Mein erster DSGVO Rant – Zu viele Mythen und gefährliches Halbwissen zum neuen europäischen Datenschutzrecht

Seit September 2017 habe ich hier im Blog keine Beiträge mehr veröffentlicht. So ein langes “Timeout” hat es bisher noch nicht gegeben. Der Grund ist derselbe, der im Moment das halbe Internet umtreibt: die europäische Datenschutzgrundverordnung.

Die DSGVO die ab 25.Mai 2018 den Datenschutz in der gesamten Europäischen Union einheitlich regeln soll, sorgt dafür, dass bei sämtlichen IT- und Datenschutzanwälte derzeit „Ausnahmezustand“ herrscht. Bei mir führt die Vielzahl der Projekte und Fragen zur Umsetzung der DSGVO eben auch dazu, dass Blog  nun (zu) lange brach lag.

Nun bringt mich aber auch die DSGVO bzw. eigentlich das ganze diesbezüglich im Internet verbreitete, gefährliche Halbwissen dazu, mich hier im Blog ein wenig aufzuregen und einigen DSGVO Mythen den Garaus zu machen.

A. Allgemeine Verunsicherung zur DSGVO

Die Nervosität, die rund um die DSGVO derzeit herrscht, liegt – neben dem nicht immer einfach zu verstehenden Gesetz selbst und dem „Verunsicherungsinteresse“ diverser Dienstleister – nicht zuletzt daran, dass bestenfalls halb-informierte Betroffene bei Facebook & Co mit anderen “Halbinformierten” über das Diskutieren, was sie mal “irgendwo“ gehört haben. Die Verbreitung solch gefährlichen Halbwissens und Spekulationen diverser „Hobbyjuristen und Freizeitdatenschutzbeauftragter“ sorgt dann leider auch nicht dafür, dass der Informationsgrad zur DSGVO tatsächlich steigt. Stattdessen wird darüber diskutiert, ob man jetzt auch (ACHTUNG ECHTE BEISPIELE) mit der Putzfrau oder der Post eine Auftragsverarbeitung vereinbaren müsse oder man gehört habe, dass man für den kleinen Onlineshop jetzt einen neuen PC brauche, weil private und geschäftliche Daten nicht auf einem Computer liegen dürften.

Solch falschen Informationen und Spekulationen sorgen dafür, dass die Betroffenen falsche Prioritäten setzen und sich die Unsicherheit schlussendlich sogar noch potenziert, weil man überhaupt nicht mehr weiß, was jetzt eigentlich wirklich umgesetzt werden muss.

Bevor ich nachfolgend mit einigen Mythen zur DSGVO aufräumen möchte, deshalb mein dringender Appell:

  1. Suchen Sie sich bei Fragen zur DSGVO verlässliche Quellen. Dabei sollten auch Onlineartikel der Qualitätsmedien bzw. diverser Blogs bisweilen hinterfragt werden, die leider immer öfter auf „Clickbaiting“ und „Aufreger“ setzen, als auf seriös recherchierte Informationen.
  2. Wer im Internet Fragen Dritter beantwortet, sollte seine Aussagen nicht auf Spekulationen oder „Hörensagen“ gründen, sondern  im besten Fall valide Argumente oder Belege anführen. Und bevor man auf Fragen nur spekuliert, sollte man vielleicht manchmal einfach besser gar nichts schreiben.

B. Aufklärung zu diversen DSGVO Mythen

Um hier ein wenig aufzuklären, soll nun mit ein paar DSGVO Mythen „aufgeräumt werden:

MYTHOS 1: Ab 25.Mai 2018 muss für jede Datenverarbeitung eine Einwilligung eingeholt werden

Das ist FALSCH.

Nach dem Verbotsprinzip der DSGVO braucht man für jede Verarbeitung personenbezogener Daten einen sogenannten Legitimationstatbestand. Art. 6 DSGVO nennt dann verschiedene  Erlaubnistatbestände, unter denen die Datenverarbeitung legitimiert werden kann.

Neben der informierten Einwilligung (Art.6 Abs.1 lit.a DSGVO) ist eine Datenverarbeitung auch zulässig, wenn einer der nachfolgenden Erlaubnistatbestände eingreift:

  • Wenn die Datenverarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art.6 Abs.1 lit.b DSGVO). Wer im Onlineshop Daten zur Abwicklung der Bestellung (z.B. Name, Adresse, Kontoverbindung) oder Beantwortung einer Produktanfrage (z.B. über ein Kontaktformular) verarbeitet, braucht hierfür keine Einwilligung, weil Art.6 Abs.1 lit.b DSGVO dies eben bereits erlaubt.
  • Wenn die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung der verarbeitenden Stelle erforderlich ist (Art.6 Abs.1 lit.c DSGVO). So sind Unternehmen z.B. nach 257 Abs. 1 HGB verpflichtet, verschiedene geschäftliche Unterlagen für 6 Jahre aufzubewahren. Wer zu etwas gesetzlich verpflichtet ist, braucht für eine entsprechende Datenverarbeitung natürlich auch keine Einwilligung.
  • Wenn die Verarbeitung zur Wahrung berechtigter Interessen der verarbeitenden Stelle oder Dritter erforderlich ist und die Interessen des Betroffen nicht überwiegen (Art.6 Abs.1 lit.f DSGVO). Über die im Rahmen dieses Erlaubnistatbestandes vorzunehmende Interessenabwägung legitimiert eine Vielzahl üblicher und alltäglicher Datenverarbeitungsvorgänge in Unternehmen (z.B. Speicherung von Visitenkartendaten im CRM) ohne dass es hier einer Einwilligung bedürfte

Da die genannten Vorschriften gleichwertig nebeneinander stehen, genügt es wenn einer der Erlaubnistatbestände des Art.6 Abs.1 DSGVO erfüllt ist. Einer Einwilligung bedarf es in all diesen Fällen nicht.

MYTHOS 2: Bei jeder Weitergabe personenbezogener Daten an Dritte muss eine Auftrags(daten)verarbeitung vereinbart werden

Das ist FALSCH.

Die Auftragsdatenverarbeitung, die nach Art. 28 DSGVO jetzt nur noch Auftragsverarbeitung heißt, liegt nur in den Fällen vor, in denen ein Dienstleister beauftragt wird, die Daten NACH WEISUNG des Auftraggebers zu verarbeiten oder personenbezogene Daten im Rahmen einer entsprechenden Beauftragung offengelegt werden (z.B. bei Wartung einer Webseite mit Kundendatenbank). Da weder die Putzfrau noch die Post mit einer weisungsgebundenen Datenverarbeitung beauftragt wird, braucht es hier auch keinen Auftragsverarbeitungsvertrag.

In vielen Fällen werden Daten weitergegeben, bei denen der Datenempfänger eigene Zwecke mit der Datenverarbeitung verfolgt bzw. über die Verarbeitung der Daten entscheidet. Das sind alles KEINE Fällen einer Auftrags(daten)verarbeitung. Hier braucht es für die einheitlich zu bewertende Datenverarbeitung (einschließlich der DAtenweitergabe) also eine andere Rechtsgrundlage aus dem oben beschriebenen Art.6 Abs.1 DSGVO.

MYTHOS 3: Fotos dürfen unter der DSGVO nur noch mit schriftlicher Einwilligung der Abgebildeten veröffentlicht werden. Das gilt auch für Gruppenfotos auf öffentlichen Veranstaltungen

Das ist FALSCH.

