Kurzbeiträge
Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (44): Der ThürLfDI zu Foto- und Filmaufnahmen mit und ohne Einwilligung
Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (ThürLfDI) befasst sich in seinem „Tätigkeitsbericht zum Datenschutz nach der DS-GVO 2018“ (Abschnitt 5.21) ausführlich mit der von ihm festgestellten großen Verunsicherung hinsichtlich der rechtlichen Grundlagen für die Erstellung und auch die anschließende Veröffentlichung von Film- und Fotoaufnahmen, wobei er darauf verweist, dass die Aufsichtsbehörden inzwischen die bei der Handhabe privater Fotoalben oder der Veröffentlichung von Foto- und Filmaufnahmen durch Fotografen oder Vereine zu beachtenden Vorgaben praxisnah beschrieben haben. Seine diesbezüglichen Hinweise werden hier zusammengefasst dargestellt.
I. Grundsätzliches
1. Fotos sind regelmäßig personenbezogene Daten
Der LfDI macht zunächst deutlich, dass es sich bei Fotos auch dann um personenbezogene Daten handelt, wenn die fotografierte Person dem Fotografen nicht bekannt ist oder bei Aufnahmen, auf denen viele Personen zu sehen sind, diese nicht identifiziert oder kontaktiert werden können.
„Personenbezogene Daten liegen gemäß Art. 4 Ziff. 1 DSGVO vor, wenn sie sich auf „eine identifizierbare natürliche Person beziehen“. Identifizierbar ist eine Person, wenn diese „direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“. Eine solche Identifizierbarkeit sei hier gegeben. An dieser prinzipiellen Identifizierbarkeit ändere auch der Umstand nichts, dass der einzelne Fotograf in den meisten Fällen keine Zuordnung einzelner Gesichter zu anderen Daten dieser Personen herstellt bzw. herstellen kann. Auf die individuellen Möglichkeiten des einzelnen Fotografen sei bei abstrakter Betrachtung, ob es sich um personenbezogene Daten handelt, nicht abzustellen. Es reiche aus, dass eine Personenbeziehbarkeit der Daten prinzipiell möglich ist, was angesichts der hohen Auflösung von Digitalbildern in Bezug auf Bildaufnahmen und der Verfügbarkeit von Gesichtserkennungssoftware angenommen werden muss. Auch wenn man auf die individuellen Möglichkeiten des einzelnen Fotografen abstellen würde, also einen relativen Begriff der personenbezogenen Daten vertrete, sei es schwierig zu argumentieren, dass körperliche Merkmale einer Person, insbesondere die individuellen Gesichtszüge, wenn sie ausreichend erkennbar sind, nicht geeignet sind, um eine Person eindeutig zu identifizieren. Es handele sich daher bei ausreichend aufgelösten oder auflösbaren Bildaufnahmen, die eine oder mehrere Personen gut erkennbar zeigen, immer um personenbezogene Daten.
Bei der Bewertung der rechtlichen Anforderungen ist dann zunächst zwischen der Erstellung und der Veröffentlichung der Fotoaufnahmen zu unterscheiden. Sodann wird aufgezeigt, dass trotz der automatisierten Erhebung personenbezogener Daten bei zwei Konstellationen die DS-GVO gleichwohl nicht anwendbar ist, und dies, wenn die Verarbeitung unter das Haushaltsprivileg oder das Medienprivileg fällt. Dazu führt der ThürLfDI u.a. wie folgt aus:
2. Das Haushaltsprivileg
Der Anwendungsbereich der DS-GVO greift nur dann, wenn die Erstellung und Verarbeitung von Film- und Fotoaufnahmen nicht ausschließlich persönlichen oder familiären Zwecken dient. Das sogenannte „Haushaltsprivileg“ in Art. 2 Abs. 2 lit. c DS-GVO ermöglicht die Erstellung und Verwendung von Fotos für den privaten und familiären Gebrauch. Urlaubsfotos, Fotoalben und Erinnerungsfotos sind daher weiterhin möglich, ohne die Voraussetzungen, die die DS-GVO für die Datenverarbeitung aufstellt, erfüllen zu müssen. Zu beachten ist hierbei nur, dass diese Ausnahme einen sehr beschränkten Anwendungsbereich hat. Die Verarbeitung darf keinen Zusammenhang oder Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit haben. Auch bei der Veröffentlichung solcher Aufnahmen ist Vorsicht geboten. Sollen die Fotos in einem sozialen Netzwerk eingestellt werden, ist bei einer durch Nutzernamen und Passwort geschützten Gruppe oder Forum auf einer Webseite davon auszugehen, dass es gerade noch unter das Haushaltsprivileg fällt, da dieses restriktiv, also sehr eng ausgelegt wird. Wenn die Aufnahmen jedoch einem unbeschränkten Personenkreis zugänglich gemacht werden, beispielsweise durch die Bereitstellung der Aufnahmen auf einer frei zugänglichen Webseite, fällt dies nicht mehr unter das Haushaltsprivileg, da es sich dann nicht mehr um eine rein familiäre oder persönliche Tätigkeit handelt. Hier findet die DS-GVO mit allen Voraussetzungen Anwendung.
