• behördliche Datenschutzbeauftragte (zum Beispiel der Landesdatenschutzbeauftragte, der für die öffentlichen Stellen des jeweiligen Bundeslandes zuständig ist, oder der Bundesdatenschutzbeauftragte)
• betriebliche Datenschutzbeauftragte (ein Angestellter eines Unternehmens oder ein externer Datenschutzbeauftragter, der für den betrieblichen Datenschutz zuständig ist).

• Datensparsamkeit (es sollen nur so viele Daten verarbeitet werden wie notwendig)
• Speicherbegrenzung (personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist)
• Zweckbindung (personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden)
• Richtigkeit (die verarbeiteten Daten müssen korrekt sein)
• Rechenschaftspflicht (der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können)

Die Verantwortung für den Datenschutz kann nicht durch Bestellung an den Datenschutzbeauftragten abgegeben werden. Der Datenschutzbeauftragte überwacht und berät, ob der Datenschutz in einem Unternehmen korrekt umgesetzt wird und ob das Unternehmen eine geeignete Strategie zur Umsetzung verfolgt. Für die korrekte Umsetzung des Datenschutzes bleibt das Unternehmen bzw. der Vertretungsberechtigte des Unternehmens selbst verantwortlich.

Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines DSB in den folgenden Fällen verpflichtet:

• Die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
• Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und Artikel 10 DSGVO.

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.

Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.

Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.

Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Miteinzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.

Unabhängig von der Zahl der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.

Die notwendige berufliche Qualifikation ergibt sich bereits nach dem Wortlaut der DSGVO insbesondere aus dem Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Das erforderliche Niveau des Fachwissens hängt von den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die betroffenen personenbezogenen Daten ab. Das bedeutet: Je schutzwürdiger die Daten oder je intensiver die Verarbeitungen, desto höhere Anforderungen sind an das Fachwissen des Datenschutzbeauftragten zu stellen. Dieses ist bei einem externen Datenschutzbeauftragten meist umfassender und tiefgehender vorhanden als bei einem innerbetrieblichen. Was unter dem gesetzlich vorgeschriebenen „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ im Einzelnen gemeint ist, bedarf näherer Klärung, ergibt sich aber mit Blick auf die zu erfüllenden Aufgaben.

Um die fachgerechte Verwendung der Datenverarbeitungsprogramme sicherzustellen, muss der Beauftragte zunächst umfassende IT-Kenntnisse vorweisen. Nur wenn er über den nötigen Sachverstand verfügt, um die technischen Vorgänge der Datenverarbeitung zu verstehen, kann er beurteilen, ob diese den datenschutzrechtlichen Vorgaben genügen. Darüber hinaus sind ebenso tiefergehende juristische und betriebliche Kenntnisse erforderlich. Insbesondere muss der Datenschutzbeauftragte fortlaufend über die gesetzlichen Bestimmungen und etwaige Änderungen informiert sein. Da ein interner Mitarbeiter noch andere Geschäftspflichten zu erfüllen hat, spricht auch dies oft für einen externen Datenschutzbeauftragten.

Neben der beruflichen Qualifikation muss der Beauftragte auch die Fähigkeit zur Erfüllung seiner Aufgaben mitbringen. Hierzu gehören solche persönlichen Eigenschaften wie soziale Kompetenz, Integrität, Verschwiegenheit und Kommunikationsfähigkeit, um die Informations- und Beratungsaufgaben sowie die Funktion als Ansprechpartner für die Unternehmen wahrzunehmen. Ferner ist von entscheidender Bedeutung, dass der Beauftragte seine Pflichten in vollständiger Unabhängigkeit ausüben kann. Er darf auch im Hinblick auf seine Aufgaben nicht in Interessenkonflikte geraten. Dies ist etwa der Fall, wenn dem Datenschutzbeauftragten auch andere Tätigkeiten anvertraut sind. Ein weiteres Beispiel für einen Interessenkonflikt liegt vor, wenn der Datenschutzbeauftragte sich selbst kontrollieren müsste, er also etwa zugleich Leiter der Personalabteilung wäre. Schließlich muss der Beauftragte in der Lage sein, gegenüber der Geschäftsleitung seine Stellung zu wahren und im Zweifel durchzusetzen, insbesondere im Falle von Meinungsverschiedenheiten hinsichtlich der datenschutzrechtlichen Anforderungen an die jeweiligen Verarbeitungsvorgänge.

Unternehmen, die sich also unmittelbar oder mittelbar mit der Verarbeitung von Daten befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes: 

• Die Verarbeitung von personenbezogenen Daten muss rechtmäßig, nach Treu und Glauben und für die betroffene Person nachvollziehbar, d.h. transparent, erfolgen (Art. 5 Abs. 1 lit. a DSGVO)
• Es sind nur die Daten zu erheben und zu verarbeiten, die für den Vorgang der Verarbeitung erforderlich und für den Zweck angemessen und notwendig sind (Art. 5 Abs. 1 lit. b, c DSGVO).
• Personenbezogene Daten müssen sachlich richtig und auf dem neusten Stand sein. Zudem müssen alle angemessenen Maßnahmen getroffen sein, um bei Unrichtigkeit (im Hinblick auf den Zweck ihrer Verarbeitung) eine Löschung oder eine Berichtigung veranlassen zu können (Art. 5 Abs. 1 lit. d DSGVO).
• Zudem sind die Daten nur solange zu speichern, wie es für den Zweck der Verarbeitung erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO).
• Die Daten müssen in einer Weise, die angemessene Sicherheit gewährleistet, verarbeitet werden und durch geeignete technische und organisatorische Maßnahmen vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt sein (Art. 5 Abs. 1 lit. f DSGVO).

Zudem finden sich spezielle Grundsätze zur Datenverarbeitung auch im Telemediengesetz (TMG):

• Der Unternehmer hat für den größtmöglichen Schutz der Daten besonders im Hinblick auf Zugriff von Dritten zu sorgen (§ 13 Abs. 4 Nr. 3 TMG).
• Der Betroffene hat gegen den Unternehmer Anspruch auf Auskunft über die gespeicherten Daten (§ 13 Abs. 8 TMG).

Gemäß Art. 39 Abs.1 lit. b DSGVO gehört die Überwachung der Einhaltung der DSGVO sowie anderer datenschutzrechtlicher Vorschriften zu den Kernaufgaben eines DSB. Letzterer hat im Falle eines Verstoßes gegen die DSGVO das Unternehmen zu unterrichten, so dass dieses seiner Verantwortung Rechnung tragen kann und die Einhaltung der relevanten Vorschriften sicherstellt. 

Ferner werden Unternehmen hinsichtlich der Einhaltung der DSGVO-Regelungen von den zuständigen Aufsichtsbehörden kontrolliert (§ 40 BDSG-neu). Im Falle eines Verstoßes drohen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes des Unternehmens.

Seit dem Inkrafttreten der DSGVO stehen Unternehmen vor der Herausforderung, die neuen datenschutzrechtlichen Vorgaben in ihre Geschäftsprozesse zu implementieren. 

Die Einhaltung dieser Änderungen liegt nämlich in der Verantwortung der Unternehmen, genauer gesagt der Geschäftsleitung selbst. Zu beachten ist, dass sich diese Verantwortung nicht auf den Datenschutzbeauftragten (DSB) übertragen lässt. 

Um die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten, ist eine schrittweise, systematische Herangehensweise notwendig. Hierzu gehört nicht nur ein gut strukturiertes Datenschutz-Managementsystem, sondern bspw. auch entsprechende Sensibilisierung sowie regelmäßige Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter. 

Mit Einführung der sog. „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO) muss der Verantwortliche auch jederzeit in der Lage sein, die Einhaltung der datenschutzrechtlichen Regelungen nachzuweisen. Dies führt zu weitrechenden Dokumentationspflichten des Unternehmens. 

Zu den wichtigsten Änderungen für Unternehmen gehören:

• neue Voraussetzungen für die Benennung eines DSB (Art. 37 DSGVO, ergänzt durch § 38 BDSG-neu),
• Pflicht des Verantwortlichen (nicht mehr des DSB) zur Führung eines Verzeichnisses über alle Verarbeitungstätigkeiten (Art. 30 DSGVO),
• Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch den Verantwortlichen (nicht mehr durch den DSB),
• Erweiterung der Betroffenenrechte in Art. 12-23 DSGVO, z.B. um das Recht auf Datenübertragbarkeit,
• neue Vorgaben hinsichtlich der Auftragsverarbeitung (Art. 28 und 29 DSGVO), bspw. im Hinblick auf Einsatz von Subunternehmern sowie
• Pflicht zur Einführung von Privacy by Design (Art. 25 Abs. 1 DSGVO) und Privacy by Default (Art. 25 Abs. 2 DSGVO).

Ja, wenn für die Reichweitenanalyse nicht auf die Dienste externer Dritter zurückgegriffen wird. Eine Reichweitenanalyse funktioniert nämlich auch ohne Dritten (wie Google Analytics) Informationen über das Nutzungsverhalten der Website-Besucher weiterzugeben. Stattdessen kann eine Logfile-Analyse gemacht oder es können lokal installierte Analysewerkzeuge [1] ohne Zusammenführung der Nutzungsdaten über Anbietergrenzen hinweg verwendet werden (siehe Kasten auf Seite 13 der Orientierungshilfe). Auch diese müssen transparent dargestellt (vgl. Art. 12 ff. DSGVO) und datensparsam konfiguriert werden. Verantwortliche Seitenbetreiber ersparen sich damit den Aufwand für eine datenschutzrechtliche Untersuchung externer Dienste im Einzelfall und das Einholen der ausdrücklichen Einwilligung der Nutzer (siehe Frage 5 dieser FAQ sowie Seite 8 ff der Orientierungshilfe).

Bei der Einbindung von Elementen Dritter, z.B. Reichweiteanalyse-Tools oder Social-Media-Plugins, ist regelmäßig eine Einwilligung in die konkrete Datenverarbeitung erforderlich (vgl. Anhang I der Orientierungshilfe). Eine ausdrückliche, informierte, freiwillige, aktive und vorherige Einwilligung der Nutzer ist insbesondere erforderlich, wenn Dritten die Möglichkeit gegeben wird, Nutzungsverhalten zu analysieren oder wenn personenbezogene Daten an Dritte weitergegeben werden. Letzteres findet üblicherweise bei der Einbindung externer Elemente wie Social-Media-Plugins oder externer Reichweitenanalyse-Tools statt. Es ist auch wichtig zu prüfen, ob ein Auftragsverarbeitungsvertrag oder ein Vertrag über die gemeinsame Verantwortung notwendig ist und ob eine Datenübertragung in Länder außerhalb der europäischen Union erfolgt und rechtmäßig ist. 

[1] Ein Beispiel für ein entsprechendes Analyse-Tool ist die kostenlose Open-Source-Software Matomo, siehe https://matomo.org/   – aber auch hier sind datenschutzfreundliche Voreinstellungen zu wählen.

Bei der Verwendung von Cookies, die zum Betrieb des Telemediendienstes notwendig sind und keine seitenübergreifende Nachverfolgung des Nutzerverhaltens ermöglichen, können sich Verantwortliche häufig auf (vor-) vertragliche Maßnahmen Artikel 6 Absatz 1 lit. b DSGVO stützen. Dies ist z.B. bei der Verwendung einer Warenkorb-Funktion der Fall, wenn dabei keine Übertragung von Daten an Dritte bzw. keine Einbindung von Elementen Dritter stattfindet.

In anderen Fällen können sich Verantwortliche auf ein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO berufen. Wenn die entgegenstehenden Belange der Nutzer in diesen Fällen nicht überwiegen, ist die Nutzung von Cookies nicht einwilligungsbedürftig.

Weitere Informationen zu der durchzuführenden Interessenabwägung finden sich in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien.[1] Zum Widerspruchsrecht nach Artikel 21 DSGVO und entsprechende Voreinstellungen des Nutzers wie beispielsweise eine „Do Not Track“ Einstellung siehe Seite 17 f der Orientierungshilfe. 

