Aktive Einwilligung bei Cookies erforderlich

Der Europäische Gerichtshof (EuGH) entschied mit Urteil vom 01. Oktober 2019, dass Internetnutzer beim Besuch einer Webseite ausdrücklich in die Cookie-Nutzung einwilligen müssen. Eine voreingestellte Zustimmung, bei denen die Nutzer ein bereits gesetztes Häkchen zu entfernen haben, sei unzulässig.

Worum ging es?

Klägerin war ein deutscher Verbraucherschutzverband, Beklagter der Betreiber eines Online-Gewinnspiels. Dieser hatte auf seiner Internetseite ein Kästchen vorgesehen, über das seine Webseitenbesucher dem Setzen von Cookies zustimmten. Dieses Kästchen war in der Standardeinstellung bereits angehakt. Waren Nutzer mit den Cookies nicht einverstanden, mussten sie also widersprechen bzw. das Häkchen entfernen. Hierin sah die Klägerin einen Verstoß gegen das Datenschutzrecht. Denn grundsätzlich legt die 2018 erlassene Datenschutz-Grundverordnung (DSGVO) ein „Opt in“-Verfahren vor. Nutzer müssen also selbst aktiv die Zustimmung erteilen. Allerdings sieht das deutsche Telemediengesetz ein solches Opt in wiederum gerade nicht vor. Hiernach dürfen zum Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile erstellt werden, sofern der Nutzer dem nicht widerspricht. Die Regelungen stehen also im Widerspruch zueinander. Daher legte der sich in Deutschland mit dem Rechtsstreit befassende Bundesgerichtshof (BGH) dem EuGH einige Fragen zur Auslegung der EU-Datenschutzregelungen vor.

Cookies sind im Übrigen kleine Dateien, die beim Surfen im Internet Erinnerungsdaten speichern. Besucht ein Nutzer erneut eine Webseite, werden die gespeicherten Einstellungen wiedererkannt und abgerufen. Das erleichtert die Internetnutzung.

Cookie-Voreinstellung keine aktive Einwilligung

Der EuGH entschied zum einen, dass durch ein voreingestelltes Häkchen keine erforderliche Einwilligung in die Verwendung von Cookies erteilt werde. Auch mache es keinerlei Unterschied, ob es sich bei den gespeicherten Informationen um personenbezogene Daten handele oder nicht. Grundsätzlich solle der Nutzer vor jeden Eingriff in seine Privatsphäre geschützt werden. Also sei bei allen Cookies das sog. Opt-in Verfahren anzuwenden, das heißt die Nutzer müssen selbst das Häkchen setzen.

Außerdem legte der EuGH fest, dass die Webseitenbetreiber den Nutzern auch bestimmte Informationen zu den verwendeten Cookies zur Verfügung zu stellen haben. Hierzu gehören beispielsweise Informationen zur Funktionsdauer oder etwaige Zugriffsmöglichkeiten durch Dritte. Denn der Nutzer müsse in die Lage versetzt werden, das Ausmaß seiner erteilten Einwilligung zu bestimmen. Dazu gehören klare und leicht verständliche Informationen, um beispielsweise die Funktionsweise von Cookies zu verstehen.

Was ist jetzt zu tun?

Viele Webseiten holen bereits jetzt aktiv die Zustimmung über das Opt in-Verfahren ein. Allerdings ohne die jetzt vom EuGH festgelegten erforderlichen Informationen.  Hierzu bedarf es eines höheren Umsetzungsaufwandes für Webseitenbetreiber, die ihre Einstellungen entsprechend einrichten und konfigurieren müssen. Allerdings ist zunächst die Entscheidung des Bundesgerichtshofs abzuwarten. Er muss – da er im vorliegenden Fall an den EuGH herangetreten ist, um einschlägige Regelungen auslegen zu lassen –  zu einem konkreten Urteil finden. An diesem Urteil ist dann zu bemessen, wie die nachfolgenden Umsetzungsschritte auszusehen haben und welche Änderungen auf den E-Commerce zukommen werden.

