OLG Köln: Anwendbarkeit des KUG trotz DSGVO (Recht am eigenen Bild)

Wie das Oberlandesgericht Köln in der ersten Entscheidung zur Datenschutzgrundverordnung (DSGVO) mit Beschluss vom 18.06.2018 (Az. 15 W 27/18) feststellte, ist das Kunsturhebergesetz (KUG) gegenüber entgegenstehenden Regelungen der DSGVO vorrangig. Schließlich erlaube das KUG umfangreiche Erwägungen und damit auch, unionsrechtliche Grundrechtspositionen zu berücksichten.

In dem Rechtsstreit (Vorinstanz: Landgericht Köln, Az. 28 O 167/18) forderte der Antragsteller den Antragsgegner zur Unterlassung der Veröffentlichung eines Fernsehbeitrags des WDR auf, in dem er erkennbar war. Er stützte den Anspruch auf Unterlassung neben §§ 1004 Abs. 1 S. 2, 823 Abs. 2 BGB i.V.m. § 22 KUG auch auf die Datenschutzgrundverordnung.

Das Oberlandesgericht stellte hier zunächst fest, dass das Bildnis einer Person ausnahmsweise dann auch dann ohne Einwilligung nach § 22 KUG veröffentlicht werden darf, soweit es sich hierbei um ein Bildnis der Zeitgeschichte handelt (§ 23 Abs. 1 Nr. 1 KUG). Dies liege konkret dann vor, wenn das jeweilige Bildnis der Person im Zusammenhang mit einem Ereignis veröffentlicht wird, welches die Öffentlichkeit interessiert (zum Beispiel politische, wirtschaftliche oder gar gesellschaftliche Ereignisse). Im hiesigen Fall ging es um einen Fernsehbeitrag bzgl. der Räumung, Sperrung und Bewachung eines Gebäudes. Nach Ansicht des Gerichts ist dies von erheblichem öffentlichen Interesse und somit von § 23 Abs. 1 Nr. 1 KUG umfasst.

Eine vorrangige Anwendung des Kunsturhebergesetzes verstößt nach Ansicht des Oberlandesgerichts auch nicht gegen europarechtliche Prinzipien: So erlaube der Art. 85 DSGVO – ebenso wie die Vorgängerregelung in Art. 9 der Richtlinie RL 95/46/EG – nationale Gesetze mit Abweichungen von DSGVO zugunsten der Verarbeitung zu journalistischen Zwecken. Art. 85 DSGVO enhält damit eine Öffnungsklausel, die nicht nur neue Gesetze erlaubt, sondern auch bestehende Regelungen – soweit sich diese einfügen – erfassen kann.

Es gilt jedoch festzuhalten, dass das KUG keine Rechtsgrundlage für die Erhebung von Daten – somit das Fotografieren an sich – beinhaltet. Im KUG ist lediglich die Veröffentlichung geregelt. Somit gilt für das Anfertigen von Personenfotos uneingeschränkt die DSGVO.

Datenschutz Facebook-Fanpage – Die (gemeinsame) Verantwortlichkeit von Facebook und Fanpage-Betreiber nach der DSGVO

Am 05.06.2018 entschied der Europäische Gerichtshof (EuGH), dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage verantwortlich ist (Az. C-210/16).
Strittig war unter anderem die Begriffsdefinition zur „verantwortlichen Stelle“, § 3 Nr. 7 BDSG a.F. bzw. Art. 2 lit. d Datenschutzrichtlinie 95/46/EG. Da hingegen die Begriffsdefinition der Datenschutzrichtlinie nahezu wortgleich in Art. 4 Nr. 7 der DSGVO umgesetzt wurde, dürfte diese Entscheidung starke Signalwirkung innehaben.

Exkurs: Facebook-Fanpage

Dabei handelt es sich um ein öffentliches Profil, z.B. eines Unternehmens auf dem sozialen Netzwerk „Facebook“. Durch einen Klick kann man „Fan“ dieser Seite werden und erhält hierdurch stetig Informationen, News oder Meldungen des Profils direkt im eigenen Newsstream. So ist es z.B. Unternehmen möglich, aktiv mit ihren Kunden in Kontakt zu treten und umgekehrt. Mit Hilfe der Funktion „Facebook Insight“, die als nicht abdingbarer Teil des Benutzungsverhältnisses kostenfrei zur Verfügung steht, ist es dem Betreiber möglich, anonymisierte statistische Daten über die Nutzer der Fanpage-Seiten einzusehen.

Wer ist wofür verantwortlich?

Dieser Entscheidung lag ein Verwaltungsrechtsstreit zwischen der Wirtschaftsakademie Schleswig-Holstein GmbH und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zugrunde. Die Akademie als Klägerin bewarb Bildungsangebote auf ihrer Facebook-Fanpage. Sie wehrte sich gegen eine datenschutzrechtliche Anordnung der Beklagten (ULD) bis zum Bundesverwaltungsgericht (BVerwG), welches schließlich dem EuGH unter anderem die Frage vorlegte, ob die Klägerin als Fanpage-Betreiberin überhaupt eine „verantwortliche Stelle“ sein kann.

Dies wurde durch den EuGH bejaht.

Der EuGH stellte zwar fest, dass die bloße Benutzung von Facebook noch nicht zur Mitverantwortlichkeit führe, diese beginne jedoch bereits mit Einrichtung der Fanpage. Dies ist dem Grunde geschuldet, dass der Betreiber diese auf sein Zielpublikum ausrichtet, mittels Filtern Kriterien für Erhebung von Statistiken festlegt und Kategorien von Personen bezeichnet, deren personenbezogene Daten seitens Facebook ausgewertet werden sollen. So können gerade Angaben z.B. zur beruflichen Situation, Lebensstil, Geschlecht, Altersbereich und Interessen für konkrete Werbeaktionen und zielgerichtete Informationen verwertet und verwendet werden.

Es spiele – so der EuGH – hier keine Rolle, dass die von Facebook erstellten Besucherstatistiken ausschließlich in anonymisierter Form an den jeweiligen Betreiber der Fanpage übermittelt werden. Gerade der Umstand, dass diese Fanpages auch von Dritten, bei denen es sich nicht um Facebook-Nutzer/Mitglieder handelt, besucht werden können, erfordere eine noch größere Verantwortung, da eben auch bei diesen Besuchen automatisch eine Verarbeitung von personenbezogenen Daten ausgelöst werde.

Was bedeutet das konkret für mich als Fanpage-Betreiber?

Solange es sich um eine ausschließlich private Nutzung des Social Networks handelt, hat die Entscheidung des EuGH hierauf keine Auswirkungen. Wer hingegen Fanpages zu geschäftlichen Zwecken einrichtet, ist datenschutzrechtlich auch mitverantwortlich. Die Entscheidung ist analog übertragbar auf weitere Social Media – Dienste wie z.B. Instagram, Snapchat oder YouTube.
Somit unterliegen – nach der Entscheidung des EuGH – die Fanpage-Betreiber insbesondere Informationspflichten, Betroffenenrechten und der Haftung nach der DSGVO (aufsichtsbehördliche Anordnungen, wettbewerbsrechtliche Abmahnungen etc.).

Wie setze ich die notwendigen Pflichten auf meiner Fanpage um?

Es ist dem Fanpage-Betreiber möglich in der Facebook-Seiteninformation unter „Datenschutzrichtlinie“ eine eigene extern gespeicherte Datenschutzerklärung zu verlinken, um den Informationspflichten der DSGVO (Art. 13, 14 DSGVO) zu genügen. Hier kann man dann konkret auf die Datenverarbeitung im Rahmen einer Fanpage eingehen und diese transparent für den Nutzer aufschlüsseln.