[1] Online verfügbar unter https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.

Anbieter von Telemediendiensten, die Elemente integrieren, die das Nutzerverhalten insbesondere über Website- oder Geräte-Grenzen hinweg (also z.B. über verschiede Domains verschiedener Anbieter) zusammenfassen, benötigen die aktive, ausdrückliche, informierte, freiwillige und vorherige Einwilligung (Artikel 6 Absatz 1 lit. a DSGVO) der Nutzer (vgl. Seite 8 ff der Orientierungshilfe und Frage 5 dieser FAQ). Dies gilt insbesondere (aber nicht nur) für die Einbindung von Plugins von Social-Media-Anbietern, großen Online-Plattform-Betreibern und Werbenetzwerken.

Aber auch der Betreiber selbst darf nicht beliebig personenbezogene Daten der Nutzer ohne Einwilligung zusammenführen.

Die Nutzung von Cookies ist nicht per se einwilligungsbedürftig. Datenverarbeitungen (ob mit oder ohne Hilfe von Cookies), für die keine Einwilligung erforderlich ist, müssen nur in der Datenschutzerklärung dargestellt werden. „Einwilligungs-Banner“ müssen eingesetzt werden, wenn tatsächlich eine Einwilligung des Nutzers nötig ist, also insbesondere Daten an Dritte weitergegeben werden oder Dritten die Möglichkeit eröffnet wird, Daten zu erheben. In einem solchen Fall ist ein Hinweis auf Cookies in der Datenschutzerklärung nicht ausreichend, sondern es müssen die oben genannten Anforderungen (siehe Frage 5) und die folgenden Vorgaben für die Einwilligung beachtet werden (vergleiche Seite 8  ff der Orientierungshilfe):

Notwendige Elemente:

• Klare, nicht irreführende Überschrift – bloße Respektbekundungen bezüglich der Privatsphäre reichen nicht aus. Es empfehlen sich Überschriften, in denen auf die Tragweite der Entscheidung eingegangen wird, wie beispielsweise „Weitergabe Ihrer Nutzerdaten an Dritte“. Links müssen eindeutig und unmissverständlich beschrieben sein – wesentliche Elemente/Inhalte insbesondere einer Datenschutzerklärung dürfen nicht durch Links verschleiert werden.
• Der Gegenstand der Einwilligung muss deutlich gemacht werden – Klare Beantwortung der folgenden Fragen: Welche personenbezogenen Daten sind betroffen? Was passiert mit ihnen? Wer erhält Zugriff auf die Daten? Werden die personenbezogenen Daten mit weiteren Daten verknüpft? Welchen Zwecken dient das?
• Die Einwilligung darf nicht voreingestellt sein – ein Opt-in ist notwendig (vgl. Seite 5 der Orientierungshilfe).
• Es dürfen keine Daten weitergegeben werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
• Der Zugriff auf Impressum und Datenschutzerklärung darf nicht verhindert oder eingeschränkt werden, bevor eine Einwilligung durch den Nutzer erteilt wurde.
• Die Freiwilligkeit der Einwilligungs-Erklärung muss deutlich gemacht werden und ein Hinweis auf das Recht auf einen jederzeitigen Widerruf muss enthalten sein; beispielsweise „Diese Einwilligung ist freiwillig, für die Nutzung dieser Website nicht notwendig und kann jederzeit widerrufen werden, indem […]“.
• Wie der Widerruf zu erklären ist, ist in der Information zur Einwilligungserklärung klar und deutlich zu beschreiben. Die Erklärung des Widerrufs muss jederzeit so einfach sein wie die Einwilligungserklärung selbst.

Nein. Zwar stellt jede Fotografie, auf der ein Mensch abgebildet ist, ein personenbezogenes Datum dar, in Zeiten der Digitalfotografie liegt auch stets eine automatisierte Verarbeitung dieser personenbezogenen Daten vor.

