Event-Fotografie unter der Datenschutz-Grundverordnung

posted on 2018-05-27 by ciil
last updated on 2018-07-10
filed under: gdpr

Der folgende Beitrag stellt meine Einschätzung des dargestellten Sachverhalts als Datenschutzbeauftragter der Mayflower GmbH, München, dar und ist nicht als Rechtsberatung zu verstehen.

Nicht nur bei uns, als Ausrichter von Veranstaltungen wie den Dev- oder PO-Camps, war das Thema, wie nach dem Inkrafttreten der DSGVO mit der Event-Fotografie weiter zu verfahren sei, über die letzten Tage und Monate Gegenstand hitziger Diskussionen. Gerade in den letzten Wochen wurde eine wahre Fülle an Blogposts und Meinungen von Anwälten, Fotografie-Anwälten, Anwälten, Datenschutzbeauftragten und Anwälten veröffentlicht. Wer nun annimmt, dass diese verschiedenen Akteure alle geteilter Meinung ist, liegt bekanntlich richtig.

Eines der Probleme, dass gerade unser Marketing mit dem neuen Regelungsgehalt der DSGVO hat, ist sicher, dass sich fast alle vertretenen Meinungen vor allem um Nuancen der journalistische Veröffentlichung von Fotos oder die bezahlte Event-(dabei am häufigsten: Hochzeits-)Fotografie durch einen professionellen, extra beauftragten, weiteren Unternehmer drehen. Bei beiden Arten der Fotografie lassen sich häufig widerstreitende Grundrechte aufseiten der Verarbeiter finden, wie etwas die Freiheit der Meinungsäußerung und der Kunst, die eine gute Basis für eine ausgewogenere Betrachtung der Auslegung unbestimmter Rechtsbegriffe wie den “berechtigten Interessen” des Art. 6 I f) DS-GVO bilden. Fotos von einem DeveloperCamp oder einem Meetup, die man danach entweder auf der Firmenhomepage, bei meetup.com, Twitter, Facebook oder anderen sozialen Netzwerken hochlädt, kommen entsprechend kurz.

Dementsprechend werde ich nun versuchen, den aktuellen Stand der Diskussion etwas zusammenzufassen, mit speziellem Augenmerk auf eben genau diesen Fällen, die Mayflower als Ausrichter solcher Veranstaltungen oder auch einzelne Kollegen als Meetup-Organisatoren, derzeit umtreiben.

Rechtslage vor dem 25.05.2018

Zunächst mal zur einfachen, oder zumindest: bekannten, bisherigen Rechtslage, die ja auch noch bis in zum 25.05. maßgeblich war. Wie lief das also alles bisher? Größtenteils über das Kunsturhebergesetz (KunstUrhG). Das hat in in den §§ 22, 23 KunstUrhG Regelungen dafür bereitgestellt, die in der Praxis, und nach relativ einhelligem Verständnis der meisten Rechtsanwender und Rechtsgelehrten (die sog. “herrschende Meinung”), das BDSG a.F. vollständig verdrängt haben. Das BDSG a. F. enthält schließlich eine Regelung, nach der Spezialgesetze ihm immer vorgehen, die sog. Subsidiaritätsklausel des § 1 III BDSG. Das KunstUrhG befasst sich mit personenbezogenen Daten auf Bildern und ist dementsprechend spezieller als das BDSG a.F., bei dem es um alle personenbezogenen Daten geht. Damit haben die Regelungen des KunstUrhG die des BDSG verdrängt, und nach verbreiteter Meinung konnten dementsprechend Fotos auf Veranstaltungen vom Veranstalter auch für PR-Zwecke nach den erleichterten Regelungen der Einwilligung i.S.d. § 22 KunstUrhG erstellt und verbreitet werden – diese ist nicht zu verwechseln mit der datenschutzrechtlichen Einwilligung, weder in neuer noch alter Fassung! Eine solche Einwilligung gem. KunstUrhG galt gemeinhin schon als erteilt, wenn sich Veranstaltungsteilnehmer nicht explizit gegen eine Aufnahme wandten. Weiterhin konnte eine solche Einwilligung nach dem KunstUrhG nur mit “wichtigem Grund” widerrufen werden.

Hier sei noch kurz angemerkt, dass das Bundesinnenministerium vor kurzem eine Stellungnahme veröffentlicht hat, nachdem die Erhebung, also das eigentliche Anfertigen von Fotografien, auch schon nach BDSG a.F. zu bewerten gewesen sei. Diese Stellungnahme stieß unter den anderen Rechtsanwendern eher auf Unverständnis, da eine solche Auslegung bisher eher die Mindermeinung bildete und nach meinen Kenntnissen auch von keiner Behörde der Datenschutzaufsicht so vertreten wurde.

