DSGVO: Foto, Google Analytics & ePrivacy

Bildaufnahmen, seien es Fotos oder Videos, spielen im Stadtmarketing eine wesentliche Rolle. Mit dem Inkrafttreten der DSGVO wurden auch hier teilweise neue Regelungen erlassen, die es zu beachten gilt.

Was Sie bei der Verwendung von Bildaufnahmen sowie Google Analytics beachten sollten und welche Auswirkungen mit der ePrivacy-Verordnung in der derzeitigen Entwurfsform zu erwarten sind, erfahren Sie im Folgenden.

Fotos und Videos mit Personen

Laut DSGVO sind Fotos und Videos von Personen als personenbezogene Daten zu werten. Auch dann, wenn man keine Namen nennt. Begründet wird dies damit, dass die Verknüpfung von Personenbildern mit Daten schnell herstellbar ist, da z.B. Bekannte, KollegInnen oder Familienangehörige die Person erkennen können.

Wenn die Person, die abgebildet wurde, nicht erkennbar ist, wird es sich im Normalfall auch um keinen personenbezogenen Datensatz handeln. Das Pixeln von Gesichtern gilt allerdings nicht als „rechtssicher“.

Denn zum einen kann man Personen häufig trotzdem identifizieren, zum anderen sind auf künstliche Intelligenz basierende Programme inzwischen in der Lage, solche Bearbeitungen rückgängig zu machen.

Anmerkung: Die DSGVO gilt nicht für private Fotos oder Videos. Diesbezüglich gelten weiterhin die bisherigen Regelungen.

Wann dürfen Fotos und Videos gespeichert und veröffentlicht werden?

Die Verarbeitung und Veröffentlichung von Personenfotos und -videos auf Websites, Social Media (Facebook, Instagram) oder in gedruckten Medien erfordert eine „Rechtfertigung“. Die sechs möglichen Grundlagen der rechtmäßigen Datenverarbeitung sind in Art. 6 Abs. 1 DSGVO DSGVO geregelt.

Für Fotos und Videos sind vor allem zwei Rechtfertigungsgründe relevant: Die Einwilligung sowie „berechtigtes Interesse“.  Präzisiert wird in Österreich die Bildaufnahme (Foto und Video) im Datenschutzanpassungsgesetz 2018.

1. Einwilligung und Widerrufsrecht

Grundsätzlich empfiehlt es sich, Einwilligungserklärungen vor den Bildaufnahmen einzuholen. Zu bedenken ist hier, dass für Einwilligungen nach Art. 7 Abs. 3 DSGVO ein freies, jederzeitiges Widerrufsrecht gilt.

Ein rechtlich zulässiger Widerruf wirkt dabei immer nur für die Zukunft. Wurde zunächst eine Einwilligung erteilt, dann kann man die Veröffentlichung eines Fotos rückwirkend nicht als unzulässig ansehen.

Wenn Sie also z.B. die Einwilligung zur Ablichtung und Veröffentlichung einer Person auf der Website oder auf Facebook, Instagram, etc. haben, dann dürfen Sie das Foto auch bis zu einem allfälligen Widerruf der Einwilligung veröffentlichen.

Während Sie bei Online-Veröffentlichungen das Foto einfach löschen, kann bei gedruckten Materialen ein Widerruf mitunter recht unangenehme Konsequenzen mit sich bringen, wenn z. B. Broschüren mit gedruckten Fotos geschwärzt oder eingestampft werden müssen.

Achtung: Bei Minderjährigen ist ein besonderer Schutz in Art. 8 DSGVO verankert. Hier ist zu beachten, dass die schriftliche Einwilligung aller Personensorgeberechtigten vor den Fotoaufnahmen vorliegen muss (z.B. Kindergartenfotos oder Gruppenfoto einer Sportmannschaft). In Österreich gilt dies bis zur Vollendung des 14. Lebensjahres.

Eine Schwärzung der Gesichter – wie kürzlich in einem Kindergarten in Deutschland geschehen – ist nicht erforderlich.

2. Alternative zur Einwilligung: Berechtigte Interessen

Sofern eine Einwilligung nicht eingeholt werden kann  (z.B. bei Massenveranstaltungen), kann als Rechtsgrund die Interessensabwägung nach Artikel 6 Absatz 1 lit. f DSGVO herangezogen werden: Wenn das Interesse des Verantwortlichen (also z.B. des Veranstalters, der Gemeinde) das Interesse des Betroffenen (Gast der Veranstaltung, Gemeindebürgers) überwiegt, liegt ein gültiger Rechtsgrund vor.

Es besteht z.B. das berechtigte Interesse der Gemeinde in der Gemeindezeitung die BürgerInnen über die ihre Aktivitäten, Veranstaltungen, etc. zu informieren. Das legitime Interesse der Gemeinde an einer bebilderten Berichterstattung über den Faschingsumzug, das Sommerkino oder eine Sportveranstaltung wird man daher nicht ernsthaft in Frage stellen können.

