Verum Data für Ihren Datenschutz

Ein Jahr EU-Datenschutz-Grundverordnung - Erfahrungen aus 365 Tagen

Am 25.05.2018 kam die EU-Datenschutz-Grundverordnung (DSGVO) zur Geltung. Ein Jahr begleitet sie uns daher nun bereits aktiv. In diesem einen Jahr ist seither einiges passiert. Viele Unklarheiten und Mythen umgaben und umgeben die DSGVO. Was ist also dran an dieser DSGVO?

Die Schlagzeilen der Zeitungen waren voll davon, befeuerten zum Teil die Ängste. Privat kam man vor einem Jahr am ehesten in Kontakt mit der DSGVO, weil das eigene E-Mail-Postfach voll war mit Nachrichten von Unternehmen, die mit Hinweis auf die DSGVO plötzlich eine (weitere) Einwilligung einholen wollten.

Die
Unsicherheit war groß, so lässt sich das vergangene Jahr mit der DSGVO wohl am
besten zusammenfassen. Dies zeigt nicht nur die tägliche Beratungspraxis,
sondern auch die eine oder andere öffentlich bekannt gewordene Geschichte aus
den vergangenen 365 Tagen.

Man denke nur
an die Ankündigung aus Wien, dass über 200.000 Klingelschilder ausgetauscht
werden sollten, um die Verwendung von Namen zu vermeiden, denn schließlich verstieße
dies gegen die DSGVO. Die Angst vor Millionenbußgeldern führte zu
entsprechendem Aktionismus und dazu, dass dieser Sachverhalt als „#klingelgate“
in die neuere Datenschutz-Geschichte eingeht.

Aufgrund von
massiven Unsicherheiten wurden in Erinnerungsbüchern einer Kindertagesstätte
zum Abschied bei Ende der Kindergartenzeit auf Bildern die Gesichter der
Freunde und Erzieher/innen geschwärzt, zu lesen in der Hamburger Morgenpost vom
02.08.2018. Gruppenbilder sollte es darüber hinaus gar nicht mehr geben. All
dies, obwohl es Einwilligungen der Eltern gab.

Weiterhin war
etwa zu lesen, dass bereits der Austausch von Visitenkarten einen Verstoß gegen
die DSGVO darstelle, wenn die Übergabe nicht unmittelbar begleitet würde von
entsprechenden Datenschutzhinweisen über die Verarbeitung der erhaltenen Daten.
Dies berichtete „Die Welt“ am 15.05.2018.

Eine Arztpraxis
in Mainz ging sogar so weit ihre Patienten und Patientinnen bestätigen zu
lassen „die neue Datenschutz-Grundverordnung erhalten und gelesen zu haben,
sowie deren Bedingungen zu akzeptieren.“ Natürlich gilt die DSGVO unabhängig
davon, ob man damit einverstanden ist oder diese auch nur gelesen hat.

Zwar
betreffen jene kleinen Geschichten durchaus Themen der DSGVO. Die vermeintlich
aufgezeigten Probleme, der Umgang mit diesen und die hier teilweise gewählten
Lösungen sind jedoch eindeutig weniger dem Regelungsregime der DSGVO geschuldet
als vielmehr diesbezüglichen Unsicherheiten und fehlenden Kenntnissen.

Datenschutz
ist, das war bereits vor Geltung der DSGVO nicht anders, ein wichtiges und
teilweise sehr komplexes Thema für alle Unternehmen. Gerade dort, wo besonders
sensible Daten verarbeitet werden - wie etwa in der Arztpraxis, der
Physiotherapie, der Pflege und teilweise in Fitnessstudios - ist eine besondere
Sensibilität für die Belange des Datenschutzes angebracht. Bildschirme, die so
aufgestellt sind, dass jeder Besucher Daten anderer Patienten einsehen kann,
sollten ebenso der Vergangenheit angehören wie öffentlich zugängliche (unbeaufsichtigte)
Stapel von Patientenakten.

Eine Umfrage
der cobra GmbH, einem spezialisierten CRM-Unternehmen aus Konstanz, zum
Jahreswechsel 2018/2019 (www.cobra.de/blitzumfrage) hat ergeben, dass lediglich
knapp 20 Prozent der befragten Unternehmen davon ausgehen die Vorgaben der DSGVO
bereits vollständig einzuhalten. Die Umfrage zeigte insbesondere auf, dass
hinsichtlich der Umsetzung der DSGVO noch ein weiter Weg vor den meisten
Unternehmen liegt.

Betroffene kennen ihre Rechte besser

Nicht ausschließlich durch die mediale Berichterstattung kennen von Datenverarbeitungen betroffene Personen zunehmend ihre Rechte, insbesondere im Vergleich zu dem Zeitraum vor Geltung der DSGVO. Diese Rechte fordern sie letztlich auch ein. Es wächst die grundsätzliche Sensibilität für datenschutzrechtliche Themen.

Dies zeigt nicht zuletzt die Anzahl von EU-weit 150.000 Beschwerden betroffener Personen bei den zuständigen Behörden im vergangenen Jahr, wie Spiegel Online in einem Artikel vom 22.05.2019 berichtet (https://www.spiegel.de/netzwelt/netzpolitik/dsgvo-jahresbilanz-fast-150-000-beschwerden-wegen-datenschutzverstoessen-a-1268745.html).

Die meisten Beschwerden habe es hiernach aufgrund von Werbeanrufen, Werbemails und Videoüberwachungssystemen gegeben. Das verwundert letztlich nicht, sind dies doch diejenigen Maßnahmen, die betroffene Personen gerade auch im privaten Umfeld unmittelbar belästigen könnten.

Verfahren und Bußgelder

Aufgrund der schieren Anzahl von Beschwerden, wenngleich sich die genannte Zahl als EU-weite Statistik versteht, erstaunt es nicht, dass man von einer entsprechenden Überlastung der Aufsichtsbehörden ausgehen darf.

Bei uns herrscht Land unter. Wir kommen nicht mehr hinterher, was die Fülle der Aufgaben angeht.
so Sachsen-Anhalts Datenschützer Harald von Bose, Artikel "In Sachsen-Anhalts Datenschutzbehörde herrscht "Land unter"" in: Volksstimme vom 27.05.2019

Das dürfte eher die Regel als die Ausnahme bei den Aufsichtsbehörden sein. Personalmangel ist sicherlich einer der Gründe.

Die DSGVO ließ insbesondere die Angst umgehen vor Millionen-Bußgeldern. Ein Bericht von "Die Welt" zeigt, dass diese bislang ausgeblieben sind. Eine Umfrage von "WELT AM SONNTAG" bei den Aufsichtsbehörden habe ergeben, dass seit Mai vergangenen Jahres in 81 Fällen Bußgelder wegen Verstößen verhängt worden seien in einer Gesamthöhe von 485.490 Euro, was einem durchschnittlichen Bußgeld in Höhe von etwa 6.000 Euro je Fall entspreche.

vgl. Die Welt, "485.000 Euro Strafe – Bundesländer ziehen Bußgeld-Bilanz" vom 12.05.2019, abrufbar unter: https://www.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html

Bislang wurden laut des Berichts in sieben Bundesländern Bußgelder verhängt: Baden-Württemberg (7 Fälle/ 203.000 Euro), Rheinland-Pfalz (9 Fälle/ 124.000 Euro), Berlin (18 Fälle/ 105.600 Euro), Hamburg (2 Fälle/ 25.000 Euro) Nordrhein-Westfalen (36 Fälle/ 15.600 Euro), Sachsen-Anhalt (6 Fälle/ 11.700 Euro) und Saarland (3 Fälle/ 590 Euro).
Die Welt, "485.000 Euro Strafe – Bundesländer ziehen Bußgeld-Bilanz" vom 12.05.2019, abrufbar unter: https://www.welt.de/finanzen/article193326155/DSGVO-Verstoesse-Bundeslaender-ziehen-Bussgeld-Bilanz.html

Die Spanne der Beträge sei jedoch groß und reiche von einigen hundert Euro bis zu einem Maximum von 80.000 Euro, verhängt in einem Fall in Baden-Württemberg. In jenem Fall landeten Gesundheitsdaten im Internet.

Millionenbußgelder sind bislang ausgeblieben, gleichwohl haben die Aufsichtsbehörden für 2019 verstärkt Kontrollen angekündigt. Bußgelder können im Falle von Verstößen, insbesondere soweit besonders sensible Daten betroffen sind, nicht ausgeschlossen werden.

Viele Unternehmen haben sich bis heute nur am Rande, oder gar nicht, mit dem Thema Datenschutz befasst. Damit Ihr Unternehmen beim Thema Datenschutz rechtssicher aufgestellt ist, berät Sie ein externer Datenschutzbeauftragter bei der Erarbeitung und Umsetzung eines tragfähigen Datenschutzkonzepts.


Mitarbeiterbilder

Mitarbeiterbilder und Datenschutz

Insgesamt wird das Thema von Fotos/Bildern und der Zulässigkeit sowohl der Anfertigung von Bildern, wie auch deren Veröffentlichung. zum Teil heftig diskutiert. Die Verunsicherung ist groß. Das Thema "Bilder und die DSGVO" ist insgesamt sehr weit. Eine vermeintlich vollständige Besprechung würde daher den Rahmen dieses Artikels sprengen. Hier wollen wir uns daher mit der für Unternehmen relevanten Frage befassen, wie Bilder von Mitarbeitern zu behandeln sind.

Zunächst ist zu klären, inwieweit die EU-Datenschutz-Grundverordnung (DSGVO) Bilder von Personen überhaupt umfasst, mithin, ob diese auf Bilder anzuwenden ist. Diese Frage ist grundsätzlich dann zu bejahen, wenn die abgebildeten Personen erkennbar sind. Dann handelt es sich bei diesen um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO. Dies erschließt sich aufgrund der Definition personenbezogener Daten in der DSGVO, denn dies sind

"alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person"

beziehen. Im Übrigen erwähnt auch Erwägungsgrund 51 der DSGVO in dessen Satz 3 ausdrücklich die Verarbeitung von Lichtbildern. Abbildungen erkennbarer Personen sind daher zweifellos personenbezogene Daten und die DSGVO damit grundsätzlich auf diese anwendbar.

Ausnahme: Rein private Bilder

Nicht anwendbar ist die DSGVO nur dann, wenn es sich um eine Datenverarbeitung

"durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten"

handelt, Art. 2 Abs. 2 lit. c) DSGVO.
Um die weitgehende Anwendbarkeit der DSGVO zu gewährleisten, ist diese Einschränkung eng auszulegen. Daher seien nach Auffassung des EuGH die "Ausdrücke „persönlich“ und „familiär“ im Sinne dieser Bestimmung [zu] beziehen [...] auf die Tätigkeit der Person, die personenbezogene Daten verarbeitet, und nicht auf die Person, deren Daten verarbeitet werden" (EuGH, Urteil vom 10.07.2018, Az. C-25/17, Rz. 41 - "Zeugen Jehovas"). Es sei daher klar, dass nur solche Tätigkeiten nicht in den Anwendungsbereich der DSGVO fallen, die zum "Privat- oder Familienleben von Privatpersonen gehören" (EuGH, Urteil vom 10.07.2018, Az. C-25/17, Rz. 42).

"Insofern kann eine Tätigkeit nicht als ausschließlich persönlich oder familiär im Sinne dieser Vorschrift angesehen werden, wenn sie zum Gegenstand hat, personenbezogene Daten einer unbegrenzten Zahl von Personen zugänglich zu machen, oder wenn sie sich auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet" (EuGH, Urteil vom 10.07.2018, Az. C-25/17, Rz. 42)

Für Unternehmen gilt diese Ausnahme im Hinblick auf Mitarbeiter-Bilder nicht.

Wann sind Personen erkennbar?

Die entscheidende Frage ist daher letztlich, wann eine Person erkennbar ist. Eine Erkennbarkeit ist grundsätzlich sehr schnell anzunehmen. Insbesondere entfällt eine Erkennbarkeit nicht schon dann, wenn eine Person von hinten abgebildet ist oder aber das Gesicht - oder auch lediglich die Augen - durch einen schwarzen Balken verdeckt werden. Erkennbarkeit liegt nämlich bereits dann vor, wenn der persönliche Bekanntenkreis einer abgebildeten Person diese erkennen kann. Dies kann ggf. schon anhand besonderer Kleidung, Körperhaltung oder etwa der Frisur erfolgen. Es ist daher häufig von einer Erkennbarkeit auszugehen.

Was ist bei Mitarbeitern zu beachten?

Nach alledem stellt sich für ein Unternehmen selbstverständlich die Frage, wie mit Bildern von Mitarbeitern zu verfahren ist, insbesondere unter welchen Umständen diese verwendet und/oder auch veröffentlicht werden dürfen.

Die DSGVO selbst enthält keine konkreten Regelungen zum Mitarbeiter-Datenschutz. Vielmehr hat der europäische Gesetzgeber in Art. 88 DSGVO eine Öffnungsklausel zugunsten mitgliedsstaatlicher Gesetzgebung geschaffen. Hiernach sind die Mitgliedsstaaten berechtigt, Rechtsvorschriften

"zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext" (Art. 88 Abs. 1 DSGVO)

zu schaffen. Dies ist mit § 26 des neuen Bundesdatenschutzgesetzes (BDSG) erfolgt. Diese, acht Absätze umfassende, Vorschrift regelt die "Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses".

§ 26 Abs. 1 S. 1 BDSG stellt als Grundsatz klar:

"Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist."

Bilder von Mitarbeitern sind zweifellos als personenbezogene Daten von Beschäftigten einzuordnen, sodass die Vorschrift des § 26 BDSG auf entsprechende Bilder anzuwenden ist.

§ 26 Abs. 2 S. 1 BDSG stellt darüber hinaus klar:

"Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen."

Daraus folgen zwei grundsätzliche Möglichkeiten einer Verarbeitung von Mitarbeiterbildern: auf Basis einer Einwilligung des betroffenen Mitarbeiters oder wenn die Verarbeitung erforderlich ist.

Verarbeitung aufgrund einer Einwilligung des Mitarbeiters

Die Verarbeitung von Mitarbeiterbildern kann zunächst auf eine Einwilligung des jeweils betroffenen Mitarbeiters gestützt werden. Willigt der Mitarbeiter also ein, so steht einer Verwendung einer ihn zeigenden Abbildung nichts im Wege. Insbesondere kann das Bild etwa veröffentlicht werden, so etwa auf einer Webseite oder in einer Unternehmenszeitschrift.

Hier ist jedoch zu berücksichtigen, dass der Mitarbeiter im Rahmen der Erteilung der Einwilligung über die konkret geplante Verwendung vollständig und zutreffend informiert wird.

Zudem folgt jedoch bereits aus der Vorschrift des § 26 Abs. 2 S. 1 BDSG selbst , dass hohe Hürden für die Wirksamkeit einer Einwilligung im Beschäftigungsverhältnis bestehen. Zum einen bedarf es hierfür gemäß § 26 Abs. 2 S. 3 BDSG der schriftlichen Form, obgleich etwa die DSGVO für Einwilligungen keine Schriftform als Pflicht voraussetzt. Schließlich ist bei der Beurteilung der für die Wirksamkeit jeder Einwilligung erforderlichen Freiwilligkeit ausdrücklich das Abhängigkeitsverhältnis zu berücksichtigen. Das bedeutet, der Mitarbeiter wird häufig eine Einwilligung erteilen, wenngleich ihm das möglicherweise widerstrebt, weil er Problemen mit dem Arbeitgeber aus dem Weg gehen möchte oder er sich hierzu verpflichtet fühlt. Auf die Freiwilligkeit ist daher besonderes Augenmerk zu legen. Diese liegt nur vor, wenn der Mitarbeiter eine echte Wahl hatte die Einwilligung zu erteilen oder abzulehnen, insbesondere ihm aus seiner Entscheidung keine Nachteile entstehen.

Wenngleich eine Verarbeitung aufgrund einer Einwilligung dennoch zunächst verlockend wirkt, ist zu beachten, dass erteilte Einwilligungen jederzeit ohne Angabe von Gründen widerrufen werden können. Art. 7 Abs. 3 DSGVO eröffnet diese Möglichkeit.

Zwar bleibt für das Unternehmen die erfolgte Verarbeitung personenbezogener Daten, hier des Mitarbeiterbildes, bis zum Erhalt des Widerrufs rechtmäßig. Allerdings entfällt diese für die Zukunft. Ist also etwa das Bild des Mitarbeiters auf einer Webseite des Unternehmens veröffentlicht worden, so wäre dieses zu entfernen.

Verarbeitung aufgrund von Erforderlichkeit

Hat der Mitarbeiter nicht eingewilligt, so ist die Verarbeitung dennoch dann zulässig, wenn sie etwa für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Damit folgt der deutsche Gesetzgeber dem Beispiel der DSGVO, die auch die Rechtmäßigkeit der Datenverarbeitung allgemein zur Vertragserfüllung von einer Erforderlichkeit abhängig macht, vgl. Art. 6 Abs. 1 S. 1 lit. b) DSGVO.

Die Erforderlichkeit ist jedoch ebenfalls eine durchaus hohe Hürde. Erforderlichkeit heißt hier letztlich, dass diese für die Durchführung des Beschäftigungsverhältnisses notwendig ist.

Vgl. insoweit auch Assion/Nolte/Veil in: Kommentar Datenschutz-Grundverordnung, 2018, Art. 6, Rz. 88.

Notwendig ist jedoch eine Verarbeitung etwa dann nicht, wenn sie lediglich praktisch ist oder die Tätigkeit eines Unternehmens einfacher macht.

Bevor daher vorschnell von einer Erforderlichkeit ausgegangen wird, sollte sich das Unternehmen stets kritisch fragen, ob tatsächlich eine Notwendigkeit für die Verarbeitung des jeweiligen Bildes im Rahmen der Durchführung des Beschäftigungsverhältnisses besteht.

Eine solche liegt beispielsweise für Mitarbeiterbilder auf Webseiten nicht vor. Auch wenn es ein schöner Service für (potentielle) Kunden und Geschäftspartner ist, wenn diese ihre Ansprechpartner auf einer Webseite sehen können, so fehlt hier die Notwendigkeit. Die Veröffentlichung ist letztlich nicht erforderlich und hat daher zu unterbleiben, soweit der Mitarbeiter nicht ausdrücklich eingewilligt hat.

Vielfach sollen Mitarbeiterbilder davon abweichend zwar nicht auf Webseiten veröffentlicht werden, jedoch im Intranet des Unternehmens. Auch hier dürfte eine Erforderlichkeit jedoch regelmäßig ausscheiden.

Ein Thema ist diesbezüglich auch die Aufnahme und Veröffentlichung von Bildern bei Unternehmens-Veranstaltungen, z.B. Betriebsfeiern, oder aus dem Unternehmens-Alltag. Solche "Schnappschüsse" sollen dann zum Teil entweder im Intranet der gesamten Belegschaft und/oder auf Webseiten oder sozialen Medien der Öffentlichkeit zu werblichen Zwecken gezeigt werden. Das Fotografieren und die Veröffentlichung entsprechender Aufnahmen stellen in jedem Fall eine Datenverarbeitung dar, sodass die DSGVO Anwendung findet. Die o.g. Ausnahme der Verarbeitung zu persönlichen oder familiären Zwecken könnte dann einschlägig sein, soweit Mitarbeiter selbst zur Erinnerung Aufnahmen mit dem Mobiltelefon o.ä. anfertigen. Dies würde jedoch nicht für eine spätere Veröffentlichung entsprechender Bilder durch das Unternehmen gelten. Das Abstellen auf ein berechtigtes Interesse (Art. 6. Abs. 1 S. 1 lit. f) DSGVO) des Fotografen dürfte hier nicht durchgreifen, da es auf den Verwendungszweck der Bilder ankommt. Kommt es hier daher auf das Interesse des Unternehmens an, so handelt es sich um eine Datenverarbeitung im Beschäftigungsverhältnis und § 26 BDSG ist anwendbar. Das Vorliegen einer Erforderlichkeit der Datenverarbeitung ist gerade auch hier wohl zu verneinen. Hieraus würde folgen, dass eine Einwilligung sämtlicher Mitarbeiter vor(!) Anfertigung der Bilder einzuholen wäre. Aufgrund der Formvorschrift in § 26 BDSG müsste dies schriftlich erfolgen. Dies erscheint nicht nur bei einer größeren Belegschaft kaum praktikabel. Gleichwohl dürften vor dem Hintergrund der Formvorschrift und nicht zuletzt auch, weil nach der DSGVO eine aktive Tätigkeit für eine Einwilligung vorausgesetzt wird (in Abgrenzung zu einer bloßen Untätigkeit), Hinweise etwa an Zugangstüren unzulässig sein, die bspw. lauten "Mit Ihrer Teilnahme an unserer Betriebsfeier sind Sie damit einverstanden, dass Fotos angefertigt und diese veröffentlicht werden."

Es erscheint daher vorliegend pragmatisch und angemessen auch hier ein berechtigtes Interesse des Unternehmens anzunehmen, dem ein überwiegendes schutzwürdiges Interesse des jeweiligen Mitarbeiters nicht entgegensteht. Dies ist auch damit zu begründen, dass das Anfertigen auf Betriebsfeiern sowie deren Veröffentlichung sozial durchaus üblich sind.
In jedem Fall sollten einige Regeln eingehalten werden. Zunächst sind in jedem Fall bereits im Rahmen der Einladung die Mitarbeiter darauf hinzuweisen, dass bei der Betriebsfeier ein Fotograf anwesend sein wird. Darüber hinaus sollten allgemeine datenschutzrechtliche Informationspflichten beachtet werden. Wie bei jeder Verarbeitung aufgrund eines berechtigten Interesses sind die Mitarbeiter darauf hinzuweisen, dass sie der Anfertigung von Aufnahmen sowie auch deren Veröffentlichung widersprechen können. Entsprechende Widersprüche sind seitens des Unternehmens zu beachten. Schließlich sind etwa diffamierende Bilder unbedingt zu vermeiden. Sollen entsprechende Bilder nicht lediglich im Intranet sondern auch im Internet veröffentlicht werden, sind die Mitarbeiter hierauf unbedingt hinzuweisen.

Nachdem es zu diesem Themenkomlex zum jetzigen Zeitpunkt allerdings noch keine Rechtsprechung gibt, besteht diesbezüglich leider durchaus einige Rechtsunsicherheit.

Eine Erforderlichkeit der Verarbeitung von Bildern ist demgegenüber zum Teil anzunehmen etwa bei Verwendung eines Bildes auf Ausweisdokumenten eines Unternehmens, bspw. des klassischen Werksausweises. Hierbei soll sichergestellt werden, dass Mitarbeiter bei einer Zugangskontrolle eindeutig identifiziert werden können, um ihre Zugangsberechtigung zu überprüfen.

Exkurs: Kunsturheberrechtsgesetz

Teil dieses Artikels war bewusst nicht das deutsche Kunsturheberrechtsgesetz (KUG). Da sich das KUG mit dem sogenannten "Recht am eigenen Bild" befasst, könnte man der Auffassung sein, dass dieses gerade auch auf die vorliegende Frage der Verwendung von Mitarbeiterbildern anzuwenden wäre. Das ist jedoch im Regelfall zu verneinen.

Der Grund hierfür liegt in der unmittelbaren und allgemeinen Geltung der DSGVO in sämtlichen Mitgliedsstaaten. Dessen Regelungen gehen insoweit nationalen Bestimmungen vor. Eine Anwendung des KUG neben und gar anstatt der DSGVO wäre hiermit nicht vereinbar.

Die vereinzelt vertretene Auffassung, wonach Unternehmen bei der Veröffentlichung von Bildern journalistisch tätig sein und daher das KUG doch Anwendung finde. Begründet wird die Anwendbarkeit des KUG mit der Öffnungsklausel des Art. 85 DSGVO, die es den Mitgliedsstaaten erlaubt, durch Rechtsvorschriften den Datenschutz nach der DSGVO mit der Verarbeitung zu journalistischen Zwecken "in Einklang" zu bringen. Eine journalistische Tätigkeit wird jedoch in den seltensten Fällen anzunehmen sein.

"Die verfolgten Zwecke bzw. die avisierte Publikation sind dann als journalistisch einzustufen, wenn ein gewisses Mindestmaß an Kriterien, die für die kontinuierliche öffentliche Meinungsbildung besonders bedeutungsvoll sind, erfüllt sind, an denen sich Selektion und Sortierung orientieren." (Schulz/Heilmann in: Kommentar Datenschutz-Grundverordnung, 2018, Art. 85, Rz. 38.)

Bedeutung dürfte das KUG bei Unternehmen hiernach überwiegend nur für Firmenarchive haben, in denen sich Bilder Verstorbener befinden, da Daten (und damit auch Abbildungen) von Verstorbenen von der DSGVO nicht erfasst werden. Weiterhin ist das KUG noch bei Bildern anzuwenden, die die Ausnahme der DSGVO in Anspruch nehmen, ausschließlich zu persönlichen und familiären Zwecken verarbeitet zu werden (s.o., Art. 2 Abs. 2 lit. c) DSGVO). Diese Ausnahme gilt jedoch für Unternehmen per se nicht.

Gerne beraten wir Sie bei Fragen zur Verwendung von Bildern im Beschäftigungsverhältnis sowie allgemein zum Mitarbeiter-Datenschutz!