Sind auf Fotos Rück­schlüs­se z. B. auf die Gesund­heit, die Her­kunft oder die poli­ti­sche Ein­stel­lung gezo­gen wer­den, kann es sich dabei um Kate­go­rien beson­ders sen­si­bler Daten nach Art. 9 DSGVO han­deln. Die­se per­so­nen­be­zo­ge­nen Daten haben einen Bedarf an beson­de­rem Schutz, da sie beson­de­ren Risi­ken für die Grund­rech­te und Grund­frei­hei­ten aus­ge­setzt sind. Die­ser Bei­trag beschäf­tigt sich mit der Fra­ge, ob die­ser beson­de­re Schutz für jedes ver­ar­bei­te­te Fotos gilt, aus denen sen­si­ble Daten her­vor­ge­hen, oder dem Inhalt und Zweck nach dif­fe­ren­ziert wer­den muss.

Im vor­he­ri­gen Bei­trag „DSGVO vs. KUG: Die Ver­öf­fent­li­chung von Foto­gra­fien“ haben wir uns mit der Fra­ge aus­ein­an­der­ge­setzt, wie sich Ein­wil­li­gun­gen nach DSGVO und KUG bei der Ver­öf­fent­li­chung von Fotos gegen­über­ste­hen. Ins­be­son­de­re wenn nach DSGVO eine ande­re Rechts­grund­la­ge als die Ein­wil­li­gung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ein­schlä­gig ist, stellt sich in der Pra­xis die Fra­ge nach der kor­rek­ten Umset­zung. Eine Ein­wil­li­gung nach KUG wird nach der der­zei­ti­gen Mei­nung immer erfor­der­lich sein. Liegt der Ver­ar­bei­tung nach DSGVO ein Ver­trag zugrun­de, ist nicht noch zusätz­lich eine Ein­wil­li­gung not­wen­dig. Oder?

Ver­nünf­ti­ger­wei­se muss man auf den Ein­zel­fall und des­sen Kon­text abstel­len. Bei Bewerbungs- oder Mit­ar­bei­ter­fo­tos ste­hen in der Regel kei­ne sen­si­blen Daten im Mit­tel­punkt. Das könn­te sich nur mit­tel­bar aus der Tat­sa­che erge­ben, dass z.B. ein Bril­len­trä­ger zu sehen ist.” – Eileen Binder

Besondere Kategorien personenbezogener Daten

Ins­be­son­de­re auf Bewer­bungs­fo­tos hat man sie immer wie­der: Beson­de­re Merk­ma­le wie die Bril­le, das Kopf­tuch oder die Haut­far­be, die ver­meint­lich Rück­schlüs­se auf die Gesund­heit, die reli­giö­se Über­zeu­gung oder die Her­kunft der abge­bil­de­ten Per­son zulas­sen. Die­se Merk­ma­le gehö­ren zu den beson­ders sen­si­blen Daten nach Art. 9 DSGVO.

Wol­len beson­ders sen­si­ble Daten ver­ar­bei­tet wer­den, funk­tio­niert das in der Regel nicht ohne Ein­wil­li­gung. Grund dafür ist Art. 9 Abs. 1 DSGVO. Die­ser bestimmt, dass die Ver­ar­bei­tung die­ser Daten grund­sätz­lich ver­bo­ten ist. Absatz 2 ent­hält ergän­zend einen Kata­log dar­über, in wel­chen Fäl­len die Ver­ar­bei­tung aus­nahms­wei­se erlaubt ist. Allen vor­an steht hier die Einwilligung.

Der Umstand könn­te dazu füh­ren, dass in den Fäl­len, in denen nach DSGVO die Ver­öf­fent­li­chung von Fotos zur Erfül­lung eines Ver­tra­ges (Art. 6 Abs. 1 S. 1 lit. b DSGVO) oder auf Grund­la­ge des berech­tig­ten Inter­es­ses (Art. 6 Abs. 1 S. 1 lit. f DSGVO) grund­sätz­lich erlaubt wäre, nun doch auf die Ein­wil­li­gung zurück­ge­grif­fen wer­den müsste.

Exkurs: Es ist emp­feh­lens­wert, Ein­wil­li­gung so weit wie mög­lich zu ver­mei­den, wenn auch eine ande­re Rechts­grund­la­ge zur Zuläs­sig­keit der Daten­ver­ar­bei­tung führt. Das hängt haupt­säch­lich mit den damit ver­bun­de­nen Dokumentations- und Rechen­schafts­pflich­ten zusam­men. Es bedarf teil­wei­se eines guten und durch­dach­ten Pro­zess­ma­nage­ments, um Ein­wil­li­gun­gen ordent­lich ein­zu­ho­len, abzu­le­gen und nach Wider­ruf zu ver­wal­ten. Man erin­ne­re sich an die Zeit als Web­sei­ten noch ohne Conc sent-Banner betre­ten wer­den konnten.

Ver­nünf­ti­ger­wei­se muss man auf den Ein­zel­fall und den Kon­text des zu ver­öf­fent­li­chen­den Fotos abstel­len. Hat das Foto gera­de den Zweck, ein Gesund­heits­da­tum, eine reli­giö­se Über­zeu­gung oder eine Par­tei­zu­ge­hö­rig­keit durch Teil­nah­me an Demons­tra­tio­nen oder Streiks zu doku­men­tie­ren, so steht hier das sen­si­ble Datum ein­deu­tig im Mit­tel­punkt des Fotos. Bei Bewerbungs- oder Mit­ar­bei­ter­fo­tos ist das in der Regel gera­de nicht Fall. Ein sen­si­bles Datum könn­te sich nur mit­tel­bar aus der Tat­sa­che erge­ben, dass z.B. ein Bril­len­trä­ger zu sehen ist. Aber wer kann das schon genau sagen, in Zei­ten, in denen Bril­len auch als rei­nes Fensterglas-Accessoire gelten?

Videoüberwachung grundsätzlich kein sensibles Datum

Indi­zi­en, dass die­se Auf­fas­sung gut ver­tre­ten wer­den kann, erge­ben sich aus Leit­li­ni­en, die der Euro­päi­sche Daten­schutz­aus­schuss (= EDSA) am 10.07.2019 zur Video­über­wa­chung ver­öf­fent­lich hat. Dar­in schreibt die EDSA, dass Video­auf­nah­men, die Men­schen mit Bril­le oder etwa im Roll­stuhl zei­gen, nicht zwangs­läu­fig „Gesund­heits­da­ten“ erfas­sen. Anders ver­hält es sich, wenn eine betrof­fe­ne Per­son ein­deu­tig iden­ti­fi­zier­bar als Teil­neh­mer einer Demons­tra­ti­on oder eines Streiks auf­ge­zeich­net wird. Laut der EDSA kön­nen die­se Infor­ma­tio­nen durch­aus den Anwen­dungs­be­reich des Art. 9 DSGVO eröffnen.

Biometrische Fotos als sensible Daten

Die Auf­fas­sung erhält wei­te­re Unter­stüt­zung durch Erwä­gungs­grund 51 S. 3 DSGVO. Dort steht aus­drück­lich, dass Die Ver­ar­bei­tung von Licht­bil­dern nicht grund­sätz­lich als Ver­ar­bei­tung beson­de­rer Kate­go­rien von per­so­nen­be­zo­ge­nen Daten ange­se­hen wer­den soll­te. Grund hier­für sei, dass Licht­bil­der nur dann von der Defi­ni­ti­on des Begriffs „bio­me­tri­sche Daten“ erfasst wer­den, wenn sie mit spe­zi­el­len tech­ni­schen Mit­teln ver­ar­bei­tet wer­den, die die ein­deu­ti­ge Iden­ti­fi­zie­rung oder Authen­ti­fi­zie­rung einer natür­li­chen Per­son ermög­li­chen. Hier wird also in Bezug auf Licht­bil­der nur ein Kon­text zu den bio­me­tri­schen Daten her­ge­stellt, ein Zusam­men­hang zwi­schen Licht­bil­dern und Gesund­heits­da­ten scheint nicht offen­sicht­lich ange­nom­men wer­den zu können.

Daher sind Hin­wei­se wie z.B. „Sofern sich aus dem Foto Hin­wei­se auf Ihre Gesund­heit, Ihre Her­kunft, usw. erge­ben“ in Foto­ein­wil­li­gun­gen über­flüs­sig. Zum einen ist der Hin­weis – wie gesagt – nur rele­vant, wenn das Foto direkt oder indi­rekt Infor­ma­tio­nen über den Gesund­heits­zu­stand, die Her­kunft oder reli­giö­se Über­zeu­gung der Per­son ver­mit­telt. Zum ande­ren könn­ten sol­che Hin­wei­se die teil­wei­se sowie­so schon lan­gen Foto­ein­wil­li­gun­gen schlicht über­frach­ten und damit gegen das Trans­pa­renz­ge­bot verstoßen.

Fazit

Fotos, aus denen ver­meint­lich Rück­schlüs­se auf z.B. die Gesund­heit, die Her­kunft, die Ras­se oder die sexu­el­le Ori­en­tie­rung gezo­gen wer­den kön­nen, sind nicht allein des­we­gen als sen­si­ble Daten zu qua­li­fi­zie­ren. Das gilt ins­be­son­de­re dann, wenn die Merk­ma­le nur „Bei­werk“ des Fotos sind, wie z.B. auf Bewerber- oder Mit­ar­bei­ter­fo­tos. Sol­che Fotos gel­ten nur dann als sen­si­ble Daten im Sin­ne des Art. 9 DSGVO, wenn die dafür typi­schen Merk­ma­le das Foto gera­de aus­ma­chen. Ist es Zweck des Fotos, die betrof­fe­ne Per­son auf­grund ihrer Her­kunft, ihrer Gesund­heit, ihrer poli­ti­schen Zuge­hö­rig­keit, etc. abzu­lich­ten, dann sind die­se per­so­nen­be­zo­ge­nen Daten ihrem Wesen nach hin­sicht­lich der Grund­rech­te und Grund­frei­hei­ten beson­ders sen­si­bel und ver­die­nen einen beson­de­ren Schutz, da im Zusam­men­hang mit ihrer Ver­ar­bei­tung erheb­li­che Risi­ken für die Grund­rech­te und Grund­frei­hei­ten auf­tre­ten können.

Was Sie noch interessieren könnte:

Ist löschen durch Anonymisierung möglich?

9. Mai 2023|

Kann der Pflicht zur Löschung per­so­nen­be­zo­ge­ner Daten nach Zweck­ent­fall oder die Erfül­lung des Betrof­fe­nen­rechts auf Löschung auch durch eine […]

Autorin des Artikels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz