Ist das Kunsturhebergesetz noch anwendbar?

Mit der Datenschutzgrundverordnung (DSGVO) kam nun im Mai 2018 das Problem auf, ob das Kunsturhebergesetz neben der DSGVO anwendbar bleibt. Das OLG Köln (15 W 27/18) entschied, dass es teilweise anwendbar ist.

Grundproblematik

Ein besonderes Datenschutzproblem stellt das Recht am eigenen Bild dar. Viele übersehen, dass es bei Abbildungen von natürlichen Personen um personenbezogene Daten im Sinne des Datenschutzrechts geht. Eine Person wird durch ein Foto, eine Zeichnung etc. identifizierbar und dadurch wird das Datenschutzrecht anwendbar.

Somit tritt auch der Grundsatz “Verbot mit Erlaubnisvorbehalt” in Kraft. Damit ist eine Verarbeitung von Daten grundsätzlich erstmal verboten, es sei denn, es liegt eine Einwilligung vor oder es besteht ein gesetzlich geregelter Erlaubnistatbestand.

Vor Wirksamwerden der DSGVO war dieser Grundsatz im Kunsturhebergesetz (KUG) geregelt. Das KUG ging dem BDSG-alt vor.

Das Kunsturhebergesetz

Die §§ 22, 23 KUG beinhalten Vorschriften für eine Veröffentlichung von Personenbildnissen. Dabei stellt § 22 S.1 KUG ebenfalls den Grundsatz des Verbots mit Erlaubnisvorbehalt auf. Nach erteilter Einwilligung wäre auch hier eine Verarbeitung möglich. Der Unterschied beim KUG liegt darin, dass eine Einwilligung i.S.d. § 22 KUG bei Landschafts-, Versammlungs- oder bestimmten Kunstbildern und Bildnissen aus dem Bereich der Zeitgeschichte entbehrlich sein soll, wenn nicht das Interesse des Betroffenen dieser Verarbeitung entgegensteht. Hier war immer eine Abwägung zwischen den Interessen des Abbildenden und Abgebildeten vorzunehmen.

Hat sich diese Handhabung mit dem Wirksamwerden der DSGVO geändert?

Datenschutz und das Recht am eigenen Bild

Mit der DSGVO hat es sich insoweit geändert, dass nun kein Vorrang des KUG mehr vorliegt. Durch sogenannte Öffnungsklauseln können Mitgliedsstaaten mit eigenen Vorschriften gemäß Art. 85 DSGVO handeln.

  1. Die Mitgliedstaaten bringen durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang.
  2. Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.

Das OLG Köln musste nun entscheiden, ob das KUG eine Vorschrift im Sinne des Art. 85 Abs. 1 DSGVO darstellt.

KUG anwendbar

Im journalistischen Bereich sei eine Anwendung des KUG durchführbar, da eine Abwägung einerseits zwischen dem Datenschutz  und andererseits der Äußerungs- und Kommunikationsfreiheit nach § 23 Abs. 2 Kunsturhebergesetz stattfindet.

Fraglich bleibt da aber weiter die Anwendung des KUG für die Werbe- und Öffentlichkeitsarbeit von Unternehmen.

DSGVO oder KUG?

Es stellt sich die Frage, ob die Öffnungsklausel des Art. 85 DSGVO Sachverhalte wie die Werbe- und Öffentlichkeitsarbeiten von Unternehmen erfasst. Nach dem Wortlaut des Erwägungsgrundes 153 zur DSGVO soll sich Art. 85 Abs. 2 DSGVO also die Möglichkeit der Abweichung vom Verordnungstext, nur auf journalistische, wissenschaftliche, literarische oder künstlerische Zwecke beschränken. Für weitere Möglichkeiten bestehe daher kein weiterer Raum. Danach wäre für Werbe- und Öffentlichkeitsmaßnahmen von Unternehmen die DSGVO der rechtliche Rahmen. Die Einholung von Einwilligungen und die Anforderungen an Erlaubnistatbestände würden dann an Art. 6 und 7 DSGVO gemessen werden.

Dadurch wird eine Rechtsunsicherheit generiert, da es bislang keine Erfahrungen für die Praxis gibt und die über Jahre von BGH, EuGH und EGMR entwickelte Rechtsprechung zum Kunsturhebergesetz keine Anwendung findet.