Argumentiert wird diesbezüglich damit, dass es um ein Foto einer Örtlichkeit geht, bei der die Personen nur als Beiwerk erscheinen. Wer zudem zu einer solchen Veranstaltung geht, zeigt sein Gesicht im öffentlichen Raum.

Mit der Anfertigung von Fotos und deren Verbreitung in der Öffentlichkeit ist kein schwerer Eingriff in Individualrechte verbunden, sodass die Interessensabwägung zugunsten des Veranstalters ausfällt.

„Wenn zum Beispiel Personen in einem Stadion aufgenommen wurden und die Gesichter auch klar erkennbar sind, kann es sein, dass die Bilder veröffentlicht werden dürfen, weil das Bild nicht sie als Person dokumentiert, sondern die Örtlichkeit“, so DSGVO-Experte Peter Fürsicht.

Auch Veranstaltungsgäste haben allerdings ein Widerspruchsrecht.

Möchte ein Veranstaltungsgast nicht online oder in gedruckten Materialien erkannt werden, dann kann er sich auf eine „besondere Situation“ nach Art. 21 Abs. 1 DSGVO berufen und eine Veröffentlichung verhindern.

Anmerkung: Die Interessensabwägung gab es auch bisher schon im österreichischen Urheberrecht §78 UrhG als Bildnisschutz bzw. „Recht am eigenen Bild“, hier ändert sich durch die DSGVO eigentlich nichts. Auch bisher konnte eine Person die Veröffentlichung ihres Bildes bei entsprechender Begründung untersagen, die DSGVO lagert dieses Recht lediglich auf die Speicherung des Bildes vor.

Was gilt für MitarbeiterInnenfotos?

Laut WKO könnte man diesbezüglich zwar grundsätzlich argumentieren, dass das Unternehmen ein berechtigtes Interesse hat, Fotos von MitarbeiterInnen auf der Website oder sonstigen Medien zu veröffentlichen. Wenn Sie jedoch auf Nummer sicher gehen möchten, empfiehlt die WKO die Einwilligung der MitarbeiterInnen. 

Welche DSGVO-Informationspflichten sind bei Bildaufnahmen zu erfüllen?

Egal ob Einwilligung oder „berechtigte Interessen“ – bei jeder Veröffentlichung sind gemäß den Informationspflichten nach Art. 13 und 14 DSGVO „Fotohinweise“ zu erstellen. Darin müssen der Zweck der Anfertigung der Fotos und Videos, die Empfänger und die Speicherdauer angegeben und über die DSGVO-Betroffenenrechte unterrichtet werden.

Bei Einzelpersonen bzw. einer überschaubaren Anzahl von Personen kann man den Fotohinweis persönlich übergeben. Bei Veranstaltungen, insbesondere bei Massenveranstaltungen, wird sich diese Praxis allerdings kaum umsetzen lassen.

Hier muss daher bei Einladungen, Veröffentlichungen zur Veranstaltung oder beim Kauf der Eintrittskarte sowie bei der Veranstaltung selbst (z.B. Aushang im Kassenbereich, bei der Registrierung, auf Eintrittskarten) auf die Anfertigung von Fotos bzw. Videos und die Verwendung (Folder, Broschüren, Website, Social Media) hingewiesen werden.

Die Informationen sollten generell auch auf der Website bereitgestellt werden (siehe Beispiel) – bei Online-Anmeldungen bzw. Online-Kauf von Tickets kann man dann direkt zum Hinweis verlinken.

Wenn beispielsweise bei einer Theateraufführung Fotos gemacht werden, dann muss bereits beim Kauf der Eintrittskarte darauf hingewiesen werden. Wenn es sich hingegen um eine Veranstaltung handelt, die auf einem öffentlichen Platz stattfindet, dann sind Sie in der Regel mit der Erstellung eines Fotohinweises in Form eines Aushanges (Plaketes) auf der sicheren Seite.

In Hinblick auf den Aushang bei Veranstaltungen beachten Sie bitte folgendes:

• Platzieren Sie den Fotohinweis gut sichtbar mit der Information, dass Sie Bilder von der Veranstaltung anfertigen und wo Sie diese veröffentlichen.
• Teilen Sie auf diesem Aushang auch mit, an wen sich der Betroffene wenden kann, wenn er das nicht möchte und woher er die Datenschutzinformation zu den Fotoaufnahmen vor Ort erhält.
• Schaffen Sie eine Möglichkeit, die Datenschutzinformationen vor Ort zu erhalten.

Ein Muster zu Fotohinweis und Datenschutzinformation für Veranstaltungen finden Sie auf der Website des Datenschutzexperten Dr. Mag. Thomas Schweiger. 

