Datenschutz

1. Definitionen

1.1. Was sind Daten?

Je nach Fachgebiet unterscheidet sich die Definition des Begriffs "Daten".

Als reine Daten sind Angaben gemeint, die beobachtet und notiert werden (als Zahl oder Text). Dabei stehen die Daten erst einmal als eine Aneinanderreihung von Zeichen (Zahlen wie Buchstaben) da. Um aus dieser Aneinanderreihung Informationen zu gewinnen, müssen diese Zeichen interpretiert werden. Dafür werden verschiedene Faktoren berücksichtigt. Zunächst der Kontext, in dem die Daten erhoben wurden, d.h. die Zielstellung oder der Anlass und deren Beziehung zu anderen Daten. Damit ist eine Interpretationsgrundlage des vorliegenden Datensatzes geschaffen. Das Vorgehen ist zunächst für analoge und digitale Daten gleich.

Analoge Daten bestehen "aus einer kontinuierlichen Aneinanderreihung einer physikalischen Größe und deren Änderungen, die sich in der Amplitude und dem Zeitverlauf widerspiegelt." Diese können vom Menschen wahrgenommen werden. Dagegen sind Digitale Daten "nicht durch menschliche Sinne [wahrnehmbar], sondern werden in datenverarbeitenden Anlagen, in Computern, Zentraleinheiten etc. verarbeitet und in Speichersystemen gespeichert."

Es gibt eine Vielzahl von Daten, die von einem Computersystem erhoben, verarbeitet und dargestellt werden können. Die nachfolgende Übersicht gibt einen ersten Überblick:

Quelle: João Batista Neto, 2015, Data types, CC-BY

1.2. Personenbezogene Daten

Im Bundesdatenschutzgesetz Deutschland liest man unter §3 (1) den Begriff  "personenbezogene Daten". Darunter zählen alle Daten, die einen Rückschluss auf eine oder mehrere Personen zulassen. Das müssen nicht immer eindeutige Daten, wie z.B. der Name oder die Adresse sein. Es reicht, wenn sich aus den Daten bzw. der Interpretationen dieser unter Hinzuziehung weiterer Daten, ein Bezug zu einer Person herstellen lässt.

Beispiel für personenbezogene Daten sind:

• Name
  
• Adresse
• E-Mail Adresse
• Webadresse
• IP-Adresse
• Personalausweisnummer
• Angaben wie Größe, Gewicht, Haar- und Augenfarbe, Hobbys, Interessen usw.

Daneben gibt es laut §3, Absatz 9 Bundesdatenschutzgesetz besondere Arten personenbezogener Daten. Darunter zählt man Angaben über

• rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder philosophische Überzeugungen
• Gewerkschaftszugehörigkeit
• Gesundheit
  
• Sexualleben
  

1.3. Privatheit in einer digitalen Welt

Die Entwicklung des Web 2.0, d.h. die Möglichkeit, sich mit anderen zu vernetzen, Inhalte zu erzeugen und diese mit anderen zu teilen, stellt das Thema "Schutz der personenbezogenen Daten" noch einmal vor ganz neue Herausforderungen. Nie war es leichter und nie waren die Nutzerinnen und Nutzer bereitwilliger, Persönliches von sich Preis zu geben.

Die SINUS-Studie zur Lebenswelt der 14-18 Jährigen in Deutschland beschreibt, dass es bei den Kindern und Jugendlichen sehr wohl ein Bewusstsein für die Problematik rund um die Preisgabe persönlicher Informationen gibt (Calmbach et al. 2016: "Wie ticken Jugendliche?", Seite 215f), aber sie sich in dem sog. "Privacy Paradox" befinden: "Damit wird das Phänomen beschrieben, dass die Nutzer den Schutz ihrer Privatsphäre zwar generell für wichtig halten, dies aber nicht unbedingt auf ihr Handeln übertragen." (Klicksafe 2015: "Ethik macht Klick", Baustein 1 "Privatsphäre im Blick", Seite 18). Für die Kinder und Jugendlichen ist es essentiell, online zu sein, um sozial nicht abgehängt zu werden. Sie nutzen verschiedene Onlinedienste, um mit ihrer Clique in Kontakt zu bleiben, sehr wohl wissend, dass Unternehmen, die hinter diesen Diensten stehen, diese Daten auslesen. Die Jugendlichen selbst sehen keine Möglichkeit, diesen Fakt zu verhindern:

