Neue EU-Datenschutzgrundverordnung – DSGVO: So wirkt sich das kommende EU-Recht auf Ihr Fotobusiness aus – Teil 1

Am 25.05.2018 wird das neue EU-Datenschutzrecht – die EU-Datenschutzgrundverordnung, kurz DSGVO – und das neue Bundesdatenschutzgesetz (BDSG) wirksam. Da stellt sich die Frage, welche Regelungen das neue Datenschutzrecht mit sich bringt, welche Auswirkungen das auf die Fotobranche hat und in welchem Verhältnis das Datenschutzrecht zum Recht am eigenen Bild, das im Kunsturhebergesetz von 1907 geregelt ist, steht.

Drastische Bußgelder drohen

Diese Überlegungen sind deshalb so wichtig, weil die potentiellen Sanktionen für Rechtsverstöße erheblich ausgeweitet wurden – auf bis zu 20 Millionen Euro Bußgeld oder 4% des weltweiten Jahresgesamtumsatzes –, die Datenschutzaufsichtsbehörden personell aufgestockt wurden, die betroffenen Personen künftig auch immaterielle Schadensersatzansprüche geltend machen können und die Sensibilität der betroffenen Personen, der Kunden, der Mitarbeiter und der Wettbewerber immer weiter steigt und somit die Entdeckungsgefahr wächst. Die Datenschutzaufsichtsbehörde in Mecklenburg-Vorpommern verschickt z.B. Fragebögen an Arztpraxen und fragt nach dem Stand der Umsetzung der DSGVO in den einzelnen Praxen und macht zugleich in der Pressemeldung zur Fragebogenaktion deutlich, dass kleinen Unternehmen und Organisationseinheiten wie einer Einzelpraxis das Problembewusstsein und mangels qualifiziertem Datenschutzbeauftragten das erforderliche Datenschutz-Know-How fehlt, die datenschutzrechtlichen Regelungen jedoch gleichwohl einzuhalten sind. Das gilt in gleicher Weise auch für Fotografen, Fotostudios, Bildagenturen und sonstigen Unternehmen der Fotobranche.

Personenbezogene Datenverarbeitung in der Fotobranche

Doch sehen wir uns zunächst den Sachverhalt an: Bei der Frage, ob Datenschutzrecht auf Fotografien anwendbar ist und in welchem Verhältnis es zum Recht am eigenen Bild im Kunsturhebergesetz (KUG) steht, wird im Hinblick auf den Sachverhalt vorrangig nur von der Abbildung einer Person ausgegangen. Daher spielt bislang das Datenschutzrecht in der fotorechtlichen Literatur so gut wie keine Rolle. Dies ist jedoch ein zu enger Blick.

Zunächst jedoch die Definition des Begriffes „personenbezogene Daten“ (Art. 4 Ziff 1 DSGV): Darunter werden alle Informationen verstanden,

„die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person (Anmerkungen: = Mensch, in Abgrenzung zur juristischen Person = Firma) angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“

Fotografien werden heutzutage in den allermeisten Fällen mit Digitalkameras oder Smartphones aufgenommen, die neben dem Motiv auch Datum und Uhrzeit – z.B. auch die Temperatur – sowie zunehmend häufiger auch GPS-Informationen als Meta-Daten in der Bilddatei aufzeichnen. Diese technischen Informationen werden bereits in der Kamera im EXIF-Format[1] mit in der Bilddatei abgelegt. Professionelle Kameras ermöglichen zusätzlich die Speicherung des Fotografennamens in den EXIF-Daten.

Zudem werden Fotografien in der Praxis regelmäßig in Bilddatenbank, Bildbearbeitungsanwendungen oder Bildbeschriftungsprogrammen mit weiteren inhaltlichen Angaben zum Motiv, zum Urheber und zu den Verwertungsrechten versehen, die ebenfalls mit in der Bilddatei im IPTC-Format[2] gespeichert werden. Andere Datenformate haben sich bislang noch nicht durchgesetzt. So können Fotos über Bildagenturen nur mit einer textlichen Bildbeschreibung, der Caption, vermarktet werden. In den IPTC-Textfeldern kann angegeben werden, welche Person wann und wo bei welcher Gelegenheit und aus welchem Anlass von wem fotografiert wurde. Sind Personen auf den Fotos abgebildet, verlangen Bildagenturen im Regelfall – außer bei Pressefotos – eine schriftliche Einwilligungserklärung der abgebildeten Person, ein sogenanntes Model-Release. Dieses wird zusammen mit dem Foto bzw. dem Foto zuordenbar gespeichert und in der Verwertungskette im Bedarfsfall zum Nachweis des Einverständnisses der abgebildeten Person mit der Nutzung ihres Bildnisses über den Fotografen und die Bildagentur an den Nutzer weitergereicht.

