Update 14.05.2018
Vom Bundesinnenministerium gab es jetzt Entwarnung, was das Fotografieren von Menschen betrifft. Trotzdem bleiben die Anforderungen, was die Erfassung und Bearbeitung personenbezogener Daten über die Internetseite betrifft…
Update 24.05.2018
Morgen ist es soweit: Die DSGVO tritt in Kraft. Aufgrund der Kommentare hatte ich noch versucht in Erfahrung zu bringen, wie es sich mit altem Bildmaterial verhält. Leider habe ich dazu weder vom Bundes- noch vom Landesdatenschutzbeautragten Antwort erhalten.
Aber: Ich habe noch zu meiner ursprünglichen Anfrage an den Bundesdatenschutzbeauftragten Antwort erhalten. Ich hatte in meinem Beitrag erwähnt, dass sich der Fotograf ggf. auf Artikel 6 berufen kann (Beauftragung). Das trifft aber nicht zu, auf Personen, die z.B. Gäste einer Veranstaltung (wie eine Hochzeit) sind.
Es scheint den Damen und Herren zumindest bewusst zu sein, dass es hier eine Lücke in der Definition gibt. Hier ein Auszug aus der Antwort:
„Hinsichtlich Ihrer Frage zu Aufnahmen, die in erster Linie nicht der Ablichtung von Personen dienen, auf denen je nachdem dennoch eine Vielzahl von Personen (mehr oder minder ungewollt) als Teil der fotografierten Szene abgelichtet sind, kann ich Ihnen mitteilen, dass die Problematik im Zusammenhang mit den Informationspflich-ten der DSGVO den Behörden bekannt ist und ein Austausch hierüber stattfindet. Zwar gibt es keine abschließende, rechtsverbindliche Haltung, die ich Ihnen mitteilen kann. Je nach Gestaltung des Einzelfalls wird eine Befreiung von den Informations-pflichten nach Art. 11 oder Art. 14 Abs. 5 DSGVO in Betracht kommen können.“
Das komplette Antwortschreiben hier.
Ursprünglicher Blog-Beitrag
Am 25. Mai 2018 ist es soweit: Die neue Datenschutzgrundverordnung (kurz DSGVO) der EU tritt in Kraft. Eigentlich seit längerem bekannt doch wie es so ist – je näher der Termin rückt, umso nervöser werden die Betroffenen.
Zuerst, wer ist überhaupt von dieser Verordnung betroffen? Betroffen sind alle Unternehmen, die personenbezogene Daten elektronisch speichern und bearbeiten. Ich möchte mich in diesem Beitrag vor allem mit der Speicherung personenbezogener Daten für Fotografen beschäftigen.
Auf unzähligen Internetseiten bieten Anwälte Videos, Dateien, Hörbücher u.a. zum Download an (natürlich gegen Bezahlung). Ich habe mich über Wochen immer wieder mit dem Thema beschäftigt. Habe die unterschiedlichen Anforderungen zur Erfüllung der DSGVO studiert. Ich bin kein Rechtsanwalt – aber ich habe einen gesunden Menschenverstand.
In einigen Facebook-Gruppen wird das Thema hochgepusht demnach ein Fotograf die Anforderungen zu erfüllen hätte, wie ein Unternehmen mit 1.000 Mitarbeiter. Und das ist der Punkt wo ich meine, wo man differenzieren muss. Klar, Gesetze, Verordnungen gelten für alle gleichermaßen. Aber: Ein „Unternehmen“ bestehend aus einer Person (dem Fotografen) hat eben sicher keinen Datenschutzbeauftragen (und muß auch keinen haben). Also mal einfach die Kirche im Dorf lassen…
Was sind personenbezogene Daten
Personenbezogene Daten sind Daten, die einer bestimmten natürlichen Person zugeordnet sind oder zugeordnet werden können. Dazu gehören auch Fotos, auf denen eine Person identifiziert werden kann (s. Update weiter unten).
Verkaufen wir nun als Fotograf Bilder auf denen Personen identifiziert werden können bzw. die Nutzungsrechte an Bildern, fotografieren wir Portraits (im Auftrag), Hochzeiten u.a. speichern wir personenbezogene Stammdaten. Name, E-Mail-Adresse, Postanschrift, Handynummer und ggf mehr. Zumindest um eine ordentliche Rechnung zu erstellen. Und natürlich das Foto selbst.
Ist das alles neu?
Nein, schon vor der DSGVO gab es das Bundesdatenschutzgesetz in dem vieles schon geregelt war. Es sind einige Punkte hinzugekommen. Aber: Wer sich schon zuvor mit dem Datenschutz beschäftigt hat, wird nicht so viele Anpassungen vornehmen müssen. Vor allem sollten die Punkte berücksichtigt werden, die Außenwirkung haben. Die Abmahnanwälte werden wahrscheinlich schon mit den Füßen scharren. Und wie heißt es so schön: Was ich nicht weiß, macht mich nicht heiß…
Die DSGVO führt folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
- Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
- Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
- Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
- Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
Internetseite
Wer bisher schon eine Internetseite hat, sollte eigentlich auch schon vor der DSGVO eine Seite zum Datenschutz haben. Auf eRecht24 oder bei Rechtsanwalt Dr. Schwenke gibt es aktualisierte Generatoren für den Text. Wie bisher muss die Seite erkennbar und leicht erreichbar sein. Also z.B. „Datenschutz“.
