DSGVO für Fotografen

Update 14.05.2018

Vom Bundesinnenministerium gab es jetzt Entwarnung, was das Fotografieren von Menschen betrifft. Trotzdem bleiben die Anforderungen, was die Erfassung und Bearbeitung personenbezogener Daten über die Internetseite betrifft…

Update 24.05.2018

Morgen ist es soweit: Die DSGVO tritt in Kraft. Aufgrund der Kommentare hatte ich noch versucht in Erfahrung zu bringen, wie es sich mit altem Bildmaterial verhält. Leider habe ich dazu weder vom Bundes- noch vom Landesdatenschutzbeautragten Antwort erhalten.

Aber: Ich habe noch zu meiner ursprünglichen Anfrage an den Bundesdatenschutzbeauftragten Antwort erhalten. Ich hatte in meinem Beitrag erwähnt, dass sich der Fotograf ggf. auf Artikel 6 berufen kann (Beauftragung). Das trifft aber nicht zu, auf Personen, die z.B. Gäste einer Veranstaltung (wie eine Hochzeit) sind.
Es scheint den Damen und Herren zumindest bewusst zu sein, dass es hier eine Lücke in der Definition gibt. Hier ein Auszug aus der Antwort:
“Hinsichtlich Ihrer Frage zu Aufnahmen, die in erster Linie nicht der Ablichtung von Personen dienen, auf denen je nachdem dennoch eine Vielzahl von Personen (mehr oder minder ungewollt) als Teil der fotografierten Szene abgelichtet sind, kann ich Ihnen mitteilen, dass die Problematik im Zusammenhang mit den Informationspflich-ten der DSGVO den Behörden bekannt ist und ein Austausch hierüber stattfindet. Zwar gibt es keine abschließende, rechtsverbindliche Haltung, die ich Ihnen mitteilen kann. Je nach Gestaltung des Einzelfalls wird eine Befreiung von den Informations-pflichten nach Art. 11 oder Art. 14 Abs. 5 DSGVO in Betracht kommen können.”

Das komplette Antwortschreiben hier.

Ursprünglicher Blog-Beitrag

Am 25. Mai 2018 ist es soweit: Die neue Datenschutzgrundverordnung (kurz DSGVO) der EU tritt in Kraft. Eigentlich seit längerem bekannt doch wie es so ist – je näher der Termin rückt, umso nervöser werden die Betroffenen.

Entwicklung der Suchanfragen bei Google zum Begriff “DSGVO” in den letzten 12 Monaten

Zuerst, wer ist überhaupt von dieser Verordnung betroffen? Betroffen sind alle Unternehmen, die personenbezogene Daten elektronisch speichern und bearbeiten. Ich möchte mich in diesem Beitrag vor allem mit der Speicherung personenbezogener Daten für Fotografen beschäftigen.

Auf unzähligen Internetseiten bieten Anwälte Videos, Dateien, Hörbücher u.a. zum Download  an (natürlich gegen Bezahlung).  Ich habe mich über Wochen immer wieder mit dem Thema beschäftigt. Habe die unterschiedlichen Anforderungen zur Erfüllung der DSGVO studiert. Ich bin kein Rechtsanwalt – aber ich habe einen gesunden Menschenverstand.

In einigen Facebook-Gruppen wird das Thema hochgepusht demnach ein Fotograf die Anforderungen zu erfüllen hätte, wie ein Unternehmen mit 1.000 Mitarbeiter. Und das ist der Punkt wo ich meine, wo man differenzieren muss. Klar, Gesetze, Verordnungen gelten für alle gleichermaßen. Aber: Ein “Unternehmen” bestehend aus einer Person (dem Fotografen) hat eben sicher keinen Datenschutzbeauftragen (und muß auch keinen haben). Also mal einfach die Kirche im Dorf lassen…

Was sind personenbezogene Daten

Personenbezogene Daten sind Daten, die einer bestimmten natürlichen Person zugeordnet sind oder zugeordnet werden können. Dazu gehören auch Fotos, auf denen eine Person identifiziert werden kann (s. Update weiter unten).

Verkaufen wir nun als Fotograf Bilder auf denen Personen identifiziert werden können bzw. die Nutzungsrechte an Bildern, fotografieren wir Portraits (im Auftrag), Hochzeiten u.a. speichern wir personenbezogene Stammdaten. Name, E-Mail-Adresse, Postanschrift, Handynummer und ggf mehr. Zumindest um eine ordentliche Rechnung zu erstellen. Und natürlich das Foto selbst.

