B. Höcke und das Recht am eigenen Bild

B. Höcke (Foto: Alexander Dalbert, Lizenz: 
CC BY-SA 3.0)

Der aus Funk und Fernsehen bekannte rechtsradikale  Landtagsabgeordnete B. Höcke muss sich, wie Medien berichten, mit einem Ermittlungsverfahren auseinandersetzen, nachdem er das Foto eines Mordopfers in über soziale Medien verbreitete (und viele sagen: instrumentalisierte).

Ich habe bei einer Onlinerecherche nicht zielgenau ermitteln können, welche Strafnorm die Staatsanwaltschaft verletzt sieht, gehe aber davon aus, dass es um § 33 des Kunsturhebergesetzes (KUG) geht, der die Verletzung des Rechts am eigenen Bild nach § 22 KUG durch Verbreitung oder öffentliche Zurschaustellung ohne Einwilligung und ohne, dass die Einwilligung entbehrlich wäre, unter Strafe stellt.

Wer dem Mann das Strafverfahren gönnt  – das immerhin bereits zu einer Aufhebung seiner Immunität im Thüringischen Landtag geführt hat – sollte sich hiervon aber nicht allzu zuviel versprechen. Der Strafrahmen ist mit „Freiheitsstrafe bis zu einem Jahr oder Geldstrafe“ nicht allzu üppig bemessen, und B. Höcke muss nicht befürchten, kurz vor Weihnachten noch in U-Haft genommen zu werden.

Im Allgemeinen ist eine Strafanzeige wegen der Verletzung des Rechts am eigenen Bild auch nicht unbedingt das erste Mittel der Wahl, um sich gegen Übergriffe wie den, der hier in Frage steht, zu wehren. Nicht nur ist der Strafrahmen gering, es handelt sich auch noch um ein Privatklagedelikt nach 374 Abs. 1 Nr. 8 StPO, so dass die Staatsanwaltschaft die Möglichkeit hat,  das Verfahren unter Hinweis auf den Privatklageweg einzustellen (§ 170 Abs. 2 StPO). Dann passiert in der Regel nichts weiter.

Effektiver, schneller und ggf. sogar schmerzvoller als ein Ermittlungsverfahren, das im Zweifel wie das Hornberger Schießen endet, kann es da sein, die entsprechenden Unterlassungs- und Schadensersatzansprüche zivilrechtlich durchzusetzen. Soweit recherchierbar, scheint dies vorliegend nicht geschehen zu sein. 

Auch die Hinterbliebenen sind hier (für den Zeitraum von 10 Jahren nach dem Tod des/der Abgebildeten) anspruchsberechtigt, wie sich aus § 22 S. 3 KUG ergibt. Ein Anspruch auf Geldentschädigung kommt allerdings nur in Betracht, wenn die Nutzung des Fotos hier die Rechte von Angehörigen selbst verletzen würde; das dürfte eher schwierig zu begründen sein (mehr zur Frage der Geldentschädigung bei Verletzung des Rechts am eigenen Bild hier). 

Trotzdem finde ich hier (auch) die Strafanzeige und den Strafantrag durchaus sinnvoll – und sei es nur, um die öffentliche Aufmerksamkeit auf die Scheinheiligkeit der selbsternannten Rechtsstaatsverteidigerpartei zu lenken, bei deren Repräsentanten es sich reihenweise ganz einfach um (mutmaßliche) Straftäter handelt. 

Jurafunk Nr. 154: Captain Knutsch und die „Selbstöffnung“, Jörg Knörr und die Lustigkeit

Kurz vor Jahresende haben es die Jurafunker noch einmal geschafft, sich für die endgültige Ausgabe des Jahres 2018 zusammenzufinden.

Besprochen werden in Folge 154: Die Monopolisierung des Begriffs „Titan“ (as in: „Pop-Titan“ oder „Podcast-Titan“), die Selbstöffnung von Captain Knutsch und deren Folgen und, last but not least, der Qualitätsgehalt eines bestimmten Werks des Comedians Jörg Knörr. 

