Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

nach Berichten der Tageszeitung „Rheinische Post“  hat eine Kita in NRW in den Gruppenerinnerungs-Mappen ihrer Vorschulkinder jeweils die Gesichter alle anderen Kinder geschwärzt. Anlass für diese Maßnahme seien die Anforderungen des Datenschutzes gewesen. Tatsächlich schützt das Datenschutzrecht die Rechte von fotografierten Personen. Ob die Gesichter der Mitschüler deswegen geschwärzt werden mussten, darf hingegen bezweifelt werden.

Unabhängig von der kuriosen Zeitungsmeldung erreichen uns regelmäßig Anfragen im Hinblick auf die rechtlichen Beschränkungen bei der Anfertigung und Nutzung von Fotoaufnahmen. In unserem Schwerpunktthema in diesem Monat beschäftigen wir uns daher ausführlich mit der „Anfertigung und Veröffentlichung von Fotoaufnahmen“.

Bei Rückmeldungen oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Anfertigung und Veröffentlichung von Fotoaufnahmen

Die Anfertigung und Veröffentlichung von Fotoaufnahmen, auf denen natürliche Personen zu sehen sind, unterliegt den allgemeinen Regelungen des Datenschutzrechts, da es sich bei entsprechenden Fotoaufnahmen um personenbezogene Daten handelt. Es sind daher die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten. Fotos einer Person dürften demnach nur verarbeitet werden, wenn eine Einwilligung des Betroffenen oder eine andere datenschutzrechtliche Rechtsgrundlage, z. B. eine Interessenabwägung gemäß Art. 6 Abs. 1 S. 1 .lit. f) DSGVO, dies gestattet.

Die datenschutzrechtliche Einwilligung in die Erstellung von Fotoaufnahmen kann grundsätzlich formlos erteilt werden. Die Einholung einer schriftlichen Einwilligung ist folglich nicht zwingend erforderlich und vielfach auch nicht hilfreich. Werden Fotoaufnahmen einer natürlichen Person auf Grundlage einer Einwilligung erstellt, ist die Einwilligung ohnehin jederzeit frei wiederrufbar. Eine Bindungswirkung durch die Einholung einer Unterschrift kann folglich nicht erzielt werden. Dennoch vermag eine schriftliche Einwilligung als Nachweis dafür dienen, dass zum Zeitpunkt der Einholung eine Einwilligung vorgelegen hat.

Zu beachten ist auch, dass die datenschutzrechtliche Einwilligung gerade bei Aufnahmen von größeren Menschenmengen keine besonders praktikable Rechtsgrundlage für die Datenverarbeitung ist. Anstelle der Einwilligung kann aber in einigen Fällen auf eine andere Rechtsgrundlage z. B. auf eine Interessenabwägung im Sinne von Art. 6 Abs. 1 S. 1 lit. f) DSGVO oder – in bestimmten Fällen – auf die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DSGVO) abgestellt werden. Letzteres dürfte insbesondere auch dann einschlägig sein, wenn die abgebildeten Personen im Rahmen eines Werkvertrages zur Erstellung der Fotoaufnahmen verpflichtet sind.

Zum Schwerpunktthema

Facebook-Fanpages

Mit seiner Entscheidung vom 5. Juni 2018 hat der Europäische Gerichtshof (EuGH) entschieden, dass die Betreiber von Facebook-Fanseiten gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten ihrer Seitenbesucher verantwortlich sind (Urteil vom 05.06.2018, Az. C-210/16), wie wir berichteten. Direkt im Anschluss an das Urteil sowie erneut im September 2018 hat die Datenschutzkonferenz (DSK), der Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, zu der Entscheidung Stellung genommen und den aus ihrer Sicht erforderlichen Handlungsbedarf für Facebook und die Fanpage-Betreiber aufgezeigt.