Ich hoffe mal, dass es mehr Gesetze geben wird, die gerade Google oder so einschränken ein bisschen. Dass sie halt nicht alles überwachen
können. Oder auch das mit der Werbung, dass man so angepasste Werbung bekommt. Wenn man das so sieht, ich habe zum Beispiel für meinen Abiball nach Kleidern gesucht im Internet und es kommen jetzt immer noch irgendwelche Vorschläge für Abschlussballkleider. Da fühlt man sich schon ein bisschen beobachtet. (Jugendliche, die im Rahmen der SINUS-Studie befragt wurde. In Calmbach et al. 2016: "Wie ticken Jugendliche?", Seite 216)

Eine andere Perspektive auf das Thema "Privatheit" hat die "Post-Privacy-Bewegung", die davon ausgeht, dass der Schutz der personenbezogenen Daten in einer global vernetzten Welt schlicht nicht leistbar ist und damit Offenheit und der Verlust der Privatsphäre die einzige Lösung ist. Man könne demnach frei über Krankheiten, politische Meinungen sowie Haltungen, das persönliche Weltbild und Finanzen sprechen. Ein offenes und tolerantes Miteinander würden diese Möglichkeiten unterstützen. Unter anderem an dieser Stelle wird diese Bewegung stark attackiert. Sie würde eine Scheinwelt skizzieren, die nicht der Realität entspricht. Vielmehr sind Daten der Nutzerinnen und Nutzer die Währung der Zukunft, - ein Geschäft, dass sich die Unternehmen sicherlich nicht entgehen lassen werden.

2. Big Data

Mit "Big Data" hat sich ein neuer Begriff für "Massendaten" durchgesetzt, der folgendes Phänomen beschreibt: Komplexe Daten oder riesige Datenmengen, die mit den herkömmlichen Methoden der Datenspeicherung und -verarbeitung nicht mehr zu erfassen und auszuwerten sind. Diese Mengen gehen einher mit einer sich zunehmend vernetzenden Welt. Dass Computer, Smartphone und Tablet miteinander vernetzt und mit dem Internet verbunden sind, ist für keinen mehr überraschend, aber die technologische Entwicklung geht noch viel weiter: Heute sprechen wir über "Smart Home" oder das "Internet der Dinge" mit digital vernetzten Autos und "Wearables" (tragbare Computersysteme wie Smart Watches oder Schrittzähler) oder mit elektronischen Gesundheitskarten. Eine Entwicklung, die sowohl Potentiale als auch Risiken birgt.

2.1. Chancen von Big Data

Neben den Risiken, die mit dem Sammeln und Auswerten von Daten einher gehen, birgt diese Möglichkeit auch ein unglaubliches Potential. Je größer die Datensätze zu einem bestimmten Sachverhalt umso präziser die Vorhersagen um zu warnen, um Menschen zusammen zu bringen oder gesellschaftliche Probleme zu lösen. Unter dem Begriff "Datability" soll ein Gegenentwurf zum risikobehafteten Datenanalyseverfahren geboten werden. Datability meint dabei die "Fähigkeit, aus der Unmenge an gesammelten Daten in Sekundenschnelle sinnvolle Informationen zu extrahieren und so eine Basis für kompetente Entscheidungen in unterschiedlichsten Bereichen zu schaffen." (Britta Muzyk (2014) "Big Data und Datability")

Besonders in der Medizin wurde das Potential von gesammelten Daten erkannt. Dabei geht es um konkrete Behandlung Kranker oder auch um den Erkenntnisgewinn von Krankheits- oder Behandlungsverläufen. Waren dafür früher aufwändige Beobachtungsszenarien und das Einpflegen der Daten in Exceltabellen notwendig, liefern heute Gesundheitsapps und Schrittzähler ohne viel Aufwand die notwendigen Informationen.

