Mein Datenschutz-Blog - #THEPRIVÄCY

Gratuliert man freundlich, schaut so manches „Geburtstagskind“ eher süß-sauer als begeistert. Lässt man es bleiben, kann die Verstimmung genauso groß sein. Eine gute Geburtstagsliste hilft weiter. 

Datenschutzkonforme Geburtstagslisten

Und wieder erhielten wir eine interessante Kundenanfrage: "Kann mein Arbeitgeber verlangen, dass ich als Beschäftigter während der Arbeit ein Namensschild trage? Die kurze Antwort lautet: Im Prinzip ja, aber wie immer kommt doch sehr auf die konkreten Umstände an. Die berechtigten Interessen des Arbeitgebers sind genauso wichtig wie die berechtigten Interessen der Beschäftigten.

Funktionen eines Namensschilds

Ein Namensschild während der Arbeit kann in mehrfacher Hinsicht sinnvoll sein:

Tragen von Namensschildern - Was Sie tun können, wenn Ihr Arbeitgeber Sie dazu verpflichtet

Hier mal wieder ein typischer Fall aus unserer Datenschutz-Praxis: Datenschutz im "Offboarding-Prozess". Ein Mitarbeiter scheidet also aus dem Unternehmen aus. Kann der Arbeitgeber den E-Mail-Account dieses Mitarbeiters einfach schließen? Können die E-Mails an einen Kollegen weitergeleitet werden? Wie ist mit E-Mails umzugehen, die ausdrücklich an ihn gerichtet sind? Das Bayerische Landesamt für Datenschutzaufsicht bietet in seinem Tätigkeitsbericht für 2015/2016 einige Orientierungshilfen für diese Fragen.

Existieren schon Regelungen zum Offboarding?

Vorab sei auf Folgendes hingewiesen: Falls zu diesem Thema eine Betriebsvereinbarung / Verfahrensanweisung / Arbeitsanweisung existiert, ist alles klar. Es gelten die darin getroffenen Regelungen. Manchmal treffen das Unternehmen und der ausscheidende Mitarbeiter auch eine ausdrückliche Vereinbarung bezüglich der E-Mail-Accounts und der nach dem Ausscheiden eingehenden E-Mails, etwa in einem Aufhebungsvertrag. Schön für alle Beteiligten! Denn das schafft Klarheit.

Eingehende E-Mails für ausgeschiedene Mitarbeiter - ein Datenschutz-Problem

Und wenn nicht?

Aber was ist, wenn es an Beidem fehlt? Vielleicht lässt sich noch über eine einvernehmliche Regelung reden. Aber manchmal erscheint das kaum vorstellbar, etwa nach einer fristlosen Kündigung. In solchen Fällen hilft die Meinung der Datenschutzaufsicht weiter.

Datenschutz macht Arbeit. Das gilt besonders für Maßnahmen der Datensicherheit, wie etwa die Verschlüsselung von E-Mails. Kann man sich solche Mühen sparen, wenn ein Kunde damit ausdrücklich einverstanden ist?

Datensicherheit verlangt Differenzierung

Gleich zu Beginn eine Klarstellung: Nein, es steht nirgends in der EU-Datenschutzgrundverordnung (EU-DSGVO), dass E-Mails immer verschlüsselt werden müssten. Aber die EU-DSGVO verlangt, dass man sich Gedanken darüber macht, wann dies nötig ist. Wir sprechen hier von einer "risikobasierten Vorgehensweise". Die sehr umfangreiche Regelung über die Sicherheit der Verarbeitung in Art. 32 EU-DSGVO zwingt Unternehmen dazu, sich zu entscheiden. Ist das Risiko für den Datenschutz so hoch, dass eine Verschlüsselung notwendig ist?Oder ist das nicht der Fall?

Einwilligung von Kunden in mangelhafte Datensicherheit möglich?

Der Zwang zur Entscheidung gilt auch für viele andere Fragen rund um die Sicherheit der Verarbeitung. So ist etwa eine Entscheidung nötig, wie intensiv eine Zugangskontrolle sein muss. In einem großen Rechenzentrum wird sie sicher anders aussehen als in einer Werbeagentur mit einigen wenigen Kundenlisten. Oder nehmen Sie nur ein Krankenhaus als Beispiel...

Die Datenschutzkonferenz (DSK) veröffentlicht seit Juli 2017 Auslegungshilfen zur EU-DSGVO. In diesen Kurzpapieren werden unter den deutschen Aufsichtsbehörden abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der EU-DSGVO wiedergegeben. Neu ist das Kurzpapier Nr. 20 zum Thema "Einwilligung".

Abgabe der Einwilligungserklärung

Ging es Ihnen auch so? Um den Umstellungstermin auf die EU-DSGVO am 25.05.2018 wurden wir alle zugemüllt mit angeblich zwingend erforderlichen datenschutzrechtlichen Einwilligungen. „Wenn man Daten von Kunden oder Mitarbeitern verarbeiten will, braucht man jetzt immer erst einmal eine Einwilligung!“ So ist seither oft zu hören. Aber stimmt das wirklich?

Wunderliche Erlebnisse

Erlebnisse dieser Art waren in den letzten Monaten alltäglich:
• Ein Mann geht zum selben Arzt wie immer. Jetzt soll er plötzlich eine „Einverständniserklärung in die Datenverarbeitung“ unterschreiben. Sonst könne man ihn leider nicht mehr behandeln, erklärt ihm die Arzthelferin.
• Eine Frau will wie gewohnt im Herbst in der Autowerkstatt die Reifen wechseln und bis zum nächsten Frühjahr lagern lassen. Auf einmal soll das nur noch möglich sein, wenn sie eine „Einwilligung in die Datenverarbeitung“ unterschreibt.

Datenschutzrechtliche Einwilligung nach EU-DSGVO - Wie geht das?

Beides ergibt keinen Sinn. Weshalb?

Unter "eAkte-Datenschutz" gehen wir auf uns aktuell vorliegende Datenschutz-Fälle bei unseren Datenschutz-Kunden ein. "eAkte" deshalb, weil wir unsere Datenschutz-Kunden und deren Fälle in unserem digitalen Büro 4.0 in elektronischen Akten verwalten. Die Veröffentlichung der Praxisfälle erfolgt selbstverständlich anonymisiert.

Dieses Mal geht es um die Frage "Kann eine Einwilligung für Mitarbeiterfotos auch in einer Klausel im Arbeitsvertrag geregelt werden oder benötigt man dafür ein separates Einwilligungs-Formular?"

Im Rahmen einer Erst-Beratung eines mittelständischen Datenschutz-Kunden (Datenschutzkonzept Phase A+B) fiel uns folgende Formulierung im Arbeitsvertrag zum Thema Mitarbeiter-Fotos und -Videos auf:

"Soweit der Arbeitnehmer in Verkaufsunterlagen  [...] des Arbeitgebers auf der Homepage oder in Messepräsentationen abgebildet ist, [...] erklärt der Arbeitnehmer sein Einverständnis zur unentgeltlichen Nutzung des Bildes / des Videos [...]. Das Recht zur Nutzung endet 5 Jahre nach Ende des Anstellungsverhältnisses zwischen dem Arbeitnehmer und dem Arbeitgeber."

Fraglich für uns erschien daran:

1. Kann eine solch umfassende Regelung einer Einwilligung in die Nutzung von Mitarbeiterfotos /-Videos überhaupt "versteckt" in einem Arbeitsvertrag erfolgen?
2. Ein Nutzungsrecht von 5 Jahren nach Ausscheiden des Mitarbeiters ist unüblich lang.

Folgende Risiken sahen wir insbesondere für diesen Kunden:

• Arbeitsrechtlicher Ärger mit ausscheidenden und ausgeschiedenen Mitarbeitern.
• Teures Werbematerial wie Videos oder Prospekte muss vorzeitig aus dem Marketing genommen werden.

eAkte-Datenschutz - Einwilligung in die Nutzung von Mitarbeiterfotos und -Videos

Da es sich hier um rechtliche Fragen handelte, die auch den Bereich des Arbeitsrechts berühren, fragten wir unseren auf IT-Recht, Datenschutz und Arbeitsrecht spezialisierten Rechtsexperten an. Dessen Antwort bestätigte unsere Befürchtungen:

"Sehr geehrter Herr Ströbele,

das Bundesarbeitsgericht hat mit Urteil vom 19. Februar 2015 teilweise Klarheit geschaffen, wann und in welchem Umfang der Arbeitgeber Bilder seiner Mitarbeiter auf Firmenunterlagen, in Filmen und im Internet benutzen darf.

Voraussetzung ist zunächst eine ausdrückliche gesonderte Einwilligung. Die Einwilligung formularmäßig durch eine Klausel im Arbeitsvertrag dürfte unwirksam sein. Es ist daher zu empfehlen, eine gesonderte Vereinbarung abzuschließen.

Ein Recht des Arbeitnehmers, die Einwilligung zu widerrufen, besteht in der Regel erst dann, wenn das Arbeitsverhältnis beendet ist und auch dann nur, wenn die Weiterbenutzung danach einen erheblichen Eingriff in das Allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt. Das war im entschiedenen Fall des Bundesarbeitsgerichtes nicht der Fall. Dort waren Arbeitsvorgänge im Unternehmen auf einem Videofilm festgehalten und Kunden zur Verfügung gestellt worden. Der betroffene klagende Arbeitnehmer war dabei nur in Hintergrund zu sehen.

Verwendet man die Bilder aber individualisierter, indem man den Mitarbeiter zum Beispiel ausdrücklich im Internet vorstellt, ist der Arbeitnehmer berechtigt, nach Beendigung des Arbeitsverhältnisses seine Einwilligung zur Verwendung der Bilder zu widerrufen. Dann muss es schon auf Seiten des Arbeitgebers erhebliche Gründe geben, dass er dieses Bild wenigstens noch zeitweilig weiter nutzen kann. Das kann der Fall sein, wenn er die Bilder auch auf Druckprodukten oder in produzierten Videos verwendet, die nicht unerhebliche Kosten verursacht haben. Bei Druckprodukten wird man dann von einer so genannten „Aufbrauchfrist" ausgehen können.

Wie lange der Arbeitgeber nach der Beendigung des Arbeitsverhältnisses die Bilder noch benutzen kann, hat das Bundesarbeitsgericht nicht entschieden. Das hängt auch von der Intensität der Darstellung und der Nutzung ab. Als Faustregel muss davon ausgegangen werden, dass eine Benutzung über die Dauer von zwei Jahren hinaus eher nicht zulässig ist. Und das Beibehalten einer Darstellung eines Mitarbeiters im Internet mit Foto konkret als vorhandener Mitarbeiter wird sicherlich schon unmittelbar nach Beendigung des Arbeitsverhältnisses unzulässig sein."

Unserem Datenschutz-Kunden haben wir daher empfohlen, mit den Arbeitnehmern eine gesonderte Einwilligung zur Nutzung von Mitarbeiterfotos und -Videos neben dem eigentlichen Arbeitsvertrag abzuschließen. Ein entsprechendes Formular haben wir mit dem Kunden erarbeitet. Die Nutzungsdauer nach dem Ausscheiden haben wir an die Erfordernisse angepasst.


Falls Sie in Ihrem Unternehmen Unterstützung benötigen im Bereich Datenschutz, sind wir auch Ihnen gerne behilflich. Fordern Sie uns!

Ihr yourIT-Datenschutz-Team


Bidnachweis: 229H_©_Ryan_McGuire_gratisography_com