Jedoch fallen aber solche Fotografien, die „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“ (Art. 2 Abs. 2 lit. c) DS-GVO) gemacht werden (sog. Haushaltsausnahme) nicht in den Anwendungsbereich der DS-GVO. Hiervon sind z.B. Fotos erfasst, die für die eigene Erinnerung auf einer Familienfeier oder auch einer Schulveranstaltung gemacht werden. Diese Ausnahme wird jedoch sehr eng verstanden:

Sollen Fotos in einer durch Nutzernamen und Passwort geschützten Gruppe oder einem geschlossenen Forum über eine Webseite zugänglich gemacht werden, so fällt dies noch unter die Haushaltsausnahme. Anderes gilt, wenn ein bestimmter Bereich einem unbeschränkten Personenkreis zugänglich gemacht wird, indem sich jedermann dort anmelden und die Fotos einsehen kann. So fällt die Veröffentlichung von Fotos auf einer frei zugänglichen Webseite nicht mehr unter eine rein persönliche oder familiäre Tätigkeit mit der Folge, dass die DS-GVO in diesen Fällen Anwendung findet.

Daneben sind aber noch andere Gesetze beim Fotografieren zu beachten: Das Kunsturhebergesetz (KUG) und das in der Rechtsprechung entwickelte Allgemeine Persönlichkeitsrecht (APR).

Das Verhältnis dieser Rechtsgrundlagen zueinander ist ziemlich kompliziert und umstritten. Die aktuelle Diskussion kreist im Wesentlichen um die Frage, ob das KUG, speziell dessen § 23, unter der DS-GVO weiterhin Bestand hat. Unabhängig davon, welche Auffassung man hierzu vertritt, sind die praktischen Auswirkungen der jeweiligen Sichtweisen im Ergebnis wenig spürbar, da die Wertungen des KUG jedenfalls in die Abwägungsentscheidung nach Art. 6 Abs. 1 lit. f) DS-GVO einfließen.

Das KUG regelt insbesondere drei Fälle, bei denen es keiner Einwilligung des Fotografierten für die Verbreitung der Aufnahmen bedarf:

• Bildnisse aus dem Bereiche der Zeitgeschichte
• Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen
• Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben

Das APR kommt in Betracht, wenn durch das Fotografieren oder die Verbreitung von Fotos Menschen in ihrer Persönlichkeitsentfaltung beeinträchtigt werden. Das kann etwa sein, wenn Menschen an privaten Orten (in der Wohnung, im eigenen Garten, in der Kirche) oder in intimen Situationen (Sex, Familienfeier, ärztliche Behandlung) fotografiert werden. Das APR ist auch über den Tod hinaus geschützt (postmortales APR) und ist immer neben der DS-GVO einschlägig. Bei diesem geht es um die Geltendmachung zivilrechtliche Unterlassungs- und Schadensersatzansprüche, die neben das Datenschutzrecht treten und auch auf anderem Weg, nämlich privat, ggfls. mit einer Klage vor den Zivilgerichten, geltend zu machen sind.

Bildaufnahmen sind zunächst nach Art. 6 Abs. 1 DSGVO verboten, wenn sie nicht auf eine Einwilligung oder auf eine andere Rechtfertigung gestützt werden können. Wenn die Datenverarbeitung der Erfüllung eines Vertrages mit dem Betroffenen dient, ihre Grundlage in den Bestimmungen einer (Vereins-)Satzung hat, oder im überwiegenden Interesse des Verantwortlichen erforderlich ist, spricht viel dafür, die Verarbeitung auch auf die entsprechende Rechtfertigung in der DS-GVO zu stützen (hier insbes. Art. 6 Abs. 1 b und f DS-GVO). Eine Einwilligung ist dann nur noch in sonstigen Fällen (etwa bei Aufnahmen von Kindern, die nicht lediglich als Beiwerk auf der Aufnahme erscheinen) erforderlich.

