Wie halten wir es mit dem Datenschutz?

Mei­ne Güte, wie vie­le Fra­gen waren das. 137 Mal habt ihr die Kom­men­tar­spal­te gefüllt, und bei mir pri­vat kamen auch noch knapp 30 Mails an, alle mit Fra­gen zur Daten­schutz-Grund­ver­ord­nung (DSGVO), die am 25. Mai 2018 end­gül­tig inkraft tritt.

Die­se neue Ver­ord­nung gilt auch für Foto­gra­fen, vor allem für die, die damit Geld ver­die­nen (aber auch für die ande­ren), weil nun das Anfer­ti­gen eines Fotos gleich­ge­setzt wird mit der Erhe­bung und Ver­ar­bei­tung von per­sön­li­chen Daten. So muss man z.B. grund­sätz­lich schon vor jeder Auf­nah­me von jeder Per­son, die auf dem Bild sein wird, eine schrift­li­che Ein­wil­li­gung ein­ho­len. Für Ver­stö­ße gegen die DSGVO gel­ten emp­find­li­che Stra­fen, und es haben z.B. schon Hoch­zeits­fo­to­gra­fen Hoch­zei­ten abge­sagt des­we­gen oder den Job ganz an den Nagel gehängt.

Ange­sichts der Ver­un­si­che­rung wegen die­ses The­mas (auch mei­ner eige­nen) habe ich mich mit einem der Anwäl­te getrof­fen, die sich im Netz mit Sach­kun­de zu dem neu­en Geset­zes­werk her­vor­ge­tan haben. David Sei­ler hat die Spe­zi­al­ge­bie­te Foto­recht, Urhe­ber­recht, IT und Daten­schutz, sei­ne Bei­trä­ge könnt ihr unter ande­rem auf sei­nem eige­nen Blog lesen. In Cott­bus haben wir eure wich­tigs­ten Fra­gen erör­tert – aber nicht alle, es waren ein­fach zu vie­le, da bit­te ich um Ver­ständ­nis. Es ist so schon rich­tig, rich­tig viel zu lesen, aber ich den­ke, es lohnt sich auch. Den­noch ersetzt das nun fol­gen­de Inter­view natür­lich kei­ne Rechts­be­ra­tung. Für spe­zi­el­le Fra­gen kann ich nur emp­feh­len, direkt mit einem Anwalt eures Ver­trau­ens Kon­takt aufzunehmen.

Sind von der DSGVO eigent­lich auch Fotos betrof­fen, die vor dem 25. Mai 2018 gemacht wurden?

Man muss hier unter­schei­den zwi­schen der Auf­nah­me und der Ver­wen­dung der Fotos. Natür­lich ist die Auf­nah­me vor dem 25.5. nicht betrof­fen. Aber die erst­ma­li­ge oder fort­ge­setz­te Ver­wen­dung eines Fotos nach dem 25.5. kann unter die Daten­schutz-Grund­ver­ord­nung fal­len – da kommt es dann auf die Art der Ver­wen­dung an. Grund­sätz­lich fin­det die DSGVO Anwen­dung auf alle ab dem 25. Mai 2018 vor­ge­nom­me­nen Daten­ver­ar­bei­tun­gen. Ein Per­so­nen­fo­to auf einer Inter­net­sei­te öffent­lich abruf­bar zu hal­ten ist eine Datenverarbeitung.

Und auch wenn ich Fotos vor dem 25.5. mache, sie aber erst Mit­te Juli online stel­le, habe ich ein Pro­blem, sofern ich kei­ne Ein­wil­li­gung der foto­gra­fier­ten Per­so­nen habe.

Nicht ganz. Viel­leicht kön­nen Sie ja eine ande­re Rechts­grund­la­ge gel­tend machen, die die Ver­wen­dung des Fotos auch unter der DSGVO erlaubt – die Ein­wil­li­gung der foto­gra­fier­ten Per­son ist nur eine von vier in Betracht kom­men­den Grundlagen.

Die da wären?

Neben der Ein­wil­li­gung sind es die Ver­trags­er­fül­lung, die Erfül­lung einer gesetz­li­chen Pflicht oder berech­tig­te Interessen.

Was das im Ein­zel­nen bedeu­tet, klä­ren wir spä­ter. Zunächst wei­te­re Wis­sens­fra­gen: Gilt die DSGVO auch für Fotos, die nicht in der EU gemacht werden.

Ja, wenn die Fotos in der EU ver­wen­det wer­den und EU-Bür­ger zei­gen. Für Rei­se­fo­to­gra­fen, die Asia­ten, Afri­ka­ner,  Ame­ri­ka­ner oder sons­ti­ge nicht in der EU wohn­haf­te Per­so­nen foto­gra­fie­ren, gel­ten die Vor­schrif­ten der DSGVO hin­ge­gen nicht.

Aber schon in New York kann man nicht wis­sen, ob man nicht auch Frank­fur­ter oder Kopen­ha­ge­ner  vor der Kame­ra hat.

Genau. Sind deut­sche oder euro­päi­sche Tou­ris­ten im außer­eu­ro­päi­schen Aus­land auf dem Bild, wür­de das Foto wie­der unter die DSGVO fal­len, wenn es in der EU erscheint.

