Nach dem Fotografen Ansel Adams gibt es „nichts Schlimmeres als ein brillantes Bild eines schlechten Konzepts“. Dieser Grundsatz gilt nicht nur für die Fotografie im Allgemeinen, sondern auch für den datenschutzrechtlichen Umgang mit Bildaufnahmen.
Die Zeiten, in denen Unternehmen Fotografien von Beschäftigten einfach verwenden konnten, sind längst vorbei. Der Weg vom Konzept zum Bild ist heute aufgrund der Rechenschaftsverpflichtung nach Art. 5 Abs. 2 Datenschutzgrundverordnung (DSGVO) der Weg vom Konzept zum Bild, dokumentiert in einer Richtlinie zur Verwendung von Beschäftigtenfotografien für jede Art von Bild – egal ob brillant oder weniger brillant.
Fluchtpunkt: Rechtsgrundlagen
Die Erstellung dieser Richtlinien zur Verwendung von Beschäftigtenfotografien ist für Unternehmen allerdings eine erhebliche Herausforderung. Erschwerend ist dabei zu berücksichtigen, dass Grundsätze zur Verwendung von Beschäftigtenfotografien, wie sie etwa durch das Urteil des BAG vom 11. Dezember 2014 innerhalb des Anwendungsbereichs des KUG/BDSG a.F. festgelegt wurden, nur noch bedingt als Orientierung genutzt werden können. Insbesondere die höchstrichterlich geprägte Möglichkeit zur Einschränkung des Widerrufs der Einwilligung ist heute bedenklich und nicht mehr ratsam.
Da Fotografien personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO sind und damit dem Anwendungsbereich der DSGVO unterfallen, muss bei der Verarbeitung von Fotografien auf die Rechtsgrundlagen der DSGVO zurückgegriffen werden.
Zur Rechtfertigung kommen maßgeblich die Einwilligung der betroffenen Personen nach Art. 6 Abs. 1 Satz 1 lit. a DSGVO und das berechtigte Interesse des Unternehmens nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO in Betracht. Während die jederzeit widerrufliche Einwilligung für jeden Beschäftigten gesondert dokumentiert werden muss, bedarf es im Kontext des Art. 6 Abs. 1 Satz 1 lit. f DSGVO einer dokumentierten Interessenabwägung samt Widerspruchsmöglichkeit. Hierbei bietet sich jedenfalls ein ergänzender Rückgriff auf bekannte und bewährte Auslegungsgrundsätze des KUG an.
Betriebsintern ist zudem an § 26 BDSG n.F. zu denken. Ist die Verarbeitung der Fotografie im Zusammenhang mit dem Beschäftigungsverhältnis erforderlich (§ 26 Abs. 1 Satz 1 Var. 2, Var. 3 BDSG n.F.), liegt eine weitere Rechtsgrundlage vor. Ein denkbarer Anwendungsfall ist dabei das zu Verifizierungszwecken erforderliche Foto auf dem Betriebsausweis.
Aufsichtsbehördliche Perspektiven
Nach Auffassung einiger Aufsichtsbehörden ist die Einwilligung die zentrale Rechtsgrundlage für die Verarbeitung von Fotografien. Ob daneben auch ein berechtigtes Interesse des Unternehmens Bestand hat, wird von den Behörden unterschiedlich bewertet.
Während sich die Landesbeauftragten Rheinland-Pfalz und Baden-Württemberg dahingehend positionieren, dass „[…] kein Weg an der Einwilligung des Abgebildeten [vorbeiführe]“, geht das Bayerische Landesamt für Datenschutzaufsicht davon aus, dass eine Veröffentlichung von Beschäftigtenfotografien im Internet auch nach einer entsprechenden Interessenabwägung zulässig sei. Regelrecht dankbar können Unternehmen sein, dass das ULD Schleswig-Holstein weiterhin vertritt, dass die Einwilligung im Beschäftigtenverhältnis keinen Bestand haben könne, da es stets an der Freiwilligkeit mangle.
Im Umkehrschluss bleibt dann aber nur noch der Rückgriff auf das berechtigte Interesse, sofern man Unternehmen das Recht zur Verarbeitung von Beschäftigtenfotografien nicht in Gänze absprechen möchte. Bundesweit ist damit gewiss, dass derzeit nichts gewiss ist: Eine einheitliche Linie der Aufsichtsbehörden zur Verwendung von Fotografien ist nicht erkennbar, höchstrichterliche Rechtsprechung zur Auslegung der potentiellen Rechtsgrundlagen fehlt bislang. Was also tun?
Fokus: Richtlinie zur Verwendung von Beschäftigtenfotografien
Der Weg ist bundesweit durch viele Unternehmen geebnet, die sich in diesem Kontext bereits aufgestellt haben. Es braucht ein durchdachtes, dokumentiertes Konzept, welches Datenschützer „Richtlinie zur Verwendung von Beschäftigtenfotografien“ nennen.
Dabei müssen Fotografien zunächst in sog. „Cluster“ eingeordnet werden. Diese Cluster benennen Art des Bildes, Verwendungszweck und das Veröffentlichungsmedium. Wenige Cluster werden ausnahmslos mit einer Einwilligung rechtskonform umsetzbar sein (Portraitfotos, gezielte Aufnahmen der betroffenen Person, etc.). Viele andere Veröffentlichungen können hiervon abweichend auf das berechtigte Interesse gestützt werden („Beiwerk“, Gesamtgeschehen intern/extern, Personen des öffentlichen Lebens, etc.).
Zudem sollte klar und verständlich festgehalten werden, wie betroffene Personen vorab zu informieren sind (schriftlich, Aushang, E-Mail, Webseite, QRCode), wie die Freiwilligkeit durch frühestmögliche Information belegt und wie zwischen einwilligenden und nicht einwilligenden Personen bei Veranstaltungen differenziert wird. Erfahrungsgemäß werden Konzepte und Richtlinien durch Aufsichtsbehörden begünstigend berücksichtigt.
Darüber hinaus ist absehbar, dass sich auch Gerichte zunehmend mit der (rechtswidrigen) Veröffentlichung etwaiger Fotografien beschäftigen werden. Dass Unternehmen auch in Zukunft lediglich Schadenersatzforderungen in Höhe von EURO 1.000,00 befürchten müssen, ist abwegig – zumal der erheblich höhere Bußgeldkatalog der DSGVO droht.
Über die Autoren:
RA Markus Säugling
Gründungspartner von MAGELLAN Rechtsanwälte
und bundesweit als Dozent tätig
RA Dr. Martin Scheurer
Senior Associate bei MAGELLAN Rechtsanwälte
und Publizist zum Thema Datenschutzrecht