Empfehlung für das Stadtmarketing

Die Thematik der Nutzung von Fotos und Videos ist letztlich von Fall zu Fall unterschiedlich. „Die DSGVO hat noch nicht die Schärfe, die wir gerne hätten. In diesem Bereich gibt es noch einige Unklarheiten“, erklärt Datenschutzexperte KommR Günter R. Schwarz.

Als sinnvolle Vorgangsweise in Hinblick auf Veranstaltungen empfiehlt KommR Schwarz daher, bei jeder Veranstaltung im Vorfeld mit dem Datenschutzbeauftragten abzuklären, was genau zu tun ist und wo Einwilligungen einzuholen sind.

Google Analytics nach DSGVO

Wer eine Website betreibt, nutzt in der Regel Google Analytics, oder ähnliche Tools, um zu sehen wie viele User auf die eigene Website kommen, woher sie stammen und was sie sich auf der Seite ansehen. Da die Privatsphäre des Users berücksichtigt werden muss, gelten strenge Regeln beim Einsatz solcher Analysetools. Folgendes ist zu beachten:

• Eine Vereinbarung zur Auftragsdatenverarbeitung muss mit Google abgeschlossen werden.
• Die Zustimmung der NutzerInnen muss vor dem Einsatz eingeholt werden, wobei es sich dabei um eine „informierte Zustimmung“ handeln muss (Infobox mit Bestätigunglink, die auf die Datenschutzerklärung verweist. Ein aktuelles Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten im Hinblick auf Webanalyse, Cookies und Newsletter finden Sie hier).
• IP-Adressen sollten anonymisiert werden.
• Eine Möglichkeit zum Opt-Out ist erforderlich.

Laut Datenschutzexperte KommR Schwarz gibt es auch in diesem Bereich noch viele Ungereimtheiten. Wichtig sei jedenfalls der Verweis auf die Datenschutzerklärung, letztlich könne aber in der momentanen Situation niemand sagen, wie das Thema absolut rechtssicher zu handhaben ist, da die Spezialthemen noch nicht durchjudiziert sind.

Auch in Hinblick auf Social Media Monitoring bzw. Social Media Listening empfiehlt KommR Schwarz ein vorsichtiges Vorgehen: Sie dürfen das Wissen über Trends, Stimmungen, etc. haben, Sie dürfen es jedoch nicht speichern und nicht verwenden!

Vorschau auf die ePrivacy-Verordnung

Während die DSGVO den Datenschutz im Allgemeinen regelt, zielt die ePrivacy-Verordnung (EPV) auf das Internet ab. Sie soll beispielsweise regeln, welche Daten Websites tracken und speichern dürfen.

Wie bei der DSGVO geht es also auch bei der ePrivacy-Verordnung um den Schutz personenbezogener Daten: Die DSGVO legt die Grundsätze fest, die ePrivacy-Verordnung konzentriert sich voll auf die elektronische Kommunikation.

Die EU will mit der ePrivacy-Verordnung den Datenschutz intensiver regulieren und die Privatsphäre der VerbraucherInnen online stärken. Die derzeit diskutierten Vorschläge richten sich unter anderem ganz konkret an Software-, Website- und App-Betreiber und wirken sich damit grundsätzlich auf die gesamte Online-Branche aus.Geplante Verschärfungen betreffen vor allem die Verwendung von Cookies.

Derzeit bestehen in diesem Bereich bereits EU-Richtlinien.

So wurde die 2002 erlassene ePrivacy-Richtline in Österreich mit dem Telekommunikationsgesetz 2003 (BGBl. I Nr. 70/2003) umgesetzt. 2009 erfolgte eine Ergänzung der Richtlinie durch die sogenannte Cookie-Richtlinie, die eine ausdrückliche Einwilligung der NutzerInnen verlangt, damit Websites Cookies bei den NutzerInnen setzen dürfen.

Mit der Umsetzung der Richtlinie im § 96 TKG 2003  war es in Österreich bereits seit 2003 für Website-BetreiberInnen verpflichtend, die aktive Zustimmung der Website-NutzerInnen für die Verwendung von personenbezogenen Cookies („Opt-In“) aktiv seine Zustimmung geben.

Opt-In bedeutet dabei, dass im Fall einer Checkbox diese nicht bereits mit einem Häkchen versehen sein darf (siehe dazu: WKO: Regelungen zu Cookies und Webanalysen).

In Deutschland hingegen musste trotz Cookie-Richtlinie bislang dem Einsatz von Cookies nicht aktiv zugestimmt werden, sondern lediglich darauf hingewiesen werden (Möglichkeit zum „Opt-out“ durch Deaktivierung in Browser-Einstellungen). Spielräume wie diese werden mit der ePrivacy-Verordnung nicht mehr möglich sein, da sie für alle EU Staaten bindend sein wird.

Was würde sich ändern?

Aktuell wird noch heftig über den Inhalt der Verordnung gestritten. Der Grund hierfür liegt unter anderem darin, dass die geplante Verordnung im Bereich Cookies vor allem zwei bedeutsame Änderungen für Unternehmen vorsieht:

• Der/Die NutzerIn soll zukünftig im Sinne einer Opt-In Lösung für jeden Cookie-Einsatz seine ausdrückliche Zustimmung erteilen. Die ePrivacy-Verordnung differenziert hierbei allerdings nicht, ob es sich bei den Daten, die in einem Cookie gespeichert werden, um anonyme oder personenbezogene Daten handelt. Falls der User das Opt-In ablehnt, darf er für die Website auch nicht gesperrt sein, wie es aktuell bei Adblockern bereits von einigen Website-BetreiberInnen durchgeführt wird.

• Sämtliche digitale Endgeräte im Dialog Marketing- und im Online-Marketing-Kontext werden grundsätzlich als „personenbezogen“ eingestuft. Das bedeutet, dass diese Geräte bei der Auslieferung für das Setzen von Cookies oder ähnliche Techniken deaktiviert sind bzw. Browser in der Regel-Einstellung Cookies sperren (Privacy by default). Eine Änderung ist nur mit der Aktivierung der Funktion durch den/die UserIn möglich.

Unternehmen soll es künftig somit nicht mehr erlaubt sein, Daten ohne die Einwilligung des Nutzers für kommerzielle Zwecke weiterzuverarbeiten.

Ausnahmen von der Einwilligung gibt es nur dann, wenn die Daten „streng erforderlich“ oder „streng technisch notwendig“ sind, um einen Dienst zu erbringen.

Das trifft z.B. auf den Warenkorb im Rahmen des Online-Shopping oder das Session-Cookie für den Login-Status zu.

Die Konsequenz daraus ist, dass z.B. der Erfolg von Marketing- und Werbekampagnen sehr viel schwieriger zu messen sein wird. Wird die EPV in der derzeit vorliegenden Form umgesetzt, dann würde es nicht nur die wirtschaftliche (auf Werbeeinnahmen basierende) Struktur des Internets in ihren Grundfesten erschüttern, sondern auch Onlinemarketing Aktivitäten von Unternehmen wesentlich erschweren.

Wenn auch mit dem Inkrafttreten der EPV voraussichtlich erst im Frühjahr 2020 zu rechnen ist, kann es nicht schaden, schon jetzt einen Datenschutzexperten zu Rate zu ziehen, um alternative Marketingmethoden auszuarbeiten – insbesondere dann, wenn Sie im Stadtmarketing Tracking nutzen.

Informationen und Rechtsgrundlagen

• DSGVO Leitfaden der Datenschutzbehörde Österreich
• WKO: Unterstützung zur Umsetzung der DSGVO (Online-Ratgeber, Webinare, ExpertInnen, Veranstaltungen, branchenspezifische Informationen)
• Musterdokumente DSGVO (WKO)
• Mustervorlagen für die DSGVO (consulio.at)
• DatenschutzexpertInnen: Opestra – KommR Günter R. Schwarz, Logmedia – zertifizierte DSGVO-Berater
• Datenschutz.org
• Datenschutzticker.de
• Datenschutz-Grundverordnung (DSGVO)
• Datenschutzgesetz (DSG)
• Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (BGBl. II Nr. 108/2018)

Fazit: DSGVO

Obwohl die Auflagen strenger sind, bedeutet die Datenschutzgrundverordnung nicht den Untergang des Online Marketings. Unternehmen müssen mit den Daten der NutzerInnen sensibler umgehen und proaktiv über die Datenverwendung informieren. Derzeit bestehen allerdings noch viele Unklarheiten.

Unter dem Aspekt der möglichen Haftung von GeschäftsführerInnen ist neben einer vorsichtigen Vorgangsweise die Beauftragung eines zertifizierten, externen Datenschutzbeauftragten zu empfehlen, der die Einhaltung der DSGVO überprüft und als Ansprechperson für alle Themen rund um die Datenschutzkriterien fungiert.

Interne MitarbeiterInnen dürfen aufgrund ihrer Weisungsgebundenheit nicht zum Datenschutzbeauftragten bestellt werden.

In Hinblick auf die ePrivacy-Verordnung sollte man die Entwicklungen aufmerksam verfolgen, um eventuell erforderliche Anpassungen zeitgerecht umzusetzen. Informationen zum Thema Social Media & DSGVO (einschließlich Update zu Facebook) finden Sie in unserem Beitrag „Social Media und DSGVO: 7 Tipps für die Umsetzung„.