Gilt die DSGVO auch für Nicht-EU-Bür­ger, die in der EU fotografieren?

Ja. Auch Schwei­zer, Nor­we­ger oder Ame­ri­ka­ner, die in der EU foto­gra­fisch tätig sind, kom­men nicht dar­um her­um. Es wur­de ganz bewusst eine Welt­gel­tung für die DSGVO ange­strebt, damit man auch die Unter­neh­men zur Ver­ant­wor­tung zie­hen kann, die ihren Sitz z.B. in Ame­ri­ka haben, aber hier Daten von Euro­pä­ern verarbeiten.

Face­book hat doch gera­de sei­ne Ser­ver von Irland in die USA umgezogen.

Aber nur für die Daten der Nicht-Euro­pä­er, wenn ich die Pres­se­mel­dung rich­tig ver­stan­den habe. Für die Euro­pä­er kom­men die ame­ri­ka­ni­schen Kon­zer­ne sowie­so nicht um die DSGVO herum.

Was ist, wenn ich in Deutsch­land foto­gra­fie­re, mei­ne Bil­der aber bei einem ame­ri­ka­ni­schen Anbie­ter ver­öf­fent­li­che, z.B. SmugMug?

Wenn die Bil­der nicht in Euro­pa erschei­nen, ist das okay.

Aber das ist ja illu­so­risch, denn bei Ver­öf­fent­li­chung auf einer Inter­net­platt­form wie SmugMug kön­nen die Bil­der ja über­all gese­hen wer­den, also auch in Europa.

Stimmt.

Darf man Fotos von  pri­va­ten Fei­ern, die nicht ver­kauft wer­den sol­len, auf pri­va­te Face­book­sei­ten hochladen?

Das Schlag­wort ist hier die Haus­halts­aus­nah­me: Für aus­schließ­lich fami­liä­re und pri­va­te Daten­ver­ar­bei­tung gilt die DSGVO nicht. Den fami­liä­ren und pri­va­ten Sta­tus ver­las­sen die Fotos aber dann, wenn sie in die Öffent­lich­keit geraten.

Und bei geschlos­se­nen Facebook-Gruppen?

Wenn ich eine geschlos­se­ne Grup­pe nur für die Fami­lie habe, dann sind die Fotos nicht öffent­lich, aber da muss man sehr auf die Ein­stel­lun­gen der Social-Media-Platt­for­men achten.

Wie ist das beim Foto­gra­fie­ren für Vereine?

Das ist nicht mehr pri­vat, auch wenn ich dafür kein Geld bekomme.

Weil die Men­schen auf den Fotos nicht mei­ne Ver­wand­ten und Freun­de sind.

Genau. Und sobald der Ver­ein die Bil­der auf sei­ner Home­page zeigt, sind sie welt­weit veröffentlicht.

Und wenn ich unent­gelt­lich eine Hoch­zeit für Freun­de foto­gra­fie­re, auch wenn ich die Hälf­te der Gäs­te gar nicht ken­ne – gilt das als privat?

Ja, solan­ge die Bil­der nicht ver­öf­fent­licht werden.

Sind Fern­se­hen und Video eigent­lich auch betroffen?

Ja, es geht um jede Art der Daten­ver­ar­bei­tung, die Daten von Men­schen betrifft. Und das Aus­se­hen von Men­schen ist ein Datum.

Bis­lang hat das deut­sche Kunst­ur­he­ber­ge­setz (KUG) Vor­rang genos­sen gegen­über dem Bun­des­da­ten­schutz­ge­setz (BDSG). War­um ist das nicht auch bei der euro­päi­schen DSGVO so?

Also, das KUG hat Vor­rang genos­sen nach der Aus­le­gung des Bun­des­ar­beits­ge­rich­tes bei­spiels­wei­se. Das galt aber aus­schließ­lich für die Abbil­dung einer Per­son, die ver­öf­fent­licht wird, nicht jedoch für die Auf­nah­me. Dafür galt bis­her schon das BDSG.

Es hat sich also nichts geändert?

Doch. Im Bun­des­da­ten­schutz­ge­setz stand, wenn es spe­zi­al­ge­setz­li­che Reg­lun­gen gibt, die die Daten­ver­ar­bei­tung regeln, dann gehen die dem BDSG vor. Das ist bei der DSGVO nicht mehr der Fall.

War­um nicht?

Man hat beob­ach­tet, dass die Richt­li­nie zum Daten­schutz, die es in der EU seit 1995 gab, ein­fach in der prak­ti­schen Umset­zung zer­fled­dert ist und in den 28 Mit­glieds­staa­ten ganz unter­schied­lich gehand­habt wur­de. Das woll­te man für die Zukunft ver­mei­den, auch im Inter­es­se der EU-weit agie­ren­den Wirt­schafts­un­ter­neh­men. Die DSGVO hat daher grund­sätz­lich Vor­rang vor allen ande­ren gesetz­li­chen Rege­lun­gen, und es gibt nur weni­ge Aus­nah­men, z.B. für Mei­nungs- und Infor­ma­ti­ons­frei­heit. Da ist jetzt die Fra­ge, ob das, was im KUG steht, dar­un­ter fällt.

Und das müss­ten dann Gerich­te entscheiden?

Das Bun­des­in­nen­mi­nis­te­ri­um (BMI) hat sich gera­de dahin­ge­hend geäu­ßert, dass das Kunst­ur­he­ber­ge­setz wei­ter­hin gilt. Das ist auch rich­tig, weil das KUG nicht auf­ge­ho­ben wur­de. Aber das BMI meint, es wür­de auch die Foto­gra­fie wei­ter regeln. Ja, das tut es im pri­va­ten Bereich oder bei Ver­stor­be­nen, weil Daten­schutz nur für leben­de Men­schen gilt. Im Arti­kel 85 der DSGVO steht, dass der Natio­nal­staat die Mei­nungs- und Pres­se­frei­heit sowie die Wis­sen­schafts- und Kunst­frei­heit in Ein­klang zu brin­gen hat mit dem Daten­schutz­recht. So kann der Daten­schutz, wenn er die­sen Frei­hei­ten ent­ge­gen­steht, punk­tu­ell auch ein­ge­schränkt wer­den. Dem Jour­na­lis­mus wür­de es z.B. scha­den, wenn jeder, der unlieb­sa­me Bericht­erstat­tung fürch­ten muss, einen Aus­kunfts- oder Löschungs­an­spruch hät­te. Dann gäbe es ja kei­ne nega­ti­ve Bericht­erstat­tung mehr. In die­sem Fall müss­te der Daten­schutz punk­tu­ell ein­ge­schränkt wer­den – und dann steht wei­ter im Arti­kel 85, es muss auf­grund die­ses Arti­kels ein Gesetz erlas­sen wer­den, das dann auch der EU-Kom­mis­si­on zu mel­den ist.

Das hat der deut­sche Gesetz­ge­ber ja bis­lang vermieden.

Die Argu­men­ta­ti­on vom BMI ist, das Kunst­ur­he­ber­ge­setz sei so eine Rege­lung. Aber das KUG ist von 1907, es ist nicht auf­grund einer DSGVO erlas­sen wor­den, und es regelt auch kei­ne spe­zi­fisch daten­schutz­recht­li­chen Fra­gen für die Mei­nungs- und Pres­se­frei­heit. Dar­um bin ich der Mei­nung, die Aus­sa­ge, nach der das KUG Anwen­dungs­vor­rang habe, ist falsch.

Das heißt, die deut­schen Foto­gra­fen ste­hen im Regen.

Es gibt aller­dings auch eine Inter­pre­ta­ti­on, die das KUG doch noch zur Anwen­dung bringt.

Jetzt wird es interessant.

Wenn ich per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten will, das ist alles vom Erhe­ben bis zum Löschen, brau­che ich eine Rechtsgrundlage.

Vier Stück sieht die DSGVO vor.

Ja, ent­we­der eine Ein­wil­li­gung oder den Ver­trag oder gesetz­li­che Pflicht, z.B. Auf­be­wah­rungs­pflicht nach Steu­er­recht. Oder eben berech­tig­te Inter­es­sen. Und da kann man nach mei­ner und der Ansicht der Ham­bur­ger Daten­schutz­auf­sicht wie­der die Rege­lung des KUG anwenden.

Das ist aber erst mal nur die Ansicht einer Behör­de und nicht gel­ten­des Recht.

Nein, das ist es nicht, und das ist auch nur die zweit­bes­te Opti­on. Alle deut­schen Daten­schutz­be­hör­den haben schon 2017 eine Ent­schlie­ßung ver­ab­schie­det, in er sie gefor­dert haben, dass der deut­sche Gesetz­ge­ber die kon­kre­ten Anpas­sun­gen vom Daten­schutz­recht an Mei­nungs-, Pres­se­frei­heit und ande­re Frei­hei­ten vornimmt.

Was der Bun­des­tag nicht getan hat.

Ja. Und solan­ge das nicht gemacht ist, muss man sich irgend­wie behel­fen. Man kann ja nicht Foto­gra­fie von Sport­ver­an­stal­tun­gen o.ä. für unzu­läs­sig erklä­ren. Da behilft man sich dann mit der Aus­le­gung berech­tig­ter Inter­es­sen unter Her­an­zie­hung der bis­he­ri­gen Recht­spre­chung zum KUG. Ich sehe in die­ser Idee eine ganz beru­hi­gen­de und prak­ti­ka­ble Hand­ha­bung, die sich auch juris­tisch gut ver­tre­ten lässt.

Es gibt also Hoff­nung für all die, die Kon­zer­te und Sport­ver­an­stal­tun­gen foto­gra­fie­ren und dabei frem­de Per­so­nen ins Bild bekommen.

Ja. Die Auf­sichts­be­hör­de hat noch etwas klar­ge­stellt, was ganz wich­tig ist. Das Foto­gra­fie­ren selbst stellt ja eine Daten­er­he­bung dar, und ich muss eigent­lich die betrof­fe­nen Per­so­nen infor­mie­ren. Das heißt, ich muss ihnen zwölf Infor­ma­tio­nen rüberbringen.

Zwölf?

Ja. Wer ist ver­ant­wort­lich für die Daten­ver­ar­bei­tung, hat er einen Daten­schutz­be­auf­trag­ten, wenn ja: wer ist das? Wofür ver­ar­bei­tet er die Daten, auf wel­cher Rechts­grund­la­ge, wie lan­ge, wel­che Rech­te hat die betrof­fe­ne Per­son, wo kann sie sich beschwe­ren etc. Die­ses gesam­te Info­pa­ket muss jeder pro­fes­sio­nel­le Foto­graf jedem, den er foto­gra­fiert, erst mal rüber­brin­gen. Außer es gibt irgend­ei­ne Ausnahme.

Eine der vier Rechtsgrundlagen.

Nein, kei­ne Rechts­grund­la­ge, son­dern eine Aus­nah­me. Arti­kel 11 der DSGVO ist so eine Aus­nah­me­be­stim­mung: Ich muss dann nicht infor­mie­ren, wenn es nicht mög­lich ist. Wenn ich z.B. im Sta­di­on eine Straf­raum­sze­ne foto­gra­fie­re, und da sind 500 Per­so­nen im Hin­ter­grund auf der Tri­bü­ne, die auch erkenn­bar wer­den, wenn ich das Bild ver­grö­ße­re. Die kann ich nicht alle infor­mie­ren, und dafür gibt es Arti­kel 11. Ich wür­de die­sen Arti­kel auch für die Hoch­zeit anwen­den oder fürs Kon­zert, sodass ich nicht Per­so­nen, die ich gar nicht ken­ne, fra­gen muss: Wer bist du denn? Und ich müss­te das auch schrift­lich nach­wei­sen, dass ich die­se Per­son infor­miert habe. Das wür­de zu mehr Daten­ver­ar­bei­tung füh­ren, die letzt­lich nicht gewünscht ist. Es ist ja das Ziel, Daten­be­stän­de mög­lichst zu mini­mie­ren, des­halb wird da eine Aus­nah­me zugelassen.

Die steht auch so im Gesetz?

Ja. Aber die Ham­bur­ger Auf­sichts­be­hör­de hat die Aus­nah­me erst­mals so inter­pre­tiert, dass man sie auf die­sen Fall der Ver­an­stal­tungs­fo­to­gra­fie anwen­den könnte.

Gibt es noch mehr gute Nachrichten?

Ja. Wenn ich den Betrof­fe­nen, also den von mir foto­gra­fier­ten Men­schen über die Erhe­bung sei­ner Daten  infor­mie­ren muss, muss ich ihn auch dar­über infor­mie­ren, wann ich die Daten wie­der lösche. Es gibt ja den grund­sätz­li­chen Löschungs­an­spruch – es ist aber auch im Gesetz gere­gelt (Arti­kel 17), dass ich dann nicht löschen muss, wenn ich die Daten für ande­re Zwe­cke brau­che, z.B. um mei­ne eige­nen recht­li­chen Ansprü­che durchzusetzen.

Bei Urhe­ber­rechts­ver­let­zun­gen.

Genau. Der Urhe­ber muss sei­ne Urhe­ber­schaft nach­wei­sen kön­nen, und dafür muss er eben auch die Nega­ti­ve oder die Raw-Datei­en haben. Durch die­sen Umstand habe ich das Recht, die Daten (Fotos) auf­zu­he­ben. Ich darf sie des­halb aber nicht ver­wen­den, denn es gibt ein Recht auf Ein­schrän­kung der Ver­wen­dung. Wenn ich die Daten nicht mehr aktiv ver­wen­den darf, weil jemand das nicht will, und ich kein höher­ran­gi­ges Recht habe, die Fotos zu ver­wen­den, z.B. Pres­se-Bericht­erstat­tung, dann darf ich trotz­dem die Raw-Datei­en auf­he­ben, um etwa­ige Urhe­ber­rechts­ver­let­zun­gen nach­wei­sen zu können.

Ein Leser hat mir geschrie­ben, dass er regel­mä­ßig Autos am Nür­burg­ring foto­gra­fiert, bei den Tou­ris­ten­fahr­ten. Ich neh­me an, er macht das so gut, dass man die Fah­rer durch die Wind­schutz­schei­be erken­nen kann. Jeden­falls ver­kauft er hin­ter­her die Bil­der, und manch­mal kom­men nach zwei Jah­ren noch Anfragen.

Der Grund­satz ist der: Wenn ich Daten nicht mehr brau­che für den ursprüng­li­chen Zweck, dann muss ich sie eigent­lich löschen. Ich kann aber ver­trag­lich ver­ein­ba­ren, dass ich die Daten, auch zum Zwe­cke der Nach­be­stel­lung, län­ger­fris­tig auf­be­wah­re. Dann darf ich sie so lan­ge auf­be­wah­ren, wie es ver­ein­bart ist. Oder es gel­ten eben die berech­tig­ten Interessen.

Das ist dann doch das Tot­schlag­ar­gu­ment für jeden Foto­gra­fen, dass er jedes Bild behal­ten kann, oder?

Moment, das gilt nur, wenn das Bild raus­ge­gan­gen ist und er damit rech­nen muss, dass es wie­der genutzt wird. Aber wenn z.B. zehn  Leu­te auf dem Nür­burg­ring fah­ren, und nur drei bestel­len Bil­der, dann gäbe es kei­nen Grund, die Bil­der der ande­ren sie­ben Fah­rer  auf­zu­he­ben. Bei den drei­en, die er ver­kauft hat, muss er damit rech­nen, dass die auch jen­seits der Lizenz­be­stim­mun­gen genutzt wer­den könn­ten – und da gäbe es dann das berech­tig­te Inter­es­se des Foto­gra­fen, die Urhe­ber­schaft nachzuweisen.

Bringt es etwas, Per­so­nen nach­träg­lich zu verpixeln?

Ja, wenn das auch auf dem Ori­gi­nal erfolgt. Ich habe per­so­nen­be­zo­ge­ne Daten nur dann, wenn ich das Bild einer Per­son zuord­nen kann.

Ich dach­te, ver­pi­xeln nützt nichts, wenn man schon für die Auf­nah­me die Ein­wil­li­gung braucht.

Aber wenn ich die Ori­gi­nal­fas­sung gar nicht nut­ze und sie auch nicht auf­he­be, son­dern die ver­pi­xel­te Fas­sung, dann habe ich das Bild der Per­son ja qua­si wie­der gelöscht. Wenn man streng juris­tisch ist, wäre auch die Auf­nah­me nicht zuläs­sig, aber das hal­te ich jetzt für überzogen.

Aber steht nicht im Gesetz auch, dass die Erkenn­bar­keit nicht das Ent­schei­den­de ist? Selbst wenn Leu­te von hin­ten zu sehen sind, müss­ten sie gefragt werden.

Nein, die Erkenn­bar­keit ist das ent­schei­den­de Kri­te­ri­um. Dabei kommt es dar­auf an, dass ent­we­der der Betrof­fe­ne oder ande­re Men­schen wis­sen, wer abge­bil­det ist. Oder dass sie es her­aus­fin­den können.

Archi­tek­tur­fo­tos mit lan­gen Belich­tungs­zei­ten und ver­wisch­ten Pas­san­ten sind also okay?

Ja.

Oder das Bran­den­bur­ger Tor, und es ste­hen da ande­re Tou­ris­ten, die mir den Rücken zudrehen.

Genau. Oder ich foto­gra­fie­re aus dem Publi­kum her­aus eine Ver­an­stal­tung, sehe nur die Hin­ter­köp­fe, dann habe ich kei­ne Erkenn­bar­keit. Außer jemand hat einen signi­fi­kan­ten Hin­ter­kopf, z.B. kahl gescho­ren mit Tattoo.

Kann man die DSGVO umge­hen, wenn man Exif-Daten löscht oder manipuliert?

Nein. Bei der Auf­nah­me digi­ta­ler Bil­der habe ich eine auto­ma­ti­sier­te Daten­ver­ar­bei­tung, die fällt in jedem Fall unter die DSGVO.

Weil die Kame­ra schon EXIF-Daten erzeugt.

Genau. Und weil ich die Bil­der aus der Kame­ra her­aus in einem Com­pu­ter verarbeite.

Aber ana­lo­ge Foto­gra­fie ist sicher?

Nein. Die DSGVO bezieht sich auf eine auto­ma­ti­sier­te Ver­ar­bei­tung oder auf eine Ver­ar­bei­tung, die nach einem geord­ne­ten, struk­tu­rier­ten Sys­tem erfolgt. Auch zu Zei­ten, als ich ana­log foto­gra­fiert habe, hat­te ich Kar­tei­kar­ten, auf denen ich nach­se­hen konn­te, in wel­cher Nega­tiv­ta­sche Bil­der von wel­chen Per­so­nen lie­gen. So konn­te ich aus 3000 Taschen ganz kon­kret das ein­zel­ne Bild einer Per­son finden.

Wenn ich also die Mög­lich­keit habe, Bil­der zu finden, …

…fal­le ich unter die DSGVO, selbst wenn es ana­lo­ge Bil­der sind. Viel­leicht nicht, wenn sie lose im Schuh­kar­ton lie­gen. Aber ich gehe davon aus, dass jeder Pro­fi­fo­to­graf irgend­ein Datei­sys­tem hat, auch für ana­lo­ge Fotos.

Macht es einen Unter­schied, wo man Bil­der spei­chert, auf dem Ser­ver oder einem USB-Stick?

Ja. Weil ich im Anwen­dungs­be­reich der DSGVO nicht nur die Pflicht habe, mich um die Rechts­grund­la­gen zu küm­mern, son­dern auch um alle ande­ren Pflich­ten, die danach kom­men. Das ist z.B. die Infor­ma­ti­ons­pflicht, ich muss also ein Ver­ar­bei­tungs­ver­zeich­nis erstel­len, tech­nisch-orga­ni­sa­to­ri­sche Maß­nah­men vor­se­hen, und mit Dienst­leis­tern, die ich ein­schal­te, muss ich Ver­trä­ge zur Auf­trags­ver­ar­bei­tung machen. Wenn ich die Daten nicht zu Hau­se auf eige­nen Ser­vern habe, son­dern extern in der Drop­box, bei Ama­zon Cloud, iCloud oder ande­ren, dann nut­ze ich einen exter­nen Dienst­leis­ter, mit dem ich einen Ver­trag machen muss als Pro­fi – es sei denn, für mich gilt die Haus­halts­aus­nah­me. Erschwe­rend kommt hin­zu, dass ich mich drum küm­mern muss, ob die­se Dienst­leis­ter die Daten in der EU verarbeiten.

