Der externe Datenschutzbeauftragte als Rechtsdienstleister – Rechtliche Grenzen der Beratung

In der Praxis wird der externe Datenschutzbeauftragte, je nach Schwerunkt der Tätigkeit, in einem nicht unerheblichen Umfang mit rechtlichen Fragen seiner Auftraggeber konfrontiert und um Stellungnahmen und Rat gebeten. Für die außergerichtliche Rechtsberatung besteht nach deutschem Recht ein Verbot, es sei denn, dass ein Gesetz Rechtsdienstleistungen erlaubt. So enthält das Rechtsdienstleistungsgesetz (RDG) einen weitreichenden Erlaubnisvorbehalt (§§ 2, 3 und 5 RDG).  Dieser führt im Ergebnis dazu, dass außergerichtliche Rechtsdienstleistungen in der Regel der Anwaltschaft vorbehalten sind.

Das Problem

Fußend auf einer weiten Auslegung des RDG wird von einigen Autoren die Ansicht vertreten, dass die Prüfung datenschutzrechtlicher Fragen im Auftrag eines Kunden auch mit Geltung der Datenschutzgrundverordnung (DSGVO) ausschließlich der Anwaltschaft vorbehalten bleibe. (ausführlich Bergt in Kühling/Buchner, 2018, DS-GVO BDSG Art. 37 Rn. 59)

Rechtliche Beratung durch den nichtanwaltlichen Dienstleister habe damit zudem im Streitfall zwischen Dienstleiter und seinem Kunden schwerwiegende haftungsrechtliche Folgen.  Es drohten Verlust des Versicherungsschutzes sowie Rückzahlungsansprüche der geleisteten Honorarzahlungen auf Grund der Nichtigkeit des Vertrags  (§ 134 BGB). Des Weiteren wird angeführt, dass aus Gründen des Verbraucherschutzes und zur Qualitätssicherung bei der Rechtsberatung in datenschutzrechtlichen Fragen angesichts hoher Bußgelder bei Verstößen gegen die DSGVO ein „Anwaltszwang“  zu rechtfertigen sei.

Konsequenzen für den externen Datenschutzbeauftragten

Für nichtanwaltliche externe Datenschutzbeauftragte folgt aus der Argumentation zur Anwendbarkeit und einer weiten Auslegung der Regelungen des RDG, dass der Datenschutzbeauftragte seinen Kunden in datenschutzrechtlichen Fragen, wie zum Beispiel bei der Erstellung einer Datenschutzerklärung zur Website, nur bleibt, seinen Kunden anzuraten, die Prüfung der Rechtskonformität durch einen Anwalt vornehmen zu lassen.  

Denn nach der Rechtsprechung sind auch einfache Tätigkeiten, wie die Anpassung von Vertragsmustern an die Situation des Kunden außergerichtliche Rechtsdienstleistungen:

„Die rechtliche Prüfung des Einzelfalls wird aber nicht dadurch überflüssig, dass ein Musterschreiben für einen konkreten Fall angepasst wird.“ BGH, Urteil v. 12. September 2016, Az. I ZR 107/14


Datenschutzrechtliche Beratung als Rechtsdienstleistung

Die nach nationalem Recht konstituierte Erlaubnispflicht der Rechtsberatung besteht dann, wenn datenschutzrechtliche Beratung durch den externen Datenschutzbeauftragten eine Rechtsdienstleistung darstellt. Nach § 2 Abs. 1 RDG ist Rechtsdienstleistung „jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert.“

Fremde Angelegenheiten im Sinne des § 2 Abs. 1 RDG

Die Legitimation des Datenschutzbeauftragten als externer Dienstleister ergibt sich aus Art. 37 Abs. 6 DSGVO und aus § 5 Abs. 1 Nr. 5 BDSG. Danach ist die Aufgabenwahrnehmung sowohl im Beschäftigtenverhältnis als Angestellter wie auch als externe Leistung auf der Grundlage eines Dienstvertrages möglich. Im Gegensatz zum angestellten Datenschutzbeauftragten ist der externe Datenschutzbeauftragte bei der Beratung des Verantwortlichen in fremden Angelegenheiten, nämlich in denen seines Kunden, tätig.

Rechtsdienstleistung im Sinne des § 2 Abs. 1 RDG

Für eine Einordnung bestimmter Tätigkeiten als Rechtsdienstleistung im Einzelfall des externen Datenschutzbeauftragten spricht der Gesetzestext der DSGVO (Art. 39 Abs. 1 DSGVO sowie die Formulierungen des § 7 Abs. 1 BDSG neu):

„Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben: Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten“. Hervorhebungen durch den Autor.

Unschwer lässt sich erkennen, dass der externe Datenschutzbeauftragte mit Beantwortungen und Stellungnahmen zu rechtlichen Fragestellungen auch rechtliche Prüfungen (Subsumtionen) vornehmen muss. Diese erfolgen unter der besonderen Berücksichtigung der Situationen des Auftraggebers und werden daher im Einzelfall getätigt.

Im Zwischenergebnis ist somit festzuhalten, dass die Tätigkeit des externen Datenschutzbeauftragten zur datenschutzrechtlichen Beratung unter Anwendung des deutschen RDG erlaubnispflichtig ist. Es ist damit nach einer Rechtsgrundlage zur Erlaubnis für datenschutzrechtliche Beratungsleistungen des externen Datenschutzbeauftragten zu fragen.

Erlaubnis zur Rechtsberatung als Nebenleistung?

Das Rechtsdienstleistungsgesetz (RDG) erlaubt Rechtsdienstleistungen, wenn diese zur Ausübung der Haupttätigkeit erforderlich sind (§ 5 Abs. 1 RDG). Es erscheint zunächst praktikabel, die Legitimation datenschutzrechtlicher Beratungen des externen Datenschutzbeauftragten hier zu suchen. (zustimmend und ausführlich Kremer/Sander in Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, S. 102ff)

Dieser Lösungsweg „Beratung als Annexaufgabe“ ist angesichts der dem Datenschutzbeauftragten zugewiesenen Aufgaben sowie auch seiner täglichen Anforderungen in der Berufspraxis zweifelhaft. So sieht der Bundesfinanzhof (BFH, Urteil v. 5. Juni 2003, Az. IV R 34/01) den prägenden Umfang des Aufgabengebietes des Datenschutzbeauftragten in der juristischen Beratung in Fragen des Datenschutzrechtes. Nicht anders urteilt der Bundesgerichtshof mit jüngerer Rechtsprechung:

„Denn der Kern und der Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten liegen, wie der Anwaltsgerichtshof richtig gesehen hat, grundsätzlich in der Auslegung und Anwendung der datenschutzrechtlichen Vorgaben sowie in der Überwachung der Einhaltung dieser Vorgaben. Dies ergibt sich bereits aus dem Inhalt der Vorschriften nationalen Rechts und des Unionsrechts über die Aufgaben des Datenschutzbeauftragten.“ BGH, Urteil v. 15. Oktober 2018 , Az. AnwZ (Brfg) 20/18

Spezialgesetzliche Erlaubnisse – DSGVO und BDSG

Das Rechtsdienstleistungsgesetz (RDG) kann als allgemeines Gesetz zur Reglementierung von Rechtsdienstleistungen nach § 1 Abs. 3 RDG durch spezielle gesetzliche Regelungen verdrängt werden, wenn diese für den bestimmten Bereich eine Befugnis zur Rechtsberatung herstellen. „Regelungen in anderen Gesetzen über die Befugnis, Rechtsdienstleistungen zu erbringen, bleiben unberührt.“ Damit könnte die Erlaubnis zur entgeltlichen Rechtsberatung im Rahmen des Dienstvertrages aus den gesetzlichen Regelungen zum Datenschutzbeauftragten herzuleiten sein.

Gesetze im Sinne des § 1 Abs. 3 RDG sind in erster Linie gesetzliche Berufsordnungen, wie zum Beispiel die Bundesrechtsanwaltsordnung (BRAO). Für den externen Datenschutzbeauftragten existiert keine gesetzliche Berufsordnung, die Rechtsberatung erlaubt und regelt. Dennoch können die DSGVO sowie das BDSG „andere Gesetze“ im Sinne des § 1 Abs. 3 RDG sein. Dem Wortlaut nach genügen Regelungen, aus denen sich die Befugnis ergibt. Eine Herleitung der grundsätzlichen Befugnis kann damit auch aus Gesetzen erfolgen, deren Inhalt nicht primär der Berufsordnung dient. Im Ergebnis ist es damit auch richtig, wenn „die Beratungsbefugnisse nach Art. 38, 39 DSGVO als Erlaubnisnormen“ angesehen werden können. ( vgl. Frank R. Remmertz in BRAK Mitteilungen, 2018, 231 ff „Aktuelle Entwicklungen im RDG“)

Im Zwischenergebnis ist festzuhalten, dass aus den Regelungen zum Datenschutzbeauftragten der DSGVO und des BDSG die grundsätzliche Erlaubnis zur Rechtsberatung im Rahmen eines Dienstvertrages zur gesetzlichen Aufgabenerfüllung des externen Datenschutzbeauftragten herzuleiten ist. Unerheblich ist dabei, ob es sich bei der rechtlichen Beratung um eine Nebenleistung oder um eine Schwerpunkttätigkeit handelt.