 

Jurafunk Nr. 154 – Inhalt:

00’00“ – Intro

01’25“ – Kahn ./. T1tan: Wie ein ehemaliger Top-Torhüter einmal ein Wort ganz für sich haben wollte (LG München I, Az. hier nicht bekannt, mehr dazu)

08’56“ – Warum Captain Knutsch sich gegen bestimmte Berichterstattung  nicht erfolgreich wehren kann und was es mit der „Selbstöffnung“ auf sich hat (OLG Köln, Urt. vom 22.11.18, Az. 15 U 96/18 ).

21’10“ – Warum sich Entertainer und Stimmimitator Jörg Knörr um ein Honorar streiten musste und wieso es dabei auf seine Witzigkeit (nicht) ankam (OLG Köln, Urt. v. 14.11.2018, Az. 11 U 71/18).

26’55“ – Warum Whatsapp-Kettenbriefe zwar auch zu Weihnachten doof sind aber nicht so gefährlich wie viele meinen (Mehr dazu).

Das Jurafunk-Team ist für dieses Jahr „durch“ und wünscht allen Hörerinnen und Hörern frohe Weihnachten und ein gesundes und erfolgreiches neues Jahr. Bleiben Sie sich und uns treu – Wir sind in 2019 wieder da!

10 verbreitete Rechtsirrtümer … zur Datenschutz-Grundverordnung (DSGVO)

Der Untergang des Internets wie wir es kennen, ist bekanntermaßen am 25.5.2018 eingeläutet worden. Ein halbes Jahr später steht das Internet zwar immer noch, rund um die Datenschutz-Grundverordnung existieren aber mehr Mythen denn je. Die passende Gelegenheit, sich einmal ein paar Fehlannahmen zu widmen, denen ich tagtäglich begegne.

Irrtum: Die DSGVO ist Teufelswerk
Tatsache: Mit der DSGVO ist Datenschutz endlich Thema.

Der Internetnutzer ist nicht mehr Kunde, er ist das Produkt. Jedenfalls, wenn er die großen Plattformen wie Facebook oder Google nutzt, in gewisser Hinsicht und teilweise auch bei Verkaufsplattformen wie Amazon. Es ist Zeit, dies nicht länger zu ignorieren und es wird Zeit, der Macht der Plattformen etwas entgegenzusetzen. Und genau dies erreicht die DSGVO. An ihr kommen nicht nur die vielzitierten und bemühten „kleinen Blogger“ nicht mehr vorbei, die sich nun mit dem Datenschutz befassen müssen. Es müssen sich nunmehr auch alle Daten-Dienstleister gegenüber ihren Kunden in Hinblick auf Datenschutz und Datensicherheit rechtfertigen. Erstmals wird dem Thema Datenschutz bereits bei der Auswahl von Dienstleistern Priorität eingeräumt. Und das ist gut so.

Irrtum: Die Umsetzung der DSGVO bringt keine Probleme mit sich.
Tatsache: Vieles in der DSGVO ist unklar. Einiges erscheint widersprüchlich. Manches ist überflüssiger Formalismus.

Gebetsmühlenartig hört man die Datenschützer in den Aufsichtsbehörden vortragen: Probleme mit der DSGVO und deren Umsetzung sind nur Missverständnisse auf Seiten der Verpflichteten. Es ist alles ganz einfach, man muss es nur wollen. Das ist aber ganz offensichtlich nicht der Fall. Denn die DSGVO ist voller unbestimmter Rechtsbegriffe und deren Auslegung durch die Landesdatenschutzbeauftragten ist nicht immer hilfreich. Gerade kleine Unternehmen sind mit der Erfüllung von Informations- und Dokumentationspflichten überfordert. Sind seitenlange Datenschutzerklärungen bei der Bestellung im Buchladen sinnvoll? Darüber kann man geteilter Meinung sein. Vielleicht kann man auch sagen: „Was für ein Blödsinn“. Eine Kommunikationsstrategie des Abwiegelns ist aber sicherlich nicht hilfreich bei dem Versuch, dem Datenschutz zu mehr Akzeptanz zu verhelfen.

Irrtum: Auf einmal Auftragsverarbeitung +  AVV!
Tatsache: Schon lange Auftragsverarbeitung + AVV (früher: ADV)!

Die größte Veränderung im Bereich der Auftragsverarbeitung seit Anwendung der DSGVO am 25. Mai ist, nach meiner bescheidenden Meinung, die Einsparung eines „D“ in der Abkürzung. Bis zum 25.5.2018 hieß die „Auftragsverarbeitung“ nämlich „Auftragsdatenverarbeitung“ und die entsprechenden Vereinbarungen hießen „Auftragsdatenverarbeitungsvereinbarungen“ oder kurz „ADV“. Seit dem heißen sie „AVV“. Sonst hat sich herzlich wenig geändert, insbesondere wurde die bereits in § 11 BDSG (alt) geregelte Verpflichtung des Auftraggebers, mit seinen Auftragsverarbeitern entsprechende Vereinbarungen mit bestimmten Mindestinhalten zu schließen, nicht von der DSGVO erfunden. Nur weil viele Menschen die schon vor Anwendung der DSGVO geltende Rechtslage nicht kannten, bedeutet das nicht, dass sie nicht existiert hätte.

Irrtum: Die DSGVO-Abmahnwelle kommt.
Tatsache: Die DSGVO-Abmahnwelle kommt nicht.

Niemand kann voraussagen, ob nicht morgen jemand anfängt, komische Briefe zu schreiben. Dennoch sprach schon vor dem 25. Mai einiges dafür, dass die herbeifantasierten DSGVO-Abmahnwellen, die das Internet sofort ab dem Stichtag überschwemmmen würden, ausbleiben und jedenfalls bis Herbst 2018 sind sie auch ausgeblieben. Die Argumente habe ich hier bereits vor einiger Zeit einmal ausführlich aufgeschrieben.

Irrtum: Zwanzig Millionen Euro!
Tatsache: Erst mal alles andere.

Eins „weiß“ jeder über die DSGVO: Wer verstößt, muss 20 Millionen Euro zahlen (oder 4% des Jahresumsatzes, was eben höher ist). Diese Horrorzahlen sind natürlich sexy, um damit Werbung für Gegenmaßnahmen zu machen. Rechtsberatung, Datenschutzbauftragtensoftware, you name it. Nur haben sie mit der Realität nicht das geringste zu tun. Richtig ist, dass das maximal (!) mögliche (!) Bußgeld (!) für bestimmte Verstöße gegen die DSGVO 20 Millionen Euro beträgt  (oder 4% des Jahresumsatzes, was eben höher ist). Weder wird aber bei den meisten Verstößen überhaupt ein Bußgeld festgesetzt werden, selbst wenn die Datenschutzbehörde davon Kenntnis erlangt (weil viele andere Aufsichtsmaßnahmen exisitieren, die viel geeigneter sind, den jeweiligen Verstoß zu ahnden, zum Beispiel Anordnungen zur Beendigung des Verstoßes gemäß Art. 58 Abs. 2 DSGVO, nämlich Rügen, Anweisung, die Datenverarbeitung den gesetzlichen Vorgaben anzupassen oder zeitlich begrenzte oder endgültiges Verbot der Datenverarbeitung). Noch werden auch in den Fällen, in denen Bußgelder verhängt werden, annähernd die genannten Maximalsummen erreicht werden.

Irrtum: Alle alten Newsletter-Einwilligungen müssen mit der DSGVO neu eingeholt werden.
Tatsache: Ordentlich eingeholte Einwilligungen müssen mit der DSGVO nicht neu eingeholt werden.

Zugegeben, der Hinweis kommt ein bisschen spät, denn zwischenzeitlich ist die Welle der E-Mails, die bei Newslettern und ähnlichem zu erneuter Einwilligung aufriefen, abgeebbt. Weil das, was alle machen, wohl seine Gründe haben muss, hat diese Welle aber zu der verbreiteten Meinung geführt, dass es eine Verpflichtung hierzu gibt. Diese gibt es natürlich nicht.