Kontaktformular
Im Kontaktformular sollte eine Checkbox als Muss-Eingabefeld eingebaut werden, mit welcher der Nutzer des Kontaktformulars sein Einverständis zur Speicherung der personenbezogenen Daten gibt. Wer personenbezogene Daten erhebt ist verpflichtet, diese vor dem unerlaubten Zugriff durch Dritte zu schützen. Das bedeutet auch auf dem Weg vom Kontaktformular zum lokalen Computer. Das bedeutet die Übertragung muss verschlüsselt erfolgen. Ich habe daher alle Seiten komplett auf SSL umgestellt. Bei meinem Provider ging das sehr einfach.
Kleiner Tipp: Wenn ihr eure Seite auf SSL umstellt, macht noch eine Umleitung von http:// nach https:// – sonst könnte Google es übelnehmen weil die Seiten unter http:// nicht mehr gefunden werden… So sieht es bei mir in der .htaccess aus:
# http nach https Umleitung RewriteEngine On RewriteCond %{SERVER_PORT} !^443$ RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]
Eine Firewall und ein Antivirenprogramm auf dem lokalen Computer sollte selbstverständlich sein. Ich selbst verwende dazu Kapersky Internet Security.
Kommentarfunktion
Falls auf der Seite Kommentare zugelassen werden: Auch hier eine Checkbox mit Muss-Eingabefeld bezügl. der Speicherung personenbezogener Daten. Ich verwende dazu das WordPress Plugin WPGDPR Compliance.
Dann sollte noch das Speichern von IP-Adressen bei Kommentaren unterbunden werden. Hier gibt es eine Anleitung dazu. (Wobei ich bei diesem Punkt auch unsicher bin – auf der einen Seite sollte ich die IP-Adresse speichern, falls z.B. Hasskomentare o.ä. abgegeben werden auf der anderen Seite darf die Internetseite keine unnötigen personenbezogenen Daten speichern – auch ein solcher Widerspruch in sich).
Vertrag zur Auftragsdatenverarbeitung
Wie schon oben geschrieben: Viele Dinge sind eigentlich überhaupt nicht neu. Schon im bisherigen Datenschutzgesetz gab es die Anforderung für einen Vertrag zur Auftragsdatenverarbeitung (§11 BDSG). Ein Vertrag zur ADV ist z.B. mit dem Provider zu schließen auf dem die Internetseite gehostet ist. Dieser speichert u.a. E-Mails, die Informationen aus dem Kontaktformular und IP-Adressen von Besuchern der Internetseite.
Aber: Dieser Vertrag zur ADV ist so ein Punkt, der keine Außenwirkung hat. Kein Anwalt hat das Recht, auf die Einsicht dieser Verträge. Unternehmen werden ggf. von einem Bundesdatenschutzbeautragten geprüft. Und diese haben genug damit zu tun, Unternehmen mit mehr als 250 Mitarbeiter zu prüfen (für die die Datenschutzanforderungen wesentlich höher liegen). Also mal die Kirche im Dorf lassen…
Weiterverarbeitung von Fotos
In manchen Facebook-Gruppen behaupten einige felsenfest, dass Fotos von Personen personenbezogene Daten sind. Wäre dem per se so, müsste dann ggf. auch ein Vertrag zur ADV mit Dienstleistern geschlossen werden (z.B. für Fotobücher, Fotoabzüge).
Update
Ich hatte ja u.a. die EU und den Bundesdatenschutzbeauftragten angeschrieben. Zumindest von der EU bekam ich (nach fünf Wochen) eine Antwort (Bild). Demnach sind Bilder, auf denen Personen eindeutig identifiziert werden können, per se personenbezogene Daten. Legt man nun die DSGVO so aus, wie sie beschrieben ist, kannst du als Fotograf für Hochzeiten oder Events praktisch aufhören. Denn: Laut DSGVO wird für die Vearbeitung und die Speicherung personenbezogener Daten eine Einverständniserklärung der fotografierten Person benötigt. Und zwar bevor das Bild gemacht wird. Auf das Brautpaar selbst bezogen, wäre das ja noch realisierbar – aber wie sieht es aus mit den Gästen?
Jeder Fotograf erkennt, hier waren eine Reihe von Büro-Hengsten am Werk, die von der Arbeit eines Fotografen nicht die geringste Ahnung haben.
Eine Hoffnung ist vielleicht der Erwägungsgrund 51 der DSGVO. Der bezieht sich eigentlich auf die Speicherung „sensibler“ Daten. Könnte aber durchaus übertragen werden. Abzuwarten ist, wie die einzelnen Länder der EU die DSGVO auslegen.
Das wäre ja noch das Einfachste… Aber: würde man Fotos von Personen per se als personenbezogene Daten betrachten, würde das in der Konsequenz bedeuten, dass ich von jeder Person die ich fotografiere (und zwar bevor ich diese fotografiere!) eine Einverständniserklärung zur Speicherung der personenbezogenen Daten benötigen würde. Denn diese würde dann ja (bei Digitalkameras) im Moment der Aufnahme stattfinden.
Ich zitiere dazu mal aus dem Erwägungsgrund 51 der DSGVO:
Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.
Was ich daraus lese: Wenn ich ein Foto einer Person als digitale Daten sehe (im Internet) dann kann ich nicht ohne spezielle Hilfsmittel diese Person identifizieren. D.h. ich weiß nicht wer die Person ist, wie alt sie ist, wo sie wohnt usw.
Ich habe dazu Anfragen an den Bundesdatenschutzbeauftragten und an die EU gesendet. Bisher habe ich aber keine Antwort…. Update: Zumindest die EU hat geantwortet (s. oben) aber unsere Schlaftabletten-Regierung hat es nicht nötig, zu antworten.
Update: Auf das Antwortschreiben der EU habe ich mich (gemäß deren Empfehlung) an den Landes-Datenschutzbeauftragten des Landes Baden-Württenberg gewendet. Aber der hat (wie seine übergeordnete Instuition) keine Lust zu antworten…
Verfahrensverzeichnis
Auch das Thema Verfahrensverzeichnis ist eigentlich nicht neu. Schon gem. Bundesdatenschutzgesetz gab es für jeden Unternehmer Dokumentationspflicht bezügl. der Speicherung personenbezogener Daten. Jetzt hat das Kind eben einen neuen Namen. Wer sich das antun möchte, es gibt diverse Mustervorlagen im Internet dazu.
Aber ich zitiere einmal aus einem Beitrag der Seite Datenschutz Guru (der komplette Blog-Beitrag dazu im Link):
Und mal ehrlich: Warum sollten Unternehmen denn überhaupt ein Verfahrensverzeichnis ernsthaft vorhalten? Kontrollieren tut es niemand und geahndet wird es de facto auch nicht, wenn ein Verfahrensverzeichnis fehlt.
Allgemeine Geschäftsbedingungen
Auch in den Allgemeinen Geschäftsbedingungen sollte sich ein Punkt zum Datenschutz finden. Ich habe das in meinen AGB wie folgt angepasst:
VII. Informationen zur Datenerhebung gemäß Artikel 13 DSGVO
- Thomas Blasche Fotodesign, Brunnenstraße 26e, 88662 Überlingen erhebt personenbezogene Daten des Auftraggebers zum Zweck der Vertragsdurchführung, zur Erfüllung unserer vertraglichen und vorvertraglichen Pflichten.
Die Datenerhebung und Datenverarbeitung ist für die Durchführung des Vertrags erforderlich und beruht auf Artikel 6 Abs. 1 b) DSGVO. Eine Weitergabe der Daten an Dritte findet nicht statt. Die Daten werden gelöscht, sobald sie für den Zweck ihrer Verarbeitung nicht mehr erforderlich sind und soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht. Eine unentgeltliche Auskunft über alle personenbezogenen Daten des Auftraggebers ist möglich. Für Fragen und Anträge auf Löschung, Korrektur oder Sperrung personenbezogener Daten sowie Erhebung, Verarbeitung und Nutzung kann sich der Auftraggeber an folgende Adresse wenden:
Thomas Blasche Fotodesign, Brunnenstraße 26e, D 88662 Überlingen, info@thomas-blasche.de.
In Verträgen weise ich explizit auf diesen Punkt der AGB hin.
Facebook, Google+ u.a.
Dazu kann ich leider nichts sagen. Mir war das ganze Zeug seit jeher suspekt. Ich habe einfache Links integriert, die bezügl. DSGVO kein Problem sind. Mit Google/Google+ mache ich keine Datenerhebung. Wer das tut, sollte sich seperat informieren, da hier Daten in das Nicht-EU-Ausland übertragen werden.
Auf einen Punkt sollten die achten, die eine eigene Internetseite haben: Bei CMS-Systemen wie WordPress, Typo3, Droplet u.a. wird oft die Schrift von Google-Fonts geladen. Dabei werden auch personenbezogene Daten (IP-Adresse u.a.) übertragen. D.h. hier die Schrift lokal installieren (auf dem Webserver) und Verweise auf Google-Fonts entfernen. Hierzu gibt es für die verschienden Content-Management-Systeme Anleitungen im Internet. Zu WordPress gibt es hier eine ganz gute Anleitung.
Mein Fazit
Leider kann man als gewerblicher Fotograf das Thema DSGVO nicht ganz links liegen lassen. Ich glaube, das versch. Abmahnanwälte hier schon wieder Futter riechen. Deshalb sollte man besonders die Dinge beachten, die von Außen sichtbar sind. D.h. die eigene Internetseite anpassen, AGB und Datenschutzerklärung anpassen und ggf. weitere Punkte, die nach außen sichtbar sind.
Enttäuschend ist wieder einmal unsere Politik. Sie hätte Gelegenheit und Möglichkeiten gehabt, die DSGVO auf lokales Recht anzupassen. Aber unsere Regierung verschiebt solche Entscheidungen seit mehreren Jahren auf die Judikative – und das ist nur noch ein Armutszeugnis unserer Regierung. Ebenso enttäuschend: Weder der Bundesdatenschutzbeauftragte noch der Landesdatenschutzbeauftragte reagieren auf entsprechende Anfragen.
Bei anderen Fragen muss man einmal abwarten, was sich hier aus der Praxis ergibt. Z.B. wurde das Thema „Datentransfer in nicht EU Staaten“ in der DSGVO kaum konkretisiert (zu verdanken verschiedener Lobbyisten insbesondere aus USA – ja, die gibt es auch in Brüssel). U.a. zu lesen auf Wikipedia.
Ich bin kein Rechtsanwalt – daher alle Angaben hier ohne Gewähr… Ich habe mich auf verschiedenesten Seiten (Handwerkskammer, IHK, Bundesbeauftragte für den Datenschutz, u.a.) in das Thema eingelesen und mir die Punkte herausgesucht, die mich als Fotograf betreffen.
Ihr werdet, selbst wenn ihr einen Rechtsanwalt fragt, gerade bei solchen Fragen wie „ob Fotos per se personenbezogene Daten sind“ keine rechtsverbindliche Auskunft erhalten. Lediglich eine Einschätzung der Rechtslage. Erst wenn entsprechende Muster-Urteile dazu vorliegen, wird sich ein Rechtsanwalt darauf ggf. (unverbindlich!) beziehen.
Ich weiß, manche sehen den einen oder anderen Punkt wesentlich schärfer als ich. Letztendlich muss jeder Unternehmer für sich persönlich entscheiden, wie er mit der neuen DGSVO umgeht.
