Folge 4: Datenschutz

Die Datenschutz-Grundverordnung und die E-Privacy-Verordnung regeln zukünftig den Umgang mit personenbezogenen Daten in Europa.  Der folgende Überblick soll die Inhalte der Datenschutz-Grundverordnung  vereinfacht darstellen. Zunächst finden Sie die Verlinkungen auf die Gesetze und Verordnungen, anschließend eine Erläuterung verschiedener Artikel und abschließend Hinweise zu weiteren Angeboten, wie Literaturtipps, Online-Angebote, Textbaustein-Generatoren und u.a. das Video des wEbtalks auf erwachsenenbildung.at oder  Checklisten für Ihre Einrichtung.  Ergänzend  finden Sie eine Box mit Informationen zum Thema "Fotografieren" und eine  mit einer wachsenden Urteilssammlung.

Bitte beachten Sie, dass wir keine Rechtsberatung machen dürfen. Wir versuchen hier den Inhalt der DSGVO anschaulich darzustellen und  hilfreiche Informationen zu sammeln und zur Verfügung zu stellen. Sollten Sie interessante Hinweise haben, wenden Sie sich bitte an die   Redaktion. Unter "Das könnte Sie auch interessieren" finden Sie Verweise auf weitere Informationen zur DSGVO.

Eine Grafik mit dem Text DSGVO.

DSGVO (Bild: skylarvision / pixabay.com; CC0)

Am 25. Mai 2018 tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Flankiert wird die DSGVO von der kommenden E-Privacy-Verordnung (ePV), welche die Regularien der DSGVO konkretisiert. Letztere wird für das Jahr 2019 avisiert. Mit beiden möchte die Europäische Union verbindliche Datenschutzregeln formulieren, die europaweit Geltung haben.  Das Telemediengesetz  und die Telekommunikationsgesetze bleiben weiterhin in Kraft. 

Gesetze und Verordnungen

Gesetz zur Datenschutz-Grundverordnung

Grafik mit der Aufschrift "DSGVO"

DSGVO (Bild: skylarvision / pixabay.com; CC0)

Den Gesetzestext zur Datenschutz-Grundverordnung  (EU) 2016/679 steht Ihnen hier als offizielles PDF  zur Verfügung. 

Alle Artikel sind mit den passenden Erwägungsgründen und dem BDSG (neu) 2018 verknüpft. Die EU-DSGVO und das BDSG (neu) werden am 25. Mai 2018 anwendbar.

Den Text der EU-Datenschutz-Grundverordnung gibt es auf Deutsch sowie auf Englisch.

Datenschutz-Grundverordnung  (Info 6)

Coverausschnitt der Broschüre

Coverausschnitt (Bild: Urheberrecht fotolia / BfDI)

Die Bundesbeauftragte für den Datenschutz und Informationsfreiheit gibt die Broschüre "Datenschutz-Grundverordnung (Info 6)" heraus. 

Diese Broschüre macht Bürgerinnen und Bürger, Unternehmen, Behörden und interessierte Fachkreise mit der am 04. Mai 2016 im Amtsblatt der Europäischen Union veröffentlichten Europäischen Datenschutz-Grundverordnung vertraut. Sie enthält neben dem Verordnungstext auch die finale Fassung des neuen Bundesdatenschutzgesetzes sowie einführende Erläuterungen zum Inhalt der Datenschutz-Grundverordnung.

Die Broschüre steht hier als Download bereit.

Bundesdatenschutzgesetz  (neu)

Umrisszeichnung Deutschlands in den Nationalfarben.

Deutschland (Bild: Tabble / pixabay.com; CC0)

Das neue Bundesdatenschutzgesetz übernimmt die Vorgaben der DSGVO und ergänzt diese, wo es auf nationaler Ebene zugelassen ist. Dies ist zum Beispiel im Fall der Benennung eines Datenschutzbeauftragten bundesweit spezifiziert.

Das Bundesdatenschutzgesetz finden Sie hier.

ePrivacy-Richtlinie

Das Bild zeigt ein Gleis auf einer Brücke.

Gleis (Bild: Tama66 / pixabay.com; CC0)

Die E-Privacy-Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juni 2002 regelt die Verarbeitung personenbezogener Daten und den Schutz der Privatspäre in der elektronischen Kommunikation   (Datenschutzrichtlinie für elektronische Kommunikation).

Sie schreibt vor, dass die Mitgliedstaaten die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten und insbesondere ihr Recht auf Privatsphäre sicherstellen, um in der Gemeinschaft den freien Verkehr personenbezogener Daten zu gewährleisten.

Ziel dieser Richtlinie ist die Achtung der Grundrechte; sie steht insbesondere im Einklang mit den durch die Charta der Grundrechte der Europäischen Union anerkannten Grundsätzen. 