3. Das Medienprivileg
Erfolgt die Erstellung und Veröffentlichung zu journalistisch-redaktionellen Zwecken, steht dem Verantwortlichen das sogenannte „Medienprivileg“ zur Seite. Für diesen Fall ist in Art. 85 Abs. 1 der DS-GVO den Mitgliedsstaaten die Möglichkeit eingeräumt worden, nationale Regelungen zu treffen, um den Datenschutz und das Recht auf freie Meinungsäußerung und Informationsfreiheit sowie der Verarbeitung von Daten für journalistische Zwecke in Einklang zu bringen. Eine derartige Regelung findet sich für öffentliche und nicht-öffentliche Stellen in Thüringen in § 25 Thüringer Datenschutzgesetz (ThürDSG). Danach sind Unternehmen sowie Hilfsunternehmen der Presse weitgehend frei von datenschutzrechtlichen Vorgaben für die Zulässigkeit der Erhebung und Verarbeitung der Daten. In diesem Fall werden nur die Art. 5 Abs. 1 lit. f sowie die Art. 24, 32 und 33 DS-GVO für anwendbar erklärt. Damit wird dem Recht auf freie Meinungsäußerung und Informationszugang Genüge getan. Zu beachten bleiben allerdings weiterhin das Thüringer Pressegesetz, das allgemeine Persönlichkeitsrecht des Einzelnen und das Urheberrecht. Eine Entbindung von den Vorgaben der DS-GVO, geeignete technische und organisatorische Maßnahmen zur Datensicherheit zu treffen, gibt es aber auch für die journalistische Tätigkeit nicht.
II. Das Herstellen und Verwenden von Fotoaufnahmen
Sodann greift der ThürLfDI die Anwendung der DS-GVO bei der Herstellung und Verwendung von Fotos auf, wobei er folgende Fallkonstellationen unterscheidet:
1. Konkrete Personen oder überschaubare Gruppen als Betroffene
Die Herstellung des Bildes
Die Erstellung von Fotos, auf denen die abgebildete Person im Vordergrund steht, ist ausschließlich nach Art. 6 Abs. 1 DS-GVO zu bewerten. Für die Erstellung der Fotos kann auch nicht das Kunsturhebergesetz (KUG) herangezogen werden, da sich dessen Anwendungsbereich allein auf die Veröffentlichung, also die Verbreitung und öffentliche Zurschaustellung von Fotos bezieht. Die Erstellung von Fotoaufnahmen dieser Art ist daher zulässig, wenn sie zur Erfüllung eines Vertrages notwendig ist. Das ist beispielsweise bei einem beauftragten Fotografen für eine Hochzeit der Fall, wenn er das Brautpaar ablichtet, von dem er beauftragt wurde. Die Fotos des Vertragspartners, hier des Brautpaares, sind aufgrund des bestehenden Werkvertrages mit dem Fotografen gemäß Art. 6 Abs. 1 S. 1 lit. b DS-GVO zulässig erstellt.
Wenn der Fotograf während der Feier auch Gäste ablichtet oder Gäste zusammen mit dem Brautpaar fotografiert, kann er sich nicht mehr allein auf seine Vertragserfüllung berufen. Als rechtliche Grundlagen kommen hier aber die Einwilligung oder ein berechtigtes Interesse des Verantwortlichen oder eines Dritten gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO in Frage. Hier haben das Brautpaar (Dokumentation der Veranstaltung) und auch der Fotograf (Berufs- und Kunstfreiheit) ein berechtigtes Interesse an der Erstellung der Fotos, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten Betroffener überwiegen. Bei der Prüfung der Interessenlage sind auch die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen, die im Falle einer Einladung zu einer Hochzeitsfeier davon ausgehen können, dass zu diesem Anlass auch Fotos erstellt werden. Dies ist ein gebräuchlicher und allseits akzeptierter Umstand. Auch bei Teilnahme an einer anderen Veranstaltung auf Einladung eines Veranstalters geht die Erwartungshaltung der Gäste und auch des Veranstalters zumeist dahin, dass eine Dokumentation der Veranstaltung auch anhand von Fotografien stattfindet. Anders wäre die Interessenlage zu bewerten, wenn die Aufnahmen verdeckt oder heimlich erstellt werden würden, die Fotos die Intimsphäre des Abgebildeten erfassen oder die Aufnahmen diskreditierend sind oder die Gefahr einer Diskriminierung bergen.
Von einer überwiegenden Schutzbedürftigkeit der Betroffenen ist auch bei Aufnahmen von Kindern auszugehen, weshalb hier ein Rückgriff auf ein berechtigtes Interesse wohl sehr genau zu prüfen ist und in solchen Fällen grundsätzlich eine Einwilligung für die Erstellung von Bildern bei den Sorgeberechtigten einzuholen ist. Die Interessenabwägung wird auch im Fall von Fotos, die Rückschlüsse auf besondere Kategorien personenbezogener Daten zulassen, also u.a. Religion, Gesundheit, Sexualleben und sexuelle Orientierung, immer zu Gunsten der betroffenen Person ausgehen. Für diese Fälle ist dann auch eine Einwilligung in die Erstellung der Aufnahme gemäß Art. 7 DS-GVO notwendig.
Die Verwendung des Bildes
Das größte Interesse der Verantwortlichen liegt jedoch nicht in der Erstellung der Fotos, sondern in der anschließenden Verarbeitung oder Veröffentlichung der Bilder. Dies findet zumeist auf Webseiten statt oder in Informationsmaterialien wie Vereinszeitschriften. Für die Verbreitung und öffentliche Zurschaustellung von Fotos war bisher auf §§ 22 f. des Kunsturhebergesetzes (KUG) abzustellen. Ob das Kunsturhebergesetz neben der Datenschutz-Grundverordnung anwendbar ist oder bleibt, ist derzeit noch mangels entsprechender Öffnungsklausel in der DS-GVO umstritten (vgl. aber Urteil LG Frankfurt, 13.09.2018, 2-03O283/18 u.a.). Eine Anwendung kann sich nur aus Art. 85 Abs. 1 DS-GVO im Hinblick auf die Verarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken ergeben.
Ungeachtet dieser Diskussion ist das Ergebnis in der praktischen Auswirkung mit und ohne direkte Anwendung des KUG aber ähnlich, da die Wertungen des KUG im Rahmen der Interessensabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO einfließen. Das KUG regelt insbesondere drei Fälle, bei denen es keiner Einwilligung der abgebildeten Person für die Verbreitung der Aufnahmen bedarf. Dies gilt für Bildnisse der Zeitgeschichte, Bilder, bei denen Personen nur als Beiwerk neben einer Landschaft oder einer Örtlichkeit erscheinen, und für Bilder von Versammlungen, Aufzügen u.Ä., an denen die abgebildete Person teilgenommen hat. Wenn das KUG nicht unmittelbar anwendbar wäre, würde die Verbreitung derartiger Aufnahmen nach Art. 6 Abs. 1 S. 1 lit. f zu prüfen sein, denn auch hinsichtlich der Veröffentlichung von Fotos ist die weitere Verwendung an eine Rechtsgrundlage gebunden. Hier stehen sowohl die Einwilligung sowie Art. 6 Abs. 1 S. 1 lit. f DS-GVO, also berechtigte Interessen, zur Verfügung. Während aus Sicht des Verantwortlichen eine Einwilligung immer die „schlechtere“ Verarbeitungsgrundlage ist, weil sie jederzeit widerrufen werden kann, ist im Rahmen von Veröffentlichungen oftmals zwingend auf diese zurückzugreifen. Hinsichtlich ihrer Voraussetzungen wird auf das WP259 (Guidelines on Consent) der Art. 29 Gruppe verwiesen (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051), das nun auch in deutscher Sprache vorliegt (https://www.tlfdi.de/tlfdi/europa/artikel29gruppe/).
Erforderlichkeit einer Einwilligung
Sofern eine Einwilligung einzuholen ist, muss dies vor der Fotoaufnahme geschehen. Dies kann auch mündlich erfolgen, allerdings muss der Verantwortliche gemäß Art. 7 Abs. 1 DS-GVO im Zweifel das Vorliegen einer Einwilligung nachweisen können. Es wird daher empfohlen, die Einwilligungen wenigstens in Textform einzuholen. Es muss vor der Einwilligung immer über wesentliche Umstände informiert werden, auf die sich die Einwilligung bezieht, vor allem:
die Identität des für die Verarbeitung Verantwortlichen,
für welchen Zweck die Fotos angefertigt werden,
ob und, wenn ja, wo eine Veröffentlichung geplant ist,
an wen sich der Betroffene bei Datenschutzfragen (z.B. Widerspruch, Löschung) wenden kann,
dass die betroffene Person das Recht hat, ihre Einwilligung jederzeit zu widerrufen und dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird (Art. 7 Abs. 3 DSGVO).
Der Grund für den Rückgriff auf die Einwilligung im Rahmen von Veröffentlichungen liegt in der oftmals zu Lasten der Verantwortlichen ausgehenden Interessensabwägung im Rahmen des Art. 6 Abs. 1 S. 1 lit. f. DS-GVO. Es stehen sich hier die Interessen des Verantwortlichen, z.B. an der Information und Werbung für Vereinsaktivitäten, und die der betroffenen Personen gegenüber. Die Veröffentlichung hat grundsätzlich das Potential, einen schweren Eingriff in die Rechte des Betroffenen darzustellen, weil die Bilder des Betroffenen einer unüberschaubaren Anzahl an Personen zum Zugriff bereitstehen und einer relativ schwer bis nicht kontrollierbaren Vervielfältigung ausgesetzt werden.
2. Aufnahmen von unüberschaubarer Menge an Personen
Anders beurteilt der ThürLfDI die Verwertung von Aufnahmen, auf denen sich eine Vielzahl von Personen häufig als sogenanntes Beiwerk oder im Rahmen von Übersichtsaufnahmen befinden, z.B. Zuschauerränge bei Sportveranstaltungen, Publikumsaufnahmen im Hintergrund künstlerischer Darbietungen, da auf der einen Seite auch bei übersichtsartigen Bildaufnahmen nahezu immer personenbeziehbare Daten vorlägen; es auf der anderen Seite aber regelmäßig nicht möglich sei, jede einzelne Person zu identifizieren oder zu kontaktieren. Da somit die Einholung einer Einwilligung oder die Information der Abgelichteten über ihre Rechte nahezu unmöglich sei, könne die Rechtmäßigkeit der Verarbeitung in Form der Erhebung nur nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO zur Wahrnehmung berechtigter Interessen erfolgen, sofern die dort genannten Voraussetzungen vorliegen.
Auszugehen sei dabei davon, dass regelmäßig keine schutzwürdigen Interessen der Bildherstellung und Nutzung entgegenstehen, wenn eine Ansammlung von Personen dargestellt wird, ohne dass eine Person oder wenige Personen im Fokus des Motivs stehen, weil dann nur ihre Sozialsphäre, nicht aber ihre Persönlichkeitssphäre betroffen sei. Bei Kindern und Jugendlichen müsse diese Abwägung jedoch zugunsten der Kinder ausfallen, so dass schon die Erstellung solcher Fotografien nur auf eine Einwilligung der sorgeberechtigten Person/en gestützt werden könne.
III. Informationspflichten
Der ThürLfDI zeigt sodann auf, dass auch bzw. insbesondere, wenn die Verarbeitung der Fotos ohne Einwilligung erfolgt, grundsätzlich die vorherige Information des Abgebildeten erforderlich ist. Die Informationspflichten nach der DS-GVO (Art. 12 ff) seien umfassend und grundsätzlich gegenüber jedem Abgebildeten zu erfüllen. Hierzu sind u.a. Angaben hinsichtlich des Zweckes, für den die Fotos erstellt werden, notwendig und die Angabe zu dem hierzu berechtigten Interesse. Der zur Abbildung Vorgesehene muss Angaben dazu erhalten, ob und wo eine Veröffentlichung der Fotos geplant ist und an wen er sich hinsichtlich datenschutzrechtlicher Fragestellungen wenden kann.
Hierbei gilt jedoch eine Ausnahme (Art. 11 Abs. 1 DSGVO), wenn eine größere Menschenmenge ohne erkennbaren Fokus abgebildet ist. Ein Verantwortlicher ist nämlich nicht verpflichtet, zur bloßen Einhaltung der DS-GVO, zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren, falls für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich ist. Keine Anwendung soll Art. 11 Abs. 1 DS-GVO allerdings bei kleineren, überschaubaren Personengruppen oder gar einzelnen Personen finden. Hier sei eine Information nach Art. 13 Abs. 1 DS-GVO notwendig, die beispielsweise durch gut sichtbare Aushänge am jeweiligen Veranstaltungsort und/oder beim Karten(ver)kauf erfolgen könne. Auf Nachfrage müsse der Fotograf auch in der Lage sein, die vollständige Information nach Art. 13 DS-GVO bereitzustellen.
IV. Besondere Verarbeitungssituationen
Um der Vielfalt der Nutzungsmöglichkeiten von Fotoaufnahmen gerecht zu werden, geht der ThürLfDI sodann auf eine Reihe von besonderen Verarbeitungssituationen ein.
