• Catfun Foto Sportfotograf

  • Catfun Foto Marathon Kopenhagen

  • Catfun Foto Firmenlauf Essen

  • Catfun Foto beim Marathon in Kevelaer

  • Catfun Foto beim Hannover Marathon

  • Catfun Foto Marathon Apeldoorn

  • Catfun Foto Marathon Enschede

  • Das CATFUN TEAM 2017

  • Catfun Foto beim Marathon Duisburg

  • Catfun Foto in Venlo

  • Catfun Foto beim HM in Bochum

  • Catfun Foto beim Marathon in Kassel

  • Catfun Foto beim Münster Marathon

  • Catfun Foto beim Marathon Frankfurt

  • Catfun Foto beim Marathon Frankfurt

  • Catfun Foto`s aus 2017 für den Flyer 2018

  • Catfun`s Foto als Plakat am Ziel beim Venloop!

  • Catfun Foto beim Venloop 2018

Dokumentation

Verfahrensverzeichnis und TOM

Berechtigte Personen können am Firmensitz Einblick nehmen!  

 

 

Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO

D e r H a m b u r g i s c h e B e a u f t r a g t e f ü rD a t e n s c h u t z u n d I n f o r m a t i o n s f r e i h e i t
1 Vermerk:
Rechtliche Bewertung von Fotografieneiner unüberschaubaren Anzahl von Menschennach der DSGVO außerhalb des Journalismus
I.Frage und ProblemstellungWie sind Bildaufnahmen, die nicht im journalistischen Umfeld oder zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeitenvon einer großen Anzahl von Personen, insbesondere im öffentlichen Raumangefertigt werden ab Inkrafttreten der DSGVO zu bewerten?Die Problematik stellt sich dabei wie folgt dar: Auf der einen Seite liegen bei Bildaufnahmen nahezu immer personenbeziehbare Daten vor, die dem Verbot mit Erlaubnisvorbehalt der DSGVO unterfallen. Auf der anderen Seite ist es nicht möglich,bei Aufnahmen, auf denen viele Personen zu sehen sind, diese tatsächlich zu identifizieren oder diese zu kontaktieren. Daher ist die Einholung einer Einwilligung oder die Information der Abgelichteten über Ihre Rechte für die Fotografen nahezu unmöglich. Besteht also entweder ein Einwilligungserfordernis oder eine Informationspflicht aller Abgebildeten, so wären etwa Bildaufnahmen von Wahrzeichen, Sehenswürdigkeiten, oder Sportereignissen, bei denen meist viele Menschen zu sehen sind, nach der DSGVO nicht mehr rechtskonform möglich. Zu untersuchen ist daher, ob Aufnahmen nach der DSGVO gerechtfertigt werden können (II.) und ob eine Informationspflicht gegenüber den Abgebildeten (III.) besteht.D e r H a m b u r g i s c h e B e a u f t r a g t e f ü rD a t e n s c h u t z u n d I n f o r m a t i o n s f r e i h e i t2II.Rechtmäßigkeit der AufnahmenEinleitend ist festzuhalten, dass Aufnahmen, die zu rein privaten Zwecken gemacht werden, nicht dem Anwendungsbereich der DSGVO unterfallen, wie sich aus Art. 2 Abs. 1 lit. c DSGVO ergibt. Problematisch sind vielmehr solche Aufnahmen, die zu kommerziellen oder künstlerischen Zwecken gefertigt werden und nicht Art. 2 Abs. 1 lit. c DSGVO unterfallen.In der heutigen Zeit wird man angesichts der weit überwiegend digitalen Fotografie von einer automatisierten Datenverarbeitung und damit von der Anwendbarkeit der DSGVO auszugehen haben.Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung personenbezogener Daten rechtfertigungsbedürftig. Personenbezogene Daten liegen dabei gemäß Art. 4 Ziff. 1 DSGVO vor, wenn sie sich auf „eine identifizierbare natürliche Person beziehen“. Identifizierbar ist eine Person,wenn diese „direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“.Fotografien von Betroffenen, die heute fast ausschließlich mit Digitalkameras aufgenommen werden, stellengrundsätzlichpersonenbezogene Daten dar. Es handelt sich um physische und physiologische Merkmale, die auch sofort, mit den entsprechenden Metadaten, digital gespeichert werden. Die Metadaten umfassen dabei zumindest Ort und Zeit des Bildes. Auch wird häufig der Standort gespeichert. In jedem Fall lässt sich der Standort anhand der Aufnahme ermitteln. Weiterhin lassen sich Gesichter mit entsprechenden Datenbanken abgleichenund sich soweitere Datenermitteln, wie z.B. die Namen der Betroffenen. An der prinzipiellen Identifizierbarkeit ändert auch der Umstand nichts, dass der einzelne Fotograf
in den meisten Fällen keine Zuordnung einzelner Gesichterzu anderen Daten dieser Personen herstellt oder überhaupt selbst herstellen kann. Aufdie individuellen Möglichkeiten deseinzelnen Fotografen ist bei abstrakterBetrachtung, ob es sich um personenbezogene Daten handelt,nicht abzustellen.1Esreicht aus, dasseine Personenbeziehbarkeit der Daten prinzipiell möglich ist,was angesichts der hohen Auflösung von Digitalbildern in Bezug auf Bildaufnahmenund der Verfügbarkeit von Gesichtserkennungssoftwareangenommen werden muss.2Auch wenn man auf die individuellen Fähigkeiten des einzelnen Fotografen abstellen würde, also einen relativen Begriff der personenbezogenen Daten vertritt, wird man wohl zugestehen müssen, dass die körperlichen Merkmale einer Person, insbesondere deren individuelle Gesichtszüge, wenn sie ausreichend erkennbar sind, immer geeignet sind eine Person eindeutig zu identifizieren. Es handelt sich daher bei ausreichend aufgelösten Bildaufnahmen,die eine Person gut erkennbar zeigen, immer um personenbezogene Daten.Bildaufnahmen sind daher zunächst nach Art. 6Abs. 1DSGVO verboten, wenn sie nicht auf eineEinwilligung oder auf eine andere Rechtfertigung gestützt werden können.Bei Bildaufnahmen von Menschenmengen können in der Regel keine Einwilligungen eingeholt werden und diese daher auch nicht auf den Rechtfertigungsgrund des Art. 6 Abs. 1 lit. a DSGVO gestützt werden. Dies wäre bei Bildaufnahmen von Wahrzeichen, Sehenswürdigkeiten sowie Sportereignissen für einen einzelnen Fotografen auch gar nicht durchführbar. Demnach bedarf es für die Datenerhebung einer anderen Rechtfertigung.Eine solche Rechtfertigung kann hier nicht dem KUG entnommen werden. Unabhängig von der Frage der Anwendbarkeit des KUG neben der DSGVO3enthält das KUG schon keine 1a.A. Gola in: Gola, DS-GVO,§ 2 Rn. 10.2EuGH, Urt. vom 19.10.2016 –Rs. C-582/14stellt insoweit auf die abstrakte Möglichkeit ab, dass der Verantwortliche sich der verfügbaren Identifizierungsmöglichkeiten bedienen kann.Vgl. auch Ziebarthin: Sydow, DS-GVO, Art. 4 Rn. 37. 3Vor dem Inkrafttreten der DSGVO war das KUG als lex specialis zum BDSG anzusehen, § 1 Abs. 3 Satz 1 BDSG.§ 1 Abs. 2 Satz 1 BDSG-neu kommt aufgrund des Anwendungsvorranges der DSGVO keine vergleichbarer Regelungsgehalt zu.