Facebook hat am 11. September 2018 ebenfalls auf das Urteil reagiert und ergänzende Vertragsbedingungen für Fanpage-Betreiber veröffentlicht, die die Einzelheiten der gemeinsamen Verantwortlichkeit zukünftig regeln sollen. Fanpage-Betreiber sind unter den ergänzenden Vertragsbedingungen als gemeinsame Verantwortliche gemäß Art. 26 DSGVO neben Facebook für einen Teil der Datenverarbeitung verantwortlich. Hieraus ergeben sich für Fanpage-Betreiber Informationspflichten gemäß Art. 13 DSGVO, die eingehalten werden müssen. Es ist daher wohl zu prüfen, ob für  Fanpages jetzt eine eigene Datenschutzerklärung vorgehalten werden muss oder ob auf eine entsprechend angepasste Datenschutzerklärung zu verweisen ist. Es bleibt aber weiterhin fraglich, welche weiteren Informationen über die Datenverarbeitung durch Facebook die Seitenbetreiber veröffentlichen sollen und woher diese Informationen stammen sollen. Insoweit ist auch zu berücksichtigen, dass viele Seitenbetreiber typischerweise keine Datenverarbeitung über das von Facebook beschriebene Maß hinaus vornehmen. Facebook selbst empfiehlt in einer Presseerklärung, dass Seitenbetreiber zumindest ihre Kontaktdaten sowie die Kontaktdaten des Datenschutzbeauftragten auf ihrem Facebook-Auftritt veröffentlichen. Dabei ist allerdings zu beachten, dass nach dem bisherigen Verständnis ohnehin schon die Impressumspflicht gem. § 5 TMG für die Fanpages galt.

Eine abschließende Entscheidung des Bundesverwaltungsgerichts, das den EuGH zur Klärung der vorgelegten Fragen um Stellungnahme gebeten hatte, steht allerdings noch aus. Insoweit könnte es sinnvoll sein, die Entscheidung des Bundesverwaltungsgerichts auf Basis der Vorgaben des EuGH abzuwarten.

OLG Frankfurt a. M.: Löschungsanspruch und „Recht auf Vergessenwerden“ nur nach Interessenabwägung

Das OLG Frankfurt a. M. hat entschieden, dass Suchmaschinenbetreiber einem DSGVO-Löschungsanspruch, der sich auf ältere negative Presseberichte bezieht, nicht in jedem Fall zu entsprechen haben, selbst wenn die Berichte Gesundheitsdaten enthalten (Urteil v. 06.09.2018, Az. 16 U 193/17; vorausgehend LG Frankfurt am Main, Urteil v. 26.10.2017, Az. 2-03 O 190/16).

Im konkreten Fall war über den Kläger, den Geschäftsführer einer bekannten gemeinnützigen Organisation, die sich in erheblichen finanziellen Schwierigkeiten befand, berichtet worden. In der Presse wurde dabei auch wiederholt darauf hingewiesen, dass der namentlich benannte Geschäftsführer aufgrund einer Krankheit nicht in der Lage sei, das Unternehmen in dieser schwierigen Phase zu unterstützen. Diese Pressemitteilungen wurden auch auf der Suchmaschine Google verlinkt, an die sich der Kläger mit einem Löschungsanspruch sowie unter Berufung auf sein „Recht auf Vergessenwerden“ wandte. Google lehnte die Löschung unter Verweis auf das öffentliche Informationsinteresse ab, wogegen der Geschäftsführer Klage erhob. 

Das OLG Frankfurt a. M. urteilte gegen den Geschäftsführer. Nach Ansicht des Gerichts kommt es auch unter der DSGVO darauf an, ob das Interesse des Betroffenen das Öffentlichkeitsinteresse im konkreten Fall überwiegt. Die verlinkten Artikel enthielten zwar teilweise besonders schützenwerte Gesundheitsdaten des Klägers, diese seien aber aufgrund des erheblichen öffentlichen Interesses an den finanziellen Schwierigkeiten der gemeinnützigen Organisation rechtmäßig veröffentlicht worden. Insbesondere vermochten die Berichte über die Gesundheit des Geschäftsführers zu erklären, warum dieser der Organisation in der Krise nicht zur Verfügung gestanden habe.

Auch das „Recht auf Vergessenwerden“ überwiege im vorliegenden Fall nicht das Informationsinteresse der Öffentlichkeit, selbst wenn die Veröffentlichung des Artikels wie im konkreten Fall bereits sechs bis sieben Jahre zurückliegt. Die vom EuGH für das „Recht auf Vergessenwerden“ festgelegten Abwägungskriterien seien mit Blick auf die DSGVO nicht schematisch anzuwenden, sondern müssten stets auch die Bedingungen des Einzelfalls, hier die presserechtlichen Komponenten, berücksichtigen. Dem Kläger steht demnach im konkreten Fall kein Unterlassungsanspruch wegen einer unerlaubten Beeinträchtigung seines Persönlichkeitsrechts zu.

Das Urteil ist noch nicht rechtskräftig.