Ist das alles neu?

Nein, schon vor der DSGVO gab es das Bundesdatenschutzgesetz in dem vieles schon geregelt war. Es sind einige Punkte hinzugekommen. Aber: Wer sich schon zuvor mit dem Datenschutz beschäftigt hat, wird nicht so viele Anpassungen vornehmen müssen. Vor allem sollten die Punkte berücksichtigt werden, die Außenwirkung haben. Die Abmahnanwälte werden wahrscheinlich schon mit den Füßen scharren. Und wie heißt es so schön: Was ich nicht weiß, macht mich nicht heiß…

Die DSGVO führt folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

Internetseite

Wer bisher schon eine Internetseite hat, sollte eigentlich auch schon vor der DSGVO eine Seite zum Datenschutz haben. Auf eRecht24 oder bei Rechtsanwalt Dr. Schwenke gibt es aktualisierte Generatoren für den Text. Wie bisher muss die Seite erkennbar und leicht erreichbar sein. Also z.B. “Datenschutz”.

Kontaktformular

Im Kontaktformular sollte eine Checkbox als Muss-Eingabefeld eingebaut werden, mit welcher der Nutzer des Kontaktformulars sein Einverständis zur Speicherung der personenbezogenen Daten gibt. Wer personenbezogene Daten erhebt ist verpflichtet, diese vor dem unerlaubten Zugriff durch Dritte zu schützen. Das bedeutet auch auf dem Weg vom Kontaktformular zum lokalen Computer. Das bedeutet die Übertragung muss verschlüsselt erfolgen. Ich habe daher alle Seiten komplett auf SSL umgestellt. Bei meinem Provider ging das sehr einfach.

Kleiner Tipp: Wenn ihr eure Seite auf SSL umstellt, macht noch eine Umleitung von http:// nach https:// – sonst könnte Google es übelnehmen weil die Seiten unter http:// nicht mehr gefunden werden… So sieht es bei mir in der .htaccess aus:

# http nach https Umleitung
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}/$1 [R=301,L]

Eine Firewall und ein Antivirenprogramm auf dem lokalen Computer sollte selbstverständlich sein. Ich selbst verwende dazu Kapersky Internet Security.

Kommentarfunktion

Falls auf der Seite Kommentare zugelassen werden: Auch hier eine Checkbox mit Muss-Eingabefeld bezügl. der Speicherung personenbezogener Daten. Ich verwende dazu das WordPress Plugin WPGDPR Compliance.

Dann sollte noch das Speichern von IP-Adressen bei Kommentaren unterbunden werden. Hier gibt es eine Anleitung dazu. (Wobei ich bei diesem Punkt auch unsicher bin – auf der einen Seite sollte ich die IP-Adresse speichern, falls z.B. Hasskomentare o.ä. abgegeben werden auf der anderen Seite darf die Internetseite keine unnötigen personenbezogenen Daten speichern – auch ein solcher Widerspruch in sich).

Vertrag zur Auftragsdatenverarbeitung

Wie schon oben geschrieben: Viele Dinge sind eigentlich überhaupt nicht neu. Schon im bisherigen Datenschutzgesetz gab es die Anforderung für einen Vertrag zur Auftragsdatenverarbeitung (§11 BDSG). Ein Vertrag zur ADV ist z.B. mit dem Provider zu schließen auf dem die Internetseite gehostet ist. Dieser speichert u.a. E-Mails, die Informationen aus dem Kontaktformular und IP-Adressen von Besuchern der Internetseite.

Aber: Dieser Vertrag zur ADV ist so ein Punkt, der keine Außenwirkung hat. Kein Anwalt hat das Recht, auf die Einsicht dieser Verträge. Unternehmen werden ggf. von einem Bundesdatenschutzbeautragten geprüft. Und diese haben genug damit zu tun, Unternehmen mit mehr als 250 Mitarbeiter zu prüfen (für die die Datenschutzanforderungen wesentlich höher liegen). Also mal die Kirche im Dorf lassen…

Weiterverarbeitung von Fotos

In manchen Facebook-Gruppen behaupten einige felsenfest, dass Fotos von Personen personenbezogene Daten sind. Wäre dem per se so, müsste dann ggf. auch ein Vertrag zur ADV mit Dienstleistern geschlossen werden (z.B. für Fotobücher, Fotoabzüge).

