Die datenschutzrechtliche Erlaubnis einerseits und das Anschauen von Fotos potenzieller Bewerberinnen im Internet andererseits

Wann darf ein Arbeitgeber Fotos von Mitarbeitenden auf seiner Homepage veröffentlichen?
Darf er bereits von den Mitarbeitenden selbst veröffentlichte Fotos ohne weiteres verwenden? Darf er sich über solche von den Mitarbeitenden selbst veröffentlichte Fotos informieren?

Vorbemerkung

Viele Unternehmen veröffentlichen auf Ihrer Unternehmenshomepage Fotos ihrer Arbeitnehmer und Arbeitnehmerinnen, um eine persönlichere Präsentation der Firma gegenüber Kunden und Geschäftspartnern zu erreichen indem sich eine Anruferin z. B bereits vorab ein Bild von ihrem Gesprächspartner machen kann, oder um allgemein auf Außenstehende weniger anonym zu wirken. Auf diese Gründe komme ich weiter unten noch zu sprechen. Auf Seiten der Arbeitnehmerinnen wird dies häufig als eine sehr zwiespältige Angelegenheit wahrgenommen, da oft Fragen mitschwingen wie etwa: „Muss ich da jetzt auch mitmachen? Was ist, wenn ich mich weigere? Darf die Firma das einfach ohne mich zu fragen?  Darf der Arbeitgeber ein Foto von mir verwenden, welches ich selbst ins Internet gestellt habe?

Datenschutzrechtlich gesehen handelt es sich bei einem Foto auf dem eine natürliche Person klar und eindeutig zu erkennen ist um ein besonders schützenswertes biometrisches Datum zur eindeutigen Identifizierung einer natürlichen Person gemäß Art. 9 Abs. 1 DSGVO, welches nur unter bestimmten, über die Vorgaben des Art. 6 DSGVO hinausgehenden Voraussetzungen verarbeitet werden darf.

Voraussetzungen für die Rechtmäßigkeit der Verarbeitung

Zunächst verbietet Art. 9 Abs. 1 DSGVO die Verarbeitung solcher Daten grundsätzlich:

Auszug: „Die Verarbeitung personenbezogener Daten … sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person… ist untersagt.“

Hiermit soll der besonderen Sensibilität dieser Art von Daten für die betroffenen Personen und einer erhöhten eventuellen Missbrauchs Gefahr Rechnung getragen werden.

(S. hierzu auch: Nutzung von biometrischen Daten bei der Arbeits­zeit­erfassung - dacuro GmbH;
Bezahlen mit Fingerabdruck - über das unkontrollierbare Risiko der Verwendung von biometrischen Daten - dacuro GmbH)

Der Ausweg, dass hier das Haushaltsprivileg greifen könnte und somit die DSGVO nicht anwendbar wäre ist hier versperrt. Unternehmen können sich grundsätzlich nicht auf diese Ausnahme von der Anwendbarkeit der DSGVO berufen. (S. hierzu: Darf man einfach so jemanden fotografieren ohne um Erlaubnis zu fragen? - dacuro GmbH)

Es bleiben also nur die Ausnahmen, die in Art. 9 Abs 2 DSGVO direkt genannt werden als Rechtsgrundlage für die Veröffentlichung.. Dies ist einmal das Vorliegen einer Einwilligung gemäß Art. 9 Abs. 2 lit (a), oder eine Veröffentlichung der Fotos durch die betroffene Person selbst gemäß Art. 9 Abs. 2 lit (e), die dann vom Arbeitgeber per „copy and paste“ ohne zu Fragen genutzt werden würden.

Die Einwilligung der Arbeitnehmerin in die Veröffentlichung ihres Fotos auf der Unternehmenshomepage

Neben den allgemeinen Voraussetzungen für die Rechtmäßigkeit einer Einwilligung:

• Zweck – wozu wird die Einwilligung benötigt
• Genaue Reichweite – worin wird genau eingewilligt
• Hinweis auf Widerrufsmöglichkeit
• Einer einfachen Ausübungsmöglichkeit des Widerrufs – per Mail, per Anruf etc.
• Darstellung eventueller Konsequenzen bei Verweigerung der Einwilligung
• Freiwilligkeit
• Die Information des Betroffenen gemäß Art. 13 DSGVO (Verantwortliche Stelle etc.)

ist hier im Einwilligungstext besonders darauf hinzuweisen, dass das veröffentlichte Foto jederzeit weltweit betrachtet oder auch heruntergeladen werden kann. Dieser Umstand wird besonders bedeutsam, wenn man bedenkt, dass dies auch tatsächlich geschieht, und zwar in einem bis dato nicht für möglich gehaltenen Ausmaß. So sammelt die Firma Clearview weltweit alle Gesichtsfotos von Menschen, deren sie nur irgendwie im Internet habhaft werden kann und stellt diese Fotos ihren Kunden für Zwecke der Gesichtserkennung zur Verfügung. Dass hierzu auch Diktaturen und Geheimdienste  gehören, macht die Sache nicht besser. Zur Frage, ob diese Vorgehensweise rechtmäßig ist S. weiter Unten im Kapitel Erweiterung. Dort sind auch links zu Presseberichten aufgeführt.

Ein solcher Hinweis im Text der Einwilligung könnte etwa folgendermaßen aussehen:

„Informationen im Internet sind weltweit zugänglich und können mit Suchmaschinen gefunden und mit anderen Informationen verknüpft werden, woraus sich unter Umständen Persönlichkeitsprofile über mich erstellen lassen. Ins Internet gestellte Informationen, einschließlich Fotos, können problemlos kopiert und weiterverbreitet werden. Dies kann dazu führen, dass im Internet veröffentlichte Informationen auch nach ihrer Löschung auf der Ursprungs-Seite weiterhin andernorts aufzufinden sind.“

Die betroffene Person wird hierdurch also auf die besondere Gefährdungslage im Falle der Zustimmung und der daraufhin erfolgenden Veröffentlichung hingewiesen.

Die vertragliche Vereinbarung über das Verwenden eines Fotos durch den Arbeitgeber

In den Ausnahmen gemäß Art. 9 DSGVO ist der Vertrag im Gegensatz zu einer Einwilligung (s. O.) nicht genannt. Wohl aber in Art. 6 Abs 1 lit. (b) DSGVO. Nun stellt aber die Vorschrift des Art. 9 DSGVO eine Einschränkung der Verarbeitungsmöglichkeiten bei Vorliegen von biometrischen Daten dar. Das bedeutet konkret, dass das Vorliegen einer Rechtsgrundlage gemäß Art. 6 DSGVO (also hier ein Vertrag) nicht ausreicht, wenn diese Rechtsgrundlage als Ausnahme vom Untersagungsverbot gemäß Art. 9 DSGVO in dieser Vorschrift nicht ausdrücklich genannt ist.

Genannt ist neben einigen anderen Tatbeständen nur die Einwilligung, was zu dem etwas kuriosen Ergebnis führt, dass der Betroffene eigentlich nicht vertraglich über seine biometrischen Daten verfügen kann, außer in dem Fall, dass er sie bereits selbst veröffentlicht hat gemäß Art. 9 Abs. 2 lit. (e) DSGVO (s. U.)
Ein solches Ergebnis dürfte vom Gesetzgeber sicher nicht gewollt sein. Wer durch Einwilligung über seine Fotos verfügen darf, sollte dies natürlich auch im Rahmen eines gegenseitigen Vertrages dürfen, auch wenn ein Vertrag nicht wie eine Einwilligung einfach ohne Begründung widerrufen werden kann. Dafür ist aber in einem Vertrag regelmäßig eine Gegenleistung (Vergütung) vereinbart.

Im Erwägungsgrund 51 der DSGVO wird auch darauf hingewiesen, dass Fotos von Betroffenen erst durch die Anwendung von bestimmter Erkennungssoftware als biometrische Daten betrachtet werden sollten. Diese Sichtweise spricht ebenfalls dafür, die Vorschrift im Hinblick auf eine vertragliche Vereinbarung nicht allzu eng auszulegen.

Typische Beispiele für solche Verträge sind sog. Model – release Verträge, die auch mit Mitarbeitenden abgeschlossen werden können, und auch üblicherweise Themen des Kunst und Urhebergesetzes (KUG) beinhalten.

Das Verwenden eines Fotos der Mitarbeiterin aus dem Internet durch den Arbeitgeber für die Unternehmenshomepage

Gemäß Art. 9 Abs. 2 lit (e) ist die Verwendung von biometrischen Daten dann nicht mehr untersagt (Art. 9 Abs. 1), wenn die betroffene Person diese selbst veröffentlicht hat.

Muss also, wer bereits sein Konterfei im Internet zur allgemeinen Kenntnisnahme preisgegeben hat, damit rechnen, dass beliebige Dritte dieses anschauen, oder sogar nach eigenem Gutdünken verwenden dürfen?

Eine mögliche Antwort hierauf ist leider nicht ganz einfach: Die Regelung des Gesetzgebers in Art. 9 Abs. 2 lit (e) der DSGVO besagt ja lediglich, dass die Verarbeitung in diesem Fall nicht mehr generell untersagt ist, ändert aber nach herrschender Ansicht nichts daran, dass grundsätzlich auch noch eine Rechtsgrundlage gemäß Art. 6 DSGVO für die Verarbeitung erforderlich ist:

a) Liegt eine Einwilligung gemäß Art. 9 vor (s. O.) , ist diese natürlich auch gemäß Art. 6 DSGVO hinreichend.
Problematisch für den Arbeitgeber kann es natürlich sein, dass eine Einwilligung durch die Arbeitnehmerin jederzeit widerrufbar ist, und dadurch die Rechtsgrundlage für die Veröffentlichung wegfällt, so dass das Foto von der Homepage entfernt werden muss.

b) Es könnte auch eine vertragliche Vereinbarung gemäß Art. 6 Abs. 1 lit (b) in Betracht kommen. Die Arbeitnehmerin und der Arbeitgeber müssten in Bezug auf die Verwendung des im Internet aufgefundenen Bildes eine gegenseitige Nutzungsvereinbarung treffen. Diese kann dann nicht mehr ohne weiteres einseitig aufgehoben werden – es können aber Voraussetzungen für die Beendigung und Fristen vereinbart werden. Außerdem  sollte, damit eine gewisse Gegenseitigkeit der Leistungen vorliegt, auch ein Vorteil für die Arbeitnehmerin enthalten sein. Eine Sondervergütung kann hier in Betracht kommen. Ebenso sollten detaillierte Regelungen über den Umfang der Nutzung enthalten sein. Auch das KUG (Kunst und Urhebergesetz) kann hier eine Rolle spielen.

c) Ein gemäß Art. 6 Abs. 1 lit. (f) grundsätzlich zwar mögliches berechtigtes Interesse an der Verwendung eines im Internet aufgefundenen Bildes für die Verwendung auf der Unternehmenshomepage ist kaum zu begründen, da dieses nach einer Abwägung die schutzwürdigen Belange der betroffenen Arbeitnehmerin deutlich überwiegen muss. Es ist nicht ersichtlich, wie eine solche erforderliche Begründung für die Abwägung zugunsten des Arbeitgebers inhaltlich aussehen soll.

Anmerkung am Rande: Lediglich in seltenen Ausnahmefällen wäre diese Rechtsgrundlage im Zusammenhang mit Fotos von Mitarbeitenden überhaupt in Erwägung zu ziehen. Z. B. wenn in einem Hochsicherheitsbereich Namensschilder mit Fotos der Mitarbeitenden zur Identifikation erforderlich wären. Aber auch hier hätten die Mitarbeitenden ein Mitspracherecht etwa bei der Auswahl des Fotos.

Es bleibt also festzuhalten, dass auch Fotos, die ein Arbeitnehmer ins Internet gestellt und damit öffentlich gemacht hat, vom Arbeitgeber nicht ohne weiteres für seine Zwecke verwendet werden dürfen, sondern auch hierbei eine Einwilligung oder eine vertragliche Vereinbarung erforderlich ist.

Gilt dies auch für das bloße Betrachten des Fotos?

Darf der Arbeitgeber sich z. B. im Rahmen eines Bewerbungsverfahrens Fotos oder Filme anschauen, die die Bewerberin von sich im Internet zugänglich gemacht hat?

Auch die bloße Kenntnisnahme (das Anschauen) von personenbezogenen Daten stellt eine Verarbeitung gemäß Art. 4 Abs. 2 dort „das Abfragen“ genannt dar.

Der Arbeitgeber benötigt also auch hierzu einen Rechtsgrundlage, obwohl er ja andererseits in seiner Eigenschaft als Privatperson gemäß dem Haushaltsprivileg diese Fotos oder Filme jederzeit betrachten dürfte.

Er muss sich also vor dem Zugriff auf die öffentlich zugänglichen Fotos folgende Frage stellen: Suche ich nach Fotos dieser Person jetzt einfach so als Privatperson, oder als Arbeitgeber mit dem Ziel das gesehene für meine Bewerberauswahl zu verwenden?

Im letzteren Fall müsste er sich als nächstes Fragen: Was ist dann meine Rechtsgrundlage gemäß der DSGVO?
Da eine Einwilligung der betroffenen Person ja nicht vorliegt, und auch eine vertragliche Vereinbarung nicht gegeben ist, bleibt nur das berechtigte Interesse gemäß Art. 6 Abs 1 lit. (f) DSGVO. Dieses muss

• Eine Bezeichnung haben,
• Legitim sein und
• Vorrangig zu den schutzwürdigen Belangen der Betroffenen sein, was durch eine umfangreiche Abwägung zu begründen wäre.

Mit anderen Worten: Bevor ein Arbeitgeber (in dieser Eigenschaft) sich ein öffentlich zugängliches Foto eines (aus seiner Sicht) potenziellen Bewerbers oder einer tatsächlichen Bewerberin im Internet anschaut muss er sich einen Menge Gedanken machen. Die Vorgabe der Datenschutzbehörden, was bei einem berechtigten Interesse alles zu Berücksichtigung ist, umfasst immerhin über zwanzig Einzelpunkte!

Insgesamt eine durchaus ungewöhnliche Situation: Eine Person veröffentlicht ein Foto von sich im Internet worauf tatsächlich jeder ohne weiteres zugreifen kann, der Betrachtende benötigt für das Betrachten aber wiederum eine Rechtsgrundlage – oder eben nur dann nicht, wenn das Haushaltsprivileg (er ist rein privat unterwegs) gilt.

Die Tendenz geht jedenfalls dahin, dem Arbeitgeber im Rahmen eines berechtigten Interesses zuzugestehen, dass er sich zumindest in berufsspezifischen Portalen ( linkedin, xing etc.) über die zukünftige Mitarbeiterin informieren darf, da diese Portale ja zumindest auch für diesen Zweck von den betroffenen Personen genutzt werden.

Alle Fotos (und Filme ) aus eher privaten Plattformen (Youtube, twitter, facebook, instagram etc.) sind von einem berechtigten Interesse i. d. R. nicht gedeckt. Eine Ausnahme kann dann vorliegen, wenn es um eine Position geht, in der der Bewerber das Unternehmen an vorderster Stelle nach außen vertritt. Also z.B. Geschäftsführer oder Vorständin. Hier kann auch  eine private Außendarstellung für den zukünftigen Arbeitgeber in legitimer Weise von Relevanz sein – dies aber nur sehr eingeschränkt.

Erweiterung:

Das Unternehmen clearview nutzt das Internet dazu, alle dort gefundenen Fotos herunterzuladen und über eine Gesichtserkennungssoftware zu spezifizieren (vermessen), und seinen Kunden (Geheimdienste, Regierungen, Privatunternehmen) gegen Entgelt die Ergebnisse zur Verfügung zu stellen.

Clearview AI | The World’s Largest Facial Network
Die rechtliche Begründung des Unternehmens läuft dabei darauf hinaus, dass die betroffenen Personen die Fotos ja freiwillig gemäß Art. 9 Abs. 2 lit (e) dem allgemeinen Zugriff anheimgestellt hätten.

Auch hier ist man inzwischen der Ansicht, dass es eben zusätzlich noch einer besonderen Rechtsgrundlage gemäß Art. 6 DSGVO bedarf. Auch Länder, in denen die DSGVO nicht gilt, wie etwa Kanada verlangen diese zusätzliche Begründetheit, und haben gegen clearview ein hohes Bußgeld verhängt.
z.B.:
Clearview: Umstrittene Gesichtserkennungs-App für private US-Firmen verboten | heise online
Gesichtserkennungsdienst Clearview AI bekämpft kanadisches Verbot | heise online

Fazit:

Der Arbeitgeber darf Fotos von Mitarbeitenden nur mit einer erweiterten (mit ausdrücklichen Hinweisen auf die Risiken versehenen) Einwilligung, oder im Rahmen einer detaillierten vertraglichen Vereinbarung auf seiner Homepage nutzen. Dies gilt auch für Fotos, die die betroffene Person bereits selbst im Internet veröffentlicht hat.

Bereits das Betrachten von Fotos von Mitarbeitenden oder BewerberInnen durch den Arbeitgeber, die diese selbst veröffentlicht haben, kann ein Verstoß gegen die DSGVO darstellen. Dies ist dann der Fall, wenn er hierfür kein überwiegendes berechtigtes Interesse darlegen kann – wie etwa bei Fotos auf Bewerber- und Jobportalen, die von den Betroffenen für diesen Zweck genutzt werden.

Als Kuriosität sei noch angemerkt, dass ein Arbeitgeber ja auch Privatperson sein kann, und sich als solche wie jeder andere ohne Rechtsgrundlage durch das Internet klicken und dabei allerlei Fotos finden kann.

Solange er seine Suche und das dann Gefundene bei einem Bewerbungsgespräch gegenüber dem Bewerber nicht transparent macht, z.B. durch eine entsprechende Bemerkung, lässt sich ein eventueller Verstoß gegen die DSGVO hier nun wirklich nur sehr schwer nachweisen.

dacuro GmbH

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf. Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.