Das Beschäftigungsverhältnis
„Die Datenverarbeitung innerhalb des Beschäftigungsverhältnisses ist an strengen Maßstäben orientiert. Personenbezogene Daten von Beschäftigten durften und dürfen im Beschäftigungskontext nur dann verarbeitet werden, wenn dies zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 BDSG, § 27 Abs. 1 ThürDSG in Verbindung mit den §§ 79 bis 87 des Thüringer Beamtengesetzes, soweit der öffentliche Dienst betroffen ist). Die Veröffentlichung von Fotos von Mitarbeitern hält der LfDI jedoch nach diesen Vorschriften regelmäßig nicht für erforderlich, da die Interessenabwägung im Beschäftigtenverhältnis nicht in gleicher Weise greife. Eine Einwilligung für die Nutzung von Mitarbeiterfotos ist daher schriftlich einzuholen und insbesondere im Hinblick auf ihre Freiwilligkeit zu prüfen.“
Bilder im Rahmen der Öffentlichkeitsarbeit
Bei der Verarbeitung von Fotos im Rahmen der Öffentlichkeitsarbeit von verantwortlichen Stellen sei zunächst die Anwendung des Medienprivilegs (Art. 85 DS-GVO) zu prüfen. Die Nutzung für journalistische Zwecke könne danach für Pressemappen oder für die Erstellung eigener Zeitschriften oder Zeitungen zulässig sein. Wenn die Verarbeitung allerdings der reinen Werbung und Darstellung für die Stelle diene, seien bei nicht-öffentlichen Stellen die oben dargestellten Ausführungen zu beachten. Möglicherweise könne sich die Stelle auch auf das berechtigte Interesse hinsichtlich der Öffentlichkeitsarbeit und einer damit einhergehenden Veröffentlichung von Bildmaterial stützen. Bezüglich der öffentlichen Stellen stehe dem allerdings der Art. 6 Abs. 1 S. 2 DS-GVO entgegen, wonach der Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO für Behörden in Erfüllung ihrer Aufgaben nicht gilt. Hier muss als Rechtsgrundlage der Art. 6 Abs. 1 S. 1 lit. e DS-GVO in Verbindung mit den Landes- und Spezialgesetzen herangezogen werden. Hierbei ist ausschlaggebend, was für die Organisationskommunikation jeweils erforderlich ist.
Sowohl für öffentliche als auch für nicht-öffentliche Stellen bleibe aber festzuhalten, dass kein relevanter Unterschied zur früheren Rechtslage zu erkennen sei, da auch hier nur selten die Ausnahmen des § 23 KUG einschlägig gewesen seien. „Denn nicht jede Veranstaltung ist ein Ereignis der Zeitgeschichte und auch nicht jedes Fest eine Versammlung!“
Vereine
Zu Bildherstellungen in Vereinen wird dann wie folgt ausgeführt: „Besonders die Arbeit der Vereine lebt oftmals von der Veröffentlichung von Fotoaufnahmen. Hier sind insbesondere Wettkämpfe, Mannschaftsfotos, Jubiläen, Jahrestage oder andere Vereinsfeierlichkeiten eingeschlossen. Doch auch diese Dokumentationen unterliegen der DS-GVO und bedürfen zu ihrer Verarbeitung einer rechtlichen Grundlage. Zwar kann sich diese zunächst aus dem Vereinszweck ergeben, also auf vertraglicher Grundlage im Rahmen einer Satzung beruhen, jedoch ist zur Durchführung der Mitgliedschaft eine Verarbeitung von Fotos wohl regelmäßig nicht erforderlich. Die Veröffentlichung kann aber auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO gestützt werden, da der Verein ein berechtigtes Interesse daran hat, über das Vereinsgeschehen zu informieren. Hierfür können beispielsweise Mannschaftsfotos zur Dokumentation der Mannschaftsaufstellung eines Sportvereins auf der vereinseigenen Webseite eingestellt werden. Die gleichzeitige Veröffentlichung bei sozialen Netzwerken schließt dieses berechtigte Interesse jedoch nicht zwangsläufig mit ein. Weiterhin ist es über die Anwendung des Art. 6 Abs. 1 S. 1 lit. f DS-GVO auch möglich, Fotos von offiziellen Vereinsveranstaltungen, Sportveranstaltungen oder Wettkämpfen zu veröffentlichen, da auch hier ein berechtigtes Interesse der Vereine daran besteht, über das Vereinsgeschehen zu berichten. Es muss sich allerdings um Fotos handeln, auf denen das Spielgeschehen als solches oder die Veranstaltung als solche erkennbar ist und nicht einzelne im Vordergrund stehende Personen. Sobald eine Person im Fokus steht, gelten die Vorschriften zu Einzelaufnahmen und deren Veröffentlichung.
Bezüglich der vereinsinternen Aktivitäten, wie interne Vereinsfeiern, Ausflüge, Geburtstage von Mitgliedern u.Ä. ist eine Veröffentlichung von Fotos nicht mehr von einem berechtigten Interesse des Vereins gedeckt. Hier gehen die Erwartungen der Mitglieder keinesfalls dahin, dass mit einer Veröffentlichung auf der Vereinsseite zu rechnen ist. Da die Veröffentlichung eine fortwährende Form der Verarbeitung darstellt, ist eine Interessensabwägung über die Fortführung der Veröffentlichung erneut durchzuführen, wenn für widerstreitende Interessen Anhaltspunkte vorliegen. Dies kann beispielsweise dann der Fall sein, wenn eine Person sich mit der Bitte meldet, das veröffentlichte Foto zu entfernen, auch wenn er hierfür keine Gründe aufführt. Gerade bei älteren Bildern wird sich ein solcher Anspruch unmittelbar aus Art. 17 Abs. 1 DS-GVO ableiten lassen. Bei Bildern jüngeren Datums ist vom Verantwortlichen zu prüfen, inwieweit die Veröffentlichung auch ohne Einwilligung zulässig wäre. Das kann nur dann der Fall sein, wenn ein berechtigtes Interesse des Vereins nach den o.a. Grundsätzen besteht und die Interessenabwägung nicht aufgrund besonderer Umstände zugunsten des Abgebildeten zu treffen ist. Wenn das Interesse der betroffenen Person überwiegt, ist eine weitere Veröffentlichung nicht zulässig und das Foto muss entfernt oder die Person unkenntlich gemacht werden“.
Kinder insbesondere in Kitas / Schulen
Dass Abbildungen von Kindern besonders restriktiv zu handhaben sind, wurde vorstehend schon angesprochen. Zur Situation in Kitas und Schulen stellt der ThürLfDI u.a. wie folgt fest: „Die DS-GVO stellt den Schutz von Kindern bei der Verarbeitung ihrer Daten unter einen besonderen Vorbehalt. Dieser wird in Art. 6 Abs. 1 S. 1 lt. f der DS-GVO formuliert. Danach überwiegt stets das schutzwürdige Interesse der Kinder. Aus diesem Grund ist die Verarbeitung von Daten, wenn Kinder betroffen sind, nur aufgrund einer Einwilligung möglich, aufgrund einer vertraglichen Grundlage oder aufgrund gesetzlicher Regelungen. Für das Mannschaftsfoto im Verein, Aushänge in der Schule oder Kita gilt daher: Wenn Minderjährige erkennbar abgebildet werden, ist das Erstellen und auch das Veröffentlichen nur mit der Einwilligung der Sorgeberechtigten möglich. Dies ist jedoch für Bildnisse eines Spielablaufs/Veranstaltungsablaufs dann nicht der Fall, wenn nur das Spielgeschehen oder der Veranstaltungsablauf dargestellt werden sollen, ohne dass erkennbar Kinder im Vordergrund abgebildet sind oder diese nur als sogenanntes „Beiwerk“ zu einer Übersichtsaufnahme erscheinen. Solche Aufnahmen werden zumeist zur Dokumentation von schulischen Veranstaltungen im Rahmen der Öffentlichkeitsarbeit erstellt. Sobald die Kinder jedoch erkennbar, einzeln oder in kleiner Gruppe und im Vordergrund abgebildet sind, das Bild also prägen, kann nicht mehr von Beiwerk ausgegangen werden, und eine Einwilligung ist notwendig.
Praxisfälle zum Datenschutz II: Musterfalllösung zur Kundendatenverwaltung im Konzern
I. Sachverhalt
In einem Konzern soll eine zentrale Kreditoren-/Debitoren-Stammdatenverwaltung eingeführt werden. Bei den Kreditoren/Debitoren handelt es sich um Unternehmen. In der Datenbank sollen aber auch Kontaktinformationen zu den jeweiligen natürlichen Ansprechpartnern bei den Unternehmen gespeichert werden.
Sind die mit der zentralen Kreditoren-/Debitoren-Stammdatenverwaltung verbundenen Datenverarbeitungen zulässig? Wer trägt die datenschutzrechtliche Verantwortung für die Datenbank?
II. Lösung
1. Rechtsgrundlage für die Datenübermittlung im Konzern
Für die Verarbeitung personenbezogener Daten besteht ein Verbot mit Erlaubnisvorbehalt (vgl. Erwägungsgrund 40 DSGVO). Demnach ist die Verarbeitung personenbezogener Daten verboten, es sei denn, diese ist über die Einwilligung der betroffenen Person, einen Erlaubnistatbestand in der DS-GVO oder eine sonstige zulässige unions- oder mitgliedstaatsrechtliche Rechtsgrundlage gestattet.
Bei den Ansprechpartnerdaten handelt es sich um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DS-GVO. Eine zentrale Kreditoren-/Debitoren-Stammdatenverwaltung innerhalb eines Konzerns, inklusive entsprechender Ansprechpartnerdaten im B2B-Umfeld, hätte eine Übermittlung personenbezogener Daten zur Folge, die der Legitimation bedarf. Insbesondere existiert kein Konzernprivileg, und jede juristische Einheit eines Konzernverbunds ist als eigener datenschutzrechtlich Verantwortlicher i.S.v. Art. 4 Nr. 7 DS-GVO anzusehen. Eine ggf. bestehende gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO (vgl. dazu nachstehend 2.) ließe das Erfordernis einer Rechtsgrundlage für die geplanten Datenweitergaben ebenso wenig entfallen. Denn auch die Übermittlung personenbezogener Daten unter gemeinsam Verantwortlichen ist ein eigener Verarbeitungsvorgang i.S.v. Art. 4 Nr. 2 DS-GVO und bedarf daher einer Rechtsgrundlage.
Als Rechtsgrundlage für die Datenübermittlung kommt vorliegend Art. 6 Abs. 1 lit. f DS-GVO in Betracht (sog. Interessenabwägung). Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist und gleichzeitig nicht die Interessen oder Grundrechte/Grundfreiheiten der betroffenen Person, die den Schutz seiner personenbezogenen Daten erfordern, überwiegen.
Ein berechtigtes Interesse an der wechselseitigen Übermittlung personenbezogener Daten lässt sich insbesondere auf Erwägungsgrund (ErwG) 48 der DS-GVO stützen. Darin heißt es: „Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.“
Auch wenn die DS-GVO also, wie gesagt, kein (umfassendes) Konzernprivileg enthält, so erkennt sie in ErwG 48 zumindest ein berechtigtes Interesse daran grundsätzlich an, dass innerhalb eines Konzerns personenbezogene Daten zu administrativen Zwecken übermittelt werden („kleines Konzernprivileg“).
Mit der zentralen Kreditoren-/Debitoren-Stammdatenverwaltung wird hier ein solcher interner Verwaltungszweck i.S.v. ErwG 48 DS-GVO verfolgt. Ein Überwiegen schutzwürdiger Interessen der betroffenen Personen ist nicht ersichtlich. Insbesondere sind die personenbezogenen Daten, die sich aus der zentralen Datenbank ergeben werden, wenig sensibel, nämlich, dass die betroffenen Personen Ansprechpartner für ein bestimmtes Unternehmen sind und welche Kontaktdaten sie in diesem Zusammenhang haben. Die betroffenen Personen sind auch nur in der beruflichen und nicht in ihrer privaten Sphäre betroffen.
Folglich können die mit der zentralen Kreditoren-/Debitoren-Stammdatenverwaltung verbundenen Datenübermittlungen über Art. 6 Abs. 1 lit. f DS-GVO legitimiert werden. Sollten die Datenübermittlung an ein Konzernunternehmen außerhalb der EU/des EWR stattfinden, so sind zusätzlich die Bestimmungen der Art. 44 ff. DS-GVO zu beachten. Innerhalb der EU/des EWR wird die Datenübermittlung wie eine Übermittlung im Inland behandelt.
2. Datenschutzrechtliche Verantwortung für die Datenbank
a) Allgemeines
Sind mehrere Stellen an einer Datenverarbeitung beteiligt, ist zunächst zu prüfen, ob alle Stellen datenschutzrechtlich Verantwortliche i.S.v. Art. 4 Nr. 7 DS-GVO sind oder ob Stellen ggf. nur als Auftragsverarbeiter i.S.v. Art. 28 DS-GVO fungieren. Gibt es mehrere datenschutzrechtlich Verantwortliche, ist sodann zu prüfen, ob es sich um eine alleinige oder gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO handelt.
b) Abgrenzung zur Auftragsverarbeitung
Entscheidendes Kriterium für den Status als sog. Auftragsverarbeiter (Art. 28 DS-GVO) ist die Weisungsgebundenheit der datenverarbeitenden Stelle im Verhältnis zum Auftraggeber. Während datenschutzrechtliche Verantwortlichkeit voraussetzt, dass die betreffende Stelle einen steuernden und kontrollierenden Einfluss auf die Zwecke oder wesentlichen Mittel der Verarbeitung nimmt, unterwirft sich ein Auftragsverarbeiter im Hinblick auf die Datenverarbeitung den Weisungen des Verantwortlichen und wird lediglich als dessen „verlängerter Arm“ tätig. Der Auftragsverarbeiter muss zur Legitimation der Verarbeitung lediglich einen Vertrag über die Auftragsverarbeitung (Art. 28 Abs. 3 DS-GVO) mit dem Verantwortlichen schließen. Der Verantwortliche ist verpflichtet, den Auftragsverarbeiter unter Berücksichtigung der von diesem gewährleisteten technischen und organisatorischen Maßnahmen sorgfältig auszuwählen und diesen während des laufenden Auftragsverarbeitungsverhältnisses angemessen zu kontrollieren.
Klassische Anwendungsbereiche für die Auftragsverarbeitung sind etwa die Auslagerung der Lohn- und Gehaltsabrechnung, Archivierungsvorgänge und Konvertierungen von Dokumenten, Verarbeitung von Kundendaten durch Call-Center ohne wesentliche eigene Entscheidungsspielräume oder die Datenträgerentsorgung.
Eine Auftragsverarbeitung i.S.v. Art. 28 DS-GVO scheidet vorliegend aus, da keines der beteiligten Konzernunternehmen Daten nur nach Weisung der jeweils anderen verarbeiten soll. Ein Auftragsverarbeiter darf außer dem finanziellen Interesse, für diese bezahlt zu werden, kein Eigeninteresse an der Datenverarbeitung haben und die verarbeiteten Daten nicht für eigene Zwecke verwenden. Die Informationen aus der gemeinsamen Kreditoren-/Debitoren-Stammdatenverwaltung sollen von den angeschlossenen Konzernunternehmen hier aber für deren eigene Zwecke, nämlich die Finanzbuchhaltung verwendet werden.
Anders wäre der Sachverhalt zu bewerten, wenn ein (Konzern-)Unternehmen die Kreditoren-/Debitoren-Stammdatenverwaltung als Dienstleister für die angeschlossenen Unternehmen betreibt, selber aber keinerlei Entscheidungsgewalt über Zwecke und Mittel der Verarbeitung innehat. Die an die zentrale Kreditoren-/Debitoren-Stammdatenverwaltung angeschlossenen Unternehmen müssten dann mit dem Dienstleister einen Vertrag zur Auftragsverarbeitung gemäß den Anforderungen des Art. 28 Abs. 3 S. 2 DS-GVO schließen.
c) Gemeinsame Verantwortlichkeit, Art. 26 DS-GVO
Zwei oder mehr Verantwortliche, die gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden, sind gemeinsam Verantwortliche (Art. 26 DS-GVO). Eine gemeinsame Entscheidung im vorgenannten Sinne setzt voraus, dass jeder der Beteiligten einen bestimmenden tatsächlichen Einfluss auf die Datenverarbeitung nimmt. Entscheidend ist die pluralistisch ausgeübte Kontrolle über die Datenverarbeitung.
Datenverarbeitungen durch gemeinsam Verantwortliche kommt keine „Privilegierungswirkung“ zu. Art. 26 stellt weder eine Rechtsgrundlage für eine Verarbeitung durch mehrere Verantwortliche dar, noch braucht es eine Rechtsgrundlage dafür, dass sich mehrere Verantwortliche zusammenschließen. Der Zweck von Art. 26 DS-GVO ergibt sich insbesondere aus ErwG 79 DS-GVO, wonach es zum Schutz der Rechte und Freiheiten der betroffenen Personen sowie bezüglich der Verantwortung und Haftung der Verantwortlichen – auch mit Blick auf die Überwachung und sonstigen Maßnahmen von Aufsichtsbehörden – einer klaren Zuteilung der Verantwortlichkeiten bedarf. Die betroffene Person soll nicht schlechter gestellt werden, weil mehrere Verantwortliche zusammenarbeiten, und auch die Aufsichtsbehörde soll wissen, wer für welche (Phase einer) Verarbeitung verantwortlich ist.
Praktische Konsequenz der gemeinsamen Verantwortlichkeit ist, dass eine Vereinbarung nach Art. 26 DS-GVO zu schließen ist. In dieser ist in transparenter Form festzulegen, wer von den gemeinsam Verantwortlichen welche in der DS-GVO geregelten Verpflichtungen erfüllt, insbesondere die Betroffenenrechte und die Informationspflichten nach Art. 13 und 14. Die Vereinbarung muss die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen „gebührend widerspiegeln“, und das „Wesentliche“ der Vereinbarung muss betroffenen Personen zur Verfügung gestellt werden (Art. 26 Abs. 2 DS-GVO). „Wesentlich“ sind nach Auffassung der nationalen Aufsichtsbehörden zumindest eine nachvollziehbare Beschreibung des Zusammenwirkens und der Rollen der Beteiligten und ihrer jeweiligen Beziehung zur betroffenen Person sowie die Angabe, welcher der gemeinsam Verantwortlichen welche Betroffenenrechte und Informationspflichten erfüllen soll.
Von der gemeinsamen Verantwortlichkeit abzugrenzen sind Konstellationen, in denen Unternehmen mit Bezug auf die personenbezogene Datenverarbeitung kooperieren und ggf. auch personenbezogene Daten austauschen, ohne dass jedoch eine gemeinsame Festlegung der Zwecke und Mittel der Datenverarbeitung erfolgt. Insoweit bleibt es bei der alleinigen bzw. unverbundenen datenschutzrechtlichen Verantwortlichkeit. Dies gilt etwa, wenn Unternehmen personenbezogene Datensätze von anderen Stellen für eigene Werbezwecke erhalten. In diesem Fall trägt die Stelle, welche die Daten bereitstellt, die alleinige Verantwortung für die Datenübermittlung, die werbende Stelle die alleinige Verantwortung für die mit der Werbeaktion verbundene personenbezogene Datenverarbeitung.
Die beteiligten Konzernunternehmen verfolgen vorliegend mit der Gewährleistung der Richtigkeit und Aktualität ihrer Kreditoren- bzw. Debitorendaten einen gemeinsamen Zweck. Zur Erreichung dieses Zwecks wollen die Unternehmen über die geplante gemeinsame Datenbank auch die gleichen personenbezogenen Daten verwenden. Das Konzept für die Stammdatenverwaltung wurde gemeinsam von den beteiligten Unternehmen entwickelt, die auch gemeinsam über die wesentlichen Elemente der Datenverarbeitung entscheiden, wie z.B. „Welche Daten werden verarbeitet?“ oder „Wer hat Zugang zu den Daten?“.
Im Ergebnis ist damit eine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DS-GVO für die geplante zentrale Kreditoren-/Debitoren-Stammdatenverwaltung anzunehmen.