Messe Control in Stuttgart: 07.-10. Mai 2019

Mit der Control – Internationale Fachmesse für Qualitätssicherung, steht den Anbietern und Anwendern eine strikt themenfokussierte und global anerkannte Fachveranstaltung zur Verfügung.

Diese beleuchtet in der Theorie alle Aspekte und präsentiert in der Praxis das aktuelle Weltangebot an nutzbaren Technologien, Verfahren, Produkten und Systemlösungen zur industriellen Qualitätssicherung. Damit verhelfen die an der Control vertretenen nahezu 900 Hersteller und Anbieter von QS-Equipment den produzierenden Unternehmen sowie deren Zulieferer zu mehr Wettbewerbskraft. Mit einem hochkarätig besetzten Rahmenprogramm sowie dem umfassenden Ausstellungs- und Informations-Portfolio wird Stuttgart im Frühjahr 2019 erneut zum Business-Mekka der QS-Branche.

Der Schwerpunkt der Messe liegt in diesem Jahr auf der immer stärker werdenen Vernetzung vom Mess- und Fertigungstechnik. Thematische Schwerpunkte sind: Industrielle Bildverarbeitung, QS-Komponenten und -Systeme, QS-Software und -Services.

Unsere Schwerpunkt-Themen sind

• die dringende Verknüpfung von ISO-Normen und dem Datenschutz (DSGVO),
• die Sicherung der IT-Systeme in Fertigung, Verwaltung und Logistik (ISO 27001, TISAX, DSGVO),
• die anstehenden Energie-Audits (EN 16247, ISO 50001).

Auch in diesem Jahr werden wieder durchgängig Auditoren, Berater und Partner aus unserem Netzwerk am Stand sein. Diese stehen Ihnen für Gespräche und Fragen jederzeit zu Ihrer Verfügung. Für Einzelgespräche kontaktieren  Sie uns bitte zwecks Terminabsprache.

Die Messe ist Dienstag bis Donnerstag von 9 bis 17 Uhr und am Freitag von 9 bis 16 Uhr geöffnet.

Wir freuen uns auf Ihren Besuch an unserem Stand in Halle 5, Stand. 5425.

Um den Stand der Umsetzung der Cyber Security in Unternehmen zu überprüfen ist der Fragenkatalog des VDA (Verband der Automobilindustrie) ein sehr guter Leitfaden.

Der ISA-Katalog (Information Security Assessment) ist in der gleichen Logik aufgebaut wie die meisten „Werkzeuge“ des VDA. Es handelt sich um einen Excel-Fragenkatalog der direkt die Auswertung beinhaltet. Der Ausfüllende erhält sofort ein Bild seines Status.

Zugrunde liegt das „Reifegrad-Model“ des VDA. Interessant für alle Unternehmen ist, dass hier davon ausgegangen wird, Stufe 1 bedeutet: der realisierte Prozess erfüllt seinen Zweck.

In komplexeren Projekten kann man diesen Fragenkatalog sehr gut zu einer ganzheitlichen Analyse einsetzen. Problem sind nur die rechtlichen Komponenten der DSGVO. Hier sind zusätzliche Fragen notwendig.

Hier ein Auszug aus einer Stellungnahme zur Verwendung von Bildern, die im Rahmen von Kundenveranstaltungen gemacht wurden. Die Veranstaltung wurde durchgeführt, das Hochglanzprospekt wurde bereits gedruckt und uns dann zur Beurteilung vorgelegt.

„Es wird darauf hingewiesen, dass es den Verwendern obliegt, die zivilrechtliche Bewertung dieser Information vorzunehmen. Insbesondere ist durch die Keil GmbH keine rechtliche Prüfung auf Vollständigkeit vorgenommen worden. Bitte haben Sie Verständnis dafür, dass die Keil GmbH keinerlei Haftung für etwaige Fehler übernimmt.“

Neben dem Urheberecht für Bilder (Urheberechtsgesetz (UrhG)), das in Deutschland den Umgang mit und die Verwendung von geistigem Eigentum und geschaffenen Werken) regelt und somit die Person des Schöpfers schützt, klärt das Kunsturheberrechtsgesetz (KunstUrhG/KUG) das so genannte Recht am eigenen Bild. Dieses stellt den Schutz der abgebildeten Personen dar. Wenn bei Fotos der Betrachter den Namen des Abgebildeten grundsätzlich zuordnen könnte, reicht dies für die Identifizierbarkeit aus, so dass es sich um personenbezogene Daten im Sinne er DSGVO handelt und diese damit einschlägig ist.

