Bisher waren die Bußgelder noch überschaubar. Es sind zwar zahlreiche Verfahren anhängig, aber viele noch nicht entschieden.

Jetzt schreitet die „einheitliche“ Bussgeld-Festsetzung voran. Die unter „Normen/Infos“ aufgeführte Modellrechnung zeigt die wahrscheinliche Richtung.

Anfang November soll es hier die nächsten Konkretisierungen geben.

Der Grundgedanke ist, auf der letzten Konferenz in Berlin nochmal herausgestellt, dass die offensichtlichen Mängel im Datenschutz abgestellt sein müssen.

Alle technischen und organisatorischen Maßnahmen, die realisierbar sind, müssen umgesetzt sein. Die Mitarbeiter müssen im Sinne der DSGVO handeln. Die Unternehmen müssen ihre Bemühungen im Datenschutz „sauber“ dokumentieren.

Ich habe am 26.06.2019 an einem Workshop des VDA (Verband der Automobilindustrie) zum Thema „Agile Organisation“ teilgenommen. Das für mich erschreckende war, dass sich meine Erwartungen erfüllt haben.

Zunächst aber eine kurze historische Einordnung und eine Beschreibung der Grundmethodik. Alles natürlich nur aus meiner Sicht.

Die „Agile Organisation“ hat sich aus einer Methode zur Organisation von einzelnen Projekten entwickelt und kommt aus der Software-Entwicklung.

Das Ganze basiert auf der Scrum-Methode. Der Begriff kommt aus dem Rugby und ist die Bezeichnung für „dichtes Gedränge“.

 Es wird ein Team gebildet, das folgende Rollen hat (eine Person kann mehrere Rollen übernehmen).

• Product Owner – Person, die den „Auftrag“ an das Team gibt und das Ergebnis abnimmt
• Scrum Master – Person, die die Abarbeitung steuert
• Team – Personen, die im Team arbeiten

 Der Ablauf ist wie folgt:

Product Backlog – Anforderungen an das Produkt sind beschrieben

1. Sprint Backlog – Ziele für das Projekt sind beschrieben
2. Sprint – Projekt, in dem das Projektzíel erreicht werden soll
3. Sprint Iteration – Projektschritt zur Erreichung eines Projekt-Zwischenziels (i.d.R. 1 Woche)
4. Daily Scrum – Tagesbesprechung des Teams

Product – das Ergebnis ist abgenommen

 Je nach Anforderung und Organisation können weitere Rollen, Reviews und eine Vielzahl von Arbeitsmitteln hinzugefügt werden.

 

Die Ursache für die zunehmende Verbreitung in der Automobilindustrie ist, dass große Unternehmen häufig Probleme haben neue Themen und Entwicklungen schnell und effizient umzusetzen.

Es gibt zwei für mich erkennbare Fraktionen.

 

„Agile Organisation“ als Philosophie von Unternehmen.

Als Antwort auf die starren Entscheidungsstrukturen in großen (Automobil)-Konzernen beschreibt die „Agile Organisation“ die Verlagerung von Entscheidungskompetenz in Teams. Notwendig ist hier eine klare Zieldefinition und ein permanenter Abgleich von Ziel zu Ergebnis. Dabei ist klar, dass sich die Ziele laufend ändern können. Diese Anpassungsfähigkeit ist, im Zeitalter sich ständig ändernder Marktanforderungen, sehr dringend notwendig.

 

„Agile Organisation“ als verfeinerte Methode zur Projektsteuerung.

Durch die enge zeitliche Taktung werden Leerlaufzeiten reduziert. Mehrere Teams können parallel arbeiten, da kurze Planungszeiträume die Abstimmung vereinfachen.

 

Zu beachten

Bei der Einführung von „Agiler Organisation“ auf Grundlage von Scrum muss man darauf achten, dass

• es klare Zieldefinitionen gibt, da sonst schnell in falsche Richtungen entwickelt wird,
• es Freiräume für die Team-Mitglieder gibt, da sonst zugesagte Termine nicht gehalten werden können,
• die Dokumentation und notwendigen Prüfungen mitgeführt werden, da diese im Nachgang sehr schwer nachzuvollziehen sind.