Tatsächlich ist die Aufnahme und/oder Veröffentlichung von Personenfotos als Verarbeitung personenbezogener Daten zu werten, für die grundsätzlich die DSGVO eingreift.

Auf der Grundlage von Art. 85 DSGVO kann der nationale Gesetzgeber aber gesetzliche Ausnahmen und Abweichungen von der DSGVO vorsehen. Nach Aussagen verschiedener Europapolitiker, die bei der DSGVO mitgewirkt haben, ist das Kunsturhebergesetz (KUG) als enstprechende gesetzlichen Spezialregelung zu werten.

Damit bleibt es schlussendlich bei den altbewährten Vorgaben der §§ 22 und 23 KUG zur Zulässigkeit der Veröffentlichung von Fotos.

Selbst wenn man das für spezifische Verarbeitungsvorgänge anders sehen kann, so bleibt neben der Einwilligung stets auch die Legitimation über berechtigte Interessen, die aufgrund der vorzunehmenden Interessenabwägung sogar weitergehenden Spielraum als § 23 KUG schaffen könnte. Schlussendlich wird eine Person, die als Teil einer öffentlichen Veranstaltung fotografiert wird, vernünftigerweise erwarten müssen, auf diesem Bild auch veröffentlicht zu werden.

Auch dieses Thema, welches derzeit in diversen Facebookgruppen dramatisiert wird, wird sicher nicht so heiß gegessen werden, wie es gekocht wird.

UPDATE 09.05.2018: Eine erste Stellungnahme des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit zeigt, dass meine Einschätzung zur steten Notwendigkeit von Einwilligung bei der Veröffentlichung von Fotos offensichtlich auch von den Datenschutzbehörden geteilt wird. Die weiter kursierende Panikwelle erscheint – trotz einiger unbestreitbarer fortbestehender offener Einzelfragen – insofern doch etwas unverhältnimässig. 

MYTHOS 4: Ab 25.Mai 2018 drohen bei sämtlichen Verstößen gegen die DSGVO bald Millionenbußgelder

Das ist FALSCH.

Richtig ist, dass die DSGVO maximale Bußgelder von 20 Millionen Euro bzw. 4 % des Jahresumsatzes vorsieht. Hier wird im Internet vereinzelt die zweifelhafte Vermutung geäußert, die EU wolle hier „abzocken“. Tatsächlich erscheinen solche Maximalbußgelder durchaus nachvollziehbar, wenn man auch Internetgiganten wie Google, Facebook & Co dazu zwingen will, die Vorgaben der DSGVO zum Schutz der EU-Bürger auch tatsächlich umzusetzen. Solche hohen Bußgelder sind insofern wohl alternativlos.

Das heißt gleichwohl nicht, dass Kleinunternehmer oder der deutsche Mittelstand bei allen denkbaren Verstößen gegen die Datenschutzgrundverordnung existenzgefährdende Bußgelder befürchten müssten.

Nach Art.83 Abs.1 DSGVO sollen Bußgelder zwar wirksam und abschreckend, aber eben auch verhältnismäßig sein. Die Verhältnismäßigkeit orientiert sich neben der Art und Schwere des Verstoßes ausdrücklich auch daran, ob vorsätzlich oder fahrlässig gegen die DSGVO verstoßen worden ist. Wer sich also bemüht, die Vorgaben bestmöglich zu erfüllen, braucht auch keine unverhältnismäßigen Bußgelder zu befürchten.

Schließlich ist zu erwarten, dass die Angemessenheit und Verhältnismäßigkeit der ersten substantiellen Bußgelder von den betroffenen Unternehmen ohnehin einer gerichtlichen Prüfung unterzogen werden. Dann wird man sehen, wie welche Bußgelder die Gerichte für verhältnimäßig halten.

C. Resumee

Zusammenfassend ist festzustellen, dass mit der Datenschutzgrundverordnung eine wichtige Grundlage geschaffen worden ist, um den Datenschutz in Europa einheitlich zu regeln. Im Interesse eines (digitalen) Binnenmarktes macht das sicher Sinn. Auch die hohen Maximalbußgelder erscheinen erforderlich, ausländische Großunternehmen zur Beachtung zu bringen.

Auch wenn sich einige Vorgaben noch konkretisieren werden, kann man heute klar sagen, welche Umsetzungsmaßnahmen priorisiert werden sollten und was getan werden muss, um etwaige Bußgeld- oder Abmahnrisiken auf ein vertretbares Maß zu reduzieren bzw. vollständig zu beseitigen.

Auch diese Mal werden die neuen Regularien nicht dazu führen, dass „das Internet abgeschaltet wird“.

Wer sich hier von der Panikmache nicht anstecken lässt, sondern sich aus vernünftigen Quellen oder bei Beratern informiert, die einen praktikablen Weg zur Umsetzung zeigen und nicht nur mitteilen, wie unsicher und riskant alles wird, der wird auch die Vorgaben der DSGVO sinnvoll umgesetzt bekommen.

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 23 84 953 oder via E-Mail cu@bartsch-rechtsanwaelte.de zur Verfügung.

Comments

  1. Frank meint:

    B 1. und 2. “Das ist FALSCH”
    Warum musste ich einen ADV unterschreiben, nur weil ich die Wartung für einen Blog habe? Ich verarbeite keine Daten, ich mache lediglich Updates, schaue nach ob noch alles läuft. Ich bin dort superadmin im Blog, sehe also alle Userdaten. Aber diese Daten “verarbeite” ich nicht, sie interessieren mich noch nicht einmal.
    Wenn ich einen Webshop warte, muss ich dann auch einen ADV machen, obwohl ich mit den Daten dort faktisch nichts mache?
    So gibt es viele Beispiele und natürlich habe ich Einblick in die Datenbanken und das jeweilige CMS-System, auch per FTP.
    Es gibt Gerüchte, dass man bereits als Auftragsdatenverarbeiter gilt, wenn man persönliche Daten einsehen kann.
    Und die Standard-ADV Verträge sind in der Regel absolut nicht passend für Arbeiten wie Wartung und Pflege am System.
    Und falls Sie sagen, dann muss halt so ein ADV vom Anwalt aufgestellt werden, dann sage ich, dass für ein Auftrag von regelmäßig 20 € im Monat kein Anwalt im Preis mit drin ist.

    • Der Begriff der Verarbeitung wird in Art. 4 Abs. 2 DSGVO definiert und umfasst sehr viel. Zur Verarbeitung gehört demnach: »das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;« Insofern ich das richtig verstehe, kannst du die personenbezogenen Daten auslesen, abfragen und einiges mehr. Damit läge meiner Meinung eine Verarbeitung vor.

      • culbricht meint:

        Siehe meine Antwort auf den Kommentar von Andreas Wollin.

        • Jürgen meint:

          Ich bin Hobbyfotograf und fotografiere für meinen Verein viele Nachwuchfotos in Bereich Fussball, die Eltern unseres Vereins haben schon seit dem ich da mache mache zugestimmt das ich fotografieren darf und die Bilder auf der Vereinspage und Facebook veröffentlichen darf, genauso fotografiere ich viele Events in Festzelten und lade die Bilder auf dem Veranstalter seiner Facebookseite hoch. Wie bitte verhält sich das in Zukunft und was genau muss ich jetzt beachten?

    • culbricht meint:

      Siehe meine Antwort auf den Kommentar von Andreas Wollin.

