Fotos sind aus der modernen Unternehmenskommunikation, dem unverzichtbaren Employer Branding und einer professionellen Außendarstellung nicht mehr wegzudenken. Ob auf der Corporate-Website, in den Social-Media-Kanälen oder in internen Präsentationen: Bilder transportieren Emotionen, schaffen Authentizität und prägen die Corporate Identity. Doch hinter jedem Schnappschuss, auf dem eine Person identifizierbar abgebildet ist, verbirgt sich eine Verarbeitung personenbezogener Daten. Hier gelten die strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) und mit das in Deutschland zusätzlich relevante Recht am eigenen Bild (§ 22 KunstUrhG).
In diesem Blogbeitrag erfahren Sie, was Ihr Unternehmen beim Anfertigen und Veröffentlichen von Mitarbeiterfotos beachten muss und wie Sie rechtssicher Datenschutzverstöße vermeiden können.
1. Datenschutz bei Fotoaufnahmen: Zwei relevante Rechtsbereiche
Der rechtssichere Umgang mit Fotos in Unternehmen erfordert die Einhaltung zweier unterschiedlicher, sich ergänzender Rechtsnormen.
1.1 Die Verarbeitung von personenbezogenen Daten gemäß DSGVO
Ein Foto, auf dem eine natürliche Person erkannt werden kann, gilt unzweifelhaft als personenbezogenes Datum im Sinne der DSGVO. Für die Erstellung, Speicherung und Veröffentlichung dieser Aufnahme benötigt das Unternehmen als Verantwortlicher zwingend eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Die Wahl dieser Grundlage ist unmittelbar an den verfolgten Zweck geknüpft.
Zumeist wird als Rechtsgrundalge das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Unternehmens an seiner Außenwirkung und der internen Kommunikation herangezogen. Hier ist allerdings zu beachten, dass es einer dokumentierten Interessensabwägung zwischen dem Interesse des Unternehmens und dem Interesse der fotografierten Mitarbeiter bedarf. Das Interesse des betroffenen Mitarbeiters darf hier nicht überwiegen. Bei rein interner Kommunikation (z.B. im Intranet) überwiegt zumeist das Interesse des Unternehmens. Unbeschadet davon hat der betroffene Mitarbeiter allerdings jederzeit das Recht, der Verarbeitung aus besonderen Gründen zu widersprechen (Art. 21 DSGVO).
Eine andere Rechtslage ergibt sich, wenn die Bildaufnahmen nicht innerhalb des Unternehmens verbleiben. Soll das Bild beispielsweise für öffentliche Werbung auf der Website, in Broschüren oder auf Social Media verwendet werden, führt meist kein Weg an der Einwilligung der betroffenen Person vorbei. Aber Achtung: Die Einwilligung muss hier freiwillig erfolgen, dem Mitarbeiter dürfen also keine Nachteile drohen, wenn er die Einwilligung verweigert. Auch hat der Mitarbeiter das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Das heißt, dass Sie im Falle des Widerrufs beispielsweise das Foto des Mitarbeiters von der Webseite entfernen müssen.
1.2 Datenschutz bei Fotoaufnahmen und das Recht am eigenen Bild
Unabhängig von der DSGVO existiert in Deutschland das Recht am eigenen Bild. Dieses fundamentale Persönlichkeitsrecht besagt, dass Bildnisse einer Person grundsätzlich nur mit deren ausdrücklicher Einwilligung verbreitet oder öffentlich zur Schau gestellt werden dürfen. Selbst wenn ein Unternehmen argumentieren könnte, die Aufnahme sei DSGVO-konform erstellt worden (z. B. auf Basis des berechtigten Interesses für interne Zwecke), hindert das Recht am eigenen Bild die Veröffentlichung nach außen, solange keine klare Zustimmung vorliegt.
Eine Veröffentlichung ohne die konkrete Zustimmung ist nur in Ausnahmefällen erlaubt. Die Person müsste entweder nur „Beiwerk“ der Aufnahme sein (also zufällig und unwichtig in einer Landschaft oder einem Gebäude abgebildet) oder Teil einer großen Menschenmenge auf einem Event, bei dem das Ereignis selbst und nicht die einzelne Person im Vordergrund steht. Gerade bei organisierten Unternehmensveranstaltungen oder Porträts ist diese Ausnahme jedoch sehr eng auszulegen und bietet keine sichere Grundlage für das HR-Marketing.
2. Die Königslösung: Dokumentiertes und qualifiziertes Einverständnis
In den allermeisten Anwendungsfällen, insbesondere wenn es um die Nutzung von Bildern für Marketingzwecke oder das Employer Branding geht, ist die schriftliche, ausdrückliche Einwilligung der Mitarbeiter oder abgebildeten Personen der sicherste zur rechtssicheren Fotodokumentation.
Die Einwilligung muss nach den Vorgaben der DSGVO strengen Anforderungen genügen, um wirksam zu sein. Sie muss erstens auf Freiwilligkeit beruhen, was im Arbeitsverhältnis, wo ein Abhängigkeitsverhältnis besteht, besonders kritisch zu prüfen ist. Die Weigerung eines Mitarbeiters, einem Foto-Shooting zuzustimmen, darf unter keinen Umständen zu negativen Konsequenzen für ihn führen. Zweitens muss die Zustimmung bestimmt sein. Das bedeutet, dass die Erklärung klar definieren muss, welche Bilder verwendet werden, wofür (Zweckbindung, z. B. nur für die Karriere-Seite) und wie lange die Einwilligung gelten soll. Eine pauschale Zustimmungserklärung, die alle zukünftigen Fotos für alle erdenklichen Zwecke freigibt, ist rechtlich angreifbar.
Die dritte und vielleicht wichtigste Anforderung ist die Widerrufbarkeit. Die betroffene Person muss jederzeit und formlos das Recht haben, ihre erteilte Einwilligung zu widerrufen. Für das Unternehmen bedeutet dies, dass es in der Lage sein muss, den Widerruf sofort umzusetzen. Sind Fotos bereits auf Social-Media-Kanälen oder in Print-Broschüren veröffentlicht, kann die sofortige Löschung eine erhebliche organisatorische Herausforderung darstellen.
Hinzu kommt die Nachweispflicht des Unternehmens: Im Streitfall müssen Sie lückenlos belegen können, wann, wofür und unter welchen Bedingungen die Einwilligung ursprünglich erteilt wurde. Wer hier auf unübersichtliche Papierformulare oder E-Mail-Korrespondenz setzt, riskiert im Auditfall nicht nur den Verlust der Beweiskraft, sondern auch erhebliche Bußgelder.
Alles, was Sie sonst zum Thema Einwilligung wissen müssen, haben wir Ihnen in unserem Blog-Beitrag zum Thema Einwilligung zusammengestellt. Die datenschutzrechtliche Einwilligung – PLANIT // PRIMA
3. Datenschutz bei Fotoaufnahmen in der Praxis
3.1 Datenschutz bei Fotoaufnahmen mit externen Dienstleistern
Wird ein professioneller Fotograf oder eine Marketingagentur beauftragt, um Fotos von Ihren Mitarbeitern zu erstellen und diese zu bearbeiten, kann eine Auftragsverarbeitung (AV) nach Art. 28 DSGVO vorliegen. Bevor jegliche personenbezogene Daten an den Dienstleister weitergegeben oder Aufnahmen zur Bearbeitung überlassen werden, muss ein schriftlicher oder elektronischer Auftragsverarbeitungsvertrag abgeschlossen werden. Dieser Vertrag regelt die Pflichten des Dienstleisters und sichert ab, dass das Datenschutzniveau auch außerhalb Ihres Unternehmens den Anforderungen der DSGVO entspricht.
Eine Übersicht zum Umgang mit Auftragsverarbeitung haben wir Ihnen hier erstellt: Auftragsverarbeitungsvertrag (AVV) – PLANIT // PRIMA
3.2 Video-Konferenzen und die digitale Privatsphäre
Auch in der digitalen Kommunikation lauern datenschutzrechtliche Gefahren. Die Aufzeichnung einer Besprechung, an der Mitarbeiter oder externe Partner teilnehmen, bedarf ausnahmslos der Einwilligung aller Beteiligten. Darüber hinaus sollten Mitarbeiter bei der Nutzung von Homeoffice-Hintergründen aktiv darauf achten, dass sie keine unzulässigen Einblicke in ihre private Sphäre oder vertrauliche Informationen preisgeben. Der Schutz der Privatsphäre endet nicht an der Bürotür, sondern muss auch im virtuellen Raum gewahrt bleiben.
4. Fazit
Im Zeitalter des visuellen HR-Marketings sind Fotos unverzichtbar, doch sie bieten eine der häufigsten Angriffsflächen für teure Datenschutzbeschwerden und Reputationsschäden. Die Foto-Compliance ist nur dann gewährleistet, wenn Sie eine vorausschauende Strategie implementieren. Diese umfasst stets die klare Zweckbestimmung der Aufnahme, die dokumentierte Einwilligung für alle externen Marketingzwecke und ein zuverlässiges Management des Widerrufs- und Widerspruchrechts.
Investitionen in die saubere Dokumentation und die Datenschutz-Compliance sind keine lästige Pflicht, sondern die unabdingbare Grundlage für einen glaubwürdigen und rechtssicheren Markenauftritt. Sorgen Sie dafür, dass Ihr Datenschutz-Management die komplexen Anforderungen an die Bildnutzung zentral und nachweisbar erfüllen kann.
| Sie benötigen Unterstützung im Datenschutz? Wir helfen Ihnen gerne. Erstellen Sie jetzt mit // PRIMA DSGVO-konforme Dokumentationen. Alles an einem Ort in unserem All-in-One-Tool. Jetzt 14 Tage kostenlos testen anfordern. |