Bevor der Punkt erreicht war, an dem Alle sicherheitshalber ihre Einwilligungen noch einmal eingeholt haben, weil alle anderen das eben auch machen (…und außerdem 20 Millionen Euro !!!), dürfte es dieser Aspekt gewesen sein, der manche zurecht davon ausgehen ließ, ihre Einwilligungen seien unwirksam: Nach der DSGVO dürfen Einwilligungen (ausdrücklich) nicht (mehr) mit anderen Erklärungen verbunden werden, dies besagt das „Kopplungsverbot“ aus Art. 7 DSGVO. Einwilligungen, die in der Vergangenheit unter Verstoß hiergegen eingeholt wurden (weil z.B. die Newsletter-Bestellung mit etwas ganz anderem verbunden war), mussten tatsächlich „nachqualifziert“ werden, wie das im Marketing-Sprech heißt. Aber eben auch nur die.

Irrtum: Unter der DSGVO braucht jedes Unternehmen einen Datenschutzbeauftragten.
Tatsache: Die Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist, haben sich nicht wesentlich geändert.

Weiterhin müssen nur Unternehmen, die bestimmte Verarbeitungtätigkeiten zu ihren Kerntätigkeiten zählen (Art. 37 DSGVO) oder bei denen mehr als 10 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 BDSG), einen Datenschutzbeauftragten. Für andere Unternehmen kann ein Datenschutzbeauftragter sinnvoll sein. Vorgeschrieben ist er nicht.

Irrtum: Die DSGVO sorgt dafür, dass keiner mehr einen anderen Fotografieren darf. Und das Foto veröffentlichen schon gar nicht.
Tatsache: Die Voraussetzungen für das Anfertigen und Veröffentlichen von Fotos, die Menschen zeigen, haben sich nicht wesentlich verändert.

Obwohl die DSGVO schon seit 2016 galt, kam die Aufregung in Sachen Fotografie erst Anfang 2018 so richtig in Fahrt. Nicht weniger als das Ende der Personenfotografie, wie wir sie kennen, wurde ausgerufen. Bislang allerdings, ohne dass diese Diskussion große Auswirkungen auf die Lebenswirklichkeit außerhalb der Diskussion entfaltet hätte. Mit anderen Worten: Würde man es aus dem Internet nicht besser wissen, würde man gar nichts davon mitbekommen, dass die Welt untergegangen ist. Das mag auch daran liegen, dass die ersten Urteile und Einschätzungen aus dem Dunstkreis der Datenschutzaufsicht der Meinung zuneigen, dass das Recht, wie wir es kannten, auch weiterhin gilt (und die ganzen schlimmen Informationspflichten der DSGVO vielleicht gar nicht Anwendung finden). Fragen Sie einfach auch in Zukunft, bevor sie Fotos von anderen Menschen veröffentlichen.

Irrtum: Die DSGVO verlangt, dass mit einem Layer auf Cookies hingewiesen wird und der Nutzer „OK“ drückt“.
Tatsache: Man kann sich auf den Standpunkt stellen, dass die DSGVO für bestimmte Cookies eine Einwilligung erfordert. Ein „OK“-Layer ist aber keine Einwilligung.

Die Sache mit den Cookies ist ein Beispiel für das (zumindest) kommunikative Versagen der Datenschutzaufsichtsbehörden, die es bis heute nicht einmal geschafft haben, anderen Menschen als Fachjuristen überhaupt nur zu erklären, was das rechtliche Problem an dieser Stelle ist. Der Jurafunk hat dies hier schon einmal versucht. Im Rahmen dieses Textes soll die Festellung reichen: Ob man für bestimmte Cookies eine „Einwilligung“ braucht, ist zum Zeitpunkt der Abfassung dieses Textes eine reine Glaubensfrage. Man kann mit guten Gründen der Meinung sein, dass eine Einwilligung notwendig ist. Wenn man aber dieser Meinung ist, dann genügen Cookie Banner der Art „… wenn Sie unsere Webseite nutzen, stimmen Sie zu“ nicht als Einwilligung, da es an der Freiwilligkeit fehlt. Letztlich ist der Cookie-Hinweis dann nur ein Hinweis, den man genauso gut direkt in der ohnehin notwendigen Datenschutzerklärung nach Art. 13 DSGVO geben kann.