Update

Ich hatte ja u.a. die EU und den Bundesdatenschutzbeauftragten angeschrieben. Zumindest von der EU bekam ich (nach fünf Wochen) eine Antwort (Bild). Demnach sind Bilder, auf denen Personen eindeutig identifiziert werden können, per se personenbezogene Daten. Legt man nun die DSGVO so aus, wie sie beschrieben ist, kannst du als Fotograf für Hochzeiten oder Events praktisch aufhören. Denn: Laut DSGVO wird für die Vearbeitung und die Speicherung personenbezogener Daten eine Einverständniserklärung der fotografierten Person benötigt. Und zwar bevor das Bild gemacht wird. Auf das Brautpaar selbst bezogen, wäre das ja noch realisierbar – aber wie sieht es aus mit den Gästen?

Jeder Fotograf erkennt, hier waren eine Reihe von Büro-Hengsten am Werk, die von der Arbeit eines Fotografen nicht die geringste Ahnung haben.

Eine Hoffnung ist vielleicht der Erwägungsgrund 51 der DSGVO. Der bezieht sich eigentlich auf die Speicherung “sensibler” Daten. Könnte aber durchaus übertragen werden. Abzuwarten ist, wie die einzelnen Länder der EU die DSGVO auslegen.

Das wäre ja noch das Einfachste… Aber: würde man Fotos von Personen per se als personenbezogene Daten betrachten, würde das in der Konsequenz bedeuten, dass ich von jeder Person die ich fotografiere (und zwar bevor ich diese fotografiere!) eine Einverständniserklärung zur Speicherung der personenbezogenen Daten benötigen würde. Denn diese würde dann ja (bei Digitalkameras) im Moment der Aufnahme stattfinden.

Ich zitiere dazu mal aus dem Erwägungsgrund 51 der DSGVO:

Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.

Was ich daraus lese: Wenn ich ein Foto einer Person als digitale Daten sehe (im Internet) dann kann ich nicht ohne spezielle Hilfsmittel diese Person identifizieren. D.h. ich weiß nicht wer die Person ist, wie alt sie ist, wo sie wohnt usw.

Ich habe dazu Anfragen an den Bundesdatenschutzbeauftragten und an die EU gesendet. Bisher habe ich aber keine Antwort…. Update: Zumindest die EU hat geantwortet (s. oben) aber unsere Schlaftabletten-Regierung hat es nicht nötig, zu antworten.

Update: Auf das Antwortschreiben der EU habe ich mich (gemäß deren Empfehlung) an den Landes-Datenschutzbeauftragten des Landes Baden-Württenberg gewendet. Aber der hat (wie seine übergeordnete Instuition) keine Lust zu antworten…

Erste E-Mail an den Landesdatenschutzbeauftragten (11.04.2018)
Zweite E-Mail an den Landesdatenschutzbeauftragten (30.04.2018)

Verfahrensverzeichnis

Auch das Thema Verfahrensverzeichnis ist eigentlich nicht neu. Schon gem. Bundesdatenschutzgesetz gab es für jeden Unternehmer Dokumentationspflicht bezügl. der Speicherung personenbezogener Daten. Jetzt hat das Kind eben einen neuen Namen. Wer sich das antun möchte, es gibt diverse Mustervorlagen im Internet dazu.

Aber ich zitiere einmal aus einem Beitrag der Seite Datenschutz Guru (der komplette Blog-Beitrag dazu im Link):

Und mal ehrlich: Warum sollten Unternehmen denn überhaupt ein Verfahrensverzeichnis ernsthaft vorhalten? Kontrollieren tut es niemand und geahndet wird es de facto auch nicht, wenn ein Verfahrensverzeichnis fehlt.

Allgemeine Geschäftsbedingungen

Auch in den Allgemeinen Geschäftsbedingungen sollte sich ein Punkt zum Datenschutz finden. Ich habe das in meinen AGB wie folgt angepasst:

VII. Informationen zur Datenerhebung gemäß Artikel 13 DSGVO

  1. Thomas Blasche Fotodesign, Brunnenstraße 26e, 88662 Überlingen erhebt personenbezogene Daten des Auftraggebers zum Zweck der Vertragsdurchführung, zur Erfüllung unserer vertraglichen und vorvertraglichen Pflichten.
    Die Datenerhebung und Datenverarbeitung ist für die Durchführung des Vertrags erforderlich und beruht auf Artikel 6 Abs. 1 b) DSGVO. Eine Weitergabe der Daten an Dritte findet nicht statt. Die Daten werden gelöscht, sobald sie für den Zweck ihrer Verarbeitung nicht mehr erforderlich sind und soweit dem keine gesetzliche Aufbewahrungspflicht entgegensteht. Eine unentgeltliche Auskunft über alle personenbezogenen Daten des Auftraggebers ist möglich. Für Fragen und Anträge auf Löschung, Korrektur oder Sperrung personenbezogener Daten sowie Erhebung, Verarbeitung und Nutzung kann sich der Auftraggeber an folgende Adresse wenden:
    Thomas Blasche Fotodesign, Brunnenstraße 26e, D 88662 Überlingen, info@thomas-blasche.de.

In Verträgen weise ich explizit auf diesen Punkt der AGB hin.

Facebook, Google+ u.a.

Dazu kann ich leider nichts sagen. Mir war das ganze Zeug seit jeher suspekt. Ich habe einfache Links integriert, die bezügl. DSGVO kein Problem sind. Mit Google/Google+ mache ich keine Datenerhebung. Wer das tut, sollte sich seperat informieren, da hier Daten in das Nicht-EU-Ausland übertragen werden.

Auf einen Punkt sollten die achten, die eine eigene Internetseite haben: Bei CMS-Systemen wie WordPress, Typo3, Droplet u.a. wird oft die Schrift von Google-Fonts geladen. Dabei werden auch personenbezogene Daten (IP-Adresse u.a.) übertragen. D.h. hier die Schrift lokal installieren (auf dem Webserver) und Verweise auf Google-Fonts entfernen. Hierzu gibt es für die verschienden Content-Management-Systeme Anleitungen im Internet. Zu WordPress gibt es hier eine ganz gute Anleitung.

Mein Fazit

Leider kann man als gewerblicher Fotograf das Thema DSGVO nicht ganz links liegen lassen. Ich glaube, das versch. Abmahnanwälte hier schon wieder Futter riechen. Deshalb sollte man besonders die Dinge beachten, die von Außen sichtbar sind. D.h. die eigene Internetseite anpassen, AGB und Datenschutzerklärung anpassen und ggf. weitere Punkte, die nach außen sichtbar sind.

Enttäuschend ist wieder einmal unsere Politik. Sie hätte Gelegenheit und Möglichkeiten gehabt, die DSGVO auf lokales Recht anzupassen. Aber unsere Regierung verschiebt solche Entscheidungen seit mehreren Jahren auf die Judikative – und das ist nur noch ein Armutszeugnis unserer Regierung. Ebenso enttäuschend: Weder der Bundesdatenschutzbeauftragte noch der Landesdatenschutzbeauftragte reagieren auf entsprechende Anfragen.

Bei anderen Fragen muss man einmal abwarten, was sich hier aus der Praxis ergibt. Z.B. wurde das Thema “Datentransfer in nicht EU Staaten” in der DSGVO kaum konkretisiert (zu verdanken verschiedener Lobbyisten insbesondere aus USA – ja, die gibt es auch in Brüssel). U.a. zu lesen auf Wikipedia.

Ich bin kein Rechtsanwalt – daher alle Angaben hier ohne Gewähr… Ich habe mich auf verschiedenesten Seiten (Handwerkskammer, IHK, Bundesbeauftragte für den Datenschutz, u.a.) in das Thema eingelesen und mir die Punkte herausgesucht, die mich als Fotograf betreffen.

Ihr werdet, selbst wenn ihr einen Rechtsanwalt fragt, gerade bei solchen Fragen wie “ob Fotos per se personenbezogene Daten sind” keine rechtsverbindliche Auskunft erhalten. Lediglich eine Einschätzung der Rechtslage. Erst wenn entsprechende Muster-Urteile dazu vorliegen, wird sich ein Rechtsanwalt darauf ggf. (unverbindlich!) beziehen.

Ich weiß, manche sehen den einen oder anderen Punkt wesentlich schärfer als ich. Letztendlich muss jeder Unternehmer für sich persönlich entscheiden, wie er mit der neuen DGSVO umgeht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte die kleine Rechenaufgabe lösen... *