BGH: Kundenzufriedenheitsanfrage ohne Einwilligung auch dann rechtswidrig, wenn diese mit der Rechnung übersandt wird

Der BGH hat entschieden, dass Kundenzufriedenheitsanfragen per E-Mail ohne eine ausdrückliche Einwilligung des Empfängers grundsätzlich rechtswidrig sind, selbst wenn diese Anfragen in einer E-Mail gemeinsam mit einer Rechnung an einen Kunden versandt werden (BGH, Urteil v. 10.07.2018 – Az: VI ZR 225/17). In seinem Urteil geht der BGH zum ersten Mal auf Kundenzufriedenheitsanfragen ein, die nicht separat, sondern verbunden mit zulässigen sonstigen Inhalten versandt werden.

Nach Auffassung des Gerichts verletzen Kundenzufriedenheitsanfragen ohne eine ausdrückliche Einwilligung den Betroffenen in seinem allgemeinen Persönlichkeitsrecht. Etwas anderes ergebe sich auch nicht daraus, dass mit der E-Mail die Rechnung übersandt wurde und somit ein sachlicher Anlass für den Kontakt bestand. Zwar liege in der Übersendung der Rechnung selbst noch keine Werbung, doch die verbundene Kundenzufriedenheitsanfrage sei als Maßnahmen der (Direkt-) Werbung zu qualifizieren. Für die Annahme, die nicht zu beanstandende Rechnungsübersendung nehme der E-Mail insgesamt den werblichen Charakter, sei kein Raum. Zwar sei die unerwünschte Werbung in der beschriebenen Konstellation nur eine vergleichsweise geringfügige Beeinträchtigung, andererseits sei das Hinzufügen von Werbung zu einer im Übrigen zulässigen E-Mail nicht unbeachtlich, da der Kunde sich zumindest gedanklich mit der Zufriedenheitsanfrage beschäftigen müsse. Selbst wenn sich der Arbeitsaufwand bei einer einzelnen E-Mail in Grenzen hält, sei mit Hinblick auf die billige, schnelle und arbeitssparende Versendungsmöglichkeit und der günstigen Werbewirkung damit zu rechnen, dass bei einer Zulässigkeit auch andere Mitbewerber zur Nachahmung veranlasst würden. So könne aus der bei isolierter Betrachtung womöglich noch unerheblichen Belästigung durch diesen Summeneffekt eine erhebliche Belästigung entstehen.

Zwar sei mit Hinblick auf § 7 Abs. 3 UWG auch eine Werbung für ähnliche Produkte oder Dienstleistungen ohne eine ausdrückliche Einwilligung möglich. Dann sei es aber jedenfalls erforderlich und auch zumutbar, dass der Werbende dem Betroffenen die Möglichkeit gibt, dem Erhalt von werblichen Inhalten vorab zu widersprechen.

Datenschutzauskunft-Zentrale – Warnung vor versteckten Vertragsangeboten

Von der Datenschutzauskunft-Zentrale (DAZ) werden aktuell Telefaxmitteilungen an eine Vielzahl von Unternehmen verschickt. Als Absender der Mitteilung ist „Zentrale Postverteilstelle, Lehnitzstrasse 11, 16515 Oranienburg“ angegeben. In dem Anschreiben wird der Empfänger dazu aufgefordert, das beigefügte Formular auszufüllen und unterschrieben innerhalb einer bestimmten Frist an die DAZ zurückzusenden. Das Anschreiben vermittelt den Eindruck, als sei die Rücksendung des unterschriebenen Faxes zwingend, um Anforderungen der Datenschutz-Grundverordnung zu erfüllen. Tatsächlich handelt es sich bei dem Fax jedoch um Werbung sowie um ein Angebot zum Abschluss eines Vertrages, für den mindestens drei Jahre lang jährlich 498,00 Euro zuzüglich Umsatzsteuer anfallen. Der Vertragsgegenstand ist ein „Leistungspaket Basisdatenschutz“, das mit verschiedenen Leistungen zur Umsetzung datenschutzrechtlicher Bestimmungen, wie beispielsweise der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, beworben wird. Eine Verpflichtung, auf das Schreiben zu reagieren oder es ausgefüllt zurückzusenden, besteht jedoch nicht. Auf entsprechende Mitteilung muss und sollte nicht reagiert werden. Bei der Prüfung vergleichbarer Schreiben bzw. Angebote stehen wir jederzeit gerne zur Verfügung. Das Konzept der DAZ ähnelt dem Vorgehen diverser Adressbuchverlagen, die vermeintliche Korrekturabzüge übersenden und bei deren Rücksendung ein kostenpflichtiger Vertrag zustande kommen soll.