Neue Rechtslage seit dem 25.05.2018

Unter der DSGVO ist das ganze nicht mehr so einfach. Dieses enthält zwar auch sog. Öffnungsklauseln, also Bereiche, in denen die einzelnen Mitgliedsstaaten speziellere oder abweichende Regelungen zum Datenschutz erlassen können, aber grundsätzlich geht die DSGVO nach der sog. Normenhierarchie allen deutschen Gesetzen vor (inkl. den Landesverfassungen und dem Grundgesetz). Art. 85 DSGVO regelt, dass auch Datenschutzrechte nicht unbegrenzt gelten, sondern mit anderen Grundrechten, namentlich der Freiheiten Meinungsäußerung und Journalistik, der Kunst und Literatur sowie der Wissenschaft, in Einklang gebracht werden muss; diese Abwägungsentscheidung ist den einzelnen Mitgliedstaaten (im Rahmen) selbst überlassen.

Ob, und wenn ja, wie weit, das KunstUrhG als Spezialgesetz zur Auflösung der Normenkollision gem. Art. 85 DSGVO gelten kann und muss, ist Gegenstand der derzeitigen Diskussion.

Variante 1: Das KunstUrhG ist Spezialgesetz im Sinne der Öffnungsklausel des Art. 85 DSGVO, sowohl bezogen auf Veröffentlichung als auch Erhebung

Das KunstUrhG könnte nun also wie zuvor als Spezialgesetz im Sinne der Öffnungsklausel gewertet werden, das die Anwendung der DSGVO für alle Fotos vollständig verdrängt. Wie nach der alten Rechtslage gälten dann weiterhin die vereinfachten Regelungen zur Einwilligung. Wenn man das ganze bisher etwas besser dokumentiert angehen wollte, konnte man sich etwa verschiedener Namensschildfarben für Teilnehmer, die Einwilligungen erteilt haben, und solchen, die Fotografien nicht zustimmten, bedienen.

Nach einer solchen Auslegung würde sich an den Regelungen zur Eventfotografie also nichts ändern. Man brauchte bisher eine, zumindest implizite, Einwilligung zum Foto veröffentlichen, und braucht sie weiterhin. Aber wenn man die Einwilligung mal hat, kann man die Bilder auch tatsächlich öffentlich machen und muss sich nicht vor einer eventuellen Widerrufswelle fürchten.

Variante 2: Das KunstUrhG gilt nur für die Veröffentlichung von Fotos, für die sonstige Verarbeitung (inkl. der Erhebung) gilt die DSGVO uneingeschränkt

Die wohl inzwischen meist vertretene Auffassung stellt hart auf den Wortlaut des KunstUrhG ab, so wie es laut Einschätzung des BMI auch schon im Deutschen Recht hätte gelten sollen: das KunstUrhG befasst sich rein mit der Veröffentlichung von Fotos, nicht mit der initialen Erstellung. Dementsprechend unterscheiden sich die Anforderungen zwischen der Einwilligung gem. § 22 KunstUrhG, um einmal erstellte Fotos verbreiten zu dürfen, und der datenschutzrechtlichen Einwilligung gem. Art. 7 DSGVO, um die Aufnahmen anfertigen zu können. Eine Einwilligung nach Art. 7 DSGVO muss in klarer und einfacher Sprache die Zwecke und Form der Verarbeitung beschreiben, und vor allem freiwillig erklärt werden. Man kann die Erfüllung eines Vertrages (beispielsweise die Teilnahme an einer Veranstaltung) nicht davon abhängig machen, dass eine Einwilligung in die Verarbeitung von Daten, die nicht unbedingt zur Vertragserfüllung erforderlich sind, erteilt wurde.

Statt auf eine Einwilligung kann man sich bei der Erhebung der Daten natürlich auch auf einer der fünf anderen Rechtsgrundlagen aus Art. 6 I DSGVO stützen. Als einzige in Frage kommende Möglichkeit für Meetups oder sonstige, eher nicht der Zeitgeschichte zuordnenbare Events, fällt hier Art. 6 I lit. f) DSGVO auf. Diese Rechtsgrundlage stellt auf die “berechtigten Interessen” des Verarbeiters an der Verarbeitung ab. Berechtigte Interessen können sich unter anderem aus entgegenstehenden Grundrechten und sonstigen Rechten ergeben, insbesondere etwa aus der bereits angesprochenen Meinungsfreiheit, oder auch aus der Berufs- oder Eigentumsfreiheit. Erwägungsgrund 47 gibt hier einige Beispiele, wenn etwa eine “maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht”. Ob auch die Event-Teilnahme als “maßgebliche und angemessene Beziehung” gilt, bzw. ob ein Teilnehmer, aufgrund des Vertragsverhältnisses zur Teilnahme, als Kunde zu zählen ist, bleibt fraglich. Die Daten werden auch nicht zum Direktmarketing, einem weiteren möglichen berechtigten Interesse laut Erwägungsgrund 47, verwandt.

Weiterhin fraglich ist nun, ob der Eingriff in die geschützten Rechte der Betroffenen nur unerheblich klein ist. Der Eingriff bewegt sich noch im Bereich der Sozialsphäre, selbst wenn das Event nicht öffentlich ist (wie ein Meetup), sondern nur einem geschlossenen Kreis von Eventteilnehmern zugänglich, sollte also in der Regel keine weiteren Informationen über den Betroffenen offenbaren, als dass er an einer Veranstaltung teilgenommen hat. Ob dies nur den eigentlichen fachlichen Rahmen umfasst, oder beispielsweise auch die Teilnahme an eventuellen Abendveranstaltungen, inkl. der Ablichtung beispielsweise während des Konsums alkoholischer Getränke, kann als noch weitergehende Frage aufgefasst werden.

Bis zur ersten Klärung der Grenzen des Art. 6 I lit. f) DSGVO durch die Gerichte bewegt man sich mit einer solchen weiten Auslegung und Interpretation selbstverständlich weiter auf dünnem Eis.

Variante 3: Das KunstUrhG ist kein Spezielgesetz im Sinne der Öffnungsklausel des Art. 85 DSGVO

Gegen die in beiden Varianten oben vertretene Auslegungung des Art. 85 spricht vor allem der eigentliche Text der Öffnungsklausel: Sie soll vor allem die Verarbeitung “zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken” erleichtern, und bezieht sich als entgegenstehendes Grundrecht ausschließlich und abschließend auf die Freiheit der Meinungsäußerung. Eine Berichterstattung zum Zeitgeschehen soll also explizit erlaubt und auch bebildert sein, auch wenn Personen auf den Bildern zu sehen sind. Einige der Ausnahmetatbestände des KunstUrhG mögen diese hehren Ziele im Grundsatz erfüllen, aber weniger durch die Einwilligung des § 22 KunstUrhG, und mehr durch die schon jetzt vorhandenen einwilligungsfreien Verbreitungsgrundlagen des § 23 KunstUrhG, von denen keine auf die zu PR-Zwecken angefertigten Lichtbildnisse einer privaten Konferenz oder eines Meetups anwendbar sind.

Entgegen der Aussagen des BMI und einiger Europapolitiker ist dementsprechend mehr als fraglich, ob das KunstUrhG weiterhin für irgendeinen Teil der Veröffentlichung von Event-Fotografien relevant sein wird, oder ob die gesamte Begründung für eine Datenverarbeitung von Bildern zu PR-Zwecken unter den noch vollständig ungetesteten Regelungen der DSGVO stattfinden muss.

Ansonsten gestaltet sich die Prüfung der Rechtsgrundlage wie oben, nur richtet sich dann logischerweise auch die Veröffentlichung ausschließlich nach den Vorschriften der DSGVO. Das berechtigte Interesse müsste also auch noch den Zweck der Veröffentlichung auf eigenen Systemen oder, etwa im Falle von meetup.com oder Facebook-Events, eine Veröffentlichung auf diesen Plattformen umfassen.

Ergebnis

Insgesamt kann man dementsprechend festhalten, dass die Veröffentlichung von Event-Fotografien durch Konferenz-Veranstalter und Meetup-Organisatoren auch in Zukunft möglich sein sollte. Die derzeitigen Probleme ergeben sich mehr aus der Tatsache, dass Rechtsunsicherheit darüber herrscht, auf welche Rechtsgrundlage zur Erhebung und Veröffentlichung man sich stützen kann oder dann, nach Klärung durch die Rechtsprechung, letztlich muss.

Setzt man auf Art. 6 I lit. a) DSGVO, so setzt man sich der Möglichkeit begründungsloser Widersprüche im Nachhinein aus. Wurden original sehr viele Bilder veröffentlicht, wären Verantwortliche unter Umständen verpflichtet, mehrere hundert Fotografien nach Abbildungen des Betroffenen zu durchsuchen, um so dessen “Recht auf Vergessenwerden” nachzukommen.

Stützt man sich auf Art. 6 I lit. f) DSGVO, so setzt man sich der Gefahr aus, dass PR und Marketing in der genutzten Form durch spätere (gerichtliche) Entscheidungen nicht als berechtigtes Interesse anerkannt werden, und sodann alle veröffentlichten Fotos vorhergehender, mitunter Jahre zurückliegender, Veranstaltungen zu löschen sind. Dies erstreckt sich beispielsweise auch auf mit sozialen Medien geteilte Fotografien. Sollte eine solche Entscheidung bei einer Überprüfung durch eine Datenschutzbehörde getroffen werden, muss man zusätzlich noch mit Bußgeldern rechnen. Hier sollte man sich nicht zu viele Gedanken machen, auch wenn man viel von Millionenbußgeldern liest. Ich gehe davon aus, dass die DSGVO gerade in Deutschland eher dazu führt, dass überhaupt mal ein Bußgeld verhängt wird, als dass dieses gleich Streit wegen übertriebener Härte auslösen wird.

Stützt man sich vollständig auf § 22 KunstUrhG, und es stellt sich später heraus, dass das KunstUrhG nicht als Spezialgesetz im Sinne des Art. 85 DSGVO anzusehen ist (ob nur bezogen auf die Veröffentlichung oder auch auf die Erhebung ist dann belanglos), ergibt sich letztlich das gleiche Bild wie beim letzten Punkt. Auch eine nachträgliche Umdeutung auf berechtigte Interessen ließe sich dann wohl analog zu einer widerrufenen datenschutzrechtlichen Einwilligung nicht mehr vornehmen, da solches Umdeutungsverbot wird von den Datenschutzaufsichten gemeinhin angenommen wird.

Als Mayflower haben wir uns vorerst mal dazu entschieden, bei den unmittelbar nächsten Events keine Fotos der Teilnehmer zu machen, abgesehen von solchen, die explizite Einwilligungen gegeben haben (etwa ein Mayflower-Speaker vor seiner Präsentation) – so brauchen wir uns um die Einholung und Dokumentation von Einwilligungen oder sonstigen Begründungen für die Datenerhebung vorerst keine Gedanken machen und können uns erstmal noch auf andere Prioritäten im Rahmen der DSGVO-Umstellung fokussieren. Es kann aber gut sein, dass in naher Zukunft die Fotos wieder zurückkehren, je nachdem, ob man in nächster Zeit von Gerichten bessere Argumente an die Hand bekommt, die die entstandene Rechtsunsicherheit soweit ausräumen, dass damit eher zu arbeiten ist. Eine Stellungnahme des Bayerischen Landesamtes für Datenschutzaufsicht über die Prioritäten der zukünftigen Arbeit unserer zuständigen Datenschutzaufsicht würde ja schon helfen. Dieses ist derzeit jedoch noch mit der Fertigstellung des elektronischen Meldetools für betriebliche Datenschutzbeauftragte gem. Art. 37 VII DSGVO beschäftigt.

Update 2018-06-28: Kleinere Rechtschreib- und Formatierungskorrekturen.

Update 2018-07-10: Das OLG Köln hat (B. v. 18.06.2018 – 15 W 27/18) eine Entscheidung getroffen, die nach ersten Berichten in der Fachliteratur die weiterführende Anwendbarkeit des KunstUrhG neben der DSGVO als gegeben ansieht, bezieht sich hierbei aber erneut auf die Verarbeitung zu journalistischen Zwecken. Welche Auswirkungen der Beschluss auf meine Einschätzung bzgl. zu Marketing-Zwecken gefertigter Veranstaltungsfotografien haben wird, lässt sich jedoch erst nach Sichtung der Begründung des Gerichts erkennen. Der Post wird dementsprechend zeitnah nach der Veröffentlichung angepasst.

Weiterhin kommt eine in ZD-Aktuell 2018, 04313 rezensierte Dissertation von Florian Klein, Personenbilder im Spannungsfeld von Datenschutzgrundverordnung und Kunsturhebergesetz, letzlich zum gleichen Ergebnis wie dieser Blogpost und verlangt ein Tätigwerden des Gesetzgebers, da eine Weitergeltung des KunstUrhG unter der DSGVO nicht in Betracht komme.

back