DSGVO für Fotografen ᐅ Zusammenfassung und Vertrag als Muster

Einzige Ausnahme nach § 30 DSGVO sind Unternehmen, Vereine, Einrichtungen mit weniger als 250 Mitarbeitern, die nur gelegentlich personenbezogene Daten verarbeiten. Unternehmen dürfen personenbezogene Daten normalerweise nur dann verarbeiten, wenn der Betroffene darin eingewilligt hat. Das unabhängige Datenschutzzentrum ULD mit Sitz in Schleswig-Holstein hat in einer Broschüre klargestellt, dass diese Pflichtinformationen nicht zwingend zum Zeitpunkt der Erhebung erteilt werden müssen.

• Hierunter fällt auch das Speichern von Name und Telefonnummer in einem Datenverarbeitungssystem – wie einem elektronischen Terminkalender.
• Weiter spezifiziert wird die Einwilligung im Erwägungsgrund 32.
• Eine Einwilligungserklärung ist immer erforderlich, wenn von Gesetzes wegen (DSGVO, BDSG, TKG, UWG) kein generelles Gebot oder eine Erlaubnis zur Verarbeitung personenbezogener Daten gibt.
• Allerdings wendet sich diese nur an Angehörige der Heilberufe und nicht an andere Berufsgruppe-wie etwa Handwerkbetriebe.

Für sie gilt wie bisher das Kunsturhebergesetz, wenn sie ein Foto veröffentlichen. Ob es sich um Pressefotografie handelt, wenn ein Fotograf ein Bild nicht im Auftrag anfertigt, es „auf Verdacht“ schießt, um es später an ein Medium zu verkaufen, ist rechtlicher Graubereich. Gleichzeitig muss die betroffene Person «informiert» sein, was bedeutet, sie muss die Möglichkeit haben festzustellen, wer für den konkreten Anlassfall die Verantwortung trägt und für welchen Zweck die Daten verarbeitet werden. 1 a, bedeutet das für den Verantwortlichen, dass eine Erhebung und Verarbeitung von personenbezogenen Daten einer Einwilligung bedarf. Diese Einwilligung muss unmissverständlich und freiwillig erteilt werden.

Während das Urheberrecht nicht zu übertragen ist, können Nutzungs- und Verwertungsrechte individuell geregelt sein. Im Absatz 2 geht die Verordnung auf die Verarbeitung der Daten, „… Darunter sind alle Vorgänge dem erheben, erfassen, organisieren, ordnen, speichern, verändern von personenbezogenen Daten dienen, zu verstehen. Ebenso wie übermitteln, verbreiten, löschen (§4 Abs. 2 DSGVO). Sie sind gemäß Artikel 15 DSGVO jederzeit berechtigt, gegenüber dem Unternehmen (Vertragspartner) um umfangreiche Auskunftserteilung zu den zu Ihrer Person gespeicherten Daten zu ersuchen. Die oben genannten Daten werden auf den Servern von (Firmenname) gespeichert und können nur von berechtigten Personen eingesehen und bearbeitet werden.

Der Datenschutzbeauftragte ist für die Schulung von Mitarbeitern, die Überwachung der Einhaltung von Datenschutzrichtlinien und die Zusammenarbeit mit den Aufsichtsbehörden verantwortlich. Unternehmen und Organisationen, die personenbezogene Daten in großem Umfang verarbeiten, sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu ernennen. Ziel der Datenschutz-Grundverordnung (DSGVO) ist sowohl der Schutz personenbezogener Daten als auch die Gewährleistung des freien Datenverkehrs im Europäischen Binnenmarkt.

Artikel 30 DSGVO und Änderungen im Vergleich zum Verfahrensverzeichnis

Diese werden allerdings erst tätig, gegen Unternehmen etwa Untersagungsverfügungen beziehungsweise Bußgeldbescheide erlassen. Am besten sollten Unternehmer sich an die zuständige Datenschutzaufsicht ihres jeweiligen Bundeslandes „Aufsichtsbehörden für den nicht öffentlichen Bereich“ wenden und dort schriftlich oder per E-Mail nachfragen. Dabei sollten sie etwa das Praxisbeispiel der nordrhein-westfälischen https://www.fanarbeit.ch/neue-online-casinos-schweiz Aufsichtsbehörde anführen, auch wenn dieses für sie nicht bindend ist.

Teil I: Checkliste zur Klärung der Vorfragen, Vertragsgegenstand, Pflichten

Der Tatbestand der „automatisierten Verarbeitung“ ist erfüllt, weil es bspw. Die Frage ist, welches Recht die sozialen Medien an den hochgeladenen Bildern haben. Von der Anwendung der DSGVO ausgenommen sind Aufnahmen, die von natürlichen Personen ausschließlich im familiären oder persönlichen Bereich angefertigt wurden (§2 Abs. 2c DSGVO). Es liegt jedoch im Ermessen der Behörden, wie restriktiv sie diese Bestimmung anwenden.

