Die EU-Datenschutzgrundverordnung (DSGVO) wird zwar am 25. Mai 2018 eingeführt, doch es herrschen dann noch eine Menge Unklarheiten. Sicher ist, dass sie nicht nur für Datensätze kommerzieller Unternehmen gilt, die ihren Kunden Rechenschaft über den Standort und die Löschungsmöglichkeiten der Daten geben müssen, sondern dass auch Fotos erkennbarer Personen persönliche Daten sind, vor allem wenn aus den EXIF-Daten möglicherweise hervorgeht wo und wann das Foto aufgenommen wurde. Sind die Bilder nicht nur für den Privatgebrauch bestimmt, wo die DSGVO keine Anwendung findet, sondern werden sie vielleicht auch zu einem späteren Zeitpunkt publiziert, muss das Einverständnis der fotografierten Person vorliegen, und diese muss die Möglichkeit haben, diese Bilder zu löschen oder löschen zu lassen. Wie aber sieht es mit Fotos aus, die im Öffentlichkeitsbereich entstanden sind? Was muss der Hochzeitsfotograf tun, der wohl das Einverständnis des Brautpaares hat, nicht aber der Hochzeitsgesellschaft? Fragen, die uns alle beschäftigen und die jedoch bis dato vom Gesetzgeber noch nicht schlüssig beantwortet wurden.
Wie ist das alles entstanden?
Mit dem Datum vom 27. April 2016 hat die EU ihre Datenschutzgrundverordnung (DSGVO) (EU) 2016/679 veröffentlicht, die nun am 25. Mai 2018 zur Anwendung kommt. Am gleichen Tag wurde zudem die Richtlinie (EU) 2016/680 «zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr» veröffentlicht.
Die DSGVO gilt unmittelbar für alle EU-Mitgliedsländer und für alle Firmen, die ihre Produkte Bürgern in der EU anbieten. Hier genügt es schon, dass ein Online-Shop seine Preise in Euro angibt und/oder seine Lieferkonditionen für Lieferungen in die EU nennt. Mittels der Öffnungsklauseln kann die EU-Verordnung jedoch an besondere nationale Bedingungen angepasst werden. Und dabei kommen die einzelnen EU-Mitgliedsländer zu durchaus unterschiedlichen Lösungen. So hat man in Österreich kurzfristig dafür gesorgt, dass Verstösse von Unternehmen gegen die neuen Datenschutzregelungen keine Strafen, sondern nur Verwarnungen erfolgen. Gleichzeitig wurde gemeinnützigen Organisationen, welche im Auftrag betroffener Bürger Datenschutzverletzungen zur Anzeige bringen, von den Tätern Schadenersatz zu fordern, dieses verboten. In der Konsequenz bekommen sie kein Geld von Prozessfinanzierern. Damit stehen die von Datenschutzverletzungen betroffenen Bürger im Regen (Quelle).
Die Richtlinie (EU 2016/680) muss in jedem EU-Mitgliedsland jeweils in nationales Recht umgesetzt werden und ist letztlich verknüpft mit dem Schengen-Abkommen. Sie wirkt sich somit auch auf die schweizerische Gesetzgebung aus. Die EU-Kommission priorisierte die Umsetzung der Richtlinie gegenüber der Revision des Schweizerischen Datenschutzgesetzes (DSG), das in der Folge noch auf die Verabschiedung wartet. Für Deutschland gibt es einen Überblick über die DSGVO, die jeweils passende Erwägungsgründe und das aktuelle Bundesdatenschutzgesetz, wie es als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen wurde (siehe dsgvo-gesetz.de)
Welche Ziele verfolgt die DSGVO?
Hintergrund der DSGVO war die Idee, dass man die Daten der europäischen Bürger in einer Form schützen wollte, die in jedem EU-Mitgliedsland grundsätzlich den gleichen Standards folgt und die die grossen Datensammler wie Google, Facebook, Amazon oder Twitter verpflichten sollte, ihre Daten innerhalb der EU zu speichern. Damit wollte man durchsetzen, dass für die Daten der europäischen Bürger auch der europäische Datenschutz zur Anwendung kommt, was nicht zuletzt den US-amerikanischen Geheimdiensten einen Riegel vorschieben sollte.
Zumindest in diesem Punkt scheint die DSGVO inzwischen jedoch schon gescheitert zu sein. Der Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) verpflichtet amerikanische Unternehmen dazu, auf ihren Servern im Ausland liegende Daten den US-Behörden zu übergeben. In der Folge wollen die USA mit europäischen Staaten Vereinbarungen abschliessen, welche die bisherigen Verfahren der gegenseitige Rechtshilfe ausschliessen. Die Vereinbarungen sollen nicht mit der EU abgeschlossen werden, sondern mit den einzelnen EU-Mitgliedsstaaten.
Gilt die DSGVO auch für Schweizer Unternehmen?
Die territoriale Auslegung der DSGVO ist recht grosszügig ausgelegt. Jeder Schweizer Händler, der seine Produkte an EU-Bürger verkauft oder zumindest im EU-Raum anbietet, unterliegt der DSGVO. Dafür, dass ein Unternehmen unter die DSGVO fällt, mag schon eine Website genügen, deren Preise auch in Euro oder einer anderen in der EU geltenden Währung angegeben werden oder die Liefer- und Zahlungskonditionen für Ausländer erwähnt. Dies gilt erst recht, wenn in der EU eine Service-Hotline betrieben wird oder das Surfverhalten von EU-Bürgern auf der eigenen Website analysiert wird. Die Zugänglichkeit der schweizerischen Website eines Schweizer Unternehmens für Bürger der EU alleine, verpflichtet das Unternehmen noch nicht zur Einhaltung der DSGVO.
Die durch die DSVGO bedingte Revision des Schweizer Datenschutzgesetz (DSG) befindet sich noch in der Vernehmlassung. Das revidierte DSG soll im Herbst 2018 in Kraft treten. Schweizer Unternehmen, die keinen Kontakt in die EU haben, können sich solange noch beruhigt zurücklehnen. Ob das neue DSG im Detail härter ausfallen wird als die europäische Verordnung ist derzeit noch nicht abzusehen. In der Vergangenheit hat die Schweiz EU-Vorschriften in den eigenen Gesetzen durchaus verschärft. So mancher hofft jedoch, dass der Schweizer Gesetzgeber die EU-Verordnung pragmatisch auslegt und den bestehenden Spielraum der Öffnungsklauseln nutzt, um gerade noch EU-konform zu sein, ohne unnötigen bürokratischen Aufwand hervorzurufen. Der Schweizerische Gewerbeverband sgv hat ein sehr ausführliches Merkblatt als Checkliste für Gewerbetreibende herausgegeben.
Ärgerliche, aber leicht lösbare Folgen der DSGVO
Für Firmen, welche Newsletter versenden und die Empfängerdaten in einer Datenbank verwalten, scheinen durch die neue EU-Verordnung neue Anforderungen zu gelten. Für Deutschland gelten jedoch schon bisher sehr strenge Regelungen für den Versand von Newslettern. So gilt eine Zustimmung zum Versand nicht ewig, sondern muss nach einer längeren Newsletter-Versandpause wieder erneuert werden. Ein Double Opt-in (Zustimmungsverfahren) für die Newsletter-Anmeldung schützt den Versender vor missbräuchlich angegebenen E-Mail-Adressen und damit vor dem Spam-Vorwurf fälschlich eingegebener Empfänger. Daher führt zum Zwecke der Nachweisbarkeit letztlich auch heute schon kein Weg am Double Opt-in vorbei.
