Legal Stuff 034 – Mitarbeiterfotos auf der Homepage (inkl. DSGVO)

itunes_subscribe_button

bkeulfn

Darf ich Fotos meiner Mitarbeiter auf die Unternehmenshomepage stellen?

Ja, aber nur mit Einwilligung des Mitarbeiters / der Mitarbeiterin, die schriftlich vorliegen sollte. Das ergibt sich aus § 22 KUG, das geht nach BAG dem BDSG vor – und ab 25.5.2018 aus der DSGVO, den Bilder sind personenbezogene Daten (und Namen natürlich auch). Die DSGVO geht nationalem Recht vor. Da kommen auch einige Info-Pflichten dazu (Art. 13 DSGVO). Und mit Einwilligungen nach der DSGVO ist das so eine Sache: Einwilligungen, die vor dem „Stichtag“ eingeholt wurden, gelten nur weiter, wenn sie der DSGVO entsprechen. Also: Ab sofort die nötigen Informationen geben. Das sind:

Die DSGVO definiert Einwilligung als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“ uns stellt folgende Voraussetzungen auf:

  • Einwilligung muss nachweisbar sein, Art 7 Abs. 1 DSGVO
  • Wenn noch irgendetwas außer der Einwilligung in dem Dokument geregelt wird, gelten besondere Anforderungen. Also: Homepage-Einwilligung als gesonderte Erklärung.
  • Hinweis auf Widerrufsrecht, Widerruf „so einfach wie die Erklärung“
  • Freiwilligkeit der Einwilligung: Geht das im Arbeitsverhältnis?

… und das ist noch nicht alles. Denn wenn ich den Mitarbeiter fotografiere/fotografieren lasse, erhebe ich ja seine personenbezogenen Daten (Bild) bei ihm. Das heißt nach DSGVO (Art. 13):

  • Name und die Kontaktdaten des Verantwortlichen (das Unternehmen)
  • Kontaktdaten des Datenschutzbeauftragten (wenn es einen gibt)
  • die Zwecke, für die das Foto verwendet wird – und zwar alle! Hier bitte ganz besonders sorgfältig formulieren, da die Einwilligung nur für die genannten Zwecke gilt
  • die Rechtsgrundlage der Datenverarbeitung. Das ist ausnahmsweise mal einfach – das ist die Einwilligung
  • Wenn ich die Daten weitergeben will (also zB an Konzernunternehmen, wenn ein anderes Unternehmen die Website „macht“): die Empfänger oder Kategorien von Empfängern
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie weitere Informationen zum Datenschutz dort (bei Homepage weniger relevant)

und auch das war’s noch nicht. Infos benötigt der Mitarbeiter auch über:

  • die Dauer, für die die Fotos gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit. Letzteres ist neu und besagt: Der Mitarbeiter hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln (Art 20 DSGVO).
  • das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Kontaktdaten der Aufsichtsbehörde (findest du hier)
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
  • dass keine automatisierte Entscheidungsfindung erfolgt (falls doch, Hinweis darauf und weitere Infos)

Ist da nicht vieles selbstverständlich? Ja. ABER: Zwar muss ich nicht informieren, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Nur: Ich als Verwender der Daten, also Betreiber der Homepage, muss beweisen, dass der Mitarbeiter alle Infos tatsächlich hatte, die ich in der Erklärung nicht gebe. Und da bin ich schnell der „Gekniffene“. Und bei den massiv erhöhten Bußgeldern sollten man das vermeiden.

Übrigens: Die Foto-Aktion bitte unbedingt ins Verarbeitungsverzeichnis aufnehmen und die entsprechenden Prozesse definieren. Du hast doch schon so ein Verzeichnis, oder?

 

Beitragsbild: © depositedhar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.