Nationale Regelung zur Reichweite der Erlaubnis

Spezialgesetzliche Erlaubnisse finden wiederum ihre Grenzen in § 3 RDG:

„Die selbständige Erbringung außergerichtlicher Rechtsdienstleistungen ist nur in dem Umfang zulässig, in dem sie durch dieses Gesetz oder durch oder aufgrund anderer Gesetze erlaubt wird.“

Damit stellt sich die Frage, in welchem Umfang die DSGVO und das BDSG Rechtsberatung durch den externen Datenschutzbeauftragten erlauben.

Die DSGVO und das BDSG begrenzen Rechtsdienstleistungen des Datenschutzbeauftragten auf rechtliche Fragen zur Anwendung und Einhaltung der Datenschutzgesetze. Gegenstand und Thema der Beratungen können nur Fragen sein, die unmittelbar im Aufgabenbereich gemäß Art. 39 DSGVO des Datenschutzbeauftragten liegen. So ist auch eindeutig, dass beispielsweise der Datenschutzbeauftragte Mitarbeiterfotos seines Kunden auf Websites hinsichtlich der Einhaltung der DSGVO und des BDSG prüfen darf, nicht aber losgelöst davon die Frage, ob die urheberrechtlichen Nutzungsvereinbarungen rechtswirksam sind. Überschreitet der Datenschutzbeauftragte seine Befugnisse zur Rechtsberatung, verstößt er damit gegen das nationale Recht zur Reglementierung von Rechtsdienstleistungen entsprechend des RDG.

Welchen Personen erlauben die DSGVO und das BDSG Rechtsdienstleistungen?

Die DSGVO enthält wenig aussagekräftige Beschreibungen der Qualifikation des Datenschutzbeauftragten, die er zur Erfüllung seiner Aufgaben vorweisen muss.

Art. 37 Abs. 5 DSGVO: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Der deutsche Gesetzgeber hat die Formulierungen der DSGVO in das BDSG übernommen und bis auf das Erfordernis der Kenntnis von Verwaltungsvorschriften keine weiteren Anforderungen an die Qualifikation des (externen) Datenschutzbeauftragten statuiert.

Abstufungen der Erlaubnis über die Qualifikationen zum Schutz personenbezogener Daten

Mit der Formulierung des Erwägungsgrundes 97 zu Art. 37 DSGVO kann argumentiert werden, dass die Erlaubnis der Tätigkeit nicht zwangsläufig an Hochschulabschlüsse der Rechtswissenschaften und technischer Studiengänge gebunden ist:

„Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.“

Aus dem Erwägungsgrund 97 zur DSGVO lässt sich aber auch erkennen, dass Unterschiede zum erforderlichen Niveau des Fachwissens gemacht werden. An dieser Stelle ist auch zu diskutieren, ob die deutsche Praxis mit sogenannten Zertifikaten zum Nachweis der Fachkunde als Datenschutzbeauftragter den Anforderungen an das Niveau zum Fachwissen entspricht und der im Sinne der DSGVO Verantwortliche seinen Pflichten aus der DSGVO ausreichend nachkommt, wenn er Rechtsberatungen durch juristisch wenig sachkundige Datenschutzbeauftragte „einkauft“.

Aus dem Blickwinkel des Betroffenenschutzes  und des Verantwortlichen als Verbraucher ist auch die Argumentation zu verstehen, dass bei Beratungen „in der Tiefe“ die Befugnis des nicht zum Anwalt qualifizierten externen Datenschutzbeauftragten überschritten wird. (vgl. Frank R. Remmertz in BRAK Mitteilungen, 2018, 231 ff „Aktuelle Entwicklungen im RDG“. Der Autor gesteht dem nichtanwaltlichen externen DSB begrenzt auf kleine Unternehmen mit einfachen Fragestellungen eine Erlaubnis zur Rechtsberatung aus der DSGVO zu.)

Es lässt sich auch aus Art. 37 Abs. 5 DSGVO heraus begründen, dass bei schwierigen rechtlichen Sachverhalten hohes juristisches Fachwissen Voraussetzung zum Schutz der personenbezogenen Daten Betroffener ist. Aus dem Gedanken der Abstufung der Qualifikation entsprechend des Erwägungsgrundes 97 zur DSGVO nach Schwierigkeit und Umfang der Vorgänge kann auch geschlossen werden, dass ein externer Datenschutzbeauftragter bei nicht ausreichender Qualifikation seine aus der DSGVO bestehenden Befugnisse überschreitet. In diesem Falle wäre seine Tätigkeit nicht mehr durch die DSGVO als Spezialgesetz gedeckt. Berät der externe Datenschutzbeauftragte ohne ausreichende Rechtskenntnisse, kommt damit auch ein Verstoß gegen das Rechtsdienstleistungsgesetz in Betracht.  

Anforderungen an die berufliche Qualifikation und der „Anwaltszwang“

Mit dem der DSGVO nicht fremden Grundgedanken der Differenzierung, dass schwierige Sachverhalte eine höhere berufliche Qualifikation des Datenschutzbeauftragten erfordern als einfache Vorgänge, stellt sich die Frage, worin entsprechend der DSGVO die Qualifikation des rechtsberatenden externen Datenschutzbeauftragten bei komplexen Rechtsfragen bestehen muss.

Die nach der Ansicht einiger Autoren sowie auch eines Kammergerichtes geforderte Qualifikation zur Anwaltszulassung (Volljurist) des externen Datenschutzbeauftragten im Falle der Rechtsberatung zu komplexen Sachverhalten erscheint unter dem Gesichtspunkt Verbraucherschutz sowie auch mit den Grundsätzen zur Einschränkbarkeit der Berufsfreiheit (Art. 12 GG) unverhältnismäßig: Der externe Datenschutzbeauftragte ist bei der Beratung in datenschutzrechtlichen Fragen außergerichtlicher Rechtsdienstleister, der nicht zwingend das akademisches Wissen und die berufliche Praxis (Referendariat) des 2. Staatsexamens benötigt. Denn in prozessualen Fragen, die über den Umgang mit Aufsichtsbehörden hinausgehen, darf der externe Datenschutzbeauftragte eben nicht mehr tätig sein (siehe oben „Reichweite der Erlaubnis“). Es ist damit auch nicht zu rechtfertigen, dass nicht einmal ein Diplom-Jurist die rechtsberatenden Funktionen des externen Datenschutzbeauftragten ausüben darf.

Anwendungsvorrang der DSGVO

Fraglich ist auch, ob der nationale Gesetzgeber die Regelungskompetenz der subjektiven Berufszugangsvoraussetzungen zur inzwischen als eigenständigen Beruf anerkannten Tätigkeit des Datenschutzbeauftragten besitzt.  

Die unbestimmte Formulierung der erforderlichen Qualifikation des Datenschutzbeauftragten im Gesetzestext lässt vermuten, dass damit nur Mindestanforderungen beschrieben sind und den einzelnen Staaten eine Regelungskompetenz zur Berufszulassung zukommt.  Dem ist nicht zuzustimmen. Denn anders als Art. 37 Abs. 4 DSGVO „Besondere Pflicht zur Benennung eines Datenschutzbeauftragten“ enthält Art. 37 Abs. 5 DSGVO (Voraussetzungen zur Person des Datenschutzbeauftragten) keine Öffnungsklausel, die Konkretisierungen, Ergänzungen oder Modifikationen der subjektiven Zugangsvoraussetzungen zur Tätigkeit des Datenschutzbeauftragten durch nationale Gesetzgeber erlauben.

Ergebnis

Der externe Datenschutzbeauftragte erbringt im Rahmen seiner Aufgaben Rechtsdienstleistungen. Diese stehen nicht im Widerspruch zum Rechtsdienstleistungsgesetz, da die DSGVO eine spezialgesetzliche Erlaubnis im Sinne des RDG darstellt. Unerheblich für die spezialgesetzliche Erlaubnis ist, ob Rechtsberatung als Nebenleistung oder als Kerntätigkeit eingestuft wird.

Regelungen zur beruflichen Qualifikation können auf Grund des Anwendungsvorranges der DSGVO nicht durch nationale Gesetze vorgenommen werden. Das Erfordernis eines hohen juristischen Wissenstandes bei schwierigen Rechtsfragen folgt aus dem Gedanken des Betroffenenschutzes der DSGVO. Eine Einschränkung der Beratungstätigkeit für bestimmte Datenschutzbeauftragte in bestimmten Angelegenheiten kann darüber gerechtfertigt werden.  Jedoch lässt das Erfordernis einer Qualifikation zum Rechtsanwalt sich nicht als generelle Berufszugangsregel und auch nicht als Regelung für Einzelfälle der Beratung aus dem Verbraucherschutz herleiten. Ebenso liegt in der Hürde „Qualifikation zum Rechtsanwalt“ eine unverhältnismäßig Einschränkung der Berufsfreiheit (Art. 12 GG) eines anerkannten und eigenständigen Berufes.  

Ausblick

Eine genauere Beschreibung der Qualifikationen des Datenschutzbeauftragten, über die bisher bestehenden Formulierungen hinaus, ist zur Rechtssicherheit für Auftraggeber und Dienstleister wünschenswert.  Diese Vorgaben könnten europarechtlich zum Gemeinschaftsgut Verbraucherschutz erfolgen.

Externe Datenschutzbeauftragte, die nicht über eine Anwaltsqualifikation verfügen, können derzeit nicht darauf hoffen, dass die deutsche Rechtsprechung für diese große Gruppe eines jungen Berufes günstige Entscheidungen treffen wird.

„Aktuell setzen sich die Kammern und Gerichte sogar über die seit den Masterpatententscheidungen des EuGH und des BVerfG zum Rechtsvorgänger – dem RBerG – geltenden Grenzen einer Erlaubnispflicht für Rechtsdienstleistungen hinweg.“ Kleine-Cosack in AnwBl Online 2019, S. 6 ff, „Anfang vom Ende des Anwaltsmonopols des RDG“

Es bleibt der leider unbefriedigende Schlusssatz, wie er so ähnlich öfter ausgesprochen wird, wenn es um ungeklärte Fragen zur DSGVO geht: Wahrscheinlich ist eine Rechtssicherheit schaffende Klärung erst durch ein Urteil des EuGH herbeizuführen.

Christian W. Eggers, 18. September 2019

Der Autor ist „nichtanwaltlicher“ zertifizierter externer Datenschutzbeauftragter und als Medienrechtsdozent tätig.

Das Recht zum Teilen – Datenschutz innerhalb sozialer Netzwerke

Letzte Aktualisierung dieses Artikels: 1. November 2019

In diesem Artikel geht es um die Frage, ob das Teilen von Personenfotos innerhalb sozialer Netzwerke einer Berechtigung der Nutzer bedarf, wann diese Berechtigung bestehen kann und wie in der Praxis die Wahrung der Persönlichkeitsrechte beim Teilen von Ursprungs-Postings, die Personen erkennbar zeigen, eingehalten werden können.

Zurechenbarkeit und Verantwortlichkeit

Über die Berechtigung zum Teilen von Mitglieder-Inhalten innerhalb eines sozialen Netzwerkes werden sich wohl nur wenige Nutzer den Kopf zerbrechen. „Wenn zigfach andere das Foto schon teilen, wieso nicht dann ich auch?“ Handelt es sich bei den Inhalten um Personenfotos und damit um personenbezogene Informationen, stellt sich für Social Media Manager der Presse- und Öffentlichkeitsarbeit der Behörden, Vereine und Unternehmen die Frage nach einer Berechtigung zum Teilen schon aus Gründen der Professionalität. Schließlich geht es darum, betroffene Personen vor eventuellem Schaden zu bewahren und die eigene Organisation nicht mit übereilten Interaktionen Sanktionen auszusetzen.

Zur Verdeutlichung dient als Beispiel das Foto-Posting (Ausschnitt des Screenshots, links, Foto des „Nacktfahrers“ hier unkenntlich gemacht) eines unbekleideten Motorroller-Fahrers. Eine auf Twitter vertretene Polizeipressestelle veröffentlichte an einem sehr heißen Tag des Sommers 2019 zwei in einen Tweet eingebundene Fotos eines Motorrollerfahrers. Dieser war bis auf den vorschriftsmäßigen Helm völlig unbekleidet. Den Angaben zum Foto zufolge, soll der zur Rede gestellte Fahrer den Polizisten mitgeteilt haben, dass es eben nun einmal sehr heiß sei. Twitter-Nutzer verbreiteten das Ursprungs-Posting der Polizeipressestelle einige tausend Mal.

Teilen als rechtserhebliche Verbreitungshandlung

Interaktionen mit Inhalten anderer Nutzer innerhalb eines sozialen Netzwerkes führen zu einer Multiplikation der Ursprungsbeiträge. Werden Personenfotos geteilt, „vermehren“ sich diese Fotos in den Timelines der teilenden Account-Inhaber. Es stellt sich damit die Frage, ob und inwieweit aktive Einflussnahme auf die Verbreitung von Ursprungsbeiträgen durch Teilen dem Teilenden rechtlich zuzurechnen ist.

Technische Verbreitung innerhalb des Netzwerkes

Unschwer lässt sich feststellen, dass ein Posting durch Interaktionen der Nutzer einem erweiterten Kreis der Nutzer „angezeigt“ wird. Sogar das Liken führt zur Mitteilung „xyz gefällt das“ und damit zur erneuten Wiedergabe des gelikten Inhaltes in den Timelines der vernetzten Accounts.

Eindeutig als vom Nutzer initiierte Verbreitung eines Personenfotos lässt sich das Teilen bzw. Retweeten einordnen. Denn das Foto-Posting wird mit dem Teilen in der Timeline des teilenden Account-Inhabers wiedergegeben und somit durch die Teilen-Handlung den Abonnenten (Followern) sowie auch externen Besuchern des Accounts gezeigt.

Rechtliche Zurechenbarkeit der Verbreitung innerhalb des Netzwerkes

Wurde das Foto unter Verletzung der Persönlichkeitsrechte der gezeigten Personen eingestellt, lässt sich begründen, dass sowohl das ursprüngliche Hochladen wie gerade auch die Verbreitung durch Nutzer des Netzwerkes eine Vermehrung rechtswidriger Inhalte bewirken. Denn die Multiplikation durch Teilen erfolgt in dem beherrschten Bereich des teilenden Account-Inhabers. Er bestimmt, zumindest solange der Ursprungs-Tweet verfügbar ist, darüber, ob und welche fremden Inhalte er seinen Followern zeigt. Somit kann ein Account-Inhaber, der Beiträge teilt, ebenfalls als ein Anbieter derselben Inhalte angesehen werden, die ursprünglich durch Hochladen des Erstanbieters eingestellt wurden.

Zurechenbarkeit über die Störer- und Verbreiterhaftung

Nach den Grundsätzen der Verbreiter- und Störerhaftung kann ein Account-Inhaber auch grundsätzlich auf Unterlassung in Anspruch genommen werden, wenn die geteilten Inhalte Rechtsgutverletzungen bewirken. Zwar setzt der Einsteller eines Inhaltes die Kette von Verbreitungshandlungen in Gang und schafft damit erst die Voraussetzung zur Verbreitung innerhalb des Netzwerkes, aber dieses bedeutet nicht, dass dem Teilenden seine Folgeverbreitung nicht ebenfalls als seine eigene Handlung einer Rechtsverletzung zurechenbar sein kann. (BGH, Urteil vom 9. April 2019 – VI ZR 89/18 zur Zurechenbarkeit und Haftung bei Folgeverbreitungen durch Dritte; hier aber durch Hochladen aus externer Quelle. Eine Rechtsprechung zum Teilen personenbezogener Daten innerhalb eines Netzwerkes nach Geltung der DSGVO ist dem Autor bisher nicht bekannt.)

„Zu eigen machen“ fremder Inhalte

Das OLG Dresden (Urteil vom 07.02.2017 – 4 O 1419/16) geht davon aus, dass das bloße Teilen eines die Persönlichkeitsrechte verletzenden Inhalts keine Verletzungshandlung darstellt. Erst wenn sich der Teilende den Inhalt durch Kommentieren „zu eigen macht“, so dass das Posting als eigener Beitrag erscheint, könne dem Teilenden das Verbreiten zugerechnet werden. Dieses sei dann der Fall, wenn es an einer hinreichenden Distanzierung zu den Inhalten des Dritten fehle, weil der Teilende eine positve Wertung zu dem Inhalt (z. B. eine Leseempfehlung) abgibt (so auch das OLG Frankfurt, Urteil vom 26. November 2015 – 16 U 64/15.)

Zurechenbarkeit nach DSGVO

Personenfotos, die Personen erkennbar zeigen, sind als personenbezogene Daten im Verarbeitungsprozess  eines Netzwerkes Gegenstand des Datenschutzes. Handelt es sich um die Verbreitung personenbezogener Daten durch Teilen, kann auch eine datenschutzrechtliche Verantwortlichkeit des Account-Inhabers angenommen werden. Denn auch wenn sich der Account-Inhaber einer fremden technischen Infrastruktur bedient, bestimmt er maßgeblich über die Zwecke, die Art und den Umfang der Datenverarbeitungen innerhalb seines Accounts. (Mit ausführlicher Begründung: Golland, Datenverarbeitung in sozialen Netzwerken, S. 116 ff)

Im Ergebnis ist ein Account-Inhaber, dessen Account unter anderem auch beruflichen Zwecken dient, zur Einhaltung datenschutzrechtlicher Pflichten entsprechend der DSGVO verpflichtet.

Rechtsgrundlagen zum Teilen innerhalb eines sozialen Netzwerkes

Entsprechend des aus Art. 6 Abs. 1 DSGVO folgenden Grundsatzes, dass keine Datenverarbeitung ohne eine Rechtsgrundlage erfolgen darf („Verbot mit Erlaubnisvorbehalt“), ist vor der „Verbreitungshandlung Teilen“ eines Fotopostings nach einer Berechtigung zum Teilen des jeweiligen Postings zu suchen.

Mögliche Rechtsgrundlagen zum Teilen von Personenfotos als personenbezogene Daten innerhalb eines sozialen Netzwerkes können sein

  • die Einwilligung eines Betroffenen sein Bild einzustellen und es Nutzern zum Teilen zur Verfügung zu stellen (Art. 6 Abs. 1 Buchst. a DSGVO)
  • ein Vertrag im Sinne der DSGVO, aus dem sich das Teilen durch Nutzer legitimieren lässt (Art. 6 Abs. 1 Buchst. b DSGVO)
  • die legitimen „Interessen“ des Teilenden als Verantwortlichem der Verbreitung (Datenverarbeitung), wenn diese die  Interessen des Abgebildeten (Wahrung seiner Persönlichkeitsrechte, Recht auf informationelle Selbstbestimmung) überwiegen (Art. 6 Abs. 1 Buchst. f DSGVO) „berechtigte Interessen“ und für öffentliche Stellen Art. 6 Abs. 1 Buchst. e DSGVO „öffentliches Interesse“)

Die Berechtigungen sind mit Blick auf die besonderen Umstände der Datenverarbeitungen durch Nutzerverhalten und den damit verbundenen Datenverarbeitungen zu prüfen.

Besonderheit der sozialen Netzwerke „unbestimmter Kreis der Verantwortlichen“

Anders als bei der Veröffentlichung auf einer Website müssen die jeweiligen Rechtsgrundlagen zur Datenverarbeitung (Verbreitung des Personenfotos) für eine Vielzahl von Account-Inhabern als Verantwortliche bestehen. Der Kreis der möglichen Datenverarbeiter eines „Millionen-Netzwerkes“ ist für den Betroffenen unübersehbar und daher anonym. Auch wenn die Verarbeiter als „Kreis aller Account-Inhaber des Netzwerkes Twitter“ benennbar sind, ist dieser Kreis nicht statisch, sondern durch ständigen Wechsel der verarbeitenden Mitglieder bestimmt.  

Besonderheit der sozialen Netzwerke „unvorhersehbarer Kontext“

Eine weitere Besonderheit ist, dass der Betroffene auch nicht wissen kann, ob sein Foto kommentiert wird und mit welchem Inhalt es geteilt wird. So ist es schwer vorstellbar, dass etwa eine Einwilligung zum Einstellen auch die Einwilligung zur Verbreitung des Fotos unter für den Betroffenen ungünstigen Kommentaren einschließt. Wird der Kontext des Ursprungs-Postings ohne Zutun des Betroffenen beliebig verändert, ändert sich auch der Zweck der Datenverarbeitung. Auch hierfür bedarf es für den teilenden Nutzer als Verantwortlichem einer Rechtsgrundlage. Diese lässt sich nicht aus der einfachen Tatsache ableiten, dass ein Ursprungs-Posting etwa mit der Zustimmung des Abgebildeten in ein soziales Netzwerk eingestellt wurde.

Funktion von sozialen Netzwerken

Nicht unwesentlich für die Beurteilung der erlaubten Datenverarbeitungen zum Teilen fremder personenbezogener Daten ist der Sinn eines Netzwerkes. Nach bisherigem Verständnis und auch nach dem bekundeten Verständnis der Netzwerkbetreiber bietet die Plattform die Möglichkeit zu Informationsaustausch und Beziehungsaufbau der Mitglieder untereinander. Dieser Gedanke findet sich auch in den Nutzungsbedingungen (AGB) der großen Netzwerke wieder und er ist die Grundlage der Mitgliedschaft in sozialen Netzwerken.  

Es liegt daher nahe, zwischen den Aktionen von Mitgliedern zu unterscheiden: Handelt es sich um eigene Daten eines Mitgliedes (etwa ein „Selfie“), welches durch weitere Mitglieder geteilt wird, bestehen andere rechtliche Bedingungen als wenn Daten von Nicht-Mitgliedern verbreitet werden.

Fall 1: Rechtsgrundlagen zum Teilen von Mitglieder-Personenfotos durch Mitglieder

Eine häufige Konstellation des Teilens von personenbezogenen Daten innerhalb eines Netzwerkes besteht in der Verbreitung von Informationen, die den Nutzer selbst betreffen und die er selbst eingestellt hat.

Beispiel: X fertigt von sich ein „Selfie“ an und veröffentlicht sein Foto auf Twitter. Hierzu bedarf es keiner Rechtsgrundlage. Denn es handelt sich um die eigenen personenbezogenen Daten des Datenverarbeiters X. Twitter-Mitglieder wiederum benötigen zum Teilen des „Selfies“ eine Berechtigung. Diese ist bei Accounts, die nicht ausschließlich privaten Zwecken dienen, in der DSGVO zu suchen.

Zum Teilen fremder Inhalte mit Personenbezug durch Mitglierder, deren Account nicht ausschließlich privaten Zwecken dient, bedarf es einer Rechtgrundlage gemäß Art. 6 Abs. 1 DSGVO. In Betracht kommen vertragliche Berechtigungen, die Einwilligung sowie die „berechtigten Interessen“ bzw. für öffentliche Stellen das „öffentliche Interesse“ des Teilenden.

Rechtsgrundlage Vertrag zum Teilen der personenbezogenen Daten des Nutzers

Soweit Mitglieder eines Netzwerkes untereinander ihre eigenen personenbezogenen Daten teilen, könnte aus der gemeinsamen Stellung der Vertragspartnerschaft mit dem jeweiligen Netzwerkbetreiber ein vertragliches Recht zur Datenverarbeitung von personenbezogenen Mitgliederinformationen durch Teilen anzunehmen sein. Ein Vertrag im Sinne der DSGVO kann auch dann vorliegen, wenn eine Dienstleistung uentgeltlich in Anspruch genommen wird. Ein Vertrag gemäß Art. 6 Abs. 1 Buchst. b DSGVO liegt jedenfalls dann vor, wenn Dienstanbieter als Gegenleistung Daten der Nutzer erheben und weiterverbreiten können, so dass dem Nutzer z. B. bestimmte Werbungen für Produkte und Dienstleistungen angezeigt werden können. (Kühling/Buchner, 2018, DS-GVO BDSG Art. 6 Rn. 60)

Jedoch liegen keine vertraglichen Regelungen zwischen den einzelnen Nutzern eines Netzwerkes untereinander vor, so dass diese daraus berechtigt sein können, die personenbezogenen Inhalte der Postings im Rahmen einer Vertragserfüllung zu verarbeiten.

Denkbar ist aber, dass der Nutzungsvertrag der einzelnen Mitglieder mit dem Netzwerbetreiber eine wirksame vertragliche Berechtigung zur Verbreitung von personenbezogenen Inhalten der Mitglieder untereinander und innerhalb des Netzwerks herstellt.

Dieses wäre dann der Fall, wenn

  • die Möglichkeit des Teilens von Daten ein notwendiger Bestandteil zur Durchführung des Vertrages mit dem Netzwerkbetreiber ist und
  • eine wirksame Berechtigungskette zur Verbreitung zwischen Einstellenden und dem Teilenden  über den Netzwerkbetreiber des Netzwerkes rechtswirksam hergestellt werden kann.    

Teilen als vertragliche Leistung: Art. 6 Abs. 1 Buchst. b DSGVO erlaubt Datenverarbeitungen im Rahmen eines Vertrags dann, wenn diese Daten zur Durchführung des Vertrags nicht nur zweckdienlich, sondern auch notwendig sind. In diesem Sinne notwendig sind zum Beispiel die Daten, die bei der Registrierung zur Begründung des Dienstleister-Nutzer-Vertrags allein zur technischen Realisierung des Accounts erforderlich sind.

Streng genommen ist die Bereitstellung von Verarbeitungsoptionen „Teilen, Liken, Kommentieren“ nicht notwendig zur Inanspruchnahme des Dienstes. Sofern sich ein Nutzer nur auf das Mitlesen beschränken will. Sinn und Zweck von sozialen Netzwerken ist jedoch gerade die vernetzte Kommunikation durch Verbreiten und Kommentieren. Insofern ist die Bereitstellung von Interaktionsmöglichkeiten durch Teilen wesentlich zur Erfüllung des Vertragszwecks. Bedient sich also ein Nutzer der Teilen-Funktion, erfolgen die damit verbundenen Datenverarbeitungen auf der Rechtsgrundlage Vertrag gemäß Art. 6 Buchst. b DSGVO.    

Die Rechtekette zur rechtmäßigen Verbreitung durch Teilen? Besteht ein Vertrag zwischen Dienstanbieter und den Nutzern, ist es auch denkbar, dass Nutzer im Wege einer vertraglichen Berechtigungskette (auch Erlaubniskette oder Lizenzkette) über den Dienstbetreiber berechtigt werden, Daten einzelner Netzwerkmitglieder im Rahmen des Vertrages mit dem Dienstleister innerhalb des Netzwerkes durch Teilen zu verbreiten. In der Konsequenz könnte der Nutzer das Teilen personenbezogener Nutzerdaten dann über seinen Vertrag zur Nutzung des Netzwerkes rechtfertigen.

In einem Netzwerk könnte das so aussehen: Das eigene Bildnis („Selfie“) wird nach den vom Account-Inhaber akzeptierten „Spielregeln“ des Netzwerkbetreibers in das Netzwerk hochgeladen. Dabei wird dem Netzbetreiber nicht nur eine urheberrechtliche Lizenz zur Weiterlizenzierung der Nutzer zur Verbreitung eingeräumt (Twitter AGB Ziffer 3), sondern auch das Recht der Verarbeitung des personenbezogenen Datums „Bildnis“ zur Bereitstellung für Nutzerinteraktionen im Rahmen der Nutzungsbedingungen des Netzwerkes eingeräumt. Die Reichweite der Verarbeitungen des Personenfotos durch Netzwerkbetreiber und Nutzer richtet sich dabei nach den Geschäftsbedingungen der Plattform. So wäre die Verbreitung über die technischen Funktionen der Plattform legitimiert, ein Herunterladen des Fotos zur anschließenden Veröffentlichung in einem anderen Netzwerk dann nicht mehr.

Hintergrund „Berechtigungsketten“: Nicht zu verwechseln ist die zur wirtschaftlichen Betätigung der Nutzungsrechteeinräumung am eigenen Abbild mit einer rechtlich nicht möglichen Übertragung des Rechts am Bild als Persönlichkeitsrecht. Als vermögenswerter Bestandteil des Rechts am eigenen Bild ist jedoch die Lizenzierung zur Unterlizenzierung weiterer Nutzer eines Personenfotos nicht unbekannt oder gar unzulässig. Diese Lizenzierungen zur Nutzung eines „Bildnis“ (welches ein personenbezogenes Datum darstellt) sind übliche Praxis im Bereich der Model-Fotografie der Stockfotoagenturen sowie auch bei Filmproduktionen mit Schauspielern. (Übersicht der Befürworter: Heidelberger Kommentar, 2018, § 22 KUG Rn. 28) Aus datenschutzrechtlicher Sicht ist die Konstruktion schwer zu rechtfertigen, wenn dem Betroffenen der Kreis der Dritten nicht bekannt ist und dieser zudem auch beliebig groß sein kann. Nun kann es jedoch nicht Sinn des Datenschutzes sein, das private Recht einer legitimen wirtschaftlichen Tätigkeit zur Selbstvermarktung des eigenen Abbildes zu ersticken und den Vermarkter mit seinem Recht auf informationelle Selbstbestimmung vor sich selbst zu schützen.

Aus datenschutzrechtlicher Sicht sprechen zahlreiche Gründe gegen eine wirksame Berechtigung zum Teilen personenbezogener Daten der Mitglieder eines Netzwerks im Wege einer Berechtigungskette.

Unabhängig von der Frage einer möglichen Zulässigkeit einer Berechtigungskette durch Geschäftsbedingungen zur Verarbeitung personenbezogener Daten in sozialen Netzwerken, muss sich diese Konstruktion auch in der Vertragsgestaltung des Netzwerkes wiederfinden. Die Vertragsbedingungen der sozialen Netzwerke enthalten zur Rechteeinräumung über die urheberrechtlichen Nutzungsrechte (siehe AGB Twitter Ziffer 3) hinaus kaum Regelungen. Es obliegt dem Nutzer zwar Inhalte einzustellen, die frei von Rechten Dritter sind und die nicht gegen datenschutzrechtliche Vorgaben verstoßen, aber von einer Unterlizenzierung zur Nutzung von Personenfotos und anderen personenbezogenen Daten zugunsten der Mitglieder wird nicht gesprochen. Im Gegensatz zu älteren Formulierungen der Twitter AGB enthalten diese inzwischen keine Hinweise mehr, die das Verbreiten von Inhalten innerhalb der Plattform ausdrücklich unter „Ihre Lizenz zur Nutzung der Dienste“ erwähnt. Vielmehr wird in Ziffer 3 der AGB ausdrücklich auf eine Nutzung „auf eigene Gefahr“ verwiesen.

Es ist daher davon auszugehen, dass der Teilende seine Berechtigung zur Verbreitung von Personenfotos, die den Nutzer zeigen und die der Nutzer selber eingestellt hat, nicht auf den Vertrag mit dem jeweiligen Netzwerkbetreiber gemäß der Rechtsgrundlage Art. 6 Abs. 1 Buchst. b DSGVO stützen kann.

Rechtsgrundlage Einwilligung zum Teilen der personenbezogenen Daten des Nutzers

Naheliegend ist, dass im Beispiel des „Selfies“ der einstellende Nutzer dem Kreis der Mitglieder des Netzwerkes eine Einwilligung gemäß Art. 6 Abs. 1 Buchst. a DSGVO zur Verbreitung des Personenfotos erteilt hat.

Wer ein Foto von sich in ein Netzwerk einstellt, weiß, dass Nutzer das Bild teilen und kommentieren können. Der einstellende Nutzer verfügt über ausreichende Kenntnisse über die Wege und Zwecke der Datenverarbeitungen „seines“ Netzwerkes, so dass die Notwendigkeit der Informationspflichten durch Teilende (Art. 13 und Art. 14 DSGVO) entfallen dürfen. (Golland, Datenverarbeitung in sozialen Netzwerken, S. 222).

Dennoch bestehen gegen die Annahme einer wirksamen Einwilligung des „Selfie-Fotografen“ Bedenken: Der Einstellende kann nicht wissen, in welchem Kontext sein Bild erscheint. Nicht selten werden auch „Selfies“ mit Kommentaren versehen, die mehr als ungünstig für den Betroffenen sind oder die den Betroffenen für völlig neue Zusammenhänge instrumentalisieren. Das Erfordernis der Zweckgebundenheit einer Einwilligung lässt sich schwer aus der ohnehin pauschalen Einwilligung „zur Unterhaltung der Nutzer“ herleiten. Eine wirksame Einwilligung zur Weiterverbreitung des „Selfies“ kann sich nur auf das einfache Teilen beziehen. Nicht jedoch auf unbestimmte Zusammenhänge, die der Einstellende zudem weder alle kennen noch in irgendeiner Weise bestimmen kann.

Rechtsgrundlage „berechtigte Interessen“ zum Teilen der personenbezogenen Daten des Nutzers

Der Nutzer eines sozialen Netzwerkes kann rechtmäßig fremde personenbezogene Daten dann teilen, wenn seine Interessen die des Betroffenen überwiegen. Hier bedarf es dann im Rahmen des Art. 6 Abs. Buchst. f DSGVO einer Rechtsgüterabwägung zwischen den Interessen des Account-Inhabers, der sein eigenes Foto eingestellt hat, und den Interessen des Account-Inhabers, der das Foto durch Teilen verbreiten will. In Falle des Mitgliedes eines Netzwerkes, welches sein eigenes Foto eingestellt hat, ist in die Abwägung ist einzubeziehen, dass der Betroffene sein Foto selber zum Teilen bereitgestellt hat. Ein einfaches Teilen ohne dass ein neuer Verbreitungskontext durch kommentieren hergestellt wird, ist damit in der Regel auf der Rechtsgrundlage des Art. 6 Abs. 1 Buchst. f DSGVO unproblematisch.

Wird das vom Mitglied eingestellte Foto aus dem Kontext des Ursprungs-Postings gelöst, muss der Teilende zuvor genau prüfen, ob seine Interessen die Interessen (Persönlichkeitsechte, hier Wahrung des Rechts auf informationelle Selbstbestimmung) des Betroffenen überwiegen. Hierbei ist auf den konkreten Einzelfall abzustellen.

Beispiel: Ein Schüler nimmt an einer Fridays for Future Veranstaltung teil und postet ein Foto, das ihn vor einem Protestplakat zeigt, auf dem sich zwei Rechtschreibfehler befinden. Ein als Lektoratsbüro registrierter Twitter-Nutzer teilt das Foto mit dem Kommentar „Schule schwänzen ist in Ordnung! Aber mit uns wäre das nicht passiert.“ Der Teilende kann sich auf seine Meinungsfreiheit sowie auf wirtschaftliche Betätigungen als seine berechtigten Interessen dann wirksam berufen, wenn die Verbreitung des Fotos mit Kommentar die Interessen des Jugendlichen überwiegen. Hier wird der Tweet des Schülers jedoch nicht zur Ausübung der Meinungsfreiheit verbreitet, sondern zu werblichen Zwecken genutzt. Die werbliche Nutzung (ohne Zustimmung des Abgebildeten) ist ein Fall der „berechtigten Interessen“ des Abgebildeten, die nach der Rechtsprechung zum § 23 Abs. 2 KUG in der Regel die Befugnisse des Verbreitenden überwiegen. Es wäre eine Einwilligung erforderlich. 

Fall 2: Rechtsgrundlagen zum Teilen von fremden Personenfotos

Eine häufige Konstellation der Verbreitung von Personenfotos ist die, dass ein Account-Inhaber fremde Personen fotografiert und postet. Im Beispiel „Nacktfahrer“ hat der Betroffene sein Foto nicht selber als Mitglied des sozialen Netzwerkes Twitter eingestellt. Zur Weiterverbreitung des Fotos durch Teilen bedarf es wiederum einer Rechtsgrundlage entsprechend Art. 6 Abs. 1 DSGVO.

Teilen auf Grund vertraglicher Berechtigungen

Ein vertragliches Recht zum Teilen fremder personenbezogener Daten lässt sich, wie oben dargelegt, für den Teilenden nicht aus dem Nutzungsvertrag mit dem Dienstleister herstellen.

Hintergrund Model-Vertrag: Ein vertragliches Recht zum Teilen kann jedoch aus einem Model-Vertrag mit Vergütung der Einräumung der Veröffentlichungsrechte aus dem „Recht am Bild“ im Wege einer Lizenzkette bestehen. Dann müsste der „Nacktfahrer“ als honoriertes Model von der Polizei angeheuert worden sein und sich die vertragliche vereinbarte Verwertung seines Abbildes ausdrücklich auf den Nutzerkreis der Twitter-Account-Inhaber erstrecken. Davon ist wohl hier schwerlich auszugehen. Dennoch sind diese Konstellationen im Bereich der professionellen Fotografie zur Verwertung von Model- und Schauspielerfotos in sozialen Netzwerken nicht unüblich.

Teilen auf Grund einer Einwilligung – Art. 6 Abs. 1 Buchst. a DSGVO

Wurde der unbekleidete Fahrer von der Polizeipressestelle mit seiner Zustimmung in das Netzwerk Twitter eingestellt, könnte dieses eine Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a DSGVO erfüllen und den Nutzerkreis als Berechtigte einschließen.

Wie bereits im Falle der Einwilligung des „Selfie-Fotografen“ als Account-Inhaber und Einstellender beschrieben, sind die Anforderungen zur rechtswirksamen Einwilligung (Art. 6 Abs. 1 Buchst. a DSGVO, Art. 7 DSGVO) zum Schutz des Einwilligenden hoch. Zum einen bestehen Bedenken, ob ein nicht homogener und wechselnder Personenkreis mit unterschiedlichen Zweckrichtungen der Datenverarbeitungen pauschal berechtigt werden kann. Des Weiteren ist zu bedenken, dass ein „netzwerkferner“ Betroffener kaum Kenntnisse über die Wege der Datenverarbeitungen haben kann.

Im Falle des „Nacktfahrers“ ist davon auszugehen, dass dieser zwar eine Zustimmung zum Einstellen in das Netzwerk erteilt hat, aber diese Zustimmung nicht den Anforderungen einer rechtsgültigen Einwilligung entspricht. Auch wenn man entgegen der hier vertretenen Ansicht davon ausgeht, dass die Einwilligung das Teilen durch weitere Account-Inhaber einschließt und diese damit zum Kreis der Berechtigten werden können, bestehen Zweifel.    

Es stellt sich die Frage, ob die Einwilligung das Erfordernis der Freiwilligkeit erfüllen konnte. Schließlich wurde der „Nacktfahrer“ im Rahmen einer polizeilichen Verkehrskontrolle fotografiert, so dass eine Zustimmung des Kontrollierten sicher nicht unbefangen erfolgen konnte.   

Teilen auf Grund „berechtigter Interessen“ – Art. 6 Abs. 1 Buchst. f DSGVO

Denkbar ist, dass Twitter-Nutzer das Posting der Polizeipressestelle auf der Rechtsgrundlage ihrer „berechtigten Interessen“ teilen durften.

Die „berechtigten Interessen“ des Teilenden müssen im Einzelfall gegen die Interessen des Betroffenen abgewogen werden. In die Rechtsgüterabwägung entsprechend Art. 6 Abs. 1 Buchst. f DSGVO kann zu Gunsten des Teilenden auch eine „schlichte Zustimmung“ des Betroffenen als „Versuch einer Einwilligung“ einbezogen werden. (Golland, Datenverarbeitung in sozialen Netzwerken, S. 243)

Als „berechtigtes Interesse“ der Teilenden lassen sich im Falle des unbekleideten Verkehrsteilnehmers die Unterhaltung und der Austausch über das Tagesgeschehen bezüglich einer Hitzewelle ausmachen. Auch die Kommentierung von unterhaltsamen Ereignissen ist durch die Meinungsfreiheit erfasst.

Auf der anderen Seite ist als Interesse des Abgebildeten die Tiefe des Eingriffs in die Persönlichkeitsrechte einzubeziehen. Auch wenn der „Nacktfahrer“ sich freiwillig mit seinem Motorroller nackt im öffentlichen Raum bewegt hat, kann daraus nicht geschlossen werden, dass er damit auch eine Veröffentlichung in einem sozialen Netzwerk dulden muss und sein Foto durch Multiplikationshandlungen tausenden weiteren Nutzern übermittelt wird. Die Verbreitung des unbekleideten Fahrers greift in die Intimsphäre des Abgebildeten ein. Das Teilen des Postings „Nacktfahrer“ zum Zwecke der Unterhaltung steht damit in einem auffälligen Missverhältnis zu den „berechtigten Interessen“ des Betroffenen, so dass im Ergebnis das Teilen diese Postings nicht durch die Rechtsgrundlage Art. 6 Abs. 1 Buchst. f DSGVO legitimiert sein kann.

Fazit und Praxis

Sollen Personenfotos in sozialen Netzwerken geteilt werden, bedarf es hierzu einer Rechtsgrundlage entsprechend Art. 6 Abs. 1 DSGVO. Eine Einwilligung die über das eigentliche Einstellen des Fotos auch gleichzeitig beliebig viele Account-Inhaber zum Teilen berechtigt, ist nicht mit den Anforderungen einer wirksamen Einwilligung im Sinne des Art. 6 Abs. 1 Buchst. a DSGVO vereinbar.

Vertragliche Erlaubnisse zum Teilen können sich auch aus der Zugehörigkeit zu einem Netzwerk und dem Nutzungsvertrag nicht gegenüber dem Betroffenen ergeben.

Rechtsgrundlage zum Teilen kann jedoch Art. 6 Abs. 1 Buchst. f DSGVO sein. Hier ist der Teilende verpflichtet, im Einzelfall abzuwägen, ob seine Interessen zur Verbreitung des Personenfotos die Interessen der abgebildeten Personen überwiegen. Hat der Betroffene zum Einstellen seines Fotos eine „schlichte Zustimmung“ erteilt, ist dieser Umstand in die Abwägung der Interessen mit einzubeziehen.

In der Praxis bedarf es eines Bewusstseins, dass mit jeder Verbreitungshandlung durch Teilen eines Personenfotos eine Datenverarbeitung vorgenommen wird und diese in der Verantwortlichkeit des jeweiligen teilenden Account-Inhabers liegt. Ein kritischer Blick auf problematische Inhalte des Ursprungs-Postings aber auch auf die Herkunft und Aufnahmeumstände eines Personenfotos vor dem Teilen, kann übereilte Verbreitungen verhindern.

Besondere Aufmerksamkeit verdient das Teilen unter Kommentierung des Personenfotos. Denn hier ändert sich mit der Kommentierung häufig der ursprüngliche Veröffentlichungskontext. Für eine erlaubte Verbreitung in einem neuen und dem Betroffenen unbekannten Zusammenhang wird dann eine eventuell vom Betroffenen erteilte ursprüngliche „schlichte Zustimmung“ in der Regel nicht ausreichen. Insbesondere dann nicht, wenn sein Personenfoto plötzlich in werblichen Zusammenhängen genutzt wird oder das Teilen unter für den Betoffenen ungünstiger Kommentierung erfolgt.

Christian W. Eggers, zertifizierter externer Datenschutzbeauftragter in Kiel

Was die schleswig-holsteinische Datenschutzbehörde zu den Personenfotos sagt

Ausführliche Stellungnahmen zur Erstellung und Nutzung von Personenfotos enthält der Tätigkeitsbericht 2019 des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD).

Wichtige Aussagen der schleswig-holsteinischen Datenschutzbehörde (ULD) zu den Themenbereichen Anwendbarkeit der DSGVO, Personenfotos im Bereich der Presse, Informationspflichten bei zufällig in das Bild geratenen Personen sowie zum Spannungsfeld Meinungsfreiheit und Datenschutz sind nachfolgend zusammenfassend zitiert.

Zur Frage der Anwendbarkeit des KUG und der DSGVO

„Für Fotos, die außerhalb journalistischer oder literarischer Zwecke veröffentlicht werden, gilt die Datenschutz-Grundverordnung uneingeschränkt. Ob daneben für die Veröffentlichung auch das Kunsturhebergesetz anwendbar ist, war im vergangenen Jahr ein großes juristisches Streitthema. Für die Zulässigkeit von Veröffentlichungen bedeutet dies im Ergebnis keinen Unterschied. Nach Art. 6 Abs. 1 Buchst. f DSGVO ist ebenso wie nach § 23 Kunsturhebergesetz eine Abwägung der verschiedenen Interessen vorzunehmen. Die Regelbeispiele des Kunsturhebergesetzes können auch bei der Interessenabwägung nach der Datenschutz-Grundverordnung herangezogen werden.“ (Tätigkeitsbericht ULD 2019, Seite 110)

Ausnahmen für die Presse – Medienprivileg

„Nach § 10 Landespressegesetz Schleswig-Holstein gilt die Datenschutz-Grundverordnung für die Verarbeitung von personenbezogenen Daten für journalistische oder literarische Zwecke weitgehend nicht. Daraus ergibt sich, dass für den journalistischen Bereich das Kunsturhebergesetz weiterhin anwendbar ist.“ (Seite 110)

Haushaltsausnahme

„Wenn aber der private Bereich verlassen wird, etwa weil die Fotos im Internet einem unbeschränkten Personenkreis zugänglich gemacht werden, müssen auch natürliche Personen für „private“ Fotos die Datenschutz-Grundverordnung von Beginn an beachten. Das hat zur Folge, dass bereits das Erstellen eines Fotos auf eine gesetzliche Grundlage gestützt werden können muss.“ (Seite 109)

Informationspflichten

„Die Datenschutz-Grundverordnung enthält neben den Regelungen zur Zulässigkeit der Datenverarbeitung eine ganze Reihe weiterer Vorgaben. Hierzu gehören u. a. die Transparenzpflichten nach Artikel 13 und Artikel 14 DSGVO. Diese Pflichten sind für viele Tätigkeiten von Fotografinnen und Fotografen in der Praxis nicht immer einfach zu erfüllen. Das gilt vor allem wenn Fotografien von größeren Menschenmengen erstellt werden. Hier haben einzelne Fotografinnen und Fotografen häufig keine Möglichkeit, die betroffenen Personen über die Datenverarbeitung zu informieren. In solchen Fällen sind Ausnahmen von den Informationspflichten nach Maßgabe des Art. 14 Abs. 5 DSGVO möglich. Danach gilt die Pflicht zur Information nicht, wenn die Daten ohne Mitwirkung der betroffenen Person erhoben werden und die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. An diese Voraussetzungen sind jedoch aufgrund des Ausnahmecharakters der Vorschrift hohe Anforderungen zu stellen.“ (Seite 110 f)

Zur Problematik Meinungsfreiheit versus Datenschutz

„Der Gesetzgeber hat den Spielraum, den Artikel 85 DSGVO für nationale Regelungen bietet, um die Freiheit der Meinungsäußerung und die Informationsfreiheit zu gewährleisten, noch nicht vollständig ausgeschöpft. Spezifische Regelungen zur Fotografie in diesen Bereichen könnten einen Mehrwert darstellen und die Rechtssicherheit erhöhen, wenn sie den gesamten Lebenszyklus einer Fotografie abbilden würden. Dafür müssten sie auch andere Arten der Datenverarbeitung als die im Kunsturhebergesetz geregelte Veröffentlichung einbeziehen und sich nicht auf die Frage der Zulässigkeit der Datenverarbeitung beschränken. Da das Kunsturhebergesetz lediglich die Verbreitung von Bildnissen regelt, gilt für alle anderen Verarbeitungsschritte derzeit die Datenschutz-Grundverordnung unmittelbar, so wie vor dem 25. Mai 2018 hierfür das Bundes- oder Landesdatenschutzgesetz galt. Ein neues Gesetz könnte durch Einbeziehung aller Phasen der Datenverarbeitung, von der Erstellung über die Veröffentlichung bis hin zur Löschung, eine umfassende Regelung für die Zulässigkeit der Verarbeitung von Personenfotos schaffen. Auch die Frage der Transparenz könnte in einem solchen Gesetz bereichsspezifisch geregelt werden.“ (Seite 110 f)

Ein neues Gesetz nur für Personenfotos?

„Wünschenswert zur Klarstellung des Themenkomplexes wäre ein Gesetz, das den gesamten Lebenszyklus eines Fotos umfassend regelt. Dieses Gesetz sollte Regelungen zum Erheben über das Aufbewahren bis hin zum Veröffentlichen und schlussendlich Löschen von Fotografien beinhalten. Da insbesondere der Beruf des Fotografen sich nicht an Ländergrenzen orientiert, ist es sinnvoll, eine bundesländerübergreifende Regelung zu schaffen. Hier wäre somit der Bundesgesetzgeber gefragt.“ (Seite 111)

Datenschutz in Medienportalen

In diesem Artikel geht es um den Datenschutz bei der Bereitstellung von Foto-, Video- und Grafik-Downloads zur Pressearbeit mittels Online-Medienportalen.

Mit Geltung der Datenschutzgrundverordnung (DSGVO) sind bei der Einrichtung und dem Betrieb eines datenbankgestützten Downloadbereichs für Hand-out Fotos und andere Medien einer Pressestelle zahlreiche datenschutzrechtliche Aspekte zu berücksichtigen. Wie diese in der Praxis umgesetzt werden können, beschreibt dieser Artikel. Themfelder des Datenschutzes sind Ihre Berechtigungen beim Einstellen der Abbildungen von Personen (Fotos, Videos), die Erstellung einer Datenschutzerklärung für die Nutzer der Mediendatenbank und Ihre Pflichten bei der Zusammenarbeit mit Dienstleistern.

Am Ende dieses Artikels finden Sie eine Musterdatenschutzerklärung (Beispiel) zur Information der Nutzer eines Bildportals der Pressestelle eines Unternehmens.

Medienportale als Service in der Presse- und Öffentlichkeitsarbeit

Die Vorteile eines Mediendownload-Service als Bestandteil eines Internetauftritts zur Pressearbeit der Unternehmen, Vereine und Behörden liegen auf der Hand: Journalisten und weitere Multiplikatoren können ohne großen Kommunikationsaufwand mit der Pressestelle zum Beispiel Fotos recherchieren und zur Veröffentlichung in ihren Medien herunterladen. So wächst die  Anzahl der Abteilungen der Öffentlichkeitsarbeit, die mit eigenen Foto- und Videoportalen auf der technischen Basis einer Mediendatenbank (Asset Management System) Fotos der Geschäftsführer, Illustrationen zu Pressemitteilungen und Produktfotos online gestellt haben. Fotos, Filme und Grafiken können meist frei recherchiert werden und nach einer Nutzerregistrierung von Journalisten und weiteren Multiplikatoren mit Anerkennung der Allgemeinen Geschäftsbedingungen (AGB) der jeweiligen Pressestelle heruntergeladen und in ihren Medien veröffentlicht werden.

Die drei Felder des Schutzes personenbezogener Daten in Medienportalen

Zunächst ist darauf abzustellen, wer überhaupt für den Datenschutz eines Medienportals verantwortlich ist. Verantwortlicher im Sinne der DSGVO ist die Organisation (juristische Person), der die Pressestelle  angehört. Unabhängig davon, wer die Bildinhalte liefert und welche Abmachungen und Zusicherungen seitens Fotografinnen und Fotografen und anderen Zuliefernden bestehen.

So ist das Bereitstellen von Personenfotos mittels einer Datenbank stets der Organisation als Datenverarbeitung zuzurechnen, die über die einzustellenden Inhalte entscheidet und die die technische Infrastruktur zur Verfügung stellt. Für Verarbeitungen, die nach dem Download durch Multiplikatoren vorgenommen werden, sind dann diese wiederum datenschutzrechtlich verantwortlich.

Die datenschutzrechtlichen Erlaubnisse (Rechtsgrundlagen) müssen sich dabei auf drei Punkte der mit dem Betrieb eines Online-Medienportals anfallenden Datenverarbeitungen beziehen:

  • Datenschutz abgebildeter Personen: Für das Veröffentlichen und für die Weitergabe an Multiplikatoren von Fotos, die identifizierbare Personen zeigen, bedarf es einer Rechtsgrundlage entsprechend Art. 6 DSGVO.
  • Datenschutz bei Besuch und Nutzung des Portals: Datenverarbeitungen, die mit dem Besuch des Portals verbunden sind, bedürfen einer Rechtsgrundlage entsprechend Art. 6 DSGVO.
  • Technische externe Dienstleistungen: Häufig werden Bildportale mit einer gemieteten Software eines Dienstleister betrieben, der darüber hinaus auch den Speicherplatz für die Bilder zur Verfügung stellt. In diesen Fällen bedarf es einer Vereinbarung über die datenschutzrechtlichen Pflichten in der Form eines sogenannten Auftragsdatenverarbeitungsvertrages gemäß Art. 28 DSGVO.

Datenschutz abgebildeter Personen

Werden Personen identifizierbar gezeigt, handelt es sich um personenbezogene Daten im Sinne der DSGVO. Als Rechtsgrundlagen für das Bereitstellen der Personenfotos kommen ein (Model-) Vertrag, die „berechtigten Interessen“ (bzw. das öffentliche Interesse bei behördlicher Pressearbeit) der jeweiligen Organisation und natürlich die Einwilligung der abgebildeten Personen in Betracht.

Die drei möglichen Erlaubnisse (Einwilligung, Vertrag, Interessen) müssen sich nicht nur auf das Veröffentlichen in der Datenbank beziehen. Wichtig ist, dass gerade die Besonderheit der Weiterverwendung durch Multiplikatoren rechtlich abgesichert ist. Die Reichweite der Einwilligung oder der  Zustimmung im Rahmen eines Model-Vertrags muss sich daher ausdrücklich auf die Weitergabe der Fotos zur Nutzung durch Multiplikatoren der Presse- und Öffentlichkeitsarbeit beziehen. Bei Weitergaben ist im Rahmen einer „Interessen-Rechtsgrundlage“ ist sehr genau abzuwägen, ob eine derartige Nutzung die Interessen der abgebildeten Personen überwiegt und damit erlaubt ist. Ein Prüfungsschema zur Rechtsgüterabwägung der „berechtigten Interessen“ finden Sie im Blog bei Nordbild.com.

Sollen die Namen der abgebildeten Personen angezeigt und in die IPTC-Daten des Bildes aufgenommen werden, so ist auch hierfür entweder eine Zustimmung (Einwilligung oder Model-Vertrag) oder ein „berechtigtes Interesse“ bzw. ein „öffentliches Interesse“ einer öffentlichen Stelle erforderlich.

Datenschutz beim Besuch und der Nutzung des Medienportals

Auffallend ist, dass nicht alle Medienportale der Pressestellen Datenschutzerklärungen für die Datenverarbeitungen enthalten, die der Verarbeitung von Nutzerdaten des Portals Rechnung tragen. In einigen Fällen werden die nach Art. 13 DSGVO notwendigen Informationen einfach in das Kleingedruckte der AGB zur Einräumung der Nutzungsrechte gemogelt. Hiervon ist dringend abzuraten, da derartige Konstruktionen kaum der durch die DSGVO geforderten Transparenz entsprechen können. Aus Gründen der Anschaulichkeit wird nachfolgend die Datenschutzerklärung am Beispiel eines Fotoportals einer Pressestelle erläutert. 

Datenschutzerklärung zur Nutzung des Portals

Im Prinzip verhält es sich bei der Datenschutzerklärung eines Medienportals genauso wie auf allen Websites. Die Erklärung muss von jeder aufgerufenen Seite per Link abrufbar sein und sämtliche Datenverarbeitungen beschreiben, die bei der Nutzung der Internetpräsenz anfallen. Die Datenschutzerklärung der Pressestelle bzw. der Organisation, der die Pressestelle angehört muss zwingend auch über die speziellen Datenverarbeitungen, die mit der Nutzung des Bildportals verbunden sind, informieren. In der Praxis kann dieses mit der Abrufbarkeit der Datenschutzerklärung der jeweiligen Organisation auf der Website erfolgen oder auch eine Datenschutzerklärung zusätzlich, nochmals speziell und hervorgehoben, auf den Fotoportalseiten auf die Umstände der Verarbeitung von Besucher- und Nutzerdaten des Portals hinweisen.

Was muss nun in der Datenschutzerklärung zum Download-Fotoportal stehen? Inhalt und Umfang der Erklärung richtet sich nach den jeweiligen Datenverarbeitungen sowie der Erlaubnis (Rechtsgrundlage), auf deren Grundlage die Besucher- und Nutzerdaten verarbeitet werden.

Rechtsgrundlagen zur Datenverarbeitung der Besucher- und Nutzerdaten

Mit der Datenschutzerklärung ist dem Betroffenen mitzuteilen, auf welcher Rechtsgrundlage seine Besucher und Nutzerdaten verarbeitet werden. Abzustellen ist auf zwei Vorgänge der Datenverarbeitungen: Zunächst geht es um die Daten, die mit dem Besuch des Bildportals und der Recherche im Bildbestand erhoben und gespeichert werden.

Datenverarbeitungen beim bloßen Besuch des Portals und bei der Bildrecherche

Die Daten, die mit einer bloßen Recherche im Portal anfallen, können, soweit sie sich auf die technisch notwendigen Datenverarbeitungen zur Funktion beziehen, auf der Rechtsgrundlage „berechtigter Interessen“ (Art. 6 Abs. 1 Buchst. f DSGVO) bzw. „öffentliches Interesse“ (Art. 6 Abs. 1 Buchst. e DSGVO) bei einer Datenbank einer öffentlichen Stelle gestützt werden. Dem entsprechend ist in der Datenschutzerklärung grafisch hervorgehoben auf das Widerspruchsrecht des Betroffenen (Art. 21 DSGVO) hinzuweisen.

Datenverarbeitungen bei Bilddownloads über persönliche Zugangsberechtigungen

Wird die Downloadberechtigung mit einer Anmeldung zur Identifikation des Nutzers im Portal verbunden, bedarf es auch zur Speicherung der Registrierungsdaten der Nutzer einer Rechtsgrundlage entsprechend Art. 6 DSGVO. Mit dem Herunterladen werden die Nutzungsbedingungen des Bildangebotes (AGB) angenommen und die Nutzung der Bilddaten damit  lizenziert. Unerheblich ist dabei, dass die Einräumung der Nutzungsrechte wie meist üblich und sinnvoll unentgeltlich erfolgt. 

Wird mit zugeteilten Zugangsdaten gearbeitet und werden durch die Pressestelle Login-Daten zur Dokumentationen der Bildnutzungen erstellt, rechtfertigt die Rechtsgrundlage Vertrag (Art. 6 Abs. 1 Buchst. b DSGVO) diese weitgehenden Datenverarbeitungen. Denn ohne die Erhebung und Speicherung von Anmeldedaten (Kontaktdaten der Nutzer sowie Nutzer-Passwörter) wäre die Einräumung von Nutzungsrechten gegenüber bestimmten Personen als Vertragspartner nicht möglich. In der Datenschutzerklärung ist also der Nutzer darauf hinzuweisen, dass das Speichern der Kontaktdaten und der Login-Daten der Nutzer sowie das eventuelle Erfassen seiner getätigten Downloads auf der Rechtsgrundlage eines Vertrags zur Einräumung von Nutzungsrechten vorgenommen werden.

Technische Leistungen externer Dienstleister

Nicht alle Unternehmen, Vereine und öffentliche Stellen leisten sich eigene Server zur Bereitstellung ihrer Bilddaten zum Download durch Multiplikatoren. Werden also Dienstleister verpflichtet, ist der Besucher des Portals auch darüber aufzuklären, dass personenbezogene Daten im Rahmen einer Auftragsdatenverarbeitung zum Hosting durch den Dienstleister empfangen werden. Es ist weiterhin verpflichtend einen Auftragsdatenverarbeitungsvertrag mit dem Dienstleister schließen und Nutzer des Bildportals darüber zu informieren.

Wird eine Software zur Realisierung der Bilddatenbank gemietet, ist auch zu fragen, ob der Softwarevermieter des Asset Media Managementsystems Empfänger der Daten ist. So zum Beispiel, weil ein Fernwartungsvertrag abgeschlossen wurde und der Dienstleister Funktionen der Datenbank überwacht. Auch dieser Umstand eines externen Dienstleisters ist dann in der Datenschutzerklärung unter Empfänger der Daten im Rahmen eines Auftragsdatenverarbeitungsvertrages zu benennen.

Muster zur Datenschutzerklärung eines Fotoportals

Die hier gezeigte Datenschutzerklärung eines Portals eines Unternehmens soll Ihnen zeigen, wie die Informationen der Besucher aufgebaut werden können. Es sind natürlich immer individuelle Anpassungen an die besonderen rechtlichen Erfordernisse sowie der technischen Abläufe der Datenverarbeitungen der jeweiligen Organisation notwendig.

Christian W. Eggers, zertifizierter externer Datenschutzbeauftragter in Kiel