Ergebnis

Um rechtssicher zu sein, sollten Unternehmen, die Bildnisse in Werbung und Öffentlichkeitsarbeit nutzen, sich an der DSGVO orientieren. Einwilligungen und Interessensabwägungen werden dabei an den Regelungen der Art. 6, 7 DSGVO gemessen.

 

 

Datenschutzreihe: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO

In den nächsten Wochen beginnen wir mit einer Reihe von Berichten, die sich an den ausgegebenen Kurzpapieren der Datenschutzkonferenz DSK orientieren. Starten werde wir unsere Beiträge mit dem Thema: Verzeichnis von Verarbeitungstätigkeiten (kurz: Verzeichnisse) nach Art. 30 DS-GVO.

BDSG zu DS-GVO

Grundsätzlich ist festzuhalten, dass jeder Verantwortliche (z.B. Unternehmen, Freiberufler und andere) und nun auch jeder Auftragsverarbeiter zur Führung eines solchen Verzeichnisses verpflichtet ist. Das alte Verfahrensverzeichnis aus dem BDSG wird durch ein schriftliches bzw. elektronisches Verzeichnis aller Verarbeitungstätigkeiten ersetzt. Diese Verzeichnisse betreffen automatisierte und auch nicht – automatisierte Verarbeitungen personenbezogener Daten.

Stellen mit weniger als 250 Mitarbeitern

Das Gesetz sieht für Unternehmen mit weniger als 250 Mitarbeitern keine Pflicht zum Führen der Verzeichnisse. Der Gesetzgeber definiert dazu wie immer Ausnahmen.

Ausnahmen liegen vor, wenn der Verantwortliche und nun auch der Auftragsverarbeiter Verarbeitungen personenbezogener Daten durchführt,

  • die ein Risiko für Rechte und Freiheiten der Betroffenen bedingen, so z.B. Überwachungsmaßnahmen oder
  • die besondere Datenkategorien gemäß Art. 9 DS-GVO wie Gesundheitsdaten oder auch strafrechtliche Verurteilungen und Straftaten nach Art. 10 DS-GVO berühren oder
  • die im häufigsten Fall die nicht nur gelegentliche Verarbeitung von beispielsweise Kunden- oder Beschäftigtendaten betrifft.

Trifft eine dieser Fallgruppen für Sie zu, so sind Sie verpflichtet, diese Verarbeitungsverzeichnisse nach Art. 35 DS-GVO zu führen.

Änderungen zum BDSG

Es bestand bis jetzt nach dem BDSG die Pflicht, ein Verzeichnis für jedermann öffentlich bereit zu halten. Jeder hatte die Möglichkeit, dies anzufordern und eine grundlegende Sicht in die Verarbeitungen eines Unternehmens etc. zu bekommen. Das ist nach der DS-GVO nicht mehr erforderlich.

Auch entfällt die Meldepflicht mancher Unternehmen nach § 4d und § 4e BDSG. Nach der DS-GVO sind Unternehmen nicht mehr verpflichtet, diese Meldungen vorzunehmen.

Inhalt eines Verzeichnisses für Verantwortliche nach Art. 30 Abs. 1 DS-GVO

Nach wie vor müssen die Verzeichnisse wesentliche Angaben wie beispielsweise der Zweck der Verarbeitung oder auch die Kategorien der personenbezogenen Daten bzw. der betroffenen Personen bereithalten. Dies ist nun in Art. 30 Abs. 1 DS-GVO geregelt.

Bereits bestehende Verzeichnisse eines Unternehmens erfordern keine allzu großen Umformulierungen.

Inhalt eines Verzeichnisses für Auftragsverarbeiter nach Art. 30 Abs. 2 DS-GVO

Nach Art. 30 Abs. 2 DS-GVO müssen Auftragsverarbeiter nun im Gegensatz zum BDSG ein Verzeichnis der von ihm im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten erstellen.

Beschreibung der TOMs

Art. 30 Abs. 1 lit. g und Art. 30 Abs. 2 lit. d DS-GVO verlangen, dass Aufsichtsbehörden durch die angehängten technisch-organisatorischen Maßnahmen gemäß Art. 32 Absatz 1 DS-GVO eine erste Rechtmäßigkeitsentscheidung durchführen können. Wie detailliert diese auszufüllen sind, gibt die DS-GVO nicht vor.

