Monthly Archives

Januar 2019

Ankündigung Security Essen

By | Allgemein

Vom 25. – 28.09.2018 sind wir wieder auf als Aussteller auf der Security in Essen.

Die Security ist mit über 40.000 Besuchern die weltweit bedeutendste Messe für Sicherheitstechnik. Sie findet alle zwei Jahre in Essen statt. Unser Stand ist in der Halle 8 Stand B 15.

Unsere Themen werden die Vorstellung unserer Konzepte und Projekte zur Cyber Security, DSGVO und ISA VDA sein. Ergänzt wird das Ganze durch die Präsentation unseres Systems aus VDS-geprüfter Sicherheitstechnik, Leitstand und Drohne zur Überwachung unübersichtlicher Objekte.

An allen Tagen werden Auditoren und Experten zu den verschiedensten Themen am Stand sein.

Vereinbaren Sie einfach einen Termin unter vertrieb@keil-group.de

Messebericht Security 2018

By | Allgemein

Die Security 2018 war für uns ein Erfolg. Wir konnten zahlreiche interessante Kontakte knüpfen und einige Abschlüsse machen.

Gut funktioniert hat das Zusammenspiel mit anderen Partnern aus den Bereichen Verschlüsselung, Software zum Betroffenen-Management und Zertifizierung. Hier konnten sich Interessenten die Themen aus den verschiedenen Sichtweisen erläutern lassen.

Sehr interessant war, dass in der Drohnentechnik der Hype der letzten Jahre einer Professionalität gewichen ist. Die Lösungen sind deutlich zielorientiert und mit unserem Produkt liegen wir damit voll im Trend.

Viele Besucher beschäftigten sich mit der DSGVO und damit verbunden den Normen zur IT-Sicherheit. Wir konnten immer wieder zeigen, dass wir hier zu den führenden Anbietern von einfachen und dauerhaft praktikablen Lösungen gehören. Unser Partner, die Digital DSB GmbH konnte mit ihren Software-Lösungen im Umfeld der DSGVO vielversprechende Kontakte knüpfen.

Ich möchte mich bei allen Besuchern bedanken und kann jetzt schon sagen: In zwei Jahren sind wir sicher wieder dabei.

Nachbericht zur Tagung des HLBS

By | Allgemein

Im Rahmen der Herbst-Tagung des HLBS wurden viele interessante Themen vorgestellt und diskutiert.

Kontrovers wurde die Reichweite der Auskunftspflicht gegenüber Betroffen erörtert, die in Gutachten genannt werden. Hierbei geht es z.B. um Mieter in Baugutachten und Beteiligte in Umweltgutachten. Zu diesen Betroffenen sind zahlreich personenbezogene Daten in den Gutachten genannt. Die einzelnen Betroffenen werden aber weder verwaltet noch in Übersichten geführt. Im Falle einer Betroffenenanfrage durch einen solchen Mieter ist eine Auskunft mit vertretbarem Aufwand praktisch nicht möglich. Die Rechte des Betroffenen können aber durchaus gefährdet sein.

Die Problematik trifft auch Sachverständige aus anderen Branchen. Deshalb sollte im Falle einer Betroffenenanfrage der Einzelfall genau geprüft werden.

Der HLBS bietet zum Thema DSGVO in Zusammenarbeit mit der Keil GmbH zahlreiche Leistungen an.

ISA VDA – TISAX

By | Allgemein, Startseite

Um den Stand der Umsetzung der Cyber Security in Unternehmen zu überprüfen ist der Fragenkatalog des VDA (Verband der Automobilindustrie) ein sehr guter Leitfaden.

Der ISA-Katalog (Information Security Assessment) ist in der gleichen Logik aufgebaut wie die meisten „Werkzeuge“ des VDA. Es handelt sich um einen Excel-Fragenkatalog der direkt die Auswertung beinhaltet. Der Ausfüllende erhält sofort ein Bild seines Status.

Zugrunde liegt das „Reifegrad-Model“ des VDA. Interessant für alle Unternehmen ist, dass hier davon ausgegangen wird, Stufe 1 bedeutet: der realisierte Prozess erfüllt seinen Zweck.

In komplexeren Projekten kann man diesen Fragenkatalog sehr gut zu einer ganzheitlichen Analyse einsetzen. Problem sind nur die rechtlichen Komponenten der DSGVO. Hier sind zusätzliche Fragen notwendig.

DSGVO – Bilder bei Veranstaltungen

By | Allgemein, Startseite

Hier ein Auszug aus einer Stellungnahme zur Verwendung von Bildern, die im Rahmen von Kundenveranstaltungen gemacht wurden. Die Veranstaltung wurde durchgeführt, das Hochglanzprospekt wurde bereits gedruckt und uns dann zur Beurteilung vorgelegt.