Irrtum: Viel (Papier unterschreiben) hilft viel.
Tatsache: Gegen Hysterie hilft vielleicht Meditation (wobei...)

Spätestens, als der Kindergarten mich Anfang Mai mit einem Haufen Papier überschüttete, der die Frage behandelte, ob, wann und wohin Fotografien des Nachwuchses hergestellt, gespeichert oder übermittelt werden dürften und den ich schnell zu unterschreiben hätte, wurde mir klar: Hier liegt ein ganz grundsätzliches Missverständnis vor.

Die DSGVO hat nicht zum Ziel, der siechen Papierindustrie zu neuer Blüte zu verhelfen, in dem jeder Bürger ab sofort gezwungen werde, zigfach Einwilligungserklärungen für alles mögliche zu unterzeichnen. In den allermeisten Fällen ist der Formularwahn a.) unnötig, b.) verwirrend und/oder c) auch noch unwirksam, weil sich die verantwortlichen Stellen „um Dinge zu vereinfachen“ generalklauselartige Einwilligungen „für alles“ erteilen lassen. Genau dies will das Datenschutzrecht aber gerade nicht.

Anstatt also blindwütig hundertfach Blanko-Einwilligungen auszudrucken und im Akkord unterschreiben zu lassen, empfiehlt es sich, ein mal innezuhalten und sich zu fragen: Muss ich bestimmte Daten wirklich verarbeiten? (Überraschend häufige Antwort: „Nein“). Ist für diese Datenverarbeitung die DSGVO eigentlich anwendbar (Überraschend häufige Antwort: „Nein“). Benötige ich für diese Datenverarbeitung, die ich wirklich durchführen muss und für die tatsächlich die DSGVO andwenbar ist, eigentlich eine Einwilligung (Überraschend häufige Antwort: „Nein“). Was dann noch übrig bleibt, muss wirklich unterschrieben werden.

Was von DSGVO-Weltuntergang nach einem Jahr Anwendung der DSGVO übrig geblieben sein wird … sehen wir dann.

OLG Köln: § 22 Kunsturhebergesetz trotz DSGVO anwendbar

Es ist einer der großen Aufreger im Zuge der Anwendung der Datenschutz-Grundverordnung (DSGVO) seit 25.5.2018: Was bedeutet die DSGVO für § 22 und 23 des Kunsturhebergesetzes (KUG)? Diese Vorschrift regelte bislang das „Recht am eigenen Bild“, also die Frage, unter welchen Voraussetzungen Fotos veröffentlicht werden dürfen, auf denen Personen erkennbar abgebildet sind. 70 Jahre geltender Rechtsprechung im Bereich des Bildnisrechts befassen sich mit dieser Norm und ihrer Auslegung – und die Frage, ob diese seit dem 25.5. noch Gültigkeit hat ist genau so Gegenstand von Auseinandersetzungen zwischen Juristen, Journalisten und Datenschützern wie die Frage, ob denn Nun die DSGVO mit allem daranhängenden „Geraffel“ – vor allem Dokumentations- und Informationspflichten so wie Betroffenenrechte wie Löschung usw. – auch für das Anfertigen und Veröffentlichen von Fotos und Bewegtbildern gilt.

Mehr erfahren

EuGH entscheidet (vorab) in Sachen ULD ./. WAK SH („Facebook Fanpages“, EuGH Rechtssache C‑210/16)

Ein bisschen roch es schon danach, nachdem der Generalanwalt beim EuGH, Yves Bot, in Sachen ULD ./. WAK Schleswig-Holstein sein Schlussgutachten vorgelegt hatte. Nun ist es amtlich: Das unabhängige Landeszentrum für den Datenschutz in Schleswig Holstein (ULD) erlangt (zumindest) in einem Teilaspekt einen Etappensieg in dem Rechtsstreit über die Rechtmäßigkeit von Facebook-Fanpages, der bereits seit 2011 andauert und bei dem es um Datenschutzverstöße durch die Facebook-Reichweitenanalyse „Insights“ geht. Der EuGH hat am 5.6.18 über verschiedene Vorlagefragen entschieden, auf die es in dem derzeit beim Bundesverwaltungsgericht anhängigen Verfahren ankommt. Allerdings dürften die Sektkorken beim ULD wohl nicht allzu laut knallen.