Rechenschaftspflicht

Nach der DS-GVO müssen aber noch weitere Dokumentationspflichten erfüllt werden:

  • Vorhandensein von Einwilligungen (Art. 7 Abs. 1)
  • die Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24 Abs. 1)
  • Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7)

Rolle der Verzeichnisse ab dem 25. Mai 

Auch mit der Umstellung auf die DS-GVO werden die Verzeichnisse eine große Rolle in der Rechtfertigung der Verarbeitung der personenbezogenen Daten spielen. Durch sie können einerseits die gesetzlichen Vorgaben überhaupt nur eingehalten werden und andererseits können Unternehmen die Anforderungen der Aufsichtsbehörden nur mit Vorhalten der Verzeichnisse bei einer Kontrolle erfüllen.

 

Falls Sie Fragen haben oder Hilfe beim Ausfüllen der Verarbeitungsverzeichnisse brauchen, dann fragen Sie uns. Wir helfen gerne.

Datenschutz-Folgenabschätzung nach der DSGVO

Die Datenschutzgrundverordnung (DSGVO) nutzt ab dem 25. Mai die Datenschutz-Folgenabschätzung zur Überprüfung von Verarbeitungen. Diese müssen Sie dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten möglicherweise mit Risiko für die Rechte und Freiheiten natürlicher Personen nach Art. 35 Abs. 1 DSGVO zur Folge hat. Die Datenschutz-Folgenabschätzung fordert vor der erstmaligen Einführung eines Datenverarbeitungsverfahrens eine durchgeführte Risikoeinschätzung und eine Dokumentation. Dabei geht es um eine Pflicht zur vorherigen Analyse der Folgen der Datenverarbeitung, welche diese für den Schutz personenbezogener Daten mit sich bringt. Schon jetzt haben Sie die Pflicht, mit der Vorabkontrolle in § 4 d Abs. 5 BDSG bestimmte Verfahren einer Prüfung zu unterziehen.

Warum wird eine Datenschutz-Folgenabschätzung durchgeführt?

Der Grundsatz “privacy by design” führt die Datenschutz-Folgenabschätzung ein. Durch datenschutzfreundliche Technikeinstellungen sollen die Gefahren für die personenbezogenen Daten gemindert werden. Bei der Thematik geht es um das informationelle Selbstbestimmungsrecht der betroffenen Personen. Die Datenschutz-Folgenabschätzung soll somit wie die Vorabkontrolle durch organisatorische Maßnahmen die Risiken für die personenbezogenen Daten mindern.

Sie ist also als Instrument für die Risikoerkennung sowie die Risikobewertung zu werten. Es soll die Risiken für die personenbezogenen Daten der betroffenen Person erkennen, die durch die einzelnen Individuen des Unternehmens in der Nutzung der Techniken entstehen. Durch die Abschätzung können wirksame Maßnahmen entwickelt werden, damit die Gefahren für die Betroffenen möglichst gering sind.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Sie ist stets dann durchführen, wenn das Verfahren für personenbezogene Daten von Betroffenen ausgelegt ist und dabei ein hohes Risiko für deren Rechte und Freiheiten besteht.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese kann durch direkte und indirekte Merkmale wie beispielsweise den Namen, Kontonummer, Adresse oder auch Zugangsdaten bestimmt werden. Der Begriff “personenbezogene Daten” wird dabei sehr weit ausgelegt, um einen möglichst hohen Schutz für die Rechte Betroffener zu erreichen. Je höher ein zu erwartender Schaden ist, desto geringer darf die Eintrittswahrscheinlichkeit nur sein.

Die DSGVO nennt einige Beispiele, in denen die Datenschutz-Folgenabschätzung grundsätzlich zu erfolgen hat.

  1. Systematische und weiträumige Überwachung öffentlich zugänglicher Bereiche
  2. Automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen Folgen für Betroffene
    • Online-Einstellungsverfahren
    • Scoring
    • etc.
  3. Verarbeitung von personenbezogenen Daten über Straftaten und ähnliches
  4. Verarbeitung besonderer Daten nach Art. 9 Abs. 1 DSGVO
    • Gesundheitsdaten
    • genetische Daten
    • Biometrische Daten
    • Zugehörigkeit zu einer Gewerkschaft
    • Religiöse Überzeugung
    • Sexualleben und sexuelle Orientierung
    • Politische Meinung
    • Rassische oder ethnische Herkunft

Die Aufsichtsbehörden haben bereits angekündigt, dass sie Listen veröffentlichen werden, bei denen in jedem Fall eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch ist eine Liste denkbar, in denen in jedem Fall eben keine Datenschutz-Folgenabschätzung durchzuführen wäre.