Wer seine Newsletter an Interessenten verschicken will, zu welchen noch keine Geschäftsbeziehungen bestehen, sollte dies mit Hilfe eines auf seiner Website verlinkten Formulars anbieten und erklären, wofür die Daten genutzt werden und wie sie gespeichert und verarbeitet werden, wenn er sich hierfür registrieren lässt. Er muss den Newsletter-Empfängern zudem die Möglichkeit geben, sich aus der Liste mittels einer Double Opt-out Lösung wieder löschen zu lassen. Bei bestehenden Kundenbeziehungen ist die Situation hinsichtlich des Opt-in etwas entspannter. Die Newsletter müssen jedoch im Zusammenhang mit den jeweiligen Kundenbeziehungen stehen.
Da die Vorschriften der DSGVO gelten für alle systematisch abgelegten personenbezogenen Daten gelten, kam in der jüngsten Diskussion das Thema Business Cards auf. Wer diese unsortiert in einem Schuhkarton sammelt, dürfte aus dem Schneider sein. Werden die Karten jedoch sortiert aufbewahrt oder gar einscannt, muss derjenige, der seine Karte übergibt darüber informiert werden, wie diese Informationen verarbeitet werden und wie er die Löschung der Daten beantragen kann. Auch bei den Visitenkarten gelten Ausnahmen im Rahmen von bestehenden Kundenbeziehungen.
Ungeklärte Wirkung der DSGVO
Die vielfach als von den Vorschriften befreit erwähnte institutionalisierte Presse, ist in der DSGVO nicht näher spezifiziert (Quelle). Somit stellt sich die Frage, ob der Schriftleiter eines Vereins, der Bilder eines Vereinsevents auf die eigene Website hochlädt oder im Vereinsblatt veröffentlicht, auch der Presse zugerechnet wird. Eine vergleichbare Fragestellung könnte auch im Zusammenhang mit den von verschiedenen Kommunen herausgegebenen Amtsblättern mit teilweise redaktionellem Inhalt ergeben.
In einem Antwortschreiben des Bürgerservices des deutschen Bundesministerium des Innern, für Bau und Heimat auf die Anfrage eines Mitglieds der fotocommunity wird die Ansicht vertreten, dass das «Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie» (KuG) vom 09. Januar 1907 auf Grundlage der Öffnungsklausel nach Art. 85 Abs. 1 DSGVO weiterhin Anwendung findet. Ob diese Meinung auch von Gerichten akzeptiert wird, ist bislang noch nicht absehbar.
Da digitale Bilder in einer Kamera oder einem Smartphone automatisiert in einem Datenverzeichnis und mit EXIF-Daten abgelegt werden, wie dies in der DSGVO beschrieben wird, kann man davon ausgehen, dass schon das Anfertigen einer Aufnahme die Zustimmung der fotografierten Person erfordert. Schnappschüsse sind dann in der Praxis nur noch im Privatbereich erlaubt. Die Aufnahmen dürfen jedoch später auch nur im Kreise der Familie gezeigt und nicht veröffentlicht werden. Eine Veröffentlichung in einem öffentlich zugänglichen Blog benötigt die zuvor erteilte und dokumentierte Zustimmung und muss wohl auch sowohl die Möglichkeit des späteren Widerrufs bieten. Ob die Zustimmung auch mit einer gewissen Regelmässigkeit neu erfolgen muss und die Veröffentlichung sonst ab diesem Zeitpunkt zurückzunehmen ist, ist derzeit durchaus noch umstritten. Als Veröffentlichung gelten selbstverständlich auch Einsendungen an Wettbewerbe oder die Präsentation in Ausstellungen.
Was für Labors und Fotohändler wichtig ist: Im Falle der Digitalisierung analoger Filme zur Anfertigung von Abzügen muss der Verarbeiter dokumentieren können, dass die dabei prozessbedingt anfallenden personenbezogenen Daten nach Abschluss des Prozesses sicher gelöscht, also faktisch überschrieben werden, so dass Dritte keinen Zugriff auf diese Daten erhalten können.