„Es wird darauf hingewiesen, dass es den Verwendern obliegt, die zivilrechtliche Bewertung dieser Information vorzunehmen. Insbesondere ist durch die Keil GmbH keine rechtliche Prüfung auf Vollständigkeit vorgenommen worden. Bitte haben Sie Verständnis dafür, dass die Keil GmbH keinerlei Haftung für etwaige Fehler übernimmt.“

Neben dem Urheberecht für Bilder (Urheberechtsgesetz (UrhG)), das in Deutschland den Umgang mit und die Verwendung von geistigem Eigentum und geschaffenen Werken) regelt und somit die Person des Schöpfers schützt, klärt das Kunsturheberrechtsgesetz (KunstUrhG/KUG) das so genannte Recht am eigenen Bild. Dieses stellt den Schutz der abgebildeten Personen dar. Wenn bei Fotos der Betrachter den Namen des Abgebildeten grundsätzlich zuordnen könnte, reicht dies für die Identifizierbarkeit aus, so dass es sich um personenbezogene Daten im Sinne er DSGVO handelt und diese damit einschlägig ist.

Nicht abschließend geklärt ist, ob denn nun die spezialgesetzlichen Regelungen (KUG) der DSGVO vorgehen. So gesehen wird man bei der „Veranstaltungsfotografie“ mit verschieden Problemen konfrontiert, die man in dieser Zusammenwirkung nur selten in anderen Bereichen findet.

Nachfolgend wird erläutert, was bei einer „Veranstaltungsfotografie“ grundsätzlich zu beachten ist und im Anschluss daran Ihre konkrete Situation betrachtet:

  1. Grundsätzlich sind zwei Rechtskreise zu betrachten: Das Anfertigen der Fotos und die Verbreitung.
  2. Das Kunsturhebergesetz (KUG) hilft im Hinblick auf das Anfertigen von Fotos nicht weiter, da es eine Person nicht davor schützt, fotografiert oder gefilmt zu werden (zuletzt bestätigt durch OLG Dresden, Urteil vom 10.07.2018, Az. 4 U 381/18) das heißt konkret, die Aufnahme einer Fotografie fällt seit Mai 2018 unter die DSGVO.

Bitte beachten Sie, dass die nachfolgenden Ausführungen zur DSGVO ausschließlich für die „Veranstaltungsfotografie“ gelten – die DSGVO ist nicht einschlägig beim Haushaltsprivileg, bei der Herstellung von analogen Fotos und bei der Presse (Medienprivileg – aber nur für die Herstellung nicht Verbreitung).

1.1 Die Zulässigkeit der Fotoerstellung richtet sich daher allein nach Art. 6 DSGVO. Danach sind Bildaufnahmen von Personen grundsätzlich verboten, wenn sie nicht auf eine Einwilligung oder auf eine andere Rechtfertigung gestützt werden können.

In Betracht käme zum einen die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nach das Art. 6 Abs. 1 Satz 1 lit f) DSGVO. Zu beachten ist aber der Schutz der Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. Diese dürfen nicht überwiegen, insbesondere dann nicht, wenn es sich bei der betroffenen Person um ein Kind handelt.

Maßgebliches Kriterium sind hier die „vernünftigen Erwartungen des Betroffenen“, d.h. der fotografierten Person. In der Praxis bedeutet das, ob die abgelichtete Person damit rechnete oder damit rechnen musste, fotografiert zu werden.

Bei Firmenfeiern und Veranstaltungen kann man sich auch dergestalt absichern, indem man darauf achtet, dass die abgebildeten Personen bewusst wahrnehmen, dass sie fotografiert werden (wenn jemand in die Kamera lächelt, zeigt er sich zumindest damit einverstanden, in dem Moment abgelichtet zu werden).

Zum anderen kommt die Verarbeitung auf Grund einer Einwilligung in Betracht (Art. 6 Abs. 1 Satz 1 lit a) DSGVO).

Nach der DSGVO ist keine schriftliche Einwilligung mehr nötig. Auch konkludente Einwilligungen, also durch schlüssiges Verhalten wie z.B. Posieren oder Lächeln in die Kamera sind wirksam – allerdings liegt die Beweislast für das Bestehen einer Einwilligung beim Verantwortlichen.

Vorsicht bei Minderjährigen: Soll ein Kind fotografiert werden, das jünger als 16 Jahre ist, müssen beide Eltern in die Datenverarbeitung (Erstellung des Fotos) einwilligen. Eine Genehmigung der Eltern (= nachträgliche Erlaubnis) reicht nicht aus.