 

Auch Webseitenbetreiber sind für Social Plugins verantwortlich

Der Europäische Gerichtshof (EuGH) entschied am 29.07.2019, dass Webseitenbetreiber Social Plugins wie den „Gefällt mir“-Button von Facebook nicht ohne vorherige Einwilligung ihrer Nutzer einsetzen dürfen. Außerdem seien die Webseitenbetreiber für die durch die Plugins erfolgende Datenverarbeitung zusammen mit Facebook als (Mit)Verantwortliche anzusehen.

Wer ist für die Datenverarbeitung verantwortlich?

Klägerin war die Verbraucherzentrale NRW, Beklagter ein deutscher Online-Händler für Modeartikel. Der Beklagte band in seine Website den „Gefällt mir“ – Button von Facebook ein. Dadurch wurden die personenbezogenen Daten der Webseitenbesucher an Facebook übermittelt.  Dies erfolgte, ohne dass die Besucher dem zugestimmt hätten oder ihnen auch nur bewusst war, dass eine Datenübermittlung erfolgte. Vielmehr wurden auch Daten von Besuchern übermittelt, die einfach nur die Webseite öffneten oder die über gar keinen Facebook-Account verfügten.

Hiergegen ging die Klägerin vor. Sie warf dem Beklagten vor, personenbezogene Daten der Webseitenbesucher ohne deren Einwilligung und unter Verstoß gegen die datenschutzrechtlichen Informationspflichten an Facebook übermittelt zu haben. Das mit dem Fall befasste Oberlandesgericht Düsseldorf legte die Sache dem EuGH vor und erbat die Auslegung einer Reihe von Bestimmungen der früheren Datenschutzrichtlinie (die zwar durch die jetzt geltende Datenschutzgrundverordnung (DSGVO) ersetzt wurde, aber auf den vorliegenden Fall noch anwendbar war).

Nach Datenübermittlung ist der Webseitenbetreiber kein Verantwortlicher mehr

Der EuGH stellte fest, dass der Beklagte für die Datenverarbeitung, die Facebook nach Übermittlung der Besucherdaten vornehme, nicht als verantwortlich angesehen werden könne. Es sei nämlich ausgeschlossen, dass der Beklagte selbst über diese Vorgänge entscheiden könne.  Die Entscheidungsmacht liege nach der Übermittlung ausschließlich bei Facebook.

Vor Datenübermittlung ist der Webseitenbetreiber aber Mitverantwortlicher

Allerdings könne der Bekagte für die Erhebung und Übermittlung der Besucherdaten an Facebook gemeinsam mit Facebook als verantwortlich angesehen werden. Denn dabei entscheide der Beklagte zusammen mit Facebook über die Datenverarbeitung. Die Einbindung des „Gefällt mir“-Buttons auf der Webseite ermögliche es, Produktwerbung zu optimieren. Facebook werde angezeigt, wenn ein Besucher den Button anklickt. Der Beklagte sei mit der Einbindung des Buttons und der damit verbundenen Datenerhebung und -weitergabe offenbar auch einverstanden gewesen. Denn dadurch komme er in den Genuss eines wirtschaftlichen Vorteils durch verbesserte Produktwerbung. Für eigene wirtschaftliche Zwecke über die Besucherdaten verfügen zu können, stelle die Gegenleistung für den durch Facebook gebotenen Vorteil dar. Somit sei der Webseitenbetreiber für bestimmte Datenverarbeitungsvorgänge wie die Datenerhebung und deren Übermittlung an Facebook als (mit-)verantwortlich einzustufen.

Vorherige Einwilligung für (mit)verantwortliche Datenerhebung

Grundsätzlich habe der Webseitenbetreiber aber – wenn die Besucher ihre Einwilligung gegeben haben – diese Einwilligung vorher (nur) für die Vorgänge einzuholen, für die er auch (mit-)verantwortlich sei. Dies betreffe somit nur die Datenerhebung und -übermittlung.

Berechtigtes Interesse bei Mitverantwortlichkeit auf beiden Seiten

Ist die Datenverarbeitung zur Verwirklichung eines berechtigten Interesses erforderlich, müsse jeder der (Mit-)Verantwortlichen, d.h. der Betreiber der Webseite und der Anbieter des Social Plugins, mit der Datenerhebung ein berechtigtes Interesse verfolgen. Nur dann seien diese Vorgänge für jeden Einzelnen auch gerechtfertigt.

Was ist jetzt zu tun?

