Bye bye WhatsApp

Ja, es gibt Zeitgenossen die ignorieren ganz bewusst diese Fakten,
getreu dem Motto das „nicht sein kann, was nicht sein darf“.

In diesem Kontext ist dies jedoch nicht als Hommage an den Dichter Christian Otto Josef Wolfgang Morgenstern zu werten, sondern als blinde Liebe zu einem Messengerdienst aus den USA, der sehr viele seiner Nutzer süchtig gemacht hat.

Seltsamerweise gehören diese Zeitgenossen zu derselben Spezies, die lieber stundenlang auf ihrem Smartphone rumtippen, als einfach mal fünf Minuten zu telefonieren, was bisher, solange man nicht hinterm Lenkrad gesessen hat, straflos möglich war.

Jetzt ist es ein Fakt – WhatApp ist nur zur 100%ig privaten Nutzung legal.

Hierzu zählt:

• kein Verein
• keine Firma
• keine Kirche
• und auch sonst keine Institution

– rein gar nichts was über die Familie hinausgeht.

Dem zur Folge – Bye bye WhatsApp, am besten noch heute Konto bei WhatsApp löschen und anschliessend deinstallieren.

Dies basiert auf der Tatsache dass in der DSGVO grundsätzlich alles verboten ist, was nicht ausdrücklich erlaubt ist:

Erlaubt ist, gemäß Art. 2 DSGVO

(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten

Dies ist völlig unverständlich, denn die DSGVO widerspricht sich hierbei selbst, da dies im Widerspruch zu ihrem Selbstzweck steht:

(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht….

Ist schon etwas seltsam dass hier kein Schutzbedürfnis für „private Daten“ gesehen wird…

Fassen wir nochmals zusammen: Hat man, als nicht 100%ige Privatperson, nicht die Einwilligung jedes einzelnen Kontakts, noch eine entsprechende Lösung für das Problem der unzulässigen Datenverarbeitung durch WhatsApp auf dem Smartphone, muss man ab dem 25.05.2018 mit Bußgeldern von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes rechnen.

Das dumme dabei – er gibt derzeit keine entsprechende technische Lösung für dieses Problem.

Ob hierbei jeder einzelne Kontakt als ein eigener Verstoß gewertet wird, ob die Gerichte dies genauso sehen und in welcher Höhe wirklich Bußgelder verhängt werden, ist derzeit völlig offen.

Es gibt im übrigen auch legale Alternativen zu WhatsApp….

…aber das ist ein eigenes Thema.

Siehe auch:

• businessinsider.de – Lest das, bevor ihr Whatsapp auf eurem Diensthandy nutzt
• WhatsApp muss vom Diensthandy (Update) – 1.6.2018
• WhatsApp: Noch gibt es keine Lösung, wie man die Messaging-App DSGVO-konform einsetzen kann
• Computer Bild – WhatsApp: ZDH warnt vor der Nutzung des Dienstes
• Mimikama – WhatsApp nutzen als Unternehmer – darf ich das denn?
• CHIP – WhatsApp jetzt illegal?
• CHIP – Nur Stunden nach Inkrafttreten der DSGVO: Erste Anzeige gegen WhatsApp ist bereits raus

• CHIP – Erstes WhatsApp-Verbot in Deutschland: Unternehmen reagiert auf umstrittenes Gesetz

ePrivacy-Verordnung (ePV) – der Alptraum geht weiter….

Während die DSGVO noch immer für Angst und Schrecken sorgt, wird bereits am nächsten Schreckgespenst gearbeitet – an der ePrivacy-Verordnung (ePV).

Als Webdesigner kommt man sich vor wie ein Meteorologe, der sieht dass ein Hurrikan auf seinen eigenen Wohnort zusteuert, welcher mit hohen Schäden verbunden sein wird, der viel Zeit, Arbeit und Geld kosten wird, ja vielleicht sogar die eigene Existenz bedroht – und man kann nichts dagegen ausrichten.
Einen Namen hat dieser schon – ePrivacy-Verordnung (ePV).