1.2 Darüber hinaus treffen den Verantwortlichen Informationspflichten (Art. 13, 14 DSGVO). Unter anderem muss er angeben,

  • für welchen Zweck die Fotos angefertigt werden
  • ob und ggf. wo (in welchen Medien) eine Veröffentlichung geplant ist und
  • den Ansprechpartner für die Abgebildeten bei Datenschutzfragen, z. B. wenn Abgebildete eine Löschung der sie zeigenden Fotos wünschen.

Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Information verfügt.

Je nach Einzelfall wäre auch denkbar, dass eine Ausnahme von der individuellen Informationspflicht nach Art. 14 Abs. 5 lit. b) DSGVO besteht, z.B. bei unüberschaubar großen Menschenmengen, wo ein Aushang regelmäßig genügen dürfte.

Es empfiehlt sich bereits bei der Planung einer Veranstaltung, bei der Fotos von Gäste erstellt werden, die später beispielsweise auf der eigenen Website und in einer Broschüre veröffentlicht werden sollen, dies in die Einladungen aufzunehmen und zusätzlich durch nicht übersehbare Hinweisschilder bei der Veranstaltung alle Informationen in transparenter, klar verständlicher und leicht zugänglicher Form mitzuteilen (abgestuftes Informationssystem möglich – bspw. wo man die Informationen abrufen/einsehen/erhalten kann).

  1. Aus einem implizierten Einverständnis zum Fotografiert werden lässt sich aber nicht schließen, was später mit diesem Bild gemacht werden darf.

Wenn es um die Veröffentlichung von Fotografien geht, ist, laut einer zuletzt bestätigten Entscheidung des OLG Köln (Urteil vom 08.10.2018, AZ 15 U 110/18), zumindest für Journalisten weiterhin das KUG anwendbar.

Abseits des journalistischen Bereichs bleibt das Verhältnis von DSGVO und KUG umstritten. Unserer Auffassung nach sollte das Kunsturhebergesetz und insbesondere § 23 KUG für die Veröffentlichung von Personenfotografien entweder weiterhin direkt gelten oder alternativ dessen bisherige Wertungen in die Abwägungsentscheidung zu Art. 6 Abs. 1 lit. f) DSGVO einfließen. In diesem Fall wäre die Abgrenzung zwischen DSGVO und KUG im Wesentlichen akademischer Natur (so jetzt auch LG Frankfurt, Urteil vom 13.09.2018, Az. 2-03 O 283/18).

Die Bundesregierung ist der Auffassung, dass für die Veröffentlichung von Fotografien das Kunsturhebergesetz (KUG) weiterhin spezielle Regelungen enthält, die auch unter Geltung der DSGVO unverändert fortbestehen. Es handele sich beim KUG um eine sich auf die Öffnungsklausel des Artikels 85 DSGVO stützende Regelung. Das KUG füge sich als Teil der deutschen Anpassungsgesetzgebung in das System der DSGVO ein, und zwar ohne dass es einer gesetzlichen Regelung zur Fortgeltung des KUG bedürfte. Das Kunsturhebergesetz liefere demnach auch unter der Geltung der DSGVO weiterhin eine nationale Rechtsgrundlage für die Verbreitung und Schaustellung von Personenbildnissen (BT Drucksache, Seite 46 – 48).

Vor diesem Hintergrund ist das abgestufte Schutzsystem der §§ 22, 23 KUG zu betrachten:

Nach § 22 Satz 1 KUG dürfen „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden.“

  • Für eine Nutzung oder Verbreitung der Bilder bedarf es wieder der ausdrücklichen Einwilligung zum jeweiligen Zweck. Dies gilt auch für Fotos, die ein Mitarbeiter dem Unternehmen freiwillig überlassen hat.
  • Ist der Abgebildete minderjährig, bedarf es zusätzlich der Einwilligung seines gesetzlichen Vertreters
  • Die Zweckbindung darf nicht verletzt werden.

Vom Grundsatz der Einwilligungspflicht gibt es Ausnahmen, die nachfolgend dargestellt werden.

  • Abbildungen gegen Entgelt
  • Ferner werden in § 23 KUG werden Fälle aufgezählt, in denen eine Verbreitung selbst dann erlaubt ist, wenn eine Einwilligung weder ausdrücklich noch nach den Umständen erteilt wurde. Hierbei läuft es stets auf eine Einzelfallbetrachtung hinaus.
  • 23 KUG:

„(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:

  1. Bildnisse aus dem Bereiche der Zeitgeschichte;

(…)