Einwilligung in Erhebung und Verbreitung
Eine Einwilligung muss hierbei nicht zwingend schriftlich erfolgen. Vielmehr ermöglicht es die DS-GVO, die Einwilligung elektronisch, mündlich oder sogar konkludent (z.B. durch Posieren oder Lächeln in die Kamera) abzugeben. Jedoch muss der Verantwortliche für den Fall, dass die Verarbeitung auf einer Einwilligung beruht, nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 Abs. 1 DS-GVO). Ferner hat der Verantwortliche die betroffene Person vor Abgabe der Einwilligung darauf hinzuweisen, dass sie das Recht hat, ihre Einwilligung jederzeit zu widerrufen Art. 7 Abs. 3 DS-GVO). Bei Minderjährigen ist es erforderlich, dass die Einwilligung von den Erziehungsberechtigten erteilt wird.

Weitere Rechtsgrundlagen für die Erhebung
Im Regelfall kann die Anfertigung von Bildaufnahmen nach Art. 6 Abs. 1 lit. f) DS-GVO gerechtfertigt werden. Die Datenverarbeitung ist dann rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Rechte der betroffenen Person überwiegen. Letzteres ist insbesondere dann der Fall, wenn es sich bei der betroffenen Person um ein Kind handelt.
Es ist also eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen einerseits mit den Interessen oder Grundrechten der betroffenen Person andererseits vorzunehmen.
Im Rahmen dieser Abwägung sind insbesondere die vernünftigen Erwartungen der betroffenen Personen zu berücksichtigen (Erwägungsgrund 47 DS-GVO).
Bei einer größeren Veranstaltung auf Einladung dürfte die Erwartungshaltung der Gäste und der an der Durchführung Beteiligten regelmäßig dahin gehen, dass eine Dokumentation in Form von Fotografien stattfinden wird. Die betroffene Person muss möglicherweise auch mit einer internen Verwendung der Fotos rechnen, jedoch gehen die vernünftigen Erwartungen nicht dahin, dass die Fotos anschließend veröffentlicht werden. Ebenso wenig muss die betroffene Person mit einer werblichen Verwendung der Fotos rechnen. Das kann bei öffentlich beworbenen Veranstaltungen anders zu bewerten sein.

Erhebung auf vertraglicher Grundlage (Dokumentation einer Vereinsveranstaltung/Hochzeitsfotos)
Hiernach ist die Anfertigung von Fotografien zunächst zulässig, wenn dies Teil oder originärer Inhalt eines Vertrages ist, z. B. bei der Beauftragung eines Veranstaltungsfotografen (Art. 6 Abs. 1 lit. b) DS-GVO). In diesem Fall ist jedoch zunächst nur die Anfertigung von Fotos des unmittelbaren Vertragspartners zulässig, z. B. des Hochzeitspaares, welches einen Fotografen beauftragt hat. In Bezug auf die Gäste und sonstige Anwesende einer Veranstaltung wäre jedoch eine andere Rechtsgrundlage erforderlich, da sie nicht Vertragspartei werden.

Besonderes Widerspruchsrecht nach Art. 21 wegen besonderer Situation der fotografierten Person
Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Veröffentlichung von Fotos Widerspruch einzulegen. Der Verantwortliche darf die Fotos dann nicht mehr veröffentlichen, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen, welche die Interessen der fotografierten Person überwiegen. Auf dieses Widerspruchsrecht hat der Verantwortliche ausdrücklich hinzuweisen (Art. 21 Abs. 4 DS-GVO).

Informationspflichten des Verantwortlichen
Der Verantwortliche muss auf die geplante Veröffentlichung hinweisen und den Betroffenen sämtliche Informationen des Art. 13 DS-GVO mitteilen. Es ist also genau über die Zwecke, für die die Fotos verarbeitet werden, sowie über die Rechtsgrundlage zu informieren. Auch ist darüber zu informieren, ob die Fotos ggf. an Dritte weitergegeben werden. Ferner ist über die Dauer, für die die personenbezogenen Daten erhoben werden sollen, das Recht auf Auskunft bzw. Berichtigung und Löschung, auf das Recht, die Einwilligung jederzeit zu widerrufen sowie über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde zu informieren.

Erfolgt die Verarbeitung auf Grundlage des Art. 6 Abs. 1 lit f) DS-GVO, so ist im Rahmen der Informationspflichten auch auf das berechtigte Interesse des Verantwortlichen hinzuweisen.