War­um?

Weil sonst ein Dritt­land­trans­fer statt­fin­det. Drop­box spei­chert die Daten in den USA, ich trans­fe­rie­re also die Daten in ein Dritt­land, das hat noch ein­mal höhe­re for­mal­ju­ris­ti­sche Anfor­de­run­gen. Dann muss eine ande­re Kate­go­rie von Ver­trä­gen geschlos­sen werden.

Muss der Cloud-Ser­vice da auf den Foto­gra­fen zukommen?

Ich bin als Foto­graf dafür ver­ant­wort­lich, mich dar­um zu küm­mern, dass die so einen Ver­trag bereit­stel­len, sonst muss ich mir einen ande­ren Dienst­leis­ter suchen. Ich muss im Prin­zip auch für mei­nen Hos­ting­pro­vi­der einen ent­spre­chen­den Ver­trag habe, weil der ja auch mei­ne Daten spei­chert, wenn ich Fotos auf mei­ne Web­site stelle.

Was ist eigent­lich der Unter­schied zwi­schen “insti­tu­tio­na­li­sier­ter Pres­se” und ande­rer Presse?

Nach der DSGVO ist die­ser Unter­schied nicht groß, denn die Ver­ord­nung fasst den Pres­se­be­griff sehr weit. Es ist die Rede davon, dass der Begriff Jour­na­lis­mus weit aus­zu­le­gen ist, dar­un­ter wür­den nach mei­ner Ansicht auch Blog­ger fallen.

Also auch freie Foto­gra­fen von Zeitungen?

Genau genom­men ist die Fra­ge, in wel­chem Bun­des­land sie arbeiten.

Wegen des Pres­se­rechts, das Län­der­sa­che ist?

Ja. Weil das Pres­se­recht in die Gesetz­ge­bungs­kom­pe­tenz der Län­der fällt. Da aber die Aus­nah­men des  Daten­schutz­rechts gere­gelt wer­den, wäre es am sinn­volls­ten, das auf Bun­des­ebe­ne zu regeln, im Bun­des­da­ten­schutz­ge­setz. Der Bund ver­weist aber auf die Län­der. Deren klas­si­sches Pres­se­recht gilt für die klas­si­sche Pres­se und eben nicht für die frei­en mei­nungs­bil­den­den Äuße­run­gen. Die Mei­nungs­frei­heit gilt aber für jeden Men­schen, egal ob er sich pri­vat äußert oder als Blog­ger oder als Spie­gel, Stern oder sonst wer.

Wer macht dem Foto­gra­fen am Ende Schwie­rig­kei­ten: Der Betrof­fe­ne oder die Abmahnindustrie?

Oder die Auf­sichts­be­hör­de. Die hat laut Gesetz das ori­gi­nä­re „Zugriffs­recht“. Die kann Aus­künf­te ver­lan­gen, sie wird im Regel­fall aber erst mal bera­ten und nicht gleich sank­tio­nie­ren. Die Behör­de könn­te auch Buß­gel­der erlassen…

…in Höhe von 20 Mil­lio­nen Euro oder vier Pro­zent des Jah­res­um­sat­zes Ich freue mich schon.

Das ist doch nur der Maxi­mal­wert für die gro­ßen Kon­zer­ne. Kei­nen klei­nen Foto­gra­fen wird das tref­fen – ein Buß­geld gibt es höchs­tens, wenn der Foto­graf hart­nä­ckig ver­wei­gert, was die Behör­de ihm als Ergeb­nis ihrer Bera­tung vor­schlägt, oder er bzw. sie sich ganz grob rechts­wid­rig ver­hal­ten hat, ja sogar vor­sätz­lich, um Geld zu spa­ren etc.

Und wann kom­men die teu­ren Abmahnungen?

Natür­lich kann der Betrof­fe­ne sei­ne Rech­te gel­tend machen, und wenn z.B. ein Foto ver­öf­fent­licht wur­de mit nega­ti­ven Fol­gen, gibt es auch Anspruch auf Scha­den­er­satz – den hat man im Prin­zip auch jetzt schon. Neu ist in der DSGVO der Anspruch auf Ersatz imma­te­ri­el­ler Schä­den, ver­gleich­bar einem Schmer­zens­geld. Hin­zu kommt die Mög­lich­keit, dass Wett­be­werbs­ver­bän­de und Ver­brau­cher­schutz­ver­bän­de Daten­schutz­ver­stö­ße als Wett­be­werbs­ver­stö­ße ver­ste­hen und abmah­nen. Dazu gibt es aller­dings eine Gegen­po­si­ti­on, die sagt, dass die DSGVO nicht den Wett­be­werb regu­lie­ren wol­le, wes­halb man nicht unter Beru­fung auf Wett­be­werbs­recht abmah­nen kön­ne. Ich glau­be aber, die Gerich­te wer­den das wei­ter mit­ma­chen – wer also jetzt als Foto­graf kei­ne adäqua­ten Daten­schutz­hin­wei­se auf der Web­site hat, der läuft Gefahr, abge­mahnt zu wer­den, so wie bei der Ver­let­zung der Impressumspflicht.

Und wenn die Home­page sicher ist, aber nicht jedes ein­zel­ne Bild ist mit Ein­wil­li­gung geschos­sen, droht da eine Abmah­nung um der Abmah­nung willen?

Ich muss als Abmah­nen­der ja irgend­wie in eine Rechts­po­si­ti­on kom­men, um abmah­nen zu kön­nen. Ent­we­der ver­tre­te ich als Anwalt einen Betrof­fe­nen oder einen Wett­be­wer­ber, nur dann geht es. Aber nur weil jemand meint, ein Foto sei rechts­wid­rig auf der Sei­te,  kann er nicht mit einer Abmah­nung los­le­gen. Er muss schon irgend­je­man­den haben, den er vertritt.

Ist es eine gute Idee, das Braut­paar die Ein­wil­li­gung der Gäs­te ein­ho­len zu lassen?

Da ist schon ein Miss­ver­ständ­nis in der Fra­ge. Ver­ant­wor­tung für die Ein­wil­li­gung setzt ja vor­aus, dass ich eine Ein­wil­li­gung über­haupt brau­che. Es ist so, dass ich eine Rechts­grund­la­ge brau­che, und die Ein­wil­li­gung ist nur eine von vier prak­tisch in Betracht kom­men­den Rechts­grund­la­gen. Mei­ne Idee dazu ist, dass sich das Braut­paar auf die Haus­halts­aus­nah­me beru­fen könn­te, wenn es selbst foto­gra­fie­ren wür­de. Der Pro­fi, der für das Braut­paar als des­sen ver­län­ger­ter Arm fun­giert, kann sich dann auch auf die­se Haus­halts­aus­nah­me beru­fen beim Foto­gra­fie­ren der Gäs­te. Dann müss­te er nur mit dem Braut­paar den Ver­trag machen und es über alles infor­mie­ren – um die­se Pflicht aus der DSGVO kommt er nicht her­um. Oder der Foto­graf beruft sich auf Arti­kel 11, so wie ihn die Ham­bur­ger Behör­de inter­pre­tiert. Er muss gar nicht wis­sen, wer die Hoch­zeits­gäs­te sind. Er kennt sie nament­lich nicht und hat auch kein Inter­es­se, sie ken­nen zu ler­nen. Und das betrifft nicht nur die gela­de­nen Gäs­te, es kom­men ja in die Kir­che auch unge­la­de­ne Gäs­te. Dann habe ich den Pfar­rer, die Musi­ker, das Cate­ring­per­so­nal, das wäre ein irrer Kreis von Per­so­nen, die ich da mit einer Ein­wil­li­gung trak­tie­ren müss­te. Was ich mir vor­stel­len kann, ist, dass man bei dem Braut­paar sagt: Infor­miert eure Gäs­te, dass ein Pro­fi­fo­to­graf da ist und foto­gra­fiert, und dass sie die Mus­ter-Infor­ma­ti­on des Foto­gra­fen der Ein­la­dung bei­le­gen. Aber eine Ein­wil­li­gung wür­de ich defi­ni­tiv als völ­lig über­zo­gen anse­hen. Ich brau­che sie auch nicht beim Braut­paar, mit dem schlie­ße ich ja einen Vertrag.

Wie ist das mit den belieb­ten Foto-Boxen auf Hochzeiten?

Ich ken­ne das nur so, dass die Box Bil­der aus­druckt, die die Gäs­te mit­neh­men oder in ein Album kle­ben kön­nen. Wenn die nicht gespei­chert wer­den, son­dern nur gedruckt und wie­der gelöscht wer­den, habe ich kein daten­schutz­recht­li­ches Pro­blem. Außer dass ich viel­leicht auf die Box eine Info schrei­ben muss: Wer ist Auf­stel­ler, wer betreibt die Box, was pas­siert mit den Daten? Wer­den die Bil­der doch gespei­chert, dann müss­te ich auf die Box drauf­schrei­ben, was mit den Daten pas­siert, war­um ich sie auf­neh­me, wie lan­ge sie gespei­chert wer­den, an wen ich sie wei­ter gebe etc.

Ein ech­ter Partykiller.

Es wären ein­fach ein oder zwei A4-Blät­ter, die dran­ge­hängt wer­den, dann hät­te ich mei­ne Pflicht erfüllt. Es ist ja kei­ner ver­pflich­tet, das zu lesen, bevor er die Box betritt.

Was ist, wenn ich mei­ne Bil­der über die Drop­box oder ver­gleich­ba­re Diens­te aus­lie­fe­re oder zur Bear­bei­tung nach Indi­en schicke?

Da muss man mit den Dienst­leis­tern einen Ver­trag zur Auf­trags­ver­ar­bei­tung schlie­ßen, wenn die Dienst­leis­ter in der EU sind. Sonst habe ich einen Dritt­lands­trans­fer, und da muss ich ande­re Garan­tien haben, dass die Dienst­leis­ter dort daten­schutz­kon­form arbei­ten. In den USA gibt es nur eine sehr schwa­che Form der Garan­tie, das EU-US Pri­va­cy Shield, zu dem sich die Unter­neh­men ver­pflich­ten. Das ande­re sind soge­nann­te EU-Stan­dard­ver­trags­klau­seln, die man abschlie­ßen kann. Ein sau­be­rer Dritt­lands­trans­fer ist ein juris­tisch extrem kom­ple­xes, schwie­ri­ges The­ma. In mei­nen Augen ist die­se DSGVO auch ein Weck­ruf an die euro­päi­sche IT-Indus­trie, adäqua­te hei­mi­sche Ange­bo­te zu schaffen.

