Redaktionsdatenschutz

Datenschutz in Redaktionen

Datenschutz ist auch in Redaktionen ein sensibles Thema – und wirft spätestens seit Inkrafttreten der Europäischen Datenschutzgrundverordnung DSGVO immer wieder Fragen auf. In unserem Leitfaden Redaktionsdatenschutz finden Sie Informationen über den richtigen Umgang mit personenbezogenen Daten im Journalismus. Wie können Redaktionen recherchierte Daten am besten schützen? Welche Rechte haben Betroffene und wann müssen personenbezogene Daten womöglich gelöscht werden?

Soweit sich ein Medium zum Pressekodex verpflichtet hat, ist der Presserat anstelle von Aufsichtsbehörden für die Beachtung dieser Regeln zuständig. Das Ziel ist ein Ausgleich zwischen dem Interesse der Öffentlichkeit an personenbezogenen Daten und dem Schutz der von der Berichterstattung Betroffenen.

Die wichtigsten Fragen und Antworten für den Redaktionsalltag haben wir hier zusammengestellt:

Was ist Datenschutz und welche Daten umfasst er?

Grundlage des Datenschutzes ist das sogenannte „Recht auf informationelle Selbstbestimmung“. D.h. eine Person kann grundsätzlich selbst bestimmen, ob und welche personenbezogenen Daten von ihr preisgegeben und verwendet werden dürfen. Dazu gehören z.B. Name, Geburtsdatum, Adresse, Kontaktdaten und Fotos. Aber auch Gesundheitsdaten, finanzielle und wirtschaftliche Daten sowie Religions- und Parteizugehörigkeit sind personenbezogene Daten, wenn sie sich auf eine identifizierbare Person beziehen.

Juristische Personen und Menschen, die bereits tot sind, unterfallen nicht dem Datenschutz. Informationen über diese können aber aufgrund anderer Rechtsgrundlagen geschützt sein, z.B. durch das Geschäftsgeheimnis oder den postmortalen Persönlichkeitsschutz.

2018 wurde das Datenschutzrecht EU-weit vereinheitlicht und ist nun im Wesentlichen in der Datenschutzgrundverordnung (DSGVO) geregelt.

Gilt der Datenschutz auch für die redaktionelle Arbeit?

Da die journalistische Arbeit massiv erschwert wäre, wenn für jede redaktionelle Datenverarbeitung das Einverständnis der betroffenen Person erforderlich wäre, gilt im Journalismus das sogenannte Medienprivileg: Die journalistisch-redaktionelle Arbeit ist zu einem Großteil von den gesetzlichen Regelungen zum Datenschutz ausgenommen und unterliegt auch nicht der Aufsicht durch die Datenschutzbehörden. Auch haben Betroffene nur unter bestimmten Bedingungen einen Auskunfts- oder Löschungsanspruch hinsichtlich ihrer von der Redaktion gespeicherten Daten.

Die datenschutzrechtlichen Ausnahmen gelten allerdings nicht für nicht-redaktionelle Bereiche eines Medienunternehmens wie z.B. die Marketing- oder Anzeigenabteilung. Auch die Daten von Abonnentinnen und Abonnenten sind rechtlich voll geschützt.

Um Eingriffen des Gesetzgebers vorzubeugen, haben sich Print- und Onlinemedien aber zum großen Teil freiwillig zur Einhaltung des Redaktionsdatenschutzes beim Deutschen Presserat verpflichtet. Der Pressekodex enthält die journalistischen Standards zum Schutz von personenbezogenen Daten.

Was gehört zum redaktionellen Bereich und was nicht?

Zum datenschutzrechtlich privilegierten journalistisch-redaktionellen Bereich gehören insbesondere die Recherche, die redaktionsinterne Speicherung und Verarbeitung, die Veröffentlichung eines journalistischen Beitrags sowie die Archivierung.

In allen anderen Bereichen eines Medienunternehmens ist die Datenverarbeitung hingegen umfassend von der DSGVO erfasst – dies gilt beispielsweise für Abrechnungs-, Personal-, Abonnenten- und Anzeigendaten sowie Informationen über die Websitenutzung.

Was bedeutet die unterschiedliche datenschutzrechtliche Behandlung von Redaktion und anderen Unternehmensbereichen?

Journalistisch-redaktionell erhobene personenbezogene Informationen müssen strikt getrennt von anderen Daten gespeichert und genutzt werden!

Das bedeutet: Die Redaktion darf ihre personenbezogenen Daten nicht an andere Geschäftsbereiche weitergeben und muss diese vor dem Zugriff durch nicht-redaktionelle Mitarbeiterinnen und Mitarbeiter schützen und umgekehrt. Von der Redaktion recherchierte Personendaten dürfen z.B. nicht für vertriebliche Zwecke genutzt werden. Umgekehrt dürfen Abonnentendaten nicht für Recherche und Berichterstattung verwendet werden.

Welche gesetzlichen Datenschutzregeln müssen Redaktionen beachten?

Obwohl Redaktionen von zahlreichen Regelungen des gesetzlichen Datenschutzes befreit sind, setzt das Medienprivileg das Recht auf informationelle Selbstbestimmung nicht komplett außer Kraft. So verpflichtet das sogenannte Datengeheimnis Redaktionen dazu, zu journalistischen Zwecken erhobene Daten nicht für andere Zwecke zu verwenden oder weiterzugeben. In Redaktionen Beschäftigte müssen hierauf bei der Aufnahme ihrer Tätigkeit verpflichtet werden. Das Datengeheimnis gilt auch nach Beendigung dieser Tätigkeit fort.

Außerdem müssen Redaktionen bzw. journalistisch Tätige personenbezogene Daten mit technischen und organisatorischen Maßnahmen vor dem Zugriff durch Dritte schützen. Bei einer Verletzung des Datengeheimnisses oder unzureichenden technisch-organisatorischen Maßnahmen besteht ein Schadensersatzanspruch.

Schränkt das Datenschutzrecht die Recherche ein?

Im journalistisch-redaktionellen Bereich ist das Erheben personenbezogener Daten – also insbesondere die Recherche und das Fotografieren bzw. Filmen – grundsätzlich ohne Einverständnis der Betroffenen zulässig. Selbstverständlich sind aber auch hier weitere Rechtsvorschriften zu beachten, wie z.B. Strafrechtsvorschriften, das allgemeine Persönlichkeitsrecht oder das Hausrecht.

Was ist bei der redaktionsinternen Speicherung, Dokumentation und Archivierung personenbezogener Daten zu beachten?

Neben der strikten Trennung von redaktionellen und sonstigen Daten müssen Redaktionen personenbezogene Daten vor unberechtigten Zugriffen schützen. Die mit den Daten beschäftigten Kolleginnen und Kollegen müssen zudem auf das sogenannte Datengeheimnis verpflichtet werden. Ferner müssen technische und organisatorische Maßnahmen wie bspw. Pseudonymisierung, Verschlüsselung, Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrollen ergriffen werden.

Auch Laptops, Tablets und Smartphones sowie externe Server und Clouds müssen entsprechend gesichert werden. Videocall- und Messenger-Dienste muss die Redaktion unter Datenschutzaspekten sorgsam auswählen und ggf. mit den Anbietern Auftragsverarbeitungs- bzw. Datenschutzverträge abschließen.

Welche technischen und organisatorischen Datenschutzmaßnahmen müssen beachtet werden?

Eine pauschale Antwort gibt es hier nicht. Voraussetzung ist jedoch, dass die getroffenen Maßnahmen geeignet und angemessen sind, um den Datenschutz zu gewährleisten. Was im konkreten Fall geeignet und angemessen ist, hängt von verschiedenen Gesichtspunkten ab, insbesondere dem Stand der Technik, aber auch der Art und Umstände sowie dem Zweck der Datenverarbeitung, den Kosten sowie dem tatsächlichen Risiko einer Datenschutzverletzung.  

Ferner muss das Sicherheitslevel im Verhältnis zum Risiko angemessen sein. D.h. die Redaktion bzw. der Verlag haben eine individuelle Risikoanalyse vorzunehmen. Grundsätzlich ist das Risiko umso höher, je sensibler die Daten sind (z.B. Erkrankungen, Verurteilungen usw.) und je größer die Wahrscheinlichkeit eines unberechtigten Zugriffs ist. Für letzteren Gesichtspunkt können z.B. die Zahl der Zugriffsberechtigten, die Dauer der Datenspeicherung und die zu erwartende Beeinträchtigung der Rechte von Betroffenen im Fall einer Datenschutzpanne sein.

Eine umfangreiche Übersicht zu geeigneten Maßnahmen und Good-Practice-Beispielen gibt es bei den Landesdatenschutzbehörden wie z.B. der Bayerischen oder der Niedersächsischen Datenschutzbehörde.

Was sind Beispiele für Datenschutzmaßnahmen?

Technische Schutzmaßnahmen können Pseudonymisierung oder Verschlüsselung, etwa durch die Verwendung von geeigneten Passwörtern bei PCs, Laptops, Datenträgern oder mobilen Endgeräten sein. Zudem muss nachvollziehbar sein, wann wem welche Daten wie übermittelt werden.

Mit der Versendung von analogen Daten wie Papierdokumenten sollte man qualifizierte Dienstleister wie Kuriere beauftragen.

Als geeignete organisatorische Maßnahmen sind Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrollen sinnvoll, wie z.B. der räumliche Zutritt zu Servern und PCs nur durch Berechtigte, die Vergabe von Berechtigungen für einzelne Dateien und Ordner und natürlich Mitarbeiterschulungen im Datenschutz.

Werden journalistisch-redaktionelle Daten durch Dritte verarbeitet, ist die auftraggebende Redaktion für die Einhaltung des Datenschutzes verantwortlich. Sie ist verpflichtet, die Hilfsunternehmen sorgfältig auszuwählen, geeignete (Datenschutz-) Verträge zu schließen und auch die Einhaltung der technischen und organisatorischen Maßnahmen zu kontrollieren.

Was ist im Homeoffice zu beachten?

Gerade im Homeoffice muss auf die strikte Trennung von privaten und redaktionellen Daten geachtet werden. Idealerweise sollte der Arbeitgeber Laptops oder Smartphones zur Verfügung stellen, die nur für die redaktionelle Arbeit genutzt werden. Werden private Geräte genutzt, müssen redaktionelle Dateien klar von privaten Dateien getrennt gespeichert und verarbeitet werden.

Zudem müssen redaktionelle Daten personenbezogener Art vor dem Zugriff durch Unberechtigte – wie Familienmitgliedern oder Mitbewohnerinnen und Mitbewohnern – geschützt werden, z.B. durch Passwörter oder Bildschirmsperrung. Adressbücher, Notizen oder Akten sollten in abschließbaren Räumen, Schränken oder Schubladen aufbewahrt werden.

Welche Regeln zum redaktionellen Datenschutz stehen im Pressekodex?

Für Zeitungen, Zeitschriften und Onlinemedien, die sich freiwillig beim Presserat verpflichtet haben, gelten die ethischen Standards zum redaktionellen Datenschutz im Pressekodex. Über Beschwerden mit einem Schwerpunkt auf redaktionellem Datenschutz berät viermal im Jahr der Beschwerdeausschuss Redaktionsdatenschutz.

Zum Datenschutz müssen Journalistinnen und Journalisten insbesondere die folgenden Kodexziffern beachten:

  • Achtung des Privatlebens: Von der Recherche über Redaktion, Veröffentlichung, Dokumentation bis hin zur Archivierung dieser Daten achtet die Presse das Privatleben, die Intimsphäre und das Recht auf informationelle Selbstbestimmung des Menschen (Präambel des Pressekodex).

  • Recherche: Bei der Beschaffung personenbezogener Daten dürfen keine unlauteren Recherchemethoden angewandt werden. Bei der Recherche gegenüber schutzbedürftigen Personen ist Zurückhaltung geboten (Ziffer 4, Richtlinie 4.2 des Pressekodex)

  • Persönlichkeitsschutz: Die Presse achtet das Privatleben des Menschen und seine informationelle Selbstbestimmung. Bei einer identifizierenden Berichterstattung muss das Informationsinteresse der Öffentlichkeit die schutzwürdigen Interessen von Betroffenen überwiegen (Ziffer 8 des Pressekodex): Einzelne Richtlinien regeln die unterschiedlichen Facetten des Persönlichkeitsschutzes wie den Opfer- und Täterschutz, die Berichterstattung über Kinder und Jugendliche, Vermisste, Familienangehörige usw..

  • Unschuldsvermutung: Die Berichterstattung über Ermittlungsverfahren muss frei von Vorurteilen erfolgen (Ziffer 13 des Pressekodex). Die Berichterstattung muss sprachlich zwischen Verdacht und erwiesener Schuld deutlich unterscheiden (Richtlinie 13.1), im Rahmen der Folgeberichterstattung (Richtlinie 13.2) soll auch über einen rechtskräftigen abschließenden Freispruch berichtet werden, und bei Straftaten von Jugendlichen ist besondere Zurückhaltung geboten (Richtlinie 13.3).

  • Leserbriefe und Nutzerbeiträge dürfen zwar grundsätzlich mit Namen bzw. Pseudonym abgedruckt werden, Adressangaben aber nur, wenn die Veröffentlichung der Wahrung berechtigter Interessen dient (Ziffer 2, Richtlinie 2.6). Zudem ist zu beachten, dass entsprechende Zuschriften dem Redaktionsgeheimnis unterliegen und nicht an Dritte weitergegeben werden dürfen.

  • Weitergabe von Rechercheergebnissen nur zu journalistischen Zwecken (Ziffer 5, Richtlinie 5.3). Hierauf muss bei der Datenübermittlung hingewiesen werden. Im Übrigen gilt das Daten- und Redaktionsgeheimnis.

  • Pressekodex mit den wichtigsten Datenschutz-Ziffern zum Ausdrucken
Wann darf laut Pressekodex identifizierend berichtet werden?

Die identifizierende Berichterstattung, insbesondere die Veröffentlichung von Namen oder Fotos, ist nach Ziffer 8 des Pressekodex nur zulässig, wenn ein berechtigtes Informationsinteresse die schutzwürdigen Interessen der Betroffenen überwiegt. Wann über Täter bzw. Tatverdächtige identifizierend berichtet werden darf, regelt Richtlinie 8.1 zur Kriminalberichterstattung. Unter besonderem Schutz steht die Identität von Opfern (Richtlinie 8.2), Kindern und Jugendlichen (Richtlinie 8.3) sowie Familienangehörigen und von der Berichterstattung unmittelbar betroffenen Dritten (Richtlinie 8.4). Über sie darf in der Regel nicht identifizierend berichtet werden, es sei denn, es liegt eine ausdrückliche Einwilligung der Betroffenen bzw. Angehörigen vor.

Eine identifizierende Berichterstattung ist jedoch grundsätzlich bei Fahndungen der Ermittlungsbehörden und der Suche nach Vermissten in Absprache mit den zuständigen Behörden zulässig.

Dürfen Redaktionen Daten von privaten Social-Media-Accounts verwenden?

Redaktionen dürfen Fotos, Chats oder andere personenbezogene Daten von privaten Social-Media-Accounts nicht ohne Weiteres für die eigene Berichterstattung übernehmen. In der Regel müssen Redaktionen eine Einwilligung der Betroffenen oder Angehörigen einholen, es sei denn, an den Inhalten besteht ein überwiegendes Informationsinteresse.

Welche Daten von Leserbriefschreibenden dürfen veröffentlicht werden?

Leserbriefe dürfen nach Richtlinie 2.6 des Pressekodex mit Namen veröffentlicht werden. Auf den Abdruck von Adressangaben soll verzichtet werden, es sei denn, die Veröffentlichung dient der Wahrung berechtigter Interessen. Bei der Übernahme von Nutzerbeiträgen können Pseudonyme beibehalten werden. Zudem ist zu beachten, dass Zuschriften dem Redaktionsgeheimnis unterliegen und nicht an Dritte weitergegeben werden dürfen.

Wenn sie nicht als Leserbrief oder Nutzerbeitrag veröffentlicht werden, sondern in die Berichterstattung eingebunden werden sollen, ist grundsätzlich das Einverständnis der Einsenderin oder des Einsenders erforderlich. Wenn ein überwiegendes berechtigtes Informationsinteresse gegeben ist, ist dies ausnahmsweise nicht erforderlich. Aus dem Leserbrief eines bekannten Lokalpolitikers darf z.B. auch ohne dessen Einverständnis zitiert werden, wenn sich dieser zu Themen von öffentlichem Interesse äußert.

Dürfen personenbezogene Rechercheergebnisse an andere Redaktionen weitergegeben werden?

Wenn die Weitergabe ausschließlich journalistisch-redaktionellen Zwecken dient, ist dies nach Richtlinie 5.3 des Pressekodex erlaubt. Hierauf muss bei der Datenübermittlung hingewiesen werden.

Welche Rechte und Möglichkeiten haben von der Berichterstattung Betroffene?

Bei möglichen Datenschutzverstößen im redaktionellen Bereich können Betroffene ggf. eine Richtigstellung, die Erteilung einer Auskunft oder die Sperrung bzw. Löschung von Daten geltend machen. Dazu können sie sich jederzeit selbst an die Redaktion wenden. Die Rechtslage ist für Print-Veröffentlichungen jedoch nicht einheitlich, da nicht jedes Landespressegesetz entsprechende Ansprüche vorsieht. Ansprüche gegen reine Onlinemedien richten sich nach dem Medienstaatsvertrag.

Zudem haben Betroffene die Möglichkeit, sich mit einer Beschwerde zum redaktionellen Datenschutz an den Deutschen Presserat zu wenden. Bei Beschwerden zu möglichen Verstößen gegen das Recht auf Datenschutz gilt eine Jahresfrist. Anders als bei anderen Beschwerden beginnt die Frist jedoch erst zum Zeitpunkt der Kenntnis durch den Beschwerdeführer bzw. die Beschwerdeführerin.

Bei Datenschutzverstößen, die sonstige Verlagsbereiche betreffen, wie die Abonnentenverwaltung oder die Datenerhebung von Website-Nutzerinnen und Nutzern, sind die entsprechenden Datenschutzaufsichtsbehörden zuständig.

Haben Betroffene einen Auskunftsanspruch über ihre redaktionell erhobenen Daten?

Einzelne Landespressegesetze (diese gelten für Printmedien) und der Medienstaatsvertrag (gilt für reine Onlinemedien) gestehen Betroffenen einen Anspruch auf Auskunft zu, jedoch in wesentlich eingeschränkterem Maß als die DSGVO. Sofern ein entsprechender Auskunftsanspruch geregelt ist, besteht dieser, sofern personenbezogene Daten zu journalistischen Zwecken verarbeitet werden und die betroffene Person hierdurch in ihrem Persönlichkeitsrecht beeinträchtigt wird. Redaktionen können Betroffenen die Auskunft über ihre Daten verweigern, wenn andere Interessen die schutzwürdigen Interessen der Betroffenen überwiegen. Dies ist z.B. dann der Fall, wenn die Offenlegung der recherchierten Daten die Persönlichkeitsrechte der mitwirkenden Journalistinnen und Journalisten verletzt oder die journalistische Aufgabe des Mediums beeinträchtigt.

Hat sich das Medium der Freiwilligen Selbstkontrolle des Presserats angeschlossen, richtet sich der Auskunftsanspruch nach Richtlinie 8.10 Pressekodex, der einen vergleichbaren Regelungsgehalt hat.

Können Betroffene die Berichtigung gespeicherter personenbezogener Daten verlangen?

Laut einzelnen Landespressegesetzen (Printmedien) bzw. nach dem Medienstaatsvertrag (reine Onlinemedien) können Betroffene die Korrektur unrichtiger personenbezogener Daten im Datensatz verlangen. Zum Teil besteht alternativ auch ein Anspruch auf Hinzufügung einer eigenen Darstellung.

Was passiert, wenn die Redaktion einen Fehler bei der Veröffentlichung personenbezogener Daten macht?

Neben dem presserechtlichen Anspruch auf Gegendarstellung besteht nach dem Pressekodex eine Verpflichtung zur Richtigstellung:

Meldungen, insbesondere personenbezogener Art, die sich nachträglich als falsch erweisen, müssen nach Ziffer 3 des Pressekodex richtiggestellt werden. Für Leserinnen und Leser muss erkennbar sein, was in der Meldung falsch war. Bei Online-Veröffentlichungen wird eine Richtigstellung mit dem ursprünglichen Beitrag verbunden. Die Redaktion muss diese Richtigstellung darüber hinaus auch intern dokumentieren.

Wann können Betroffene Schadenersatz fordern?

Die Schadensersatz-Regelung der DSGVO gilt im journalistisch-redaktionellen Bereich nur eingeschränkt. Die Landespressegesetze und der Medienstaatsvertrag verweisen zwar grundsätzlich darauf, erklären sie jedoch nur für anwendbar bei Schäden, die aus einer Verletzung des Datengeheimnisses oder aus unzureichenden technisch-organisatorischen Maßnahmen entstanden sind. Hat die Redaktion jedoch geeignete und dem Risiko angemessene Schutzmaßnahmen getroffen, entfällt die Schadensersatzpflicht.

Können Betroffene die Löschung oder Anonymisierung von Online-Veröffentlichungen verlangen?

Zwar ist in der DSGVO ein sogenanntes „Recht auf Vergessen“ und damit die Löschung von Daten nach einem bestimmten Datum vorgesehen. Von dieser Vorschrift ist die Presse jedoch ausgenommen. Stattdessen greifen bei der Onlinepresse die Regeln des Medienstaatsvertrags sowie des Pressekodex.

Der Medienstaatsvertrag gewährt nur einen Anspruch auf Gegendarstellung sowie auf Auskunft und Berichtigung, nicht aber auf Löschung.

Der Pressekodex gibt in Richtlinie 4.3 Betroffenen dann einen Anspruch auf Sperrung bzw. Löschung von personenbezogenen Daten, wenn diese unter Verstoß gegen den Pressekodex erhoben wurden.

Muss die Redaktion personenbezogene Daten von sich aus löschen?

Für den redaktionellen Datenschutz existieren keine Fristen, nach deren Ablauf personenbezogene Daten gelöscht bzw. anonymisiert werden müssen.

Jedoch besteht nach Richtlinie 4.3 ein Anspruch auf Sperrung bzw. Löschung von personenbezogenen Daten, die unter Verstoß gegen den Pressekodex erhoben wurden.

Zudem sollen personenbezogenen Daten in Artikeln gelöscht bzw. anonymisiert werden, wenn der Presserat einen entsprechenden Datenschutzverstoß gegen den Pressekodex festgestellt hat, wie z.B. gegen den Persönlichkeitsschutz nach Ziffer 8 oder die Unschuldsvermutung nach Ziffer 13 des Pressekodex.

Welche Konsequenzen haben Verstöße gegen den Pressekodex bzw. gegen den Datenschutz?

Ein Verstoß gegen den Pressekodex zieht einen Hinweis, eine Missbilligung oder eine Rüge nach sich. Im Falle einer öffentlichen Rüge haben sich die Verlage verpflichtet, diese im betreffenden Medium zu veröffentlichen.

Wurden personenbezogenen Daten unter Verstoß gegen den Pressekodex erhoben, sind sie zu sperren oder löschen, vgl. Richtlinie 4.3.

Bei allen sonstigen Verstößen gegen den Pressekodex, die den redaktionellen Datenschutz betreffen, besteht nach dem Pressekodex zwar keine entsprechende Verpflichtung. Der Presserat empfiehlt jedoch, dass die Redaktion entsprechenden Maßnahmen ergreift – wie z.B. Anonymisierung im Beitrag, Verpixelung oder Löschung von Fotos.

Verstöße gegen das Datengeheimnis und unzureichende technische bzw. organisatorische Maßnahmen können Schadenersatzansprüche nach sich ziehen.

Haben Sie Fragen?

Ansprech­partnerin für den Redaktions­daten­schutz:

Kerstin Lange, LL.M
lange@presserat.de