Mit­ar­bei­ter­fo­to ver­öf­fent­li­chen – Ein­wil­li­gung erforderlich?!

Nach Art. 6 Abs. 1 lit. a) DS-GVO ist der Umgang mit per­so­nen­be­zo­ge­nen Daten auch dann zu­läs­sig, wenn die be­trof­fe­ne Person hierzu eine wirk­sa­me Zu­stim­mung (frei­wil­li­ge Ein­wil­li­gung) erteilt hat.

Ein­wil­li­gung im Beschäftigungsverhältnis

Die Vor­aus­set­zun­gen für eine wirk­sa­me Ein­wil­li­gungs­er­klä­rung werden in Art. 7 DS-GVO ge­re­gelt. Mit § 26 Abs. 2 BDSG regelt der deut­sche Ge­setz­ge­ber im Rahmen der Öff­nungs­klau­sel des Art. 88 Abs. 1 DS-GVO die Be­din­gun­gen unter denen per­so­nen­be­zo­ge­ne Daten im Be­schäf­ti­gungs­ver­hält­nis auf Basis einer Ein­wil­li­gung des Be­schäf­tig­ten ver­ar­bei­tet werden können (ErwG 155).

Kri­tisch zu be­wer­ten ist die Nutzung und das Ein­stel­len von Fotos von Be­schäf­tig­ten, z.B. auf der In­ter­net­sei­te des Ar­beit­ge­bers, der Vor­aus­set­zung des § 26 Abs. 1 BDSG. Dies be­deu­tet, dass die Ver­öf­fent­li­chung von Auf­nah­men wie z.B. Fotos von Be­schäf­tig­ten nicht nach § 26 Abs. 1 BDSG gedeckt sind. Es kann dem Grunde nach daher nur mit einer Ein­wil­li­gung eine Rechts­grund­la­ge ge­schaf­fen werden

Die Er­klä­rung sollte in der Mut­ter­spra­che des Be­schäf­tig­ten vor­ge­legt werden, wenn davon aus­ge­gan­gen werden kann, dass er des Deut­schen nicht hin­rei­chend mächtig ist. An­sons­ten kann von einem frei­wil­li­gen und in­for­mier­ten Ver­zicht re­gel­mä­ßig nicht ge­spro­chen werden.*

Vor­aus­set­zun­gen

Der beste Zeit­punkt für die Ein­ho­lung einer Ein­wil­li­gung, nicht nur im Be­schäf­tig­ten­kon­text, ist vor Beginn der Da­ten­ver­ar­bei­tung. Es ist auch der einzige Zeit­punkt, an dem eine Ein­wil­li­gung ge­set­zes­kon­form ein­ge­holt werden kann. Diese Vor­aus­set­zung ist zwar nicht ex­pli­zit ge­re­gelt, sie ergibt sich aber aus der Funk­ti­on der Ein­wil­li­gung, eine Da­ten­ver­ar­bei­tung zu le­gi­ti­mie­ren.

In Art. 4 Nr. 11 DS-GVO sind die Vor­aus­set­zun­gen für eine wirk­sa­me Ein­wil­li­gung de­fi­niert. Der Be­trof­fe­ne, d.h. hier der Be­schäf­tig­te, hat diese in „in­for­mier­ter Weise“ zu er­klä­ren. Die Nennung des Ver­ant­wort­li­chen und die Ver­ar­bei­tungs­zwe­cke (ErwG 42) umfasst dies ebenso wie auch alle Pflicht­in­for­ma­tio­nen nach Art. 13 DS-GVO.

All­ge­mei­ne Check­lis­te für Einwilligungen

Nach­ste­hen­de Punkte sollte eine Ein­wil­li­gung enthalten:

• Angaben zum Verantwortlichen
• Dar­stel­lung des Verwendungszweckes
• Ka­te­go­rien der per­so­nen­be­zo­ge­nen Daten (welche erhoben und ver­ar­bei­tet werden)
• Emp­fän­ger der Daten
• Hinweis auf Freiwilligkeit
• Be­stehen des Wi­der­rufs­rechts und dessen Folgen (für die Zukunft)
• Weitere Pflicht­in­for­ma­tio­nen.
  • Angaben zur Dauer der Ver­ar­bei­tung (z.B. Speicherdauer)
  • In­for­ma­tio­nen zu den Be­trof­fe­nen­rech­ten sowie dem Be­schwer­de­recht bei einer Datenschutz-Aufsichtsbehörde
  • Kon­takt­da­ten des Da­ten­schutz­be­auf­trag­ten (sofern vor­han­den, an­sons­ten Ansprechpartner)
  • ggf. Be­stehen einer au­to­ma­ti­schen Ent­schei­dungs­fin­dung (Art. 22 DS-GVO)

Nach­weis­pflich­ten

Es gelten neben den Be­stim­mun­gen der DS-GVO zur Ein­wil­li­gung auch die Nach­weis­pflich­ten des Ver­ant­wort­li­chen. Der Ar­beit­ge­ber hat gem. Art. 7 Abs. 1 DS-GVO die Wirk­sam­keit der Ein­wil­li­gung durch seinen Be­schäf­tig­ten nach­zu­wei­sen, wenn diese zur Le­gi­ti­mie­rung der Da­ten­ver­ar­bei­tung gilt und er sich darauf beruft. Der Ar­beit­ge­ber trägt daher das Risiko der Wirk­sam­keit der Einwilligung.

AdOrga Solutions GmbH – Ihre Datenschutz-Diplomaten.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Daten­schutz.  

* vgl. Thüsing/Traut in: Thüsing: Be­schäf­tig­ten­da­ten­schutz und Com­pli­ance, Rn. 44, 3. Auflage 2021, C.H. Beck