Immer wieder kommen Fragen unserer Leser und Mitglieder, was denn nun bei der Nutzung von Bildern zu beachten sei, ganz besonders dann, wenn es sich um (ehemalige) Mitarbeiter handelt.
Da in letzter Zeit auch einige interessante Urteile ergangen sind, greifen wir dieses Thema auf, da es für Jede und Jeden von uns relevant und zu beachten ist.
Grobe Fakten zu Beginn. Also, dass man „fremde“ Bilder, z.B. aus dem Internet nicht so ohne weiters nutzen darf, haben wir schon mehrmals und schon lange vor der DSGVO behandelt, u.a. hier: https://ivva.at/millionenklage-wegen-foto-verwendung-nl-1416/
Was man da grundsätzlich zu beachten hat, haben wir hier zusammengefasst, um Abmahnungen und sogar Millionen-Klagen zu vermeiden: https://ivva.at/was-gilt-es-beim-verwenden-von-fotos-zu-beachten-nl-15b16/
Doch nun kommt auch noch die DSGVO dazu und die sich daraus ergebende Verpflichtung, personenbezogene und ganz besonders sensible Daten zu schützen.
Häufige Fragen dazu: Fällt ein Bild überhaupt unter „personenbezogene Daten“?
Weiters beantworten wir die Frage, ob man eine Einwilligung von Mitarbeitern einholen muss, wenn man deren Fotos auf der Webseite, sozialen Medien etc. verwenden möchte. Dazu schauen wir uns auch das Urheberrechtsgesetz, verweisen auf Muster-Verträge und sehen 2 interessante Urteile zum Thema an. Und geben Praxistipps, wie man sich in diesem Zusammenhang verhalten sollte.
Also zurück zur Frage: Fällt ein Bild überhaupt unter „personenbezogene Daten“?
Natürlich. Dazu fällt mir ein sehr gut verständlich geschriebener Beitrag im DER STANDARD ein, den ich unten unter den Quellen verlinkt habe. Darin gehen die beiden Autoren (Sascha Jung, Randolph Schwab) auch auf die Frage ein, ob man die Personen kennen muss, um von personenbezogenen Daten zu reden (Nein).
Den Beitrag kurz und einfach zusammengefasst: In dem Moment, wo das Bild nicht grob unscharf ist und die Person auf dem Bild erkennbar ist, handelt es sich um personenbezogene Daten. Das hat bereits der Europäische Gerichtshof 2014 unmissverständlich klargestellt: „Das von einer Kamera aufgezeichnete Bild einer Person fällt daher unter den Begriff der personenbezogenen Daten […], sofern es die Identifikation der betroffenen Person ermöglicht.“
Denn was macht eine Person besser identifizierbar, als durch ein Foto…
Nur wenn es sich etwa um ein Bild handeln, wo Sie z.B. im Urlaub etwa den Strand oder einen Sonnenuntergang fotografiert haben und sich dort auch Personen befinden, diese aber nicht deutlich erkennbar sind (unscharf, verdeckt, geringe Auflösung etc.), dann wird es sich wohl in diesen Fällen um keine personenbezogenen Daten handeln.
Gleiche Argumentation gilt wohl auch für Video-Aufnahmen. Daher auch hier unser Tipp: Achten Sie darauf, dass eventuell genutzte Videokameras nicht auch den öffentlichen Raum aufnehmen! Auch da ist es völlig unerheblich, ob Sie die Personen kennen oder nicht.
Nun zur häufig gestellten Frage: Muss ich eine Einwilligung meiner Mitarbeiter einholen, wenn ich deren Foto auf eine Webseite, auf soziale Medien, etc. stelle oder sonst wie verarbeite? Und was passiert, wenn diese Person aus dem Unternehmen ausscheidet?
Kurze Antwort: Natürlich. Lange Antwort: Nicht nur die DSGVO, sondern auch das Urheberrechtsgesetz kennt einen Bildnisschutz: Bitte genau lesen:
- 78.
(1) Bildnisse von Personen dürfen weder öffentlich ausgestellt noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Abgebildeten oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden.
Daher ist es unbedingt nötig, dass Sie auch von Mitarbeitern eine Zustimmung einholen. Die Fachgruppe „Werbung“ hat hier einige nützliche Musterverträge online gestellt, die öffentlich abrufbar sind und zwar hier…
Also Tipp: Wenn Sie Fotos von Mitarbeitern nutzen möchten, holen Sie deren Zustimmung schriftlich ein und regeln Sie auch, was passiert, wenn die Mitarbeiter ausscheiden.
Das ist reiner Selbstschutz, denn andernfalls drohen Strafen, wie meine Datenschutzkollegen von „MeineBerater.at“ recherchiert haben.
Tipp: „Mitarbeiter löschen“ oder 1.000 Euro DSGVO-Strafe!
„MeineBerater“ zitieren ein Urteil, nach dem bereits 2021 einer Klägerin 1.000 Euro Schadenersatz zugesprochen worden war (sie verlangte sogar 5.000 €). Was passierte? Die Klägerin hatte bei Beendigung des Dienstverhältnisses den Dienstgeber aufgefordert, ihre Daten von der Webseite zu entfernen. Tat er nicht sofort, daher neuerlich Aufforderung durch ihren Anwalt, Unterlassungserklärung. Als dann aber die Klägerin feststellte, dass sie weiterhin auf der Internetseite geführt wurde, kam es zu obigem Urteil auf Basis des Art. 82 DSGVO samt Schadenersatz in Höhe von 1.000 Euro. Das Urteil ist hier nachlesbar…
Eine ähnliche Problematik zeigt ein anderes, interessantes Urteil zu diesem Thema auf.
Konkret musste sich der Verwaltungsgerichtshof mit der Foto-Nutzung beschäftigen, nachdem ein Fußballverein zunächst die Lösch-Aufforderung durch die Datenschutzbehörde ignoriert hatte.
Konkret ging es um ein Foto, das während eines Fußballspiels 2015 aufgenommen wurde und von einem Spieler dem Verein zur Verfügung gestellt wurde, wie „MeineBerater.at“ recherchierten. Als der Spieler 2019 bemerkte, dass das Foto ohne seine Zustimmung online war, forderte er den Verein auf, es zu entfernen. Der Verein reagierte nicht, die Folge war eine Beschwerde bei der Datenschutzbehörde, diese entschied zugunsten des Spielers und ordnete die Löschung des Fotos innerhalb von 4 Wochen an, da sein Recht auf Löschung verletzt wurde und der Daten-Verantwortliche auch nicht auf die Löschanfrage reagiert hatte.
Der Sportverein legte Beschwerde ein und argumentierte, dass die Verarbeitung des Fotos für Zwecke der Spielerdatenverwaltung, etc. verwendet wurde. Das überzeugte das Bundesverwaltungsgericht (BVwG) nicht, insbesondere vor dem Hintergrund der Datenschutzgrundsätze und des Prinzips der Datenminimierung. Weiter ging es dann zum Verwaltungsgerichtshof (VwGH), der bestätigte: Die Verwendung des Fotos durch den Sportverein für die genannten Zwecke war nicht gerechtfertigt. Es hätte alternative Möglichkeiten gegeben, die genannten Zwecke des Vereins zu erfüllen, ohne das Foto zu verwenden. Daher war die Weigerung des Vereins, das Foto zu löschen, nicht legitim.
Somit wurde auch für diesen Bereich bestätigt, dass der Spieler ein Recht auf Löschung hat. Und auch Sportvereine und andere Organisationen die DSGVO einzuhalten haben.
Und ich schließe mich den Praxistipps meiner Kollegen von MeineBerater an:
- Stellen Sie sicher, dass Daten von Mitarbeitenden sofort nach Ende der Beschäftigung entfernt werden: Auf der Website, in Social Media, in Druckvorlagen oder auch veröffentlichten Studien, Berichten, etc. Außer, die betroffene Person stimmt der Weiterverwendung der Daten zu.
- Informieren Sie ihn oder sie, wenn Sie die Emailadresse für einen überschaubaren Zeitraum weiterhin für eingehende Emails aktiv lassen.
- Versenden Sie von dieser Emailadresse nur mehr automatisierte Verständigungen, dass die Person das Unternehmen verlassen hat. Keine Emails mit mehr an Inhalt!
Und erinnere daran, zu Beginn eine Einwilligung der Mitarbeiter einzuholen, dann sind Sie auf der sicheren Seite.
Nächste Woche sehen wir uns die Besonderheiten zum Thema „Ausweis“ näher an, denn auch der zählt zu den personenbezogenen Daten und auch dazu gibt es interessante Urteile, von denen wir lernen können.
Beste Grüße von Mag. Novotny und dem IVVA Team
Quellen:
- https://www.wko.at/oe/information-consulting/werbung-marktkommunikation/fotografie-und-werbung
- https://www.derstandard.at/story/2000124529661/auf-einem-foto-erkennbar-dann-sind-es-personenbezogene-daten?ref=nl
- https://www.ris.bka.gv.at/eli/bgbl/1936/111/P78/NOR12024485
Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung, für IVVA Mitglieder sogar zum Spezialpreis.
RA Mag. Stephan Novotny, Foto: Stephan Huger
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtsstraße 16/12