NEWS

"Hey, schickes Bild von dir auf eurer Website..."

Wenn Ihre Mitarbeitenden auf solche Bemerkungen von Kunden oder Freunden mit „Welches Bild?“ antworten, haben Sie einen Datenschutzverstoß begangen.

Für viele Datenverarbeitungsvorgänge liefern die DSGVO und andere Gesetze eine Rechtsgrundlage, auch Ermächtigungsgrundlage genannt. So ist beispielsweise das Erfassen, Speichern und Nutzen von Namen und Adressen von Kunden und Vertragspartnern in der DSGVO ausdrücklich zugelassen. Schließlich kann ein Vertrag nicht abgewickelt werden, wenn wesentliche Informationen über den Vertragspartner fehlen. Damit ist also diese Art der Datenverarbeitung auch bei natürlichen Personen durch die Regelung in Art. 6 Abs. 1 b DSGVO bereits erlaubt. Wie bereits im letzten Datenschutz-Newsletter Nr. 05/2024 erwähnt, bietet das Gesetz jedoch nicht für jede Art der Datenverarbeitung eine Ermächtigungsgrundlage. Manche Arten der Datenverarbeitung sind im Gesetz gar nicht geregelt.

Sind diese Datenverarbeitungsvorgänge, wie z. B. das Anfertigen und Nutzen von Mitarbeiterbildern, deshab gleich verboten?
Diese gesetzlich nicht ausdrücklich erlaubten Verarbeitungsvorgänge bedürfen einer freiwilligen, ausdrücklichen und auf ausreichenden Informationen beruhenden Einwilligung, um erlaubt zu sein. So erlauben Art. 6 Abs. 1a DSGVO und auch Art. 9 Abs. 2a DSGVO die Verarbeitung personenbezogener Daten dann, wenn „die betroffene Person […] ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben [hat].“

Anforderungen an eine rechtswirksame Einwilligung

Reicht es jetzt, wenn der Mitarbeiter, der auf der Website abgebildet ist, einfach sagt: „Klar, du kannst das Bild haben.“ ?

Grundsätzlich muss die Einwilligung zur Datenverarbeitung nur in wenigen Fällen schriftlich erfolgen. Aus Beweisgründen ist es jedoch sehr sinnvoll, sich Einwilligungen zur Datenverarbeitung schriftlich geben zu lassen. Ansonsten besteht später das Risiko, dass sich der abgebildete Mitarbeiter an seine mündlich erteilte Einwilligung nicht mehr erinnern kann. Die Beweislast für die Rechtmäßigkeit der Datenverarbeitung liegt allerdings beim Verantwortlichen, also dem Unternehmen bzw. dessen Geschäftsführung, Art. 7 Abs. 1 DSGVO. Für Einwilligungen im Beschäftigungsverhältnis verlangt das Bundesdatenschutzgesetz (BDSG) grundsätzlich eine schriftliche Einwilligung.

Also muss nur ein Zettel unterschrieben werden, auf dem steht: „Das Bild darf verwendet werden.“? Ein solcher Zettel ist besser als eine mündliche Zusage, erfüllt aber noch nicht alle Anforderungen, die Art. 7 DSGVO an eine Einwilligung stellt.

Welche gesetzlichen Anforderungen gelten?

1. Zunächst muss der Zweck, zu dem die Datenverarbeitung - also in unserem Beispielsfall die Nutzung des Bildes - erfolgen soll, klar aus der Information in der Einwilligung hervor gehen. Bilder auf Websites dienen meist dem Marketing, was entsprechend erwähnt werden soll. Erfolgt die Bildnutzung dagegen zu Dokumentationszwecken, was ggf. bei sicherheitstechnischen Begehungen der Fall ist, muss dies in der Zweckbeschreibung deutlich werden.
    
2. Weiterhin muss bei der Einwilligung deutlich sein, in welche Art der Datenverarbeitung eingewilligt wird. Enthält die Erklärung einen Hinweis auf die Verwendung des Bildes auf das unternehmenseigene Intranet, ist damit keine Einwilligung zur Verwendung in Printmedien oder gar auf Unternehmenswebsites enthalten. Da bereits diese drei Nutzungsmöglichkeiten recht unterschiedlich sind, ist dem Mitarbeiter auch die Möglichkeit zu geben, sich nur für eine der Nutzungsarten zu entscheiden. Hierfür empfiehlt sich die Verwendung von Ankreuzmöglichkeiten.
    
3. Die Einwilligung muss in jedem Fall freiwillig erteilt werden. Muss der Mitarbeiter also befürchten, dass er mit arbeitsrechtlichen Konsequenzen rechnen muss, wenn er einer Verwendung seiner Bilder nicht zustimmt, fehlt es an der Freiwilligkeit der Einwilligung und diese ist nicht mehr rechtswirksam. Die Bilder dürfen dann nicht verwendet werden.
    
4. Außerdem ist jeder Person die Möglichkeit einzuräumen, eine einmal erteilte Einwilligung zu widerrufen. Auf dieses Widerrufsrecht ist vor Erteilung der Einwilligung hinzuweisen. Ebenso ist darauf hinzuweisen, wo und wie der Widerruf erfolgen kann. Insofern sollte bereits im Vorfeld klar sein, welcher Prozess zu etablieren ist, wenn eine erteilte Einwilligung widerrufen wird, weil der Widerruf einer Einwilligung zum Löschen oder Sperren von Daten führen kann.
    
5. Bei jeder Einwilligung muss klar sein, von wem diese und für wen sie erteilt wird. Wenn also ein Mitarbeiter der Verwendung seines Bildes auf der Unternehmenswebsite zustimmt, bedeutet dies keine generelle Einwilligung in die Nutzung seines Bildes in allen sozialen Medien des Unternehmens. Auch darf sein Bild dann nicht an andere Unternehmen zu eigenen Werbezwecken verkauft werden. Da Unterschriften nicht immer lesbar sind, sollte der Name des Unternehmens und vor allem der Name des Mitarbeiters vollständig in lesbarer Schrift in die Erklärung aufgenommen werden.
    
6. Schließlich muss sich aus der Einwilligung auch ergeben, auf welche Daten sich die Einwilligung bezieht. Wer damit einverstanden ist, dass ein Gruppenfoto im Kreis der Kollegen auf die Website kommt, möchte dort nicht zwingend auch mit Portrait und unter Namensnennung erscheinen. Gerade bei Bildern wird im Idealfall auf das konkrete Bild oder zumindest Aufnahmedatum und -ort verwiesen, um die Einwilligung ausreichend zu konkretisieren. Da der Namen ein weiteres personenbezogenes Datum ist, muss sich die Einwilligung natürlich auch darauf beziehen, wenn der Name ebenfalls unter dem Bild stehen soll.

Grundsätze gelten für jede Art der datenschutzrechtlichen Einwilligung

Die oben anhand des Fotos von Mitarbeitern dargestellten Anforderungen an eine rechtswirksame Einwilligung gelten auch für weitere Arten der Datenverarbeitung.

Allgemein bekannt ist sicherlich mittlerweile, dass Cookies von Websites nur mit ausdrücklicher Einwilligung der Website-Nutzer gesetzt werden dürfen, da auch hierbei personenbezogene Daten der Nutzer verarbeitet werden.
Weitere Datenverarbeitungsvorgänge, die nur mit gesonderter Einwilligung erlaubt sind, sind z. B. das Speichern des Führerscheins zu Prüfzwecken, Aufzeichnungen von Videocalls oder auch Onlineschulungen, Weitergabe von Kundendaten an andere Unternehmen und vieles mehr.

Haben Sie noch Fragen zur datenschutzkonformen Gestaltung Ihrer Einwilligungen oder wann eine solche erforderlich ist?
Unsere Berater stehen Ihnen gerne zur Beantwortung zur Verfügung.