  2. Die Sache mit dem ADV-Vertrag ist wirklich interessant. Wir haben beispielsweise eine Agentur, die die Website macht. Weiterhin einen Admin, der die IT-Infrastruktur macht. Für beide wäre es ein Leichtes, Nutzerdaten einzusehen. Beide aber machen dies nicht, weil sie es für ihre Arbeit nicht benötigen. Vertrag ja oder nein?
    Gibt es online ein Muster und steht da sinngemäß drin “brav sein”, unterschreiben die mir das schon.
    Geht es in Richtung “ein Anwalt muss das aufsetzen”, wird der Geschäftsführer doch eher ungemütlich.

    • culbricht meint:

      Wer personenenbezogene Daten im Rahmen einer Beuaftragung eines Dienstleisters offenlegt, sollte auch eine Auftragsverarbeitung vereinbaren. Ja es gibt Muster unrterschiedlicher Qualität, die dann aber individualisiert werden müssen. Und nein, das steht leider nicht nur drin, wass man “brav” sein muss. Statttdessen sollte geregelt werdem, welche Daten der Dienstleister bekommt, was er damit machen darf und wie er die Sicherheit der Daten zu gewährleisten hat.

      • Vielen Dank für diese Antwort! Dann werden wir mit unserem Datenschutzbeauftragten, den es nunmehr gibt, die Sache sauber ausarbeiten.

      • Frank meint:

        Es wird also doch kompliziert, und da soll keine Panik aufkommen?
        > “Wer personenenbezogene Daten im Rahmen einer Beuaftragung eines Dienstleisters offenlegt”
        Also sämtliche Kunden eines Webentwicklers, denn schon die IP gilt als “personenbezogene Daten”. Als Entwickler hat man oft mehr Einblick in die Daten die über Web anfallen, als der Inhaber. Ich sehe alles, ob Datenbanktabellen, IPs, Sourcecode (den ich ändern kann), Cookies, Uploads und Downloads, User und Nichtuser, usw.
        Ich sehe auch hier in dieser Seite so einiges, was Laien oft nicht sehen und selbst die Inhaber meistens nicht wissen.
        > “Ja es gibt Muster unrterschiedlicher Qualität, die dann aber individualisiert werden müssen.”
        Also für jeden einzlnen Kunden eine eigene Vertrags-Erklärung, die je nach anfallender Arbeit wieder angepasst werden muss?
        Auftrag = 50€ plus ADV = 300 €
        Das ist völlig illusorisch und an der Realität vorbei.
        > “welche Daten der Dienstleister bekommt”
        Das wissen die Kunden gar nicht, woher denn auch? Dazu bräuchten sie zuerst einmal einen technisch versierten Datenschutzbeauftragten, der ihnen erklärt, welche Daten sie haben.
        Praktisch bekomme ich nicht nur alle Daten die es über Web gibt, sondern mehr als das. Denn praktisch passiert es schnell, dass Userrechte auf einen Server falsch gesetzt sind und ich im / – root gelandet bin. Ich bin dann Datenwissender über alles, was auf diesen Server sich befindet, und ja, auch über die SSL-Zertifikate und wer sie hat.
        Eigentlich müsste ich also nicht zuerst der Dienstleister sein, der einen Wartungsauftrag bekommt, sondern auch vorher der Datenschutzbeauftragter, der dem Kunden erklärt, was er für Daten zu übergeben hat und welche tunlichst nicht.
        > “was er damit machen darf”
        Was darf ich denn mit Daten machen, die ich gar nicht zu bearbeiten habe, sondern die ich nur zu sehen bekomme und gegebenenfalls nur ein CMS-Update fahre? Was darf ich mit Daten machen, die ich gar nicht sehen sollte, aber dank der Unfähigkeit der Kunden in meinen Blickbereich gelangt sind? Was ist, wenn ich eine Datensicherung fahren muss, die auch Datenbankdaten enthält?
        > “wie er die Sicherheit der Daten zu gewährleisten hat”
        Jetzt geht es ans Eingemachte.
        Wie wird hier Sicherheit definiert? Geht es hier um Hochsicherheitstrakt?
        Sicherheitsfenster und Türen nach RC6, bauliche Veränderungen für extra Datenraum mit Personenkontroll-Schleuse, Wandtresor für Datenaufbewahrung, Grundstückssicherung mit Alarmsystem, IT-Sicherheits Beauftragter, usw. Was ist mit Flugreisen wenn Kundendaten dabei sind? Verschlüsselte Festplatte, auch wenn Zoll die Herausgabe verlangt?
        Wer kontrolliert das und wer bezahlt die Kontrolle?
        Wo fängt das an und wo hört es auf und wer bezahlt das alles?

        Gerade während dieses Schreibens ein Kundenanruf, 2 Seiten und ein Blog werden geschlossen, Kontaktformular ausgebaut, usw.
        Nichts, aber auch gar nichts ist an der DSGVO harmlos oder lustig. Es ist ein Vernichtungsfeldzug gegen Kleine, weil für sie nun auch Maßstäbe gelten wie für die Weltkonzerne. Letztere haben Milliarden für Anwälte.

        • Nur en passant, bin Halbwissender im sinne von Carsten ;)

          Soweit ich verstehe dürftest du als Dienstleister nicht parallel Datenschutzbeauftragter sein, da du dich ja selbst kontrollieren müsstest.
          *duck*
          *renn*
          Ach ja, am 25.5. wird das Internet eh geschlossen,also ruhig bleiben. (Und schon mal nen Taxischein machen. Obwohl… Egal.)

          Anders:
          Ein Verwaltungsleiter einer Klinik sagte mir:
          Wenn wir das machen, können wir nicht mehr arbeiten.
          Also lassen wir es sein.

          Ich find das als Ansatz durchaus OK.

          Übrigens hat bisher kein Jurist ausgeschlossen, dass wir alle DSGVO-Anfragen an unsere Landtags-, Bundestags- und Europaabgeordneten schicken können. Nicht dass ich dazu aufrufe, aber es wär witzig, wenn man das automatisierten könnte.

          @Carsten: Boah, hellgraue Schrift auf noch heller grau, das können ältere menschen nicht lesen. (Kommentarformular, Chrome, win10)

          • Frank meint:

            > “Soweit ich verstehe dürftest du als Dienstleister nicht parallel Datenschutzbeauftragter sein, da du dich ja selbst kontrollieren müsstest.”
            Ich dürfte nicht mein eigener Datenschutzbeauftragter sein, das stimmt. Aber ich kann für mich selbst praktischen Datenschutz machen. Gegenüber Kunden wäre ich aber in der Lage, diese in technischen Angelegenheiten zu beraten. In juristischen Belangen nicht.
            > “Wenn wir das machen, können wir nicht mehr arbeiten. Also lassen wir es sein.”
            Exakt so ist es, und nicht nur in Kliniken. Wie gesagt, die deutsche BDSG wurde bisher oft schlicht und einfach ignoriert, weil sonst nichts mehr ginge. Jetzt werden Webseiten udn Nebenerwerbe geschlossen, weil es mit der DSGVO nicht mehr rentiert und zu gefährlich wird.
            Und das schlimme ist, in Kliniken wird tatsächlich hauptsächlich Bürokram gemacht, statt sich um Patienten zu kümmern. Das konnte ich vor Monaten in einer Klinik schön beobachten. Aktenschrank auf, Ordner raus, Papierkram erledigen, Ordner rein, nächster Ordner auf, usw. 2 Pflegepersonalisten haben sich um die Patienten gekümmert, die restlichen 6 Leute machten Bürokram!
            Das wird jetzt noch schlimmer werden.
            > “hellgraue Schrift auf noch heller grau”
            Das ist furchtbar, und ein Unding in der Webusability. Wermachtauchsowas.