Nicht abschließend geklärt ist, ob denn nun die spezialgesetzlichen Regelungen (KUG) der DSGVO vorgehen. So gesehen wird man bei der „Veranstaltungsfotografie“ mit verschieden Problemen konfrontiert, die man in dieser Zusammenwirkung nur selten in anderen Bereichen findet.

Nachfolgend wird erläutert, was bei einer „Veranstaltungsfotografie“ grundsätzlich zu beachten ist und im Anschluss daran Ihre konkrete Situation betrachtet:

1. Grundsätzlich sind zwei Rechtskreise zu betrachten: Das Anfertigen der Fotos und die Verbreitung.
2. Das Kunsturhebergesetz (KUG) hilft im Hinblick auf das Anfertigen von Fotos nicht weiter, da es eine Person nicht davor schützt, fotografiert oder gefilmt zu werden (zuletzt bestätigt durch OLG Dresden, Urteil vom 10.07.2018, Az. 4 U 381/18) das heißt konkret, die Aufnahme einer Fotografie fällt seit Mai 2018 unter die DSGVO.

Bitte beachten Sie, dass die nachfolgenden Ausführungen zur DSGVO ausschließlich für die „Veranstaltungsfotografie“ gelten – die DSGVO ist nicht einschlägig beim Haushaltsprivileg, bei der Herstellung von analogen Fotos und bei der Presse (Medienprivileg – aber nur für die Herstellung nicht Verbreitung).

1.1 Die Zulässigkeit der Fotoerstellung richtet sich daher allein nach Art. 6 DSGVO. Danach sind Bildaufnahmen von Personen grundsätzlich verboten, wenn sie nicht auf eine Einwilligung oder auf eine andere Rechtfertigung gestützt werden können.

In Betracht käme zum einen die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nach das Art. 6 Abs. 1 Satz 1 lit f) DSGVO. Zu beachten ist aber der Schutz der Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. Diese dürfen nicht überwiegen, insbesondere dann nicht, wenn es sich bei der betroffenen Person um ein Kind handelt.

Maßgebliches Kriterium sind hier die „vernünftigen Erwartungen des Betroffenen“, d.h. der fotografierten Person. In der Praxis bedeutet das, ob die abgelichtete Person damit rechnete oder damit rechnen musste, fotografiert zu werden.

Bei Firmenfeiern und Veranstaltungen kann man sich auch dergestalt absichern, indem man darauf achtet, dass die abgebildeten Personen bewusst wahrnehmen, dass sie fotografiert werden (wenn jemand in die Kamera lächelt, zeigt er sich zumindest damit einverstanden, in dem Moment abgelichtet zu werden).

Zum anderen kommt die Verarbeitung auf Grund einer Einwilligung in Betracht (Art. 6 Abs. 1 Satz 1 lit a) DSGVO).

Nach der DSGVO ist keine schriftliche Einwilligung mehr nötig. Auch konkludente Einwilligungen, also durch schlüssiges Verhalten wie z.B. Posieren oder Lächeln in die Kamera sind wirksam – allerdings liegt die Beweislast für das Bestehen einer Einwilligung beim Verantwortlichen.

Vorsicht bei Minderjährigen: Soll ein Kind fotografiert werden, das jünger als 16 Jahre ist, müssen beide Eltern in die Datenverarbeitung (Erstellung des Fotos) einwilligen. Eine Genehmigung der Eltern (= nachträgliche Erlaubnis) reicht nicht aus.

1.2 Darüber hinaus treffen den Verantwortlichen Informationspflichten (Art. 13, 14 DSGVO). Unter anderem muss er angeben,

• für welchen Zweck die Fotos angefertigt werden
• ob und ggf. wo (in welchen Medien) eine Veröffentlichung geplant ist und
• den Ansprechpartner für die Abgebildeten bei Datenschutzfragen, z. B. wenn Abgebildete eine Löschung der sie zeigenden Fotos wünschen.

Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Information verfügt.

Je nach Einzelfall wäre auch denkbar, dass eine Ausnahme von der individuellen Informationspflicht nach Art. 14 Abs. 5 lit. b) DSGVO besteht, z.B. bei unüberschaubar großen Menschenmengen, wo ein Aushang regelmäßig genügen dürfte.

Es empfiehlt sich bereits bei der Planung einer Veranstaltung, bei der Fotos von Gäste erstellt werden, die später beispielsweise auf der eigenen Website und in einer Broschüre veröffentlicht werden sollen, dies in die Einladungen aufzunehmen und zusätzlich durch nicht übersehbare Hinweisschilder bei der Veranstaltung alle Informationen in transparenter, klar verständlicher und leicht zugänglicher Form mitzuteilen (abgestuftes Informationssystem möglich – bspw. wo man die Informationen abrufen/einsehen/erhalten kann).

2. Aus einem implizierten Einverständnis zum Fotografiert werden lässt sich aber nicht schließen, was später mit diesem Bild gemacht werden darf.

Wenn es um die Veröffentlichung von Fotografien geht, ist, laut einer zuletzt bestätigten Entscheidung des OLG Köln (Urteil vom 08.10.2018, AZ 15 U 110/18), zumindest für Journalisten weiterhin das KUG anwendbar.

Abseits des journalistischen Bereichs bleibt das Verhältnis von DSGVO und KUG umstritten. Unserer Auffassung nach sollte das Kunsturhebergesetz und insbesondere § 23 KUG für die Veröffentlichung von Personenfotografien entweder weiterhin direkt gelten oder alternativ dessen bisherige Wertungen in die Abwägungsentscheidung zu Art. 6 Abs. 1 lit. f) DSGVO einfließen. In diesem Fall wäre die Abgrenzung zwischen DSGVO und KUG im Wesentlichen akademischer Natur (so jetzt auch LG Frankfurt, Urteil vom 13.09.2018, Az. 2-03 O 283/18).

Die Bundesregierung ist der Auffassung, dass für die Veröffentlichung von Fotografien das Kunsturhebergesetz (KUG) weiterhin spezielle Regelungen enthält, die auch unter Geltung der DSGVO unverändert fortbestehen. Es handele sich beim KUG um eine sich auf die Öffnungsklausel des Artikels 85 DSGVO stützende Regelung. Das KUG füge sich als Teil der deutschen Anpassungsgesetzgebung in das System der DSGVO ein, und zwar ohne dass es einer gesetzlichen Regelung zur Fortgeltung des KUG bedürfte. Das Kunsturhebergesetz liefere demnach auch unter der Geltung der DSGVO weiterhin eine nationale Rechtsgrundlage für die Verbreitung und Schaustellung von Personenbildnissen (BT Drucksache, Seite 46 – 48).

Vor diesem Hintergrund ist das abgestufte Schutzsystem der §§ 22, 23 KUG zu betrachten:

Nach § 22 Satz 1 KUG dürfen „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden.“

• Für eine Nutzung oder Verbreitung der Bilder bedarf es wieder der ausdrücklichen Einwilligung zum jeweiligen Zweck. Dies gilt auch für Fotos, die ein Mitarbeiter dem Unternehmen freiwillig überlassen hat.
• Ist der Abgebildete minderjährig, bedarf es zusätzlich der Einwilligung seines gesetzlichen Vertreters
• Die Zweckbindung darf nicht verletzt werden.

Vom Grundsatz der Einwilligungspflicht gibt es Ausnahmen, die nachfolgend dargestellt werden.

• Abbildungen gegen Entgelt
• Ferner werden in § 23 KUG werden Fälle aufgezählt, in denen eine Verbreitung selbst dann erlaubt ist, wenn eine Einwilligung weder ausdrücklich noch nach den Umständen erteilt wurde. Hierbei läuft es stets auf eine Einzelfallbetrachtung hinaus.
• 23 KUG:

„(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:

1. Bildnisse aus dem Bereiche der Zeitgeschichte;

(…)

3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;“

Die Ziffer 1 gestattet es, Bildnisse aus dem Bereich der Zeitgeschichte zu fotografieren. Da der BGH die Schranken nicht allzu hoch gesetzt hat, ist diese Vorschrift weitaus nützlicher, als diese vermuten lässt. Es kommt zwar darauf an, dass das Ereignis, welches fotografiert werden soll, eine Frage des allgemeinen gesellschaftlichen Informationsinteresses ist. Allerdings hat der BGH in einem älteren Urteil (Urteil vom 8.4.2014, AZ VI ZR 197/13) entschieden, dass dies auch bereits einschlägig ist, wenn die Veranstaltung nur von regionaler bzw. lokaler Bedeutung ist. Hingegen ist auch die Art der Veröffentlichung der Aufnahme zu berücksichtigen, die es verbietet, ein im Rahmen einer derartigen Veranstaltung aufgenommenes Bild ohne jeglichen Informationskontext zu verbreiten.