In jedem Falle sind bestehende Verfahren zu untersuchen, da mit der DSGVO eine erhöhte Dokumentationspflicht einhergeht.

Wie ist die Datenschutz-Folgenabschätzung durchzuführen?

Die Datenschutzgrundverordnung gibt in Art. 35 Abs. 7 DSGVO einen Mindestinhalt zur Datenschutz-Folgenabschätzung vor. Danach legt sie folgende schriftliche zu dokumentierende Schritte fest:

  1. Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  4. Darstellung der geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren zum Schutz der personenbezogenen Daten
  5. sowie gegebenenfalls Einholung des Standpunkts der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge nach Art. 35 Abs.9 DSGVO

Pflicht zur Benachrichtigung der Aufsichtsbehörde

Wenn trotz der durchgeführten Folgenabschätzung und Einleitung von Gegenmaßnahmen potentielle Risiken für die Rechte Betroffener verbleiben, so ist die Aufsichtsbehörde nach Art. 36 Abs.1 DSGVO vor Beginn einer solchen Datenverarbeitung zu benachrichtigen. Bei Missachtung dieser Pflicht kann die Aufsichtsbehörde ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2 % des weltweit erzielten Jahresumsatzes verhängen.

Folgen einer Nichtdurchführung

Wird eine geforderte Datenschutz-Folgenabschätzung überhaupt nicht durchgeführt, so kann dies eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Gesamtjahresumsatzes zur Folge haben.

Kurzzusammenfassung

Mit der Datenschutz-Folgenabschätzung nach der DSGVO führt man die bestehende Vorabkontrolle des BDSG weiter fort. Allerdings wird dabei die Verantwortlichkeit vom Datenschutzbeauftragten auf das Unternehmen bzw. den Verantwortlichen verlagert. Neu ist dabei, dass sämtliche Verarbeitungen dabei betrachtet werden und nicht nur automatisierte Verarbeitungen. Nach Art. 35 Abs. 2 DSGVO ist das Hinzuziehen eines Datenschutzbeauftragten auch weiterhin notwendig.

Wir bieten Ihnen unsere Hilfe als zertifizierte Datenschutzbeauftragte im Bereich der Erfüllung datenschutzrelevanter Aufgaben an. Nehmen Sie einfach Kontakt zu uns auf.

Rechtswidriger Einsatz von Bodycams

Die niedersächsische Datenschutzbeauftragte – Barbara Thiel – ist der Auffassung, dass in dem Pilotversuch der Bodycamnutzung bei der niedersächsischen Polizei eine Rechtsgrundlage fehle. Mit dieser Annahme wäre dieser Pilotversuch rechtswidrig. Diesbezüglich hat Frau Thiel eine förmliche Beanstandung eingereicht, da das Innenministerium den Pilotversuch noch nicht abgebrochen hat.

Was ist eine Bodycam?

Sogenannte Bodycams werden von den Polizisten während des Einsatzes getragen und bieten je nach Modell Ton- und Bildaufnahmen. Diese Bodycams werden meist an der Schulter befestigt und filmen das Gesicht des Gegenübers. Teilweise werden Bodycams auf Brusthöhe platziert.

Vorabkontrolle fehlt

Aus datenschutzrechtlicher Sicht fehle dem ganzen Pilotversuch schon die sog. Vorabkontrolle, die überprüft, ob die Datenverarbeitung angemessen und sicher ist. Diese müsse bei der Einführung einer neuen Technik in jedem Falle vorgenommen werden.

Folgen

Durch die Bodycams entstehen Bildaufnahmen, die einen Eingriff in das informationelle Selbstbestimmungsrecht bilden. Für diesen Eingriff benötigt es natürlich einer gesetzlichen Grundlage. Die Aufnahme der Bodycams von dem Gesicht des Gegenübers stellt einen besonders schwerwiegenden Eingriff in die informationelle Selbstbestimmung des Gefilmten. Infolgedessen wird gerade ein Gesetzesentwurf für den Einsatz der Bodycams diskutiert. Nach Inkrafttreten dieser Regelung dürften Bodycams eingesetzt werden.

Die Entwicklung der Rechtsprechung zum Thema Videoüberwachung bleibt also aus datenschutzrechtlicher Sicht spannend.

Wir halten Sie auf dem Laufenden.