 

Ich komme aus der ISO-Welt mit „Plan-Do-Check-Act“ und sehe hier eine Weiterentwicklung dieses bereits weit verbreiteten Vorgehens.

Energieaudits EN 16247, ISO 50001

Dieses Jahr kommen viele Unternehmen, die 2016 für die Erfüllung des EDL-G (Energie-Dienstleistungsgesetzes) ein Energieaudit nach EN 16247 durchgeführt haben, in den nächsten Zyklus.

Das EDL-G schreibt für alle „nicht-kleinen“ Firmen, (>250 MA oder >43 Mio. € Bilanzsumme oder >50 Mio.€ Umsatz) ein Energie-Audit nach EN 16247, eine Zertifizierung nach ISO 50001 oder EMAS vor.

Da sich die Grundlage für die Auditzeitermittlung (ISO 50003) und die Ansprüche an die Zertifizierung stark verschärft haben, empfehlen wir in den meisten Fällen ein Energieaudit nach EN 16247. Zwar hat sich auch hier die Anforderung stark verändert, siehe entsprechende Leitfäden des BAFA, der Bericht ist dadurch aber deutlich „wertiger“ geworden und gibt jetzt tatsächlich gute Ansatzpunkte für die Energie- und Kosteneinsparung.

Unterstützt wird das ganze durch erweiternde Leistungen wie „mobile Energie-Messungen“, „Projektmanagement“ und „Energie-Beschaffung“.

Um den Stand der Umsetzung der Cyber Security in Unternehmen zu überprüfen ist der Fragenkatalog des VDA (Verband der Automobilindustrie) ein sehr guter Leitfaden.

Der ISA-Katalog (Information Security Assessment) ist in der gleichen Logik aufgebaut wie die meisten „Werkzeuge“ des VDA. Es handelt sich um einen Excel-Fragenkatalog der direkt die Auswertung beinhaltet. Der Ausfüllende erhält sofort ein Bild seines Status.

Zugrunde liegt das „Reifegrad-Model“ des VDA. Interessant für alle Unternehmen ist, dass hier davon ausgegangen wird, Stufe 1 bedeutet: der realisierte Prozess erfüllt seinen Zweck.

In komplexeren Projekten kann man diesen Fragenkatalog sehr gut zu einer ganzheitlichen Analyse einsetzen. Problem sind nur die rechtlichen Komponenten der DSGVO. Hier sind zusätzliche Fragen notwendig.

Hier ein Auszug aus einer Stellungnahme zur Verwendung von Bildern, die im Rahmen von Kundenveranstaltungen gemacht wurden. Die Veranstaltung wurde durchgeführt, das Hochglanzprospekt wurde bereits gedruckt und uns dann zur Beurteilung vorgelegt.

„Es wird darauf hingewiesen, dass es den Verwendern obliegt, die zivilrechtliche Bewertung dieser Information vorzunehmen. Insbesondere ist durch die Keil GmbH keine rechtliche Prüfung auf Vollständigkeit vorgenommen worden. Bitte haben Sie Verständnis dafür, dass die Keil GmbH keinerlei Haftung für etwaige Fehler übernimmt.“

Neben dem Urheberecht für Bilder (Urheberechtsgesetz (UrhG)), das in Deutschland den Umgang mit und die Verwendung von geistigem Eigentum und geschaffenen Werken) regelt und somit die Person des Schöpfers schützt, klärt das Kunsturheberrechtsgesetz (KunstUrhG/KUG) das so genannte Recht am eigenen Bild. Dieses stellt den Schutz der abgebildeten Personen dar. Wenn bei Fotos der Betrachter den Namen des Abgebildeten grundsätzlich zuordnen könnte, reicht dies für die Identifizierbarkeit aus, so dass es sich um personenbezogene Daten im Sinne er DSGVO handelt und diese damit einschlägig ist.

Nicht abschließend geklärt ist, ob denn nun die spezialgesetzlichen Regelungen (KUG) der DSGVO vorgehen. So gesehen wird man bei der „Veranstaltungsfotografie“ mit verschieden Problemen konfrontiert, die man in dieser Zusammenwirkung nur selten in anderen Bereichen findet.

Nachfolgend wird erläutert, was bei einer „Veranstaltungsfotografie“ grundsätzlich zu beachten ist und im Anschluss daran Ihre konkrete Situation betrachtet:

1. Grundsätzlich sind zwei Rechtskreise zu betrachten: Das Anfertigen der Fotos und die Verbreitung.
2. Das Kunsturhebergesetz (KUG) hilft im Hinblick auf das Anfertigen von Fotos nicht weiter, da es eine Person nicht davor schützt, fotografiert oder gefilmt zu werden (zuletzt bestätigt durch OLG Dresden, Urteil vom 10.07.2018, Az. 4 U 381/18) das heißt konkret, die Aufnahme einer Fotografie fällt seit Mai 2018 unter die DSGVO.

Bitte beachten Sie, dass die nachfolgenden Ausführungen zur DSGVO ausschließlich für die „Veranstaltungsfotografie“ gelten – die DSGVO ist nicht einschlägig beim Haushaltsprivileg, bei der Herstellung von analogen Fotos und bei der Presse (Medienprivileg – aber nur für die Herstellung nicht Verbreitung).

1.1 Die Zulässigkeit der Fotoerstellung richtet sich daher allein nach Art. 6 DSGVO. Danach sind Bildaufnahmen von Personen grundsätzlich verboten, wenn sie nicht auf eine Einwilligung oder auf eine andere Rechtfertigung gestützt werden können.

In Betracht käme zum einen die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten nach das Art. 6 Abs. 1 Satz 1 lit f) DSGVO. Zu beachten ist aber der Schutz der Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person. Diese dürfen nicht überwiegen, insbesondere dann nicht, wenn es sich bei der betroffenen Person um ein Kind handelt.

Maßgebliches Kriterium sind hier die „vernünftigen Erwartungen des Betroffenen“, d.h. der fotografierten Person. In der Praxis bedeutet das, ob die abgelichtete Person damit rechnete oder damit rechnen musste, fotografiert zu werden.

Bei Firmenfeiern und Veranstaltungen kann man sich auch dergestalt absichern, indem man darauf achtet, dass die abgebildeten Personen bewusst wahrnehmen, dass sie fotografiert werden (wenn jemand in die Kamera lächelt, zeigt er sich zumindest damit einverstanden, in dem Moment abgelichtet zu werden).

Zum anderen kommt die Verarbeitung auf Grund einer Einwilligung in Betracht (Art. 6 Abs. 1 Satz 1 lit a) DSGVO).

Nach der DSGVO ist keine schriftliche Einwilligung mehr nötig. Auch konkludente Einwilligungen, also durch schlüssiges Verhalten wie z.B. Posieren oder Lächeln in die Kamera sind wirksam – allerdings liegt die Beweislast für das Bestehen einer Einwilligung beim Verantwortlichen.

Vorsicht bei Minderjährigen: Soll ein Kind fotografiert werden, das jünger als 16 Jahre ist, müssen beide Eltern in die Datenverarbeitung (Erstellung des Fotos) einwilligen. Eine Genehmigung der Eltern (= nachträgliche Erlaubnis) reicht nicht aus.

1.2 Darüber hinaus treffen den Verantwortlichen Informationspflichten (Art. 13, 14 DSGVO). Unter anderem muss er angeben,

• für welchen Zweck die Fotos angefertigt werden
• ob und ggf. wo (in welchen Medien) eine Veröffentlichung geplant ist und
• den Ansprechpartner für die Abgebildeten bei Datenschutzfragen, z. B. wenn Abgebildete eine Löschung der sie zeigenden Fotos wünschen.

Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Information verfügt.

Je nach Einzelfall wäre auch denkbar, dass eine Ausnahme von der individuellen Informationspflicht nach Art. 14 Abs. 5 lit. b) DSGVO besteht, z.B. bei unüberschaubar großen Menschenmengen, wo ein Aushang regelmäßig genügen dürfte.

Es empfiehlt sich bereits bei der Planung einer Veranstaltung, bei der Fotos von Gäste erstellt werden, die später beispielsweise auf der eigenen Website und in einer Broschüre veröffentlicht werden sollen, dies in die Einladungen aufzunehmen und zusätzlich durch nicht übersehbare Hinweisschilder bei der Veranstaltung alle Informationen in transparenter, klar verständlicher und leicht zugänglicher Form mitzuteilen (abgestuftes Informationssystem möglich – bspw. wo man die Informationen abrufen/einsehen/erhalten kann).

2. Aus einem implizierten Einverständnis zum Fotografiert werden lässt sich aber nicht schließen, was später mit diesem Bild gemacht werden darf.

Wenn es um die Veröffentlichung von Fotografien geht, ist, laut einer zuletzt bestätigten Entscheidung des OLG Köln (Urteil vom 08.10.2018, AZ 15 U 110/18), zumindest für Journalisten weiterhin das KUG anwendbar.

Abseits des journalistischen Bereichs bleibt das Verhältnis von DSGVO und KUG umstritten. Unserer Auffassung nach sollte das Kunsturhebergesetz und insbesondere § 23 KUG für die Veröffentlichung von Personenfotografien entweder weiterhin direkt gelten oder alternativ dessen bisherige Wertungen in die Abwägungsentscheidung zu Art. 6 Abs. 1 lit. f) DSGVO einfließen. In diesem Fall wäre die Abgrenzung zwischen DSGVO und KUG im Wesentlichen akademischer Natur (so jetzt auch LG Frankfurt, Urteil vom 13.09.2018, Az. 2-03 O 283/18).

Die Bundesregierung ist der Auffassung, dass für die Veröffentlichung von Fotografien das Kunsturhebergesetz (KUG) weiterhin spezielle Regelungen enthält, die auch unter Geltung der DSGVO unverändert fortbestehen. Es handele sich beim KUG um eine sich auf die Öffnungsklausel des Artikels 85 DSGVO stützende Regelung. Das KUG füge sich als Teil der deutschen Anpassungsgesetzgebung in das System der DSGVO ein, und zwar ohne dass es einer gesetzlichen Regelung zur Fortgeltung des KUG bedürfte. Das Kunsturhebergesetz liefere demnach auch unter der Geltung der DSGVO weiterhin eine nationale Rechtsgrundlage für die Verbreitung und Schaustellung von Personenbildnissen (BT Drucksache, Seite 46 – 48).

Vor diesem Hintergrund ist das abgestufte Schutzsystem der §§ 22, 23 KUG zu betrachten:

Nach § 22 Satz 1 KUG dürfen „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden.“

• Für eine Nutzung oder Verbreitung der Bilder bedarf es wieder der ausdrücklichen Einwilligung zum jeweiligen Zweck. Dies gilt auch für Fotos, die ein Mitarbeiter dem Unternehmen freiwillig überlassen hat.
• Ist der Abgebildete minderjährig, bedarf es zusätzlich der Einwilligung seines gesetzlichen Vertreters
• Die Zweckbindung darf nicht verletzt werden.

Vom Grundsatz der Einwilligungspflicht gibt es Ausnahmen, die nachfolgend dargestellt werden.