  1. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;“

Die Ziffer 1 gestattet es, Bildnisse aus dem Bereich der Zeitgeschichte zu fotografieren. Da der BGH die Schranken nicht allzu hoch gesetzt hat, ist diese Vorschrift weitaus nützlicher, als diese vermuten lässt. Es kommt zwar darauf an, dass das Ereignis, welches fotografiert werden soll, eine Frage des allgemeinen gesellschaftlichen Informationsinteresses ist. Allerdings hat der BGH in einem älteren Urteil (Urteil vom 8.4.2014, AZ VI ZR 197/13) entschieden, dass dies auch bereits einschlägig ist, wenn die Veranstaltung nur von regionaler bzw. lokaler Bedeutung ist. Hingegen ist auch die Art der Veröffentlichung der Aufnahme zu berücksichtigen, die es verbietet, ein im Rahmen einer derartigen Veranstaltung aufgenommenes Bild ohne jeglichen Informationskontext zu verbreiten.

Entgegen dem ersten Blick auf die Ziffer 3, die regelt, dass bei Versammlungen gestattungsfrei fotografiert werden darf, ist diese weniger nützlich, da private Veranstaltungen schlichtweg ausgenommen sind, auch wenn seitens des Veranstalters keine Zugangsbeschränkungen vorgesehen sind. Die Veranstaltung ist dann schlicht privat und nicht öffentlich.

  1. Hinsichtlich Ihrer konkreten Situation ist bereits die Anfertigung der Fotos im Rückblick nicht unproblematisch gewesen.

So reicht das aufgestellte Schild „Bei dieser Veranstaltung sind Fotografen anwesend!“ ggf. für das Kriterium „vernünftigen Erwartungen des Betroffenen, d.h. der fotografierten Person“ aus, so dass deine Argumentation auf der Basis erfolgen könnte, dass die abgelichteten Personen damit rechnen oder damit rechnen mussten, fotografiert zu werden.

Keinesfalls ausreichend ist das Schild aber für die nach der DSGVO und oben dargestellte Verpflichtung, Informationen in transparenter, klar verständlicher und leicht zugänglicher Form zur Verfügung zu stellen.

Keinesfalls ausreichend ist dies ferner hinsichtlich der Abbildung eines Kindes, welches auf einem der Fotos klar zu erkennen ist. Hier wäre unabdingbar die Einwilligung des gesetzlichen Vertreters einzuholen gewesen (beide Sorgeberechtigte).

  • Eine Genehmigung der Eltern (= nachträgliche Erlaubnis/Einwilligung) reicht nicht aus.

Ob Sie darüber hinaus das Erstellen eines Fotobuches und Versenden an Kunden zum Zweck der Werbung/Information ohne ausdrückliche Genehmigung der Betroffenen auf die Argumentation aus § 23 Ziff. 1 KUG stützen wollen, bleibt letztlich Ihnen bzw. dem Verantwortlichen überlassen.

Wir empfehlen Ihnen zur Erstellung und Versendung die entsprechenden Einwilligungen der Betroffenen einzuholen. Wir möchten Sie aber darauf hinweisen, dass auch dies ein gewisses Risiko birgt, denn Betroffene können sich bereits beschweren, dass sie bei der Erstellung nicht umfassend informiert wurden – die Einholung einer sogenannten Genehmigung (nachträgliche Erlaubnis/Einwilligung) ist auch bei Erwachsenen nicht unproblematisch. Die Ausführungen zur rechtlichen Einordnung einer Einwilligung (empfangsbedürftige Willenserklärung als Realakt oder rechtsgeschäftsähnliche Handlung) würden den hier vorliegenden Rahmen jedoch sprengen.

Ferner empfehlen wir Ihnen das Foto mit der Abbildung es Kindes unverzüglich und unwiderruflich zu löschen (es sei denn eine Einwilligung hat vorgelegen).

DSGVO-Auditor

By | Allgemein, Startseite

Um unsere Kunden in Bezug auf das Thema Datenschutz kompetent beraten zu können, haben wir in den letzten Monaten die meisten unserer Berater zum „zertifizierten Datenschutzbeauftragten“ durch den TÜV Rheinland ausbilden lassen.

Um unsere Sicht auf die DSGVO mit anderen Beauftragten abzugleichen, haben zwei aus unserem Team jetzt die Prüfung zum DSGVO-Auditor erfolgreich abgelegt. Dieser Prüfung ging ein viertägiges Seminar beim TÜV Rheinland voraus, in dem sowohl die Inhalte der DSGVO als auch die Auditierung intensiv behandelt wurden. Voraussetzung für diese Prüfung ist die erfolgreiche Ausbildung zum Datenschutzbeauftragten.

Wir erwarten, dass im nächsten Jahr eine Zertifizierung nach der DSGVO angeboten wird. Sowohl in Deutschland als auch in Österreich wird intensiv an einer Zertifizierungsgrundlage gearbeitet.

Durch die Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen