EuGH äußert sich zur Verantwortlichkeit von Webseitenbetreibern bei der Verwendung des Facebook Like Buttons

Wie der EuGH (Urt. V. 29.07.2019, Az. C-40/17) aktuell entschieden hat, sind Webseitenbetreiber (neben Facebook selbst) für die personenbezogenen Daten mitverantwortlich, die durch einen eingebundenen Facebook Like Button an Facebook übermittelt werden. Aus diesem Grund müssen Betreiber von Webseiten mit einem “gefällt mir“-Button Ihre Besucher zwingend über die Erhebung und Übermittlung persönlicher Daten an Facebook informieren.

Problematisch ist insbesondere, dass durch den “gefällt mir“-Button automatisch personenbezogene Daten des Webseitenbesuchers (bspw. die IP-Adresse) an Facebook übermittelt werden, und das sogar dann, wenn der Nutzer überhaupt nicht bei Facebook registriert ist. Mit seiner Entscheidung bestätigt der EuGH die von uns in der Vergangenheit bei der Erstellung von Datenschutzerklärungen bereits umgesetzte Rechtsansicht im Umgang mit Facebook.

Der EuGH stellte jedoch auch ausdrücklich klar, dass Webseitenbetreiber nicht für die spätere Datenverarbeitung durch Facebook (mit-)verantwortlich sind, wie teilweise in der Öffentlichkeit verbreitet wurde. Sollten hier Einwilligungen erforderlich sein, muss Facebook eigenverantwortlich einholen.

Unbeantwortet lässt der EuGH die Frage, ob Webseitenbetreiber bei der Verwendung des Facebook Like Buttons von den Nutzern eine Einwilligung einholen muss oder ob ein berechtigtes Interesse als Rechtfertigungsgrund herhalten kann.

Hingegen hat sich der EuGH bei der Verwendung von Cookies ausdrücklich festgelegt in dem er sagt, dass hier eine Einwilligung erforderlich ist. Damit scheint der EuGH der geplanten ePrivacy-Richtlinie vorzugreifen, durch die die Problematik eigentlich geregelt werden soll.

Festzuhalten bleibt, dass Webseitenbetreiber jedenfalls erhebliche Informationspflichten zu erfüllen haben, und zwar und zwar sowohl im Falle von Einwilligungen als auch in Fällen des berechtigten Interesses.

Sollten Sie Unterstützung bei der Erstellung bzw. Anpassung ihrer Datenschutzerklärung benötigen, können Sie uns diesbezüglich gern jederzeit kontaktieren.

Erben haben Anspruch auf Zugang zum Facebook Account

Heute hat der III. Zivilsenat des Bundesgerichtshofs eine wegweisende Entscheidung zum Umgang mit Accounts auf Plattformen wie Facebook, Instagram, Twitter, Snapchat usw. gefällt. Die Richter haben den Erben vollen Zugang zu dem Konto des Verstorbenen einschließlich der darin vorgehaltenen Kommunikationsinhalte zugesprochen. Damit bestätigen Sie die Rechtsauffassung des Landgerichtes Berlin, welche vom Kammergericht aufgehonenm wurden war.  Damit wird das digitale Leben in einem weitern Punkt dem offline Leben gleichgestellt. Insoweit waren m.M. die vorherigen Entscheidungen auch nicht nachvollziehbar. Selbst die neue DSGVO hat hier keine anderslautende Bewertung gerechtfertigt, denn diese gilt nur zugunsten Lebender.

Der Sachverhalt:
Die Klägerin ist die Mutter der im Alter von 15 Jahren verstorbenen L. W. und neben dem Vater Mitglied der Erbengemeinschaft nach ihrer Tochter. Die Beklagte betreibt ein soziales Netzwerk, über dessen Infrastruktur die Nutzer miteinander über das Internet kommunizieren und Inhalte austauschen können.
2011 registrierte sich die Tochter der Klägerin im Alter von 14 Jahren im Einverständnis ihrer Eltern bei dem sozialen Netzwerk der Beklagten und unterhielt dort ein Benutzerkonto. 2012 verstarb das Mädchen unter bisher ungeklärten Umständen infolge eines U-Bahnunglücks.

Die Klägerin versuchte hiernach, sich in das Benutzerkonto ihrer Tochter einzuloggen. Dies war ihr jedoch nicht möglich, weil die Beklagte es inzwischen in den sogenannten Gedenkzustand versetzt hatte, womit ein Zugang auch mit den Nutzerdaten nicht mehr möglich ist. Die Inhalte des Kontos bleiben jedoch weiter bestehen.
Die Klägerin beansprucht mit ihrer Klage von der Beklagten, den Erben Zugang zu dem vollständigen Benutzerkonto zu gewähren, insbesondere zu den darin vorgehaltenen Kommunikationsinhalten. Sie macht geltend, die Erbengemeinschaft benötige den Zugang zu dem Benutzerkonto, um Aufschluss darüber zu erhalten, ob ihre Tochter kurz vor ihrem Tod Suizidabsichten gehegt habe, und um Schadensersatzansprüche des U-Bahn-Fahrers abzuwehren.

Die Entscheidung des Bundesgerichtshofs:
Der III. Zivilsenat des Bundesgerichtshofs hat das Urteil des Kammergerichts aufgehoben und das erstinstanzliche Urteil wiederhergestellt.
Die Erben haben gegen die Beklagte einen Anspruch, ihnen den Zugang zum Benutzerkonto der Erblasserin und den darin vorgehaltenen Kommunikationsinhalten zu gewähren. Dies ergibt sich aus dem Nutzungsvertrag zwischen der Tochter der Klägerin und der Beklagten, der im Wege der Gesamtrechtsnachfolge nach § 1922 Abs. 1 BGB auf die Erben übergegangen ist. Dessen Vererblichkeit ist nicht durch die vertraglichen Bestimmungen ausgeschlossen. Die Nutzungsbedingungen enthalten hierzu keine Regelung. Die Klauseln zum Gedenkzustand sind bereits nicht wirksam in den Vertrag einbezogen. Sie hielten überdies einer Inhaltskontrolle nach § 307 Abs. 1 und 2 BGB nicht stand und wären daher unwirksam.
Auch aus dem Wesen des Vertrags ergibt sich eine Unvererblichkeit des Vertragsverhältnisses nicht; insbesondere ist dieser nicht höchstpersönlicher Natur. Der höchstpersönliche Charakter folgt nicht aus im Nutzungsvertrag stillschweigend vorausgesetzten und damit immanenten Gründen des Schutzes der Persönlichkeitsrechte der Kommunikationspartner der Erblasserin. Zwar mag der Abschluss eines Nutzungsvertrags mit dem Betreiber eines sozialen Netzwerks in der Erwartung erfolgen, dass die Nachrichten zwischen den Teilnehmern des Netzwerks jedenfalls grundsätzlich vertraulich bleiben und nicht durch die Beklagte dritten Personen gegenüber offengelegt werden. Die vertragliche Verpflichtung der Beklagten zur Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten ist jedoch von vornherein kontobezogen. Sie hat nicht zum Inhalt, diese an eine bestimmte Person zu übermitteln, sondern an das angegebene Benutzerkonto. Der Absender einer Nachricht kann dementsprechend zwar darauf vertrauen, dass die Beklagte sie nur für das von ihm ausgewählte Benutzerkonto zur Verfügung stellt. Es besteht aber kein schutzwürdiges Vertrauen darauf, dass nur der Kontoinhaber und nicht Dritte von dem Kontoinhalt Kenntnis erlangen. Zu Lebzeiten muss mit einem Missbrauch des Zugangs durch Dritte oder mit der Zugangsgewährung seitens des Kontoberechtigten gerechnet werden und bei dessen Tod mit der Vererbung des Vertragsverhältnisses.
Eine Differenzierung des Kontozugangs nach vermögenswerten und höchstpersönlichen Inhalten scheidet aus. Nach der gesetzgeberischen Wertung gehen auch Rechtspositionen mit höchstpersönlichen Inhalten auf die Erben über. So werden analoge Dokumente wie Tagebücher und persönliche Briefe vererbt, wie aus § 2047 Abs. 2 und § 2373 Satz 2 BGB zu schließen ist. Es besteht aus erbrechtlicher Sicht kein Grund dafür, digitale Inhalte anders zu behandeln.
Einen Ausschluss der Vererblichkeit auf Grund des postmortalen Persönlichkeitsrechts der Erblasserin hat der III. Zivilsenat ebenfalls verneint.
Auch das Fernmeldegeheimnis steht dem Anspruch der Klägerin nicht entgegen. Der Erbe ist, da er vollständig in die Position des Erblassers einrückt, jedenfalls nicht „anderer“ im Sinne von § 88 Abs. 3 TKG.
Schließlich kollidiert der Anspruch der Klägerin auch nicht mit dem Datenschutzrecht. Der Senat hat hierzu die seit 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) anzuwenden. Diese steht dem Zugang der Erben nicht entgegen. Datenschutzrechtliche Belange der Erblasserin sind nicht betroffen, da die Verordnung nur lebende Personen schützt. Die der Übermittlung und Bereitstellung von Nachrichten und sonstigen Inhalten immanente Verarbeitung der personenbezogenen Daten der Kommunikationspartner der Erblasserin ist sowohl nach Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO als auch nach Art. 6 Abs. 1 Buchst. f DS-GVO zulässig. Sie ist sowohl zur Erfüllung der vertraglichen Verpflichtungen gegenüber den Kommunikationspartnern der Erblasserin erforderlich (Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO) als auch auf Grund berechtigter überwiegender Interessen der Erben (Art. 6 Abs. 1 Buchst. f DS-GVO).

Panik oder Panikmache bei Fotografen wegen der DSGVO

Zum 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) nach fast zwei Jahren Vorbereitungszeit in Kraft und nun gibt es an vielen Stellen Diskussionen zu den konkreten Auswirkungen und der Umsetzung. Ein ganz heiß diskutiertes Thema für Fotografen ist die Fotografie von Personen und die Veröffentlichung solcher Fotos / Videos.  Hier gibt es viele Beiträge von sehr kompetenten aber auch weniger kompetenten Personen.

Das Problem an der Stelle ist, dass eine rechtssichere Auskunft leider zum jetzigen Zeitpunkt nicht möglich ist. Der Europäische Gesetzgeber hat in seiner Verordnung zum Datenschutz bereits erkannt, dass zwischen Datenschutz und der Meinungs- und Informationsfreiheit ein Spannungsverhältnis besteht und daher den Mitgliedstaaten ausdrücklich die Option, wenn nicht sogar die Pflicht erteilt, „durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten gemäß dieser Verordnung mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken, in Einklang“ zu bringen.

Bisher hat der deutsche Gesetzgeber von dieser Öffnungsklausel keinen Gebrauch gemacht, im Gegenteil es wurde nach Angaben aus dem Bundesministerium der Justiz ausdrücklich darauf verzichtet, da man die Ausgestaltung den Gerichten überlassen wollte. Hier kommt der Gesetzgeber seinem verfassungsmäßigen Auftrag nicht nach, aber offensichtlich hat dazu auch keine der Parteien im Bundestag etwas vorgeschlagen.

Warum ist bei Fotos überhaupt die Diskussion entbrannt?

Grundsätzlich greift das Datenschutzrecht dann, wenn personenbezogene Daten verarbeitet also gespeichert, erhoben, übermittelt usw. werden. Somit stellt sich die Frage, warum fallen Fotos unter personenbezogene Daten.

Der Gesetzgeber hat in der Verordnung selber die entsprechende Definition mitgeliefert:

personenbezogene Daten: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen;

als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind

Dabei ist im Moment noch umstritten, wie diese Formulierung auszulegen ist. Es gibt einige die meinen, dass ein Personenbezug erst dann vorliegt, wenn durch zusätzliche Informationen (Name, Standortdaten) eine Identifizierung der abgebildeten Person möglich ist. Andere sehen bereits allein in dem Bildnis den Personenbezug gegeben. Gerade unter dem Gesichtspunkt, dass der europäische Gerichtshof hinsichtlich der IP-Adresse das Vorliegen eines personenbezogenen Datums bejaht hat und um anhand dieser jemanden tatsächlich zu ermitteln, ein erhöhter Aufwand erforderlich ist, erwarte ich, dass hier in der Rechtsprechung auch davon ausgegangen wird, dass das Bildnis allein genügt, um davon ausgehen zu müssen, dass es sich um ein personenbezogenes Datum handelt.

Damit unterliegen auch Fotografien oder Videos der DSGVO.

  1. Die gute alte Zeit

Das Problem des Datenschutzes ist nicht neu, insbesondere gibt es auch schon seit Jahrzehnten die Persönlichkeitsrechte der jeweils abgebildeten Personen und Teil dieses Persönlichkeitsrechtes ist der Datenschutz. Im Moment wird dessen Bedeutung auf Grund der technischen Entwicklung jedoch größer und letztlich schlägt das Pendel augenblicklich, nach dem Wildwuchs der letzten Jahre, etwas zu stark in eine Richtung aus.

In der Vergangenheit gab es das Bundesdatenschutzgesetz (BDSG) und die darin enthaltenen Klauseln, die die Regelungen des Kunsturhebergesetzes (KUG) als spezieller einordneten und damit den Vorrang gaben. Somit konnte die über Jahrzehnte entwickelte Rechtsprechung zum Persönlichkeitsrecht und insbesondere Recht am eigenen Bild, nahtlos übernommen werden, unabhängig von der Frage, ob ein Foto als personenbezogenes Datum eingeordnet werden musste.

Dabei kann man bezüglich dieser Rechtsprechung sagen, dass es sich um eine sehr ausgewogene und interessensgerechte Rechtsprechung handelte, die von den Fotografen und Medienschaffenden genauso akzeptiert worden ist, wie sie in der Regel den Betroffenen bekannt gewesen ist.

Auf die konkrete Rechtslage soll hier nicht genauer eingegangen werden, es wird davon ausgegangen, dass diese weitestgehend bekannt ist.

  1. Die Rechtslage in der Zukunft

Jetzt kommen wir zum spannenden Teil, was kommt auf Fotografen in der Zukunft zu. Gleich vorab, es wird etwas aufwendiger, mehr Dokumentation und Informationspflichten und an einigen Stellen ist die Rechtslage noch sehr vage. Insbesondere ist fraglich, wie das für das KUG entwickelte System auf die DSGVO übertragen werden kann bzw. wie dieses ausbalancierte Gefüge erhalten bleibt. Grundsätzlich hat der EuGH entschieden, dass Europarecht vorrangig ist und damit die DSGVO dem KUG vorgeht. Damit ist das KUG nicht hinfällig, es bedeutet aber im Falle des Konfliktes zwischen beiden Normen, ist der europäischen Norm so weit als möglich der Vorrang zugeben.

Nachdem bereits oben dargelegt worden ist, dass es sich bei Personenfotos auf jeden Fall um personenbezogene Daten handelt, soll im Folgenden aufgezeigt werden, ob und ggfs. wie solche Fotos auch zukünftig verwendet werden können.

a) Im Privaten

Wenn die Bilder ausschließlich für den privaten Zweck gemacht und auch nur in der Familie gezeigt werden, ist dies vom sog. Haushaltsprivileg gedeckt und die DSGVO nicht anwendbar. Dies trifft aber nicht zu, wenn die Bilder im Internet, insbesondere auf Facebook veröffentlicht werden. Spannend wird es, wie dieses Privileg von den Gerichten ausgestaltet wird, denn wenn ein Facebook-Profil nur den Zugang für die Familie und enge Freunde gewährt, dann könnte dies mit abgedeckt sein. Hier muss die weitere Entwicklung beobachtet werden.

b) Medienprivileg

Wie bereits erwähnt bietet die DSGVO dem nationalen Gesetzgeber an verschiedenen Punkten Öffnungsklausen, eine davon steckt in § 85 Abs. 2 DSGVO:

„Für die Verarbeitung, die zu journalistischen Zwecken oder zu wissenschaftlichen, künstlerischen oder literarischen Zwecken erfolgt, sehen die Mitgliedstaaten Abweichungen oder Ausnahmen von Kapitel II (Grundsätze), Kapitel III (Rechte der betroffenen Person), Kapitel IV (Verantwortlicher und Auftragsverarbeiter), Kapitel V (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen), Kapitel VI (Unabhängige Aufsichtsbehörden), Kapitel VII (Zusammenarbeit und Kohärenz) und Kapitel IX (Vorschriften für besondere Verarbeitungssituationen) vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen.“

Eine solche Ausnahmeregelung bietet § 23 Abs 1 KUG:

Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:

  1. Bildnisse aus dem Bereiche der Zeitgeschichte;
  2. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;
  3. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient.

Zwar muss diese Regelung im Lichte der DSGVO ausgelegt werden, dies sollte aber nicht zu großen Veränderungen der bisherigen Rechtsprechung führen. Aber und das ist entscheidend, diese Öffnungsklausel gilt nur für die journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecke und ist damit für die darüberhinausgehenden Bereiche nicht anwendbar.

Für die Presse und ihre Mitarbeiter bedeutet diese Norm eine deutliche Erleichterung.

Die in § 23 Abs. 2 Nr. 2 KUG vorgesehene Ausnahme für Personen, die lediglich „Beiwerk“ sind, fällt allerdings nicht unter diese Öffnungsklausel. Hier wäre lediglich zu überlegen, ob ggfs. der § 6 Abs. 1 Nr. f DSGVO greift und ein berechtigtes Interesse des Fotografen vorliegt. Hier könnte ich mir vorstellen, dass die Gerichte auch zu einer großzügigeren Anwendung und Adaption der bisherigen Rechtsprechung übergehen.

Möglichweise werden die Gerichte über den Weg das berechtigte Interesse auch das KUG für den nicht journalistischen Bereich übernehmen, das gilt es aber abzuwarten.

 

c) kommerzielle nicht journalistische Fotos

Jetzt kommen wir zum schwierigsten Teil, Fotos die weder für einen journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zweck gefertigt werden, also den kompletten kommerziellen Bereich. Denn hier gelten die oben skizierten Ausnahmen nicht und die DSGVO schlägt in ihrer vollen Härte zu.

Im Wesentlichen gibt es nun 3 Optionen, damit eine Aufnahme von Personen rechtmäßig erfolgen und verwendet werden kann.

  • Einwilligung
  • Vertragserfüllung
  • Berechtigtes Interesse

 

aa) Einwilligung

Die Einwilligung gab es bereits unter dem Regime des KUG in der Vergangenheit, allerdings mit etwas anderen Rahmenbedingungen.

So erfordert eine wirksame Einwilligung nun, dass der Betroffene genau darüber informiert wird, was mit den Aufnahmen erfolgen soll, wie diese verwendet werden und ggfs. an Dritte weitergegeben werden. Somit wird der Aufklärungsaufwand größer.

Es gibt keine stillschweigende Einwilligung mehr, wie man es bisher üblicherweise angenommen hat, wenn die Personen in die Kamera gesehen hat und damit wusste, dass sie fotografiert wird. Nun wird eine eindeutige bestätigende Handlung verlangt.

Wenn sich aber alle Hochzeitgäste auf einem Platz sammeln, um dort in Herzform ein Bild mit einem Copter zu machen, dann wird man eine eindeutig bestätigende Handlung annehmen können.

Ich würde sogar soweit gehen, dass man aufgrund des Umstandes, dass heute auf Hochzeiten regelmäßig Fotografen anzutreffen sind, bereits mit der Teilnahme an einer solchen eine Einwilligung erfolgt, wobei sicher nur ein normaler für den privaten Zweck angedachte Verwendung der Fotos abgedeckt sein dürfte.

Bei Veranstaltungen mit Eintrittskarten wird zu prüfen sein, inwieweit hier beim Verkauf der Tickets durch entsprechende Erklärungen auch der kommerzielle Zweck und die Verwendung für die Öffentlichkeitsarbeit der Fotos abgedeckt werden kann.

Das größte Problem stellt die Widerrufbarkeit der Einwilligung gem. Art 7 Abs. 3 DSGVO dar. Mit Widerruf hat der betroffene das Recht, dass ab Zugang des Widerrufs alle personenbezogenen Daten (Fotos) gelöscht werden müssen. Damit dürfen die Bilder auch vom Fotografen nicht mehr verwendet werden. Das wird im Bereich der Eventfotografie, bei Sportereignissen oder Konzerten eventuell zum Problem, wenn man hier nicht über eine vertragliche Regelung vorgehen kann.

Um das Beispiel der Hochzeitsfotografie noch einmal aufzunehmen, hier bedeutet es, dass der Fotograf die Fotos der Hochzeit auf denen die Person abgebildet ist, löschen muss und eben nicht mehr verwenden / veröffentlichen darf. Alle anderen Fotos werden davon nicht berührt und letztlich geht es doch bei Hochzeitsfotografie nicht um die Veröffentlichung durch den Fotografen, sondern die Übergabe der Fotos an das Ehepaar. Mithin ist ein solcher Widerruf für den Fotografen nicht von Bedeutung, wenn er die Fotos bereits an das Ehepaar übergeben hat und der Auftrag abgeschossen ist. Nur wenn er einzelne Fotos als Referenz und damit zu Werbezwecken auf seiner Webseite, auf Facebook oder ähnliches veröffentlicht hat, muss er diese löschen. Die Wahrscheinlichkeit das dies zutrifft, dürfte gering sein, so dass die Arbeit eines Hochzeitfotografen eher weniger eingeschränkt wird, aber die Informationspflichten größer werden.

bb) Vertragserfüllung

Neben der Einwilligung gibt es eine weitere Option, die die legale Verarbeitungen personenbezogener Daten ermöglicht, denn die DSGVO sieht in Art 6 Abs. 1 b diese als zulässig vor, wenn sie zur Vertragserfüllung oder zu vorvertraglichen Maßnahmen erforderlich ist.

Dabei muss aber die betroffene Person Vertragspartei sein und zudem muss die Verarbeitung in unmittelbaren Zusammenhang mit dem konkreten Zweck des Vertrages stehen.

Da Verträge nicht immer schriftlich geschlossen werden müssen und im alltäglichen Leben häufiger vorkommen als teilweise angenommen, lassen sich über diesen Weg sicher eine Vielzahl von Fällen im Bereich eines Fotografen lösen. Allerdings könnte es häufiger vorkommen, dass das Vertragsverhältnis nicht zwischen der betroffenen Person und dem Fotografen geschlossen wurde. Hier muss ggfs. darauf geachtet werden, dass dies entsprechend angepasst wird oder im Rahmen des Vertragsverhältnisses auch die Verarbeitung durch den Fotografen erfasst wird.

Der Vorteil dieses Weges ist, dass keine Einwilligung erforderlich ist und damit auch ein Widerruf der Einwilligung nicht möglich ist. Daher sollte bei der zukünftigen Arbeit versucht werden, viele Situationen durch die Vertragsgestaltung abzudecken, ggfs. müssen die Verträge angepasst oder die Leistungsbeschreibungen erweitert und konkretisiert werden.

So lassen sich über diesen Weg Auftragsarbeiten für die abgebildeten Personen erfassen, auch im Rahmen eines Model-Release- oder TIP-Vertrages sollte diese Möglichkeit genutzt werden.

Kritischer ist der Fall, wenn weitere Personen, mit denen kein Vertragsverhältnis besteht, auf dem Bild abgebildet sind, beispielsweise die Gäste einer Hochzeit oder Arbeitnehmer eines Auftraggebers. Während mit dem Brautpaar ein Vertrag abgeschlossen wurde und daher die Verarbeitung im Rahmen dieses Vertrages abgedeckt ist – dies kann bei entsprechender Gestaltung auch die Veröffentlichung der Fotos auf der Webseite des Fotografen als Referenz erfassen – besteht mit den Hochzeitsgästen ein solcher Vertrag nicht. Ähnlich schwierig wird dies, wenn ein Hauseigentümer sein Objekt aus der Luft fotografiert haben möchte und dann die Mieter oder Fremde auf dem Bild – auch als Beiwerk – abgebildet sind.

cc) Berechtigtes Interesse

Hier gibt es aber noch eine weitere Legitimation in der DSGVO die als Ausweg dienen kann, das berechtigte Interesse. Entsprechend den Ausführungen zur DSGVO wird auf die vernünftigen Erwartungen des Betroffenen abgestellt, inwieweit kann dieser vernünftiger Weise erkennen, dass und wie eine Verarbeitung erfolgt. Hier bewegen wir uns wieder in einer Interessensabwägung und vielleicht nutzen die Gerichte diese Tür, um die zum Recht am eigenen Bild entwickelten Grundsätze zu erhalten.

Ketzerisch gesprochen, muss ich heute nicht damit rechnen, wenn ich mich im öffentlichen Raum bewege, dass ich mich auf Bildern als Beiwerk wiederfinde, ohne dass ich auf dem Foto im Vordergrund stehe, besonders, wenn ich mich auf Veranstaltungen oder mitten in der Stadt bewege. Bei Veranstaltungen ist jedem bekannt und bewusst, dass über diese medial berichtet wird und der Veranstalter daran auch ein Interesse hat. Ich denke, dass dieser Weg offensteht und dem Grundgedanken der DSGVO nicht entgegensteht.

Diese Auslegung benachteiligte den Abgebildeten auch nicht, da Art 21 DSGVO den Betroffenen in besonderen Situationen ein Widerrufsrecht der Verarbeitung für die Zukunft einräumt. Hier wird zwar auch eine Informationspflicht des Fotografen begründet, aber diese relativiert sich, wenn berücksichtigt wird, dass diese nicht besteht, wenn es sich für den Fotografen als unmöglich erweist oder einen unverhältnismäßigen Aufwand bedeutet. Dies dürfte bei ihm völlig unbekannten Personen auf einem Bild der Fall sein. Jedenfalls sollten das Richter bei vernünftiger Würdigung so sehen

Zudem ist nach Art. 11 Abs. 1 DSGVO ein Verantwortlicher nicht verpflichtet, zur bloßen Einhaltung der DSGVO zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren, falls für die Zwecke, für die dieser die personenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlich ist. Der einzelne Fotograf hat im Regelfall weder ein Interesse daran, noch die Möglichkeit, die auf dem Bild abgebildeten Personen ohne erheblichen Aufwand zu identifizieren. Eine solche Identifizierung würde dann alleine aus dem Grund erfolgen, um die Vorgaben der Art. 13, 14 DSGVO zu erfüllen. Dies soll durch die Regelung des Art. 11 DSGVO gerade verhindert werden. Daher wird in der Regel ein Fotohinweis genügen um den Informationspflichten der Art 13, 14 DSGVO gerecht zu werden, wenn dieser ausführlich darlegt für was die Fotos / Videos angefertigt werden und wie diese verwendet werden sollen. Dieser Fotohinweis sollte bereits bei der Anmeldung zur Verfügung stehen oder ggfs beim Einlass deutlich sichtbar bzw verteilt werden.

Um ein letztes Mal auf den Auftrag zur Hochzeit oder ähnlichen Veranstaltungen zurückzukommen, auch hier kann angenommen werden, dass den Hochzeitsgästen aus der Erfahrung, insbesondere wenn der Fotograf zu sehen ist, bewusst ist, dass auf einer solchen Veranstaltung Fotos erstellt werden, die dem Brautpaar / Veranstalter und eventuell den Gästen zur Verfügung gestellt werden, so dass hier ein berechtigtes Interesse begründet werden kann.

  1. Fazit

Letztlich lassen sich die meisten Situationen eines Fotografen / Copterpiloten auch unter der neuen DSGVO lösen. Manchmal muss man etwas intensiver nachdenken und den Datenschutz berücksichtigen und ggfs. auch sparsamer mit Fotos bzw. deren Veröffentlichung umgehen. Nicht jedes Foto muss als Referenz dienen und auf Facebook oder Instagram gepostet werden. Das ist eine Unsitte und sicher nicht immer im Interesse aller abgebildeten Personen.

Daher rate ich zu etwas mehr Gelassenheit und keiner Panikmache. Vieles wird sich einspielen und regelmäßig entscheiden die Gerichte auch sehr pragmatisch und einiges was gerade hochkocht und thematisiert wurde, war auch unter den bisherigen Datenschutzbestimmungen schon grenzwertig.

Zudem halte ich den Weg über das „berechtigte Interesse“ für besser als den über die „Einwilligung“, denn letztere ist frei widerrufbar. 

Für Fragen und zur rechtlichen Beratung rund um das Thema Datenschutz können Sie uns gern kontaktieren.

BGH gibt über den Datenschutz einen Anspruch auf Löschung auf Ärztebewertungsportal

Gestritten haben sich eine Ärztin und die Betreiber des Ärztebewertungsportales Jameda.de über die Frage, ob das Portal ungefragt die Daten der Ärztin zum Zwecke der Bewertung durch Dritte veröffentlichen darf. In der Pressemitteilung des BGH heißt es dazu:

„Die Beklagte betreibt unter der Internetadresse www.jameda.de ein Arztsuche- und Arztbewertungsportal, auf dem Informationen über Ärzte und Träger anderer Heilberufe kostenfrei abgerufen werden können. Als eigene Informationen der Beklagten werden die sogenannten „Basisdaten“ eines Arztes angeboten. Zu ihnen gehören – soweit der Beklagten bekannt – akademischer Grad, Name, Fachrichtung, Praxisanschrift, weitere Kontaktdaten sowie Sprechzeiten und ähnliche praxisbezogene Informationen. Daneben sind Bewertungen abrufbar, die Nutzer in Form eines Notenschemas, aber auch von Freitextkommentaren, abgegeben haben. Die Beklagte bietet den Ärzten den kostenpflichtigen Abschluss von Verträgen an, bei denen ihr Profil – anders als das Basisprofil der nichtzahlenden Ärzte – mit einem Foto und zusätzlichen Informationen versehen wird. Daneben werden beim Aufruf des Profils eines nichtzahlenden Arztes als „Anzeige“ gekennzeichnet die Profilbilder unmittelbarer Konkurrenten gleicher Fachrichtung im örtlichen Umfeld mit Entfernungsangaben und Noten eingeblendet. Demgegenüber blendet die Beklagte bei Ärzten, die sich bei ihr kostenpflichtig registriert und ein „Premium-Paket“ gebucht haben, keine Konkurrenten auf deren Profil ein.

Die Klägerin ist niedergelassene Dermatologin und Allergologin. Im Portal der Beklagten wird sie als Nichtzahlerin gegen ihren Willen ohne Bild mit ihrem akademischen Grad, ihrem Namen, ihrer Fachrichtung und ihrer Praxisanschrift geführt. Bei Abruf ihres Profils auf dem Portal der Beklagten erscheinen unter der Rubrik „Hautärzte (Dermatologen) (mit Bild) in der Umgebung“ weitere (zahlende) Ärzte mit demselben Fachbereich und mit einer Praxis in der Umgebung der Praxis der Klägerin. Dargestellt wird neben der Note des jeweiligen anderen Arztes die jeweilige Distanz zwischen dessen Praxis und der Praxis der Klägerin. Die Klägerin erhielt in der Vergangenheit mehrfach Bewertungen. Sie beanstandete durch ihre früheren Prozessbevollmächtigten im Jahr 2015 insgesamt 17 abrufbare Bewertungen auf dem Portal der Beklagten. Nach deren Löschung stieg die Gesamtnote der Klägerin von 4,7 auf 1,5.

Die Klägerin verlangt mit der vorliegenden Klage von der Beklagten die vollständige Löschung ihres Eintrags in www.jameda.de, die Löschung ihrer auf der Internetseite www.jameda.de veröffentlichten Daten, auf Unterlassung der Veröffentlichung eines sie betreffenden Profils auf der genannten Internetseite sowie Ersatz vorgerichtlicher Rechtsanwaltskosten. Das Landgericht hat die Klage abgewiesen. Die Berufung der Klägerin blieb ohne Erfolg. Mit der vom Berufungsgericht zugelassenen Revision verfolgt die Klägerin ihre Klageanträge weiter.“

Das oberste Zivilgericht hat der Klage der Ärztin entgegen der Vorinstanzen nun stattgegeben und das Portal verpflichtet, nach § 35 Abs. 2 Satz 2 Nr. 1 BDSG die personenbezogenen Daten zu löschen, da ihre Speicherung unzulässig ist.

Entgegen der Entscheidung des gleichen Senates mit Urteil vom 23. September 2014 – VI ZR 358/13 (BGHZ 202, 242) im Zusammenhang mit dem selben von der Beklagten betriebenen Bewertungsportal sahen die Richter im vorliegenden Fall deutliche Unterschiede gegeben und wichen deshalb von der damals zugunsten der Betreiber des Portals ausgegangen Entscheidung ab.

„Mit der vorbeschriebenen, mit dem Bewertungsportal verbundenen Praxis verlässt die Beklagte ihre Stellung als „neutraler“ Informationsmittler. Während sie bei den nichtzahlenden Ärzten dem ein Arztprofil aufsuchenden Internetnutzer die „Basisdaten“ nebst Bewertung des betreffenden Arztes anzeigt und ihm mittels des eingeblendeten Querbalkens „Anzeige“ Informationen zu örtlich konkurrierenden Ärzten bietet, lässt sie auf dem Profil ihres „Premium“-Kunden – ohne dies dort dem Internetnutzer hinreichend offenzulegen – solche über die örtliche Konkurrenz unterrichtenden werbenden Hinweise nicht zu. Nimmt sich die Beklagte aber in dieser Weise zugunsten ihres Werbeangebots in ihrer Rolle als „neutraler“ Informationsmittler zurück, dann kann sie ihre auf das Grundrecht der Meinungs- und Medienfreiheit (Art. 5 Abs. 1 Satz 1 GG, Art. 10 EMRK) gestützte Rechtsposition gegenüber dem Recht der Klägerin auf Schutz ihrer personenbezogenen Daten (Recht auf informationelle Selbstbestimmung, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG, Art. 8 Abs. 1 EMRK) auch nur mit geringerem Gewicht geltend machen. Das führt hier zu einem Überwiegen der Grundrechtsposition der Klägerin, so dass ihr ein „schutzwürdiges Interesse an dem Ausschluss der Speicherung“ ihrer Daten (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG) zuzubilligen ist.“

Somit haben zumindest solche Ärzte, die keinen kostenpflichtigen Eintrag auf einem solchen Bewertungsportal haben eine Option, gegen negative Bewertungen vorzugehen. Die Argumentation des BGH lässt sich zudem auch auf andere Unternehmen und Berufszweige übertragen.

Wenn Sie sich über unberechtigte Bewertungen ärgern, kontaktieren Sie uns, wir prüfen Ihre Möglichkeiten und beraten Sie gern.

 

Urteil vom 20. Februar 2018 – VI ZR 30/17

Neues Recht für Drohnen in Deutschland.

Seit dem 7. April 2017 gilt in Deutschland ein neues Recht für Drohnenpiloten. Immer mehr überlegen, ob Sie sich eine sogenannte Drohne kaufen und damit natürlich auch fliegen, unabhängig ob dies als Hobby vorgesehen ist oder gewerblich mit einer Vielzahl von interessanten Anwendungsoptionen, die rechtlichen Rahmenbedingen sind zu berücksichtigen. Im Amtsdeutsch werden Drohnen als unbenannte Fluggeräte bezeichnet, so heißen die am 7. April 2017 in Kraft getretenen neuen Regeln „Verordnung zur Regelung des Betriebs von unbenannten Fluggeräten“. Besser als die allgemein gängige Bezeichnung „Drohne“ finde ich allerdings Copter, denn leider ist das Wort Drohne durch die Assoziation mit militärischen Fluggeräten negativ belegt.

Offizielles Ziel dieses Schnellschusses des Bundesministers für Verkehr, Herrn Dobrindt, ist die Förderung einer neuen zukunftsträchtigen Branche. Aber ähnlich wie die PKW-Maut zeigt die Verordnung deutliche handwerkliche Fehler und ist nicht bis zu Ende gedacht, dafür war auf Grund der sich dem Ende neigenden Legislaturperiode anscheinend keine Zeit mehr. Selbst aus einigen zuständigen Landesbehörden gibt es deutliches Kopfschütteln zu den nun in Kraft getretenen Regeln.

Neben Drohnen, die allein zum „Spielen“ oder als Sportgerät gedacht sind, sogenannte Racer, sind für die breite Masse Drohnen interessant, die auch mit mehr oder weniger guten Kameras bestückt sind. Damit lassen sich völlig neue Perspektiven entdecken und Fotos / Videos von Regionen erstellen, die sonst völlig unzugänglich gewesen sind.

Da der Luftraum aber nicht nur von Drohnen genutzt wird, bestehen ähnlich wie im Straßenverkehr oder auf Wasser einige Regeln, die von den Drohnenpiloten beachtet werden müssen und für die die neue Verordnung erlassen wurde. Es gab auch vorher bereits einige Regelungen, die sich aber in den einzelnen Bundesländern unterschieden. Nun soll alles vereinheitlicht werden, wobei offenbleibt, ob alle zuständigen Landesbehörden die Regelungen gleich auslegen. Gleichzeitig ist man aber auch deutlich über das Ziel hinausgeschossen und hat letztlich Lobbyinteressen von großen Unternehmen in den Vordergrund gestellt, letztlich müssen wahrscheinlich die TÜVs und Dekras dieses Landes mit neuen teuren Zertifizierungsmaßnahmen mit Geld versorgt werden.

  1. Versicherung der Drohne

Wie in der Vergangenheit muss jeder, der eine Drohne fliegt, im Rahmen einer Haftpflichtversicherung abgesichert sein. Das bedeutet, sollten es durch die Drohne zu Schäden an Personen oder fremden Eigentum kommen, wird der Geschädigte durch die Versicherung entschädigt. Für die rein private Nutzung einer Drohne genügt meist die bereits bestehende Haftpflichtversicherung, wobei hier mit der Versicherung geklärt werden sollte, ob die private Nutzung von unbenannten Fluggeräten im konkreten Tarif abgedeckt ist oder ggfs. Anpassungen vorgenommen werden müssen.

Im gewerblichen Bereich ist auf jeden Fall eine gesonderte Haftpflichtversicherung abzuschließen, die für ausreichenden Versicherungsschutz sorgt. Dieser Versicherungsschutz muss ggfs. auf Verlangen auch nachgewiesen werden, daher empfehlen wir einen Nachweis bei sich zu tragen, wenn die Drohne geflogen wird.

  1. Nummernschild für Drohnen

Mit der neuen Verordnung kommt erstmals die Pflicht, eine Drohne die schwere als 250 g ist, mit einer dauerhaften und feuerfesten Beschriftung zu versehen, die Auskunft über Namen und Anschrift des Piloten/verantwortlichen Unternehmens gibt. Eine entsprechende Kennzeichnung muss sichtbar an der Drohne befestigt werden. Diese Regelung gilt für die private als auch die gewerbliche Nutzung. Da die meisten Modelle, auch im Consumer-Bereich, die mit Kameras ausgestattet dieses Startgewicht erreichen, müssen auch private Drohnenpiloten eine entsprechende Kennzeichnung vornehmen. Passende feuerfeste Kennzeichen können beispielsweise beim Bundesverband Copter Piloten geordert werden.

Dies wird aber nur der erste Schritt sein, langfristig werden die Drohnen selber über entsprechende Technik verfügen, die eine Identifizierung ermöglichen. Entsprechende Ideen gibt es beispielsweise bei dem weltweit größten Drohnenhersteller DJI schon.

  1. Drohnen-Führerschein

Heiß diskutiert und dann doch nicht in dem Maß umgesetzt, wie von vielen erwartet, ist der sogenannte Drohnen-Führerschein.

Für den Betrieb von Flugmodellen und unbemannten Luftfahrtsystemen ist erst ab einem Startgewicht von 2 kg ein Kenntnisnachweis erforderlich. Damit sind die meisten der handelsüblichen im privaten Bereich genutzten Drohnen ohne einen entsprechenden Nachweis nutzbar. Inwieweit hier im Eigeninteresse eine Schulung, die neben den praktischen Fragen auch theoretische und juristische Aspekte berücksichtigt sinnvoll ist, muss jeder für sich entscheiden. Angesichts der vielen Regeln und Verbote, die auch von Piloten kleiner Drohen eingehalten werden müssen, wäre zumindest ein minimaler Kenntnisnachweis sinnvoll gewesen.

Soweit ein größerer Copter (mehr als 5 KG) geflogen werden soll, kann der entsprechende Nachweis durch

  1. a) gültige Pilotenlizenz,
  2. b) Bescheinigung nach Prüfung durch eine vom Luftfahrt-Bundesamt anerkannte Stelle (auch online möglich), erfolgen (Mindestalter beträgt 16 Jahre).

Dabei werden Kenntnisse zur Navigation des Fluggerätes, den einschlägigen luftrechtlichen Grundlagen und der örtlichen Luftraumordnung abgefragt.

Die Bescheinigung wird für die Dauer von fünf Jahren erteilt, soweit die Drohne auf einem Modellfluggelände genutzt wird, ist kein Kenntnisnachweis erforderlich.

  1. Brauche ich eine Genehmigung zum Fliegen einer Drohne?

Hier bringt die neue Verordnung bundeseinheitlich bessere Regeln, denn grundsätzlich ist der Betrieb von Drohnen bis zu einem Startgewicht von 5 kg für den privaten aber auch gewerblichen Gebrauch (einen Unterschied sieht die Verordnung nicht mehr vor) erlaubnisfrei und bedarf daher keiner gesonderten amtlichen Genehmigung.

Ausgenommen hierfür sind Flüge in einem Radius von anderthalb Kilometer um Flughäfen und Flugplätze oder für Flüge in der Nacht.

Im Umkehrschluss bedeutet dies natürlich, dass für gewerbliche Copterpiloten, deren Copter schwere als 5 Kg Startmasse aufweisen eine generelle Erlaubnispflicht besteht. Die bei den entsprechenden Luftfahrtbehörden beantragt werden kann.

Nach dem grundsätzlich keine Erlaubnis (bis zu 5 KG) mehr erforderlich ist, bedeutet dies jedoch nicht, dass mit Drohnen überall geflogen werden kann. Die neue Verordnung sieht ausdrücklich einige Verbote vor, die unbedingt berücksichtigt werden müssen.

  1. Wo darf ich mit meiner Drohne nicht fliegen.

Wie bereits oben aufgeführt, darf ohne konkrete Genehmigung nicht in der Nähe von Flughäfen geflogen werden und es besteht ein grundsätzliches Nachtflugverbot. Natürlich gibt es auch eine Definition von Nacht, allerdings lässt diese etwas Klarheit vermissen.

„„Nacht“: die Stunden zwischen dem Ende der bürgerlichen Abenddämmerung und dem Beginn der bürgerlichen Morgendämmerung. Die bürgerliche Dämmerung endet am Abend und beginnt am Morgen, wenn sich die Mitte der Sonnenscheibe 6° unter dem Horizont befindet“ (Artikel 2 Nr. 97 (VO) EU 923/2012)

Darüber hinaus gibt es nunmehr folgende konkrete Verbote für den Flug mit Drohnen wobei seitens der Luftfahrtbehörden jeweils Ausnahmegenehmigungen erteilt werden können, was für gewerbliche Nutzer sicher von Interesse ist.

  • Der Pilot muss bis zu einer Startmasse von 5 Kg immer auf Sicht fliegen, das bedeutet er muss das Fluggerät mit den eigenen Augen verfolgen können. Es genügt nicht, wenn er durch die Videoübertragung ein Bild auf seinem Steuerungsgerät hat.

Von einigen Landesbehörden wird die Auffassung vertreten, dass genügt, wenn ein anderer das Gerät sieht und dem Piloten ggfs. direkte Anweisungen geben kann. Ob sich diese Auslegung durchsetzt bleibt abzuwarten.

  • Ein Abstand von 100 m muss eingehalten werden:

zu Menschenansammlungen, Unglücksort, Katastrophengebieten und anderen Einsatzorten von Behörden und Organisationen mit Sicherheitsauflagen, militärischen Anlagen und Organisationen, sowie übermobilen Einrichtungen von Truppen der Bundeswehr im Rahmen angemeldeter Manöver und Übungen, Industrieanlagen, Justizvollzugsanstalten, Einrichtungen des Maßregelvollzugs, Anlagen der Energieerzeugung und -verteilung sowie einigen anderen sicherheitsrelevanten Einrichtungen, Grundstücken auf den Verfassungsorganen des Bundes oder der Länder, oberste oder obere Bundes- oder Landesbehörden oder diplomatischen und konsularischen Vertretungen sowie internationale Organisationen im Sinne des Völkerrechts ihren Sitz haben sowie die Polizei und anderer Sicherheitsbehörden, Bundesfernstraßen, Bundeswasserstraßen oder Bahnanlagen

Letztlich ist es eine lange Liste und wenn man die entsprechenden Zonen beispielsweise in Berlin berücksichtigt, bleiben nicht viele Flächen übrig, in denen ohne zusätzliche Ausnahmegenehmigung geflogen werden darf.

  • Naturschutzgebiete, Nationalparks sowie andere Gebiete die im Rahmen des Bundesnaturschutzgesetzes geschützt werden dürfen ebenfalls nicht überflogen werden.

Die oben genannten Verbote waren so weitestgehend bereits bisher geregelt, teilweise durch entsprechende landesrechtliche Vorgaben.

Nunmehr kommen aber Regeln die neu eingeführt wurden und nach hiesiger Ansicht das praktische Leben von Copterpiloten ganz besonders einschränken werden.

  • Nunmehr ist das Überfliegen von Wohngrundstücken verboten, wenn die Drohne schwerer als 250 g ist oder über eine Videokamera bzw. Tonaufnahmegeräte verfüg, und der Eigentümer oder der sonstige Nutzungsberechtigte nicht zustimmt. Somit brauch man nicht nur vom Eigentümer bzw. Berechtigten des Grundstückes, auf dem man startet, sondern auch über die geflogen wird eine Genehmigung.

Von dieser Regelung dürften nahezu alle marktgängigen Drohnen erfasst sein, außer solche, die tatsächlich als reine Spielzeug eingestuft werden können. Flüge in der Stadt oder im Dorf dürften damit nahezu ausgeschlossen sein, denn gerade in Städten ist es nicht möglich sämtliche Eigentümer oder Berechtigte zu befragen. Gleichzeitig ist zu berücksichtigen, dass mit dieser Regelung nicht das Aufnehmen entsprechender Grundstücke (z.B. von Nachbargrundstück) untersagt wurde, sondern das Überfliegen. Selbst unter datenschutz- bzw. privatrechtlichen Gesichtspunkten eine über das sinnvolle Maß hinausgehende Regelung, die dem eigentlichen in der Verordnung vorgeschobenen Zweck der Innovationsfreundlichkeit zu wiederläuft.

Insoweit Grundstücke beim Fliegen auf einem anderen Grundstück, zudem eine entsprechende Genehmigung vorliegt, mit aufgenommen werden, ist dies von dieser Verbotsnorm nicht erfasst.

Bereits unter den alten Regelungen musste jeder Drohnenpilot die Persönlichkeitsrechte und den Datenschutz Dritter berücksichtigen. Betroffene hatten ausreichend rechtliche Möglichkeiten bei Verletzungen der Privatsphäre aktiv zu werden und Unterlassung und Schadensersatz zu fordern.

  • Auch die Flughöhe wurde nunmehr vereinheitlicht und auf 100 m über Grund beschränkt, ausgenommen der Pilot verfügt über einen entsprechenden Kenntnisnachweis oder er befindet sich auf dem Gelände eines Modellflugvereines. Warum hier Modellflugzeuge höher als Drohnen, oder wie es die Verordnung an dieser konkreten Stelle nennt – Multikopter- fliegen dürfen, erschließt sich mit gesunden Menschenverstand nicht, es gibt in der Gefährlichkeit keinen Unterschied. Möglicherweise hatten das BMVI oder die Landesverkehrsminister hier ein konkretes Eigeninteresse oder gute Freunde im Modelfliegerverein.
  • Natürlich dürfen mit Drohnen keine explosiven oder pyrotechnische Stoffe transportiert werden.
  • Kurz vor Schluss ist dann noch die Regelung aufgenommen worden, dass in einem Radius von 100 m um Krankenhäusern ebenfalls nicht geflogen werden darf, sicher eine der sinnvolleren Regelungen der Verordnung.

Darüber hinaus gibt es in einzelnen Städten / Gebieten zusätzliche Flugverbotszonen, die auch berücksichtigt werden müssen.

  1. Wie sieht es in Berlin aus

Da ich selber aus Berlin komme und ab und zu mit einer Drohne fliege, hier ein kurzer Blick in die Bundeshauptstadt.

Es gibt zwei Flugbeschränkungszonen in Berlin, einerseits die E-DR 146 und die E-DR 4, letztere befindet sich um den Forschungsreaktor im Südwesten Berlin und hat eine Ausdehnung von 3,7 Km. Entscheidender ist aber die Zone um den Reichstag mit einem Radius von 5,6 km. Innerhalb dieser Zonen ist jeder private Drohnenflug untersagt und dies umfasst nahezu alle Sehenswürdigkeiten und großen Parks.

Copyright MyflyZone

Die gewerblichen Drohnenpiloten haben in der E-DR 146 eine Erleichterung, da seitens des Bundesamtes für Flugsicherung hier ab der 1,9 km (1NM) eine Allgemeinverfügung erlassen wurde, nach der gewerbliche Copterpiloten (hier sind private Nutzer ausdrücklich ausgenommen) bis zu 100m aufsteigen dürfen, wenn sie die Polizei eine Stunde vor Flug informieren. Allerdings ist zu berücksichtigen, dass es in Berlin noch eine Kontrollzone gibt, die die erlaubnisfreie Höhe insgeamt auf 50m beschränkt, so dass für die Höhe zwischen 50 und 100 m eine Aufstiegsgenehmigung bei der Gemeinsame Obere Luftfahrtbehörde Berlin-Brandenburg (LuBB) eingeholt werden muss.

Daneben sind natürlich die beiden Flughäfen mit den 1,5 km breiten Verbotszonen zu beachten.

Sämtliche sonstige gesetzlichen Normen (s.o.) bleiben dabei natürlich ebenfalls zu berücksichtigen.

Am Ende bleibt es spannend, wie die neuen Regeln sich auswirken, ob die zuständigen Behörden und alle die gefragt werden müssen, so schnell reagieren, dass die Unternehmen, die mit Copter ihr Geld verdienen, dies auch zukünftig können ohne mehr Zeit am Schreibtisch als in der Luft verbringen zu müssen.

1000 Magentoshops mit Skimming-Code – BSI warnt

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestern auf seiner Webseite mitteilte, geht das Amt aktuell davon aus, dass mehr als 1.000 Onlineshops, die auf die bekannte Plattform Magento setzen, derzeit nicht alle Sicherheitsstandards umsetzen, insbesondere verschiedene Sicherheits-Patches nicht eingespielt haben. Dadurch konnte auf diesen Webseiten Schadcode eingeschleust und persönliche Daten der Nutzer, insbesondere zum Zahlungsvorgang, ausgelesen und missbraucht werden. Trotz eines Hinweises durch das BSI wurden diese Fehler durch die Websietenbetreiber nicht beseitigt.

Wenn Betreiber von Onlineshops nicht den aktuellen Stand der Technik umsetzen und damit Ihre Kunden ausreichend schützen drohen Schadenersatzansprüche und Bußgelder, somit besteht hier dringender Handlungsbedarf. Der aktuelle Stand der Technik wird im Gesetzt (13 Abs. 7 TMG) vorrausgesetzt.

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese
    1. gegen Verletzungen des Schutzes personenbezogener Daten und
    2. gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind.  Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

„Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten“, erklärt BSI-Präsident Arne Schönbohm. „Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern.“

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.

 

 

EuGH erklärt Datenabkommen zwischen EU und USA („Safe Harbor“) für ungültig

Heute Morgen hat der Gerichtshof der Europäischen Union das Abkommen zum Austausch von Daten zwischen der USA und er EU für ungültig erklärt. Die Entscheidung (AZ.: C-362/14) kam nicht unerwartet, nachdem der der Generalanwalt des EuGH Yves Bot in seinem Schlussantrag bereits die Auffassung vertrat. Der Wegfall dieses Abkommens, welches unter bestimmten Voraussetzungen den Transfer personenbezogener Daten in die USA erlaubte, wird weitreichende Auswirkungen nach sich ziehen.

Zum Hintergrund: Grundsätzlich ist der Transfer personenbezogener Daten aus Mitgliedsstaaten der Europäischen Union gemäß der Datenschutzrichtlinie 95/46/EG in Drittstaaten verboten, deren Datenschutzniveau nicht dem EU-Recht entspricht. Hierzu zählen unter anderem Die USA. Aus diesem Grund wurde ein Verfahren entwickelt, welches einzelnen US-Unternehmen trotzdem den Datentransfer zwischen der EU und den USA ermöglichte. US-Unternehmen, die sich zur Befolgung der „Safe Harbor Principles“ nebst dazugehöriger FAQ verpflichteten, konnten sich beim US-Handelsministerium in eine Liste eintragen und so dem „Safe Harbor“ beitreten. Im Jahr 2000 hat die EU-Kommission anerkannt, dass die diesem System beigetretenen Unternehmen ausreichenden Datenschutz für EU-Bürger gewährleisten.

Diverse große Konzerne traten dem Safe Harbor abkommen bei und ermöglichten so den für viele Geschäftsmodelle zwingend erforderlichen Datentransfer aus der EU in die USA. Hierzu zählen beispielsweise: Facebook, Google, Dropbox, Amazon.com, Microsoft, IBM und viele andere (Insgesamt sind über 5400 US-Unternehmen dem Safe Harbor Abkommen beigetreten.)

Dem Safe Harbor Abkommen schob der EuGH heute mit deutlichen Worten einen Riegel vor. Die EU-Kommission war demnach nicht berechtigt, die Befugnisse der nationalen Datenschutzbehörden zu beschränken, wie durch den Beschluss im Jahr 2000 geschehen. Personenbezogene Daten von EU-Bürgern seien in den USA nicht ausreichend vor behördlichen Zugriffen geschützt, so die EU-Richter.

Der EuGH stellte eingangs fest, dass die Datenschutzrichtlinie keinerlei Bestimmung enthält, die nationale Datenschutzbehörden an der Kontrolle der Übermittlungen personenbezogener Daten in Drittländer hindert, die Gegenstand einer Entscheidung der Kommission waren. Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Datenschutzbehörden im Falle einer Beschwerde in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung personenbezogener Daten in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden.

Eine Datenübermittlung in die USA allein auf Grundlage von „Safe Harbor“ ist damit nicht mehr zulässig. Betroffen sind hiervon nicht nur Unternehmen mit Sitz in den USA, sondern auch Unternehmen, die Daten lediglich in den USA speichern wollen. Hierzu zählen auch deutsche Unternehmen, die auf US-Dienste zurückgreifen. Ebenso wirkt sich die Entscheidung auf diverse Cloud-Dienstanbieter erheblich aus.

Für die Unternehmen, die ihre Datenübermittlungen bisher auf Safe Harbor Zertifizierungen der betroffenen Unternehmen in den USA gestützt haben, stellt sich nun die Frage, wie künftig der europäische Datenschutz eingehalten werden kann, da andernfalls zivilrechtliche, behördliche und ggf. sogar strafrechtliche Sanktionen drohen. In Betracht kommt zunächst, die Einwilligung sämtlicher Nutzer einzuholen, was jedoch aufwendig und unpraktikabel wäre. Darüber hinaus sind solche Einwilligungen jederzeit widerrufbar.

Um Safe Harbor zu ersetzen kommen in erster Linie die bereits heute häufig verwendeten EU-Standardvertragsklauseln in Betracht oder sog. Ad-hoc-Verträge, die jedoch von den Datenschutzbehörden zu genehmigen sind. Für den Datenaustausch innerhalb des Konzerns kann zudem an sog. Binding Corporate Rules gedacht werden. Letztlich besteht die Möglichkeit, die Niederlassung oder den Server nach Europa zu verlegen, um den Transfer in einen Drittstaat generell zu verhindern.

Die Betroffenen sind jetzt in der Pflicht. Lassen Sie sich rechtzeitig beraten, um den gesetzeskonformen Umgang mit den Daten Ihrer Kunden sicherzustellen. Nehmen Sie Kontakt mit unseren Spezialisten für Datenschutz auf.

Foto: fotolia, sonjanovak

Bundesarbeitsgericht (BAG): Arbeitnehmer dürfen (schriftlich) in Bildveröffentlichung einwilligen

Bereits Ende 2014 entschied das Bundesarbeitsgericht (BAG) [Urteil vom 11.12.14, 8 AZR 1010/13] – im Presse- und Äußerungsrecht weitgehend unbemerkt – , dass die Einwilligung eines Mitarbeiters in die Veröffentlichung von Videoaufnahmen schriftlich zu erfolgen hat, damit die Verbreitung eines Bildnisses nach § 22 S. 1 Kunsturhebergesetzes (KUG) zulässig ist. Höchstrichterlich offen war die Frage, inwieweit Mitarbeiter freiwillig in eine Verarbeitung ihrer persönlichen Daten (hier: Bildveröffentlichung) im Zusammenhang mit ihrem Arbeitsverhältnis einwilligen dürfen.

Der konkrete Sachverhalt

Das BAG entschied darüber, ob ein Arbeitnehmer eine Einwilligung in den Umgang mit Bilddaten nach Beendigung des Arbeitsverhältnisses gegenüber der früheren Arbeitgeberin widerrufen durfte. Der Monteur verklagte die ehemaligen Arbeitgeberin ein Werbevideo des Unternehmens im Internet nicht zu veröffentlichen und auf ca. 6.000 Euro Schadensersatz. Das Video zeigte den Monteur für zwei Sekunden auf er ist auf einem Gruppenbild mit ca. 30 anderen Arbeitnehmern zu sehen. Der Monteur hatte vor Drehbeginn in die Verwendung der Filmaufnahmen schriftlich eingewilligt.

Die Entscheidung des BAG

Das BAG wies sämtliche Ansprüche des Monteurs ab. Der Monteur hatte zum einen sowohl datenschutzrechtlich als auch nach dem Kunsturhebergesetz (§ 22 KUG) rechtlich wirksam in die Nutzung der Filmaufnahmen eingewilligt. Die Erfurter Richter gingen sogar weiter: Denn diese Einwilligung sei auch nicht auf die Dauer des Arbeitsverhältnisses befristet. Somit bewertete das Gericht den späteren Widerruf der Einwilligung des Monteurs als unwirksam, da der Kläger keinen Grund für seinen Widerruf nannte. Hinsichtlich der Frage der Wirksamkeit eines Widerrufs einer bereits erteilten Einwilligung, so die Richter, müsse man die Interessen des Arbeitgebers gegen die des Arbeitnehmers im Einzelfall abwägen. Die sog. Pauschaleinwilligungen des Arbeitnehmers bleiben jedoch weiterhin unwirksam.

Eine Klärung dieser Rechtsfrage fehlte bisher. Nunmehr hat das BAG mit seinem Urteil, für den Beschäftigtendatenschutz Rechtssicherheit geschaffen. Das Urteil der Erfurter Richter hat daher grundlegende Folgen für die Gestaltung von Einwilligungserklärungen im Zusammenhang von Arbeitsverhältnissen. Durch diese Entscheidung hat das BAG die Risiken des Arbeitgebers minimiert, wenn dieser Daten seiner Arbeitnehmer aufgrund von Einwilligungen im Arbeitsvertrag erheben oder nutzen möchte.

Vorläufiger Grundsatz: Arbeitnehmer dürfen frei über den Umgang ihrer Daten entscheiden

Bis zum dem jüngsten Urteil sahen die Aufsichtsbehörden für den Datenschutz Einwilligungen, die Arbeitnehmer in dem Arbeitsverhältnis abgeben, grundsätzlich keine rechtswirksame Zustimmung. Auf Grund der persönlichen Abhängigkeit und Weisungsgebundenheit des Arbeitnehmer nahmen die Datenschutzbehörden grundsätzlich an, dass die Freiwilligkeit einer Einwilligung des Arbeitnehmer nicht vorliege, da diese im Arbeitsverhältnis nicht auf einer freien Entscheidung des Betroffenen beruht. Nunmehr lautet der vorläufig neue Grundsatz: Arbeitnehmer können grundsätzlich im Rahmen des Arbeitsverhältnissen eine freie Entscheidung zur Ausübung des Grundrechts auf informationelle Selbstbestimmung treffen. Dieser Grundsatz ist zu begrüßen. Gleichwohl kann der höchstrichterliche Grundsatz nur als vorläufig bezeichnet werden, da sich europarechtlich mit der für 2018 erwarteten EU-Datenschutzgrundverordnung abzeichnet, dass der Grundsatz wieder eingeschränkt wird.

Rechtssicherheit: Warten auf die EU-Datenschutzgrundverordnung

Vorerst können Unternehmen datenschutzrechtliche Risiken weitgehend ausschließen, wenn diese transparent (und vor allem schriftlich) gestaltete Einwilligungserklärungen für ihre Arbeitnehmer nutzen. Darüber hinaus müssen Arbeitgeber weniger fürchten, dass Arbeitnehmer eine bereits erteilte Einwilligung grundlos jederzeit widerrufen können. Die gewünschte Rechtssicherheit wird jedoch erst mit Inkrafttreten der EU-Datenschutzgrundverordnung geschaffen. Es ist nicht unwahrscheinlich, dass die Entscheidung des BAG bald schon zu einer Fußnote der Rechtsgeschichte darstellt.