EU-Datenschutzgrundverordnung (EU-DSGVO)Die Uhr tickt: In welchen Bereichen Unternehmen handeln müssen

Datenschutz gibt es schon fast 50 Jahre in Deutschland. Das Hessische Datenschutzgesetz war das Datenschutzgesetz für die öffentliche Verwaltung des Landes Hessen. Es trat 1970 in Kraft und war damit das erste und älteste formelle Datenschutzgesetz der Welt. 1977 folgte dann das erste Bundesdatenschutzgesetz (BDSG).

Nie zuvor wurde allerdings über den Datenschutz so viel geredet, geschrieben und gekämpft, wie in den letzten Jahren, seit klar war, dass die Datenschutzgrundverordnung (DSGVO) kommen wird. Eine europäische Verordnung, was bedeutet, dass diese, anders als bei einer Richtlinie, nicht von  den Mitgliedsstaaten umgesetzt werden muss, sondern unmittelbares Gesetz wird – so geschehen am 25. Mai 2018.

Die DSGVO ist also das erste einheitliche Gesetz in der Europäischen Union. Die zunehmende Internationalisierung im täglichen Geschäftsleben machte es erforderlich, die Datenschutzgesetze der Länder zu vereinheitlichen bzw., so wie geschehen, ein einheitliches „Dach“ zu schaffen. Dazu kommt der immer schneller werdende technische Fortschritt, der beim Umgang mit Daten viele Schwierigkeiten mit sich bringt. Oft ist es aber einfach nur Unwissenheit, warum manchmal auch gegen die Datenschutzgrundverordnung geschimpft wird – völlig unberechtigt, denn wer die wesentliche Punkte beachtet, merkt schnell, dass diese gesetzliche Regelung überfällig war, auch wenn viele Unternehmensprozesse überprüft und angepasst werden müssen.

Nachstehend erläutern wir zu verschiedenen wichtigen Themen, was Unternehmen künftig beachten müssen, um auch in Zukunft ein angemessenes Datenschutzniveau zu gewährleisten.

In bestimmten Bereichen gelten Öffnungsklauseln, das heißt, die EU-Mitgliedsstaaten dürfen teilweise eigene Regelungen treffen. So ist am 25. Mai 2018 auch ein neues Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Auch in den meisten anderen Mitgliedsstaaten gibt es entsprechende Datenschutzgesetze. So gilt z. B. für deutsche Unternehmen weiterhin die Pflicht, bei Erfüllung bestimmter Voraussetzungen einen Datenschutzbeauftragten bestellen zu müssen.

1. Was sind überhaupt personenbezogene Daten?

Gem. Art. 4 DSGVO sind "personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind."

Die Arten personenbezogener bzw. auf Personen beziehbarer Daten sind zahlreich. Eine abschließende Zusammenfassung lässt sich kaum bewältigen. Im Folgenden jedoch eine Liste entsprechender Werte, die einen ersten Eindruck davon verleihen soll, was alles unter personenbezogene Daten fällt.

Was sind personenbezogene Daten im Sinne des BDSG?

  • Allgemeine Personendaten (Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usf.)
  • Kennnummern (Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenversicherung, Personalausweisnummer, Matrikelnummer usf.)
  • Bankdaten (Kontonummern, Kreditinformationen, Kontostände usf.)
  • Online-Daten (IP-Adresse, Standortdaten usf.)
  • Physische Merkmale (Geschlecht, Haut-, Haar- und Augenfarbe, Statur, Kleidergröße usf.)
  • Besitzmerkmale (Fahrzeug- und Immobilieneigentum, Grundbucheintragungen, Kfz-Kennzeichen, Zulassungsdaten usf.)
  • Kundendaten (Bestellungen, Adressdaten, Kontodaten usf.)
  • Werturteile (Schul- und Arbeitszeugnisse usf.)
  • u. v. m.

Daneben gibt es auch noch besondere personenbezogene Daten oder sog. sensible Daten, die eines erhöhten Schutzes bedürfen. Die Vorschriften zur Sammlung und Verarbeitung solcher Daten sind wesentlich strenger. Solche besondere Kategorien personenbezogener Daten sind gemäß §Art. 4, 9 DSGVO und §§ 46 Ziffer 14 a-e BDSG:

  • “Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten und
  • Daten zum Sexualleben oder zur sexuellen Orientierung”

Warum ist es so wichtig, personenbezogene Daten zu schützen?

George Orwell mit seinem düsteren Ausblick im Roman „1984“ haben wir, was die technischen Möglichkeiten angeht, längst überschritten! In Zeiten der weltweiten Verknüpfung über das Internet ist die Angst vor dem „gläsernen Menschen“ omnipräsent. Welche Daten können aus meiner Kommunikation erfasst werden? Wie kann ich die Kontrolle über die zu meiner Person gespeicherten Daten behalten?

Fakt ist: Viele Personen gehen auch heute noch oftmals zu leichtfertig mit der Herausgabe personenbezogener Daten um – häufig aus dem Unwissen heraus, wie wertvoll diese für einzelne Unternehmen und Behörden sein können. Weltweit agierende Datenkraken wie zum Beispiel Google und Facebook sammeln die Daten über die Aktivitäten der Nutzer aus World Wide Web. Die früheren Ängste der Menschheit vor bestimmten Diktaturen sind sicher auch heute noch berechtigt, aber die mächtigen, oft unsichtbaren Datensammler sind heute viel mehr private Unternehmen wie Facebook und Amazon!

Diese Stammdaten werden von Unternehmen in der Regel für die Schaltung von individualiserter Werbung für den jeweiligen User genutzt. Und darüber erwirtschaften sie letztlich jährlich Gewinne in Millionenhöhe. Personenbezogene Daten sind also bares Geld wert. Was genau aber z. B. Facebook mit unseren Daten macht, ist nur bei Facebook selber bekannt – und genau das ist das Problem, denn auf Anfrage muss nach der DSGVO offen gelegt werden, welche Daten vorhanden sind, und für was diese genutzt werden.

Der Missbrauch dieser sensiblen Angaben kann aber auch kriminelle Hintergründe haben: Straftäter können Bankdaten abgreifen und so unbefugt auf Konten zugreifen, mit Personal- oder Ausweisnummern können falsche Dokumente erstellt und verkauft werden usw. Der Missbrauch personenbezogener Daten hat also meistens einen wirtschaftlichen Hintergrund.

Deshalb bedarf es beim Umgang mit personenbezogenen Daten einer erhöhten Sorgfalt. Unternehmen und öffentliche Stellen, die solche Datenschätze sammeln, speichern und verarbeiten, müssen diese entsprechend vor unbefugten Zugriffen schützen. Außerdem dürfen auch nicht alle Daten zu irgendwelchen Zwecken verarbeitet oder gespeichert – und schon gar nicht weitergegeben – werden.

2. Bestellung des Datenschutzbeauftragten

Seit dem Inkrafttreten der Datenschutzgrundverordnung besteht eine europaweite Pflicht für Unternehmen, einen Datenschutzbeauftragten zu bestellen. Allerdings nur unter diesen Voraussetzungen gelten:

  • Sie besteht, wenn die Verarbeitung personenbezogener Daten als Kerntätigkeit einzustufen ist - jedoch nur, wenn Umfang oder Zweck eine umfangreiche, regelmäßige und systemische Überwachung erfordern.
  • Ebenso besteht die Verpflichtung zur Bestellung, sofern besondere Kategorien von Daten in der Verarbeitung betroffen sind und auch hier eine Kerntätigkeit vorliegt.

Jedes Unternehmen unterliegt der Verpflichtung, eigenständig zu prüfen, zu dokumentieren und nachzuweisen, ob ein Erfordernis besteht, einen Datenschutzbeauftragten zu bestellen.

Bestellung des Datenschutzbeauftragten in Deutschland

Deutschland erhält das bestehende und lang bewährte System in seinem neuen Bundesdatenschutzgesetz aufrecht. Somit gilt jetzt § 38 Abs. 1 BDSG n. F.: wenn ein Unternehmen mehr als 9 Personen beschäftigt, die sich mit der automatisierten Verarbeitung personenbezogener Daten befassen, besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen.

Sollte sich herausstellen, dass keine Verpflichtung besteht, ist zu überlegen, ob die Bestellung des Datenschutzbeauftragten freiwillig erfolgt. Grund für diese Empfehlung sind die enormen Änderungen im Datenschutzrecht, die mit der EU-DSGVO einhergehen. Das Spektrum an Aufgaben wurde stark erweitert. Viele dieser Aufgaben fallen selbst dann an, wenn keine Datenschutzbeauftragter zu bestellen ist. Gerade dann stellt sich die Frage, wer sie übernehmen soll.

In der Verordnung ist außerdem festgelegt, welche Rechte und Pflichten mit dem Amt des Datenschutzbeauftragten einhergehen. In diesem Zusammenhang ist eine grundlegende Erweiterung festzustellen. Eine Zusatzaufgabe besteht beispielsweise darin, die Einhaltung der EU-DSGVO innerhalb der Organisation zu überwachen. Dasselbe gilt für eine Überwachung von Unternehmensstrategie sowie der Zuweisung von Zuständigkeiten. Mit den ergänzenden Überwachungspflichten werden die Verantwortung und somit auch die Haftung des Datenschutzbeauftragten signifikant erweitert. Mitarbeiter, die bereits das Amt des Datenschutzbeauftragten innehaben, müssen für sich klären, ob sie diese Verantwortung tragen möchten, und insbesondere auch, ob sie die Fachkompetenz dazu haben!

3. Zweckbindungsgrundsatz

Für die Erhebung und Verarbeitung personenbezogener Daten gilt der Grundsatz der Zweckbindung. Daten dürfen ausschließlich für einen bestimmten Zweck erhoben werden, der im Vorfeld festgelegt wurde.

Unternehmen wollen Daten oft für weitere Zwecke nutzen, z. B. Werbung. Doch aufgrund der Zweckbindung ist eine Weiterverarbeitung nicht gestattet. Es gibt jedoch eine Ausnahme, nämlich die Erweiterung des Zwecks. Zulässig ist sie jedoch nur, wenn sie mit dem ursprünglichen Zweck vereinbar ist. Vor jeder Weiterverarbeitung ist daher zu prüfen, ob eine Zweckerweiterung möglich und zulässig ist. Adressen von Mitarbeitern oder Kunden, die erhoben wurden, dürfen also z. B. nicht ohne weiteres für Werbung verwendet werden!

4. Checkliste: Was Unternehmen mindestens umsetzen müssen

Egal, ob nach dem Bundesdatenschutzgesetz (BDSG) ein Datenschutzbeauftragter zu bestellen ist: alle Unternehmen sind verpflichtet, die Bestimmungen des Datenschutzes einzuhalten!

Folgende Punkte müssen unserer Ansicht nach zwingend erledigt werden:

  • Aufbau einer Datenschutzstruktur und Datenschutzstrategie und Bestellung eines internen/externen Datenschutzbeauftragten
  • Erstellen einer Datenschutzordnung/Datenschutzrichtlinie: die Bedeutung des Datenschutzes seitens der Leitungsebene muß klar nachweisbar formuliert sein
  • Aufbau Dokumentation und Datenschutzmanagement
  • Aufbau eines Verarbeitungsverzeichnisses und Datenschutzfolgeabschätzung durchführen
  • Datenschutz durch Technikgestaltung (Privacy by Design)
  • Technisch-Organisatorische Maßnahmen: einmal jährlich überprüfen
  • Gestaltung der Verträge mit den Auftragsverarbeitern
  • Schulungen Datenschutz und Datensicherheit
  • Schaffung und Verbesserung der notwendigen  strukturellen Rahmenbedingungen zur Beachtung des Datenschutzes
  • Datensicherheitskonzept sowie Richtlinien und Anweisungen und Informationssicherheitsprozesse aufbauen
  • Dokumentation und Meldung von Datenschutzvorfällen
  • Datenschutz durch Voreinstellung einrichten (Privacy by Default) (Datenschutz durch Technikgestaltung)
  • Erstellen einer Datenschutzordnung/eines Datenschutzhandbuches
  • Internetauftritt prüfen/Datenschutzerklärung erstellen/überprüfen
  • Vorhandene Betriebsanweisungen/Betriebsvereinbarungen prüfen, anpassen, erarbeiten
  • Mitarbeiterverpflichtungen prüfen, anpassen, erstellen und dokumentieren
  • Sicherstellung der Betroffenenrechte
  • Maßnahmen zur Handhabung von Datenschutzverletzungen einführen
  • Datentransfer in andere Länder prüfen
  • Videoüberwachung prüfen

5. Verarbeitungsverzeichnis und Datenschutzfolgeabschätzung

Früher wurde bei der Vorabkontrolle überprüft, ob die Prozesse einer automatisierten Verarbeitung personenbezogener Daten den datenschutzrechtlichen Anforderungen entsprechen. Die EU-DSGVO hat die Vorabkontrolle durch die Datenschutz-Folgenabschätzung ersetzt.

Die Datenschutz-Folgenabschätzung ist vom für die Datenverarbeitung Verantwortlichen vorzunehmen. Die Abschätzung muss vorgenommen werden, sobald abzusehen ist, dass Rechte und Freiheiten des Betroffenen durch die Verarbeitung einem Risiko ausgesetzt sind. Dies liegt insbesondere dann vor, wenn neue Technologien angewandt werden.

Ein Risiko liegt vor, wenn mindestens eines der folgenden vier Kriterien erfüllt ist.

  • Die Daten gelten als besonders schützenswert (z.B. biometrische Daten oder Daten von Minderjährigen).
  • Es findet eine intensive Datenverarbeitung statt (z.B. in Form einer weit reichenden Datenverknüpfung).
  • Die Verarbeitung könnte unzulässig sein
  • Die Verarbeitung hat tiefgreifende Auswirkungen für den Betroffenen

Des Weiteren ist eine Datenschutz-Folgenabschätzung zwingend vorzunehmen, wenn die Verarbeitung mit einer umfassenden Bewertung persönlicher Aspekte in Verbindung steht und sie eine Entscheidung mit Rechtswirkung zur Folge haben kann. Dasselbe gilt für die Verarbeitung von Daten, die besonderen Kategorien personenbezogener Daten zuzuordnen sind oder im Zusammenhang mit Straftaten oder Verurteilungen stehen. Ebenso ist die Folgenabschätzung unverzichtbar, wenn eine systematische Überwachung öffentlicher Bereiche geplant ist.

Die Datenschutz-Folgenabschätzung ist grundsätzlich umfassend zu dokumentieren. Die Vorgänge der Verarbeitung müssen ausführlich beschrieben werden, und zugleich Zweck sowie das berechtigte Interesse daran dargelegt werden. Ergänzend sind Notwendigkeit und Verhältnismäßigkeit der Verarbeitung zu dokumentieren. Es muss ausführlich dargestellt werden, ob und ggf. wie die Rechte und Freiheiten des Betroffenen bedroht sind. Außerdem sind die geplanten Maßnahmen zu beschreiben, die letztlich einen angemessenen Schutz versprechen.

Sollten keine Schutzmaßnahmen geplant sein und zugleich das Ergebnis der zugehörigen Abschätzung lauten, dass ein hohes Risiko besteht, unterliegt der Verantwortliche einer Konsultationspflicht. Er hat sich an die zuständige Aufsichtsbehörde zu wenden und sich dort Rat zu holen. Sofern Schutzmaßnahmen geplant sind, besteht diese Verpflichtung hingegen nicht.

6. Technisch-Organisatorische Maßnahmen (TMOs)

Gem. Art. 24 DSGVO hat der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen müssen erforderlichenfalls überprüft und aktualisiert werden.

§ 64 BDSG-neu regelt dazu, dass folgende Kontrollen stattfinden müssen:

a) Zugangskontrolle

b) Datenträgerkontrolle

c) Speicherkontrolle

d) Benutzerkontrolle

e) Zugriffskontrolle

f) Übertragungskontrolle

g) Eingabekontrolle

h) Transportkontrolle

i) Wiederherstellbarkeit

j) Zuverlässigkeit

k) Datenintegrität

l) Auftragskontrolle

m) Verfügbarkeitskontrolle

n) Trennbarkeit

Die Bedeutung der technisch-organisatorischen Maßnahmen wird oft unterschätzt: zum einen ist es ein Bereich, den die Aufsichtsbehörden in einem Unternehmen mit als erstes prüfen.

Zum anderen spart ein Unternehmen am falschen Fleck, wenn an der IT gespart wird, denn hier überschneiden sich Datenschutz und IT-Sicherheit: letztlich funktionieren heute Betriebe nur, wenn die Technik funktioniert, das heißt, wir hängen alle ab von der perfekten Funktion der IT. Wer hier nicht auf dem neuesten Stand ist, riskiert, daß am Ende im Unternehmen nicht gearbeitet werden kann, und so viel höhere Schäden entstehen. 

In unserem Netzwerk arbeiten IT-Forensiker und Informatiker, die Sie z. B. bei der Erstellung eines IT-Sicherheits-Konzepts unterstützen können.

Die DSGVO selber schreibt vor, dass jedes Unternehmen nachweisen können muss, dass die technisch-organisatorischen Maßnahmen regelmäßig stattfinden und die Technik überprüft wird.

7. Auftragsdatenverarbeitung und gemeinsame Verantwortliche

Die Verarbeitung der Daten hat in Übereinstimmung mit der EU-DSGVO zu erfolgen. In diesem Zusammenhang muss der für die Verarbeitung Verantwortliche zwei wichtige Aspekte berücksichtigen.

Zum einen muss er Risiken ermitteln, die mit der Verarbeitung einhergehen und zu Verstößen gegen die EU-DSGVO führen können. Der Verantwortliche muss die Risiken bewerten, um dann abzuwägen, ob die einzelnen Prozesse vertretbar und somit anwendbar sind. Konkret ist festzulegen, wie hoch die Eintrittswahrscheinlichkeit bemessen ist und welche Schwere mit dem einzelnen Risiko einhergeht.

Beim zweiten Aspekt handelt es sich um die zugehörige Dokumentation. Die gesamte Risikoanalyse ist schriftlich festzuhalten.

