Am 25.05.2018 traten die europäische EU-Datenschutz-Grundverordnung (DSGVO) und die Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) in Kraft.
Alarmistische Szenarien, die in den letzten Tagen und Wochen weite Teile der Öffentlichkeit erfassten, strahlten bekanntlich auch auf unseren Verband aus. Von horrenden Bußgeldandrohungen bis hin zum bevorstehenden Ende des freien Journalismus war und ist die Rede. Wir haben in dieser Situation mehrfach versucht, die Wogen zu glätten. In einer ersten Information unserer Vertragsanwälte haben wir bereits vor rund zwei Wochen darauf hingewiesen, dass es natürlich auch für uns Änderungen geben wird, es aber keinerlei Grund gibt, darüber in Panik zu verfallen.
Auch die Landesdatenschutzbehörden haben bereits angekündigt, dass sie in der Anfangsphase der Umsetzung der DSGVO bei kleinen und mittelgroßen Unternehmen keine Bußgelder verhängen und vor allem beratend tätig sein wollen.
Wie angekündigt, haben unsere Juristen auf unsere Bitte hin die wichtigsten Auswirkungen der neuen Gesetzgebung auf unsere Arbeit in einer Art „Laufzettel“ zusammengefasst und sie verweisen dabei in zahlreichen Links auf „offizielle“ Seiten, insbesondere der Datenschutzbehörden, die der verbreiteten Verunsicherung entgegenwirken sollen.
Natürlich ergeben sich aus der Gesetzesänderung auch für Dokumentarfilmer neue Verpflichtungen, von denen die derzeit wichtigsten Änderungen gegenüber der bisherigen Rechtslage nachfolgend dargestellt werden.
1. Umsetzung der DSGVO im eigenen Unternehmen
2. Datenschutzbeauftragter
3. Verzeichnis von Verarbeitungstätigkeiten
4. Datenschutzerklärung
5. Verhältnis KUG / DSGVO, Medienprivileg
6. Anhang mit Hintergrundinformationen
___________________________________________________________________________
1. Umsetzung der DSGVO im eigenen Unternehmen
Es gibt einige gute Veröffentlichungen der Landesdatenschutzbeauftragten, in denen verständlich erläutert wird, wie die DSGVO und das BDSG-neu in Unternehmen umgesetzt werden sollten.
Das Bayerische Landesamt für Datenschutzaufsicht (LDA) hat einen Fragebogenentwickelt, der die wesentlichen Fragen enthält, die sich in einem Unternehmen gestellt werden sollten:
https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf
Das LDA hat zudem für einige Branchen – jedoch leider nicht für Medienproduktionen – Handreichungen erstellt, in denen die für die Branche wichtigen Anforderungen zusammengestellt wurden:
https://www.lda.bayern.de/de/kleine-unternehmen.html
Zum Einstieg empfehlen wir zusätzlich die vom Bayerischen Landesamt für Datenschutz herausgegebene Broschüre „Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine“ (erschienen im Verlag C.H. BECK, € 5,50).
___________________________________________________________________________
2. Datenschutzbeauftragter
In der Regel werden Mitglieder der AG DOK keinen Datenschutzbeauftragten bestellen müssen.
Wenn weniger als zehn Personen in Ihrem Unternehmen damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten, muss ein Datenschutzbeauftragter nur dann bestellt werden, wenn einem Unternehmen Daten einer der folgenden Kategorien regelmäßig – also als Kerntätigkeit – verarbeitet werden:
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
- Daten, aus denen die ethnische Herkunft hervorgeht
- Daten, aus denen politische Meinungen hervorgehen
- Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen
- Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht
- Daten über strafrechtliche Verurteilungen oder Straftaten
___________________________________________________________________________
3. Verzeichnis der Verarbeitungstätigkeiten
Nach Art. 30 DSGVO besteht nun die Pflicht ein Verzeichnis zu führen, das alle Verarbeitungstätigkeiten enthält. Das bedeutet, es muss aufgelistet werden, welche personenbezogenen Daten zu welchen Zwecken erhoben wurden. Eine solches Verzeichnis müssen die Verantwortlichen aber nicht von sich aus an die Datenschutzaufsichtsbehörde schicken, sondern müssen das Verzeichnis nur auf Anfrage der Behörde nach Art. 30 Abs. 4 DSGVO zur Verfügung stellen.