Fotos können zudem bei vielfältigen Nutzungsformen auf Webseiten mit zusätzlichen Informationen zu den abgebildeten Personen versehen werden oder die Gegenstände auf den Fotos, z.B. das Haus, das Auto, das Motorboot, das Tier, der Grabstein werden bestimmten Personen zugeordnet. Dies kann durch den Text zum Foto, etwa dem Zeitungsartikel über ein durch die abgebildete Person begangenes Verbrechen, oder die klassische Bildunterschrift erfolgen, z.B. Name und Funktion eines Mitarbeiters auf der Firmenhomepage, oder ein Text über eine Person wird mit einem Link auf eine andere Webseite mit einem Foto der Person verknüpft. Personensuchmaschinen wie 123people.com oder Yasni verknüpfen im Netz auffindbare Informationen zu einer Person unter Einschluss von Bildnissen der Person. Social Media Plattformen bieten ihren Nutzern das Taggen der Fotos an, bei dem ein Gesicht auf einem hochgeladenen Foto eines Klassenbildes, einer Party etc. mit dem Namen der abgebildeten Person und deren Profil auf der Social Media Plattform verlinkt wird.

Es wird deutlich, dass praktisch selten ein Foto rechtlich alleine nach dem abgebildeten Motiv und dessen Rechten beurteilt werden kann. Regelmäßig wird die Verbindung von Foto und dazugehörigen Informationen rechtlich zu beurteilen sein. Mit einem Foto sind also regelmäßig personenbezogene Informationen verknüpft, sei es bezogen auf das Motiv oder zumindest auf den Fotografen.

Fotografien von erkennbaren Personen als besonders schützenswerte personenbezogene Daten nach DSGVO

Fotografien von Personen können besondere Kategorien von personenbezogenen Daten, Art. 9 DSGVO, enthalten, die datenschutzrechtlich besonderen Schutz genießen. Ein Personenfoto lässt offensichtlich regelmäßig die rassische und ethnische Herkunft erkennen. Aber auch die anderen Merkmale besonderer Kategorien personenbezogener Daten können problemlos auf Fotos erkennbar sein. So etwa die politischen Meinungen von Personen am Rednerpult einer Partei, die religiöse Überzeugung an der Berufskleidung von Priester, Imam oder Rabbiner, die Gewerkschaftszugehörigkeit bei Fotos von Streiks und Demonstrationen, die Gesundheit z.B. bei Fotos vom Behindertensport oder Informationen über die sexuelle Orientierung bei Fotos vom Christopher Street Day oder Pornoaufnahmen. (Update: Erwägungsgrund 51 der DSGVO relativiert

Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden – Anm. soweit halbwegs verständlich – , da Lichtbilder nur dann von der Definition “biometrischer Daten” erfasst werden – Anm. was soll das bedeute? (Personen-)Fotos sind nicht automatisch biometrische Daten – aber können ansonsten schon besondere Kategorien personenbezogener Daten darstellen? – wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürliche Person ermöglichen.

Da auf jedem Personenfoto aber die rassische / ethnische Herkunft zu erkennen ist, läge dann doch immer eine besondere Kategorie personenbezogener Daten vor mit der Folge, dass nach Art. 9 Abs. 1 DSGVO die Verarbeitung erstmal untersagt ist, außer es greift eine der Regelungen des Art. 9 Abs. 2 DSGVO. Damit wären dann die Rechtsgrundlagen des Art. 6 DSGVO gesperrt und damit auch die Abwägung im Rahmen der berechtigten Interessen. Ein gerade zu absurdes Ergebnis. In Art. 9 Abs. 4 DSGBO ist geregelt, dass die Mitgliedsstaaten gesonderte Regelung für genetische, biometrische oder Gesundheitsdaten treffen können, was auch in § 22 BDSG n.F. erfolgt ist. Dies betrifft aber nicht die andere besonderen Kategorien personenbezogener Daten, die für Fotografen wichtig wären. Da dem nationalen Gesetzgeber hier die Hände gebunden sind (außer über Art. 85 DSGVO) bleibt es an dem europäischen Datenschutzausschuss oder der Rechtsprechung hier Klarheit zu schaffen.

Zudem genießen Fotos von Kindern besonderen Schutz, Art. 8 DSGVO (siehe zu Einwilligung in Fotoveröffentlichung auf KITA-Webseiten).

Schließlich unterliegt die Verarbeitung von Daten über Straftaten und strafrechtliche Verurteilungen, die z.B. im Zusammenhang mit Fotos aus dem Gerichtssaal verarbeitet werden können, besonderen datenschutzrechtlichen Einschränkungen, Art. 10 DSGVO.

Zwischenfazit

An dieser Stelle können wir ein erstes Zwischenfazit ziehen: Fotografieren, Speichern, Vermarkten und Veröffentlichen von Fotos stellen eine dem Datenschutzrecht unterliegende Verarbeitung personenbezogener Daten dar. (Update: diese Auffassung hat inzwischen auch ausdrücklich die EU-Kommission auf Anfrage eines Fotografen bestätigt) Welche Konsequenzen sich daraus ergeben, wird in dem oder den nächsten Beiträgen näher dargestellt.

RA David Seiler berät u.a. auch zum Fotorecht und zum Datenschutzrecht

Cottbus, den 01.01.2018

Erscheinen in leicht gekürzter Fassung in Photopresse 01-2018, S. 12 – 13

siehe Teil 2

www.ds-law.eu

[1] EXIF: Exchangeable Image File Format.

[2] IPTC: International Press Telecommunications Council, siehe: http://de.wikipedia.org/wiki/IPTC-NAA-Standard (Stand 01/2018).