Entgegen dem ersten Blick auf die Ziffer 3, die regelt, dass bei Versammlungen gestattungsfrei fotografiert werden darf, ist diese weniger nützlich, da private Veranstaltungen schlichtweg ausgenommen sind, auch wenn seitens des Veranstalters keine Zugangsbeschränkungen vorgesehen sind. Die Veranstaltung ist dann schlicht privat und nicht öffentlich.

1. Hinsichtlich Ihrer konkreten Situation ist bereits die Anfertigung der Fotos im Rückblick nicht unproblematisch gewesen.

So reicht das aufgestellte Schild „Bei dieser Veranstaltung sind Fotografen anwesend!“ ggf. für das Kriterium „vernünftigen Erwartungen des Betroffenen, d.h. der fotografierten Person“ aus, so dass deine Argumentation auf der Basis erfolgen könnte, dass die abgelichteten Personen damit rechnen oder damit rechnen mussten, fotografiert zu werden.

Keinesfalls ausreichend ist das Schild aber für die nach der DSGVO und oben dargestellte Verpflichtung, Informationen in transparenter, klar verständlicher und leicht zugänglicher Form zur Verfügung zu stellen.

Keinesfalls ausreichend ist dies ferner hinsichtlich der Abbildung eines Kindes, welches auf einem der Fotos klar zu erkennen ist. Hier wäre unabdingbar die Einwilligung des gesetzlichen Vertreters einzuholen gewesen (beide Sorgeberechtigte).

• Eine Genehmigung der Eltern (= nachträgliche Erlaubnis/Einwilligung) reicht nicht aus.

Ob Sie darüber hinaus das Erstellen eines Fotobuches und Versenden an Kunden zum Zweck der Werbung/Information ohne ausdrückliche Genehmigung der Betroffenen auf die Argumentation aus § 23 Ziff. 1 KUG stützen wollen, bleibt letztlich Ihnen bzw. dem Verantwortlichen überlassen.

Wir empfehlen Ihnen zur Erstellung und Versendung die entsprechenden Einwilligungen der Betroffenen einzuholen. Wir möchten Sie aber darauf hinweisen, dass auch dies ein gewisses Risiko birgt, denn Betroffene können sich bereits beschweren, dass sie bei der Erstellung nicht umfassend informiert wurden – die Einholung einer sogenannten Genehmigung (nachträgliche Erlaubnis/Einwilligung) ist auch bei Erwachsenen nicht unproblematisch. Die Ausführungen zur rechtlichen Einordnung einer Einwilligung (empfangsbedürftige Willenserklärung als Realakt oder rechtsgeschäftsähnliche Handlung) würden den hier vorliegenden Rahmen jedoch sprengen.

Ferner empfehlen wir Ihnen das Foto mit der Abbildung es Kindes unverzüglich und unwiderruflich zu löschen (es sei denn eine Einwilligung hat vorgelegen).

Um unsere Kunden in Bezug auf das Thema Datenschutz kompetent beraten zu können, haben wir in den letzten Monaten die meisten unserer Berater zum „zertifizierten Datenschutzbeauftragten“ durch den TÜV Rheinland ausbilden lassen.

Um unsere Sicht auf die DSGVO mit anderen Beauftragten abzugleichen, haben zwei aus unserem Team jetzt die Prüfung zum DSGVO-Auditor erfolgreich abgelegt. Dieser Prüfung ging ein viertägiges Seminar beim TÜV Rheinland voraus, in dem sowohl die Inhalte der DSGVO als auch die Auditierung intensiv behandelt wurden. Voraussetzung für diese Prüfung ist die erfolgreiche Ausbildung zum Datenschutzbeauftragten.

Wir erwarten, dass im nächsten Jahr eine Zertifizierung nach der DSGVO angeboten wird. Sowohl in Deutschland als auch in Österreich wird intensiv an einer Zertifizierungsgrundlage gearbeitet.