Es bleibt dabei, dass ein Vertrag die Grundlage der Auftragsverarbeitung bildet. Allerdings ist es nicht mehr erforderlich, ihn ausschließlich auf schriftliche Art festzuhalten. Die DSGVO erlaubt den Abschluss elektronischer Verträge und verlangt eine umfassende Dokumentation. Der Auftragsverarbeiter muß außerdem auch ein Verzeichnis seiner Verarbeitungstätigkeiten führen. Ebenso unterliegt er der Verpflichtung, Datenpannen zu melden.

Eine neue Variante der Auftragsverarbeitung bildet die gleichberechtigte Zusammenarbeit zwischen zwei Stellen (die verschiedenen Organisationen angehören) der sogenannte „Joint Control“ gem. Art. 26 DSGVO. . Im Bundesdatenschutzgesetz gab es das bislang nicht.

Aufgrund der Gleichberechtigung beider Stellen kann Joint Control ein geeignetes Instrument zur Rechtfertigung des Datenaustauschs in Konzernen sein. Dafür muss eine Vereinbarung abgeschlossen werden, in der gemeinsame Zwecke und Mittel festgelegt sind. Auf dieser Basis sind die Stellen dazu berechtigt, die betroffenen Daten untereinander auszutauschen und zu verarbeiten. Festgelegt muss außerdem sein, wie die Aufgaben beider Stellen verteilt sind, wie die Rechte der Betroffenen gewahrt bleiben, wie die Informationspflichten erfüllt werden, wie der Kontakt für Betroffene lautet sowie welche Funktionen und Beziehungen zum Betroffenen bestehen. Die wesentlichen Inhalte der Vereinbarung sind auch dem Betroffenen zugänglich zu machen.

Eine weitere Neuerung im Feld der Auftragsverarbeitung, die mit der DSGVO einhergeht, ist die verschärfte Haftung. Sollten Betroffene aufgrund eines Datenschutzverstoßes einen Schaden erlitten haben, können diese ihre Ansprüche leichter geltend machen. Im Gegensatz zum Bundesdatenschutzgesetz haftet der für die Verarbeitung Verantwortliche nicht mehr alleine - nach der DSGVO können sowohl er als auch der Auftragsverarbeiter haftbar gemacht werden. Ein Ausscheiden des für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter aus der Haftung ist möglich, sofern die jeweilige Stelle nachweisen kann, dass die Verantwortung nicht bei ihr liegt.

8. Vorgaben zur Website-Compliance

Das Telemediengesetz, aus welchem sich die Verpflichtung ergibt, Besucher der eigenen Website über die Erhebung und Verarbeitung personenbezogener Daten zu informieren, besteht fort und wird durch die DSGVO um weitere Pflichten für den Seitenbetreiber ausgeweitet. Eine umfangreiche Erweiterung der Verpflichtungen ist zu erwarten mit dem In-Kraft-Treten der E-Privacy-Verordnung, die voraussichtlich 2020 in Kraft treten wird.

Datenschutzerklärung

Seitenbesucher müssen angemessen über datenschutzrelevante Aktivitäten informiert werden. Davon betroffen sind insbesondere Kontaktformulare, Social Media, Cookies, Web-Analysen und der Einsatz von Werbemitteln.

Die neuen Pflichten der DSGVO sind deutlich weitgehender als die bisherigen Pflichten unter dem alten BDSG. Zu den neuen Aspekten einer Datenschutzerklärung gehört zum Beispiel, dass zum Zeitpunkt der Erfassung von personenbezogenen Daten die von der Erfassung betroffene Person über die Erfassung zu informieren ist und zudem der Zweck und die Rechtsgrundlage der Erfassung zu benennen ist. Es ist neben weiteren Pflichten auch über die Betroffenenrechte aufzuklären.

Datenschutzerklärungen sind in präziser, transparenter und leicht zugänglicher Form und Sprache zu halten.

9. Haftung und Recht auf Schadensersatz

Fehler, die während der Datenverarbeitung geschehen, können den Betroffenen großen Schaden zufügen. Die DSGVO erleichtert es den Betroffenen, Haftungsansprüche gegenüber Unternehmen geltend zu machen.

Prinzipiell hatten Betroffene dieses Schadensersatzrecht schon immer. Bislang konnten Haftungsansprüche geltend und erfolgreich durchgesetzt werden, solange Fehler in der Datenverarbeitung auftraten oder die eigentliche Verarbeitung unzulässig war und dem Betroffenen außerdem ein materieller Schaden entstand.

Nun können Betroffene Haftungsansprüche auch geltend machen, wenn sie moralische Schäden erlitten haben. Zugleich sind nicht nur Fehler in der Verarbeitung als kritisch zu erachten. Außerdem wird hinterfragt, ob die Datenverarbeitung so erfolgt ist, wie es für den Betroffenen zu erwarten war. Für Unternehmen bedeutet dies, dass sie aufgrund der neuen Vorschriften künftig einem deutlich höheren Haftungsrisiko ausgesetzt sind und ihre Prozesse deshalb umso kritischer betrachten müssen.

10. Informationspflichten und Auskunftsrecht - Betroffenenrechte

Die Erhebung und Verarbeitung personenbezogener Daten ist an eine Informationspflicht gekoppelt. Sie soll gegenüber dem Betroffenen für Transparenz sorgen. Dem Betroffen ist deutlich zu vermitteln, welche Daten bei welcher Gelegenheit erhoben und verarbeitet werden.

Informationspflichten bei Direkterhebung

Mit der DSGVO gehen Neuerungen einher, die über die bisherigen Informationspflichten hinausreichen. Folgende Änderungen sind zu berücksichtigen:

Nach Art. 13 EU-DSGVO sofort bei Erhebung der Daten beim Betroffenen, z. B. bei Bestellung eines Newsletters:

Welche Informationen müssen offengelegt werden?

  • Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters)
  • Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Zweck und Rechtgrundlage der Verarbeitung
  • Berechtigte Interessen (bei Verarbeitung nach Art. 6 EU-DSGVO)
  • Empfänger bzw. Kategorien von Empfängern
  • Übermittlung in Drittland oder an internationale Organisation
  • Dauer der Speicherung
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit
  • Bestehen eines Rechts auf Widerspruch der Einwilligung
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Information über eine mögliche Zweckänderung der Datenverarbeitung

Informationspflichten bei Dritterhebung

Sollte die Erhebung der Daten durch Dritte erfolgen, bestehen weitere Informationspflichten:

  • Es sind die einzelnen Kategorien der personenbezogenen Daten zu nennen. Diese Pflicht besteht selbst dann, wenn die betroffene Person von einer Übermittlung fest ausgehen konnte.
  • Das berechtigte Interesse, das eine Verarbeitung der Daten begründet, ist darzulegen.
  • Es sind die Quellen anzugeben, aus denen die personenbezogenen Daten stammen. Falls dies nicht im Detail möglich ist, weil beispielsweise mehrere Quellen existieren, empfiehlt sich eine allgemeine Unterrichtung.

Einschränkung der Informationspflicht

Das alte BDSG bot einen gewissen Spielraum, um von den Informationspflichten abzusehen. Dieser bisherige Spielraum wird durch die EU DSGVO erheblich eingeschränkt. Es gibt nur noch folgende drei Ausnahmefälle:

  • Es ist unmöglich, die jeweilige Information zur Verfügung zu stellen oder der damit verbundene Aufwand ist unverhältnismäßig groß.
  • Die EU oder Mitgliedstaaten haben Rechtsvorschriften geschaffen, die Erlangung oder Weitergabe der Daten unmissverständlich regeln.
  • Es besteht die Verpflichtung zur Geheimhaltung, die im Recht der EU oder Mitgliedstaaten begründet ist.

Bereitstellung der Information: Form und zeitliche Spielräume

Die DSGVO besagt, dass die Bereitstellung der Informationen schriftlich zu erfolgen hat. Sie kann auf elektronischem Wege erfolgen, z. B. im öffentlichen Bereich einer Website.

Die Informationspflicht ist außerdem an Zeitpunkte gekoppelt. Findet eine direkte Erhebung statt, besteht die Informationspflicht unmittelbar, d.h. bereits zum selben Zeitpunkt. Liegt hingegen eine Dritterhebung vor, gilt eine Frist von maximal einem Monat. Sollten die Daten zur Kommunikation mit dem Betroffenen genutzt werden, muss der Informationspflicht spätestens nachgekommen werden, sobald die erste Kontaktaufnahme erfolgt.

Außerdem hat jeder Betroffene Auskunftsrechte.

Welche Informationen fallen unter das Auskunftsrecht nach Art. 15 EU-DSGVO?

  • Zwecke der Datenverarbeitung
  • Kategorien der Daten
  • Empfänger oder Kategorien von Empfängern
  • Dauer der Speicherung
  • Recht auf Berichtigung, Löschung und Widerspruch
  • Beschwerderecht bei einer Aufsichtsbehörde
  • Herkunft der Daten (wenn nicht bei Betroffenen erhoben)
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Übermittlung in Drittland oder an internationale Organisation

Wie ist der Betroffene zu informieren?

Durch Kopie aller personenbezogenen Daten auf gängigem elektronischem Weg (bei Antrag in elektronischer Form).

Kann das Auskunftsrecht jeden Tag wahrgenommen werden?

Nein, grundsätzlich nur in angemessenen Abständen.

11. Recht auf Vergessenwerden

Das Recht auf Vergessenwerden ist ein wesentlicher Bestandteil der DSGVO.  Auch vorher gab es aber schon ein Recht auf Löschung. Hierzu zählt aber auch die Verpflichtung, den Betroffenen zu unterstützen. Sollten beispielsweise Daten an Dritte weitergeleitet worden sein und der Betroffene eine Löschung fordern, ist die Löschanweisung weiterzuleiten.

Mit der DSGVO wurden die Rechte des Betroffenen gestärkt, eine Löschung seiner Daten durchzusetzen - insbesondere solcher, die im Internet veröffentlicht wurden. Dies bedeutet, dass die eigenen Prozesse so ausgerichtet werden müssen, dass die Möglichkeit besteht, einer Löschungsaufforderung nachzugehen und damit die Daten zu löschen. Wenn Daten an andere Unternehmen weitergegeben worden sind, müssen auch diese Unternehmen über die Löschungsaufforderung informiert werden.

Gleichzeitig macht sich der von der EU-Kommission verstärkte Schutz von Kindern und Jugendlichen bemerkbar. Sollte ein Betroffener das Lebensalter von 16 Jahren noch nicht vollendet haben, ist Vorsicht angebracht. Entscheidend ist die Möglichkeit und Fähigkeit, solche Datensätze sicher zu erkennen, um im Ernstfall - wenn spezielle Regelungen wegen des Alters greifen - umgehend handeln zu können.

Daten sind außerdem zu löschen, wenn gesetzlich vorgeschriebene Aufbewahrungsfristen abgelaufen sind, oder z. B. der Vertragszweck entfallen ist, der eine Speicherung und Weiterverarbeitung von personenbezogenen Daten erforderlich gemacht hat.

Was bedeutet das Recht auf Berichtigung nach Art. 16 EU-DSGVO?

Es gibt den Betroffenen die Möglichkeit, die Vervollständigung seiner personenbezogenen Daten ohne unangemessene Verzögerung zu verlangen.

Wann müssen die Daten nach Art. 17 EU-DSGVO gelöscht werden (Recht auf Vergessenwerden)?

  • Wenn die Speicherung der Daten nicht mehr notwendig ist
  • Wenn der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
  • Wenn die Daten unrechtmäßig verarbeitet wurden
  • Wenn eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

Wann findet das Recht auf Vergessenwerden keine Anwendung?

  • Wenn das Recht auf freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
  • Wenn die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
  • Wenn das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
  • Wenn Archivzwecke oder wissenschaftliche und historische Forschungszwecke entgegenstehen
  • Wenn die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

12. Recht auf Datenübertragbarkeit

Was bedeutet das Recht auf Datenübertragbarkeit, Art. 20 DSGVO?

Der Betroffene soll befugt sein, die von ihm zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Betroffene sollen dadurch leichter von einem Anbieter zu einem anderen wechseln können, ohne den Verlust ihrer Daten befürchten zu müssen. Der Betroffene hat nunmehr das Recht, seinen „Datensatz“, der alle erfassten personenbezogenen Daten enthält, mitzunehmen.

Die Folge ist eine Übergabeverpflichtung, d.h. Organisationen müssen bei entsprechender Aufforderung der Herausgabe oder Weiterleitung der Daten nachkommen. Schwieriger Dreh- und Angelpunkt dieses Themas sind die IT-Prozesse. Ein konkreter Standard für ein Datenformat wurde noch nicht definiert und vielleicht wird es ihn auch nie geben. Unternehmen müssen in der Lage sein, die geforderten Daten abrufen, in ein geeignetes Datenformat exportieren und dem Empfänger zustellen zu können. Wie das bewerkstelligt wird, ist Sache des Unternehmens – danach fragt die DSGVO nicht.

13. Werbung und Direktmarketing

Bevor Werbung gemacht wird, hat nach der DSGVO eine Interessenabwägung stattzufinden. Unternehmen müssen im Vorfeld bewerten, wie es um die eigenen als auch die Interessen des Betroffenen steht und ob ihm daher eine Werbemaßnahme zugemutet werden kann. Zugleich statuiert die DSGVO eine Dokumentationspflicht – und zwar für jede einzelne Werbemaßnahme einschließlich der Interessenabwägung.

Für die einzelnen Werbekanäle gelten individuelle Auflagen:

Postalische Werbung: Die Einwilligung des Betroffenen ist erforderlich. Eine Ausnahme liegt vor, wenn die Werbung auf Basis von Listendaten (z.B. Name und Anschrift), erfolgt. Der Betroffene muss erkennen können, wer der Verantwortliche für die Werbung ist. Sollten die personenbezogenen Daten von einer dritten Quelle stammen, ist diese zu nennen.

E-Mail: Eine Einwilligung muss grundsätzlich vorliegen. Zwingend notwendig ist hier das Double-Opt-in Verfahren.

Telefon: Die EU sieht einen hohen Schutzbedarf des Angerufenen, weshalb eine Einwilligung ebenfalls erforderlich ist - zumindest bei der Ansprache von Verbrauchern. Im B2B-Bereich entscheidet die Interessenabwägung.

Außerdem gilt nun ein umfassendes Widerspruchsrecht eingeführt. Art. 21 sichert dem Betroffenen zu, jederzeit widersprechen zu können - und zwar unabhängig von der Form der Werbung. Sollte er beispielsweise E-Mail Werbung erhalten, kann er dennoch telefonisch widersprechen. Ein Widerspruch hat ein Verarbeitungsverbot der personenbezogenen Daten zur Folge.

14. Datenschutzfreundliche Voreinstellungen

Unternehmen müssen entsprechend Art. 25  DSGVO ihre Prozesse so gestalten, dass sie als datenschutzfreundlich gelten – man nennt das auch data protection by default. Gemeint ist, dass ausschließlich Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck tatsächlich erforderlich sind.

Diese Vorgabe nicht nur für die Erhebung, sondern auch für alle folgenden Prozesse der Verarbeitung. Darüber hinaus ist die Zugänglichkeit der Daten zu berücksichtigen. Zugang dürfen ausschließlich Personen haben, die ein berechtigtes Interesse haben. Ebenso sehen die datenschutzfreundlichen Voreinstellungen eine angemessen definierte Frist für die Dauer der Speicherung vor.

115. Benachrichtigungspflichten bei Datenschutzverletzungen

Durch die Erfassung und Verarbeitung personenbezogener Daten entsteht natürlich auch das Risiko der Datenschutzverletzung, d.h. bei Fehlern können die Rechte des Betroffenen verletzt werden. Mögliche Ursachen können z. B. Datenpannen oder Angriffe durch Hacker sein

Die DSGVO schreibt eine Benachrichtigungspflicht bei Datenschutzverletzungen vor. Sowohl der Betroffene selbst als auch die zuständige Aufsichtsbehörde selbst sind zu informieren. Den Betroffenen sind unmittelbar in Kenntnis zu setzen, die Aufsichtsbehörde innerhalb von 72 Stunden.

Dem Betroffenen muss mitgeteilt werden, welche Art von Verletzung vorliegt und an wen er sich wenden kann, um weitere Informationen zu erhalten. Hierfür müssen die Kontaktdaten des Datenschutzbeauftragten und ggf. einer weiteren Person anzugeben. Ebenso muss mitgeteilt werden, welche Folgen die Datenschutzverletzung nach sich ziehen kann und welche Maßnahmen geplant sind, um den Schaden zu beheben oder zumindest einzugrenzen. Die gesamte Mitteilung ist in einfacher und verständlicher Sprache zu formulieren.

Datenschutzverletzungen müssen also erkannt und dann die richtigen Maßnahmen getroffen werden.

16. Sicherheit der Verarbeitung

Das EU-Parlament misst der Datensicherheit - insbesondere im Hinblick auf IT-Systeme - eine große Bedeutung zu. Unternehmen sind nach der DSGVO dazu verpflichtet, sowohl technische als auch organisatorische Maßnahmen zu ergreifen, die sich nach dem Zweck der Verarbeitung als auch dem jeweiligen Stand der Technik richten, und einen angemessenen Schutz der Daten gewährleisten.

Schon bei der Planung und Umsetzung von Datenverarbeitungsverfahren muss  eine Risikoprüfung vorgenommen werden. Die konkreten Risiken müssen ermittelt und in ihrer Schwere bewertet werden. Dann muss festgelegt werden, welche technischen und organisatorischen Maßnahmen sich zum Schutz der Daten-Systeme eignen. Die DSGVO führt als geeignete Schutzmaßnahmen explizit das Arbeiten mit Pseudonymisierung oder Verschlüsselung auf.

In der EU-Datenschutzgrundverordnung werden – anders als früher - Sicherheitsziele definiert: Belastbarkeit der Systeme und Dienste, Integrität, Verfügbarkeit sowie Vertraulichkeit.

Technische Systeme müssen regelmäßig geprüft werden, um die Sicherheit der Verarbeitung zu gewährleisten. Dies soll beispielsweise anhand von Penetrationstests geschehen, in deren Rahmen ermittelt wird, ob sich die ergriffenen Schutzmaßnahmen außer Kraft setzen oder umgehen lassen.

Zur Gewährleistung eines angemessenen Schutzniveaus sind folgende Grundsätze zu berücksichtigen:

  • Data Protection by Design: technische Maßnahmen sind zu nutzen (z. B. durch Pseudonymisierung), um eine Datenvermeidung anzustreben.
  • Data Protection by Default: dieser Grundsatz besagt, dass Voreinstellungen bei den IT-Systemen anzustreben sind, die zur Verarbeitung nur solche Daten zulassen, die für den jeweiligen Zweck benötigt werden.

17. Rechtmäßigkeit der Verarbeitung und Einwilligung von Kindern

Die Erhebung und Verarbeitung personenbezogener Daten sind nur rechtmäßig, sofern dies zwingend erforderlich ist bzw. es der geschäftliche Prozess erfordert. Außerdem müssen sich Erhebung und Verarbeitung auf die Daten beschränken, die im jeweiligen Prozess tatsächlich benötigt werden. Die Einwilligung des Betroffenen muss grundsätzlich vorliegen. Art. 8 DSGVO verschärft die Regeln zum Einholen der Einwilligung.

Künftig wird eine lückenlose Dokumentation gefordert. Somit werden Prozesse vorausgesetzt, die eine Einwilligung nachweisen lassen.

Kinder und Jugendliche werden durch die neue Verordnung besser geschützt. Sofern ein Betroffener das 16. Lebensjahr noch nicht vollendet hat, ist es zwingend erforderlich, die ergänzende Einwilligung der Eltern einzuholen.

Der Betroffene muss seine Einwilligung jederzeit widerrufen können. Neu ist, dass dies auf demselben Weg möglich sein muss, auf dem er seine Einwilligung einst erteilt hat. Sollte z. B. ein Unternehmen aufgrund seiner Vertriebswege die Einwilligungen online und telefonisch einholen, muss auch der Widerruf auf beiden Kanälen möglich sein.

18. Internationale Datenübermittlung

Die Übermittlung personenbezogener Daten an Unternehmen in Drittländern oder internationale Organisationen ist nur zulässig, sofern die Gesetzgebung des jeweiligen Landes ein angemessenes Datenschutzniveau gewährleistet. Mit der  DSGVO ändert sich an diesem grundlegenden Prinzip nichts. Die EU-Kommission legt fest, welche Drittländer die Voraussetzungen erfüllen.

Sollte das Datenschutzniveau nicht angemessen sein, setzt die internationale Datenübermittlung absichernde Maßnahmen heraus. Auch hier ist es gestattet, z. B. die Übermittlung auf der Grundlage von Binding Corporate Rules oder Standardvertragsklauseln vorzunehmen.

Die neue Verordnung vereinfacht die Rechtslage nun, indem sie konkrete Instrumente aufführt, die als Grundlage für eine sichere Datenübermittlung heranzuziehen sind, siehe Art. 44 ff. DSGVO.

19. Haftungserstreckung auf ausländische Unternehmen

Viele Unternehmen fühlten sich beim Thema Datenschutz gegenüber Mitbewerbern benachteiligt, die keinen Sitz / keine Filiale innerhalb der EU unterhalten. Solche Anbieter hatten bislang leichtes Spiel, was sich mit der DSGVO jedoch grundlegend geändert hat. Die Haftungserstreckung für ausländische Unternehmen wurde erweitert, d.h. auch sie müssen damit rechnen, dass bei einem unzureichenden Datenschutzniveau Haftungsansprüche gegen sie geltend gemacht werden. Voraussetzung ist, dass personenbezogene Daten erhoben oder verarbeitet werden und die Kommunikation mit Nutzern in einer Sprache erfolgt, die Amtssprache in einem EU-Mitgliedstaat ist.

Unternehmen in Drittländern müssen also die Datenschutzanforderungen der DSGVO vollständig berücksichtigen, um nicht in die Haftungsfalle zu tappen, wenn sie z. B. Angebote an EU-Bürger machen (auch: Erwägungsgrund Nr. 23).

Ausländische Unternehmen ohne Sitz/Filiale in der EU müssen außerdem gem. Art. 27 DSGVO einen Vertreter benennen, der seinen Sitz in der EU haben muss, ähnlich einem Datenschutzbeauftragten. Die Nichtbeachtung ist bußgeldbewehrt!

20. Zertifizierungen

Auch im Datenschutz soll es Zertifizierungsmöglichkeiten geben. Im Fokus der Zertifizierung stehen die eigentlichen Prozesse rund um die Verarbeitung, einschließlich dem Schutz der Daten. Sofern ein Unternehmen die Zertifizierung erfolgreich durchläuft, kann es sich mit einem Datenschutzsiegel schmücken. Das Siegel belegt, dass alle datenschutzrelevanten Prozesse den Anforderungen der DSGVO sowie - je nach Zertifizierung - ergänzenden nationalen Anforderungen gerecht werden.

Momentan sind die einzelnen Bundesländer hier aber noch nicht so weit. Welche Zertifizierungen es aufgrund der DSGVO geben wird und wie diese im Detail aussehen, bleibt abzuwarten. Das behördliche Datenschutzsiegel für IT-Produkte gemäß dem Landesdatenschutzgesetz Schleswig-Holsteins könnte ein gutes Vorbild abgeben. Für Unternehmen ist es also wichtig, eine umfassende und lückenlose Dokumentation (Risikoprüfungen, Prozessbeschreibungen etc.) zu schaffen, und damit die Grundlage für spätere Datenschutz-Zertifizierungen.

21. Bußgelder und Sanktionen

Bislang wurden Verstöße gegen den Datenschutz in Abhängigkeit von ihrer Art mit Bußgeldern von bis zu 300.000 Euro geahndet. Viele Unternehmen hat das nicht interessiert, weil man diese Beträge sozusagen „aus der Portokasse“ bezahlen konnte.

Die DSGVO hat hier eine Gezeitenwende geschaffen. Die Bußgelder sollen einen abschreckenden Charakter haben. Deshalb wurden die Bußgelder angehoben, so dass sie je nach Art des Datenschutzverstoßes mit bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes eines Konzerns geahndet werden können. Nicht der Gewinn, sondern tatsächlich der Jahresumsatz bildet die Bemessungsgrundlage des Bußgeldes!

Die Definition des Begriffs „Unternehmen“ gestattet es der zuständigen Aufsichtsbehörde, die gesamte wirtschaftliche Einheit zu betrachten. Sollte ein Datenschutzverstoß von einem Tochterunternehmen begangen werden, ist es dennoch gestattet, den gesamten weltweiten Konzernumsatz heranzuziehen.

Des Weiteren ist zu beachten, dass die Angelegenheit mit Zahlung des Bußgeldes nicht automatisch als erledigt zu betrachten ist. Die zuständige Aufsichtsbehörde kann die Anordnung erteilen, den Datenschutzverstoß zu beenden. Für das Unternehmen geht damit die Pflicht einher, die betroffenen Prozesse in der Datenverarbeitung anzupassen. Sollte dies nicht geschehen, kann die Verarbeitung personenbezogener Daten vollständig untersagt werden, was einer Unternehmensschließung gleich kommen kann.

22. Urheberrechtliche Fragen – Ende der Fotografie oder halb so schlimm?

"Wegen der EU-Datenschutzgrundverordnung darf man ja nicht mehr fotografieren!"

Aussagen in dieser Art begegnen uns seit Mai 2018 immer wieder. Dabei ist zu unterscheiden, dass Datenschutz und Urheberrecht grundsätzlich zwei Paar Stiefel sind.

Mit dem Hochladen auf eine Website erfolgt eine Datenverarbeitung. In den letzten Monaten konnte man zu diesem Thema allerlei Fehlinformationen lesen. Dafür brauche es künftig eine ausdrückliche Einwilligung jeder einzelnen abgebildeten Person, was in der Praxis zumindest bei größeren Veranstaltungen quasi unmöglich sein dürfte, befürchteten angebliche Rechtsexperten. Aber alles halb so wild!

Untätigkeit des Gesetzgebers

Die DSGVO gilt bekanntermaßen in der kompletten EU und gibt den rechtlichen Rahmen vor, die konkrete Ausgestaltung muss allerdings in den jeweiligen Ländern erfolgen, was z. B. in Deutschland mit dem neuen BDSG (Bundesdatenschutzgesetz) erfolgt ist. In Deutschland steckte für Fotografien bislang das Kunsturhebergesetz (KUG) die rechtliche Ausgestaltung ab. Ob und inwieweit das KUG weiterhin gelten wird, darüber sind sich Beobachter, Betroffene und Experten bislang jedoch uneins. 

Das KUG schützt die verschiedenen Interessen – also die Persönlichkeitsrechte der jeweils Abgebildeten und das Interesse der Fotografen an der Ausübung ihres Berufs. Bei Ereignissen wie öffentlichen Konzerten oder Sportveranstaltungen wurde dabei zum Beispiel keine explizite Einwilligung jedes Einzelnen verlangt, die Personen galten als Beiwerk. Befürchtet wurde, dass sich dies durch die DSGVO komplett ändere, weil die DSGVO das KUG ersetze. Dann könnte– so war die Befürchtung – dies dem professionellen Fotografen, aber auch jedem Hobby-Fotografen die Arbeit unmöglich machen. 

Viel geschrieben wurde, dass die DSGVO keine Ausnahmen benenne und die Geltung des KUG damit nicht geklärt sei. Bilder gelten demnach generell als personenbezogene Daten, sobald eine Person identifiziert werden kann. 

"Ich bin entsetzt über die ganze Panikmache", sagte dagegen Prof. Dr. Thomas Hoeren, Professor an der Universität Münster schon 2018. "KUG, Recht am eigenen Bild, Fotografen können keine Bilder mehr machen – das ist blanker Unsinn", ist der Medienrechtler überzeugt. Am 25. Mai drohet überhaupt nichts. "Warum haben wir eigentlich so eine schlechte Haftung gegen Falschberatung?"

Und Michael Ronellenfitsch, hessischer Datenschutzbeauftragter, warnte davor, auf die Horrorszenarien mancher Anwälte hereinzufallen: "In kaum einem Bereich ist die Kenntnis so defizitär." 

Auch die Bundesdatenschutzbeauftragte Andrea Voßhoff sprach von "großer Panikmache". Voßhoff ist davon überzeugt, dass mit Inkrafttreten der DSGVO das Kunsturheberrecht weiterhin Geltung hat – sich also im Wesentlichen auch für Fotografen nichts ändern werde. Ihre Überzeugung decke sich auch mit den Erläuterungen des Bundesinnenministeriums, sagte die Datenschützerin am Rande einer Fachkonferenz in Berlin. Das haben inzwischen auch mehrere Gerichte wie z. B. das OLG Köln bestätigt.

Durch die DSGVO ergeben sich "keine wesentlichen Änderungen der Rechtslage bei der Anfertigung und Verbreitung von Fotografien", heißt es in einer Stellungnahme des BMI. Die Basis widerrufbarer Einwilligung habe es auch vorher schon gegeben und decke seit vielen Jahren die Tätigkeit von Fotografen ab. Für die Veröffentlichung eines Bildes bleibe das KUG auch nach dem 25. Mai erhalten. "Die Annahme, dass die DSGVO dem Anfertigen von Fotografien entgegen stehe, ist daher unzutreffend." 

Wünschenswert wäre trotzdem, wenn der Gesetzgeber dieses Spannungsfeld auflösen und sich klar positionieren würde. Aber eines ist klar: 

Auch schon vor der Geltung der DSGVO waren Persönlichkeitsrechte zu beachten – das hat bloß in den letzten Jahren, in denen quasi meint, alles mit seinem Handy fotografieren und im Internet posten zu müssen, keinen mehr interessiert. Es ist Zeit, dass sich in der Gesellschaft das Bewusstsein durchsetzt, dass es Persönlichkeitsrechte und auch sonstige Rechte in der Fotografie gibt, die zu beachten sind! Das Kunsturhebergesetz gilt im Übrigen seit 1907 (!!!) Das haben offenbar bislang viele nicht bemerkt!