Die Pflicht gilt nicht für Unternehmen und Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Etwas anderes gilt nur, wenn die Unternehmen oder Einrichtungen die Datenverarbeitung regelmäßig als eine ihrer Haupttätigkeiten betreiben oder besonders sensible Daten verarbeiten.
In dem Verzeichnis müssen die wesentlichen Informationen der Daten¬verarbeitung zusammengefasst werden, insbesondere Angaben zu Zwecken der Verarbeitung, Löschfristen und Empfängern von Daten. Das Verzeichnis muss mindestens folgende Angaben enthalten:
• Namen und Kontaktdaten des Verantwortlichen sowie einer/eines etwaigen Datenschutzbeauftragten
• Zwecke der Verarbeitung
• Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
• Kategorien von Empfängern von Daten, einschließlich Empfängern in Drittländern oder internationalen Organisationen
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation
Wenn möglich, sollen zudem folgende Angaben im Verzeichnis enthalten sein:
• vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
• allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (sogenannte „TOM“) gemäß Artikel 32 Abs. 1 DSGVO
Weiterführende Informationen:
Weitere Informationen zum Verzeichnis der Verarbeitungstätigkeiten enthält das Merkblatt der Datenschutzkonferenz (DSK):
https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf
Musterverzeichnisse:
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bietet ein Musterverzeichnis an:
https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Verzeichnis_Verarbeitungstaetigkeiten.html
___________________________________________________________________________
4. Datenschutzerklärung
Die Datenschutzerklärung der eigenen Website wird, je nachdem welche Implementierungen vorliegen, in nahezu allen Fällen ergänzt werden müssen. Wir empfehlen hierfür einen der:
Datenschutzerklärungs-Generatoren:
Es gibt mittlerweile im Internet einige Datenschutzerklärungs-Generatoren, die nach Beantwortung einiger Fragen eine DSGVO-konforme Datenschutzerklärung für eine Webseite erstellen können. Die nachfolgende Liste gibt nur einige solcher Datenschutzerklärungs-Generatoren wieder. Diese Anbieter sind aber allesamt kostenlos und im Gegensatz zu anderen Anbietern werden hier von Nutzern keine Daten zwecks Versands von Werbematerial oder Kontaktaufnahme erhoben.
• https://datenschutz-generator.de/
Anbieter: Rechtsanwalt Dr. Thomas Schwenke, Berlin
Anmerkung: kostenlos für Privatpersonen und Kleinunternehmer (Kleinunternehmer ist lt. dem Anbieter der Webseite, wessen Brutto-Umsätze im vorangegangenen Kalenderjahr nicht höher als 5000 Euro waren, Vereine mit eingeschlossen)
• https://www.activemind.de/datenschutz/datenschutzhinweis-generator/
Anbieter: activeMind AG, München
• https://www.mein-datenschutzbeauftragter.de/datenschutzerklaerung-konfigurator/
Anbieter: Herold Unternehmensberatung GmbH, Stockelsdorf
Muster-Datenschutzerklärungen:
Ergänzend gibt es noch eine Muster-Datenschutzerklärung im Textformat, die allerdings vom Nutzer selbständig gestaltet werden muss:
• https://www.itm.nrw/wp-content/uploads/Musterdatenschutzerkaerung-nach-der-DSGVO_Stand_September_2022-1.docx
Anbieter: Institut für Informations-, Telekommunikations- und Medienrecht (ITM) - Zivilrechtliche Abteilung Prof. Dr. Thomas Hoeren, Münster
Rechtlicher Hintergrund:
Ein Unternehmen muss Personen, mit deren Daten sie umgehen möchte, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ bestimmte Informationen mitteilen, insbesondere
• Namen und Kontaktdaten des Verantwortlichen sowie einer/eines etwaigen Datenschutzbeauftragten
• Zwecke der Verarbeitung und die Rechtsgrundlagen dafür
• Interessen des Verantwortlichen, wenn er Daten auf der Basis einer Interessenabwägung verarbeiten möchte
• Empfänger der Daten bei einer Weitergabe an Dritte
• Dauer der Speicherung oder Kriterien für die Löschung der Daten
• Hinweise auf Rechte des Betroffenen
o Recht auf Bestätigung (Art. 15 Abs. 1 DSGVO)
o Recht auf Auskunft (Art. 15 Abs. 2 DSGVO)
o Recht auf Berichtigung (Art. 16 DSGVO)
o Recht auf Löschung (Art. 17 Abs. 1 DSGVO – „Recht auf Vergessenwerden“)
o Recht auf Einschränkung der Verarbeitung (Art. 18 Abs. 1 DSGVO)
o Recht auf Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO)
o Recht auf Widerspruch gegen die Verarbeitung (Art. 21 Abs. 1 DSGVO)
• Hinweis, dass die Einwilligung jederzeit ohne Angabe eines Grundes widerrufen werden kann
• Hinweis auf Beschwerderecht bei der Aufsichtsbehörde
___________________________________________________________________________
5. Verhältnis KUG / DSGVO, Medienprivileg
Bisherige Rechtslage
Das Recht am eigenen Bild im Kunsturhebergesetz von 1907 geregelt. Demnach ist für das Veröffentlichen eines Bildnisses einer Person (sofern sie erkennbar ist) grundsätzlich die Einwilligung des Abgebildeten erforderlich (§ 22 KUG). Das Recht am eigenen Bild gilt über den Tod des Abgebildeten 10 Jahre hinaus.
§ 23 Abs. 1 KUG sieht bestimmt zudem vier Ausnahmen von der Pflicht zum Einholen einer Einwilligung vor:
„(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:
1. Bildnisse aus dem Bereiche der Zeitgeschichte;
2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen;
3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen , an denen die dargestellten Personen teilgenommen haben;
4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient.“
Diese vier Ausnahmen gelten wiederum nicht uneingeschränkt. Wenn ein berechtigtes Interesse des Abgebildeten oder, falls dieser verstorben ist, seiner Angehörigen verletzt wird, muss im Rahmen einer Abwägung der widerstreitenden Interessen festgestellt werden, ob eine Veröffentlichung zulässig ist oder nicht (§ 23 Abs. 2 KUG).
Das KUG regelt aber nur die Veröffentlichung eines Bildnisses, nicht aber die Herstellung. Das Erstellen eines Fotos oder einer Videoaufnahme ohne Einwilligung des Abgebildeten und ohne Vorliegen einer Ausnahme des § 23 Abs. 1 KUG stellt daher keine Verletzung des KUG dar.
Das Fotografieren oder Filmen einer Person kann aber bereits einen Eingriff in das allgemeine Persönlichkeitsrecht aus Art. 1 Abs. 1 i.V.m. Art. 2 Abs. 1 GG darstellen. Ob das Erstellen einer Foto- oder Filmaufnahme rechtmäßig ist, würde sich dann auch einer Abwägung der Persönlichkeitsrechte des Abgebildeten mit den Rechten des Fotografen bzw. Filmemachers ergeben.
Änderungen durch die DSGVO
Derzeit ist noch umstritten, ob und in welchen Fällen die Anwendung des KUG von der DSGVO verdrängt wird.
Die Bundesregierung hat bereits erklärt, keinen Handlungsbedarf für eine eigene gesetzliche Regelung zur Nutzung einer in der DSGVO geregelten Öffnungsklausel zu sehen. Art. 85 DSGVO erlaubt es den Mitgliedsstaaten, für die Verarbeitung von Daten, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, Abweichungen oder Ausnahmen vorzusehen, um das Recht auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang zu bringen.
Ein Gesetzentwurf des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV), der sogar einen Vorrang der DSGVO vor dem KUG vorgesehen haben soll, wurde aber anscheinend bereits wieder verworfen.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit geht in einem undatierten Vermerk zumindest bei Bildern von Versammlungen und ähnlichen Veranstaltungen mit einer unüberschaubaren Anzahl von Menschen, keine gesonderte Einwilligung jedes Abgebildeten und auch keine vorherige Information erforderlich ist:
https://www.filmverband-suedwest.de/wp-content/uploads/2018/05/Vermerk_DSGVO.pdf
Das Bundesinnenministerium hat Antworten auf häufig gestellte Fragen (sog. FAQs) veröffentlicht, in denen zu Fotografieren grundsätzlich die Ansicht geäußert wird, dass das KUG weiterhin anwendbar sei:
https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/04/faqs-datenschutz-grundverordnung.html
Dies sind eher positive Signale seitens von Teilen der Exekutive und der Legislative. Ob dies allerdings auch von den Gerichten so gesehen wird, bleibt abzuwarten.