Derzeit kann noch niemand sicher sagen was, wann und wie kommt und welche Details in der finalen Fassung zu finden sein werden.

Empfehlenswert, die Website des Bundesverband Digitale Wirtschaft (BVDW) e.V. des öfteren zu besuchen, da diese sich intensiv mit diesem Thema befasst.

In diesem Kontext lesenswert, das Verbändeschreiben zur ePrivacy-Verordnung vom 01.06.2018.

DSVGO-Checkliste für Webseiten

https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-website/7304684.html

DSVGO-Checkliste für Firmen

https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-checkliste/7297857.html

Verfahren und Urteile
zum Thema DSGVO

Noch sind nur sehr wenige Verfahren zum Thema DSGVO anhängig, Urteile noch gar keine vorhanden.
Nicht verwunderlich, dazu ist die DSGVO noch zu frisch.

Dennoch, bereits heute (13.06.2018) den ersten wirklich spannenden Artikel entdeckt.

• Neue Datenschutzregeln bedroht Abo-Modell der Schufa

Hochinteressant, das wird spannend – aber sicher auch langwierig.

• finanzmarktwelt.de – Schufa-daten löschen lassen

Zertifikate

Eigentlich wollte ich hier einfach ein paar Links setzen, zu Seiten von Zertifizierungsstellen, wo man sich ganz schnell und einfach einen Überblick verschaffen kann, an welchem Cloud-Provider/Dienst ein solches vergeben wurde – aber ganz so einfach ist dies nicht.

• cloudcomputing-insider.de/cloud-nutzung-und-dsgvo-in-einklang-bringen

Ferner hatte ich die Idee, Links für die Zertifizierung von Unternehmen, die die DSGVO anwenden müssen, zu sammeln. Beruhend auf der Vorstellung das sich ein jedes Unternehmen, vergleichbar mit einer ISO-Zertifizierung, auch für die DSGVO zertifizieren lassen kann. Auch dies ist nicht so einfach.

• datenschutz.org/zertifizierung/

TOM
– technische und organisatorische Maßnahmen

Bei TOM wird es für Firmen richtig kompliziert.

Einfache, pauschale verbindliche Feststellungen, was, wie zu tun bzw. zu unterlassen ist, sind hierbei nur bedingt möglich, da dieses Thema auf die jeweils individuelle Unternehmens-IT zuschnitten sein muss.

Pauschal kann man feststellen – es muss ein Wechsel von der reinen Maßnahmenbeschreibung, hin zu einer Formulierung von Datenschutzzielen vollzogen werden (Artikel 32 DSGVO, Abs. 1).

Im Einzelnen geht es hierbei um nachstehende Punkte:

1. Pseudonymisierung
   Wikipedia definiert die Pseudonymisierung als einen Vorgang, bei dem persönliche Daten durch z.B. Zahlenfolgen ersetzt werden, so dass diese nicht mehr zuordenbar sind.
   Also z.B. Ersetzung einer E-Mail Adresse durch eine User-ID. 
2. Verschlüsselung
   Hier geht es um den Schutz der Daten vor unberechtigten Zugang z.B. durch Passwörter auf Archiven.
3. Gewährleistung der Vertraulichkeit
   Hier geht es um alles, was mit Zutritt und Zugang zu tun hat, wie gewährleisten Sie, dass nur Berechtigte Zugang zum Serverraum haben?
4. Gewährleistung der Integrität
   Wie gewährleisten Sie, dass die Daten, die Sie verarbeiten an sich richtig sind? Wie steuern Sie Änderungen oder Löschungen?
5. Gewährleistung der Verfügbarkeit
   Wie gewährleisten Sie, z.B. bei einem Stromausfall die Verfügbarkeit der Daten?
6. Gewährleistung der Belastbarkeit der Systeme
   Machen Sie regelmäßige checks, ob Ihre Systeme gegen Unfälle oder Eindringlinge sicher sind?
7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
   Haben Sie Vorgehensweisen, bei einem Zwischenfall, der z.B. alle ihre Daten auf einem Server löscht incl. Sicherungsmaßnahmen vor Brand- und Elementarsschäden?
8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
   Prüfen Sie auch, ob die o.g. Maßnahmen effektiv sind? Wenn ja, wie?
9. Schriftliche Dokumentation von sonstigen Maßnahmen
   Haben Sie z.B. Datenschutz Anweisungen an Ihre Mitarbeiter ausgegeben? Haben Sie eine IT-Sicherheitszertifizierung?

