 ˚₊‧🐯.𖥔 ݁

Datenschutzrecht

May 29, 202520 min read

Recht

Zusammenfassung der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der EU trat im Mai 2018 in Kraft und löste das Bundesdatenschutzgesetz (BDSG) ab. Sie zielt darauf ab, die Datenschutzprinzipien in Europa zu erhalten und weiterzuentwickeln. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, auch wenn diese Unternehmen ihren Sitz außerhalb der EU haben.

Wichtigste Änderungen

  • Erhöhte Bußgelder: Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
  • Ausweitung der Pflichten: Unternehmen müssen umfassende Informations-, Melde- und Nachweispflichten erfüllen.
  • Datenschutz-Folgenabschätzung: Bei hohem Risiko für die Rechte und Freiheiten von Betroffenen erforderlich.
  • Stärkung der Betroffenenrechte:
    • Auskunftsrecht
    • Recht auf Vergessenwerden
    • Datenübertragbarkeit
  • Privacy by Design & Default: Datenschutz muss von Anfang an in Produkte und Dienstleistungen integriert sein.
  • Globale Anwendung: Die DSGVO kann auch auf Unternehmen außerhalb der EU angewendet werden.

Rechtsgrundlagen für die Datenverarbeitung

  1. Vertrag: Zur Durchführung eines Vertrags mit dem Betroffenen.
  2. Berechtigtes Interesse: Wenn kein entgegenstehendes Interesse überwiegt.
  3. Einwilligung: Muss freiwillig, spezifisch, informiert, eindeutig und widerruflich sein.
  4. Gesetzliche Verpflichtung: Nach nationalem oder EU-Recht.

Hinweis

Jede Verarbeitung personenbezogener Daten muss auf einer der oben genannten Rechtsgrundlagen beruhen.

Besondere Regelungen

  • Auftragsverarbeitung: Strenge Anforderungen an die Auswahl und Kontrolle von Auftragsverarbeitern.
  • Datenübermittlung in Drittländer: Nur unter bestimmten Voraussetzungen zulässig.
  • Fotografie: Die DSGVO findet Anwendung, wenn Fotos von Personen gemacht werden, die nicht dem Familienkreis angehören.

Fazit

Die DSGVO stellt hohe Anforderungen an den Datenschutz. Unternehmen müssen ihre Prozesse und Systeme an die neuen Vorgaben anpassen, um Bußgelder und rechtliche Konsequenzen zu vermeiden.

Praktischer Tipp

Regelmäßige Schulungen der Mitarbeiter und die Implementierung klarer Datenschutzrichtlinien können helfen, die Anforderungen der DSGVO effektiv umzusetzen.

ÜBERSICHT

Datenschutz-Fokus: EU DSGVO

  • EU-Datenschutzgrundverordnung (EU-DSGVO): im Mai 2016 im EU-Amtsblatt veröffentlicht
  • gilt seit 25. Mai 2018 UNMITTELBAR in allen europäischen Mitgliedsstaaten
  • .eigene nationale Regelungen sind nur in ausgewählten Bereichen oder zur Konkretisierung zulässig
  • Bundesdatenschutzgesetz (BDSG) und weitere datenschutzrechtl. Spezialregelungen sind/werden in bisheriger Form entfallen

Ziele

  • Beibehaltung und Weiterentwicklung der in Europa bereits geltenden Datenschutzprinzipien
  • Weitgehende Geltung auch für Verarbeitung personenbez. Daten von EU-Bürgern durch Unternehmen mit Sitz außerhalb EU, sofern sie mit Angebot von Waren / Dienstleistungen oder Verhaltensüberwachung in Europa zusammenhängen
  • Schwerpunkt auf technisch/organisatorischen Datenschutzmaßnahmen sowie Löschkonzepten
  • Ausdrückliche Regelung zu:
    • „Datenschutz durch Technikgestaltung“ („data protection by design“)
    • „datenschutzfreundliche Voreinstellungen“ („data protection by default“)

Ausweitung Pflichten

  • Deutliche Ausweitung von Informations-, Melde- und Nachweispflichten der Unternehmen
  • dazu zählen:
    • Strategien zur Wahrung der Betroffenenrechte
    • Datenschutzfolgeabschätzung (data protection impact assessments - vergleichbar mit heutiger Vorabkontrolle)
    • Zertifizierungen sowie Branchenstandards
    • Rahmenbedingungen zur Bestellpflicht eines Datenschutzbeauftragten

Sanktionen

  • Deutlich erhöhte Sanktionsmöglichkeiten:
    • Geldbußen bis zu 20 Mio € (im Vergleich zu 350.000 EUR nach BDSG)
    • bis zu 4% des weltweiten Umsatzes des vorangegangenen Geschäftsjahres