Die Digitalisierung macht auch vor der Politik nicht Halt. Es gibt immer mehr digital gestützte Prozesse bei Entscheidungsfindungen oder Beteiligungsverfahren. Auf Plattformen wie https://www.openpetition.de können Menschen Ihre eigene Kampagne starten oder Petition einstellen und so Unterstützerinnen und Unterstützer für ihre Interessen finden und Zustimmung generieren.

Hinter dem Begriff "Learning Analytics" steckt die Auswertung der Daten von Lernenden, um daraufhin die passenden Inhalte und Methoden vorzubreiten und zur Verfügung zu stellen, so dass die vereinbarten Lernziele erreicht werden.

An den angerissen Beispielen wird deutlich, dass es immer eine Frage der Verantwortlichkeit ist, wie die Rückschlüsse aus den Daten genutzt werden. Es braucht als eine normatisch-ethische Diskussion um die technologische Entwicklung "Big Data" verantwortungsbewusst und im Sinne der Entwicklung der Gesellschaft einzusetzen.

2.2. Risiken von Big Data

Bedenklich ist dabei, dass die Vorhersagen der Systeme auf Korrelation beruhen, d.h. auf beobachteten Daten, die in einer Beziehung zueinander stehen und Muster sowie Zusammenhänge erkennen lassen. Diese Zusammenhänge müssen aber nicht ursächlich sein. Nur weil in einer Region die Geburtenrate parallel zur Rückkehr der Störche steigt, heißt es nicht, dass die Störche der Grund für die Zunahme der Geburten sind.

Das Sammeln von Daten und deren Auswertung tangiert die Nutzerinnen und Nutzer in verschiedenen Lebensbereichen:
(vgl. jfc Medienzentrum e.V. (2015): "BIG DATA - eine Arbeitshilfe für die Jugendarbeit", Seite 10ff.)

• Gesundheit
  Die Versicherungen warten in den letzten Jahren mit digitalisierten Angeboten für ihre Versicherten auf: die optimale Gesundheitsapp für das Tablet oder Smartphone sowie verschiedene Aktivitäts-Tracker, die Schlaf- und Bewegungsverhalten aufzeichnen. Mit diesen "Wearables" haben die Versicherungen zu jeder Zeit Zugriff auf ihre Klienten. Die Auswertung dieser Daten, kombiniert mit Daten aus der elektronischen Gesundheitskarte und Artzbesuchen, lässt für die Versicherungen interessante Rückschlüsse auf zu erwartende Ausgaben zu.
  Die Konsequenz der Versicherungen daraus ist: Wer nachweislich gesund lebt (Sport treibt, Routeineuntersuchungen beim Arzt wahrnimmt, sich gesund ernährt) bekommt besondere Tarife und Vergünstigungen. Alle anderen, die durch ungesunde Verhaltensweisen anfälliger für Krankheiten sind und damit eine Belastung für das Versicherungssystem darstellen, werden stärker zur Kasse gebeten.
  An seine Grenzen kommt die zu Grunde liegende Logik einer leistungsgerechten Finanzierung, wenn man sich bewusst macht, dass es sich bei den aus Daten abgeleiteten Informationen um Korrelationen und nicht um Kausalzusammenhänge handelt. Mit ihrem Vorgehen schreiben die Versicherungen aber ihren Klienten eine Verantwortlichkeit für ihren Gesundheitszustand zu, für den sie ggf. nichts können, weil sie z.B. genetisch vorbelastet sind oder einen Unfall hatten.
  