Technische und organisatorische Maßnahmen unterscheiden sich

Während es sich bei den organisatorischen Maßnahmen um die Rahmenbedingungen des Datenverarbeitungsvorgangs handelt, geht es bei den technischen Maßnahmen um den Datenverarbeitungsvorgang als solchen.

Unternehmen laufen Gefahr den Fehler zu machen ihren Fokus auf die organisatorischen Maßnahmen zu fokussieren, da diese zwar mit Arbeit verbunden sind, aber nicht mit Investitionen.

Dies ist ein Fehler, die DSGVO hat tiefgreifende Auswirkungen auf bestehende IT-Services, denn gerade hier gibt es große Unterschiede zum §9 BDSG-alt.

Entsprechend wichtig ist es, dass Sie sich auch ausgiebig mit den technischen Maßnahmen befassen, um zu gewährleisten dass Ihre IT-Infrastruktur DSGVO-konform ist, wobei, soweit noch nicht vollzogen, entsprechende Investitionen unausweichlich nötig werden.

Eine Fragen, nur als Beispiel, für die Beleuchtung von Pkt. 3: 

• Sind Ihre Aktenschränke anschliessbar?

Ja, die DSGVO ist technologieneutral anzuwenden – nicht nur im IT Bereich.

Ein paar Fragen, nur als Beispiel, für die Beleuchtung von Pkt. 7: 

• Wie sieht die Backup-Startegie aus?
• Werden die Datenträger in zertifizierten Tresoren gelagert?
• Wie ist die IT gesichert vor Einbrüchen/Diebstahl?
• Verfügen die Serverräume über Redundanz und Schutz vor unbefugtem Zugriff und Elementarschäden (Feuer, Hochwasser, ect.)?

Aus betriebwirtschaftlicher Sicht betrachtet, ergibt sich die Frage ob es es ggf. kostengünstiger ist die IT weitestgehend in eine zertifizierte Cloud auszulagern?

Wie Sie sehen – mit ein paar Formularen und Unterschriften ist es in diesem Kontext nicht getan, auch ist die Umsetzung nicht so einfach und überschaubar wie bei der Umgestaltung einer Website .

Serverstandorte und Konformität müssen im Einzelfall geprüft werden.

Zum Thema zertifizierte Cloud-Lösungen wird demnächst eine eigene Unterseite entstehen.
Dieses Thema wird sehr interessant und auch die Tatsache beleuchten dass es eigentlich noch gar keine Zertifikate für DSGVO konforme Lösungen gibt.

• Computerwoche.de – DSGVO – Was cloud Nutzer wissen müssen

Bei den Themen
„Opt-In“ und „Opt-Out„
geht es die Umsetzung einer Einwilligung bzw. einer Ablehnung auf einer Website bzw. in derem Kontext.

Bei „Opt-in“ geht es um die Bedingungen für die Einwilligung gem. Art. 7 der DSGVO.

(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Auf einer Website wird hierzu in der Regel ein PlugIn eingebunden, welches sich in einem Fenster öffnet das mittels Mausklick bestätigt werden muss.

Opt-in Verfahren wird zum Standart

Beim Opt-in-Verfahren muss der Betreffende aktiv seine Zustimmung bekunden.

Einfachstes Beispiel für einen konforme Umsetzung, das auf dieser Website eingebundene PlugIn „Cookiebot“, welches beim ersten Aufruf dieser Seite am obenen Bildrand ein Fenster öffnet. Hierin werden die vorhandenen Cookies anzeigt, deren Herkunft erklärt und um eine Zustimmung gebeten.

Wer dies einfach, ohne genauer zu beachten, weg geklickt hat und jetzt noch mal sehen möchte – diese Seite einfach als „Neues privates Fenster“ nochmal öffnen. 

Dieses PlugIn und der damit verbundene Dienst, der nebenbei bemerkt für eine Website kostenlos ist, bietet den Vorteil das die angezeigten Cookies die Ergebnisse automatischer Scans sind. Im Gegensatz zu anderen Lösungen hat dies den Vorteil dass Änderungen, sei es durch nachträgliche installation von anderen PlugIns, als auch auf Grund von Änderungen durch den Provider, automatisch nachgetragen werden. Juristische Probleme durch Vergessen oder Unwissenheit können hiermit weitesgehend ausgeschlossen werden.

Opt-out Verfahren

Da diese Webseite auch zu Test- und Demonstartionszwecken dient, öffnet sich am unteren Bildrand ein zweites Banner, ebenfalls mit der Möglichkeit Cookies zuzulassen – aber auch diese abzulehnen.

Diese Ablehnung entspricht einem „Opt-out“ gemäß einem Entwurf der ePrivacy-Verordnung die so kommen „könnte“. Bei einer Ablehung werden im Hintergrund sämtliche Cookies und Trackinginformationen z.B. an google deaktiviert. 

Fast zumindest, weil es technisch nicht anderes funktionieren kann, wird auch bei einer Ablehnung – ein „Opt-Out Cookie“ gesetzt wird. Es ist anzumerken dass eine weiterführende Blockade verboten ist. Dies beweist wieder einmal dass diese Verordnungen nur aus der Hauptstadt von Absurdistan kommen kann, denn dieser „Opt-Out Cookie“ kann nicht abgelehnt werden. Jeder Besucher wird mit Keksen gefüttert – mindestens mit einem – ob er will oder nicht.

Das doppelte Vorhandensein, von zwei unterschiedliche „Opt-in“ Fenster, ist nur den Test- und Demonstartionszwecken dieser Website geschuldet, entspricht keinerlei bestehenden oder erwarteten Forderung.

Da man eine Website meist nicht nur besucht, sondern dort auch Kontaktformulare ausfüllen und Newsletteranmeldungen ausfüllen kann, ist auch nachstehendes zu beachten.

Nicht gestattet sind:

Vorausgewählte Formulare mit bereits angekreuzte Kästchen.
Dies ergibt sich aus dem Erägungsgrund (78).

Im Erwägungsgrund (78) werden die Begriffe „data protection by design“ und „data protection by default“ eingeführt, üblicherweise als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Diese Grundsätze bedeuten, dass die Technik der Datenverarbeitung von vorneherein darauf entworfen („design“) und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird. Ein solches dokumentiertes Vorgehen kann dabei helfen, die Einhaltung der DSGVO nachzuweisen.

Einverständniserklärungen zu koppeln,

weder mit der Anmeldung zu einem Newsletter, noch einem Gewinnspiel oder sonstigem.

Das Duple-Opt-in Verfahren wird empfohlen

hierbei wird z.B. nach einer Newsletteranmeldung erst einmal einen E-Mail an den neuen Abonnenten verschickt, mit der Bitte selbige, meist durch Klick auf einen hierin enthaltenen Button oder Link, zu verifizieren. Hierbei wird auch sichergestellt dass keine Spaßanmeldungen von „guten Freunden“ durchgeführt werden können.

„Soft-Opt-in“ und „Soft Opt-out-Ansätze“ sind unzulässig

Da sowieso unzulässig gehe ich nicht lange drauf ein, nur ganz kurz.

Hiermit ist die Verwendung von im Direktkontakt erhaltenen und genutzten E-Mail-Adressen auf Newsletterverteiler gemeint.

Widerrufbarkeit der Zustimmung

Ist klar – eines der Grundthemen der DSGVO.

Mythen rund um die DSGVO

Mythen rund um die DSGVO gibt es mehr als reichlich. Die meisten beruhen auf gefährlichem Halbwissen, reinem lesen von Schlagzeilen und dem glauben an Werbeversprechen derer, die mit Produkten und Dienstleistungn zur Umsetzung der DSGVO, in einem Betrieb Geld verdienen wollen.

Versuche hier einigen davon zu benennen, was diese Seite sicher zu eine Dauerbaustelle macht.

1. Mythos: Jedes Unternehmen muss jetzt einen Datenschutzbeauftragten haben
   Dies ist Falsch.
   Einen Datenschutzbeauftragten muss ein Unternehmen nur bestellen, wenn mindestens zehn Mitarbeiter als Kerntätigkeit persönliche Daten verarbeiten. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist. Ausnahmen gibt es, im Adresshandel, medizinischen Bereich, Banken, ect. – als Pauschalaussage trifft obige Mitarbeiterregel zu.‘

   ---

2. Mythos: Für jeden Verstoß gegen die DSGVO müssen 20 Millionen Euro oder vier Prozent
   des Jahresumsatzes Strafe bezahlt werden
   Dies ist Falsch.
   Die Höchststrafe dient vor allem zur Abschreckung großer Konzerne wie Facebook, google, ect..
   Siehe hierzu auch den Artikel Geldbussen.

   ---

3. Mythos: Jede Datenerfassung bedarf einer Einwilligung
   Dies ist Falsch.
   Für die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; wird keine Einwilligung benötigt.
   Siehe hierzu auch den Artikel Rechtmässigkeit, incl. Art. 6 DSGVO.

   ---

4. Mythos: Unternehmen dürfen nur noch per verschlüsselter E-Mail kommunizieren
   Dies ist Falsch.
   Dies trifft nur zu, wenn es um Daten geht, die nach Artikel 9 Absatz 1 der DSGVO einen sehr hohen Schutzbedarf haben. Dies sind beispielsweise Gesundheitsdaten, Daten zur sexuellen Orientierung oder biometrische Daten.

   ---

5. Mythos: Die DSGVO verbietet es, personenbezogene Daten in einer Cloud zu speichern
   Dies ist Falsch.
   Personenbezogene Daten dürfen weiterhin in einer Cloud gespeichert werden – allerdings muss man mit dem Cloud-Betreiber einen Vertrag zur Auftragsverarbeitung schließen und für den gelten strengere Vorgaben als bisher. Der Cloud-Anbieter muss hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen getroffen hat, die sicherstellen, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und dass die Rechte der Betroffenen gewährleistet werden.

   ---

6. Mythos: Die DSGVO ist nur für Websites, Onlinemarketing und die Firmen-IT ein Thema
   Dies ist Falsch.
   Die DVGVO ist technologieneutral. Jeder Aktenordner, jeder Aktenschrank, jeder Karteikasten unterliegt den Bestimmungen der DSGVO.
   Siehe hierzu Erwägungsgrund 15 Technologieneutralität.

   ---

7. Mythos: „Wir sind DSGVO-zertifiziert!“
   Das ist bisher noch gar NICHT MÖGLICH!
   Der Artikel 42 der DSGVO, in dem es um die Zertifizierung geht, zeigt es eindeutig: Zertifizierungsverfahren, die zu einem DSGVO-Zertifikat führen sollen, müssen zuerst genehmigt werden. Die Verordnung gibt vor, das Zertifizierungen nur über akkreditierte Stellen oder durch die zuständige Aufsichtsbehörde erteilt werden können. Zudem stehen noch nicht alle Kriterien fest: Diese müssen erst genau festgelegt werden. Erst wenn die genehmigten Kriterien vorliegen, kann also mit einer Zertifizierung nach DSGVO begonnen werden. Dies ist aber bisher noch nicht der Fall! (Stand: 06/2018)

   ---

8. Mythos: Es drohen Gefängnisstrafen von bis zu 1,5 Jahren!
   Dies ist Falsch – völliger Unsinn!
   Von Haftstrafen ist in der DSGVO nicht die Rede. Hier drohen also Bußgelder, Haftungsrisiken und Schadensersatzklagen. Ins Gefängnis bringt einen die DSGVO selbst nicht.

Fortsetzung folgt…..

DSVGO-Checkliste für Webseiten

https://www.impulse.de/recht-steuern/rechtsratgeber/dsgvo-website/7304684.html

Rechtmäßigkeit der Verarbeitung
Gemäß Art. 6 DSGVO

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

²Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

Mit den rot markierten Punkten sind weitesgehend alle normalen Handlungen „in“ einem normalen Betrieb zu rechtfertigen, jedoch ohne die Besonderheiten hinsichtlich von Onlineaktivitäten (z.B. Webseiten/Newsletter ect.). Auch die Weitergabe von Daten z.B. zu Dienstleistern, für Abrechnungszwecke ect. muss gesondert betrachtet werden.

Das BMI veröffentlicht zu dieser Frage nachstehenden Absatz (Quelle):

Das Anfertigen von Fotografien wird sich auch zukünftig auf eine – wie bislang schon – jederzeit widerrufbare Einwilligung oder alternative Erlaubnistatbestände wie die Ausübung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DS-GVO) stützen können. Diese Erlaubnistatbestände (nach geltender Rechtslage Art. 7 der geltenden EU-Datenschutz-Richtlinie 95/46/EG i.V.m. den nationalen Umsetzungsgesetzen) decken seit vielen Jahren datenschutzrechtlich die Tätigkeit von Fotografen ab und werden in Art. 6 DS-GVO fortgeführt. Die Annahme, dass die DS-GVO dem Anfertigen von Fotografien entgegenstehe, ist daher unzutreffend.

Für die Veröffentlichung von Fotografien bleibt das Kunsturhebergesetz auch unter der ab dem 25. Mai 2018 anwendbaren Datenschutz-Grundverordnung erhalten.

Es sind keine Änderungen oder gar eine Aufhebung mit Blick auf die Datenschutz-Grundverordnung vorgesehen.

Die Ansicht, das Kunsturhebergesetz werde durch die DS-GVO ab dem 25. Mai 2018 verdrängt, ist falsch.

Das Kunsturhebergesetz stützt sich auf Artikel 85 Abs. 1 DS-GVO, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Das Kunsturhebergesetz steht daher nicht im Widerspruch zur DS-GVO, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DS-GVO ein. Eine gesetzliche Regelung zur Fortgeltung des Kunsturhebergesetzes ist nicht erforderlich. Ebenso führen die Ansätze anderer Mitgliedstaaten, die sich in allgemeiner Form zum Verhältnis von Datenschutz und Meinungs- und Informationsfreiheit verhalten, in der praktischen Umsetzung nicht weiter und führen nicht zu mehr Rechtssicherheit.

Die grundrechtlich geschützte Meinungs- und Informationsfreiheit fließt zudem unmittelbar in die Auslegung und Anwendung der DS-GVO ein, insbesondere stellen sie berechtigte Interessen der verantwortlichen Stellen nach Art. 6 Abs. 1 lit. f) DS-GVO dar. Die DS-GVO betont, dass der Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden (Erwägungsgrund 4). Zu den von der DS-GVO in diesem Zusammenhang genannten Grundrechten zählt ausdrücklich auch die Freiheit der Meinungsäußerung und Informationsfreiheit.

Linksammlung

• DJV – Was gilt in der Fotografie nach dem 25.05.2018?
• Anwalt.de – Datenschutz und Fotografie in Hobby und Beruf

• CHIP – Was das neue Gesetz bringt – und was nicht

• Fotografieren im Blitzlicht der DSGVO – Behörde schafft Klarheit