Die DSGVO gilt übrigens auch für analoge Aufnahmen, die sortiert abgelegt werden. Die beschrifteten Urlaubsbilder in einem Fotoalbum zählen ebenso dazu, wie die entsprechenden Diamagazine aus vergangenen sonntäglichen Projektions-Marathons. Der Dachbodenfund im Schuhkarton entspricht wohl in den meisten Fällen nicht den Voraussetzungen zur Anwendung der DSGVO. Problematisch könnten jedoch alte Familienalben werden, die an Familienfremde verkauft werden oder deren Bilder eingescannt und dann veröffentlicht werden, wenn einer der Abgebildeten noch lebt.
Die Frage, ob man alte Familienalben oder Diasammlungen mit Personenaufnahmen künftig auf dem Trödel verkaufen oder einem Museum übereignen darf, wurde in den Gesprächen mit Juristen auf den ersten Blick negativ beschieden und sollte im Einzelfall konkret geprüft werden. Hier dürfte in erster Linie relevant sein, ob einer der Abgebildeten noch lebt oder zumindest seine Rechte am eigenen Bild noch nicht abgelaufen sind.
DSGVO und Blockchain
Das Problem, dass die DSGVO das Recht auf Vergessen fordert und dies mit der Blockchain-Technik, die gerade das Vergessen verhindert, als nicht kompatibel erscheint, hatte bei zahlreichen Blockchain-Betreibern für Verwirrung gesorgt. Doch hier scheint es praktikable Lösungen zu geben, wie eine Anfrage bei der Berliner Firma Copytrack ergab. Deren CEO Marcus Schmitt erklärte dazu: «Die Blockchain-Technologie die wir nutzen, ist prädestiniert dafür, den Urheber unveränderlich mit seinem Bild zu verbinden. Dabei speichern wir den Hash des Bildes zusammen mit einer Referenznummer des Fotografen. Personenbezogene Daten werden dabei nicht in der Blockchain gespeichert. Fordert uns nun ein Fotograf auf, seine personenbezogenen Daten zu löschen, geschieht dies in unserer Datenbank. Damit hat die in der Blockchain gespeicherte Referenznummer kein Ziel mehr – die Transaktion an sich bleibt dennoch erhalten, ist aber DSGVO konform.“
Disclaimer: Dieser Beitrag zur DSGVO versteht sich als sorgfältig recherchierte Sammlung von Informationen zur Umsetzung der EU-DSGVO, erhebt jedoch weder den Anspruch auf Vollständigkeit noch stellt er eine Rechtsberatung dar.
Christoph Jehle
Weitere lesenswerte Artikel:
• Wilde Beuger Solmecke (Rechtsanwälte)
«DSGVO und Fotografie – was gilt ab 25. Mai für Fotografen, Presse, TV und Private?»
• IPCL Rieck und Partner (Rechtsanwälte): «Wissen zur DSGVO – 7 Tipps für Fotografen»
• Intersoft Consulting «Datenschutz-Grundverordnung»
• watson.ch: «Was du, lieber Schweizer Internet-User, über den neuen EU-Datenschutz wissen musst»
• fotocommunity.de: «Die People- & Streetfotografie lebt – auch mit der DSGVO»
• Bundeshaus KMU-Portal: «Datenschutz: Neue EU-Verordnung»
• juraforum.de: «Panoramafreiheit – was darf man fotografieren und welche Gesetze müssen bei der Veröffentlichung beachtet werden?»
Lieber Urs, Liebes Fotointern Team
Vielen herzlichen Dank für den tollen Artikel – wie immer sehr gut und ausführlich recherchiert und zusammengetragen.
Einmal mehr wird mit Kanonen auf Spatzen geschossen und die Anwälte dürfen sich jetzt schon die Hände reiben.
Wir Fotofachbetriebe sind mal gespannt, wie das unsere Gesetzgeber in der Schweiz umsetzen wollen.
Vermutlich müssen wir in Zukunft an jeder Konformation oder Hochzeit, von allen Besuchern eine Unterschrift abverlangen, bevor wir auf den Auslöser drücken.
Alex Mächler, Präsident von Imagingswiss – dem Fotoverband