  
• Digitale Freizeit
  Viele Nutzerinnen und Nutzer geben bei der Anmeldung oder der Verwendung von Social Media Diensten wie Facebook, Instagram oder Snapchat bewusst Daten über sich Preis. Darüber hinaus erlauben die Anbieter der Social Media Dienste weiteren Unternehmen Zugriff auf Nutzerinformationen, wie z.B. die Aktivitäten der Nutzerinnen und Nutzer, von wo aus sie auf das Netzwerk zugreifen und wie lange der Zugriff dauert. Dabei handelt es sich um sog. "Metadaten", d.h. es geht nicht um den Einzelnen oder die Einzelne, sondern um Personengruppen, die identifiziert und als potentielle neue Kunden- oder Interessensgruppe erschlossen werden. 
  
  
• Politik
  Barack Obama hat es vorgemacht und Donald Trump folgte dem Plan, potentielle Wählerinnen und Wähler durch groß angelegte Datenanalyseverfahren zu identifizieren und Unentschlossene gezielt mit Wahlwerbung zu bespielen. Aus der Kombination verschiedener Daten (Herkunft, angegebene Interessen im Sozialen Netzwerk, Mitgliedschaft in Vereinen, beruflicher Hintergrund usw.) können die Parteien schnell und gezielt potentielle Wählerinnen und Wähler ansprechen. Einen interessanten Einblick über die Möglichkeiten der Auswertung von Social Media Daten gibt ein Interview der taz mit dem Psychologen Michal Kosinski, dem nachgesagt wird, Donald Trump zum Wahlsieg verholfen zu haben. In dem Umfang der Datennutzung wie in den Wahlkämpfen der USA ist dies in Deutschland rechtlich jedoch nicht möglich.
  
  
• Arbeit und Beruf
  In den Debatten rund um Arbeit und Beruf 4.0 geht es um das Vordringen der Digitalisierung in sämtliche Berufsbereiche. Viele Prozesse sind mittlerweile automatisiert, Auszubildende lernen mit 3D-Brillen, wie sie Produkte ihrer Firma bauen und warten können, und Maschinen sammeln Daten, um sich selbst zu optimieren. Aber auch die Jugend- und Sozialarbeit ist von der Digitalsierung erfasst. Digitale Fallakten sowie softwarbasierte Einschätzungsverfahren sind mittlerweile Standard, es wird Onlineberatung angeboten und aufsuchende Sozialarbeit im digitalen Raum betrieben. Das heißt, die pädagogischen Fachkräfte dringen in Dienste und Angebote vor, die auch von Kindern und Jugendlichen genutzt werden und befinden sich somit in diversen Dilemmata: Plötzlich sehen sich die pädagogischen Fachkräfte mit einer Fülle an Informationen über Ihre "Klienten" konfrontiert (Statusmeldungen, gepostete Fotos, gelikte Inhalte, usw.), die ihnen gar nicht aktiv zur Verfügung gestellt werden, sondern die sie erfahren, indem sie die gleichen Social Media Dienste nutzen. Ein Wissen, dass ggf. zu einem ungleich verteilten Machtgefüge führen kann. Darüber hinaus ist die Kommunikation mit Klienten über einen Dienst, der Metadaten sammelt (wie z.B. WhatsApp) im Sinne des Klientenschutzes höchst bedenklich, besonders wenn es um die Kommunikation sensibler Themen und Inhalte geht. Praktische Tipps zum Umgang mit diesen Dilemmata gibt der Datenschutzblog der Caritas.
  
  
• Bildung
  Individualisiertes-, binnendifferenziertes- oder lernerzentriertes Lernen - das sind alles Schlagwörter aus der neuen Bildungsforschung, die mit Hilfer digitaler Bildungsplattformen umgesetzt werden sollen. Diese Plattformen erfassen das Lernverhalten der Lernenden und sollen so adäquate Lernsituationen schaffen, d.h. die "richtigen" Lerninhalte und Methoden passend zum formulierten Lernziel anbieten. Die Problematik aktuell ist dabei, dass diese Plattformen häufig von kommerziellen Unternehmen angeboten, betrieben und gewartet werden. Diese haben dann wiederum Zugriff auf die Daten über die Lernenden.
  
  
• Einkaufen
  Sicher ist Ihnen schon aufgefallen, dass wenn Sie online einkaufen und einen Artikel anklicken, Sie in den nächsten Tagen und Wochen diesen - oder ähnliche - Artikel immer wieder angezeigt bekommen. Das soll Sie zum Kaufen animieren und erfolgt aufgrund der Auswertung Ihres Verhaltens im Onlineshop (was haben Sie angeklickt, wie lange haben Sie auf diesem Produkt verweilt, usw.). Darüber hinaus werden Ihnen Kaufvorschläge generiert.
  Damit nicht genug, sind aus Ihrem Kaufverhalten Rückschlüsse über Ihre aktuelle Lebenssituation möglich. Unternehmen, die Zugriff auf Ihre Daten haben, können dieses Wissen wiederum nutzen. So gibt es Untersuchungen, die zeigen, dass sich aus dem Kaufverhalten Vorhersagen machen lassen, ob eine Kundin schwanger ist oder nicht und sogar in welchem Monat sie ist. So geschehen in den USA: "Wie eine Supermarktkette in den USA die Schwangerschaft einer Teenagerin noch vor deren Vater entdeckte."
  
  
  
• Verkehr und Reisen
  Wenn Sie mit dem Flugzeug verreisen und vorher online Ihren Flug buchen, können Sie davon ausgehen, dass Sie auf der internationalen "Passenger Name Record" (PNR)-Liste vermerkt werden, auf der sämtliche Daten von Fluggästen zu finden sind. Einzelnen Länder wie Kanada, die USA oder Neuseeland haben Abkommen untereinander geschlossen, die die Weitergabe von Fahrgastinformationen regeln, und dabei geht es nicht nur um die Namen und Adresse der Gäste. Vielmehr werden alle ihre bisherigen Flüge mit Flugklasse, Ihre Kreditkartennummer, deren Gültigkeit und sogar welches Essen Sie im Flugzeug verzehrt haben erfasst. Das muss alles nicht problematisch sein, wenn nicht aus der Sammlung Ihrer Daten Rückschlüsse auf Sie als Person gezogen werden, die Sie in eine bestimmte Personengruppe zuweisen, der Sie ggf. nicht angehören. Das kann schon bei der Bestellung Ihrer Speisen beginnen: Bestellen Sie vegetarisch oder nicht vegetarisch, verzichten Sie auf Schweinefleisch usw. Aktuell wurde der Austausch von Fluggastdaten zwischen der EU und Kanada gestoppt, weil es erhebliche Verstöße gegen das europäische Datenrecht gibt. Die Verhandlungen über ein neues Abkommen laufen jedoch weiter.
  
  
• Zuhause
  

  Das "Internet der Dinge" bietet dem Nutzer oder der Nutzerin einen besonderen Service: Über Sprachsteuerung kann der Kaffee gebrüht werden, während man selbst noch im Bett liegt oder die Heizung wird per App von unterwegs angesteuert und aktiviert, die Spielzeugpuppe beantwortet dem Kleinkind alle Fragen, die es hat, und der digitale Kartendienstes kann Stauentwicklungen live melden. All diese Momente der Gerätekommunikation erzeugen ganz automatisch Daten, die erfasst, gespeichert und ausgewertet werden.
  "Hinter den werbegetriebenen Produkten und Dienstleistungen – also hinter jeder App, die wir nutzen, hinter jedem personalisierten Streaming-Anbieter – steckt ein hochkomplexes und undurchsichtiges Ökosystem aus Unternehmen, von denen die meisten Menschen noch nie etwas gehört haben." (Frederike Kaltheuner)

  
  

2.3. Datenschutz in Zeiten von Big Data

Das Bundesdatenschutzgesetz ist dazu da, die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten in der Form zu regeln, dass der Mensch in seinem Persönlichkeitsrecht nicht beeinträchtigt wird. Das heißt, diese dürfen nur in dem rechtlich erlaubten Rahmen genutzt werden oder wenn der/die Betroffene einwilligt.

