DSGVO: Foto, Google Analytics & ePrivacy
09.10.2018
Wirtschaft
09.10.2018
Wirtschaft
Bildaufnahmen, seien es Fotos oder Videos, spielen im Stadtmarketing eine wesentliche Rolle. Mit dem Inkrafttreten der DSGVO wurden auch hier teilweise neue Regelungen erlassen, die es zu beachten gilt.
Was Sie bei der Verwendung von Bildaufnahmen sowie Google Analytics beachten sollten und welche Auswirkungen mit der ePrivacy-Verordnung in der derzeitigen Entwurfsform zu erwarten sind, erfahren Sie im Folgenden.
Laut DSGVO sind Fotos und Videos von Personen als personenbezogene Daten zu werten. Auch dann, wenn man keine Namen nennt. Begründet wird dies damit, dass die Verknüpfung von Personenbildern mit Daten schnell herstellbar ist, da z.B. Bekannte, KollegInnen oder Familienangehörige die Person erkennen können.
Wenn die Person, die abgebildet wurde, nicht erkennbar ist, wird es sich im Normalfall auch um keinen personenbezogenen Datensatz handeln. Das Pixeln von Gesichtern gilt allerdings nicht als „rechtssicher“.
Denn zum einen kann man Personen häufig trotzdem identifizieren, zum anderen sind auf künstliche Intelligenz basierende Programme inzwischen in der Lage, solche Bearbeitungen rückgängig zu machen.
Anmerkung: Die DSGVO gilt nicht für private Fotos oder Videos. Diesbezüglich gelten weiterhin die bisherigen Regelungen.
Die Verarbeitung und Veröffentlichung von Personenfotos und -videos auf Websites, Social Media (Facebook, Instagram) oder in gedruckten Medien erfordert eine „Rechtfertigung“. Die sechs möglichen Grundlagen der rechtmäßigen Datenverarbeitung sind in Art. 6 Abs. 1 DSGVO DSGVO geregelt.
Für Fotos und Videos sind vor allem zwei Rechtfertigungsgründe relevant: Die Einwilligung sowie „berechtigtes Interesse“. Präzisiert wird in Österreich die Bildaufnahme (Foto und Video) im Datenschutzanpassungsgesetz 2018.
Grundsätzlich empfiehlt es sich, Einwilligungserklärungen vor den Bildaufnahmen einzuholen. Zu bedenken ist hier, dass für Einwilligungen nach Art. 7 Abs. 3 DSGVO ein freies, jederzeitiges Widerrufsrecht gilt.
Ein rechtlich zulässiger Widerruf wirkt dabei immer nur für die Zukunft. Wurde zunächst eine Einwilligung erteilt, dann kann man die Veröffentlichung eines Fotos rückwirkend nicht als unzulässig ansehen.
Wenn Sie also z.B. die Einwilligung zur Ablichtung und Veröffentlichung einer Person auf der Website oder auf Facebook, Instagram, etc. haben, dann dürfen Sie das Foto auch bis zu einem allfälligen Widerruf der Einwilligung veröffentlichen.
Während Sie bei Online-Veröffentlichungen das Foto einfach löschen, kann bei gedruckten Materialen ein Widerruf mitunter recht unangenehme Konsequenzen mit sich bringen, wenn z. B. Broschüren mit gedruckten Fotos geschwärzt oder eingestampft werden müssen.
Achtung: Bei Minderjährigen ist ein besonderer Schutz in Art. 8 DSGVO verankert. Hier ist zu beachten, dass die schriftliche Einwilligung aller Personensorgeberechtigten vor den Fotoaufnahmen vorliegen muss (z.B. Kindergartenfotos oder Gruppenfoto einer Sportmannschaft). In Österreich gilt dies bis zur Vollendung des 14. Lebensjahres.
Eine Schwärzung der Gesichter – wie kürzlich in einem Kindergarten in Deutschland geschehen – ist nicht erforderlich.
Sofern eine Einwilligung nicht eingeholt werden kann (z.B. bei Massenveranstaltungen), kann als Rechtsgrund die Interessensabwägung nach Artikel 6 Absatz 1 lit. f DSGVO herangezogen werden: Wenn das Interesse des Verantwortlichen (also z.B. des Veranstalters, der Gemeinde) das Interesse des Betroffenen (Gast der Veranstaltung, Gemeindebürgers) überwiegt, liegt ein gültiger Rechtsgrund vor.
Es besteht z.B. das berechtigte Interesse der Gemeinde in der Gemeindezeitung die BürgerInnen über die ihre Aktivitäten, Veranstaltungen, etc. zu informieren. Das legitime Interesse der Gemeinde an einer bebilderten Berichterstattung über den Faschingsumzug, das Sommerkino oder eine Sportveranstaltung wird man daher nicht ernsthaft in Frage stellen können.
Argumentiert wird diesbezüglich damit, dass es um ein Foto einer Örtlichkeit geht, bei der die Personen nur als Beiwerk erscheinen. Wer zudem zu einer solchen Veranstaltung geht, zeigt sein Gesicht im öffentlichen Raum.
Mit der Anfertigung von Fotos und deren Verbreitung in der Öffentlichkeit ist kein schwerer Eingriff in Individualrechte verbunden, sodass die Interessensabwägung zugunsten des Veranstalters ausfällt.
„Wenn zum Beispiel Personen in einem Stadion aufgenommen wurden und die Gesichter auch klar erkennbar sind, kann es sein, dass die Bilder veröffentlicht werden dürfen, weil das Bild nicht sie als Person dokumentiert, sondern die Örtlichkeit“, so DSGVO-Experte Peter Fürsicht.
Möchte ein Veranstaltungsgast nicht online oder in gedruckten Materialien erkannt werden, dann kann er sich auf eine „besondere Situation“ nach Art. 21 Abs. 1 DSGVO berufen und eine Veröffentlichung verhindern.
Anmerkung: Die Interessensabwägung gab es auch bisher schon im österreichischen Urheberrecht §78 UrhG als Bildnisschutz bzw. „Recht am eigenen Bild“, hier ändert sich durch die DSGVO eigentlich nichts. Auch bisher konnte eine Person die Veröffentlichung ihres Bildes bei entsprechender Begründung untersagen, die DSGVO lagert dieses Recht lediglich auf die Speicherung des Bildes vor.
Laut WKO könnte man diesbezüglich zwar grundsätzlich argumentieren, dass das Unternehmen ein berechtigtes Interesse hat, Fotos von MitarbeiterInnen auf der Website oder sonstigen Medien zu veröffentlichen. Wenn Sie jedoch auf Nummer sicher gehen möchten, empfiehlt die WKO die Einwilligung der MitarbeiterInnen.
Egal ob Einwilligung oder „berechtigte Interessen“ – bei jeder Veröffentlichung sind gemäß den Informationspflichten nach Art. 13 und 14 DSGVO „Fotohinweise“ zu erstellen. Darin müssen der Zweck der Anfertigung der Fotos und Videos, die Empfänger und die Speicherdauer angegeben und über die DSGVO-Betroffenenrechte unterrichtet werden.
Bei Einzelpersonen bzw. einer überschaubaren Anzahl von Personen kann man den Fotohinweis persönlich übergeben. Bei Veranstaltungen, insbesondere bei Massenveranstaltungen, wird sich diese Praxis allerdings kaum umsetzen lassen.
Hier muss daher bei Einladungen, Veröffentlichungen zur Veranstaltung oder beim Kauf der Eintrittskarte sowie bei der Veranstaltung selbst (z.B. Aushang im Kassenbereich, bei der Registrierung, auf Eintrittskarten) auf die Anfertigung von Fotos bzw. Videos und die Verwendung (Folder, Broschüren, Website, Social Media) hingewiesen werden.
Die Informationen sollten generell auch auf der Website bereitgestellt werden (siehe Beispiel) – bei Online-Anmeldungen bzw. Online-Kauf von Tickets kann man dann direkt zum Hinweis verlinken.