Somit sollten Webseitenbetreiber zukünftig darauf achten, dass die genutzten Social Plugins (nicht nur von Facebook, sondern auch Instagram, Twitter & Co.) nicht von Anfang an aktiviert sind. Vor dem „Teilen“ ist regelmäßig die Einwilligung des Webseitenbesuchers einzuholen. Am besten funktioniert das mit dem Shariff-Button, einem Open Source-Programm oder der Zwei-Klick-Lösung (also allen Safe Sharing Tools).

Es ist davon auszugehen, dass Facebook aufgrund dieses Urteils demnächst seine Nutzungsbedingungen anpassen wird. Dann ist wohl hinsichtlich der gemeinsamen Verantwortlichkeit bei der Datenverarbeitung eine entsprechende Vereinbarung zu treffen. Die Datenschutzerklärung der Webseite und im speziellen die Informationen zu den Social Media-Plugins sind in dem Zusammenhang zu überarbeiten und dem Urteil anzupassen.

Wie die Datenschutzerklärung bei Facebook aussehen muss

Der Europäische Gerichtshof (EuGH) hatte am 05.06.2018 entschieden, dass Unternehmen, die eine Facebookseite (sog. Fanpage) betreiben, gemeinsam mit Facebook für die Einhaltung des Datenschutzes verantwortlich sind. Denn bei mehreren Verantwortlichen muss vertraglich zwischen ihnen festlegt werden, wer welche Verpflichtungen aus der nunmehr geltenden DSGVO übernimmt. Weitere Einzelheiten zum Urteil sind hier zu finden. Inbesondere war umstritten, wer die Fanpage-Besucher eigentlich über die Datenerhebung informieren soll – Facebook oder der Seitenbetreiber selbst.

Mehr als drei Monate nach dem Urteil hat nun endlich Facebook reagiert. Zum 11.09.2018 hat das Unternehmen seine Allgemeinen Geschäftsbedingungen (AGB) geändert. Jetzt ist dort geregelt, dass Facebook gemeinsam mit dem Fanpage-Betreiber verantwortlich ist und die Verantwortung für die Bereiche Informationspflichten, Betroffenenrechte sowie Datensicherheit einschließlich der Meldung von Datenschutzverletzungen übernimmt.

Das bedeutet für den Fanpage-Betreiber selbst, dass er lediglich eine umfassende Datenschutzerklärung in die eigene Unternehmensseite integrieren muss einschließlich notwendiger Informationen zum Zweck bzw. der Rechtsgrundlage der Datenverarbeitung. Außerdem ist Facebook als gemeinsamer Verantwortlicher zu benennen. Zudem sollten die Besucher darüber informiert werden, welche Rechte sie gegenüber Facebook geltend machen können und wie sie dabei vorgehen können. Dabei sollte auf die Datenschutzinformation von Facebook hingewiesen und verlinkt werden.

So schwierig ist es letztendlich also gar nicht, den Datenschutz über Facebook und andere social Media sicherzustellen.

Blogger und die DSGVO

Seit dem 25. Mai 2018 gilt in der gesamten EU die Datenschutzgrundverordnung (DSGVO). Das hat natürlich auch Konsequenzen für das Betreiben eines Blogs. Aus Angst  haben bereits einige Blogger ihre Seiten geschlossen. Das muss aber nicht sein, wenn man einigen Dinge beachtet. Nachfolgend versuche ich, die wichtigsten Fragen zu beantworten:

1. Was ist denn eigentlich die DSGVO

Mittlerweile dürfte jeder von ihr gehört haben, und wenn es nur deswegen ist, weil das Postfach überquillt aufgrund neuer Datenschutzregeln aller Anbieter, bei denen man sich jemals im Internet angemeldet hat.

Bislang hatten alle europäischen Staaten ein eigenes nationales Datenschutzrecht. In Deutschland war das bis zum 24. Mai 2018 das alte Bundesdatenschutzgesetz (BDSG alt). Seit 25. Mai 2018 werden die Datenschutzvorgaben jedoch europaweit in der EU-Datenschutzgrundverordnung geregelt. Sie enthält zahlreiche Regeln zum konkreten Schutz von Personen und ihren Daten, ebenso zum freien Datenverkehr. Damit gilt mehr oder weniger ein einheitliches EU-weites Datenschutzrecht. Die Regeln gelten im übrigen  auch für Unternehmen, die ihren Sitz außerhalb der EU haben, ihre Angebote aber an EU-Bürger richten. Somit gilt die DSGVO beispielsweise auch für Facebook, Google und Amazon.

Die DSGVO schafft neue Rechtsgrundlagen für die Datenverarbeitung, sie verstärkt die Rechte der Betroffenen und intensiviert die Pflichten der Verantwortlichen. Sie enthält aber auch Öffnungsklauseln für die nationalen Gesetze. Aus diesem Grunde trat zeitgleich in Deutschland ein dazu gehöriges neues Bundesdatenschutzgesetz in Kraft, welches die DSGVO konkretisiert und zum Teil auch ergänzt.

2. Was ist neu?

Zwar durften Unternehmen, Behörden und andere Stellen auch bislang personenbezogene Daten nur erheben, verarbeiten und nutzen, wenn Betroffene eingewilligt haben oder das Gesetz es ausdrücklich erlaubte. Ab jetzt müssen aber zusätzlich eine Vielzahl von Vorgaben beachtet werden, um etwa Transparenz, Kontrolle und Sicherheit der Daten vor unbefugten Zugriffen Dritter zu gewährleisten.

Bei der DSGVO dreht sich alles um personenbezogene Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Nummer, Standortdaten oder sonstigen besonderen Merkmalen identifiziert werden kann. Das heißt, alle Informationen, die irgendwie Rückschlüsse auf eine Person zulassen, sind betroffen. Dabei  kann es sich beispielsweise um die Adressdaten, die Telefonnummer oder die E-Mail-Adresse handeln, aber auch um das Kfz-Kennzeichen, die IBAN oder irgendwelche Login-Daten. Es kommt ausschließlich darauf an, dass die Daten einer bestimmten Person zuordnen werden können.

Daher betreffen die Änderungen auch im Grunde alle, die eine Website betreiben. Denn jeder Zugriff auf eine Homepage übermittelt personenbezogene Daten, wie z.B. die IP-Adresse. Damit fällt allein das Bereitstellen einer Webseite in den Geltungsbereich der DSGVO.

3. Was heißt das ganz konkret für Blogger?

Die DSGVO stellt komplexe Anforderungen an alle. Daher sorgt sie bislang insbesondere für einen Berg von Arbeit, dem sich nicht nur große Unternehmen wie Amazon oder eBay zu stellen haben sondern auch Selbständige, Kleinunternehmer und Blogger. Und die fühlen sich häuftig überfordert, da man leider nicht auf Angestellten zurückgreifen kann, die sich um die Umsetzung kümmern.

Hinzu kommt, dass rechtlich vieles auch noch gar nicht abschließend geklärt ist. Das gilt beispielsweise für Fotos.  Auch sie werden nun als Daten im Sinne der DSGVO betrachtet, denn zusammen mit dem Gesicht oder sonstige besondere Merkmale des Abgebildeten, dem Ort, an dem er sich auf dem Foto befindet (Demo, CSD) oder bestimmter Kleidung (Kopftuch, Kippa), die er trägt, erhält man bereits ein differenziertes Bild des Abgebildeten. Nähere Ausführungen hierzu findet ihr unter ….

Es ist also alles andere als leicht, den neuen Anforderungen gerecht zu werden. Im Zweifel muss man sich mehrere Tage mit der Thematik auseinandersetzen und seine Datenströme analysieren. Denn es ist wichtig genau nachvollziehen zu können, wo die Daten der Nutzer hingehen, die erhoben werden. Wenn ein Blogger zum Beispiel Google Analytics nutzt, muss er wissen, welche Daten Google erhebt, wohin sie geschickt werden und vor allem wie man sie im Zweifel auch löschen lassen kann. Verträge über die Verarbeitung von Daten müssen geschlossen werden, man muss seine Datenschutzerklärung anpassen, seinen Nutzern bzw. Lesern ein jederzeitiges Widerrufsrecht einräumen und vieles mehr.

4. Muss tatsächlich jeder Blogger diesen Aufwand betreiben?

Nein, denn es gibt das sog. Medienprivileg. Um das Recht auf freie Meinungsäußerung und Informationsfreiheit nicht einzuschränken, müssen Fernseh- und Radiosender sowie Journalisten im Rahmen ihrer Tätigkeit sehr viel weniger Datenschutzrecht beachten, wenn sie personenbezogene Daten verarbeiten. Dies gilt auch für journalistisch tätige Blogger.

Aber Achtung!
Wer eine Website betreibt, muss auch bei Eingreifen des Medienprivilegs die klassischen Pflichten aller Webseitenbetreiber und die Vorschriften zur Datensicherheit beachten. Denn das hat mit der klassischen journalistisch-redaktionellen Arbeit nichts zu tun und unterfällt daher auch nicht dem Medienprivileg.

Somit haben die Nutzer zum Beispiel das Recht, Auskunft über ihre Daten zu erhalten. Webseiten müssen sich auch an die Verpflichtung zur Datenminimierung halten, Daten aus Kontaktformularen verschlüsselt übertragen, für die Versendung eines Newsletters am besten das Double Optin-Verfahren nutzen und weitere technische Sicherheitsvorkehrungen beachten. Insbesondere sind Betreiber von Websites verpflichtet, eine rechtskonforme Datenschutzerklärung bereitzustellen. Wer schon eine hat, muss sie den neuen Anforderungen anpassen. Und wundert euch nicht, so eine aktuelle Datenschutzerklärung kann wirklich lang werden.

5. Was muss jetzt getan werden?

Die Datenschutzerklärung muss neu angepasst werden. Hierin ist sehr detailliert aufzuführen, welche datenschutzrelevanten Anwendungen und Dienste nutzt, also Logfiles, Trackingdienste, Speichern von IP-Adressen bei Nutzung von Kontaktformularen usw. Aber keine Angst, wer sich bereits jetzt überfordert fühlt, kann auch einen Datenschutzgenerator nutzen. Man muss nur alles anklicken, was auf dem Blog datenschutzbezogen eine Rolle spielt und der Generator „spuckt“ zum Schluss die passende Datenschutzerklärung aus.

Weiterhin seid ihr verpflichtet, möglichst datenschutzfreundliche Voreinstellungen in eurem Blog zu nutzen. Es dürfen nur die Daten verarbeitet werden, die für den bestimmten Verarbeitungszweck erforderlich sind. Daher solltet ihr auch überprüfen, welche Daten – eventuell auch unter Einschaltung externer Dienste wie Google Analytics – auf eurer Webseite erhoben werden.

Und ihr müsst vor Erhebung und Nutzung der Daten häufig die Einwilligung eurer Leser einholen. Das heißt beispielsweise für den Newsletter-Versand, dass das Double-Opt-In-Verfahren angewendet werden muss. Zudem müssen eure Nutzer bei der Eingabe ihrer Kontaktdaten aktiv den Datenschutzbestimmungen bzw. der Datenspeicherung zum Zweck des Newsletterversands zustimmen. Weiterhin muss für die Verwendung eines externen Newsletter-Dienstleisters ein Auftragsdatenverarbeitungsvertrag abgeschlossen werden.

Auch sind sehr viele Social-Media-Plugins und so gut wie alle Share- und Like-Buttons datenschutztechnisch heikel, da sie bereits beim Seitenaufruf viele Informationen an die jeweiligen sozialen Netzwerke übermitteln. Daher sollte auf Plugins ausgewichen werden, die erst dann Daten übermitteln, wenn der Besucher aktiv darauf klickt. Ein solches Plugin ist zum Beispiel Shariff. Und dannn kommt es natürlich noch darauf an, welche Anpassungen bei der konkreten Website erforderlich sind.

6. Finale

Nicht vergessen werden sollte, dass die Bußgelder bei einer Mißachtung der gesetzlichen Vorgaben dramatisch gestiegen sind. Die Höhe sollen es zwar insbesondere Facebook & Co schwer machen, sich aus der Verantwortung zu ziehen. Aber trotzdem gelten sie für alle anderen genauso.

Daneben besteht auch weiterhin die Gefahr, wegen bestimmter Datenschutzrechtsverstöße wettbewerbsrechtlich abgemahnt zu werden. Wann und unter welchen Voraussetzungen das tatsächlich möglich ist, wurde zwar noch nicht hunterprozentig von den Gerichten festgestellt. Das hält aber einige „Abmahner“ nicht davon ab, gegen andere vorzugehen.

Wenn ihr aber die genannten Punkte zur Umsetzung der DSGVO beachtet und euren Blog auf den neuesten Stand bringt, sollte nicht allzuviel passieren. Also, viel Glück und Spaß bei der Umsetzung!

 

Journalisten und die DSGVO

Bei Recherchen und Veröffentlichungen im Rahmen einer journalistisch – redaktionellen Tätigkeit fallen oft jede Menge personenbezogener Daten an. Daher sind Rundfunk-, Presse- und sonstige Medienunternehmen genauso von der DSGVO betroffen wie andere Unternehmen auch.

Allerdings besteht auf der Grundlage einer entsprechenden Öffnungsklausel in der DSGVO (Art. 85 Abs. 1 DSGVO) für die einzelnen EU-Staaten die Möglichkeit, nationale Gestaltungsspielräume zum Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit auszufüllen. Für den journalistischen Bereich ist dies wiederum aufgrund der durch Artikel 5 Abs. 1 Grundgesetz garantierten Meinungs- und Pressefreiheit möglich.

Daher wurde das sog. Medienprivileg eingeführt, welches sich aufgrund der Zuständigkeit in den jeweiligen Presse- und Mediengesetzen der einzelnen Bundesländer wiederfindet.  Im Grundsatz räumt das Medienprivileg Medienunternehmen und Journalisten Ausnahmen von den geltenden Datenschutzbestimmungen ein. Voraussetzung dafür ist jedoch, dass es sich  bei den Daten ausschließlich um solche handelt, die aufgrund einer  journalistisch – redaktionellen Tätigkeit erlangt und verarbeitet werden. Allerdings besteht das Problem, dass sich die Bundesländer bei der Formulierung und Ausgestaltung des Medienprivilegs nicht abgesprochen haben. Somit ist ein Flickenteppich voller individueller Lösungen und Auslegungen entstanden, der auch offen lässt, wer sich denn überhaupt auf das Privileg berufen kann.

So geht zum Beispiel Bayern davon aus, dass das Medienprivileg nicht nur für Journalisten und Blogger, sondern selbst für Heimatforscher und die Öffentlichkeitsarbeit bestimmter Vereine gelten solle. Andere Bundesländer berufen sich auf den jeweiligen Einzelfall. Niedersachsen scheint eine sehr enge Auslegung des Medienprivilegs zu bevorzugen, denn nach deren Ansicht können sich nur Personen darauf berufen, die eine verstetigte und professionelle Arbeitsstruktur aufweisen. Eine solche sei in der Regel an der journalistischen Gestaltung der Arbeitsergebnisse erkennbar. Was das konkret und im Einzelnen bedeuten soll, müssen wohl im Zweifel die Gerichten klären.

Zudem möchte ich vorsorglich darauf hinweisen, dass auch Medienunternehmen und Journalisten den Bestimmungen der DSGVO unterliegen, wenn sie Daten nicht für die Berichterstattung  verarbeiten. Beispielsweise gelten für E-Mail-Adressen zum Versand eines Newsletters die gleichen DSGVO-Bestimmungen wie bei allen anderen auch.

In diesem Zusammenhang sei auch auf den Beschluss des Oberlandesgericht Köln vom 18.06.2018 (Az. 15 W 27/18) hingewiesen, der die obigen Ausführungen unterstreicht. Das OLG Köln entschied, dass trotz DSGVO bei journalistischer Bildberichterstattung das Kunsturhebergesetz (KUG) Anwendung findet. Denn das Europäische Parlament habe den nationalen Gesetzgebern durch Artikel 85 DSGVO einen Gestaltungsspielraum gelassen, welcher durch das KUG ausgefüllt werden kann. Zudem lasse das Gesetz die umfassende Abwägung der betroffenen Grundrechte zu. Somit können sich Journalisten auch nach Wirksamwerden der DSGVO bei der Bildberichterstattung am Kunsturhebergesetz orientieren.

ABER: Diese gerichtliche Entscheidung bezieht sich ausschließlich auf Journalisten und Pressefotografen. Bei freien Journalisten und Bloggern bleibt die Rechtslage weiter unklar.