B2B-Projekte für Finanz- und Versicherungsbranche Mag. Günter Wagner
Counter / Zähler
Direkt zum Seiteninhalt

Praxis-Tipps für die Umsetzung der DSGVO in der Praxis?

B2B-Newsletter > NL 1/25
Bilder und personenbezogene Daten - besonders von Mitarbeitern:
Welche Folgen brachte die DSGVO?

Immer wieder kommen Fragen, was denn nun bei der Nutzung von Bildern zu beachten sei, ganz besonders dann, wenn es sich um (ehemalige) Mitarbeiter handelt.
Da in letzter Zeit auch einige interessante Urteile ergangen sind, greifen wir dieses Thema auf, da es für Jede und Jeden von uns relevant und zu beachten ist.
Grobe Fakten zu Beginn. Also, dass man „fremde“ Bilder, z.B. aus dem Internet nicht so ohne weiters nutzen darf, haben wir bereits vor vielen Jahren und schon lange vor der DSGVO behandelt. Und zwar unter dem Titel "Millionen-Klage wegen Foto-Nutzung" hier... und hier...

Doch nun kommt auch noch die DSGVO dazu und die sich daraus ergebende Verpflichtung, personenbezogene und ganz besonders sensible Daten zu schützen.
Wir sehen uns also näher an, was versteht die DSGVO unter personenenbezogenen Daten und fällt ein Bild darunter? Jedes Bild?
Und klären die Frage, ob Fotos von Mitarbeitern, besonders von Ehemaligen, eine besonders "heikle" Kategorie sind? Man hört immer von Klagsdrohungen. Wie kann man dieses Haftungspotential vermeiden?

Unten anbei folgt nun der Praxisbeitrag, den wir mit RA Mag. Stephan Novotny erstellt haben.

Sie möchten auch künftig topaktuell informiert werden?
Und - bis auf Widerruf - unsere kostenlosen Info-Newsletter zugesandt erhalten?
Dann senden Sie uns Ihre Zustimmung per Mail mit dem Betreff "Ja zu Infos" an g.wagner@b2b-projekte.at!
Bilder und personenbezogene Daten - besonders von Mitarbeitern:
Welche Folgen brachte die DSGVO?
 
Immer wieder kommen Fragen, was denn nun bei der Nutzung von Bildern zu beachten sei, ganz besonders dann, wenn es sich um (ehemalige) Mitarbeiter handelt.
 
Da in letzter Zeit auch einige interessante Urteile ergangen sind, greifen wir dieses Thema auf, da es für Jede und Jeden von uns relevant und zu beachten ist.
 
Grobe Fakten zu Beginn. Also, dass man „fremde“ Bilder, z.B. aus dem Internet nicht so ohne weiters nutzen darf, haben wir bereits vor vielen Jahren und schon lange vor der DSGVO behandelt. Und zwar unter dem Titel "Millionen-Klage wegen Foto-Nutzung" hier... und hier...
 
Doch nun kommt auch noch die DSGVO dazu und die sich daraus ergebende Verpflichtung, personenbezogene und ganz besonders sensible Daten zu schützen.
 
Wir sehen uns also näher an, was versteht die DSGVO unter personenenbezogenen Daten und fällt ein Bild darunter? Jedes Bild?
Und klären die Frage, ob Fotos von Mitarbeitern, besonders von Ehemaligen, eine besonders "heikle" Kategorie sind? Man hört immer von Klagsdrohungen. Wie kann man dieses Haftungspotential vermeiden?


Erste häufige Fragen dazu: Fällt ein Bild überhaupt unter „personenbezogene Daten“?
Weiters beantworten wir die Frage, ob man eine Einwilligung von Mitarbeitern einholen muss, wenn man deren Fotos auf der Webseite, sozialen Medien etc. verwenden möchte. Dazu schauen wir uns auch das Urheberrechtsgesetz, verweisen auf Muster-Verträge und sehen 2 interessante Urteile zum Thema an. Und geben Praxistipps, wie man sich in diesem Zusammenhang verhalten sollte.
 
Also zurück zur Frage: Fällt ein Bild überhaupt unter „personenbezogene Daten“?
Natürlich. Dazu fällt mir ein sehr gut verständlich geschriebener Beitrag im DER STANDARD ein, den ich unten unter den Quellen verlinkt habe. Darin gehen die beiden Autoren (Sascha Jung, Randolph Schwab) auch auf die Frage ein, ob man die Personen kennen muss, um von personenbezogenen Daten zu reden (Nein).
 
Den Beitrag kurz und einfach zusammengefasst: In dem Moment, wo das Bild nicht grob unscharf ist und die Person auf dem Bild erkennbar ist, handelt es sich um personenbezogene Daten. Das hat bereits der Europäische Gerichtshof 2014 unmissverständlich klargestellt: „Das von einer Kamera aufgezeichnete Bild einer Person fällt daher unter den Begriff der personenbezogenen Daten […], sofern es die Identifikation der betroffenen Person ermöglicht.“
Denn was macht eine Person besser identifizierbar, als durch ein Foto…
 
Nur wenn es sich etwa um ein Bild handeln, wo Sie z.B. im Urlaub etwa den Strand oder einen Sonnenuntergang fotografiert haben und sich dort auch Personen befinden, diese aber nicht deutlich erkennbar sind (unscharf, verdeckt, geringe Auflösung etc.), dann wird es sich wohl in diesen Fällen um keine personenbezogenen Daten handeln.
 
Gleiche Argumentation gilt wohl auch für Video-Aufnahmen. Daher auch hier unser Tipp: Achten Sie darauf, dass eventuell genutzte Videokameras nicht auch den öffentlichen Raum aufnehmen! Auch da ist es völlig unerheblich, ob Sie die Personen kennen oder nicht.
 
Nun zur häufig gestellten Frage: Muss ich eine Einwilligung meiner Mitarbeiter einholen, wenn ich deren Foto auf eine Webseite, auf soziale Medien, etc. stelle oder sonst wie verarbeite? Und was passiert, wenn diese Person aus dem Unternehmen ausscheidet?
 
Kurze Antwort: Natürlich. Lange Antwort: Nicht nur die DSGVO, sondern auch das Urheberrechtsgesetz kennt einen Bildnisschutz: Bitte genau lesen:
     
  • 78.
             (1) Bildnisse von Personen dürfen weder öffentlich ausgestellt noch auf eine andere Art, wodurch sie der Öffentlichkeit zugänglich gemacht werden, verbreitet werden, wenn dadurch berechtigte Interessen des Abgebildeten oder, falls er gestorben ist, ohne die Veröffentlichung gestattet oder angeordnet zu haben, eines nahen Angehörigen verletzt würden.
 
Daher ist es unbedingt nötig, dass Sie auch von Mitarbeitern eine Zustimmung einholen. Die Fachgruppe „Werbung“ hat hier einige nützliche Musterverträge online gestellt, die öffentlich abrufbar sind und zwar hier…
 

Also Tipp: Wenn Sie Fotos von Mitarbeitern nutzen möchten, holen Sie deren Zustimmung schriftlich ein und regeln Sie auch, was passiert, wenn die Mitarbeiter ausscheiden.
 
Das ist reiner Selbstschutz, denn andernfalls drohen Strafen, wie meine Datenschutzkollegen von „MeineBerater.at“ recherchiert haben.
 
Tipp: „Mitarbeiter löschen“ oder 1.000 Euro DSGVO-Strafe!
 
„MeineBerater“ zitieren ein Urteil, nach dem bereits 2021 einer Klägerin 1.000 Euro Schadenersatz zugesprochen worden war (sie verlangte sogar 5.000 €). Was passierte? Die Klägerin hatte bei Beendigung des Dienstverhältnisses den Dienstgeber aufgefordert, ihre Daten von der Webseite zu entfernen. Tat er nicht sofort, daher neuerlich Aufforderung durch ihren Anwalt, Unterlassungserklärung. Als dann aber die Klägerin feststellte, dass sie weiterhin auf der Internetseite geführt wurde, kam es zu obigem Urteil auf Basis des Art. 82 DSGVO samt Schadenersatz in Höhe von 1.000 Euro. Das Urteil ist hier nachlesbar…

Eine ähnliche Problematik zeigt ein anderes, interessantes Urteil zu diesem Thema auf.
Konkret musste sich der Verwaltungsgerichtshof mit der Foto-Nutzung beschäftigen, nachdem ein Fußballverein zunächst die Lösch-Aufforderung durch die Datenschutzbehörde ignoriert hatte.
 
Konkret ging es um ein Foto, das während eines Fußballspiels 2015 aufgenommen wurde und von einem Spieler dem Verein zur Verfügung gestellt wurde, wie „MeineBerater.at“ recherchierten. Als der Spieler 2019 bemerkte, dass das Foto ohne seine Zustimmung online war, forderte er den Verein auf, es zu entfernen. Der Verein reagierte nicht, die Folge war eine Beschwerde bei der Datenschutzbehörde, diese entschied zugunsten des Spielers und ordnete die Löschung des Fotos innerhalb von 4 Wochen an, da sein Recht auf Löschung verletzt wurde und der Daten-Verantwortliche auch nicht auf die Löschanfrage reagiert hatte.
 
Der Sportverein legte Beschwerde ein und argumentierte, dass die Verarbeitung des Fotos für Zwecke der Spielerdatenverwaltung, etc. verwendet wurde. Das überzeugte das Bundesverwaltungsgericht (BVwG) nicht, insbesondere vor dem Hintergrund der Datenschutzgrundsätze und des Prinzips der Datenminimierung. Weiter ging es dann zum Verwaltungsgerichtshof (VwGH), der bestätigte: Die Verwendung des Fotos durch den Sportverein für die genannten Zwecke war nicht gerechtfertigt. Es hätte alternative Möglichkeiten gegeben, die genannten Zwecke des Vereins zu erfüllen, ohne das Foto zu verwenden. Daher war die Weigerung des Vereins, das Foto zu löschen, nicht legitim.
 
Somit wurde auch für diesen Bereich bestätigt, dass der Spieler ein Recht auf Löschung hat. Und auch Sportvereine und andere Organisationen die DSGVO einzuhalten haben.
 
Und ich schließe mich den Praxistipps meiner Kollegen von MeineBerater an:
     
  • Stellen Sie sicher, dass Daten von Mitarbeitenden sofort nach Ende der Beschäftigung entfernt werden: Auf der Website, in Social Media, in Druckvorlagen oder auch veröffentlichten Studien, Berichten, etc. Außer, die betroffene Person stimmt der Weiterverwendung der Daten zu.
    •  
  • Informieren Sie ihn oder sie, wenn Sie die Emailadresse für einen überschaubaren Zeitraum weiterhin für eingehende Emails aktiv lassen.
    •  
  • Versenden Sie von dieser Emailadresse nur mehr automatisierte Verständigungen, dass die Person das Unternehmen verlassen hat. Keine Emails mit mehr an Inhalt!
 
Und erinnere daran, zu Beginn eine Einwilligung der Mitarbeiter einzuholen, dann sind Sie auf der sicheren Seite.
 
Nächste Woche sehen wir uns die Besonderheiten zum Thema „Ausweis“ näher an, denn auch der zählt zu den personenbezogenen Daten und auch dazu gibt es interessante Urteile, von denen wir lernen können.
 
Beste Grüße von Mag. Novotny und G.Wagner
 
Quellen:


Alle bisherigen IDD und DSGVO-Praxisbeiträge von Mag. Novotny finden Sie hier... und können Sie als PDF anfordern. Dazu einfach ein E-mail an g.wagner@b2b-projekte.at mit Betreff "Ja zu Infos".


RA Mag. Stephan Novotny, copyright Foto: Stephan Huger
 
 
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtstraße 16 / 12



Sie möchten auch künftig topaktuell informiert werden?
Und - bis auf Widerruf - unsere kostenlosen Info-Newsletter zugesandt erhalten?
Dann senden Sie uns Ihre Zustimmung per Mail mit dem Betreff "Ja zu Infos" an g.wagner@b2b-projekte.at!
Zurück zum Seiteninhalt