Sind auf Fotos Rückschlüsse z. B. auf die Gesundheit, die Herkunft oder die politische Einstellung gezogen werden, kann es sich dabei um Kategorien besonders sensibler Daten nach Art. 9 DSGVO handeln. Diese personenbezogenen Daten haben einen Bedarf an besonderem Schutz, da sie besonderen Risiken für die Grundrechte und Grundfreiheiten ausgesetzt sind. Dieser Beitrag beschäftigt sich mit der Frage, ob dieser besondere Schutz für jedes verarbeitete Fotos gilt, aus denen sensible Daten hervorgehen, oder dem Inhalt und Zweck nach differenziert werden muss.
Im vorherigen Beitrag „DSGVO vs. KUG: Die Veröffentlichung von Fotografien“ haben wir uns mit der Frage auseinandergesetzt, wie sich Einwilligungen nach DSGVO und KUG bei der Veröffentlichung von Fotos gegenüberstehen. Insbesondere wenn nach DSGVO eine andere Rechtsgrundlage als die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO einschlägig ist, stellt sich in der Praxis die Frage nach der korrekten Umsetzung. Eine Einwilligung nach KUG wird nach der derzeitigen Meinung immer erforderlich sein. Liegt der Verarbeitung nach DSGVO ein Vertrag zugrunde, ist nicht noch zusätzlich eine Einwilligung notwendig. Oder?
“Vernünftigerweise muss man auf den Einzelfall und dessen Kontext abstellen. Bei Bewerbungs- oder Mitarbeiterfotos stehen in der Regel keine sensiblen Daten im Mittelpunkt. Das könnte sich nur mittelbar aus der Tatsache ergeben, dass z.B. ein Brillenträger zu sehen ist.” – Eileen Binder
Besondere Kategorien personenbezogener Daten
Insbesondere auf Bewerbungsfotos hat man sie immer wieder: Besondere Merkmale wie die Brille, das Kopftuch oder die Hautfarbe, die vermeintlich Rückschlüsse auf die Gesundheit, die religiöse Überzeugung oder die Herkunft der abgebildeten Person zulassen. Diese Merkmale gehören zu den besonders sensiblen Daten nach Art. 9 DSGVO.
Wollen besonders sensible Daten verarbeitet werden, funktioniert das in der Regel nicht ohne Einwilligung. Grund dafür ist Art. 9 Abs. 1 DSGVO. Dieser bestimmt, dass die Verarbeitung dieser Daten grundsätzlich verboten ist. Absatz 2 enthält ergänzend einen Katalog darüber, in welchen Fällen die Verarbeitung ausnahmsweise erlaubt ist. Allen voran steht hier die Einwilligung.
Der Umstand könnte dazu führen, dass in den Fällen, in denen nach DSGVO die Veröffentlichung von Fotos zur Erfüllung eines Vertrages (Art. 6 Abs. 1 S. 1 lit. b DSGVO) oder auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 S. 1 lit. f DSGVO) grundsätzlich erlaubt wäre, nun doch auf die Einwilligung zurückgegriffen werden müsste.
Exkurs: Es ist empfehlenswert, Einwilligung so weit wie möglich zu vermeiden, wenn auch eine andere Rechtsgrundlage zur Zulässigkeit der Datenverarbeitung führt. Das hängt hauptsächlich mit den damit verbundenen Dokumentations- und Rechenschaftspflichten zusammen. Es bedarf teilweise eines guten und durchdachten Prozessmanagements, um Einwilligungen ordentlich einzuholen, abzulegen und nach Widerruf zu verwalten. Man erinnere sich an die Zeit als Webseiten noch ohne Conc sent-Banner betreten werden konnten.
Vernünftigerweise muss man auf den Einzelfall und den Kontext des zu veröffentlichenden Fotos abstellen. Hat das Foto gerade den Zweck, ein Gesundheitsdatum, eine religiöse Überzeugung oder eine Parteizugehörigkeit durch Teilnahme an Demonstrationen oder Streiks zu dokumentieren, so steht hier das sensible Datum eindeutig im Mittelpunkt des Fotos. Bei Bewerbungs- oder Mitarbeiterfotos ist das in der Regel gerade nicht Fall. Ein sensibles Datum könnte sich nur mittelbar aus der Tatsache ergeben, dass z.B. ein Brillenträger zu sehen ist. Aber wer kann das schon genau sagen, in Zeiten, in denen Brillen auch als reines Fensterglas-Accessoire gelten?
Videoüberwachung grundsätzlich kein sensibles Datum
Indizien, dass diese Auffassung gut vertreten werden kann, ergeben sich aus Leitlinien, die der Europäische Datenschutzausschuss (= EDSA) am 10.07.2019 zur Videoüberwachung veröffentlich hat. Darin schreibt die EDSA, dass Videoaufnahmen, die Menschen mit Brille oder etwa im Rollstuhl zeigen, nicht zwangsläufig „Gesundheitsdaten“ erfassen. Anders verhält es sich, wenn eine betroffene Person eindeutig identifizierbar als Teilnehmer einer Demonstration oder eines Streiks aufgezeichnet wird. Laut der EDSA können diese Informationen durchaus den Anwendungsbereich des Art. 9 DSGVO eröffnen.
Biometrische Fotos als sensible Daten
Die Auffassung erhält weitere Unterstützung durch Erwägungsgrund 51 S. 3 DSGVO. Dort steht ausdrücklich, dass Die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden sollte. Grund hierfür sei, dass Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Hier wird also in Bezug auf Lichtbilder nur ein Kontext zu den biometrischen Daten hergestellt, ein Zusammenhang zwischen Lichtbildern und Gesundheitsdaten scheint nicht offensichtlich angenommen werden zu können.
Daher sind Hinweise wie z.B. „Sofern sich aus dem Foto Hinweise auf Ihre Gesundheit, Ihre Herkunft, usw. ergeben“ in Fotoeinwilligungen überflüssig. Zum einen ist der Hinweis – wie gesagt – nur relevant, wenn das Foto direkt oder indirekt Informationen über den Gesundheitszustand, die Herkunft oder religiöse Überzeugung der Person vermittelt. Zum anderen könnten solche Hinweise die teilweise sowieso schon langen Fotoeinwilligungen schlicht überfrachten und damit gegen das Transparenzgebot verstoßen.
Fazit
Fotos, aus denen vermeintlich Rückschlüsse auf z.B. die Gesundheit, die Herkunft, die Rasse oder die sexuelle Orientierung gezogen werden können, sind nicht allein deswegen als sensible Daten zu qualifizieren. Das gilt insbesondere dann, wenn die Merkmale nur „Beiwerk“ des Fotos sind, wie z.B. auf Bewerber- oder Mitarbeiterfotos. Solche Fotos gelten nur dann als sensible Daten im Sinne des Art. 9 DSGVO, wenn die dafür typischen Merkmale das Foto gerade ausmachen. Ist es Zweck des Fotos, die betroffene Person aufgrund ihrer Herkunft, ihrer Gesundheit, ihrer politischen Zugehörigkeit, etc. abzulichten, dann sind diese personenbezogenen Daten ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel und verdienen einen besonderen Schutz, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können.
Was Sie noch interessieren könnte:
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]
Die Revision der ISO/IEC 27001:2022 und der Datenschutz
Die im Oktober 2022 veröffentlichte ISO/IEC 27001 in der Version 2022 löst die ISO/IEC 27001:2013, wohl wichtigste Norm zur Informationssicherheit, […]
Ist löschen durch Anonymisierung möglich?
Kann der Pflicht zur Löschung personenbezogener Daten nach Zweckentfall oder die Erfüllung des Betroffenenrechts auf Löschung auch durch eine […]