Eine besondere Pflicht zur Abfrage der Einwilligung besteht dann, wenn auf der Seite „Tracking“, Aufzeichnung des Userverhaltens, erfolgt (Google Analytics, Facebook). Im KUG steht das „Recht am eigenen Bild“ im Fokus, eine Veröffentlichung bedarf der nachweislichen Zustimmung des Modells, die allerdings „stillschweigend“ erfolgen kann, wenn Art und Umfang der Veröffentlichung erkennbar sind. Ein weiteres Indiz für die Zustimmung ist die Annahme eines Honorars. Das KUG regelt allerdings nur die Veröffentlichung der Daten und nicht das Anfertigen, deshalb gilt für die Abbildung von Personen uneingeschränkt die DSGVO.

Der Schutzbereich dieses Grundrechts ist denkbar weit gefasst und umfasst sämtliche Daten des Einzelnen. In seiner negativen Ausformung umfasst der Schutzbereich auch das Recht auf Nichtwissen.

Eine Grenze ist erreicht, wenn eine Information keinen journalistischen Hintergrund aufweist oder wenn mangelhaft mit personenbezogenen Daten umgegangen wird. Bei dem kostenlosen Muster handelt es sich um ein unverbindliches Muster aus unserem MusterWIKI (Mitmach-Vorlagen). Für die Richtigkeit, Vollständigkeit und Aktualität der Vorlage wird keine Gewähr übernommen. Es ist nicht auszuschließen, dass die abrufbaren Muster nicht den zurzeit gültigen Gesetzen oder der aktuellen Rechtsprechung genügen. Das unverbindliche Muster muss vor der Verwendung durch einen Rechtsanwalt oder Steuerberater individuell überprüft und dem Einzelfall angepasst werden. Gemäß Artikel 17 DSGVO können Sie jederzeit gegenüber dem Unternehmen (Vertragspartner) die Berichtigung, Löschung und Sperrung einzelner personenbezogener Daten verlangen.

Wenn Ihr Unternehmen ein kleines oder mittleres Unternehmen (KMU) ist, das personenbezogene Daten gemäß den oben genannten Beschreibungen verarbeitet, müssen Sie die Bestimmungen der Datenschutz-Grundverordnung erfüllen. Beachten Sie, dass die „Kerntätigkeiten“ Tätigkeiten umfassen sollten, bei denen die Verarbeitung von Daten einen untrennbaren Teil der Tätigkeiten des Verantwortlichen oder Auftragsverarbeiters bilden muss. Eine Datenschutzerklärung ist eine Erklärung, in der ein Unternehmen oder eine Organisation erklärt, wie es personenbezogene Daten sammelt, verarbeitet und speichert. In der Datenschutzerklärung müssen die betroffenen Personen über die Zwecke der Datenverarbeitung, die Kategorien personenbezogener Daten, die Empfänger der Daten und die Dauer der Datenspeicherung informiert werden. Die Datenschutzerklärung muss auch über die Rechte der betroffenen Personen informieren und Angaben zum Datenschutzbeauftragten enthalten.

Ein weiterer wichtiger Grundsatz ist das Prinzip der Datensparsamkeit und Datenvermeidung (§ 3a BSDG). Unter Datenschutz wird primär der Schutz personenbezogener Daten vor missbräuchlicher Verwendung und Datenverarbeitung verstanden. Dazu zählen auch der Schutz des Persönlichkeitsrechts und der Privatsphäre sowie das Recht auf informationelle Selbstbestimmung. Jeder Verantwortliche hat die Pflicht, jede Verarbeitung personenbezogener Daten, die in seinem Zuständigkeitsbereich liegt, zu dokumentieren. Hieraus ergibt sich, dass die rechtliche Situation noch nicht abschließend geklärt ist. Abzuwarten bleibt, inwieweit künftig Gerichte hierüber entscheiden werden.

Vom Verfahrensverzeichnis zum Verzeichnis von Verarbeitungstätigkeiten gemäß DSGVO – mit Muster / Vorlage

Grundsätzlich müssen alle, die personenbezogene Daten erheben und verarbeiten ein Verzeichnis führen, dass die Verarbeitungstätigkeiten dokumentiert. Der Zweck liegt darin, dass alle Verarbeitungsvorgänge nachvollziehbar sind und der Verantwortliche damit den Nachweis führen kann, dass er die Vorgaben der DSGVO einhält. Für eine genauere Definition kann der Erwägungsgrund 82 (1) herangezogen werden. Demzufolge hat (soll) jeder Verantwortliche oder Auftragsverarbeiter, alle Datenverarbeitungstätigkeiten dokumentieren, die in seinem Verantwortungsbereich liegen.

Es reiche aus, wenn dies im zeitlichen Zusammenhang zur Erhebung geschieht. Am Beispiel einer Arztpraxis verweist es darauf, dass dies in einer Arztpraxis durch Übergabe eines Handzettels oder Flyers an den Patienten geschehen könne. Allerdings wendet sich diese nur an Angehörige der Heilberufe und nicht an andere Berufsgruppe-wie etwa Handwerkbetriebe. Hier besteht das Problem darin, inwieweit bei der Erhebung und Verarbeitung der personenbezogenen Daten des Anrufenden (wie Namen und Telefonnummer) bereits umfangreiche Informationspflichten des Unternehmers bestehen. Einbindungen von Facebook-Likes oder aktuelle Feeds von sozialen Netzwerken sind nicht datenschutzkonform, weil bereits beim Aufruf der Seite Daten übertragen werden.