Die Vertraulichkeit der Kommunikation wird nach den internationalen Menschenrechtsübereinkünften und den Verfassungen der Mitgliedstaaten garantiert.

Das vollständige Dokument finden Sie hier.

ePrivacy-Verordnung

Ein Bildschirm mit dem Hinweis auf "privater Bereich und kein autorisierter Zugang!

Private drive (Bild: geralt / pixabay.com; CC0)

Der offizielle Name der ePrivacy-Verordnung lautet "Regulation of the European Parliament and of the Council concerning the respect for private life and the protextion of personal data in electronic communications". Sie wird voraussichtlich 2019 die bestehende ePrivacy-Richtlinie ersetzen und die Datenschutz-Grundverordnung flankieren. Ziel ist, die Privatspäre von Bürgern und Bürgerinnen im digitalen Raum zu stärken.

Die kommende Verordnung  hat prinzipiell die komplette Online-Branche zum Ziel. Wie werden Cookies verwendet? Aber auch die Maschine-zu-Maschine-Kommunikation wird Thema sein, eben so wie das Eingreifen von staatlicher Seite reguliert werden soll. Eine Ende-zu-Ende-Verschlüsselung soll obligatorisch werden, wenn das Abgreifen persönlicher Daten durch Unternehmen begrenzt werden soll. 

Liste Datenschutz-Folgeerklärung

Die Aufsichtsbehörde arbeitet an einer Liste zur Datenschutz-Folgeerklärung. Sobald diese vorliegt, werden wir diese hier veröffentlichen.

Die Datenschutz-Grundverordnung

Im Folgenden erklären wir auszugsweise die Datenschutz-Grundverordnung. An besonderen Stellen weisen wir auf nationale Regelungen des neuen Bundesdatenschutzgesetzes  hin. Im Anschluss finden Sie Link- und Literaturhinweise sowie Hinweise zu Cookies und Newsletterversand.

Grundprinzipien des Datenschutzrechts

Die Grundprinzipien des Datenschutzrechts werden in der neuen Datenschutz-Grundverordnung im Wesentlichen fortgeschrieben und weiterentwickelt.

Dies sind die Grundsätze

  • des Verbots mit Erlaubnisvorbehalt,
  • der Datenvermeidung und Datensparsamkeit,
  • der Zweckbindung und
  • der Transparenz.

Als zentrales Prinzip wurde die Gewährleistung der Datensicherheit in der DSVGO gesetzlich verankert.

Ergänzt werden diese mit Regelungen zur Datenübermittlung ins Ausland aufgrund der besonderen Bedeutung für die Rechte des Einzelnen an seinen personenbezogenen Daten.

Geltungsbereich des Datenschutzrechts

Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, zum Beispiel auf Festplatten oder anderen Speichermedien.

Webangebote, die ausschließlich familiären oder persönlichen Zwecken dienen, sind davon ausgenommen. Aber: sobald auf diesen Seiten zum Beispiel Bannerwerbung oder Affifliate-Links verwendet bzw. geschaltet werden und damit eine kommerzielle Nutzung eintritt, unterliegen auch diese Seiten der DSGVO.

Personenbezogene Daten  

Unternehmensseiten müssen wie Online-Shops, Blogs und  Webauftritte von Vereinen und Einrichtungen ab  dem 25. Mai 2018 den Anforderungen der DSGVO entsprechen.  Dazu gehört auch der an das Gesetz angepasste Umgang mit personenbezogenen Daten.

Nach der DSGVO sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Begriff "alle" deutet darauf hin, dass diese Auswahl von Informationen weit auszulegen ist.

Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden können, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind. In der Praxis fallen darunter also sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Beispielsweise zählen die Telefonnummer, die Kreditkarten- oder Personalnummern einer Person, die Kontodaten, ein Kfz-Kennzeichen, das Aussehen, die Kundennummer oder die Anschrift zu den personenbezogenen Daten.

Personenbezogene Daten sind zum Beispiel

  • Name,
  • Kennnummer,
  • KFZ-Kennzeichen,
  • Standortdaten (Adresse),
  • E-Mail-Adresse,
  • Kontonummern,
  • IP-Adressen als  Online-Kennung.

Dabei ist es unwesentlich, ob diese Daten seitens der Technik statisch oder dynamisch zugewiesen werden.

Unabhängig einer Einwilligung  der Person dürfen diese Daten nur in  wenigen Fällen weiterverarbeitet werden.  

Darüber hinaus gilt nach dem Gesetz, dass die Informationen für einen Personenbezug sich auf eine natürliche Person beziehen müssen. Das heißt im Umkehrschluss, dass der Datenschutz für Angaben über juristische Personen wie Körperschaften, Stiftungen und Anstalten nicht greift.

Einen besonders hohen Schutz erhalten genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.

"Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt." (Art. 9 DSGVO) Ausnahmen sind in Satz 2 des Art. 9 DSGVO nachzulesen.

Der Verantwortliche, der die Daten erhebt unterliegt zum Zeitpunkt der Datenerhebung einer Informationspflicht gegenüber der Person deren Daten er erhebt.  Er teilt dabei unter anderem Folgendes mit:

  • "den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters,
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung"
    (Art.6 DSGVO).

Grundsätze der Datenverarbeitung

Bei der Datenverarbeitung gelten die folgenden Grundsätze:

  • Rechtmäßigkeit,
  • Verarbeitung nach Treu und Glauben und
  • Transparenz.

Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Es ist verboten diese in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterzuverarbeiten. Aber: eine Weiterverarbeitung der Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt  nicht als unvereinbar mit den ursprünglichen Zwecken. (Artikel 89 Absatz 1)

Beauftragt der Webseiten-Betreiber einen Dienstleister mit dem Hosting seiner Seite, benötigt er die Einwilligung seiner Besucher oder er muss eine andere Rechtsgrundlage schaffen. Nach Artikel 28 DSGVO kann der Auftraggeber mit dem Webhoster  eine Auftragsverarbeitung abschließen. Diese regelt, dass der Dienstleister personenbezogene Daten gemäß den Weisungen des für die Verarbeitung Verantwortlichen verarbeitet. Mit diesem Konstrukt bleibt der Webseiten-Betreiber "Herr über seine Daten", der Webhoster gilt nicht mehr als außenstehender Dritter. Eine DSGVO-konforme Mustervereinbarung zur Auftragsdatenverarbeitung finden Sie kostenpflichtig zum Beispiel hier.

Datenminimierung ist ein weiterer Grundsatz. Es sollen so wenig wie möglich personenbezogene Daten gespeichert werden. Die Speicherung muss nach neuesten Standards erfolgen. Fehlerhafte Daten sind unverzüglich zu löschen bzw. zu berichtigen. Die Daten sind zu schützen, dass heißt, dass niemand unbefugt Zugang zu den Daten erhält oder diese verloren gehen.

Rechtmäßigkeit der Datenverarbeitung

In Artikel 6 DSGVO werden die Bedingungen für die Rechtmäßigkeit der Datenverarbeitung festgelegt. Mindestens eine der Bedingungen muss hierzu erfüllt werden.

  1. "Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt."
    (Quelle: Art. 6 DSGVO)

Die Einwilligung einer Person muss der Verantwortliche nachweisen können, sie muss schriftlich in verständlicher Sprache formuliert sein und kann jederzeit widerrufen werden.

Rechte der Betroffenen

Transparenz

Alle Mitteilungen, die sich auf die Verarbeitung beziehen, sind vom Verantwortlichen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Es existiert unter einer bestimmten Auflage auch die Möglichkeit einer mündlichen Information.

Auskunftsrechte

Unternehmen müssen also über gespeicherte Daten informieren und auf Nachfrage über deren Weitergabe berichten. Auch sind sie verpflichtet auf Nachfrage zu belegen,

  • zu welchem Zweck die personenbezogenen Daten verarbeitet werden und wenn möglich,
  • wie lange die Daten gespeichert werden sowie
  • wer die Empfänger der personenbezogenen Daten sind.
  • Ebenso muss die Logik des Profilings, zum Beispiel bei Banken, erklärt werden und welche Folgen das Profiling für den Betroffenen hat.
    (Art. 15 DSGVO)

Die Information, die der Verantwortliche zur Verfügung stellen  muss, muss eine Kopie des Datensatzes enthalten.

Dabei ist ein Fernzugriff dem Betroffenen zu ermöglichen. Der genutzte Kommunikationsweg muss die angemessenen Sicherheitsbedingungen erfüllen.

Dabei gilt eine  Frist von  einem Monat, kann jedoch um zwei Monate verlängert werden.

Recht auf Berichtigung

Die betroffene Person kann von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten  verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. (Art. 16 DSGVO)

Löschrechte

Mit den Artikeln 17 und 19 erhalten betroffene Personen das Recht, die Löschung der sie bezogenen Daten von dem Verantwortlichen zu verlangen. Der Verantwortliche ist verpflichtet, diese unverzüglich zu löschen, wenn zum Beispiel einer der folgenden Gründe zutrifft:

  • "Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt."
    Die vollständige Liste der Gründe finden Sie in Art. 17 DSGVO.

Wünscht eine betroffene Person von dem Verantwortliche die Löschung der Daten und hat dieser diese zum Beispiel im Internet veröffentlicht, so ist er verpflichtet, die veröffentlichen Daten zu löschen und Dritte, die sie ebenfalls verbreitet haben, davon zu unterrichten.  Der Verantwortliche genügt den Anforderungen, wenn er angemessene Maßnahmen anwendet, die die verfügbare Technologie und die Implementierungskosten berücksichtigt.

Das Recht auf Löschung gilt unter anderem nicht  

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit ,
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke  oder
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
    (Alle Gründe finden Sie in Art. 17 DSGVO.)

Der Verantwortliche  hat nach Art. 19 DSGVO die Mitteilungspflicht über die Löschung oder Einschränkung personenbezogener Daten gegenüber dem Betroffenen.

Betroffene Personen können nach den Grundlagen des Art. 18 DSGVO die Beschränkung der Datenverarbeitung verlangen.

Recht auf Datenübertragung

Nach Art. 20 DSGVO hat die betroffene Person  das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem hat sie das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln. Die Übertragung soll direkt von einem Unternehmen zu einem anderen erfolgen. Es gelten dieselben Fristen wie für Auskünfte.

Widerspruchsrecht

Die Person kann jederzeit der Verarbeitung ihrer personenbezogenen Daten widersprechen.

"Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen." (Artikel 21 DSGVO)

Privacy-by-design und Privacy-by-default

Hinter den Begriffen verbergen sich technische und organisatorische Maßnahmen, um die Datenschutzgrundsätze sicherzustellen, wie zum Beispiel die Datenminimierung.

Der Verzicht auf die Speicherung und Weitergabe der IP-Adresse wäre ein Beispiel für den Privacy-by-design-Ansatz.

Der Ansatz Privacy-by-default setzt auf datenschutzangemessene Voreinstellungen in Apps, Programmen oder sonstigen Anwendungen.

Ziel ist es, dass nur die erforderlichen personenbezogenen Daten erhoben und verarbeitet werden. (Art. 25 DSGVO)

Verantwortlicher und Auftragsverarbeiter

In Kapitel 4 finden Verantwortliche und Auftragsverarbeiter die Vorgaben zur Verarbeitung von personenbezogenen Daten.

Sie setzen geeigtnete technische und organisatorische Maßnahmen um mit dem Ziel, sicherzustellen und auch den Nachweis dafür erbringen zu können, dass  bei der Verarbeitung der Daten die Vorgaben der DSGVO eingehalten werden. Dies erfolgt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie  verschiedener Risiken für die Rechte und Freiheiten natürlicher Personen. Darüber hinaus sind sie verantwortlich für die Überprüfung und Aktualisierung der Maßnahmen falls erforderlich.

Der Verantwortliche kann die Erfüllung seiner Pflichten mittels der Einhaltung der genehmigten Verhaltensregeln (Art. 40 DSGVO) oder eines genehmigten Zertifizierungsverfahrens (Art. 42 DSGVO) nachweisen. (Art. 24. DSGVO)

Gemeinsam Verantwortliche legen in einer Vereinbarung  fest, wer von ihnen

  • welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und
  • wer welchen Informationspflichten nachkommt.
    (Art. 26 DSGVO)

Dabei muss die Vereinbarungen ihren Funktionen entsprechen.

Ein Auftragsverarbeiter muss hinreichend Garantien dafür bieten, dass die Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen entsprechend der DSGVO durchgeführt und der Schutz der Rechte der betroffenen Person gewährleistet wird. (Art. 28 DSGVO) Der Auftragsverarbeiter handelt entsprechend einem mit dem Verantwortlichen geschlossenen Vertrag. In diesem sind die Weisungen des Verantwortlichen zum Umgang und zur Verarbeitung der personenbezogenen Daten zu dokumentieren. Auch die Datenübertragung und Löschung sowie weitere Einzelheiten seitens des Auftragsverarbeiters sind im Einzelnen in dem Artikel 28 DSGVO geregelt.

Dem Auftragsverarbeiter oder dem Verantwortlichen unterstellte Personen haben bei der Verarbeitung der Daten deren Weisungen zu befolgen.

Verzeichnis der Verarbeitungstätigkeiten

Jeder Verantwortliche führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis wird schriftlich oder in elektronischer Form erstellt.

Es enthält sämtliche folgenden Angaben:

  • "den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:

  • den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
  • die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1."
    (Art. 30 DSGVO)

Datensicherheit

Der Verantwortliche und der Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei berücksichtigen sie

  • den Stand der Technik,
  • der Implementierungskosten,
  • die Art,
  • den Umfang,
  • den Verarbeitungszweck sowie
  • die Wahrscheinlichkeit und Schwere des Risikos.

Hierzu zählen folgende Maßnahmen

  1. "die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung."
    (Art. 32 DSGVO)

Die Datensicherheit muss auch bei der Datenverarbeitung, wie Bearbeiten, Vernichtung oder Löschen gewährleistet werden.