Medienprivileg
Für Journalisten und andere Personen und Unternehmen, die im Medienbereich tätig sind, soll zudem das sogenannte „Medienprivileg“ weitergelten.
Das “Medienprivileg“ bestimmt, dass bei einer ausschließlich journalistisch-redaktionellen und literarischen Erhebung, Verarbeitung und Nutzung personenbezogener Daten weitgehend von geltenden Datenschutzregelungen ausgenommen werden. Das „Medienprivileg“ ist noch im Bundesdatenschutzgesetz (dort § 41 BDSG) geregelt. Da der Bund seit 2006 die Rahmengesetzgebungskompetenz für die Bereiche der Presse abgegeben hat, wird die Neufassung des BDSG keine entsprechenden Regelungen mehr enthalten.
Nachdem nunmehr die Bundesländer für die Gesetzgebung in den Bereichen Medien und Presse zuständig sind, wird das „Medienprivileg“ in den Landespresse- und Landesmediengesetzen und für den Rundfunk in Staatsverträgen geregelt. Derzeit liegen dazu lediglich Gesetzentwürfe und der Entwurf des 21. Rundfunkänderungsstaatsvertrags vor (zum Stand der Gesetzgebungsverfahren in den Bundesländern per 16.05.2018). Statt einigen wenigen Vorschriften (BDSG und Rundfunkstaatsverträge) werden sich die Bestimmungen zum „Medienprivileg“ nun in einer Vielzahl landesrechtlicher Vorschriften befinden.
Eine derzeit aktuelle Zusammenstellung des Diskussionsstands findet sich bei Rechtsanwalt David Seiler (mit weiterführenden Links auf eine vierteilige Artikelserie zum Thema KUG und DSGVO):
https://www.fotorecht-seiler.eu/dsgvo-fotografie-kug-update/
___________________________________________________________________________
6. Anhang
Grundlagen
Art. 4 DSGVO enthält einige Definitionen von Begriffen, die in der DSGVO und im BDSG-neu benutzt werden.
Im Sinne der DSGVO bezeichnen die Ausdrücke:
• „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; (Art. 4 Nr. 1 DSGVO)
Beispiele dafür sind der Name, der Wohnort, das Geburtsdatum, die Religionszugehörigkeit, die Mitgliedschaft in einer politischen Partei oder einer Gewerkschaft. Aber auch Steuernummern, IP-Adressen, Kfz-Kennzeichen und Kontoverbindungsdaten und ähnliche Daten sind personenbezogene Daten im Sinne des DSGVO und des BDSG-neu. Eine natürliche Person, die durch solche personenbezogenen Daten identifiziert werden kann, wird als „Betroffene/r“ bezeichnet.
• „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; (Art. 4 Nr. 2 DSGVO)
• „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheide; (Art. 4 Nr. 7 DSGVO)
• „Unternehmen“ eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen;(Art. 4 Nr. 18 DSGVO)
Damit ist jeder Dokumentarfilmer, der diese Tätigkeit als Beruf oder sonst wirtschaftlich ausübt, Unternehmer im Sinne der DSGVO, unabhängig davon, ob die Tätigkeit als Einzelunternehmen, eingetragener Kaufmann (e.K.), Verein, als Personengesellschaft (z.B. GbR, OHG, KG) oder als Kapitalgesellschaft (z.B. GmbH, UG (haftungsbeschränkt), AG) ausgeübt wird.
Eine erste Einführung zum Datenschutzrecht und zur DSGVO ist in dem Skript „Internetrecht“ von Prof. Dr. Thomas Hoeren, Institut für Informations-, Telekommunikations- und Medienrecht (ITM) - Zivilrechtliche Abteilung, Münster – Stand März 2018 (S. 404 ff.) enthalten:
https://www.itm.nrw/wp-content/uploads/Internetrecht_30.03.2023.pdf
Eine gute Übersicht mit dem Wortlaut der DSGVO inklusive der Erwägungsgründe sowie zum BDSG-neu findet sich hier (mit Querverweisen): https://dsgvo-gesetz.de/