Jemand hat mir geschrie­ben, er spei­chert nicht nur die Fotos sei­ner Models, son­dern auch deren Maße dazu. Ist das noch okay?

Es darf natür­lich nicht heim­lich pas­sie­ren, ich muss das mit dem Model ver­ein­ba­ren. Mei­net­we­gen über einen Rah­men­ver­trag, in dem auch Din­ge ver­ein­bart sind wie die Pflicht zur Bekannt­ga­be von Fri­sur-Ände­run­gen. In dem Zusam­men­hang darf der Foto­graf dann auch die Maße des Models spei­chern, bis auf Widerruf.

Wenn man einen Ver­trag mit einem Model hat und die Bil­der zur Erfül­lung des Ver­tra­ges spei­chert – kann das Model spä­ter die Löschung verlangen?

Nicht, solan­ge der Ver­trag gilt, das bleibt genau­so, wie es unterm Kunst­ur­he­ber­ge­setz war. Wenn das Model aus dem Ver­trag auch eine Gegen­leis­tung bekom­men hat, macht es sich qua­si scha­den­er­satz­pflich­tig, wenn es die Ver­trags­er­fül­lung durch den Foto­gra­fen tor­pe­die­ren würde.

***

Kaum zu glau­ben, das war’s jetzt. Dan­ke an alle, die bis zum Ende gele­sen haben – der nächs­te Text wird wie­der kür­zer, ver­spro­chen. Was ich aus die­sem Inter­view für mich und mei­ne Arbeit mit­neh­me, ist folgendes:

1.) Ich muss mich dar­um küm­mern, dass mei­ne Web­site DSGVO-kon­form wird. Wie das geht, fin­de ich sicher bei Dr. Goog­le. Da ich das bis zum 25.5 ohne­hin nicht schaf­fe, schal­te ich die Home­page dem­nächst für ein paar Wochen ab.

2.) Ich wer­de defi­ni­tiv wei­ter Hoch­zei­ten und Ver­an­stal­tun­gen foto­gra­fie­ren. Bei Hoch­zei­ten mache ich sowie­so immer einen Ver­trag, da kom­men nun noch ein paar Absät­ze zum Daten­schutz hin­zu, und ich for­mu­lie­re eine Infor­ma­ti­on, die die Braut­paa­re an ihre Gäs­te wei­ter­rei­chen kön­nen. Bei Rock­kon­zer­ten hole ich mir Ein­wil­li­gun­gen der Musi­ker und ver­zich­te dar­auf, Fans direkt als Motiv von vorn zu foto­gra­fie­ren. Fans als Hin­ter­grund wer­de ich wei­ter­hin ins Visier neh­men. Bei Fir­men­ver­an­stal­tun­gen mache ich es wie bei Hoch­zei­ten – und hof­fe, dass ich nicht der ers­te bin, der die­se Aus­le­gung der Haus­halts­aus­nah­me durch die Instan­zen fech­ten muss.

3.) Ich wer­de kei­ne Hoch­zei­ten mehr auf mei­ne Home­page stel­len, son­dern nur noch Trau­un­gen und/oder Braut­paar­bil­der. Dazu stel­le ich einen klei­nen Text, der sagt, dass mir das Ver­öf­fent­li­chen kom­plet­ter Hoch­zei­ten wg. der DSGVO zu hei­kel ist, und dass ich künf­ti­gen Braut­paa­ren ger­ne kom­plet­te Hoch­zei­ten im Vor­ge­spräch zei­gen kann. Not­falls dru­cke ich einen Mus­ter­kof­fer vol­ler A4-Abzüge.

4.) Soll­te ich jemals mit Street­fo­to­gra­fie anfan­gen, dann mache ich das in den USA.

5.) Mit Models wer­de ich grund­sätz­lich Ver­trä­ge machen, auch bei TfP-Shoo­tings. Außer­dem las­se ich mir schrift­li­che Ein­wil­li­gun­gen geben. 

6.) Bei mei­nen Auto­fo­tos ach­te ich dar­auf, ob die Fah­rer erkenn­bar sind und ver­pi­x­ele sie notfalls.

***

Update 12.5., 18.41 Uhr: David Sei­ler hat auf sei­nem Blog auch noch ein sehr aus­führ­li­ches Stück zum The­ma ver­öf­fent­licht. Unbe­dingt lesen und in den Lese­zei­chen speichern.

***

Und jetzt zur Wer­bung: Der eine oder ande­re hat es viel­leicht schon mit­be­kom­men – ich gehe mit mei­nem Bild­band auf Vor­trags­rei­se. Was es damit auf sich hat, wann und wo das pas­siert, und ob sich das für euch lohnt (na klar!), das lest ihr hier: Die neue Buch­tour steht, der Vor­ver­kauf startet.