Hallo Thomas,
wie weit Fotografien ohne Zustimmung noch möglich sind ist im Moment tatsächlich fraglich. Sie z.B.
http://www.cr-online.de/blog/2018/03/09/das-ende-der-freien-veroeffentlichung-von-personenbildnissen-fuer-die-meisten-von-uns/
Auf alle Fälle bezieht sich der von Dir gegannte Erwägungsgrund 51 nur auf die „besonderen Kategorien“ von personenbezogene Daten. Ist das der Fall, wird es überhaupt schwierig. Ein Foto ist definitiv ein persönliches Datum – den die Personen ist damit identifizierbar.
Hallo Robert,
danke für deinen Kommentar. Wie ich schreibe würde das in der Konsequenz bedeuten, dass ich von jeder Person, bevor ich sie fotografiere, eine unterschriebene Datenschutzerklärung benötigen würde.
Für einen Hochzeitsfotografen z.B. praktisch nicht umsetzbar. Leider haben es weder der Bundesdatenschutzbeauftragte noch Hr. Guenther Oettinger (der wohl maßgeblich an dem Mist beteiligt war) es nötig auf Anfragen zu antworten.
Das sehe ich nicht zwingend so:
Art. 6 I f gestattet dem Verantwortlichen (Fotograf) auch die Erhebung und Verarbeitung der pers. Daten (Fotos) aus berechtigtem Interesse, wenn die anderen Rechte der Betroffenen (fotografierte Personen) nicht überwiegen.
Zunächst werden die Daten ja nur in der Kamera verarbeitet. Die Verletzung der Rechte der Betroffenen ist zweifelsohne vorhanden, aber sehr gering. Der Zugriff auf diese Daten ist nur begrenzt möglich, da man ja ans Gerät muss. Andererseits steht das Interesse des Fotografen, die Bilder anzufertigen (ein Auftrag des Brautpaares oder die Einwilligung von wenigstens einigen der abgebildeten Personen vorausgesetzt).
Wägt man das ab, kann man zu dem Ergebnis kommen, dass die Speicherung auf der SD gestattet ist. Erst die Übertragung auf den PC und erst recht die weitere Verarbeitung/Veröffentlichung dürfte diese Abwegung zu Lasten des Fotografen kippen.
Fazit: Das reine Fotografieren könnte ohne Einwilligung möglich sein, erst die weitere Verarbeitung bedarf dann der Einwilligung. Ein in meinen Augen lösbares Problem bei einer begrenzten Personenzahl.
Bei einer großen Personenzahl wird es mit der Einwilligung natürlich schwierig. Aber da ist dann auch fraglich, ob die einzelne Person noch identifizierbar ist (nur dann ist das Bild auch ein personenbezogenes Datum). Selbst wenn (scheiß hohe Auflösung), allein die Menge der Personen könnte reichen, die Abwägung auch noch für den nächsten Schritt zu rechtfertigen, das Übertragen und Bearbeiten. So kann dann nämlich eine Anonymisierung der grossen Personenzahl erfolgen, indem ein hinreichend grober Weichzeichner über diese Bildbereiche gelegt wird. Die Frage ist einfach: Ist es für das Bild wichtig, die Person zu erkennen (dann nur mit Einwilligung), oder reicht es dem Künstler zu zeigen, dass da einer von vielen ist (dann Weichzeichnung bis zur Unidentifizierbarkeit).
Wie gesagt, mit dem Brautpaar ist es kein Problem. Hier liegt ja eine Beauftragung seitens des Brautpaars vor. Aber wie ist es mit den Gästen? Oder Events, wo der Fotograf vom Veranstalter beauftragt wird? Vereinsveranstaltungen? Hier bewegt sich der Fotograf ab dem 25.5. auf extrem dünnem Eis…
Bei Veranstaltungen sollte dies völlig unproblematisch sein, da der Fotograf hier Auftragserfüller gilt. Somit müsste es einen Vertrag zwischen Veranstalter und Fotograf geben, in dem der Veranstalter eben versichert, dass die Zustimmungen vorliegen.
Dem Fotograf selbst müssen diese – meiner Auffassung nach – nicht vorliegen.
Sonst müsste ja z.B. ein Kunde der DHL eine Zustimmung zuschicken, damit z.B. Amazon das Paket über DHL verschicken dürfte.
Sicher nicht. Schon heute bewegen sich Fotografen bei Veranstaltungen in einer rechtlichen Grauzone (Stichwort: Recht am eigenen Bild)
Danke für deinen Kommentar. Siehe mein Update heute….
Hallo Herr Blasche, Fotos von Personen sind nicht per se personenbezogene Daten, z.B. wenn diese von hinten aufgenommen wurden und nicht erkennbar sind. Sind die Personen erkennbar, können diese (ggf. von Dritten) identifiziert werden. Dannn handelt es sich um personenbezogene Daten. Sie brauchen dann zum Fotografieren nicht umbedingt einen Einwilligung, wenn Sie sich auf eine andere Rechtsgrundlage stützen können. Vertragserfüllung ist eine.
Danke für den Kommentar – siehe mein Update von heute….
Danke für den Kommentar. Ob die Vertragserfüllung ausreicht, werden (in Deutschland) wahrscheinlich erst entsprechende Rechtsurteile bestätigen oder auch nicht. Die Welt der Fotografen darf in DE derweil auf entsprechende Klage warten.
Andere Länder, wie z.B. Schweden, haben im Vorfeld entsprechend reagiert und das lokale Recht auf die DSGVO angepasst. Die Bundesregierung sitzt die Entscheidung (wie so oft) einmal wieder mehr auf der linken Arschbacke aus…
Warum auf der „linken“? Was soll der Quatsch?
Von mir aus auch die andere….