Wenn beispielsweise bei einer Theateraufführung Fotos gemacht werden, dann muss bereits beim Kauf der Eintrittskarte darauf hingewiesen werden. Wenn es sich hingegen um eine Veranstaltung handelt, die auf einem öffentlichen Platz stattfindet, dann sind Sie in der Regel mit der Erstellung eines Fotohinweises in Form eines Aushanges (Plaketes) auf der sicheren Seite.
Ein Muster zu Fotohinweis und Datenschutzinformation für Veranstaltungen finden Sie auf der Website des Datenschutzexperten Dr. Mag. Thomas Schweiger.
Die Thematik der Nutzung von Fotos und Videos ist letztlich von Fall zu Fall unterschiedlich. „Die DSGVO hat noch nicht die Schärfe, die wir gerne hätten. In diesem Bereich gibt es noch einige Unklarheiten“, erklärt Datenschutzexperte KommR Günter R. Schwarz.
Als sinnvolle Vorgangsweise in Hinblick auf Veranstaltungen empfiehlt KommR Schwarz daher, bei jeder Veranstaltung im Vorfeld mit dem Datenschutzbeauftragten abzuklären, was genau zu tun ist und wo Einwilligungen einzuholen sind.
Wer eine Website betreibt, nutzt in der Regel Google Analytics, oder ähnliche Tools, um zu sehen wie viele User auf die eigene Website kommen, woher sie stammen und was sie sich auf der Seite ansehen. Da die Privatsphäre des Users berücksichtigt werden muss, gelten strenge Regeln beim Einsatz solcher Analysetools. Folgendes ist zu beachten:
Laut Datenschutzexperte KommR Schwarz gibt es auch in diesem Bereich noch viele Ungereimtheiten. Wichtig sei jedenfalls der Verweis auf die Datenschutzerklärung, letztlich könne aber in der momentanen Situation niemand sagen, wie das Thema absolut rechtssicher zu handhaben ist, da die Spezialthemen noch nicht durchjudiziert sind.
Auch in Hinblick auf Social Media Monitoring bzw. Social Media Listening empfiehlt KommR Schwarz ein vorsichtiges Vorgehen: Sie dürfen das Wissen über Trends, Stimmungen, etc. haben, Sie dürfen es jedoch nicht speichern und nicht verwenden!
Während die DSGVO den Datenschutz im Allgemeinen regelt, zielt die ePrivacy-Verordnung (EPV) auf das Internet ab. Sie soll beispielsweise regeln, welche Daten Websites tracken und speichern dürfen.
Wie bei der DSGVO geht es also auch bei der ePrivacy-Verordnung um den Schutz personenbezogener Daten: Die DSGVO legt die Grundsätze fest, die ePrivacy-Verordnung konzentriert sich voll auf die elektronische Kommunikation.
Die EU will mit der ePrivacy-Verordnung den Datenschutz intensiver regulieren und die Privatsphäre der VerbraucherInnen online stärken. Die derzeit diskutierten Vorschläge richten sich unter anderem ganz konkret an Software-, Website- und App-Betreiber und wirken sich damit grundsätzlich auf die gesamte Online-Branche aus.Geplante Verschärfungen betreffen vor allem die Verwendung von Cookies.
So wurde die 2002 erlassene ePrivacy-Richtline in Österreich mit dem Telekommunikationsgesetz 2003 (BGBl. I Nr. 70/2003) umgesetzt. 2009 erfolgte eine Ergänzung der Richtlinie durch die sogenannte Cookie-Richtlinie, die eine ausdrückliche Einwilligung der NutzerInnen verlangt, damit Websites Cookies bei den NutzerInnen setzen dürfen.
Mit der Umsetzung der Richtlinie im § 96 TKG 2003 war es in Österreich bereits seit 2003 für Website-BetreiberInnen verpflichtend, die aktive Zustimmung der Website-NutzerInnen für die Verwendung von personenbezogenen Cookies („Opt-In“) aktiv seine Zustimmung geben.
