Achtung, Schadens­ersatz: Umgang mit Bildern von Ex-Mitarbeitern

Beschlüsse über die Bewil­ligung von Prozess­kos­ten­hilfe sind selten aufregend. Wenn die dahin­ter­ste­hende Rechts­frage aber so inter­essant ist wie die Voraus­set­zungen von Schadens­er­satz­an­sprüchen bei DSGVO–Verstößen, schafft es auch ein Beschluss des Arbeits­ge­richts Lübeck (Beschluss vom 20.06.2019, Az.: 1 Ca 538/19) zu recht in die Öffentlichkeit.

Was war passiert? Ein Unter­nehmen stellte ein Foto mit Namen und Stellen­be­zeichnung eines Mitar­beiters auf seine Homepage und auch seine Facebook–Fanpage. Dann kündigte der Arbeit­nehmer. Anlässlich der Kündigung widerrief er die dem Arbeit­geber erteilte Einwil­ligung in die Verwendung des Fotos. Der Arbeit­geber entfernte darauf hin zwar das Bild von der Homepage, aber nicht von der Facebook-Fanpage.

Im Guten scheint man nicht vonein­ander geschieden zu sein, denn nun fuhr der Arbeit­nehmer schwerere Geschütze auf und ließ seinen Anwalt das Ex–Unternehmen auffordern, das Bild auch bei Facebook zu löschen. Weiter machte der Anwalt Schadens­ersatz nach Art. 82 Abs. 1 DSGVO geltend. Der Auffor­derung zur Löschung kam das Unter­nehmen nach, Schadens­ersatz wollte es aber nicht zahlen. Der Arbeit­nehmer bestand aber auf der Forderung.

Beim Arbeits­ge­richt beantragte er die Gewährung von Prozess­kos­ten­hilfe. Im Zuge dessen hatte das Gericht zu prüfen, ob der geltend gemachte Anspruch wohl besteht. Dies ist insofern inter­essant, als dass die DSGVO bekanntlich erst seit 2018 scharf­ge­schaltet ist, so dass es bisher zu vielen Fragen noch keine Recht­spre­chung gibt. In den Vor–DSGVO– Zeiten gab es Geld nur bei schwer­wie­genden Persön­lich­keits­rechts­ver­let­zungen. Die aktuelle Regelung enthält ein solches Kriterium aber nicht. Entspre­chend sah das Gericht auch ohne eine solche schwer­wie­gende Persön­lich­keits­rechts­ver­letzung einen Schadens­er­satz­an­spruch für wahrscheinlich gegeben an. Inter­essant auch: Der Arbeit­geber könne sich weder darauf berufen, dass die Veröf­fent­li­chung zur Begründung, Durch­führung oder Beendigung eines Beschäf­ti­gungs­ver­hält­nisses erfor­derlich sein. Noch kann er sich auf berech­tigte Inter­essen zurück­ziehen. Das Gericht sah deswegen einen Schadens­ersatz von bis zu 1.000 € für gegeben an.

Was bedeutet dieser Entscheidung nun für die Praxis? Sicherlich ist im Hinblick auf solche Konstel­la­tionen das aller­letzte Wort noch nicht gesprochen. So ist es wahrscheinlich, dass auch höhere Gerichte als ein erstin­stanz­liches Arbeits­ge­richt sich mit der Frage des Schadens­er­satzes künftig noch beschäf­tigen werden. Doch in jedem Fall sollten Unter­nehmen mit mehr Sorgfalt die Verwendung von Fotos ihrer Mitar­beiter begleiten. Zum einen sind Einwil­li­gungen weit wichtiger, als viele Unter­nehmen im hemds­är­me­ligen Alltag glauben. Zum anderen: Einwil­li­gungen können wider­rufen werden. Deswegen sollte die Klärung des weiteren Schicksals von Bildern zur Routine gehören, wenn Mitar­beiter ausscheiden (Miriam Vollmer).

2020-01-14T21:38:09+01:0014. Januar 2020|Digitales, Vertrieb|

Schreck­ge­spenst Daten­schutz: Bußgeld­be­scheid nach Behördenanfrage

Eine auf den ersten Blick etwas erschre­ckende Nachricht wabert durch das Internet: Ein kleiner Online-Versand­handel soll sich im Mai 2018 an den hessi­schen Beauf­tragten für Daten­schutz gewandt haben und um Rat hinsichtlich eines Dienst­leisters gebeten haben, der im Auftrag des Unter­nehmens Kunden­daten verar­beitet, aber trotz Nachfragen keinen Vertrag zur Auftrags­da­ten­ver­ar­beitung geschickt hatte. Offenbar hoffte man auf ein klärendes Wort der Behörde. Diese enttäuschte diese Hoffnung jedoch. Nach Ansicht der Daten­schutz­be­hörde musste sich nämlich das anfra­gende Unter­nehmen selbst um eine solche Verein­barung kümmern und einen Entwurf dem Auftrags­ver­ar­beiter vorlegen.

Das Unter­nehmen sah das anders und verlieh dieser Ansicht auch Ausdruck. Ein Anwalt trat auf den Plan und unter­strich im Auftrag des Unter­nehmens gegenüber der Behörde noch einmal, dass man den Dienst­leister in der Pflicht sah. Die Daten­schutz­be­hörde sah das aber immer noch anders und gab die Angele­genheit nach Hamburg ab. Die Daten­schutz­be­hörde in Hamburg erließ daraufhin gegen das Unter­nehmen, das nachge­fragt hatte, einen Bußgeld­be­scheid über 5000 €.

Was lernen wir nun aus diesem Verfahren? Besser Abstand halten zu den Daten­schutz­be­hörden? Vielleicht hilft eher ein Blick auf die recht­lichen Grund­lagen. Die Auftrags­ver­ar­beitung ist in Art. 28 DSGVO geregelt. Hiernach muss – die Verordnung beschreibt das recht detail­liert – derjenige, der sich als Verant­wort­licher eines Dienst­leisters bedient, dafür Sorge tragen, dass der einen ordent­lichen Daten­schutz einhält. Nach Art. 28 Abs. 3 DSGVO ist Grundlage ein zusätz­licher Vertrag, in dem ein recht engma­schig umschrie­bener Standard verpflichtend vereinbart wird. In Dienst­leis­tungs­ketten muss eine lückenlose Verpflich­tungs­kette diesen Standard sichern, Art. 28 Abs. 4 DSGVO.

In der Regelung steht nicht, wer den Entwurf dieser Verein­barung vorzu­legen hat. Es entspricht der gängigen Praxis, dass der Auftrags­ver­ar­beiter einen Vertrag vorliegt, denn schließlich weiß er am besten, durch welche konkreten Maßnahmen er den rechts­kon­formen Umgang mit den zu verar­bei­tenden Daten gewähr­leisten will. Und was er überhaupt ganz genau mit Daten macht. Juris­tisch zwingend ist das aber nicht. Entspre­chend hat die Behörde nicht ganz unrecht, wenn sie sich darauf beruft, dass dann, wenn dem Auftrag­geber schlicht nicht bekannt ist, was der Auftrags­ver­ar­beiter mit den Daten macht, und auch keine Verein­barung vom Verar­beiter vorgelegt wird, auf die Zusam­men­arbeit verzichtet werden sollte. Denn in einer solchen Lage ist ja kaum vorstellbar, wie die darge­stellte Pflicht zum Abschluss des Vertrages überhaupt sachgemäß einge­halten werden soll.

Aller­dings: Dies bedeutet nicht, dass nun panisch jedem Dienst­leister, der keinen Auftrags­ver­ar­bei­tungs­vertrag vorgelegt hat, die Zusam­men­arbeit aufzu­kün­digen wäre. Nicht alles, was auf den ersten Blick nach Auftrags­ver­ar­beitung aussieht, ist auch eine solche. Dies ist im ersten Schritt sorgfältig zu prüfen. Mögli­cher­weise braucht man ja gar keine solche Verein­barung. Und dies immerhin lehrt dieser Fall: Bevor sich ein Unter­nehmen aus einer ungeklärten Situation heraus an eine Behörde wendet, sollte sie für sich Klarheit gewonnen haben, ansonsten besteht stets die Gefahr, einen Sachverhalt lückenhaft, ungenau oder gar unrichtig zu kommu­ni­zieren, so dass die Behörde sich genötigt sieht, aktiv zu werden. Denn wenn erst einmal Bescheide in der Welt sind, ist es deutlich aufwen­diger, gegen diese anzugehen, als von vornherein abgesi­chert und klar zu kommunizieren.

2019-01-21T23:37:05+01:0021. Januar 2019|Datenschutz|

Neues von der facebook-Fanpage

Erinnern Sie sich noch an die EuGH-Entscheidung zu facebook-Fanpages und an den Ärger, den Herr Valk von den Stadt­werken Oberal­theim damit hatte?

Um es kurz zu rekapi­tu­lieren: Am 5. Juni 2018 hatte der Europäische Gerichtshof (EuGH) in einer viel beach­teten Entscheidung sich mit sogenannten facebook-Fanpages befasst. Es geht also um diese Seiten bei facebook, mit denen sich Unter­nehmen oder öffent­liche Organi­sa­tionen kostenlos präsen­tieren und in Kontakt mit ihren Kunden treten können. Eine schöne Sache eigentlich, wenn nur nicht das Geschäfts­modell von facebook darin bestehen würde, möglichst viele Daten zu sammeln – und das mit Hilfe von Cookies nicht nur von facebook-Nutzern, sondern auch von Kunden, die mit facebook ansonsten gar nichts am Hut haben. In seinem Urteil hat der EuGH festge­stellt, dass nicht nur facebook für das Sammeln und Verar­beiten der Daten verant­wortlich ist, sondern auch die Betreiber der Fanpage eine Mitver­ant­wortung haben. Das hat die deutschen Daten­schützer natürlich gefreut, denn an facebook, dessen europäi­scher Sitz in Irland ist, kommen sie schlicht nicht ran.

Herr Valk war dagegen weniger begeistert. Schließlich war es ihm ein Anliegen, dass die Stadt­werke Oberal­theim mithalten können und bei einem jungen Kunden­stamm wahrge­nommen werden, der sich auf den sozialen Netzwerken bewegt. Facebook zu verlassen kam daher nicht in Frage. Anderer­seits profi­tierte er zwar von der statis­ti­schen Auswertung seiner Kunden­daten durch facebook, den sogenannten insights, hatte ansonsten nichts mit der Daten­ver­ar­beitung durch facebook zu tun. Er konnte insofern auch keinerlei Einfluss darauf nehmen, dass dabei alles mit rechten Dingen zugeht. Herrn Valk blieb insofern nichts übrig, als auf eine weitere Klärung der Rechtslage zu warten; ein unbefrie­di­gender Zustand für einen Vertriebs­leiter, der die Dinge ansonsten gern etwas offen­siver angeht. Inzwi­schen hat sich zwar einiges getan, ob es aber reicht, um den Stadt­werken Oberal­theim und anderen Unter­nehmen Sicherheit zu bieten?

Zunächst hatte die Daten­schutz­kon­ferenz, in der sich die Daten­schutz­be­hörden des Bundes und der Ländern abstimmen, unmit­telbar nach seinem Erscheinen auf die Konse­quenzen des Urteils aufmerksam gemacht: Die Daten­schutz­grund­ver­ordnung (DSGVO) fordert bei gemein­samer Verant­wort­lichkeit eine Verein­barung nach Artikel 26 DSGVO zwischen den Betei­ligten über die Verteilung der Pflichten. Als die Daten­schutz­kon­ferenz drei Monate später erneut zusam­mentrat, war facebook, von kosme­ti­schen Details abgesehen, aller­dings noch untätig geblieben. Daher wurden die Fanpages für illegal erklärt und die Verein­barung erneut angemahnt.

Auf die Mahnung hin legte Facebook ein paar Tage später eine Verein­barung vor, das sogenannte „Page Controller Addendum“. Mit dieser Zusatz­ver­ein­barung erkennt facebook zum einen die geltende Rechtslage an und übernimmt die Haupt­ver­ant­wortung für den Daten­schutz, dazu zählt insbe­sondere die Erfüllung von Infor­ma­ti­ons­pflichten, Betrof­fe­nen­rechten, Melde­pflichten und Daten­si­cherheit. Die Fanpage-Betreiber müssen klären, dass eine Rechts­grundlage für die Verar­beitung der Insights-Daten besteht. In dem Zusam­menhang stellt sich die Frage, ob und auf welche Weise Kunden oder Besucher der Fanpage über die Daten­ver­ar­beitung im Zusam­menhang mit ihrem Besuch infor­miert werden müssen. Weiterhin müssen die Betreiber den Verant­wort­lichen für die Daten­ver­ar­beitung der Seite benennen und sonstige geltende recht­liche Pflichten erfüllen. Schließlich müssen die Betreiber alle Nutzer­an­fragen oder Anfragen der Aufsichts­be­hörden per Formular an Facebook weiter­leiten und bei der Klärung der Anfragen kooperieren.

Herrn Valk hat die insights-Verein­barung mit Facebook zwar schon mal abgeschlossen, richtig befriedigt hat ihn die Lösung jedoch noch nicht. Sorge bereitet ihm unter anderem die Ankün­digung seiner zustän­digen Daten­schutz­be­hörde, die Daten­schutz­kon­for­mität von Fanpages in der Verwaltung und bei ausge­wählten Unter­nehmen zu prüfen. Erste Städte sollen die Konse­quenz gezogen und sich aus Facebook verab­schiedet haben. Soweit will Herr Valk nicht gehen. Er wartet lieber noch auf die Entscheidung des Bundes­ver­wal­tungs­ge­richts (BVerwG). Der EuGH hatte nämlich noch nicht das letzte Wort gesprochen, sondern nur im Vorla­ge­ver­fahren Fragen beant­wortet, die für ein Urteil des BVerwG streit­ent­scheidend sind.

2019-01-21T15:27:02+01:0021. Januar 2019|Datenschutz, Digitales|