Vertragserfüllung zieht nur, wenn es ein Vertrag mit der abgebildeten Person ist (Art. 6 I b: „…Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, ….)
Wenn man es genau nimmt, schrecklich 😀 Rechtssicherheit wird es zu Beginn nicht geben und letztendlich müssen wir ja Rückwirkend bei jedem Model die Erlaubnis einholen?
Mit dem Model geht das ja noch. Aber fotografiere mal eine Hochzeit, ein Firmenevent, eine Vereinsveranstaltung….
Wird noch interessanter…..z.B. bei „Free Stock Images For Commercial Use“…woher weiß ich, dass die Bilder die dort zur freien Nutzung stehen im Einklang mit dem Teil sind oder die Bildersuche von Google wo man die Bilder nach „free to use, share and modify, even for commercial use“ filtern kann…sind dort Personen darauf dann sind diese praktisch tabu…..
Wie schaut es mit Flickr aus auch dort gibt es freie Bilder…..
Wie schaut es mit Pfadfinder-Lagerbilder aus?
Was ist mit Bildarchiven….und was ist wenn es sich um ein JPG-Bild handelt, wo keine Exif-Daten vorhanden sind bzw. diese entfernt wurden?
bombjack
Ob das Bild exif mit weiteren Infos beinhaltet ist nicht relevant. Relevant ist, ob eine Person abgebildet ist, die anhand des Fotos identifiziert werden kann. Dann sind es personenbezogene Daten.
Die Vereine machen sich auch schon Gedanken. Es ist klar, der Gesetzgeber hat sich keine Gedanken zu diesen Fällen gemacht.
Okay….dann ist, mit Verlaub, die Kacke so richtig am dampfen….allerdings
a) lassen wir uns von den Eltern eh immer die Zustimmung (schriftlich) geben, wenn Bilder ins Netz gestellt werden sollen. Die wird halt dann etwas „größer“ ausfallen müssen….Hacken dabei ist dass die Zustimmung ja jederzeit entzogen werden kann…okay ohne vorher informiert zu werden läuft da wahrscheinlich abmahnungs-technisch dann nichts….
b) der Spruch gilt oder besser gelten sollte: „Wo kein Kläger, kein Richter“. Nur wäre da meine Frage ob u.U. die Möglichkeit besteht, dass sich Abmahner bzw. andere Personen/Stellen/NGOs an Bildern bedienen, auch wenn sie nicht betroffen sind….okay klingt etwas blöd…
c) Du schreibst „Relevant ist, ob eine Person abgebildet ist, die anhand des Fotos identifiziert werden kann.“
Hm….dieses Bild aus einem Ferienlager habe ich gemacht und auch veröffentlicht:
http://illumina-chemie.de/upload/437_13835099685ad62e628b7f6.jpg
Da ich das Gesicht unkenntlich gemacht habe…sollte da wohl okay sein…außer die Person hat immer noch dieselbe Kleidung und läuft u.U. so rum (da das Bild älter ist, einige Jahre sehr unwahrscheinlich). Angenommen ich hätte sie nicht unkenntlich gemacht, wenn die Eltern und auch sie selber mit dem Bild kein Problem haben, dann sollte es doch ziemlich unwahrscheinlich sein, dass mir da jemand dann etwas reinwürgt, weil halt der Spruch vom Kläger/Richter gilt?
Auf der anderen Seite, wäre dann ein Bild einer Tätowierung, einer Hand, wo z.B. Finger fehlen, eines Muttermales (sofern öffentlich sichtbar) u.U. ebenfalls „personenbezogene Daten.“ Schließlich kann u.U. auch darüber eine Person identifiziert werden….ja nach Aufwand der da getrieben wird.
bombjack
Letztendlich werden wohl einzelne Gerichtsurteile das klären. Die Definition habe ich einfach aus dem Antwortschreiben der EU Kommission
Hallo Thomas,
vielen Dank zunächst für Ihren informativen Block. Als Veranstaltungsfotograf kommt diese Verordnung für mich einem Berufsverbot gleich; danke, werte EU … Wenn ich das Ganze richtig verstehe, unterliegen auch alle Fotos der Vergangenheit, auf den Personen abgelichtet sind, dieser Verordnung?
Beste Grüße
Jens
Hallo Jens, danke für deinen Kommentar. Wenn du als Presse-Fotograf eine offizielle Akkreditierung hast, ist es für dich etwas leichter. Du darfst dann solche Fotos machen, auf der „Beiwerk-Personen“ identifizierbar sind ohne vorher eine Einverständniserklärung von jeder Person zu holen (das betrifft die Sport-Fotografen, Event-Fotografen u.a.).
Was die Vergangenheit betrifft, kann ich dir Stand heute überhaupt nichts sagen – ich suche, aber ich finde leider nichts….
Hinsichtlich „Personen als Beiwerk“: Warum sollte diese Regelung des KUG nur für akkreditierte Pressefotografen gelten? Woraus sollte sich eine solche Einschränkung ergeben?
Zumindest haben die Gerichte in der Vergangenheit so entschieden da das KUG gegenüber dem Bundesdatenschutzgesetz das speziellere Gesetz war. Daher ist davon auszugehen, dass sich das auf die DSGVO ebenso verhält. Sicher, genaues wird man nach den ersten Urteilen sehen.
Man könnte sich ja theoretisch als Blogger vom Veranstalter akkreditieren lassen. Das Problem wäre, dass bei der Veröffentlichung, der Veranstalter selbst in der Pflicht wäre. Wenn dann das Gericht entscheidet, den RA Solmicke, den hätten sie jetzt aber nicht besoffen mit seiner Freundin fotografieren dürfen, der Mann hat jetzt eine Rufschädigung und die Scheidung am Hals…. Kurzum, dann wäre der Veranstalter schuld und das wird sich wahrscheinlich keiner aus Bein binden wollen…..Hoffen wir, dass irgendwie zumindest ersatzweise oder übergangsweise das „alte“ KUG wieder eingesetzt wird.
In dem Beitrag des BMI stellt dieses das Kunsturhebergesetz ergänzend über die DSGVO. Man wird sehen, ob das die Gerichte auch so sehen
Hallo, ich finde auch nichts zu der Frage, wie mit im Internet veröffentlichten Fotos verfahren werden soll, die vor dem Stichtag entstanden sind. Das betrifft ja jede Menge Bildarchive, Fotoportale und Anbieter.
Ich kann mir kaum vorstellen, dass man diese Seiten entweder schließen müsste oder 100.000de Fotos durchsehen und gegebenenfalls löschen, wenn Personen darauf erkennbar sind?!
Ich wäre für einen Hinweis dankbar! Viele Grüße, Frank
leider weiß ich das auch nicht. Ich habe bis heute auch keine Antwort von Landesdatenschutzbeauftragten. Ich werde es nächste Woche noch einmal konkrekt mit dieser Frage versuchen.
Hallo Thomas,
danke für das Zusammentragen und analysieren der Informationen!
Was ich mich gerade frage: Sollte ich wirklich ein Haken beim Kontaktformular setzen? Eigentlich gebe ich den Hiweis auf die Datenschutzbedingungen ja schon beim ersten Besuch der Webseite in einem PopUp. Da steht auch dass ich die Daten nutze. Auch wenn mir Jemand direkt eine Email sendet, hat er ja keinen Einblick auf die Datenschutzbestimmungen. Ich fürchte einfach, dass keiner mehr Anfragen stellt, wenn da dieser Hinweis nochmal steht. Unsere kleine Firma lebt von den Anfragen.
Liebe Grüße
Philipp
PS: Bei dem Cookie-Hinweis auf deiner Webseite gibt es einen ‚Akzeptieren‘-Button. Werden auch Daten gespeichert wenn ich ihn nicht anklicke? Dewegen habe ich ihn bei uns ‚OK‘ genannt. Der Satz davor ist eindeutig…
Danke für den Hinweis, ich werde noch ein anderes Cookie Plugin installieren. Derzeit beantworte ich aber so viele Fragen, dass ich kaum dazu komme meine eigenen Seiten auf den Stand zu bringen 🙂
Ja, der Haken ist Pflicht. Der Hinweis in der Datenschutzerklärung reicht nicht aus. Jedesmal, wenn du Daten erhebst, musst du sagen warum.
Danke Thomas für den Artikel. Kennst du eine gute Seite oder hast ein Formular für die Models, welche ich in Zukunft fotografieren werde. Das wäre so so super. Liebe Grüße und danke im Voraus ^^, Julie
Bisher kenne kein Formular. Aber im Prinzip ist das nicht schwer das selbst zu machen. Du musst zusammenfassen das und zu welchem Zweck du Daten erhebst. Dann musst du darauf hinweisen, dass die Person jederzeit das Recht hat, das Löschen der Daten zu verlangen. Und du musst den Kontakt nennen (Name, E-Mail, Adresse) wohin sie sich wenden muss, falls sie das Löschen verlangen möchte.
Ich muss demnächst noch unsere Verträge für Hochzeiten anpassen dann kann ich mal zeigen, wie ich das umgesetzt habe.
Habe das mal eben angesehen. Im Prinzip kannst du am Ende des TFP-Vertrags folgenden Zusatz anfügen:
[Name] erhebt personenbezogene Daten des Auftraggebers (Models) zum Zweck der Vertragsdurchführung, (zur Erfüllung unserer vertraglichen und vorvertraglichen Pflichten).
Die Datenerhebung und Datenverarbeitung ist für die Durchführung des Vertrags erforderlich und beruht auf Artikel 6 Abs. 1 b) DSGVO. Eine Weitergabe der Daten an Dritte findet nicht statt. Die Daten werden gelöscht, sobald sie für den Zweck ihrer Verarbeitung nicht mehr erforderlich sind und soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht. Eine unentgeltliche Auskunft über alle personenbezogenen Daten des Auftraggebers (Models) ist möglich. Für Fragen und Anträge auf Löschung, Korrektur oder Sperrung personenbezogener Daten sowie Erhebung, Verarbeitung und Nutzung kann sich der Auftragnehmer (das Model) an folgende Adresse wenden:
[Name, E-Mail, Postanschrift]
Das sollte reichen, um der DSGVO gerecht zu werden.
Hallo Thomas!
Darüber wären auch wir sehr interessiert. Alles nicht so einfach mit der DSGV 🙁 .
Danke, Thomas, für deine Recherchen und die vielen wertvollen Informationen. Ich bin sehr interessiert an der Umsetzung des neuen Gesetztes in der Schweiz. Abwarten, was unser Land hierzu ausarbeitet…
Unabhängig davon, wie die Schweiz die DSGVO in lokales Gesetz umsetzt oder nicht: Wenn du deine Leistung in einem EU Staat anbietest (z.B. Hochzeitsfotograf aus der Schweiz für Deutschland), dann musst du die DSGVO berücksichtigen. Ist blöd, aber ist so…
Hallo zusammen,
beziehen sich die neuen Bestimmungen der DSGVO auch auf alle Fotos, die bereits auf einer Webseite eingebunden sind und vor Inkrafttreten erstellt wurden, oder betrifft das prinzipiell nur neue Fotos mit Personenabbildung ab 25. Mai?
Gruß, Hendrik
Hallo Hendrik, leider weiß ich das auch nicht. Ich habe bis heute auch keine Antwort von Landesdatenschutzbeauftragten. Ich werde es nächste Woche noch einmal konkrekt mit dieser Frage versuchen.
“ Eine unentgeltliche Auskunft über alle personenbezogenen Daten des Auftraggebers ist möglich. Für Fragen und Anträge auf Löschung, Korrektur oder Sperrung personenbezogener Daten sowie Erhebung, Verarbeitung und Nutzung kann sich der Auftragnehmer an folgende Adresse wenden:
Thomas Blasche Fotodesign, Brunnenstraße 26e, D 88662 Überlingen, info@thomas-blasche.de.“
Widerspricht sich das nicht, bist nicht du der Auftragnehmer, dann würdest du dich selbst bei Dir melden. ??? Oder verstehe ich das falsch.
Danke für den Hinweis. Ist korrigiert. Hatte es nur hier im Blog falsch geschrieben.
Hallo Thomas, wäre es möglich, dass du den Brief an den BDSB bzw. LDSB zur Verfügung stellst, damit man evtl. diese durch viele Anfragen unter „Druck“ setzten kann.
Habe die zwei E-Mails an den Landesdatenschutzbeauftragten eingefügt. Das E-Mail an den Bundesdatenschutzbeauftragten erübrigt sich, da ich hier entsprechende Antwort auf meine Frage vom EU Kommissariat erhalten habe. Ich erwarte aber auch keine Antwort von dieser Stelle, wenn ich jetzt die Fragestellung anpassen würde.
Das ist eben das ärgerliche derzeit in Deutschland – von oben bis unten wird alles ausgesessen….
Hallo!
Besten Dank für die Informationen. Momentan stecken wohl alle in mehr Verwirrung als in klarer Sicht.
Was ich zum Thema Bilder vor dem 25.5. herausgefunden habe, das diese wohl nicht betroffen sind aber man tut sich dennoch einen Gefallen, zu Überprüfen ob rechtswirksame Einwilligungen vorliegen.
Bei Verträgen ist es außerdem erforderlich, dass Auftraggeber aktiv den Passus der Datenspeicherung ankreuzen oder anklicken und der Wortkaut „Ich bin einverstanden mit…“ beginnt.
Bei Cookies von Websites gibt es gerade eine Disskussion. Und wie es so aussieht ist die Verwendung von Cookies und dem Anklicken akzeptieren nicht gestattet. Der Zugang zur Webseite soll auch ohne Cookies möglich sein.
Nutzen von Facebook und Insragram und Whatsapp ist auch Risikoreich, da z.B. Whatapp das Telefonbuch abgleicht und somit Daten ohne Einwilligung übertragen werden. Kunden, die kein Whatsapp haben, sind davon betroffen.
Ich geb Euch da Recht. Alles ein Hin und Her und man muss teilweise auch erste Urteile abwarten bis was aussagekräftiges rauskommt.
Bezügl. Vertrag haben wir es so realisiert. Unter der Unterschrift zum Vertrag müssen die Auftragnehmer noch einmal unterschreiben mit Hinweis zum Datenschutz in den AGB. Manche implementieren derzeit ein Opt-Out bei den Cookies, doch das halte ich für übertrieben. Letztendlich kann jeder Besucher in seinem Browser Cookie-Einstellungen vornehmen. Alles was nicht EU-Ausland ist, ist sicher derzeit mit Vorsicht zu betrachten…
Traurig ist einfach, dass unsere Regierung (von Bundes- bis Landesebene) das Thema einfach aussitzt und auf die Judikative verschiebt.
Hallo,
ich habe auch noch eine Frage und hoffe, dass ich nichts überlesen habe, dass meine Frage eventuell bereits beantwortet. Angenommen ich fotografiere eine Hochzeit und hole vorher auch von allen Gästen/Leuten die auf den Fotos zu sehen sind die Einverständniserklärung ein. Wie sieht es aus, wenn dann z.B. das Brautpaar die Bilder online stellt? Bin ich dann als Fotograf dafür „Haftbar“? Nachdem ich dem Brautpaar/Auftraggeber die Fotos geliefert habe, können diese ja damit tun was sie wollen ohne dass ich da Einfluss drauf nehmen kann.
Das sind zwei unterschiedliche Themen. Die DSGVO richtet sich vor allem an gewerbetreibende (frei schaffende). Dabei geht es um die Speicherung und Verarbeitung personenbezogener Daten. D.h. nur du als Hochzeitsfotograf bist davon betroffen. Privatpersonen, die Fotos ihrer Familie, Freunde etc. speichern sind davon nicht betroffen. Was das Veröffentlichen der Bilder durch das Brautpaar betrifft, betrifft das nur das Recht am persönlichen Bild. Das muss das dann Brautpaar aber selbst mit seinen Gästen klären.
Super Artikel. Vielen Dank.
Hast Du eine Idee, wie es mit Screenshots von Web Sites ist, auf denen Personen zu sehen sind? Verschiebe ich dann die Anfrage weiter oder hafte ich auch dafür? Und wenn der Screenshot vom indischen Pädagogen Sugata Mitra mit indischen Kindern ist?
Ich fürchte, agiere wird es kompliziert…
In Artikel 85 Abs. 2 der DSGV befindet sich eine Verpflichtung der Staaten, „Abweichungen und Ausnahmen zur DSGVO zur Gewährleistung der Freiheit der Meinungsäußerung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken zu schaffen.“ Da der deutsche Staat seiner gegebenen Verpflichtung zur Anpassung nicht nachgekommen ist und auch das alte KUG nicht offiziell außer Kraft gesetzt wurde, könnte man sich vielleicht darauf berufen? Hochzeitsfotografie ist ganz sicherlich ein künstlerischer Zweck.
Habe gerade mal meine alte Nikon F4s aus dem Schrank gezerrt. Auch nach über zehnjähriger Ruhepause funktioniert sie noch tadellos. Und sie erzeugt im Moment der Aufnahme keine Daten gemäß DSGVO, das steht fest. Wäre wohl auch eine Möglichkeit, das Gesetz zu umgehen. Fotografieren mit Film – das funktionierte doch früher auch… Womöglich wird Europa zum letzten Gebiet, wo die Leute wieder analog fotografieren. Bilder werden knapp, Preise gehen endlich wieder hoch, auch ein Aspekt…
Meine Frage bezieht sich auf die Eventfotografie. Ich bin freischaffender Fotograf, meine Schwerpunkte sind Veranstaltungen und Events. Bisher habe ich immer auch über dies CSDs in Dortmund, Köln und Essen Fotostrecken angefertigt, diese teilweise veröffentlicht und ein paar Zeilen zur jeweiligen Veranstaltung geschrieben. Praktisch bedeutet ja die neue, ab dem 25.05.2018 geltende DS-GVO das aus dieser Tätigkeit. Ich habe zwar einen gültigen Presseausweis der mich als Vertreter der Presse und als Pressefotograf identifiziert gehöre jedoch nicht zu einem der grossen Rundfunk, TV oder Zeitungsunternehmen was bedeutet, das ich kein Presseberichterstatter im Sinne des §5 GG Abs. 1, Satz 2 bin, weil per definition bezieht sich dieser nur auf die grossen vom Staat gesteuerten Unternehmen wie DPA, Reuters, afp, Tageszeitungen, Magazine und Rundfunkanstalten. Für mich bedeutet dies, das auf mich nicht das Presseprivileg, welches die DS-GVO abschwächt gilt. Wie sieht es mit der Fotoberichterstattung in diesem Fall nach aktiv werden der neuen DS-GVO aus ?
Falls du Mitglied in einem Journalistenverband bist, kannst du einmal dort anfragen. Ich kann und darf hier keine Rechtsberatung machen. Ich gebe nur das wieder, was ich gesammelt habe und was meine Meinung ist.
Hallo, ich bin erstaunt, dass sich betroffene Fotografen noch nciht zusammen getan haben und gegenüber der Regierung Schritte eingeleitet haben.
Grund: Duch das Versäumns der BRD im BDSG-NEU auf Grundlage des Artikel 85 Abs. 2 der DSGV hier eine Rechtssicherheit zu schaffen, hat Sie doch vorsetzlich und billigend in Kauf genommen, dass ein Hemmnis zur Berufsausübung besteht. Oder sehe ich das zu Buchstabengetreu?
Das wäre mein Ansatz, da ich nicht hoffen kann, dass eine gute Lösung von Seiten der Regierung kommt. Die klären zunächst nur das Thema Pressefotografie und CO.
Also bleibt mir doch nur der Weg, klarzustellen, dass ich in meiner Berufsausübung durch die Regierung derart unzumutbar eingeschränkt werde, so dass bei einigen die Absicherung der Grundexistenz gefährdet ist. Unzumutbarere Härtefall fällt mir da auch noch ein, wenn cih Hochzeitsfotografen im Blick habe. – Alle mal nur so ein gedanke in den Raum geworfen 🙂
Hier wird oft danach gefragt ob ältere Aufnahmen, also vor dem 25.05.2018, gelöscht werden müssen, „NEIN“! sagt Amin Negm-Awad, Rechtsanwalt für Medienrecht und Internetrecht, insbesondere zu Rechtsfragen der Fotografie und Datenschutzbeauftragter der fotocommunity.
Hier die Quelle dazu:
http://www.fotocommunity.de/blog/fotografisches/informationen/dsgvo-fuer-fotografen?sc_src=email_2092425&sc_llid=419159&sc_lid=61546632&sc_uid=WdHd57YGz1&utm_source=Datenschutz-NL&utm_medium=Email&utm_campaign=180516
Vielen Dank für den aussagekräftigen Artikel!
Gibt es immer noch kein Wissen darüber, wie mit vorhandenen veröffentlichten Galerien etc. umgegangen werden muss? Ich habe etwas gelesen, was mich etwas beunruhigt; und zwar, dass man jede abgelichtete Person informieren müsste über ihr Recht, ihre Veröffentlichungszustimmung jederzeit zurückzuziehen. https://www.citynews-koeln.de/dsgvo-10-wichtige-punkte-auf-die-sie-achten-muessen-_id54183.html (Punkt 10)
Insbesondere interessiert mich das in Bezug auf Menschen, die ich immer wieder mal „ohne Bezahlung gegen Veröffentlichung“ fotografiert habe. Wäre ja weg, der Sinn und Zweck, wenn die abgelichteten Personen nun die Veröffentlichungen verbieten könnten. Dann haben sie gratis Bilder und ich eine Menge Zeit in den Sand gesetzt 😉
Ja, aus der Nummer kommt man nicht raus. In Hinblick auf TFP Shootings ist das natürlich doof.
Hallo zusammen!
02.06.2018… lese gerade die DSVGO Thematik und habe auf den „Entwarnungs-Link“ geklickt; auch von anderen Seiten, auf welchen ich diesen Link fand.
Leider hat das Bundesinnenministerium den Beitrag / die Information offensichtlich entfernt.
@Thomas, oder „wer was weiß“… wie ist das zu deuten??
Hallo Petra, hier findet sich jetzt die Information: https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html#f10924666
Ich habe den Link oben aktualisiert.
Interessanter Artikel für Fotografen! Vielen Dank.