Darüber hinaus achten der Verantwortliche und der Auftragsverarbeiter darauf, dass ihnen untergebene Angestellte den notwendigen Zugang zur Verarbeitung erhalten und entsprechend der Weisung ihre Tätigkeit ausführen.

Datenschutz-Folgeabschätzung

Der Verantwortliche nimmt  eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten vor – entsprechend dem Risiko für die Rechte und Freiheiten natürlicher Personen durch die Verarbeitung der Daten. Für ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken reicht eine einzige Abschätzung.

Unterstützt wird der Verantworliche bei der Durchführung der Datenschutz-Folgenabschätzung von dem Datenschutzbeauftragen, sofern ein solcher benannt wurde.

Ein hohes Risiko des Datenmissbrauchs für die Betroffenen  stellen Daten dar, die eine Identifizierung und Kategorisierung der Person ermöglichen, wie  Daten zur Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politische Ansichten.

Die Aufsichtsbehörde arbeitet an einer Liste, die besagt, welche Verarbeitungsvorgänge eine Datenschutz-Folgeabschätzung erfordern.

Das Ziel der Datenschutz-Folgeabschätzung ist, die Risiken für die Persönlichkeitsrechte  zu erkennen und  geeignete Schutzmaßnahmen zu treffen. Sie enthält mindestens folgende Kriterien:

  • Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung,
  • Bewertung der Notwendigkeit und  Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
    (Art. 35 DSGVO)

Darüber hinaus können/sollen folgende Inhalte dokumentiert werden:

  •  Was wird technisch und organisatorisch getan, um diese Daten gegen unberechtigten Zugriff oder Weitergabe zu sichern?
  • Wie wird im Falle eines Leaks verfahren?
  • Welche Kontrollmechanismen greifen, damit die Daten geschützt bleiben?

Wichtig: Die Landesdatenschutzbehörden haben eine beratende Funktion.

Literaturtipp:

In dem folgenden Whitepaper finden Sie erste Handlungsanweisungen zur Durchführung einer Datenschutz-Folgeabschätzung:

Zoche, H.  et al. (Hrsg.) (2018). White Paper DATENSCHUTZ-FOLGENABSCHÄTZUNG. Ein Werkzeug für einen besseren Datenschutz.

Datenschutzbeauftragter

In den Artikeln 37 bis 39 regelt die DSGVO die Bennenung, die Stellung und die Aufgaben des Datenschutzbeauftragten.

Benennung

Unter folgenden Voraussetzungen  müssen Verantwortliche und Verarbeiter einen Datenschutzbeauftragten benennen: 

  1. "die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."
    (Art. 37 DSGVO)

Der Artikel 37 Absatz 4 DS-GVO ermöglicht, dass der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten auf freiwilliger Basis benennen können. Es sei denn, ein Mitgliedsstaat schreibt die Benennung ausdrücklich vor.

Der Bundesgesetzgeber nutzt diesen Spielraum, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten  in nichtöffentlichen Stellen anzupassen (vgl. § 38 BDSG-neu).

Demnach ist eine Benennung eines Datenschutzbeauftragten in folgenden Fällen erforderlich:

  • es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
    (§ 38 BDSG (neu))

Betriebe mit neun Mitarbeitenden oder weniger benötigen keinen Datenschutzbeauftragten und der Geschäftsführer kann den Datenschutz selbst übernehmen. Aber, wenn das kleine Unternehmen Daten verarbeitet,  für die eine Datenschutz-Folgenabschätzung vorgesehen ist, entfällt diese Ausnahmeregelung und es entsteht die Pflicht zur Benennung eines Datenschutzbeauftragen. 

Dieser Fall tritt ein, wenn durch die Daten, zum Beispiel zur ethnischen Herkunft, sexuellen Orientierung, Gesundheit oder zur politischen Einstellung, ein hohes Risiko für die Betroffenen besteht. In diesem Fall kann auch eine Arztpraxis oder eine psychotherapeurische Einrichtung einen Datenschutzbeauftragten benötigen.

Der Datenschutzbeauftagte muss mittels Fortbildungen seine Fachkunde sicherstellen.

Das Unternehmen muss seinen Datenschutzbeauftragten so ausweisen, dass dieser sofort als Ansprechpartner gut sichtbar ist, zum Beispiel auf der Startseite der Homepage im Rahmen seiner Datenschutzerklärung. 

Stellung

Der Verantwortliche und der Auftragsverarbeiter haben den Datenschutzbeauftragten frühzeitig  in alle Fragen zum Schutz der Daten hinzuzuziehen. Der Datenschutzbeauftragte handelt weisungsfrei und darf in der Ausübung seiner Tätigkeit nicht eingeschränkt werden. Auch muss ihm ausreichend Zeit für die Tätigkeit zur Verfügung gestellt werden. Der Datenschutzbeauftragte berichtet direkt an die höchste Managementebene des Verantwortlichen und des Auftragsverarbeiters.