  3. Archy Kapff meint:

    Hallo,
    ich betreibe einen eigenen E-Mail-Server, um mit meinen geschäftlichen Kontakten, darunter bestehende und potenzielle Kunden, E-Mails auszutauschen. Privatkunden gibt es nicht.
    Aus Bequemlichkeitsgründen liegen meine Mails alle auf dem Server und ich lösche auch keine Mails.

    In den Mails sind natürlich personenbezogene Daten enthalten (Name, Telefon, Beruf, etc. des Absenders). Bin ich nun verpflichtet, diese Mails zu löschen sobald ich sie nicht mehr zwingend brauche, oder darf ich ich diese Mails weiterhin unbegrenzt aufbewahren? Oder muss ich mir nun die Einwilligung holen “Sie haben mir eine Mail geschickt. Darf ich diese Mail aufbewahren?”? Oder ist ein anderer Erlaubnistatbestand hier anwendbar?

    Danke!

  4. Sandra Sonnenburg meint:

    Ich betreibe einen Blogpost Blog, also ein Blog, der von Google gehört wird. Ist Google damit für mich ein Verarbeitet personenbezogener Daten in meinem Auftrag? (Mythos 2)?
    Ich selbst habe über meine Blog-Einstellungen nur extrem begrenzte Möglichkeiten überhaupt einzusehen, welche Daten Google erhält. Demnaauch kaum Möglichkeiten, die zu verhindern bzw löschen zu lassen. Wie ist hier die Lage nach DSGVO?
    Vielen Dank für eine Einschätzung.
    Beste Grüße
    Sandra Sonnenburg

  5. Joachim Badura meint:

    Zu Mythos 3: Fotos

    Ihre Stellungnahme ist nicht ganz richtig. Nach der DSGVO ist bereits das Anfertigen eines digitalen Fotos eine Datenerfassung und nicht erst die Veröffentlichung. Da der deutsche Gesetzgeber aber zur Zeit keine Anstalten macht, die Ausnahmen der Art. 85 DSGVO in das neue Bundesdatenschutzgesetz zu übernehmen, ist die Einwilligung der abgebildeten Personen vor der Aufnahme notwendig. dies gilt auch für Gruppenaufnahmen. Bei der letzten Sachverständigenanhörung verwies der Staatssekretär des Justizministeriums darauf, dass dies wohl in den nächsten Jahren die Gerichte entscheiden sollen. Das KUG regelt nur die Veröffentlichung von Bildern.

    Da die DSGVO Europarecht ist und das neue Bundesdatenschutzgesetz nationales Recht ist, hat die DSGVO Vorrang. Es sei denn, der deutsche Gesetzgeber würde der KUG nach Art. 85 DSGVO Vorrang einräumen.

  6. Holger Bücker meint:

    Vielen Dank für die Aufarbeitung und Beruhigungsbemühungen.
    Zum Mythos 3 habe ich eine etwas andere Auffassung:
    Da der deutsche Gesetzgeber von der Öffnungsklausel des Artikel 85 keinen Gebrauch gemacht hat, ist das KUG nicht mehr direkt anwendbar. Gleichwohl kann man in der Interessenabwägung bei Eimer Rechtmäßigkeit über das „Berechtigte Interesse“ die entsprechenden Paragraphen heranziehen.
    Eine direkte Berufung auf einwilligungsfreie Konzertfotos mit Publikum als Beiwerk durch akkreditierte Fotografen nach dem KUG ist nach meiner Auffassung leider!!! So nicht mehr möglich.

  7. Hi Carsten,
    1)
    Wie siehst du die Abmahngefahr und wer trägt da die Kosten?
    2)
    wenn ich nicht falsch verstehe, müsste ich jeden Kontakt, den ich z.B. in ein CRM übernehme, darüber informieren. Zu dem Zeitpunkt oder nur auf Nachfrage? Und was taugen die Generatoren auf dem Felde? (Hab noch keine getestet. Es gibt wohl auch ein Start-up (kann ich raussuchen) das sowas anbietet …)

  8. Heiko Krohn meint:

    Nach Aussagen verschiedener Europapolitiker, die bei der DSGVO mitgewirkt haben, ist das Kunsturhebergesetz (KUG) als enstprechende gesetzlichen Spezialregelung zu werten.

    Gibt es dazu auch nachvollziehbare Quellen??

    • Heiko Krohn meint:

      Nach Aussagen verschiedener Europapolitiker, die bei der DSGVO mitgewirkt haben, ” – wo stehen die Aussagen? Sind die schriftlich fixiert und gültig? Soweit ich weiß, hebelt die DSGVO das KUG aus…….

      • culbricht meint:

        Das steht in Art.85 Abs.2 DSGVO und wird hier https://twitter.com/JanAlbrecht/status/991613976378331136 noch einmal bestätigt.

        • erik meint:

          Klar. Ich verlasse mich in rechtlichen Fragen auch einfach auf die Aussage von Politikern … Das wird vor Gericht wirklich Eindruck machen, wenn ich sage “der Europapolitiker hat aber gesagt” … -.-

          Und selbst wenn das nach Art. 85 so fixiert wäre (wo ist aber die schriftliche Mitteilung Deutschlands in Bezug auf Absatz 3 – und Twitter gilt da sicher nicht), so bezieht sich das nach Lesart des Absatz 2 aber nur auf die Ausnahmen zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken vor. Ausnahmen in Bezug auf das “unwesentliche Beiwerk” (§ 23 KunstUrhG) kann ich da nicht entdecken …

          • culbricht meint:

            § 23 KUG IST die Ausnahme. Und es ist auch nicht ausgeschlossen, Auslegungshinweise von beteiligten Politikern bei der Anwendung von Gesetzen heranzuziehen.

  9. Markus Stein meint:

    Hi Carsten,

    meine Frage bezieht sich auf die personenbezogener Daten unserer Mitarbeiter.

    Muss eine zusätzliche Vereinbarung mit den Mitarbeitern getroffen werden, wenn ihre Daten auf der Unternehmenswebseite
    als Kontaktmöglichkeit angegeben werden (Vorname, Nachname, Position, Abteilung, Durchwahl und Email)?

    Danke dir!

  10. Norbert Fiks meint:

    Die Anmerkungen zu Mythos 3 (Fotos) sind nicht wirklich hilfreich. Die Einschätzung von EU-Politikern, dass das KUG als Spezialregelung zur DSGVO angesehen werden kann, ist bloß eine Meinungsäußerung. Hier ist doch wohl der deutsche Gesetzgeber gefordert. Außerdem betrifft das KUG nur die Veröffentlichung von Fotos, nicht aber das Fotografieren (Datenerhebung) selbst. Und ob das Betreiben einer eigenen Website ein berechtigtes Interesse ist, ist sicherlich auch noch nicht verbindlich geklärt.

    • culbricht meint:

      Das steht in Art. 85 Abs.2 DSGVO und wird unter https://twitter.com/JanAlbrecht/status/991613976378331136 noch einmal bestätigt.

      • Simon Lackerbauer meint:

        Das war wohl die am wenigsten hilfreiche Antwort auf die aufgeworfenen Fragestellungen, die man sich vorstellen kann. Gehen wir mal davon aus, dass Herrn Albrechts Einschätzung, dass das KUG als Spezialregelung iSd Art. 85 DSGVO anzusehen ist, vollumfänglich Bestand hat. Dann bezieht sich das, wie Herr Fiks anmerkt (und wie etwa auch von RA Horvath im CR-Online Blog vertreten), rein auf die Veröffentlichung, nicht aber auf die initiale Erhebung der Daten in Form von Personenbildnissen, für die die DSGVO uneingeschränkt gilt. Das KUG kann der DSGVO auch nicht wie dem “alten” (also derzeit noch geltendem) BDSG quasi vollständig, wie bisher aufgrund der Subsidiaritätsregel des § 1 Abs. 3 BDSG geschehen, vorgehen, da Bundesrecht offensichtlich nicht Unionsrecht brechen kann.

        Und sobald wir uns im Bereich des Art. 6 Abs. 1 lit. f bewegen, steht man doch ziemlich schnell auf tönernen Füßen. Schon, ob man wirklich bei Besuch einer Veranstaltung damit rechnen muss, sowohl abgelichtet als auch für Marketingzwecke des Veranstalters genutzt werden zu können, ist eine sehr nebulöse Auslegungsfrage, die sich schon fast auf dem Niveau klassischer “Treu und Glauben” Abwägungen befindet. Es gibt da doch so einige Punkte, die mich eher zweifelhaft stimmen, dass solche Nutzungen mit dem Telos der Regelung im Einklang stehen, zumal Art. 85 ja hauptsächlich auf hohe Rechtsgüter wie die Meinungs-, Wissenschafts- und Kunstfreiheit abstellt, und das in einer Art und Weise, die nicht unbedingt den Eindruck erweckt, dass auch andere, durchaus legitime, Zwecke, wie etwa das Marketing im Rahmen der Berufsausübung, umfasst sein sollen. Auch Erwägungsgrund 153 scheint mir in die gleiche Richtung zu zeigen.

        Einen Nachholbedarf des Gesetzgebers pauschal abzutun mit der Ansage, dass sich schon nicht so viel ändern werde, halte ich auch für etwas verfrüht. Die DSGVO ist nämlich sicherlich kein Meisterwerk des legislativen Handwerks, und wird dementsprechend erst durch entsprechenden Einsatz in der Judikative geschärft werden. Und genau daher rührt die derzeitige Unsicherheit in einigen Bereichen, auf die man meiner Meinung nach auch einzugehen hat, statt sie nur als Dummheit der Halbwissenden darzustellen.

  11. Steffi meint:

    Hallo!

    Ich bin leider durch all die widersprüchlichen Aussagen im Internet total verunsichert.

    Ich betreibe bei FB eine Hobby-Fotoseite (nicht kommerziell). Hauptsächlich fotografiere ich auf Veranstaltungen wie Mittelaltermärkten, zB Künstler, Besucher, Händler

    In welchen Fällen brauche ich nun eine Einwilligung, das Foto zu machen und auch zu veröffentlichen? Und in welcher Form (reicht mündlich)?

    Viele Bekannte, die ebenfalls solche Fotos machen, und ich wissen nun nicht, wie wir uns korrekt zu verhalten haben.

  12. Karin meint:

    Den größten Mythos hast du vergessen: Die DSGVO gilt für jeder Webseite, egal ob geschäftlich oder privat.
    Das ist falsch. Private Seiten (ohne beruflichen oder wirtschaftlichen Kontext) sind von der DSGVO schlicht und ergreifend nicht betroffen.

    Erwägungsgrund 18
    Keine Anwendung auf den persönlichen oder familiären Bereich
    Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird.

    • Frank meint:

      > “ausschließlich persönlicher oder familiärer Tätigkeiten”
      Dann wäre diese Webseite auch online nicht von anderen Besuchern zu erreichen, müsste also eine htaccess Sperre rein.
      Aber halt, selbst dieser Zugriff auf htaccess wird ins Logfile eingetragen…

      • Karin meint:

        Du hast es nicht verstanden.
        Die DSGVO gilt NICHT für Webseiten, die ausschließlich zur Ausübung persönlicher oder familiärer Zwecke dienen. Die dürfen Daten erheben, so viel sie wollen.
        Lies einfach den Erwägungsgrund weiter:
        Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.

        Private Mails, das Adressverzeichnis in deinem privat genutzten Handy, die Nutzung von Facebook oder Twitter oder eine reine Hobby-Webseite, selbst ein Foto-Blog fallen NICHT unter die DSVGO.
        Sobald über solch eine Webseite aber Geld (zB durch Affiliate-Links) verdient oder ein geldwerter Vorteil (zB durch das Zurverfügungstellen von Produkten zwecks Rezensionen) erlangt wird, wird es mit der rein persönlichen Tätigkeit ohne Bezug zu wirtschaftlichen Tätigkeiten unter Umständen schwierig zu argumentieren.

        • Frank meint:

          > “Die dürfen Daten erheben, so viel sie wollen.”
          Das kann ich mir so pauschal nicht vorstellen.
          Das müsste @culbricht erklären.

        • Steffi meint:

          Hast du dazu zufällig den passenden Punkt in der DSGVO parat?

        • Erik meint:

          Ganz so einfach dürfte es nicht sein. Private Kommunikation zwischen Privatpersonen mag zwar ausgenommen sein. Sobald diese private Kommunikation aber über kommerzielle Plattformen wie Facebook oder Twitter abgewickelt wird, kommt immer auch die Beziehung zwischen den Privatpersonen und den Plattformbetreibern hinzu und letztere lassen sich i.d.R. von den Nutzern bestätigen, dass diese ausschließlich Daten hochladen dürfen, an denen sie auch die Rechte halten.

          • Karin meint:

            Das hat aber nichts mit der DSGVO zu tun, sondern nur mit dem Recht am eigenen Bild. Das war bisher auch nicht anders.
            Was die DSVGO für die Nutzung sozialer Plattformen durch Privatpersonen betrifft, steht auch das im Erwägungsgrund 18:
            Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die _Nutzung_sozialer_Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.

  13. Winfried Veil meint:

    Sehr geehrter Herr Ulbricht,

    speziell für Fotografen stellen sich nach der DS-GVO eine Vielzahl von Problemen, die gar nichts mit den Erlaubnistatbeständen und auch nichts mit dem KUG zu tun haben. Wie soll ein Berufs-, aber auch ein Hobbyfotograf bei einer Vielzahl von Betroffenen auf veröffentlichten Fotos und bei einer Vielzahl von Personen im Fotoarchiv die folgenden Pflichten erfüllen?

    - Rechenschaftspflichten gemäß Art. 5 II DS-GVO
    - Informationspflichten gemäß Art. 13 DS-GVO
    - Nachweispflichten gemäß Art. 24 I DS-GVO
    - Dokumentationspflicht gemäß Art. 30 DS-GVO
    - Gewährleistung eines Widerrufs der Einwilligung gemäß Art. 7 III DS-GVO
    - Informationspflichten gegenüber anderen Verantwortlichen gemäß Art. 17 II DS-GVO
    - Mitteilungspflichten gegenüber Empfängern gemäß Art. 19 Satz 1 DS-GVO
    - Mitteilungspflichten gegenüber dem Betroffenen gemäß Art. 19 Satz 2 DS-GVO
    - Auskunftspflichten gegenüber dem Betroffenen gemäß Art. 15 I und II DS-GVO
    - Pflicht zur Erteilung einer Kopie gemäß Art. 15 III und IV DS-GVO
    usw. usf.

    Mit freundlichen Grüßen

  14. Dominik König meint:

    Hallo Carsten, gibt es zu dem Punkt
    Mythos 3.

    Verlässliche Quellen welche Europa Politiker. Das kug über die dsgvo heben?

    Grüße dominik

  15. Achim Wilde meint:

    Die Ausführungen zur Erstellung und Veröffentlichung von Fotografien, auf denen Personen erkennbar oder identifizierbar abgebildet sind, tragen meiner Meinung nach überhaupt nicht dazu bei, sich ein vernünftiges Urteil darüber zu bilden, wie man den ganzen DSGVO-Unfug auch nur einigermaßen unbeschadet übersteht. Was soll denn das heißen, “nach Aussage verschiedener Europapolitiker . . .” ? dafür dann ich mir im Ernstfall überhaupt nichts kaufen, das Einzige was zählt ist die jeweils aktuelle Rechtslage. Sollte ich dann abgemahnt werden, kann ich nur hoffen, dass mein Rechtsbeistand in der Lage ist, dies richtig einzuschätzen und das Gericht überhaupt weiß, um was es da geht. Beides ist bei der konfusen Situation und den jetzt schon chronisch überlasteten Gerichten nicht ansatzweise zu erwarten. Fakt ist, ab 25.05.2018 gilt das Gesetz, ab dann wird scharf geschossen. Soweit die Bundesregierung die vom EU-Gesetzgeber vorgesehenen und auch zum Teil vorgeschriebenen Anpassungen nicht vorgenommen hat, gilt die Hardcore-Fassung. Selbst wenn die Annahme, die ich zur Zeit für reine Spekulation halte, stimmen sollte, dass das KUG anwendbar wäre, sollte man auch schon dazu sagen, dass es auch die alte Rechtslage keinesfalls hergibt, dass jeder jeden zu jedem Zweck fotografieren und die Bildnisse anschließend veröffentlichen darf. Es gilt immer noch: Erst fragen, dann auf den Auslöser drücken. Selbst das “Presseprivileg” ist nach meiner Einschätzung am 25.05.2018 nichts mehr wert, weil die Bundesregierung hier nichts geregelt hat. Auskunft der Bundesregierung: Nicht unsere Baustelle, ist Ländersache. Gerade mal zwei Bundesländer haben bisher angefangen, sich mit dem Thema zu beschäftigen und erste, nicht rechtsverbindliche Überlegungen zu veröffentlichen. Selbst die so hart umkämpfte “Panoramafreiheit” ist nach meiner Einschätzung zumindest für eine ganze Weile vom Tisch. Die einzige Aussage, die ich im Zusammenhang mit der DSGVO zur Zeit wirklich ernst nehme, ist die Antwort eines guten Freundes, Rechtsanwalt bei einer renommierten international tätigen Anwaltskanzlei auf meine Frage “Na, was machen denn die Kollegen in der Abmahn-Abteilung ?” Antwort: “Die blättern gerade ganz vergnügt im neuesten Porsche-Katalog.”

    • culbricht meint:

      Über die aktuelle Rechtslage diskutieren wir ja gerade. Ich kann verstehen, wenn es besser gewesen wäre, wenn der Gesetzgeber hier eine eindeutige Regelung getroffen hätte. Es ist aber keinesfalls klar, dass §§ 22 und 23 KUG, die bisher galten, nicht einfach weiter angewendet werden. Dafür spricht Art. 85 Abs.2 DSGVO und die Auslegung beteiligter Politiker (siehe https://twitter.com/JanAlbrecht/status/991613976378331136https://twitter.com/JanAlbrecht/status/991613976378331136 ).

      • Es wäre schön, wenn die Interpretationen dieser “Europapolitiker” auch noch irgend eine tragfähige juristische Begründung hätten, außer “es kann nicht sein, was nicht sein soll”… Dass §22, 23 KUG einfach so weitergelten könnten, sehen jedoch weder die Bundesregierung, noch sonst jemand so. Ich empfehle https://www.bdp-net.de/datenschutzgrundverordnung und ein Update dieser ansonsten gelungenen Darstellung, um nicht selbst einen Mythos zu schaffen, der echt gefährlich ist. Denn inzwischen habe ich den Brief einer Datenschutzaufsichtsbehörde vor mir, die ganz klar sagt, dass das Foto einer Vereinsversammlung ohne ausdrückliches “Opt-In” JEDES erkennbar Abgebildeten selbst dann rechtswidrig wäre, wenn eine entsprechende Regelung in der Satzung steht und schon in der Einladung auf Foto für Vereinsveröffentlichung hingeweisen wurde. Sprich: §§22, 23 KUG sind ab 25.5.2018 “tot”, auch wenn man es sich anders wünscht.

      • Claudia meint:

        Sprich wenn ich als Hobbyfotograf ein Pferderennen besuche und wie bisher während oder nach dem Rennen fotografiere
        Siehe Beispiel : https://www.facebook.com/claudiasfotoblog/photos/a.796353910568626.1073741861.718531461684205/796354603901890/?type=3&theater

        Kann ich das nach dem 25.5 in bisherigem Umfang weiter machen oder muss ich mich auf die Pferde ohne Jockey, Pfleger etc beschränken?

        Habe keine Lust wegen solcher Fotos abgemahnt zu werden, denn leider ist gerade an gut besuchten Renntagen nicht vermeidbar das auch mal ein Zuschauer im Hintergrund zu sehen ist.

        lg

      • Nabend Carsten,

        ich hab mich ja schon beim Lesen des Artikels gefragt, warum Du den Wortlaut der Verordnung in Art. 85 Abs. 3 außer Acht lässt?

        “Jeder Mitgliedstaat teilt der Kommission die Rechtsvorschriften, die er aufgrund von Absatz 2 erlassen hat, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften mit.”

        KUG wurde nicht aufgrund von Absatz 2 erlassen. Gesetzgeber hätte dies durch Einbeziehung in BDSGneu machen können. Aber hat er nicht. Von einer Mitteilung an die Kommission wurde auch nie etwas bekannt.

        Ich hege daher starke Zweifel an der Auffassung. Auch wenn ich glaube, dass da einfach nur was verbockt wurde in der Gesetzgebung mal wieder

    • Ralf Reske meint:

      Danke. Das ist sehr treffend formuljert. Ich behaupte, im Falle einer Falschaussage des Herrn Anwalts hier, wird er garantiert nicht in Haftung treten. Ich habe meine online-shops schon dicht gemacht.

  16. Dürfte ich diesen Beitrag auf meinem Blog verlinken? Es herrscht wirklich eine große Verunsicherung. Ich sammle Informationen, die aufklären.

  17. Wenn ich es richtig verstehe regeln §22 und §23 KUG nur die Veröffentlichung von Fotos. Bei strenger Auslegung der EU-DSGVO ist aber nach meinem Verständnis schon das Anfertigen der Aufnahme ohne die Einwilligung aller abgebildeten Personen nicht mehr erlaubt.

    Welche Ausnahme würde dann noch rechtfertigen, dass ich im öffentlichen Raum Architektur fotografieren kann, bei der Personen als sog. Beiwerk sichtbar sind (Stichwort Panoramafreiheit § 59 UrhG)?

    Die hier vielfach verlinkte Aussage eines einzelnen EU-Parlamentariers ist für mich nicht besonders beruhigend, wenn z.B. Freelens als einer der größeren Fotografenverbände hier ebenfalls nachvollziehbar große Risiken für die Fotograf*innen sieht.

  18. Falk D. meint:

    Es gibt schon jetzt jede Menge einzuhaltende Fristen:
    * Zu löschen sind z.B. Bewerberdaten nach Abschluss des Bewerbungsverfahrens + Frist für mögliche Klage gegen die Entscheidung (+ 14 Tage für mögliche Versetzung in alten Stand).
    * rechtssicher (früher revisionssicher) aufzubewahren sind Angebote, Rechnungen, Lieferscheine, Zollerklärungen etc. bei AEO geht das zum Teil bis 30 Jahre.

    Diese Regelungen sind aber alle nicht neu und mit “einfach auf dem E-Mail-Server belassen” würde ich mich nicht mal in die jährliche Unternehmensprüfung trauen.

  19. Alex Hoffmann meint:

    Vielen Dank für diesen Beitrag! Einige der Mythen und Missverständnisse bei der DSGVO habe ich nun endlich besser verstanden.

    Eine Fragen habe ich aber noch:

    Wenn ich mich als Firma bei einem Onlinedienst anmelde, muss ich dann mit dieser Firma einen ADV abschließen, wenn die von der Firma erhobenen Daten über mich und meine Mitarbeiter (E-Mail-Adresse, vollständiger Name) ausschließlich für die Erfüllung der Dienstleistung gespeichert werden? Eine Weiterverarbeitung der Daten durch diesen Dienstleister erfolgt nicht. Sie liegen einfach in deren Kundendatenbank und sind bei Bedarf durch die Mitarbeiter der Firma einsehbar.

    In der Privacy Policy der Firma steht exakt welche Daten erhoben werden und dass diese nur für die Erfüllung der Dienstleistung genutzt werden.

    Grüße,

    Alex Hoffmann

  20. Ja es gibt viel Halbwissen weil es noch keine gerichtlichen Entscheidungen gibt. Bisher gibt es nur Meinungen von Juristen – und Abmahn Anwälten (ja ich hab da böse Vorurteile seit den berüchtigten Tanja-Briefen). Wer schlussendlich dabei vor Gericht gewinnt ist unklar.

    Die beste Strategie für mich als Betreiber einen kleinen Website für spezielle Infrastruktur ist abschalten (bzw. Geo-Blocking der EU-IPs mit Hinweis für Nutzer aus EU IP das der Service eingestellt ist – Ja eine Notlüge) und abwarten. Die Mitbenutze können alle VPN (schon seit Jahren, aus Gründen).

  21. Aus den obigen Komentaren ergibt sich, dass für einen studierten Informatiker Stundenlöhne von 20 Euro incl. MwSt aufgerufen werden (das entspricht netto und nach Abzug der Fixkosten nicht einmal dem deutschen Mindestlohn) und für einen studierten Juristen einige hundert Euro pro Stunde. Das gibt zu denken!

  22. Alexander Kleinoth meint:

    Hallo,
    ich habe seit letztem Jahr ein Kleinunternehmen. Male Portraits und ähnlichem.
    In wiefern sind denn nun die Kleinunternehmen von dem ganzen betroffen? Kann es eventuell zutreffen,
    dass sich garnicht so viel verändert, sondern nur ein Teil hinzu kommt?
    Eine Datenschutzbestimmung gab es ja auch schon vorher.
    Irgendwie ist in allen Ecken eine Panik zu verspüren, Existenzängste fürs Kleinunternehmen und
    so mangsam wirds schon mulmig. Was darf man noch, was nicht mehr.
    BEsuche halt auch Märkte, mache Bilder von meinem Stand, usw. Darf ich das nicht mehr? Muss ich nu wirklich
    auf Kundschaft im Bild verzischten? Das kommt dann echt cool rüber, wenn man Bilder zeigt und keiner ist drauf. Leerer Stand
    quasi.

  23. Markus Stehr meint:

    Klar, bis alles Wasserfest geklärt ist darf erst mal richtig viel Geld in Juristen gepumpt werden. Ganz tolles Gesetz, wo findet man hier die Brechtüten? :(

  24. Markus Walther meint:

    Mythos 3: Dies ist der erste Artikel, den ich im Web finde, der dies behauptet. Interessant. Der Hochzeitsfotograf muss also keinen Vertrag mit jedem Gast schließen? Sportfotografie, Eventfotografie und Streetartfotografie dürfen weiter wie bisher betrieben werden?
    Greift die DSGVO (z.B. auf Fotos) eigentlich auch rückwirkend?

  25. culbricht meint:

    Damit sich die DSGVO Panikwelle “Einwilligung für alle Fotos” wieder ein wenig beruhigt, hier eine erste Einschätzung der Hamburger Landesdatenschutzbehörde https://www.filmverband-suedwest.de/wp-content/uploads/2018/05/Vermerk_DSGVO.pdf

    • Schäfer Ixe D. meint:

      Hallo Herr Ulbricht,

      zunächst … vielen Dank für Ihre Mühe der Aufklärungsversuche. Für mich bleiben viele Fragen dennoch offen, obwohl ich mehr als Ihre Seite dazu gelesen habe.
      Insbesondere die “erste Einschätzung der Hamburger Landesdatenschutzbehörde” erklärt nicht (oder ich habe es nicht gefunden), ob man Gruppenfotos von öffentlichen Veranstaltungen publizieren darf.
      Die Frage von Markus Walther finde ich auch wichtig: Gilt das alles auch Rückwirkend?

      Ich hatte mit meinem Unternehmen gerade eine öffentliche Feier zum 10 jährigen Jubiläum. Dabei wurden Übersichtsfotos der Veranstaltung, auf denen Menschen eindeutig erkennbar sind, angefertigt. Natürlich mit einer Digitalkamera. Diese Fotos sollen eigentlich in einem Magazin, anläßlich des Jubiläums, genutzt werden. Anhand der Einschätzung aus Hamburg weiß ich nicht, ob ich das darf.

      Offen ist für mich auch immer noch die Frage, ob ich Verlinkungen (befreundeter) Internetseiten von meiner Homepage beenden muss.

    • Und die Hamburger Aufsicht kommt zu welchem Schluss? Genau dem Gegenteil von dem, was Jan Albrecht behauptet hat.

      Die Rettung für “Jedermann-Fotografie” soll also nun für alles der Art. 6 I f) DSGVO bringen – genau die Vorschrift, die von Jan Albrecht und anderen Datenschützern (zu Recht) als zu weit und schwammig kritisiert wurde und daher nur sehr eingeschränkt gelesen werden dürfte…

      Dass er und die Bundesregierung nunmehr eine absolute juristische Mindermeinung (bestehendes KUG gelte einfach fort) vertreten wollen, mag dem Umstand geschuldet sein, das eigene Versäumen zu kaschieren. Rechtssicherheit ergibt sich dadurch aber leider nicht, denn warum nur ändert man rund 150 Bundesgesetzes zur Anpassung an die DSGVO, wenn doch die mit der gleichen Begründung ebenfalls einfach fortgelten müßten? Hier wird politisch, unjuristisch und ergebnisorientiert argumentiert – der Rechtssicherheit aber kein Gefallen getan, im Gegenteil könnten die ersten Opfer diejenigen werden, die sich auf so “schlanken” Rat verlassen.

  26. Es bleiben mMn zwar noch viele Fragen offen, aber es zeigt in welche Richtung es gehen könnte: https://bff.de/wp-content/uploads/2018/05/DSGVO_BFF-Jur.-D.-Lanc_Personenaufnahmen-1.pdf?x95481

  27. Hallo ;D
    Der Artikel liest sich sehr informativ, aber wie sind die Auswirkung von dem neuen Gesetz auf Foren ?
    Ich hab zwei Dinge aus anderen Quellen lesen können.
    1.) Brauche ein Datenschutzbestimmung, diese müssen die User abesgnen
    2.) Die User müssten eine Möglichkeit haben, ihre Userdaten runterladen zu können.

    Sind diese beide Punkte richtig und / oder fehlt noch was ?

    Tschöö

    Gerriet

  28. Danke!

  29. Ich betreibe einen kleinen Online-Shop und müsste mit ca. 16 anderen Firmen Auftragsdatenverarbeitungsverträge schließen. Dazu gehören zum Beispiel meine Buchhaltungssoftware, WooCommerce, Facebook, MailerLite, Spark (Mail-Programm), Stripe & PayPal etc.
    Auch nach dem Lesen des Beitrags bin ich nicht im Klaren, ob ich wirklich mit jeder dieser Firmen diese Vertrag schriftlich abschließen muss, da die Daten meistens nur im Rahmen einer Bestellung weitergegeben werden. Ich bin kurz davor meine Seite für ein paar Tage zu schließen, damit ich die Verträge elektronisch vereinbaren kann (das ist ja mit dem Inkrafttreten der DSGVO erlaubt), um mir die Arbeit mit den Briefen zu sparen.

  30. Barbara Wrana meint:

    Ich habe jetzt einige Webseiten durch von Rechtsanwälten, die allesamt unter Ihrem Kommentarfeld keinen Hinweis auf den Datenschutz oder sonstigen schlauen Spruch haben, der auf den Umgang mit den Kommentaren deutet. Überflüssig? Braucht man das nicht?

    Wäre nett, wenn Sie mich aufklären könnten, ob das auch einer dieser Irrtümer ist, unter jeder Kommentareingabe Gesetzestexte einzufügen.

    Danke und freundliche Grüße
    Barbara

  31. Else Strufe meint:

    Die stärkste Verunsicherung, die ich wahrnehme, ist die (leider tatsächluch oft von Anwälten selbst) geschürte Angst vor „Abmahnanwälten“, die ab dem 25.05. Webseiten dahingehend durchforsten, ob sie irgendwo Fehler finden. Dann würden sie, obwohl selbst in keiner Weise geschädigt, Geld verlangen dürfen. Es sei beispielsweise selbst dann „abmahnfähig“, wenn die Datenschutzerklärung inhaltlich korrekt sei, aber nicht auf einer eigenen Seite aufrufbar, sondern „nur“ auf der Impressumsseite etc.
    Bei Ihren „Mythen“ taucht dieser Punkt leider nicht auf. Ich gehe aber mal davon aus, dass auch hier extra Panik erzeugt wird, um dann „günstige Hilfe anbieten“ zu können?
    Über eine Antwort würde ich mich freuen, vielen Dank
    E. Strufe

  32. Hallo, ich hätte zu dem ganzen Wirrwar mit der DSGVO und vor allem mit der Av eine Frage:
    Ich betreibe als reines Hobby ein kleines Forum. Ich hoste dies nicht selbst sondern bin bei einem großen Forenanbieter. Nun haben natürlich auch wir von der DSGVO gehört und viel gelesen. Eigentlich ist mir auch immer noch nicht klar ob ich diese Datenschutzverordnung in meinem Forum aufnehmen muss. Habe es aber inzwischen vorsichtshalber getan, da unser Forum natürlich öffentlich ist aber keine Gewinnerzielung beabsichtigt udn dies auch in Zukunft nicht tun wird. Was nun aber die AV angeht, so bin ich mir sehr unsicher ob ich dies für ein kleines Fan Forum überhaupt brauche. ich schließe ja mit niemandem, der sich dort anmeldet einen Auftrag ab. Brauche ich, als Admin, für ein rein hobbymäßiges Forum, welches wie gesagt keinerlei Dienstleistungen anbietet so einen Vertrag?

  33. Ich bin bin Besitzerin eines Selbsthilfeforums
    Also wenn ich mein forum mit dem ssl zertifikat ausstate..
    Sprich hier auf eine andre version wechsle die kostet kann man dann ein forum fortführen?
    Ich habe ein selbsthilfeforum und kenne mich nicht mit gesetzen aus.
    Was genau muss man jetzt machen..
    Was muss man genau den usern bezug datenschutz miteilen?
    Wenn ich für ein forum bezahle möchte ich ja legal ein forum betreiben können…und erwarte auch das das gewährleistet wird vom anbieter, damit ich als gründer der zahlt abgesichert bin.
    Oder hat es keinen wert mehr Selbsthilfeforen so zu betreiben?
    Danke für einfach verständliche antworten .
    Auch damit Forenbetreiber wie ich die wenig kentnisse haben bescheid wissen

  34. Monika meint:

    hallo.ich habe eine Meldestelle auf FB.Wenn nun nach Leuten gefragt wird,darf ich dann nur den Link setzen,oder auch das dazugehörige Bild ?? Danke für die Antwort,denn es ist sehr wichtig für mich.

  35. Schäfer Ixe D. meint:

    Wieso kann ich mich nicht abmelden von den Benachrichtigungen?

    Hallo *lach* Datenschutz !!!

Trackbacks/ Pingbacks

  1. […] Hinzu kommt noch etwas. Die Mitgliedsstaaten können die DSGVO konkretisieren. Und dies ist schon geschehen wie wir bei rechtzweinull.de von Dr. Carsten Ulbricht lesen können: […]

  2. […] Seit September 2017 habe ich hier im Blog keine Beiträge mehr veröffentlicht. So ein langes “Timeout” hat es bisher noch nicht gegeben. Der Grund ist derselbe, der im Moment das halbe Internet umtreibt: die europäische Datenschutzgrundverordnung. Die DSGVO die ab 25. Artikel lesen […]

  3. […] Gefährliches Halbwissen zum neuen europäischen Datenschutzrecht – hier wird einiges klarer (Internetseite), LINK […]

  4. […] Mein erster DSGVO Rant – Zu viele Mythen und gefährliches Halbwissen zum neuen europäischen Datenschutzrecht http://www.rechtzweinull.de/archives/2558-mein-erster-dgsvo-rant-zu-viele-mythen-und-gefaehrliches-h… […]

  5. […] zum DSGVO-Entwurf des LIBE-Ausschuß geschrieben. Er hatte auch noch auf folgenden Link verwiesen: http://www.rechtzweinull.de/archives/2558-mein-erster-dgsvo-rant-zu-viele-mythen-und-gefaehrliches-h….  Die Zeilen mit „>“ am Anfang sind aus der Antwort auf Jan Philipp Albrechts […]

  6. […] Hier der Beitrag von >>Rechtzweinull.de […]

  7. […] Mein erster DSGVO Rant – Zu viele Mythen und gefährliches Halbwissen zum neuen europäischen Date… […]

  8. […] Ja, es gibt diverse Änderungen die bei der Umsetzung durchaus viel Arbeit bedeuten, sicherlich auch einige Änderungen die zu gewissen Einschränkungen führen und ärgerlich sind. Trotzdem kursieren im Internet sehr viele Mythen, die schlichtweg falsch sind, wie dieser Beitrag von Rechtsanwalt Dr. Carsten Ulbricht schön zeigt. […]

  9. […] besonders bei überforderten KMUs. Zum Glück gibt es aber auch Beschwichtiger, die mit den Mythen der DSGVO aufräumen die nicht so spektakuläre Sachlichkeit wieder […]

  10. […] ich in meinem kürzlichen Beitrag bereits erklärt hatte, dass man bei fahrlässigen Verstößen gegen die DSGVO seitens der […]

  11. […] Zu viele Mythen und gefährliches Halbwissen zum neuen europäischen Datenschutzrecht […]

Speak Your Mind

*

Sicherheitsfrage *