• Abbildungen gegen Entgelt
• Ferner werden in § 23 KUG werden Fälle aufgezählt, in denen eine Verbreitung selbst dann erlaubt ist, wenn eine Einwilligung weder ausdrücklich noch nach den Umständen erteilt wurde. Hierbei läuft es stets auf eine Einzelfallbetrachtung hinaus.
• 23 KUG:

„(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:

1. Bildnisse aus dem Bereiche der Zeitgeschichte;

(…)

3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;“

Die Ziffer 1 gestattet es, Bildnisse aus dem Bereich der Zeitgeschichte zu fotografieren. Da der BGH die Schranken nicht allzu hoch gesetzt hat, ist diese Vorschrift weitaus nützlicher, als diese vermuten lässt. Es kommt zwar darauf an, dass das Ereignis, welches fotografiert werden soll, eine Frage des allgemeinen gesellschaftlichen Informationsinteresses ist. Allerdings hat der BGH in einem älteren Urteil (Urteil vom 8.4.2014, AZ VI ZR 197/13) entschieden, dass dies auch bereits einschlägig ist, wenn die Veranstaltung nur von regionaler bzw. lokaler Bedeutung ist. Hingegen ist auch die Art der Veröffentlichung der Aufnahme zu berücksichtigen, die es verbietet, ein im Rahmen einer derartigen Veranstaltung aufgenommenes Bild ohne jeglichen Informationskontext zu verbreiten.

Entgegen dem ersten Blick auf die Ziffer 3, die regelt, dass bei Versammlungen gestattungsfrei fotografiert werden darf, ist diese weniger nützlich, da private Veranstaltungen schlichtweg ausgenommen sind, auch wenn seitens des Veranstalters keine Zugangsbeschränkungen vorgesehen sind. Die Veranstaltung ist dann schlicht privat und nicht öffentlich.

1. Hinsichtlich Ihrer konkreten Situation ist bereits die Anfertigung der Fotos im Rückblick nicht unproblematisch gewesen.

So reicht das aufgestellte Schild „Bei dieser Veranstaltung sind Fotografen anwesend!“ ggf. für das Kriterium „vernünftigen Erwartungen des Betroffenen, d.h. der fotografierten Person“ aus, so dass deine Argumentation auf der Basis erfolgen könnte, dass die abgelichteten Personen damit rechnen oder damit rechnen mussten, fotografiert zu werden.

Keinesfalls ausreichend ist das Schild aber für die nach der DSGVO und oben dargestellte Verpflichtung, Informationen in transparenter, klar verständlicher und leicht zugänglicher Form zur Verfügung zu stellen.

Keinesfalls ausreichend ist dies ferner hinsichtlich der Abbildung eines Kindes, welches auf einem der Fotos klar zu erkennen ist. Hier wäre unabdingbar die Einwilligung des gesetzlichen Vertreters einzuholen gewesen (beide Sorgeberechtigte).

• Eine Genehmigung der Eltern (= nachträgliche Erlaubnis/Einwilligung) reicht nicht aus.

Ob Sie darüber hinaus das Erstellen eines Fotobuches und Versenden an Kunden zum Zweck der Werbung/Information ohne ausdrückliche Genehmigung der Betroffenen auf die Argumentation aus § 23 Ziff. 1 KUG stützen wollen, bleibt letztlich Ihnen bzw. dem Verantwortlichen überlassen.

Wir empfehlen Ihnen zur Erstellung und Versendung die entsprechenden Einwilligungen der Betroffenen einzuholen. Wir möchten Sie aber darauf hinweisen, dass auch dies ein gewisses Risiko birgt, denn Betroffene können sich bereits beschweren, dass sie bei der Erstellung nicht umfassend informiert wurden – die Einholung einer sogenannten Genehmigung (nachträgliche Erlaubnis/Einwilligung) ist auch bei Erwachsenen nicht unproblematisch. Die Ausführungen zur rechtlichen Einordnung einer Einwilligung (empfangsbedürftige Willenserklärung als Realakt oder rechtsgeschäftsähnliche Handlung) würden den hier vorliegenden Rahmen jedoch sprengen.

Ferner empfehlen wir Ihnen das Foto mit der Abbildung es Kindes unverzüglich und unwiderruflich zu löschen (es sei denn eine Einwilligung hat vorgelegen).