Datenschutzverstöße in Redaktionen: Rechtlich absichern

Ein freier Journalist fotografiert Demonstranten und veröffentlicht die Bilder ohne Einwilligung der abgebildeten Personen. Eine Online-Redaktion speichert Nutzerdaten in einem US-amerikanischen CMS, ohne die Anforderungen der DSGVO zu erfüllen. Ein Lokalsender nennt in einem Bericht den vollen Namen und die Adresse eines Verdächtigen. Solche Situationen passieren täglich in der deutschen Medienlandschaft. Die rechtlichen Konsequenzen reichen von Bußgeldern in fünfstelliger Höhe bis zu zivilrechtlichen Klagen betroffener Personen.

Wo Redaktionen besonders häufig gegen den Datenschutz verstoßen

Die DSGVO gilt grundsätzlich auch für Medienhäuser, auch wenn das sogenannte Medienprivileg in Artikel 85 der Verordnung den Mitgliedstaaten erlaubt, für journalistische Zwecke Ausnahmen zu schaffen. In Deutschland haben die Bundesländer davon Gebrauch gemacht, etwa über die Landespressegesetze. Doch dieser Schutz ist kein Freifahrtschein. Er gilt nur für die eigentliche journalistische Tätigkeit, also für Recherche, Redaktion und Veröffentlichung im Rahmen des Pressezwecks.

Außerhalb dieses engen Rahmens greift die DSGVO vollständig. Das betrifft Newsletterverwaltung, Website-Tracking, Stellenbewerbungen, Leserkommentare und die interne Personalverwaltung. Genau hier entstehen viele Probleme: Redaktionen behandeln ihre gesamte Tätigkeit pauschal als journalistisch privilegiert und übersehen dabei Bereiche, die klar unter die allgemeinen Datenschutzpflichten fallen.

Das Medienprivileg und seine Grenzen in der Praxis

Ein häufiger Fehler ist die Annahme, dass Aufzeichnungen aus der Recherche unbegrenzt aufbewahrt werden dürfen. Das Medienprivileg schützt zwar die Verarbeitung personenbezogener Daten für journalistische Zwecke, schreibt aber keine unbefristete Speicherung vor. Die Datenschutzkonferenz der Länder hat in mehreren Orientierungshilfen darauf hingewiesen, dass auch Redaktionen Löschkonzepte benötigen.

Besonders heikel ist der Umgang mit sogenannten besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO. Dazu zählen Gesundheitsdaten, religiöse Überzeugungen, politische Meinungen und sexuelle Orientierung. Wenn eine Redaktion über eine öffentliche Person berichtet und dabei solche Daten nennt, muss ein erhebliches öffentliches Interesse bestehen. Fehlt dieses, drohen Unterlassungsklagen und Schadensersatzforderungen. Das Oberlandesgericht Frankfurt hat 2021 in einem ähnlich gelagerten Fall einem Kläger Schadensersatz nach Artikel 82 DSGVO zugesprochen, weil ein Medium sensible Gesundheitsinformationen ohne ausreichende Rechtsgrundlage veröffentlicht hatte.

Technische und organisatorische Maßnahmen, die Pflicht sind

Viele Redaktionen investieren in guten Journalismus, vernachlässigen aber die technische Infrastruktur. Dabei schreibt Artikel 32 DSGVO ausdrücklich vor, dass Verantwortliche geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für Redaktionen bedeutet das konkret:

  • Verschlüsselung sensibler Kommunikation mit Quellen, etwa über Ende-zu-Ende-verschlüsselte Messenger oder sichere Drop-Systeme wie SecureDrop
  • Zugriffskontrollen auf redaktionelle Datenbanken und Archivmaterial
  • Regelmäßige Schulungen für feste und freie Mitarbeiter zum Umgang mit personenbezogenen Daten
  • Dokumentation von Verarbeitungstätigkeiten im sogenannten Verzeichnis nach Artikel 30 DSGVO
  • Abschluss von Auftragsverarbeitungsverträgen mit Dienstleistern wie Hosting-Anbietern oder Newsletter-Tools

Gerade der letzte Punkt wird von kleinen Redaktionen regelmäßig übergangen. Wer einen US-amerikanischen E-Mail-Dienst oder ein Cloud-CMS ohne gültigen Standardvertragsklauseln oder angemessenes Datenschutzniveau einsetzt, riskiert nach dem Schrems-II-Urteil des EuGH von 2020 erhebliche Bußgelder.

Rechtliche Beratung frühzeitig einbinden

Redaktionen schalten Anwälte meist erst ein, wenn bereits ein Abmahnschreiben auf dem Tisch liegt. Das ist zu spät. Wer Datenschutzprozesse von Anfang an rechtlich begleiten lässt, spart langfristig Geld und Aufwand. Kanzleien mit Schwerpunkt Medienrecht und Datenschutz können nicht nur im Streitfall helfen, sondern auch bei der Erstellung von Datenschutzerklärungen, der Prüfung von Dienstleisterverträgen und der Schulung von Mitarbeitern. Wer beispielsweise die Expertise von HERBERT Rechtsanwälte Saarbrücken nutzt, bekommt eine auf Medienhäuser zugeschnittene Beratung, die sowohl presserechtliche als auch datenschutzrechtliche Aspekte zusammendenkt.

Ein weiterer Baustein ist die Bestellung eines Datenschutzbeauftragten. Ab 20 Personen, die regelmäßig mit automatisierter Datenverarbeitung beschäftigt sind, ist dies nach Paragraph 38 BDSG verpflichtend. Kleinere Redaktionen können einen externen Datenschutzbeauftragten bestellen, was oft kostengünstiger und rechtlich ebenso zulässig ist.

Umgang mit Datenpannen: Meldepflichten konsequent einhalten

Wenn es zu einem Datenschutzvorfall kommt, zählt jede Stunde. Artikel 33 DSGVO schreibt vor, dass Verantwortliche eine Datenpanne der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden melden müssen, sobald sie davon Kenntnis erlangen. Wer diese Frist ohne triftigen Grund überschreitet, riskiert Bußgelder, die in mehreren dokumentierten deutschen Fällen zwischen 5.000 und 50.000 Euro lagen.

Für Redaktionen heißt das: Es braucht einen klaren internen Prozess, der festlegt, wer im Ernstfall was zu tun hat. Dieser Notfallplan sollte schriftlich fixiert, bekannt gemacht und regelmäßig geübt werden. Dazu gehört auch die Frage, wann zusätzlich betroffene Personen nach Artikel 34 DSGVO direkt informiert werden müssen, nämlich dann, wenn für sie ein hohes Risiko besteht.

Freie Journalisten: Oft unterschätzte Verantwortung

Ein Aspekt, der in der Debatte kaum vorkommt: Auch freie Journalisten können selbst Verantwortliche im Sinne der DSGVO sein, wenn sie personenbezogene Daten eigenständig verarbeiten und nicht unter die Kontrolle einer Redaktion fallen. Wer als Freelancer eine eigene Website betreibt, Leserkommentare zulässt oder einen Newsletter verschickt, unterliegt denselben Pflichten wie ein kleines Unternehmen.

Die Landesdatenschutzbehörden haben in den vergangenen Jahren verstärkt auch Einzelpersonen im Blick. Wer als freier Autor arbeitet, sollte mindestens eine aktuelle Datenschutzerklärung auf seiner Website haben, Kontaktanfragen datenschutzkonform verwalten und bei der Nutzung von Analyse-Tools auf eine korrekte Einbindung achten.

Datenschutz in der Medienbranche ist kein bürokratisches Randthema. Er betrifft das Vertrauen von Quellen, die Sicherheit von Redaktionssystemen und die Glaubwürdigkeit eines Mediums nach außen. Wer das strukturiert angeht, schützt nicht nur sich selbst, sondern auch die Menschen, über die und mit denen er arbeitet.

Jan Bauer

Redakteur/in

Jan Bauer ist Podcast-Experte, Medienberater und langjähriger Redakteur. Er beobachtet die Entwicklung digitaler Medienformate und begleitet Creator bei der Entwicklung ihrer Medienstrategien. Sein Schwerpunkt liegt auf Audio-Journalismus und Content-Strategie.

Schreibe einen Kommentar