Hinsichtlich der Informationspflichten bei einer unüberschaubaren Menschenmenge ist aus es aus der Sicht des LfDI vertretbar, dass das Fotografieren mit einer heimlichen Datenerhebung vergleichbar ist. Für diese wird Art. 14 DS-GVO herangezogen, wobei nach Art. 14 Abs. 5 lit. b) Satz 1 DS-GVO eine Pflicht zur individuellen Information entfällt, wenn sich dies als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. In diesen Fällen ist nach Art. 14 Abs. 5 lit. b) Satz 2 DS-GVO die Information für die Öffentlichkeit bereitzustellen. Dies könnte etwa durch einen Aushang an den Eingängen einer Sportstätte erfolgen, der die wesentlichen Angaben nach Art. 14 Abs. 1 DS-GVO enthält und insbesondere darüber informiert, an wen man sich wenden kann, , wenn man aus besonderen Gründen nicht abgelichtet werden will (Art. 21 DS-GVO).

Diese Informationspflichten können auch „gestuft“ erfüllt werden: So können in einem ersten Schritt nur die „Basisinformationen“ aufgeführt werden (z.B. Name und Kontaktdaten des Verantwortlichen, Zwecke, für die die Bilder verwendet werden, Rechtsgrundlage der Verarbeitung, Speicherdauer, Bestehen von Betroffenenrechten, ggfls. die Möglichkeit des Widerrufs der Einwilligung), während weitergehende Informationen in einem nachgelagerten Schritt etwa über eine Webseite oder detailliertere Informationsblätter gegeben werden.

Zur Angabe seiner persönlichen Daten ist der Gast nicht verpflichtet; auch wird die Richtigkeit seiner Angaben vom Betreiber der Gaststätte nicht überprüft. Sollten der Gast seine persönlichen Daten allerdings nicht zur Verfügung stellen, darf er die Gaststätte nicht besuchen und darin nichts verzehren und lediglich einen evtl. vorhandenes Take Away-Angebot oder einen Lieferdienst nutzen.

Nach § 2 Absatz 3 der Corona-Verordnung Gaststätten dürfen folgende Daten beim Besuch (Betreten) einer Gaststätte erhoben werden:

Name und Vorname des Gastes, Datum sowie Beginn und Ende des Besuchs und Telefonnummer oder Adresse des Gastes.

Für die Informationspflichten der Gaststättenbetreiber wurde unter Mitarbeit des LfDI ein Muster erstellt, das u.a. vom DEHOGA unter https://www.dehogabw.de/servicecenter/servicecenter-details/formular_gaesteregistrierung.html veröffentlicht ist. Dieses Muster enthält auch die notwendigen Datenschutzhinweise nach Art. 13 der Datenschutz-Grundverordnung (DS-GVO).

Mit den Daten sollen im Falle eines Falles mögliche Infektionsketten zurückverfolgt werden. Für andere Zwecke (z.B. Werbung) dürfen diese Daten nicht verwendet werden (strenge Zweckbindung).

Die o.g. Daten sind vom Betreiber der Gaststätte vier Wochen nach der Erhebung (also nach dem Ausfüllen durch den Gast) zu löschen.

Für die Einhaltung des Datenschutzes ist der Betreiber der Gaststätte verantwortlich. Datenschutzaufsichtsbehörde und somit Ansprechpartner bei Rückfragen oder Beschwerden ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit.

Ja, falls dies nicht ohnehin schon geschehen ist (gilt als sog. technisch-organisatorische Maßnahme, TOM, Art. 32 DS-GVO). Auch hierfür ist der Betreiber der Gaststätte verantwortlich.

Entscheidend ist: Ein Gast darf keinesfalls die Möglichkeit haben, die Daten vorheriger Gäste einzusehen. Auch dies wäre ein Verstoß des Betreibers gegen den Datenschutz.

Diese Daten können von den Gesundheitsbehörden (der Ortspolizeibehörde und dem Gesundheitsamt) nach Maßgabe der §§ 16 und 25 des Infektionsschutzgesetzes genutzt werden.