Der Passus der Einwilligung kommt insbesondere bei der Nutzung digitaler Dienste zum Tragen. Sobald Sie einen Dienst auf Ihrem Smartphone oder PC installieren oder sich ein Smart Home Gerät ins Haus holen, gehen Sie einen Nutzungsvertrag ein, in dem Sie einwilligen, dass Ihre personenbezogenen Daten erhoben, verarbeitet und genutzt werden dürfen. Begründet wird dies damit, dass der Dienst kontinuierlich und entlang Ihrer Bedürfnisse entwickelt wird und dass das Unternehmen Ihnen den besten Service bieten möchte. Problematisch wird es an der Stelle, an der Mikrophone oder Kameras, die am Gerät installiert sind, die Umgebung scannen und dabei Daten sammeln, die nicht unbeding zum Vertragsverhältnis gehören.

Ihre Möglichkeiten als Nutzerin oder Nutzer sind beschränkt. Sie müssen während der Vertragsabwicklung (z.B. dem Herunterladen einer App oder der Inbetriebnahme eines vernetzten Gerätes) aktiv der Nutzung und Verarbeitung Ihrer Daten zustimmen. In den meisten Fällen, vor allem bei der Installation von Apps, heißt dies: entweder man stimmt dem Gesamtpaket zu oder man kann die App gar nicht oder nur teilweise nutzen. Wenn Sie die digitale Anwendung nutzen, muss es Ihnen möglich sein, dies jederzeit widerrufen zu können. Darüber hinaus können Sie nach § 34, Abs. 1 BDSG Auskunft verlangen über

• die zu Ihrer Person gespeicherten Daten
  
• an wen die Daten weitergegeben werden
• den Zweck der Speicherung.

• die geplante Dauer der Speicherung
• Herkunft der Daten (wenn Sie nicht von der Person selbst kommen).

Darüber hinaus haben Sie mit der neuen Rechtssprechung die Möglichkeit, Ihre Daten löschen und/oder berichtigen zu lassen.

3. Datenschutzgrundverordnung (DSGVO)

Die Europäische Union aktualisiert ihre Datenschutzgesetze mit einer Richtlinie, die am 25. Mai 2018 in Kraft tritt: die Datenschutzgrundverordnung (DSGVO). Damit soll der rechtliche Flickenteppich in der EU in Fragen des Datenschutzes auf einen einheitlichen Stand gebracht werden. Ziel ist es, dass die Bürgerinnen und Bürger mehr Kontrolle über ihre Daten haben und gleiche Wettbewerbsbedingungen für Unternehmen in der EU gelten. Betroffen sind Unternehmen, Selbständige und Vereine - all jene, die automatisiert personenbezogene Daten verarbeiten.

Die grundlegenden Forderungen der DSGVO umfassen:

• umfassende Aufklärung und Information über den Zweck der erhobenen Daten.
  

• Personen müssen ihre ausdrückliche Zustimmung geben, dass ihre personenbezogene Daten erfasst werden. Unternehmen und Vereine sind in der Pflicht, diesen Prozess der Zustimmung akribisch zu dokumentieren.

• in einem "Verzeichnis von Verarbeitungstätigkeiten" muss nachgewiesen werden, wie die personenbezogenen Daten verarbeitet werden, wer Zugriff auf die Daten hat und wie sie geschützt werden.

• Es gibt die Verpflichtung, im Falle einer auftretenden Datenpanne die entsprechende Aufsichtsbehörde innerhalb von 72 Stunden zu informieren.

• Jedes Unternehmen oder jeder Verein, das/der Daten in großem Umfang verarbeitet oder überwacht, muss mit einem Datenschutzbeauftragten die Einhaltung der DSGVO gewährleisten.

• "Recht auf Vergessen", mit dem Sie einfordern können, dass Ihre Daten gelöscht oder korrigiert werden.
  

• Möglichkeit der Datenübertragbarkeit, d.h. dass Anbieter es ermöglichen müssen, dass Sie Ihre Daten von einem Dienst mit zu dem anderen nehmen können.

Im Vorfeld für Aufregung sorgte Art. 8 der DSGVO: "Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft". Dieser Artikel regelt, wann Dienste der Informationsgesellschaft (z.B. Webseiten), die sich an Kinder richten, personenbezogene Daten von diesen erheben dürfen. Aktuell ist festgelegt, dass die Verarbeitung der personenbezogenen Daten eines Kindes rechtmäßig ist, wenn das Kind mindestens 16 Jahre alt ist. Ist das Kind unter 16 Jahre alt, ist eine solche Verarbeitung nur zulässig, wenn und soweit die Zustimmung des Trägers der elterlichen Verantwortung für das Kind erteilt oder genehmigt wird. In Vorbereitung auf die Umsetzung der DSGVO hatten die Mitgliedstaaten die Möglichkeit, das gesetzliche Mindestalter niedriger anzusetzen, sofern es nicht unter 13 Jahren liegt.

3.1. Datenschutz im Verein

Sehen Sie hier einen kurzen Beitrag des Bayrischen Rundfunks zum Thema "Datenschutzgrundverordnung im Verein":

3.2. Nutzung und Veröffentlichung von Fotos

In unserer digitalen Welt handelt es sich bereits bei einem mit dem Smartphone gemachten Foto um personenbezogene Daten, die dem Datenschutz unterliegen, das spätestens mit Inkrafttreten der Datenschutzgrundverordnung noch einmal eine Verschärfung erfährt. Während das Kunsturhebergesetz bis jetzt vor allem die Veröffentlichung von Personenfotos regelte, setzt die Datenschutzgrundverordnung jetzt bereits bei der Herstellung des Fotos an.
Streng genommen muss ab sofort, bereits vor Anfertigung des Bildes, die Einwilligung einer Person zur Abbildung vorliegen. Das muss nicht schriftlich sein, aber durch die Nachweispflicht gilt im Falle wahrscheinlich nur eine schriftliche Erklärung.

Es gibt drei Möglichkeiten eine Freigabe für das Veröffentlichen und Nutzen von Personenbildern einzuholen

1. Nachweisbare Einwilligung der Person zur Abbildung
   
2. Abschluss eines Vertrages mit Angaben zur Befugnis der Herstellung und zur Speicherung von Bildern in der auch Informationen zu Nutzungszweck und -umfang festgehalten sind.
   
3. Berufung auf "berechtigtes Interesse" (Art. 6 DSGVO, Abs. 1f) - was genau damit gemeint ist bzw. darunter fällt werden wohl Gerichtsverhandlungen in den nächsten Jahren definieren. Ein Hinweis gibt Dr. Endress Wanckel im Fotomagazin. Er rät "[...] sich hinsichtlich der berechtigten Interessen an den Regeln zu orientieren, die sich in langjähriger Tradition zum Recht am eigenen Bild nach dem KUG heraugebildet haben." (Wanckel, 2018: "DSGVO für Fotografen: eine erste fotorechtliche Einordnung")
   

Hinweis: Bei allen hier vorgestellten Regelungen und Vorschriften geht es immer nur um die Bilder und Aufnahmen, die nicht für persönliche oder familiäre Zwecke angefertigt wurden, sondern die beispielsweise frei ins Netz gestellt werden oder zur Illustration von Webseiten oder anderen digitalen Plattformen genutzt werden.