VOM BDSG ZUR EU-DSGVO

EU DSGV: Ob (Daten verarbeitet werden duerfen)

  • vom “Verbot mit Erlaubnisvorbehalt” zur “Rechtmäßigkeit der Verarbeitung”
  • Erforderlichkeit
  • Zweckbindung
  • Transparenz

EU DSGV: Wie (Daten verarbeitet werden duerfen)

  • Datenschutzmanagement
  • Stärkere Verantwortlichkeit von Datenverarbeiter und Auftragsdatenverarbeiter
  • Datenschutzfreundliche Technik und Voreinstellungen

Bewertung: BDSG VS. EU-DSGVO

  • Vieles ist bereits bekannt und war schon im BDSG abgebildet
  • Manche Themen sind zu schärfen
    • Informationspflichten
    • Prozesse Betroffenenrechte
  • Manches ist besser zu dokumentieren
    • Nachweis der getroffenen Maßnahmen
    • IT-Systeme auf DSGVO-Tauglichkeit zu prüfen und anzupassen
    • Zulässigkeitsvoraussetzungen

Weiterentwicklung

In der EU DSGVO werden geltende Definitionen und Datenschutzprinzipien im Wesentlichen beibehalten und z. T. weiterentwickelt.

  • Identisch:
    • sachl. Geltungsbereich: Definition Personenbezug / Datenverarbeitung (Art. 3)
    • Verbot mit Erlaubnisvorbehalt (Art. 6 Abs. 1)
    • Gebote der Erforderlichkeit, Verhältnismäßigkeit und Datensparsamkeit
  • Neu:
    • Rechenschaftspflicht (Accountability)
    • Nachweisbare Beachtung der Gebote, insb. Datensparsamkeit (Art. 5 II)
    • Verstöße sind bußgeldbewehrt! (Art. 83 V a)

Anpassungen der Zulässigkeitsvoraussetzungen

  • „Alte Gebote“
    • Zweckbindung, Erforderlichkeit, Verhältnismäßigkeit, Datensparsamkeit und
    • Transparenz - Art. 5 I
  • „Neue Gebote“
    • „Treu und Glauben“
    • Richtigkeit (auch ohne Richtigstellungsverlangen)
    • Integrität
    • Vertraulichkeit - Art. 5 I

RECHTSGRUNDLAGEN

Vertrag

  • Durchführung eines Vertrags mit Betroffenem: (Art. 6 Abs. 1b)
  • im Rahmen Vertragsanbahnung nur auf Anfrage des Betroffenen

Berechtigtes Unternehmensinteresse

  • berechtigtes Interesse, wenn nicht entgegenstehendes Interesse überwiegt: Art. 6 Abs. 1f
  • es sei denn es handelt sich um sensible Daten: Art. 9

spezielle Regeln u. a. für Zweck IT-Sicherheit

  • strengerer Maßstab bei Kindern und bei Zweckänderung = Weiterverarbeitung Art. 6 Abs. 4: neuer Maßstab „Vereinbarkeit“ mit Ursprungszweck und Informationspflicht
  • Weitere relevante Rechtsgrundlagen
    • Rechtspflichten nach nationalem oder EU-Recht (Art. 6 Abs. 1c iVm Abs. 3)
    • Datenverarbeitung im Beschäftigtenverhältnis: spezielle Öffnungsklausel Art. 88 Abs. 1 für nationale Regelungen

Einwilligung

  • Art. 4 Abs. 11, Art. 6 Abs. 1 a, Art. 7
  • weiterhin: freiwillig, spezifisch, informiert, eindeutig, widerruflich
  • neu: keine Schriftform, es reicht eindeutige Handlung – nur bei sensiblen Daten „ausdrücklich“
  • „Opt-out“ ausdrücklich nicht mehr anerkannt - es sei denn, man ist ein Bundes-Gesundheitsministerium :-(
  • Transparenzpflichten ähnlich TMG gelten allgemein (Art. 7 Abs. 2, 3)
  • hohe Anforderungen an „Freiwilligkeit“ (Art. 7 Abs. 4): relevant für Kunden- und Beschäftigungsverhältnisse
  • neu: spezielle Regel für Minderjährige bei Online-Diensten (Art. 8: unter 13 Jahren Einwilligung der Eltern nötig)

Auftragsverarbeitung (Art. 28)

  • Auswahl und Nachweis ordnungsgemäßer Auswahl (Art. 27, 28)
  • Auswahlaspekte: Fachwissen, Zuverlässigkeit und Ressourcen
  • Einhaltung genehmigter Verhaltensregeln
  • genehmigte Zertifizierungsverfahren durch Auftragsverarbeiter
  • Schriftliche Benennung eines Vertreters, Art. 3 Abs. 2

Vertrag

  • Rahmenbedingungen für den Einsatz von Subunternehmern (Änderungen und Garantien TOMs)
  • AV muss zu TOMs nach Art. 32 verpflichtet werden (aufgrund der Auswahlpflichten muss der AG aber auch die TOMs des AV prüfen) Art. 28 Abs. 3 c
  • Neben Individualverträgen auch Standardverträge der Kommission denkbar
  • Stärkerer Fokus auf Dokumentation von Weisungen denkbar

Durchführung

  • Direkte Verpflichtungen des AV – direkte Haftung (Art. 82)
  • Umsetzung erforderlicher TOMs nach Art. 32
  • Dokumentation von Verarbeitungstätigkeiten
  • Kooperationspflichten mit Aufsichtsbehörden
  • Hinweispflicht des AV auf rechtliche Pflichten zur Übermittlung von pb Daten in Drittländer
  • Einhaltung der allgemeinen Vorgaben für Drittlandtransfers
  • Meldung Datenschutz-Vorfälle an Vertrauensstelle
  • Bestellpflicht Datenschutzbeauftragter

VERTRAGSPARTNER AUSSERHALB DER BRD

Räumlicher Anwendungsbereich EU DSGVO: Art. 3, innerhalb EU

  • Sitzlandprinzip
  • AV/VSt mit Sitz in einem EU-Mitgliedstaat

Außerhalb der EU: Marktortprinzip (neu)

  • AV/VSt mit Sitz außerhalb der EU
  • Direkte Anwendung der EU DSGVO auf Datenverarbeitungen des AV/VSt: Angebot von Waren oder Dienstleistungen an Betroffene in der EU
  • Beobachtung des Verhaltens Betroffener in der EU
  • Vertreter des AV/VSt in der EU zu benennen

Durchführung bei Vertragspartner außerhalb EU

  • Weitergabe pb Daten an Vertragspartner außerhalb der EU erfolgt weiterhin nach dem 2-Stufen-Prinzip
    • Rechtmäßigkeit Verarbeitung (einschließlich Weitergabe) – Rechtsgrundlage erforderlich
    • Angemessenheit des Datenschutzniveaus im Empfänger-Drittland weiterhin relevant
  • Bisherige Instrumente bleiben bestehen – wichtig bzgl. Vertragspartner:
    • Angemessenheitsbeschlüsse EU Kommission zu beachten
    • EU-Standardvertragsklauseln als geeignete Garantien (alte werden nicht automatisch ungültig)

Neue Instrumente unter der EU DS GVO

  • Verhaltensregeln z. B. von Verbänden
  • Zertifizierung
  • Erweiterte Informations-, Auskunfts- und Transparenzpflichten gegenüber Betroffenen

PRÜF- UND DOKUMENTATIONSPFLICHTEN

Hintergrund

  • Auswirkungen auf die individuellen Persönlichkeitsrechte im Fokus (Art. 32)
  • Berücksichtigung der Auswirkungen neuer Technologien
  • Stärkung der Selbstregulierung der verantwortlichen Stellen
  • Einführung ergänzender Prinzipien: Privacy by Design/Privacy by Default (Art.25)

Neu: Datenschutz-Folgenabschätzung, Art. 35, 36

  • Prüf- und Dokumentationspflichten
  • Datenschutz-Folgenabschätzung in Abgrenzung zur Vorabkontrolle nach BDSG:
    • Vorabkontrolle nach BDSG: Orientierung an konkreten Tatbeständen / Sensibilität der betroffenen pb Daten
    • Datenschutz-Folgenabschätzung nach EU DSGVO: immer erforderlich bei hohem Risiko für persönliche Rechte u. Freiheiten der Betroffenen (Art. 35 Abs. 1)

Mindestvorgaben Prüf- und Dokumentationspflichten, Art. 35 Abs. 7

  • Art, Umfang, Umstände der Verarbeitung
  • Zweck der Verarbeitung (berechtigtes Interesse)
  • Bewertung Erforderlichkeit / Verhältnismäßigkeit
  • Bewertung der Risiken / Folgen für Schutz der personenbezogenen Daten
  • Abgeleitete Maßnahmen zur Eindämmung des festgestellten Risikos

Orientierungsmaßstab

  • Positiv- und Negativliste der Aufsichtsbehörden zur Identifikation der betroffenen Datenverarbeitungen (Art. 35 Abs. 4, 5)
  • Insbesondere bei:
    • neuen Technologien (Internet of Things)
    • neuen Verarbeitungen
    • Profiling
    • Verarbeitung großer Datenmengen (Big Data)
    • Verarbeitung besonders sensibler Daten
    • Videoüberwachung

Bei festgestelltem verbleibendem hohen Risiko (Art. 35 Abs. 7 d)