Opt-In bedeutet dabei, dass im Fall einer Checkbox diese nicht bereits mit einem Häkchen versehen sein darf (siehe dazu: WKO: Regelungen zu Cookies und Webanalysen).
In Deutschland hingegen musste trotz Cookie-Richtlinie bislang dem Einsatz von Cookies nicht aktiv zugestimmt werden, sondern lediglich darauf hingewiesen werden (Möglichkeit zum „Opt-out“ durch Deaktivierung in Browser-Einstellungen). Spielräume wie diese werden mit der ePrivacy-Verordnung nicht mehr möglich sein, da sie für alle EU Staaten bindend sein wird.
Aktuell wird noch heftig über den Inhalt der Verordnung gestritten. Der Grund hierfür liegt unter anderem darin, dass die geplante Verordnung im Bereich Cookies vor allem zwei bedeutsame Änderungen für Unternehmen vorsieht:
Ausnahmen von der Einwilligung gibt es nur dann, wenn die Daten „streng erforderlich“ oder „streng technisch notwendig“ sind, um einen Dienst zu erbringen.
Das trifft z.B. auf den Warenkorb im Rahmen des Online-Shopping oder das Session-Cookie für den Login-Status zu.
Die Konsequenz daraus ist, dass z.B. der Erfolg von Marketing- und Werbekampagnen sehr viel schwieriger zu messen sein wird. Wird die EPV in der derzeit vorliegenden Form umgesetzt, dann würde es nicht nur die wirtschaftliche (auf Werbeeinnahmen basierende) Struktur des Internets in ihren Grundfesten erschüttern, sondern auch Onlinemarketing Aktivitäten von Unternehmen wesentlich erschweren.
Wenn auch mit dem Inkrafttreten der EPV voraussichtlich erst im Frühjahr 2020 zu rechnen ist, kann es nicht schaden, schon jetzt einen Datenschutzexperten zu Rate zu ziehen, um alternative Marketingmethoden auszuarbeiten – insbesondere dann, wenn Sie im Stadtmarketing Tracking nutzen.
Obwohl die Auflagen strenger sind, bedeutet die Datenschutzgrundverordnung nicht den Untergang des Online Marketings. Unternehmen müssen mit den Daten der NutzerInnen sensibler umgehen und proaktiv über die Datenverwendung informieren. Derzeit bestehen allerdings noch viele Unklarheiten.
Unter dem Aspekt der möglichen Haftung von GeschäftsführerInnen ist neben einer vorsichtigen Vorgangsweise die Beauftragung eines zertifizierten, externen Datenschutzbeauftragten zu empfehlen, der die Einhaltung der DSGVO überprüft und als Ansprechperson für alle Themen rund um die Datenschutzkriterien fungiert.
Interne MitarbeiterInnen dürfen aufgrund ihrer Weisungsgebundenheit nicht zum Datenschutzbeauftragten bestellt werden.
In Hinblick auf die ePrivacy-Verordnung sollte man die Entwicklungen aufmerksam verfolgen, um eventuell erforderliche Anpassungen zeitgerecht umzusetzen. Informationen zum Thema Social Media & DSGVO (einschließlich Update zu Facebook) finden Sie in unserem Beitrag „Social Media und DSGVO: 7 Tipps für die Umsetzung„.
Warum sich bereits mehr als achtzig Standorte in Österreich als Mitglieder beim Dachverband Stadtmarketing Austria austauschen?
Weil wir gezeigt haben, dass „Miteinander“ mehr bringt. Im Miteinander machen Sie für Ihren Standort das Mögliche zum Machbaren. Wir unterstützen Sie dabei mit Know-how, das sich in der Praxis bewährt hat, mit Weiterbildung, die neue Perspektiven eröffnet sowie mit Erfahrungsaustausch, der Sie in Ihrer Rolle stärkt.
Formen Sie aktiv die Zukunft des Stadtmarketings!
Werden Sie Teil unserer dynamischen Gemeinschaft und nutzen Sie unsere vielfältigen Angebote zur fachlichen Weiterentwicklung und Einflussnahme.