Rechtsgrundlage für die Datenerhebung, sondern lediglich für die Veröffentlichung der Bilder.4Die Zulässigkeit der Ablichtung als Vorstadium der Veröffentlichung wurde nach der bisherigen Rechtslage an Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG gemessen bzw. in diesem Rahmen eine Interessenabwägung vorgenommen.5Da nunmehr eine spezielle Regelung für diese Abwägung in Form desArt. 6 DSGVO besteht, die zudem als europarechtliche Verordnung grundsätzlich auch gegenüber dem deutschen Verfassungsrecht Anwendungsvorrang genießt, ist die Rechtmäßigkeit der Ablichtung ausschließlich hiernach zu beurteilen.Eine Rechtfertigungaufgrund eines einfachen Gesetzten wäre nach Art. 85Abs. 2 DSGVO grundsätzlich möglich. Nach Art. 85Abs. 2 DSGVO können die Mitgliedsstaaten für Verarbeitungen zu künstlerischen Zwecken Abweichungen oder Ausnahmen von Kapitel II, also auch von Art. 6 DSGVO, vorsehen. Ein solches Gesetz wäre auch wünschenswert. Eine einfachgesetzliche Regelung, die den künstlerischen Bereich regelt und dabeiAnwendungsfälle wie den hier in Frage stehenden, grundsätzlich erlaubt, ohne dass die Rechtmäßigkeit erst durch eine Abwägung ermittelt werden muss, wäre dem Stellenwert der künstlerischen Betätigung in Deutschland angemessener. Dass der europäische Verordnungsgeber eine solche Ausgestaltung durch die Mitgliedsstaaten bei der Schaffung des Art. 85DSGVO im Blick hatte, zeigt Erwägungsgrund 153 der diesbezüglich folgenden Auftrag für die Mitgliedstaaten formuliert: „für die Verarbeitung personenbezogener Daten ausschließlich zu [...] künstlerischen [...] Zwecken sollten Abweichungen und Ausnahmen von bestimmten Vorschriften dieser Verordnung gelten. [...]Dies insbesondere für die Verarbeitung personenbezogener Daten im audiovisuellen Bereich.“Eine solche Regelung auf Grundlage des Art. 85 Abs. 2 DSGVO hat der deutsche Gesetzgeber allerdings bislang nicht erlassen.4Vgl §§ 22, 23 KUG.5Götting in: Schricker/Löwenheim, Urheberrecht, § 22 KUG Rn. 35.
Die Aufnahmen der oben genannten Motive können, solange eine Regelung auf Grundlage der Öffnungsklausel des Art. 85 Abs. 2 DSGVO nicht vorliegt, im Regelfall wohl nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden. Es besteht ein berechtigtesInteresse der Fotografen daran, ihreBetätigung, die im Regelfall dem Kunstbegriff unterfällt, auszuüben. Die Kunstfreiheit wird durch Art. 13 GRCh geschützt.Nach Art. 52 Abs. 4GRChwerden Grundrechte, die „sich aus den gemeinsamen Verfassungsüberlieferungen der Mitgliedstaaten ergeben, im Einklang mit diesen Überlieferungen ausgelegt“. Daher kann auch an dieser Stelle die ausdifferenzierte Rechtsprechung zum Recht am eigenen Bild, die als mitgliedsstaatliche Verfassungstradition angesehen werden kann, miteinbezogen werden. In dieserwird die künstlerische Betätigung zumeist dem Recht am eigenen Bild in den hier geschilderten Fällen übergeordnet.6Dem so festgestellten Interesse an der Freiheit der künstlerischen