  • Maßnahmen zur Eindämmung des Risikos zu ergreifen
  • andernfalls: Konsultation der Aufsichtsbehörden (Art. 36)
  • Verzeichnis der Verarbeitungstätigkeiten
  • Pflicht zum Führen eines Verfahrensverzeichnisses (Art. 30)
  • Ausweitung der Verpflichtung auch auf Auftragsverarbeiter sind auf Antrag den Aufsichtsbehörden vorzulegen (Art. 30 Abs. 4)
  • Transparente Information und Kommunikation: Art. 12
  • Transparenzgrundsätze werden durch zahlreiche Auskunftsrechte der Betroffenen ergänzt
    • Transparent
    • leicht zugänglich
    • nachvollziehbar
    • in einer verständlichen Form
    • unter Verwendung klarer, einfacher und adressatengerechter Sprache (insb. wenn Adressatenkreis Kinder)
  • Wichtig:
    • Identität der verantwortlichen Stelle
    • Zwecke der Datenverarbeitung
    • Hinweis auf sonstige Betroffenenrechte
    • Maßnahmen zur Erleichterung der Ausübung der Betroffenenrechte treffen

BETROFFENENRECHTE

Auskunftsrecht Art. 15: großteils wie bisher in § 34 BDSG

  • Betroffener hat das Recht zu erfahren, welche Daten über seine Person gespeichert sind, die Umstände der Datenverarbeitung, die Verarbeitungszwecke, die Kategorien personenbezogener Daten, Empfänger etc.
  • Anspruchsumfang des Betroffenen wird erweitert auf Auskunft über:
    • Dauer der Speicherung
    • Herkunft der Daten, soweit nicht beim Betroffenen erhoben
    • Vorliegen einer automatisierten Entscheidungsfindung
    • Bestehen eines Rechts auf Berichtigung oder Löschung
    • Beschwerderecht bei einer Aufsichtsbehörde

Herausgabe einer Kopie Art. 15 Abs. 3

  • Der Verantwortliche stellt dem Betroffenen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung
  • Sofern Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden: Trennung der Daten des Betroffenen von denen Dritter!

Recht auf Vergessenwerden Art. 17

  • Zukünftig „neben“ dem klassischen „Recht auf Löschung“
  • Betroffener kann verlangen, dass seine personenbezogenen Daten unverzüglich gelöscht werden und deren Weiterverbreitung unterlassen wird
  • Voraussetzungen:
    • Wegfall des Zwecks
    • Widerruf der Einwilligung
    • Einlegung eines Widerspruchs
    • Unvereinbarkeit mit der Verordnung
    • Der Verantwortliche muss Dritten die personenbezogene Daten öffentlich gemacht haben (über soziale Netzwerke, Suchmaschine etc.)
  • Umsetzungsbedarfe in Unternehmen
    • Dritten mitteilen, dass ein Betroffener die Löschung von Daten verlangt
    • alle vertretbaren Schritte, auch technischer Art, unternehmen, um diese Löschpflicht umzusetzen
    • Genaue Protokollierung der Datenweitergabe bzw. Veröffentlichung
    • ggf. Löschverfahren umsetzen

Datenübertragbarkeit: Art. 20

  • Der Betroffene hat das Recht, eine elektronische Kopie seiner personenbezogenen Daten zu erhalten.
  • Voraussetzungen
    • bei jeder automatisierten Verarbeitung personenbezogener Daten
    • auf der Basis einer Einwilligung oder einer Vertragsbeziehung mit dem Betroffenen
    • Auf Verlangen des Betroffenen direkt von einem zum anderen Verantwortlichen
    • soweit technisch machbar
  • Umsetzungsbedarfe in Unternehmen
    • Datenmigration u. U. erforderlich
    • ggf. Schnittstellen zu anderen Systemen bzw. Anbietern umsetzen (zweifelhaft, wie umzusetzen!)
    • Datensicherheitsmaßnahmen erforderlich
    • Sicherung der Übertragungswege (Verschlüsselung etc.)
    • Einheitliche Datenformate bzw. Standards bisher nicht vorhanden
    • Trennung der Daten des Betroffenen von Daten Dritter

PRIVACY BY DESIGN (PBD)

Generelle Prinzipien

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit
  • Unverkettbarkeit
  • Transparenz
  • Widerspruchsmöglichkeit
  • Intervention

Technische Prinzipien

  • MINIMIZE = Datensparsamkeit als oberstes Ziel
  • HIDE = Verbergen vermeidet Missbrauch
  • SEPARATE = Personenbezogene Daten aufteilen und in verschiedenen „Containern“ ablegen
  • AGGREGATE = Anonymität des Einzelnen in der Masse

Organisatorische Prinzipien

  • INFORM = Nutzer soll volle Transparenz erhalten
  • CONTROL = Nutzer bleibt Herr seiner Daten
  • ENFORCE = Alle Dokumente sind zugänglich (Audits, Erklärungen, etc)
  • DEMONSTRATE = Nachweis, daß man sich auch an die Dokumente hält

Privacy by Design als Industriestandard: ISO 29100

  • Datenschutzfreundlichen Rahmenbedingungen
  • Regelungen zu:
    • Einwilligung / Auswahl
    • Zweckbindung
    • Datenerhebungsbeschränkungen / Datenminimierung
    • Nutzungs-, Speicherungs- und Offenlegungsbeschränkungen
    • Sorgfalt / Qualität / Transparenz
    • Intervenierbarkeit
    • Verantwortlichkeit
    • Informationssicherheit
    • Datenschutzcompliance

ZUSÄTZLICHE ANFORDERUNGEN ITK-VERANTWORTLICHE: ART. 35, 36

Anwendungsfälle

  • Für Datenverarbeitungen mit erheblichen Auswirkungen auf Betroffenenrechte insb. bei großer Zahl Betroffener
  • Bei systematisierter elektronischer Erfassung und Bewertung einer Person inkl. Profiling
  • Bei umfangreicher Verarbeitung besonderer Datenkategorien und Straftaten
  • Ahndung systematischer, weiträumiger Überwachung öffentlicher Bereiche

Datenschutzfolgenabschätzung: Inhaltliche Mindestanforderungen Art.35 Abs.7

  • Systematische Beschreibung der Verarbeitung und Verarbeitungszwecke
  • Darstellung des berechtigen Interesses des Verarbeitungsverantwortlichen
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Verwendungszweck
  • Bewertung der Risiken für die Rechte und Freiheit der Betroffenen
  • Vorgesehene Maßnahmen (Sicherheitsvorkehrungen und Verfahren) inkl. Garantien zur nachweislichen Risikovermeidung/-minimierung
  • ggf. Standpunkt der Betroffenen oder ihrer Vertreter einholen (Fahrgastverbände, Betriebsräte…)
  • Umsetzung Datenschutzfolgenabschätzung
    • Identifizieren der Projektbeteiligten und deren Einbeziehung
    • Identifizieren der Risiken Risikoanalyse
    • Identifizieren von Lösungen und Formalisierung der Empfehlungen
    • Implementierung der Empfehlungen
    • Review und Audit der Implementierungen
    • Privacy by Design - Stand der Technik

ANONYME KOMMUNIKATION

  • Ohne Hinterlassen von Metadaten (IP-Adressen Teilnehmer, Dauer, etc)

Zero-Knowledge-Proof

Beim Zero-Knowledge-Protokoll kommunizieren zwei Parteien miteinander. Die eine Partei (üblicherweise „Beweiser“ genannt) überzeugt die andere Partei (üblicherweise „Verífizierer“ genannt) mit einer auseichenden Wahrscheinlichkeit davon, daß er ein Geheimnis kennt, ohne dabei Informationen über das Geheimnis selbst preiszugeben

Selective disclosure credentials

  • System, welches die verschiedensten Personenmerkmale gespeichert hat
  • Gibt nur kontextbezogene Informationen (z.B. ja, Nutzer ist über 18)
  • Gibt nie alle Informationen auf einmal preis

Homomorphe Verschlüsselung, Secure Multi-Party-Computation

  • Bei Homomorpher Verschlüsselung ist es möglich, Operationen auf verschlüsselte Daten auszuführen, die sich auch auf die unverschlüsselten Daten auswirken
  • Bei SMP soll am Ende jeder Operation jeder der Teilnehmer ein korrektes Ergebnis erhalten, ohne die Eingaben der anderen zu erfahren

ZUSAMMENFASSUNG: WICHTIGSTE ÄNDERUNGEN DURCH DSGVO

  • Drastische erhöhte Bußgelder
  • Deutlich erweiterte zivilrechtliche Haftung
  • Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr
  • Stellung des Datenschutzbeauftragten gestärkt
  • zusätzliche Verantwortung und Haftung
  • Stark erweiterte Dokumentations- und Nachweispflichten
  • Datenschutzfolgenabschätzung (DFA/RFA) statt Vorabkontrolle
  • weitgehende Prüf- und Abstimmungspflichten
  • Risikobasierter Datenschutz
  • Globale bzw. extraterritoriale Anwendung der DSGVO möglich
  • Anwendungsvorgang der DSGVO: Vorrang statt Auffangregelung
  • Massiv erweitere Transparenzanforderungen
  • Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen
  • Erweiterte Melde und Benachrichtigungspflichten bei Datenschutzverstößen
  • Kopplungsverbot bei Einwilligung (nie auf “andere” Daten, nur die “eingewilligten”)

AKTUELLES BEISPIEL: FOTOGRAPHIE UND DSGVO

Problemstellung

Sowohl im Urlaub als auch bei der so genannten Street Fotografie und auch beim Gruppen-Selfie auf der Party kann die Frage auftauchen, wann und wen man fotografieren darf

Genereller Schutz

  • Im öffentlichen Raum viele Objekte durch das Urheberrecht geschützt
  • § 2 Urhebergesetz (UrhG): zB “Werke der bildenden Künste einschließlich der Werke der Baukunst” wie Statuen oder Gebäude
  • Dürfen in dert Regel nicht ohne Weiteres fotografiert (=reproduziert) und öffentlich wiedergegeben werden

Ausnahmeregelung “Panoramafreiheit”

  • Erlaubt in § 59 UrhG, “Werke, die sich bleibend an öffentlichen Wegen, Straßen oder Plätzen befinden, mit Mitteln der Malerei oder Graphik, durch Lichtbild oder durch Film zu vervielfältigen, zu verbreiten und öffentlich wiederzugeben
  • Damit dürfen beispielsweise Gebäude ohne Genehmigung fotografiert und die Fotos online eingestellt (=veröffentlicht) werden

Rück-Ausnahme

  • Handelt es sich um keine bleibenden, sondern nur zeitweise zur Schau gestellten Werke, muss eine Lizenz vom Urheber eingeholt werden
  • Beispiele:
    • Ausstellungen in Schaufenstern
    • Ausstellungen auf öffentlichen Plätzen (z.B. Verhüllung Reichstag durch den Künstler Christo)

Ansatz wiederum die so genannte “Schöpfungshöhe”

  • Nach § 2 UrhG nur für “persönlich geistige Schöpfungen” also menschliche Erzeugnisse, welche “durch Inhalte oder durch ihre Form oder durch die Verbindung von Inhalt und Form etwas Neues und Eigentümliches darstellen”
  • Schöpfungshöhe in der Praxis schnell erreicht
  • im Zweifel immer den Rechteinhaber ausfindig machen und eine Lizenz einholen

Marken und Logos

  • Sofern Fotos von Marken- und Logos für den nicht-gewerblichen Bereich abgebildet werden, ist das Fotografieren von Markenprodukten oder Logos auf Häuserfassaden unproblematisch.
  • Für die rein private Nutzung damit keine Besonderheiten zu beachten

Ort der Fotoaufnahme

Werk muss frei einsehbar sein

  • Sobald man sich von öffentlichen Plätzen entfernt und etwa auf Privatgrundstücke ausweicht, ist eine Erlaubnis erforderlich
  • Auch Fotografieren unter Verwendung von Leitern, Drohnen oder bei Entfernen von Blickschutzen, um eine bessere Sicht auf das Werk zu erhalten, kann einen Urheberrechtsverstoß darstellen

Gebäude generell nur von außen

  • In Innenräumen wie etwa Treppenhäusern gilt das Hausrecht und das Fotografieren ist ohne Erlaubnis in der Regel nicht möglich
  • Bei der Nutzung für Privatzwecke gibt es oft Ausnahmen, wie etwa in öffentlichen zugänglichen Bereichen von Bahnhöfen – sofern die eigene Sicherheit oder die anderer nicht gefährdet wird
  • Anders zB auf Theateraufführungen und Konzerten: hier sind Fotoaufnahmen in der Regel vertraglich ausgeschlossen

Personen fotografieren

Generell

  • beim Anfertigen von Fotos anderer Menschen: DSGVO findet prinzipiell Anwendung

Familienkreis

  • Gilt nicht für „natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“
  • Für Fotografieren von Personen aus der Familie oder Verwandtschaft sowie enge Freunde greift daher meist die so genannte Haushaltsausnahme
  • Nach Haushaltsausnahme ist die DSGVO nicht anwendbar, weitere Erlaubnis damit gar nicht notwendig

Fremde Personen: DSGVO voll anwendbar

  • Jede Datenverarbeitung zunächst verboten
  • Nur wenn eine Ausnahme dieses Verbots in Form einer Rechtsgrundlage besteht, darf fotografiert werden

Fotografieren auf Basis einer datenschutzrechtlichen Einwilligung

Grundprinzip

  • Neben für die Privatfotografie eher seltener in Frage kommenden Rechtsgrundlagen stellt die Einwilligung die gesetzliche Legitimierung mit praktischer Relevanz dar, Personen zu fotografieren.
  • Mit ihr bittet man die abzulichtende Person vorher um Erlaubnis

Einwilligung in mehreren Hinsichten problematisch

  • Einwilligung muss stets informiert erfolgen
  • Dies ist jedoch nur aufwendig zu bewerkstelligen, denn die Person muss ausführlich über die Datenverarbeitung und ihre Rechte als datenschutzrechtlich betroffene Person informiert werden
  • Auch wenn die Einwilligung grundsätzlich formfrei ist und daher auch mündlich gegeben werden kann, ergeben sich Nachweisprobleme
  • Einwilligungen daher optimalerweise schriftlich einholen

Lächeln als Einwilligung zum Fotografieren von Personen?

  • Früher gelebte Regelung: “Lächeln als Einwilligung” in Zeiten der DSGVO nicht mehr zu empfehlen
  • insbesondere bei Planung der Veröffentlichung des Fotos der abgebildeten Person

Einwilligungen stets widerrufbar

  • Fotos von Personen, die ihre Einwilligung widerrufen, sind sofort (!) zu löschen
  • Alternative: so zu bearbeiten, dass sie nicht mehr erkennbar sind

Sonderfall: Kinder fotografieren

Minderjährige genießen besonderen gesetzlichen Schutz

  • Kinder unter 16 Jahren dürfen nur mit vorheriger Einwilligung ihrer gesetzlichen Vertreter fotografiert werden
  • Ab 16 Jahren reicht allein die Einwilligung des Kindes aus
  • Nachträgliche Erlaubnis genügt nicht

Fotos teilen / veröffentlichen

Teilen vs. Veröffentlichen

  • Datenschutzrecht grundsätzlich zu beachten
  • In vielen Fällen greift die Haushaltsausnahme
    • Was an rechtskonform erstellten Fotos im Familien- und Freundeskreis geteilt wird, ist daher in der Regel unproblematisch
    • Sobald Fotos auch aus dem engsten Familienkreis derart verfügbar gemacht werden, dass diese der Öffentlichkeit zugänglich sind, gilt dies nicht mehr als ausschließlich persönliche oder familiäre Nutzung
    • Dann DSGVO wieder voll anwendbar und Rechtsgrundlage wird benötigt

Veröffentlichung

  • Als veröffentlicht gilt ein Foto, wenn es einem undefinierbaren Personenkreis zugänglich gemacht wird
  • Dies ist der Fall, wenn es für fremde Personen einsehbar oder außerhalb eines passwortgeschützten Bereichs eingestellt wird und das Foto beispielsweise über eine Google-Suche aufgerufen werden kann
  • Dies beinhaltet also auch das Einstellen solcher Fotos auf der eigenen Homepage, sofern diese für jedermann aufrufbar ist
  • Falls Fotos von fremden Personen veröffentlicht werden sollen, müssen sich beispielsweise Einwilligungen dieser auch auf die Veröffentlichung erstrecken

Personen als „Beiwerk“

Kunsturheberrechtsgesetz

  • Noch nicht abschließend geklärt ist, wann Fotos von Personen, die nur einen unwesentlichen Bestandteil des Fotos einnehmen, also sogenanntes Beiwerk sind, ohne Weiteres veröffentlicht werden dürfen
  • Nach Paragraf 23 Kunsturheberrechtsgesetz (KUG) ist grundsätzlich eine Ausnahmen zur Einwilligung moeglich
  • So wäre es hiernach möglich, „Bilder von Versammlungen“, „Bildnisse aus dem Bereich der Zeitgeschichte“ sowie „Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen“ ohne Einwilligung der betreffenden Personen zu veröffentlichen

Aktuelle rechtliche Lage

  • Der Bundesgerichtshof hat bisher das KUG gegenüber der DSGVO für vorrangig anwendbar erklärt, allerdings betrifft dies nur den journalistischen Bereich
  • Bis dato steht eine Entscheidung aus, ob diese Regelung auch für die gewerbliche und auch nicht-gewerbliche Fotonutzung Anwendung findet
  • Letztlich ist aber immer im Einzelfall zu entscheiden, beispielsweise, ob abgebildete Personen überhaupt identifizierbar sind
  • Für Privatpersonen ist wegen der komplexen Materie jedoch Vorsicht geboten und im Zweifel rechtlicher Rat einzuholen

Quiz Datenschutzrecht

Rechte und Pflichten

Frage 1: Ein Online-Shop möchte die E-Mail-Adressen seiner Kunden für Werbezwecke nutzen. Welche Rechtsgrundlage der DSGVO ist hier relevant?

a) Vertrag
b) Berechtigtes Interesse
c) Einwilligung
d) Gesetzliche Verpflichtung

Frage 2: Ein Unternehmen beauftragt einen externen Dienstleister mit der Lohnbuchhaltung. Welche Pflichten hat das Unternehmen im Rahmen der Auftragsverarbeitung?

a) Auswahl eines zuverlässigen Dienstleisters mit Fachwissen und Ressourcen
b) Schriftliche Vereinbarung mit dem Dienstleister über die Datenverarbeitung
c) Kontrolle der Einhaltung der Datenschutzbestimmungen durch den Dienstleister
d) Alle oben genannten.

Frage 3: Ein Betroffener möchte von einem Unternehmen wissen, welche Daten über ihn gespeichert sind. Welches Recht kann er geltend machen?

a) Recht auf Vergessenwerden
b) Auskunftsrecht
c) Recht auf Datenübertragbarkeit
d) Recht auf Widerspruch

Fotografie und DSGVO

Frage 4: Sie machen im Urlaub ein Foto von einer Sehenswürdigkeit, auf dem zufällig auch andere Touristen zu sehen sind. Dürfen Sie dieses Foto auf Ihrer privaten Webseite veröffentlichen?

a) Ja, immer.
b) Ja, aber nur mit Einwilligung der abgebildeten Personen.
c) Nur, wenn die Personen nicht identifizierbar sind.
d) Nein, die Veröffentlichung ist in jedem Fall verboten.

Frage 5: Dürfen Sie Fotos von Kindern auf einem öffentlichen Spielplatz machen und diese auf Ihrer privaten Facebook-Seite posten?

a) Ja, immer.
b) Ja, aber nur mit Einwilligung der Eltern.
c) Nur, wenn die Kinder nicht identifizierbar sind.
d) Nein, die Veröffentlichung ist in jedem Fall verboten.

Privacy by Design

Frage 6: Ein Softwareunternehmen entwickelt eine neue App. Was sollte es im Sinne von "Privacy by Design" beachten?

a) Die App sollte so wenig Daten wie möglich erheben.
b) Standardmäßig sollten nur die notwendigsten Datenschutz-Einstellungen aktiviert sein.
c) Die Nutzer sollten transparent über die Datenverarbeitung informiert werden.
d) Alle oben genannten.

Sanktionen

Frage 7: Ein Unternehmen versendet Werbe-E-Mails an seine Kunden, ohne deren Einwilligung einzuholen. Welche Sanktionen drohen?

a) Verwarnung durch die Datenschutzbehörde
b) Geldbuße bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
c) Schadensersatzansprüche der Betroffenen
d) Alle oben genannten.

IT-bezogene Quizfragen zur DSGVO

Technische und Organisatorische Maßnahmen (TOM)

Frage 1: Welche der folgenden Maßnahmen sind Beispiele für technische und organisatorische Maßnahmen (TOM) im Sinne der DSGVO?

a) Einsatz von Firewalls und Antivirensoftware
b) Regelmäßige Schulungen der Mitarbeiter zum Datenschutz
c) Verschlüsselung von personenbezogenen Daten
d) Alle oben genannten

Frage 2: Ein Unternehmen speichert Kundendaten in einer Cloud-Umgebung. Welche Aspekte sind bei der Auswahl eines Cloud-Anbieters aus Datenschutzsicht besonders relevant?

a) Standort der Server und die geltenden Datenschutzbestimmungen
b) Zertifizierungen des Anbieters im Bereich Datenschutz
c) Vertragliche Regelungen zur Auftragsverarbeitung
d) Alle oben genannten

Privacy by Design & Default

Frage 3: Was sind die Kernprinzipien von "Privacy by Design" in der Softwareentwicklung?

a) Datenminimierung und Datensparsamkeit
b) Transparenz und Kontrolle für den Nutzer
c) Einbeziehung des Datenschutzes von Beginn an im Entwicklungsprozess
d) Alle oben genannten

Frage 4: Ein Unternehmen entwickelt eine neue App, die Standortdaten der Nutzer verarbeitet. Welches Vorgehen wäre im Sinne von "Privacy by Default" empfehlenswert?

a) Die Standortverfolgung standardmäßig aktivieren und den Nutzern die Möglichkeit geben, sie zu deaktivieren.
b) Die Standortverfolgung standardmäßig deaktivieren und den Nutzern die Möglichkeit geben, sie bei Bedarf zu aktivieren.
c) Die Standortdaten aller Nutzer permanent speichern, um personalisierte Angebote zu erstellen.
d) Die Standortdaten an Dritte weitergeben, um zusätzliche Einnahmen zu generieren.

Anonyme Kommunikation und IT-Sicherheit

Frage 5: Welche der folgenden Technologien können zur Anonymisierung von Kommunikation im Internet beitragen?

a) Zero-Knowledge-Proof
b) Homomorphe Verschlüsselung
c) VPN-Verbindungen
d) Alle oben genannten

Frage 6: Welche der folgenden Maßnahmen sind relevant für die IT-Sicherheit im Kontext der DSGVO?

a) Regelmäßige Updates von Software und Betriebssystemen
b) Einsatz von Intrusion Detection Systemen (IDS) zur Erkennung von Angriffen
c) Implementierung von Zwei-Faktor-Authentifizierung
d) Alle oben genannten

Graph View

Backlinks