Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauftragter TÜV)
1. Datenschutz im
Medienrecht
DieVerarbeitung personenbezogener Daten auf Grundlage der
Datenschutzgrundverordnung (DS-GVO)
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV) für den
Studiengang Media: conception&production (Hochschule Rhein-Main)
2. Datenschutz
Einleitung
• Volkszählungsurteil aus dem Jahre 1983: Dort wurde bestimmt, dass freie
Entfaltung der Persönlichkeit unter den modernen Bedingungen der
Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung,
Speicherung,Verwendung undWeitergabe seiner persönlichen Daten voraus
setzt.
• Das Informationelle Selbstbestimmungsrecht ist ein Grundrecht: Art. 1 Abs. 1
GG: „DieWürde des Menschen ist unantastbar. Sie zu achten und zu schützen ist
Verpflichtung aller stattlichen Gewalt.“ + Art. 2 Abs. 1 GG: „Jeder hat das Recht
auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer
verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz
verstößt.“
•
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
3. Datenschutz? Warum?
• Wer personenbezogene Daten (pbD) verarbeitet, ist nach der DS-GVO
verpflichtet, die Grundsätze des Datenschutzes zu beachten.
• Verbot mit Erlaubnisvorbehalt: pbD dürfen nur erhoben werden, wenn es für die
Erhebung eine rechtliche Grundlage gibt (=Grundsatz der Rechtmäßigkeit)
• Durch die DS-GVO sollen Betroffenenrechte gewahrt werden (z.B. Recht auf
Auskunft, Recht auf Löschung,Widerrufsrecht, Recht auf Einschränkung der
Datenverarbeitung,Widerspruchsrecht, Recht auf Richtigkeit der pbD, Recht auf
Transparenz)
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
5. Personenbezogene Daten
= alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche
Person (sog. „betroffene Person“) beziehen. Das sind nach Art. 4 Nr.1 DS-GVO:
• Name
• zu einer Kennnummer zugeordneter Name
• Zuordnung einer betroffenen Person zu Standortdaten, zu einer Online-
Kennung oder zu einem oder mehreren besonderen Merkmalen
• Ausdruck der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität einer betroffenen
Person
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
6. Verarbeitung besonderer Kategorien personenbezogener Daten,
Art. 9 DS-GVO
• rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• genetische und biometrischen Daten
• Gesundheitsdaten
• Daten zum Sexualleben und zur sexuellen Orientierung
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
7. Übung 1: Welche, der pbD besonderer Kategorien
könnten erfasst werden , wenn man von einer Person a)
ein Foto macht oder b) sie filmt? (Zeit. 15 min.)
• rassische und ethnische Herkunft?
• politische Meinungen?
• religiöse oder weltanschauliche Überzeugungen?
• Gewerkschaftszugehörigkeit?
• genetische Daten?
• biometrischen Daten?
• Gesundheitsdaten?
• Daten zum Sexualleben?
• sexuellen Orientierung?
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
8. Voraussetzungen für dieVerarbeitung besonderer Kategorien
personenbezogener Daten im Medienrecht
• die betroffene Person hat in die für einen oder mehrere festgelegte Zwecke
ausdrücklich eingewilligt.
• dieVerarbeitung ist aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit
und des Sozialschutzes erwachsenden Rechte erforderlich.
• dieVerarbeitung bezieht sich auf personenbezogene Daten, die die betroffene
Person offensichtlich öffentlich gemacht hat.
• dieVerarbeitung ist zur Geltendmachung, Ausübung oderVerteidigung von
Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer
justiziellenTätigkeit erforderlich.
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
9. Die Einwilligung
• freiwillig
• für den bestimmten Fall (zweckgebunden)
• in informierterWeise
• unmissverständlich abgegebeneWillensbekundung
• in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung
• Zustimmung zurVerarbeitung der sie betreffenden personenbezogenen Daten
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
10. Die Einwilligung als
„Fallstrick“ im Medienrecht
Die datenschutzrechtliche Einwilligung ist frei widerruflich. Für einen Film oder für
ein Foto-Shooting stellt dies ein Problem dar, weil die abgebildete Person jederzeit
die Nutzung der Aufnahmen durch einen Widerruf der Einwilligung stoppen könnte.
Deswegen ist es sinnvoller mit der abgebildeten Person einenVertrag zu schließen,
z.B. Honorarvertrag für Filmschaffende). DieserVertrag kann nämlich nur aus
wichtigem Grund gekündigt werden (314 BGB). DieVereinbarung mit Schauspielern
und Statisten sollte daher als Vertrag für Filmschaffende ausgestaltet werden. Damit
ist eine Einwilligung obsolet.
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
11. Keine Einwilligung nötig…
• Wenn dieVerarbeitung für die Erfüllung einesVertrags
Erfüllung einesVertrags (z.B. Honorarvertrag)
notwendig ist.
• Wenn dieVerarbeitung zur Erfüllung einer rechtlichenVerpflichtung
erforderlich ist, der der Verantwortliche unterliegt.
• Wenn dieVerarbeitung zurWahrung der berechtigten Interessen des
Verantwortlichen oder eines Dritten erforderlich ist. Hier muss aber
abgewogen werden!
• Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
12. Was ist einVerantwortlicher bzw.Verantwortliche
Stelle?
(siehe Art. 4 Nr. 7 DS-GVO)
• Eine natürliche oder juristische Person, Behörde
• über die Zwecke und Mittel derVerarbeitung von personenbezogenen
Daten entscheidet – alleine oder mit anderen gemeinsam
anderen gemeinsam
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
13. Was ist ein berechtigtes Interesse?
• im eigenen Interesse gelegentlich mit der betroffenen Person Kontakt
aufnehmen, z.B. im Rahmen von Direktwerbung, bei der Auswertung von
Kundendaten oder zu Marktforschungszwecken.
• Allerdings ist das Interesse der betroffenen Person an der Kontaktaufnahme
abzuwägen (Art. 6 Abs.1 lit. f DS-GVO).
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
14. Übung 2: Überlegen Sie sich a) Wieso ein Honorarvertrag keine gesonderte
Einwilligungserklärung zurVerarbeitung pbD braucht, b) wo könnten sie als
Medienschaffende direkt einer rechtlichenVerpflichtung unterliegen Daten zu verarbeiten,
c)Wo könnte sich für sie als Medienschaffende ein berechtigtes Interesse ergeben auch
ohne Einwilligung pbD zu erheben? (Zeit: 15 min.)
• Wenn dieVerarbeitung für die Erfüllung einesVertrags notwendig ist?
• Wenn dieVerarbeitung ist zur Erfüllung einer rechtlichenVerpflichtung
erforderlich, der derVerantwortliche unterliegt?
• Wenn dieVerarbeitung ist zurWahrung der berechtigten Interessen des
Verantwortlichen oder eines Dritten erforderlich ist?
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
16. Datensicherheit, Art. 32 DS-GVO
Um die technische und organisatorischen Maßnahmen (TOMs) daher
entsprechend umzusetzen, ist folgendes zu berücksichtigen (Art. 32 Abs. 1
DS-GVO):
• Stand derTechnik
• Implementierungskosten eines Datenschutzmanagementsystems
• Art, Umfang, Umstände und Zwecke derVerarbeitung
• Unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos
• Weiterhin dient auch die Rechenschaftspflicht (siehe Art. 5 Abs 2 DS-GVO)
als Grundlage der Datensicherheit
•
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
17. Datensicherheit, Art. 32 DS-GVO
Die Umsetzung dieser Schutzziele stellt sich dar in einer Reihe von Maßnahmen zu IT-
Sicherheit und Datenschutz. Hierunter fallen:
• Inventarisierung autorisierter Geräte und Software
• Sicherheitskonfiguration für mobile Geräte,Workstation, Server, Netzwerke,WLAN etc.
• Schwachstellenanalyse und Penetrationstests (=Sicherheitstests)
• Nutzung stehts aktualisierter Anti-Viren- und Malware-Software
• Sensibilisierung durch Schulungen
• Berechtigungsmanagement für Administratoren
• Berechtigungskonzept für Benutzer
Von AlexanderTalmon LL.M., Datenschutzbeauftragter (TÜV)
18. Übung 3: Use-Cases (10 min.)
Workshop:Wo ist in der praktischen Arbeit (Arbeits-, Schnitt- und Drehort/e,
Beteiligte Personen…) die Datensicherheit zu beachten?
Beispiele:……….
19. Datensicherheit und Medienrecht
Kein Zugang Dritter Personen zu personenbezogenen Daten
• Die zurVerarbeitung genutzten personenbezogenen Daten dürfen nur dem
Filmhersteller zugänglich sein.
• Dritte (=Unbefugte) dürfen weder Einsicht in die Betriebsmittel (Laptop, USB-
Stick, SD-Karten, ext. Laufwerke, etc.) haben, noch an deren Zugangsdaten
gelangen.
• Bei Anwesenheit anderer Personen müssen die betrieblichen Geräte gesperrt
werden. Falls es Papierakten (Bsp.:Verträge, Adresslisten, Produktions-
dokumentation) gibt, müssen diese eingeschlossen werden, wenn diese auch
nur kurz verlassen werden.
20. Datensicherheit und Medienrecht
Hard- und Software
• Die Ausgabe von bereitgestellten Geräten jeglicher Art sollte dokumentiert werden, damit im
Falle einesVerlustes genau nachvollzogen werden kann, welche Ausmaße eine mögliche
Datenschutzverletzung hat.
• Virenschutz, Firewall und Bootschutz. Diese sollten immer auf dem neuesten Stand und aktiv
sein.
• Sichere Aufbewahrung verkörperter Daten, d.h. vor der Einsicht Unbefugter schützen, Beispiel:
Verträge, USB-Sticks, SD-karten, ext. Laufwerke in einen Schrank einschließen.
• Übertragung von Daten mittels verschlüsselter Datenträger
• Transport verkörperter Daten in einem verschlossenen Behältnis; nie unbeaufsichtigt lassen
21. Infos im Netz zumThema Datenschutz
Richtlinien, Muster-Formulare,…:
https://datenschutz.hessen.de/
https://www.bfdi.bund.de/DE/Infothek/infothek-node.html