DSGVO-sicher in 5 Minuten: So einfach verwalten Sie Fotos datenschutzkonform
Drei Jahre DSGVO und viele fahren immer noch auf Sicht oder nach der Devise „Augen zu und durch“. Doch wenn man mal das Nebenrauschen ausschaltet, sind es eigentlich nur drei Faktoren, die beachtet werden müssen: 1. Einwilligung, 2. Berechtigtes Interesse und 3. Dokumentation mit Software. Die Details haben wir hier aufgeführt, damit lichtet sich der Nebel um die DSGVO.1
Wen es betrifft
Wer glaubt, die DSGVO spiele nur in der Personalabteilung und Kundenbetreuung eine Rolle, den müssen wir leider enttäuschen. Macht aber nix, denn wir haben einen effektiven Schnelltest entwickelt. Er verrät sofort, ob Ihre Kommunikationsabteilung und Ihr Artbuying von der DSGVO betroffen sind. Unseren Schnelltest können Sie gratis, ohne Anmeldung, im Homeoffice oder sonst wo durchführen, denn er besteht nur aus einer simplen Frage: Haben Sie in Ihrer digitalen 
Unternehmensbildersammlung Personenfotos? Wenn ja, dann speichern Sie personenbezogene Daten. Und dann müssen Sie sich auch mit der DSGVO auseinandersetzen. Egal, ob ein Name und eine Adresse an den Bildern steht oder nicht oder ob Sie die Fotografien „nur intern“ speichern oder irgendwann veröffentlichen wollen: Über allem schwebt die schützende Hand der DSGVO. Damit sie für Sie kein bedrohlicher Schatten wird, bringen wir mal systematisch Licht ins Dunkel und erläutern Step by Step, wie Sie Daten und Persönlichkeitsrechte Ihrer Fotomodels (alias „betroffene Personen“) im Alltag so gut schützen, dass Sie sich nicht mehr hinter der Zimmerpalme verstecken müssen, wenn Ihr Datenschutzbeauftragter mal auf einen Kaffee vorbeischaut.
Zwei Wege zum legalen Bild
Personenbezogene Daten erheben heißt in Ihrem Fall also: Menschen fotografieren. Beispielsweise Ihre Mitarbeiter oder Kollegen für Ihre Website. Oder Ihren Firmenevent für Instagram oder professionelle Models für Ihre neue Kampagne. Der Gesetzgeber stellt zwei Wege bereit, um diese digitalen Bilddaten legal zu erstellen:
- Mit Einwilligung sammeln und verarbeiten
Ihr Model lässt sich bereitwillig fotografieren? Super – aber was genau darf mit den Fotos später passieren? Das dokumentieren Sie im Model Release. Eine solche Einwilligung oder Freigabeerklärung des Models bereiten Sie zusammen mit Ihrer Rechtsabteilung als Standarddokument vor. Im Model Release lassen Sie sich die Erlaubnis bescheinigen, die Fotos der betreffenden Person zu speichern und in bestimmten, konkreten oder auch ganz allgemeinen Szenarien zu nutzen also zu veröffentlichen. Die Einwilligung sollte verschiedene Konditionen wie die Namensnennung bei Veröffentlichung, die verschiedenen Veröffentlichungskanäle und Nutzungsarten thematisieren und Ausschlussmöglichkeiten geben. Außerdem sollten Sie sich hier schriftlich über den Widerruf und dessen Folgen verständigen, denn diese Möglichkeit verlangt die DSGVO. Mit einer solchen, professionell aufgesetzten Einwilligung stehen Sie rechtlich auf der sicheren Seite. Bei geplanten Fotoshootings haben Sie das Dokument grundsätzlich in der Tasche und lassen es sich unterzeichnen. Interessant: Mittlerweile können einige Anbieter professioneller Bildverwaltungssoftware (DAM-Software) diesen Einwilligungsprozess komplett digital abbilden. Kein Drucken und Scannen, keine doppelte Buchführung mehr!
- Berechtigtes Interesse
Bei Veranstaltungen gewisser Größe stößt die schriftlich dokumentierte Einwilligung schnell an praktische Grenzen. Trotzdem kann man hier sicher fotografieren lassen. Zumindest sofern sich der Veranstalter für das Fotografieren, das Speichern und Verarbeiten und die Nutzung der Fotos auf sein berechtigtes Interesse berufen kann. Aber das ist an wichtige Vorbedingungen geknüpft:
Der Rang des fotografierten Ereignis muss den eines zeitgeschichtlichen Ereignisses besitzen. Um später Probleme zu vermeiden, sollten Sie schon während der Veranstaltung darauf hinweisen, dass und für welchen Zweck fotografiert wird und an wen man sich wenden kann, um seinen Widerspruch gemäß DSGVO an der Speicherung oder Nutzung der Bilder zu erklären. Dafür kann Ihr Eingangsbereich, Ihre Eintrittskarte oder Ihre Hausordnung eine gute Wahl sein.
Was Sie nicht nur im Hinterkopf behalten sollten ist, dass die Einwilligung und das berechtigte Interesse nicht global gelten, sondern für einen konkreten Nutzungszweck geltend gemacht oder verabredet werden. Und über diesen Nutzungszweck darf die Speicherung und Nutzung des Bildes nicht hinausreichen. Wenn Sie also ein berechtigtes Interesse haben, über eine gutbesuchte Messe in Ihren Hallen mit Bildern voller Gänge zu berichten, weil es sich auch dabei ja um ein zeitgeschichtliches Ereignis handelt, dann können Sie dafür Bilder von der Messe nutzen, ohne dass die Einwilligung der fotografierten vorliegen muss. Ihr Recht sticht hier in der Regel das Persönlichkeitsrecht der Fotografierten aus. Sie dürfen diese Bilder aber nicht zur Werbung für Messen in Ihren Hallen nutzen.
Sauber dokumentieren
Jetzt wird klar, warum DSGVO-konforme Bildkommunikation eigentlich immer professionelle Bildverwaltung mit geeigneter Software voraussetzt. Denn ohne ein durchdachtes System und spezielle Funktionalitäten lassen sich die gestellten Anforderungen gar nicht bewältigen. Das sind die wichtigsten Punkte für eine DSGVO konforme Speicherung:
- Die Einwilligungserklärung muss allen Fotos zugeordnet sein, auf die sie sich bezieht. Fotos, die mehrere Personen zeigen, müssen natürlich mehreren Einwilligungserklärungen zugeordnet sein.
- Freigaben oder Restriktionen für die Nutzung eines Bildes müssen dokumentiert sein.
- Sie müssen in der Lage sein, auf Verlangen sicher Auskunft über gespeicherte personenbezogene Daten geben zu können.
- Sie müssen sämtliche Bilder einer Person in Ihrem Gesamtbestand löschen können. Funktioniert natürlich nur, wenn Sie den Namen jeder fotografierten Person am Bild dokumentiert haben.
Wie sollte man diesen Anforderungen ohne Spezialsoftware gerecht werden? Mit Excel-Listen? Professionell und sicher sieht anders aus!
Digitale Prozesse brauchen Softwareunterstützung
Führen Sie sich vor Augen, dass viele andere Unternehmen vor der gleichen Herausforderung stehen wie Sie – und genau deshalb existieren dafür auch professionelle Lösungen. Mit einem professionellen System bekommt man das Thema DSGVO gut in den Griff. Tools wie automatische Gesichtserkennung helfen auch ohne Amazon oder Google, Einwilligungen und Nutzungsfreigabe schnell zu dokumentieren. Sie sind auch eine fantastische Hilfe, um Namen ohne irgendeinen Aufwand Gesichtern zuzuweisen und dafür zu sorgen, dass diese Bilder auf Knopfdruck aufgerufen und auf Verlangen gelöscht werden können.
Datengeiz praktizieren
Auch die nächste Datenschutz-Aufgabe lässt sich mit einem professionellen Digital Asset Management (DAM)-System leicht umsetzen, während der Fileserver damit schnell überfordert ist. Geiz ist zwar nicht geil aber Datengeiz ist das Gesetz der Stunde. Grundsatz modernen Datenschutzes ist, dass nur derjenige genau diejenigen Daten zu Gesicht bekommt, die er tatsächlich benötigt. Deshalb dürfen beispielsweise Ihre Model Releases mit allen Kontaktdaten nicht einfach in einem Ordner mit Ihren Fotos liegen, die alle Kollegen sehen können. Einwilligungen sieht nur, wer sie sehen muss. Für alle anderen reicht ja die Information, dass es eine Freigabe gibt und was sie erlaubt und verbietet. Die Model Release gehören also ins Fort Knox, aber ihre zentralen Inhalte gehören an die Bilder, die sie betreffen.
Ihr Datengeiz gilt natürlich auch Externen gegenüber, also wenn Sie Bilder herausgeben. Nur wer Personennamen benötigt, bekommt sie auch. Alle anderen erhalten nur anonymisierte Bilder von Ihnen. Mit einem DAM-System können Sie Informationen zu Bildern strukturiert erfassen und deshalb auch kontrolliert ausgeben. Dazu werden die Informationen in bestimmte Metadatenfelder geschrieben und direkt in der Bilddatei gespeichert. Felder, die Externe nichts angehen, werden vor dem Download einfach gelöscht.
Zusammenfassung
Was Sie wann unbedingt beachten müssen, wenn Sie Personenfotos DSGVO-konform anfertigen, verarbeiten und nutzen wollen:
- Bei der Produktion: Transparent fotografieren, Einwilligung schriftlich festhalten, über Widerspruchswege informieren
- Bei der Verarbeitung: Nutzungszweck und Personennamen am Bild dokumentieren, Model Release getrennt bzw. sicher verwahren
- Bei der Weitergabe: Prinzip Datengeiz: Irrelevante Daten/Personennamen löschen
Das alles lässt sich nur mit einer professionellen DAM-Software effizient umsetzen – aber damit ist es tatsächlich kein Problem. Nächster Vorteil: Viele der hier gezeigten STOP- und ACHTUNG-Schilder lassen sich gleich an die Software wegdelegieren. Bei der Konfiguration der Software einmal bedacht und eingerichtet, laufen diese Datenschutz-Prozesse dann auf Klick oder von allein und belasten weder Ihr Gedächtnis noch Ihren Arbeitsalltag. Eine letzte Warnung, nur der Vollständigkeit halber: Natürlich müssen Sie bereits bei der Anschaffung der Software darauf achten, dass die Dateiablage in der Cloud nach DSGVO geschieht. Aber auch da können wir bestimmt helfen: Wir informieren Sie gern über die besten Systeme und richten Sie für die DSGVO-konforme Nutzung ein.
- Dieser Blogbeitrag dient der allgemeinen Information, nicht der Beratung bei individuellen rechtlichen Anliegen. Die Autorin ist keine Rechtsanwältin. Eine Gewähr für die Richtigkeit und Vollständigkeit der Angaben kann nicht gegeben werden.↩