Betroffene können sie direkt an den Datenschutzbeauftragten mit ihren Anliegen wenden.

Der Datenschutzbeauftragte ist zur Geheimhaltung verpflichtet.

Aufgaben des Datenschutzbeauftragten

  1. "Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, 
  2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  4. Zusammenarbeit mit der Aufsichtsbehörde;
  5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen."
    (Art. 39 DSGVO)

Zertifizierung

Die Gesetzgeber fördern die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen. Diese dienen dazu, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.

Den besonderen Bedürfnissen von Kleinstunternehmen sowie kleinen und mittleren Unternehmen wird Rechnung getragen.

Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein

Die Zertifizierung hat keinen Einfluss auf die Arbeit und die Verantwortung des Verantwortlichen und des Auftragsverarbeiters.

(Art. 42 DSGVO Zertifizierung)

Zertifizierungstellen werden in Art. 43 DSGVO geregelt.

Rechtsbehelfe, Haftung und Sanktionen

In den Art. 77 bis 84 DSGVO finden Sie Anlaufstellen für Beschwerden  und mögliche Sanktionen.

Verstöße gegen  Rechte der Betroffenen, wie zum Beispiel das Auskunfts- und Löschungsrecht, können für Unternehmen hohe Geldbußen vrursachen. Maximal werden bis zu 20.000.000 Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres - je nach dem, was höher ist - veranschlagt.

In wie weit diese Ultima Ratio in der Rechtssprechnung vor Gericht umgesetzt wird, bleibt abzuwarten.

Checklisten , Mustervorlagen, weitere Informationen

Checklisten zur DSGVO

Hier finden Sie eine kleine Auswahl zu Checklisten zur DSGVO in alphabetischer Reihenfolge der Anbieter. Im Internet finden Sie viele weitere Angebote.

Datenschutzerklärung - Checkliste

Pflichtangaben:

  • Name und Kontaktdaten des Website-Betreibers (Anschrift und E-Mail-Adresse)
  • Zweck(e) der Datenverarbeitung
  • Rechtsgrundlagen der Datenverarbeitung
  • Speicherdauer
  • Betroffenenrechte ( Informationen zum Widerspruchsrecht, die optisch herausgehoben werden müssen, etwa durch Fettung oder Rahmung.) 
  • Der Datenschutzbeauftragte muss namentlich benannt werden.

Situationsabhängige Informationen:

  • bei geplanter Weitergabe von Daten, die Empfänger oder Kategorien von Empfängern (zum Beispiel der Auftragsverarbeiter)
  • wenn die Absicht besteht, Daten ins EU-Ausland zu übermitteln (Hinweis auf das Datenschutzabkommen)
  • Umstände der Bereitstellung der Daten
  • Bestehen einer automatisierten Entscheidungsfindung

Quelle:  Impulse (2018). DSGVO-Checkliste: Was Sie jetzt tun müssen.

BDVT: Datenschutzerklärungen für Weiterbildungsveranstaltungen

Auch in Weiterbildungsveranstaltungen werden viele personenbezogene Daten gesammelt. Für den Berufsverband Training, Beratung und Coaching hat Bruno Schmalen Vorlagen erstellt, die unter  der CC BY 4.0 DE- Lizenz zur Verfügung stehen.

Die Vorlagen finden Sie hier.

wEBtalk "DSGVO für Erwachsenenbildungseinrichtungen"

Die Plattform erwachsenenbildung.at bietet auf ihrer Seite die Aufzeichnung: wEBtalk „DSGVO für Erwachsenenbildungseinrichtungen" unter der CC BY SA 4.0 Lizenz an. Rechtsanwalt Michael Lanzinger gibt in seiner Präsentation einen ausführlichen Einblick in die verschiedenen Bereiche, die  Bildungseinrichtungen wie Lehrende gleichermaßen bei ihrer Tätigkeit betreffen.

Den ganzen Artikel von Karin Kulmer auf erwachsenenbildung.at und weitere Informationen, wie die Präsentation als Foliensatz, Textbausteine  sowie Informationen zu Michael Lanzinger finden Sie unter dem folgenden Link.

Cookies

Die Online-Kennungen "Cookies" fallen zukünftig in vielen Fällen in den Anwendungsbereich der Datenschutz-Grundverordnung. Dies gilt auch, wenn die Kennung pseudonymisiert wird. Von daher  gilt grundsätzlich das Verbot mit Erlaubnisvorbehalt, sprich:  ohne vorhergehende Erlaubnis, kann der Webanbieter keine Cookies auf der Seite des Users verwenden. Der Benutzer muss mittels einer "informierten Einwilligung" seine Zustimmung geben.

Das bedeutet, dass der bisherige Hinweis auf den Einsatz durch Cookies, zum Beispiel mittels Banner, nicht mehr ausreicht.

Der Anbieter kann auf seiner Seite einen kurzen allgemeinen Text zum Einsatz von Cookies veröffentlichen und diesen zu einer detaillierten Beschreibung verlinken. Alternativ kann man beim Besuch der Webseite ein Pop-up-Fenster mit der Aufforderung zur Einwilligung dem User ausspielen.

Der Einsatz von Cookies ohne Einwilligung der User ist nur unter begrenzten Voraussetzungen  möglich. Hierbei gilt es abzuwägen, ob dem Einsatz zur  Wahrung berechtigter Interessen des Website-Betreibers den Interessen und Grundfreiheiten des betroffenen Nutzers  entgegenstehen.

Im Rahmen der Webanalyse kann der Einsatz von Cookies gerechtfertigt sein. Die Reichweitenmessung per Google Analytics als Auftragsverarbeiter mit Kürzung der IP-Adressen wäre weiterhin möglich. Allerdings steht die Beurteilung von Einzelfällen durch die Aufsichtsbehörde noch aus.

Das Opt-Out-Verfahren, um dem Einsatz von Cookies zu widersprechen bleibt wie bislang bestehen.

(Quelle: Maekler, N. (2018) Fit for DSGVO. Das neue Datenschutzrecht für Website-Betreiber.   c't Heft 5.)

Newsletter

Die Anmeldung zu einem Newsletter soll nach der neuen Verordnung zur Datenminimierung beispielsweise nicht mehr das Geburtsdatum oder die postalischen Kontaktdaten abfragen. Wenn Sie diese Daten trotzdem anfragen wollen, unterscheiden Sie zwischen Pflicht- und optionalen Feldern, die entsprechend zum Beispiel mit einem Sternchen gekennzeichnet werden.

So kann der User selber entscheiden, ob er die sogenannten "Nice-to-have-Daten" angibt oder eben nicht.

Der Anbieter eines Newsletters sollte vor dem Versand desselben eine Einwilligung des Users einholen. Der Text dieses Anschreibens muss erkennen lassen, welche personenbezogenen Daten zu welchem Zweck erhoben und gespeichert werden. Insbesondere muss auf das Widerrufsrecht hingewiesen werden.

Zum Nachweis für die Einwilligung hat  sich das Double-Opt-In-Verfahren bewährt. Der Anbieter sendet dem User in diesem Fall zu erst eine Einladungsmail, in der dieser mit einem Klick auf einen Link sein Einverständnis zum Mail-Empfang signalisiert. Danach startet erst der Versand des Newsletters.

(Quelle: Maekler, N. (2018) Fit for DSGVO. Das neue Datenschutzrecht für Website-Betreiber.   c't Heft 5.)

Muster:  Datenschutzrechtliche Einwilligungserklärung

 [] Ich willige ein, dass mich [Name oder Firma] per E-Mail über [genaue  Bezeichnung von Produkt oder Dienstleistung] informiert. Meine Daten werden ausschließlich zu diesem Zweck genutzt. Eine Weitergabe an Dritte erfolgt nicht. Ich kann die Einwilligung jederzeit per E-Mail an [E-Mail-Adresse], per Brief an [Postadresse] oder durch Nutzung des in den E-Mails enthaltenen Abmeldelinks widerrufen.

(Quelle: Maekler, N. (2018). Fit for DSGVO. Das neue Datenschutzrecht für Website-Betreiber.   c't Heft 5.)

Fotografieren

In Zusammenhang mit  der "Fotografie" gibt es verschiedene Einschätzungen  zur Herstellung, Verarbeitung und Nutzung von Fotografien im Kontext der DSGVO. Ganz sicher ist wohl nur, dass mit der Nutzung der Öffnungsklausel national die Bestimmungen und damit der Umgang mit der Fotografie genauer geregelt werden kann. Aber bisher hat der Bund diese Möglichkeit  noch nicht genutzt. Die Folge ist eine gewisse Rechtsunsicherheit. Im Folgenden finden Sie drei Beschreibungen von öffentlichen Stellen bzw.  aus einem exemplarischen Fachmagazin. Gerne nehmen wir laufend weitere Aspekte auf.  Bitte schicken Sie diese Informationen an die Redaktion.

Bundesministerium des Innern, für Bau und Heimat

Nach dem BMI unterliegt die Anfertigung und Veröffenltichung einer personenbezogenen Fotografie den allgemeinen Regelungen des Datenschutzrechts. Danach dürfen nur Fotos verarbeitet werden, wenn

  • die betroffenen Person eingewilligt hat oder
  • eine Rechtsgrundlage dies erlaubt.

Die Einwilligung der betroffenen Person(en) ist wie bisher jederzeit widerrufbar.

Bei Aufnahmen größerer Menschenmengen ist die datenschutzrechliche Einwilligung keine praktikable Rechtsgrundlage.

 Neben der Einwilligung kommen als weitere Rechtsgrundlagen für die Anfertigung und Veröffentlichung zur Durchführung eines Vertrags  oder zur Wahrnehmung berechtigter Interessen des Fotografen  in Betracht.(vgl. Art. 6 DSGVO)

Die grundrechtlich geschützte und garantierte Meinungs- und Informationsfreiheit stellen berechtigte Interessen  dar. (Art. 6 DSGVO)

 Die DSGVO betstimmt, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss (Erwägungsgrund 4).

Für die Veröffentlichung von Fotografien enthält das Kunsturhebergesetz (KunstUrhG) ergänzende Regelungen, die auch unter der DSGVO  fortbestehen.

Das Kunsturhebergesetz stützt sich auf Artikel 85 Absatz 1 der Datenschutz-Grundverordnung, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Es steht nicht im Widerspruch zur Datenschutz-Grundverordnung, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der Datenschutz-Grundverordnung ein.

Quelle: Bundesministerium des Innern, für Bau und Heimat. (2018). Unter welchen Voraussetzungen ist das Anfertigen und Verbreiten personenbezogener Fotografien künftig zulässig?

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

In dem Vermerk: "Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von
Menschen nach der DSGVO außerhalb des Journalismus" beschreibt der Autor

"die  derzeitige Rechtslage in Bezug auf Fotografien einer unüberschaubaren Anzahl von Menschen oder von Menschen als Beiwerk anderer Motive ist überwiegend unsicher. Dies beruht insbesondere darauf, dass der deutsche Gesetzgeber bisher  keinen ausdrücklichen Gebrauch von der Öffnungsklausel des Art. 85 Abs. 2 DSGVO gemacht hat. Dies wäre aber im Sinne der Rechtssicherheit nötig.
Bis dahin ist es möglich, die Datenerhebung in den meisten Fällen über Art. 6 Abs. 1 lit. f
DSGVO zu rechtfertigen. Eine Informationspflicht gegenüber den Abgelichteten besteht nicht.
Dies ergibt sich aus Art. 11 Abs. 1 DSGVO, hilfsweise aus Art. 14 Abs. 5 lit. b DSGVO."

Quelle:  Hamburger Bauauftragte für Datenschutz und Informationsfreiheit (2018). Vermerk: Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus

foto MAGAZIN:

Dr. Endress Wanckel, Rechtsanwalt und Dozent für Medienrecht, sieht schon die Herstellung eines Personenfotos als eine Datenerhebung an.

Auch problematisch ist seines Erachtens der jederzeit mögliche Widerruf der Einwilligung.

"Ein Widerruf macht zwar bis dahin erfolgte Nutzungen nicht rechtswidrig, das oder die betroffenen Fotos dürfen aber ab Zugang des Widerrufs nicht mehr genutzt werden und sind im Regelfall auch unverzüglich zu löschen, sofern nicht noch (neben der Einwilligung) eine andere Rechtsgrundlage greift. Die Vermarktungsmöglichkeiten von Personenfotos werden dadurch erheblich eingeschränkt."

Ein Ausweg wäre zur rechtlichen Absicherung der Herstellung und Nutzung von Personenfotos der Abschluss eines Vertrags, der Herstellung, Verarbeitung und Nutzung regelt.

Quelle: Wanckel, E. (2018).  DSGVO für Fotografen: eine erste fotorechtliche Einordnung. IN fotoMAGAZIN.

Quellen

Im Folgenden finden Sie die verwendeten Quellen. Teilweise sind die Online-Angebote kostenpflichtig.

Literatur

Handlungsanleitungen


Das könnte Sie auch interessieren.

Stiftung Datenschutz

Auf ihrem Portal bietet die unabhängige Stiftung Datenschutz 
Informationen zur Umsetzung der Datenschutzgrundverordnung.

Hier finden Sie das Informations-Portal.

IWWB - Informationsseite

Das Infoweb Weiterbildung hat als Service für Datenbankanbieter eine neue   Informationsseite   erstellt, um Informationen und Tipps sowie Muster für Auftragsverarbeitungs-Verträge u.ä. zusammenzutragen.

Leitfaden  "EU-Datenschutz-Grundverordnung (DSGVO) und Journalismus

Der Deutsche Fachjournalisten Verband veröffentlichte einen Leitfaden, der  sich an Journalisten wendet, aber auch für Betreiber von Portalen oder Blogger interessant  ist.

Der Leitfaden steht Ihnen hier als PDF zur Verfügung.