Betätigung werden im Regelfall keine schutzwürdigen Interessen der Betroffenenentgegenstehen, insbesondere da diese nur in ihrer Sozialsphäre betroffen sind. In Einzelfällen können sich schutzwürdige Interessen ergeben,die eine Einzelfallabwägung notwendig machen.Der BGH nimmt eine solche Abwägung anhand des Art. 5 Abs. 1 GGvor -bezogen auf die Rechtslage vor der DSGVO im Rahmen des § 29 Abs. 1 Nr. 1 BDSG. Demnach ist die Datenerhebung zulässig, wenn „[...]kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat[... ]“.7Die Interessenabwägung zwischen dem berechtigten Interesse des Verantwortlichen und den schutzwürdiges Interessen des Betroffenen ist insoweit vergleichbar mit der Abwägung bei Art. 6 Abs. 1 lit. f DSGVO.8Insbesondere bei der Ablichtung von Kindern istArt. 6 Abs. Absatz 1 lit. fa.E. zu beachten.9III.Informationspflichten gegenüber den Betroffenen6Entsprechend der gesetzgeberischen Wertung des§ 23 Abs. 1 (insb. Ziff. 2)KUG.7BGH Urteil vom 23. September 2014 -VI ZR 358/13.8BeckOK Datenschutzrecht/Alber Art. 6 DSGVO Rn. 48 sieht die Rechtsprechungzu § 28 ff.BDSG als Auslegungshilfe zu Art. 6 lit. f DSGVO an.9BeckOK Datenschutzrecht/Alber Art. 6 DSGVO Rn. 51D e r H a m b u r g i s c h e B e a u f t r a g t e f ü rD a t e n s c h u t z u n d I n f o r m a t i o n s f r e i h e i t6Unabhängig von der Frage der Rechtmäßigkeit der Erhebung der Daten stellt sich weiterhin die Frage, ob und in welchem Maße die abgebildeten Personen entweder nach Art. 13 oder nach 14 DSGVO zu informieren sind. Die Informationspflichten nach der DSGVO sinddabei umfassend und grundsätzlich jedem Betroffenen zu erteilen. Eine Ausnahme von den Informationspflichteninsgesamtenthält Art. 11 DSGVO. Dessen Voraussetzungen sind daher vorrangig zu prüfen.Nach Art. 11 Abs. 1 DSGVO ist ein Verantwortlicher nicht verpflichtet, zur bloßen Einhaltung der DSGVOzusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die betroffene Person zu identifizieren, falls für die Zwecke, für die dieser diepersonenbezogene Daten verarbeitet, die Identifizierung der betroffenen Person durch den Verantwortlichen nicht oder nicht mehr erforderlichist. Dies ist nach dem oben bereits Gesagten zumeist der Fall. Der einzelne Fotograf hat im Regelfallweder ein Interesse daran, noch die Möglichkeit, die auf dem Bildabgebildeten Personen ohne erheblichen Aufwand zu identifizieren. Eine solche Identifizierungwürde dann alleine aus dem Grund erfolgen, um die Vorgaben der Art. 13, 14 DSGVO zu erfüllen. Dies soll durch die Regelung des Art. 11 DSGVO gerade verhindert werden, da in einem solchen Fall die Information der Betroffenen keine Stärkung Ihrer Rechte, sondern eine Vertiefung des Eingriffs in ihr Persönlichkeitsrecht durch die Identifizierung bedeuten würde.10Teilt man die Auffassungnicht, dass Art. 11 Abs. 1 DSGVO in diesen Fällen einschlägig ist, so muss die Frage beantwortet werden, ob eine Pflicht zur Information nach Art. 13 oder 14 DSGVO besteht.Bei einer Anwendung des Art. 13 DSGVO wären für die vorliegende Konstellation keine Ausnahmen von der Informationspflicht vorgesehen. Dies würde bedeuten, dass ein Fotograf alle auf einem entsprechenden Bild erkennbaren Personen gemäß Art. 13 DSGVO zu informieren hätte.Lediglich bei Anwendung des Art. 14 DSGVO 10So auch Klein, Personenbilder im Spannungsfeld zwischen DSGVO und KUG, S. 243.
besteht mit Art. 14 Abs. 5 DSGVO ein Ausnahmetatbestand, der eine Einzelfallbetrachtungermöglicht.Zunächst ist daher abzugrenzen, ob die Datenerhebung beider betroffenen Person erfolgt. In diesem Fallrichtet sich die Informationspflicht nach Art. 13 DSGVO. Anderenfalls nach Art. 14 DSGVO. Entscheidend ist daher, wie der Passus „beider betroffenen Person“ auszulegen ist. Es wird vertreten,dasseine Erhebung beim Betroffenen dann anzunehmen ist, wenndie Person direkt als Quelle der Datenerhebung dient.11Eine Erhebung nicht bei der betroffenen Person liegt nach dieser Auffassung dann vor, wenn die Daten aus einer dritten Quelle stammen. Hierbei wird für eine Datenerhebung bei der betroffenen Person teilweise als ausreichend angesehen, dass es dem Verantwortlichen zum Zeitpunkt der Datenerhebung prinzipiell möglich ist, den Betroffenen zu kontaktieren und ihm die Informationen zur Verfügung zu stellen.12Bei denhier in Frage stehenden Konstellationenwürde man zumeist zu dem Ergebnis kommen müssen, dass diePersonen für den Fotografen grundsätzlich kontaktierbar sind, da sie in Reichweite seiner Kamera sind.Zu berücksichtigen ist dabei jedoch auch, dass die Reichweite der Kamera in etlichen Fällen die Reichweite des Fotografen selbst zwecks Kontaktaufnahme übersteigt.Andererseits wird zur Abgrenzung darauf abgestellt, ob der Betroffene die Datenerhebung zur Kenntnis nimmt oder nehmen kann und daher auf den Vorgang der Datenerhebung Einfluss nehmen kann.13Dafür spricht, dass das Fotografieren, das eine größere Anzahl an Subjekten erfasst, mit der heimlichen Erhebung von Daten vergleichbar ist. Insbesondere mit Fällen der heimlichenVideoüberwachung. Art. 14 Abs. 5 lit. d DSGVO zeigt, dass die DSGVO davon ausgeht, dass Art. 14 DSGVO in Fällen der heimlichenDatenerhebung Anwendung findet.14Ansonsten wäre diese nie zulässig. Dass dies nicht gewollt ist, zeigt schon die Existenz des Art. 14 Abs. 5 lit. d DSGVO. Auch bezüglichderheimlichenVideoüberwachung 11Bäcker, in: Kühling/Buchner, DS-GVO, Art. 14 Rn. 9.12So Bäcker, in: Kühling/Buchner, DS-GVO, Art. 13 Rn. 13.13Franck in: Gola, DS-GVO, Art. 13 Rn. 4; i.E. Schmidt-Wudy in: BeckOK DatenschutzR/ DS-GVO, Art. 14 Rn. 31 sowie Albert Ingold in: Sydow, DS-GVO, Art. 13 Rn. 8.14Kühling/Martini et al., Die DSGVO und das nationale Recht, 2016, S. 406.D e r H a m b u r g i s c h e B e a u f t r a g t e f ü rD a t e n s c h u t z u n d I n f o r m a t i o n s f r e i h e i t8wird überwiegend eine Erhebung nicht bei dem Betroffenenangenommen.15In den hier diskutierten Anwendungsfällen haben die Fotografiertenebenfallsin der Regel keinen Einfluss darauf, ob sie abgelichtet werden und nehmen davon regelmäßig auch keine Kenntnis. Hierin besteht auch gerade die Vergleichbarkeit mit der verdeckten Videoüberwachung.Die Auffassungder Anwendbarkeit des Art. 14 DSGVOerscheintdahervorzugswürdig. Denn wird allein auf die Erreichbarkeitdes Betroffenen für den Verantwortlichen abgestellt,so ergeben sichim Einzelfall auch erhebliche Abgrenzungsschwierigkeiten.16Es ist daher überzeugender,das Fotografieren von großen Menschenmengen oder Menschen als Beiwerk von Sehenswürdigkeiten nach Art. 14 DSGVO zu beurteilen.Gemäß Art. 14 Abs. 5 lit. b Var. 1 und 2 DSGVO besteht eine Informationspflicht nicht, wenn die Erteilung der Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordern würde. Die Unterscheidung der beiden Ausnahmetatbestände fällt in diesem Fall nicht leicht, da diePersonen für den Fotografen zwar zum Zeitpunkt der Aufnahme potenziell erreichbar sein können, allerdings nur für einen kurzen Zeitpunkt und bei einer großen Anzahl von Menschen realistischer Weiseauch nicht bezüglich aller Betroffenen. Weiterhin ist es dem einzelnen Fotografen im Regelfall auch nicht möglich,die Personen später zu identifizieren, da er nicht über die entsprechenden Mittel und insbesondere die Datenbanken hierzu verfügt. Die Personenbeziehbarkeit besteht also nur abstrakt –was i.R.d. Art. 4 Ziff. 1 DSGVO ausreicht17-konkret wirddie Nutzung dieser abstrakten Möglichkeit allerdingsim Regelfall ausscheiden. Es ist insoweit einanderer Maßstab anzulegen, als bei der Frage, ob es sich bei den Bildern generell um personenbezogene Daten handelt.Dies ergibt sich daraus, dass essichbei Art. 14 Abs. 5 lit. bum eine Einzelfallabwägunghandelt, bei der auf die individuellen Gegebenheiten Bezug genommenwerden kann. Da die 15BeckOK Datenschutzrecht/Schmidt-Wudy, Art. 14 DSGVO Rn. 31.2.16Ist eine Person auf der gegenüberliegenden Tribüne in einem Fußballstadion für den Fotografen erreichbar? Wäre dies anders zu beurteilen, wenn die Person auf der Nachbartribüneoder im gleichen Blocksitzt?17Siehe Seiten2und3.D e r H a m b u r g i s c h e B e a u f t r a g t e f ü rD a t e n s c h u t z u n d I n f o r m a t i o n s f r e i h e i t9Personenbeziehbarkeit für den einzelnen Fotografen im Regelfall nicht möglich ist, ist auchdie Information der Betroffenen im Regelfall als unmöglich anzusehen. Ist es dem Fotografen im Einzelfall dennoch möglich,einzelne Personen zu identifizieren, so ist der Maßstab, ob eine Information dieser Person einen unverhältnismäßigen Aufwand erfordern würde. Hierbei ist dann der Aufwand mit dem Informationsinteresse des Betroffenen abzuwägen.18IV.ErgebnisDie derzeitige Rechtslage in Bezug auf Fotografien einer unüberschaubaren Anzahl von Menschenoder von Menschen als Beiwerk anderer Motive ist überwiegend unsicher. Dies beruht insbesondere darauf, dass der deutsche Gesetzgeber bisher keinen ausdrücklichen Gebrauch von der Öffnungsklausel desArt. 85 Abs. 2 DSGVO gemacht hat. Dies wäre aber im Sinne der Rechtssicherheit nötig.Bis dahin ist es möglich,die Datenerhebung in den meisten Fällen über Art. 6 Abs. 1 lit. f DSGVO zu rechtfertigen. Eine Informationspflicht gegenüber den Abgelichteten besteht nicht. Dies ergibt sich aus Art. 11 Abs. 1 DSGVO, hilfsweiseaus Art. 14 Abs. 5 lit. b DSGVO.18
Bäcker, in: Kühling/Buchner, DS-GVO, Art. 14 Rn. 55.

 

 


 

Muster: AV Vertrag für Veranstalter

Vertrag über die Auftragsverarbeitung personenbezogener Daten

zwischen

und

Fotograf Wolfgang Steeg

„Catfun Foto“

Bochumer Lansdstrasse 242

45276 Essen

vertreten durch

vertreten durch

Wolfgang Steeg

im Folgenden: Auftraggeber

im Folgenden: Auftragnehmer


1        Einleitung, Geltungsbereich, Definitionen

(1)   Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

(2)   Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.

(3)   In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2        Gegenstand und Dauer der Verarbeitung 2.1       Gegenstand

Der Auftragnehmer übernimmt folgende Verarbeitungen:

Fotobegleitung der Laufveranstaltung XXXX  

Die Verarbeitung beruht auf erteilten Akkreditierung ( Hauptvertrag )durch den Auftraggeber zugunsten des Auftragnehmers

Die Verarbeitung beginnt am Datum und endet am Datum.

3        Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung: 3.1       Art und Zweck der Verarbeitung

Die Verarbeitung ist folgender Art: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten

Die Verarbeitung dient folgendem Zweck: 
(1) Bereitstellung von Fotos der Veranstaltung für die Print und Online Fachmagazine
(2) Eigenwerbung für die Homepage und den Facebook-Auftritt des Fotografen und für die Online und/oder Printberichterstattung der Fachmagazine
(3) Überlassung von Fotos an den Auftraggeber durch den Auftragnehmer gegen Honorar

3.2       Art der Daten

Es werden folgende Daten verarbeitet:

·        Fotos , dabei bei für die Veranstaltung wichtigen Teilnehmern zusätzlich:

·        Name, Vorname, Geschlecht, Alter, Wohnort, Zugehörigkeit zu einem Sportverein/Laufgruppe
Ergebnis, Platzierung, Erhaltene Preise, sportliche Vorgeschichte

3.2.1       Kategorien der betroffenen Personen

Von der Verarbeitung betroffen sind:

·        Teilnehmer

·        Mitarbeiter des Veranstalters

·        Helfer, Ordner

·        Zuschauer

4        Pflichten des Auftragnehmers

(1)   Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

(2)   Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

(3)   Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

(4)   Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

(5)   Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

(6)   Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

(7)   Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

(8)   Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.

(9)   Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.

(10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

(11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

5        Technische und organisatorische Maßnahmen

(1)   Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.

(2)   Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.

(3)   Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.

(4)   Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

(5)   Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

(6)   Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.

(7)   Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber spätestens alle 12 Monate unaufgefordert und sonst jederzeit auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.

6        Regelungen zur Berichtigung, Löschung und Sperrung von Daten

(1)   Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

(2)   Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

7        Unterauftragsverhältnisse

(1)   Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers im Einzelfall zugelassen.

(2)   Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer.

(3)   Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.

(4)   Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.

(5)   Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig.

(6)   Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

(7)   Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die Dokumentation unaufgefordert vorzulegen.

(8)   Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.

(9)   Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber unaufgefordert vorzulegen.

(10)           Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

(11)           Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.

(12)           Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

8        Rechte und Pflichten des Auftraggebers

(1)   Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

(2)   Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

(3)   Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(4)   Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.

(5)   Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

9        Mitteilungspflichten

(1)   Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:

a.      eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b.      den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

c.      eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d.      eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

(2)   Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

(3)   Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen. 

(4)   Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

10   Weisungen

(1)   Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

(2)   Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen in Anlage 3.

(3)   Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.

(4)   Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

(5)   Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

11   Beendigung des Auftrags

(1)   Der Auftrag endet am Ende der Veranstaltung

Die erstellten Fotos dürfen vom Auftragnehmer für die beschriebenen Verwendungen auch nach Beendigung des Auftrags weiter verwendet werden. Ein Recht auf Löschung oder Herausgabe der Fotos steht dem Auftraggeber nur in den Fällen zu, in den der Auftraggeber durch die fotografierte Person zur Löschung oder Herausgabe der Fotos schriftlich aufgefordert wird. Eine Kopie der schriftlichen Aufforderung ist dem Auftragnehmer zu übermitteln. Der Auftragnehmer trägt dafür Sorge, dass die betreffenden Fotos aus den Onlinegalerien gelöscht werden. Bei Printveröffentlichungen ist das nur bis zum Redaktionsschluss der Ausgabe möglich.

12   Vergütung

Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.

13   Haftung

(1)   Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.

(2)   Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragnehmer den Auftraggeber auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftraggeber erhoben werden. Unter diesen Voraussetzungen ersetzt der Auftragnehmer dem Auftraggeber ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.

(3)   Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.

(4)   Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.

14   Sonderkündigungsrecht

(1)   Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

(2)   Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.

(3)   Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.

(4)   Der Auftragnehmer hat dem Auftraggeber alle Kosten zu erstatten, die diesem durch die verfrühte Beendigung des Hauptvertrages oder dieses Vertrages in Folge einer außerordentlichen Kündigung durch den Aufraggeber entstehen.

15   Sonstiges

(1)   Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(2)   Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(3)   Für Nebenabreden ist die Schriftform erforderlich.

(4)   Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(5)   Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Unterschriften

Ort, Datum                                                                                                                Ort, Datum

Auftraggeber                                                                                                            Auftragnehmer


Anlage 1 – technische und organisatorische Maßnahmen