Die wohl wichtigste Frage, nämlich die danach, inwieweit neben Facebook auch der Betreiber einer Fanpage selbst verantworlich ist für die Datenverarbeitung, die auf Seiten von Facebook durchgeführt wird, bejaht das Gericht:

Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 2 Buchst. d der Richtlinie 95/46 dahin auszulegen ist, dass der Begriff des „für die Verarbeitung Verantwortlichen“ im Sinne dieser Bestimmung den Betreiber einer bei einem sozialen Netzwerk unterhaltenen Fanpage umfasst.

Allerdings: Der EuGH bejaht ebenfalls die Frage, ob die Datenschutzbehörde – hier: Das ULD – gegen Facebook Germany als Inländische Niederlassung vorgehen konnte, wenn Datenschutzverstöße der Konzernmutter festgestellt wurden. Hieran konnte man zweifeln, da am Hamburger Sitz von Facebook Germany (angeblich) nur der Verkauf von Werbeflächen uns sonstige Marketingaktivitäten entfaltet wurden. Der EuGH stellt hier fest: Das ULD konnte sehr wohl auch gegen diese Niederlassung vorgehen.

Das klingt erst einmal gut, muss allerdings gerade keine gute Nachricht für das ULD sein. Denn das Bundesverwaltungsgericht hatte schon in dem Vorabentscheidungsersuchen darauf hingewiesen, dass:

In dem Fall, dass im Licht dieser Antwort festgestellt werden sollte, dass das ULD die behaupteten Verstöße gegen das Recht auf Schutz der personenbezogenen Daten beenden könne, indem es eine Maßnahme gegen Facebook Germany erlasse, dieser Umstand das Vorliegen eines Ermessensfehlers bezüglich des angefochtenen Bescheids belegen könnte, da dieser dann zu Unrecht gegen die Wirtschaftsakademie erlassen worden wäre.

Mit anderen Worten: Das Bundesverwaltungsgericht könnte sich nun auf den Standpunkt stellen, dass das ULD gegen Facebook selbst vorgehen konnte. Und wenn es dies konnte, dann musste es dies eventuell auch. Und damit könnte das Vorgehen des ULD dann doch wieder rechtswidrig gewesen sein.

Wie geht es jetzt weiter?

Der EuGH hat den Rechtsstreit heute nicht entschieden – sondern nur einzelne Fragen, die das im Moment mit dem eigentlichen Verfahren befasste Gericht, also das Bundesverwaltungsgericht – für maßgeblich hält. Wann dieses nun entscheidet, und noch viel wichtiger: Wie es entscheiden wird, ist heute meiner Ansicht nach nicht viel klarer geworden.

Welche Folgen hat das Urteil sonst noch?

Wie die meisten mitbekommen haben, weil es vom „Anwaltsblatt“ bis zur Tagesschau alle wichtigen Medien verbreitet haben, gilt seit 25. Mai die Datenschutz-Grundverordnung (DSGVO). So könnte man also auf die Idee kommen, dass die Entscheidung, die auf der Grundlage des alten Rechts – nämlich der Datenschutzrichtlinie 95/46 EU – ergangen ist, nur noch rechtsgeschichtlichen Wert hat. Dies ist aber nicht der Fall, denn hinsichtlich der Verantwortlichkeit ergeben sich gerade keine Änderungen zwischen altem und neuen Recht. Und das bedeutet wohl, dass jeder Nutzer jedenfalls von beruflich genutzten Social Media Profilen zukünftig für die Datenverarbeitung(sverstöße) des jeweiligen Anbieters (mit)verantwortlich ist. Oder, um es mit den Worten des hochgeschätzten Kollegen Thomas Schwenke zu sagen

(Kleine Einschränkung hierzu: Für private Accounts gilt dies aber jedenfalls „möglicherweise“ nicht, da die Anwendung der DSGVO in Bezug auf den Profilinhaber insoweit jedenfalls fraglich ist, so steht das in Art. 2 Abs. 2c DSGVO in Verbindung mit Erwägungsgrund 18).

Verweise: