Backe backe Kuchen

Liebe Kolleg:innen,

ich habe hier mal einen kleinen juristischen Fall mitgebracht und würde mich freuen, wenn Ihr hierzu eine kleine Einschätzung abgebt.

Unternehmen U ist ein mittelständisches Unternehmen mit Sitz in Deutschland. Der Geschäftsführer G versucht das gute Verhältnis zu seinen Mitarbeitenden aufrecht zu erhalten. Hierfür bekommt jeder Mitarbeitende zu einem Jubiläum einen Kuchen geschenkt.
Da die wirtschaftliche Lage der U es hergibt, möchte G im Jahr 2023 eine Schippe draufsetzen und möchte personalisierte Kuchen bei einem Bäcker (B) in Auftrag geben. Für das demnächst anstehende 20.-jährige Jubiläum der Mitarbeiterin M nimmt der G, das im Intranet hinterleget, Profilfoto der M und schickt dieses per E-Mail an den B. Dieser verarbeitet das Foto, um auf dem bestellten Kuchen das Gesicht der M abzubilden.

Frage: Findet hier eine Verarbeitung gem. Art. 4 Nr. 2 DSGVO statt? Wenn ja, wie ist dieses Verhältnis datenschutzrechtlich zu bewerten und welche Verträge sind zwischen der U und dem B zu schließen?

Das ist ja wirklich mal ein origineller Fall für den Datenschutz. Es stellt sich die Frage, zu welchem Zweck die Fotos im Intranet hinterlegt wurden bzw. wie weit die dazu notwendige Einwilligung (die m. E. vorliegen sollte) geht. Fotos einfach so an Dritte weitergeben wäre für mich unzulässig.

Aber unabhängig davon finde ich das ganze eine Schnapsidee und ziemlich übergriffig vom Geschäftsführer. Soll er den Leuten doch lieber eine Prämie zahlen als solchen Kokolores zu veranstalten.

Ich sehe es ähnlich wie @bdsb. Die Fotos wurden eventuell von M freiwillig eingestellt, aber das gibt G nicht die Erlaubnis das Foto auf Kuchen oder Flyern oder sonstwo abzudrucken. Ist es nicht möglich M vorher zu fragen? Offensichtlich ist die Tradition des Jubiläumskuchens bereits bekannt und daher keine Überraschung mehr.

Persönlich finde ich Fotos auf Süßkram immer sehr suspekt. Wer will denn schon bitte sein eigenes Gesicht aufessen?

Genau, U hat wahrscheinlich keine Kuchen-Erlaubnis, sondern dürfte veilleicht z. B. Fotos bei Kontakten anzeigen. Ohne eine solchermaßen formulierte Einwilligung werden es in der Praxis oft Bewerberfotos sein, die an den Bewerbungszweck gebunden wären und für nichts Anderes verwendet werden dürften.

D., der als Datenschutzproblemvermeider auch sagen würde: Gutscheine, mit denen man sich selbst eine Foto-Torte machen lassen kann.

Also, jenseits aller Geschmacks- und Sinnfragen möchte ich mal auf die Fragenstellung eingehen:

Es handelt es sich hier eindeutig um die Verarbeitung personenbezogener Daten, nämlich eines Porträtfotos, das dem Geschäftsführer ja nun mal vorliegt, und hierzu hat er hoffentlich auch eine Einwilligung für bestimmte Veröffentlichungszwecke von der betreffenden Mitarbeiterin vorliegen. Mindestens hat sie ja offenbar für die Verwendung im Intranet eingewilligt, also für die firmeninterne Veröffentlichung ihres Profilfotos. Von daher würde ich gar nicht unbedingt behaupten, dass ein Kuchen mit dem Foto gegen die DSGVO verstößt - auch wenn ich persönlich darauf verzichten könnte.

Das zweite Problem ist natürlich, dass der Bäcker das Bild verarbeitet und geklärt werden müsste, ob das eine Auftragsverarbeitung darstellt. Sieht auf den ersten Blick zwar so aus, aber ist es wohl eher nicht, denn:
Nach Ansicht der Aufsichtsbehörden liegt eine Auftragsverarbeitung nicht vor, wenn die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt. Gemäß Erwägungsgrund 81 der DSGVO muss der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“, was hier nicht der Fall ist, da die Datenverarbeitung nicht speziell beabsichtigt ist bzw. nicht den Schwerpunkt der Leistung des Bäckers darstellt. Der Bäcker soll ja in erster Linie einen Kuchen backen, und nicht dieses spezielle Foto verarbeiten.

Z.B. liegt auch keine Auftragsverarbeitung vor, wenn ein Copyshop den Auftrag erhält, einige T-Shirts mit Namen zu bedrucken. Hier ist also nicht die Verarbeitung des Fotos der Schwerpunkt der Tätigkeit, sondern das farbliche Bedrucken der T-Shirts.

Wow – ich bin hier wirklich sehr unangenehm berührt!

Die Einschätzung, dass es sich um eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO handelt und dass es sich nicht um eine Auftragsverarbeitung handelt, teile ich.

Was mich selbst bei dieser Konstellation interessiert: Auf welche Rechtsgrundlage stützt der Arbeitgeber denn hier die Datenweitergabe? Da @Rundfunk die Einwilligung nicht explizit erwähnt hat, fürchte ich, der Betrieb stützt sich auf ein „berechtigtes Interesse“.

Der Fall ist (leider) durchaus praxisnah - anders würde er mir mehrere Monate nach Veröffentlichung des Beitrags keine Reaktion entlocken. (In Wirklichkeit bin ich bei der Lektüre spontan im Geiste durchgegangen, ob das nicht vielleicht ini einem der Betriebe passiert, die ich betreue.)

Bei Geschenken des Betriebs zu festgelegten Anlässen habe ich prinzipiell keine Schwierigkeiten: Berechtigtes Interesse (Wertschätzung, freundliches Betriebsklima schaffen usw.) passt für mich, wenn auch bei der Umsetzung ein möglichst datenschutzfreundlicher Weg gewählt wird (z.B. Geschenk an den Arbeitsplatz liefern und nicht nach Hause, sofern beide Optionen bestehen u.a.)

Aber einfach das Foto von Beschäftigten für den Oblatendruck nach außen geben? Das hat eine andere Qualität. Das eigene Gesicht der betroffenen Person auf dem Kuchenpräsent greift massiver in die Privatsphäre ein als die üblichen Blumensträuße, Weinflaschen, Bildbände oder Obstkörbe.

Wenn ich davon ausgehe, dass es Betriebe gibt, in denen die Praxis zur Übergabe anlassbezogener Geschenke ggf. nicht schriftlich geregelt oder zumindest nicht allgemein kommuniziert ist, kann es Beschäftigten passieren, dass sie aus allen Wolken fallen. Wie sollen die Beschenkten denn dann noch ihr Widerspruchsrecht ausüben?

Außerdem sind sie meiner Meinung nach – vor vollendete Tatsachen gestellt – im Betrieb einem sozialen Druck ausgesetzt, jetzt „gefälligst nicht so undankbar zu sein“.

Unter unglücklichen Umständen haben sie noch einen „datenschutz-unsensiblen“ Betriebsrat, der ins gleiche Horn stößt (oder gar keine Interessenvertretung). Das halte ich für entmutigend.

Es ist eben nicht nur ein Kuchen, sondern es geht auch um den Umgang mit Persönlichkeitsrechten.

In einer Atmosphäre, in der es mit den Kolleg:innen super läuft, kann man sogar einen personalisierten Kuchen weiterverschenken, wenn man ungern Lebensmittel vernichtet. Wenn man selbstbewusst ist bzw. genügend andere Jobangebote hat, kann man sich auch beschweren – oder man hat Vorgesetzte, die eine andere Meinung akzeptieren.
Falls der/die Jubilar/in allerdings eine schwächere Position im Betrieb hat, kann es aber schnell etwas unfair werden.

Wegen der Interventionsmöglichkeit fände ich Kuchen mit Bild nur mit Einwilligung fair gegenüber den betroffenen Beschäftigten.

Ist schon alt der Post, habe ich aber erst jetzt gelesen.

Ich bin allerdings schon der Meinung, dass es sich um eine Auftragsverarbeitung handelt. Der Bäcker soll eben nicht nur einen Kuchen backen, sondern diesen auch mit dem Konterfei des Beschenkten versehen. Das Drucken des Fotos auf eine Oblade und anbringen derselben auf den Kuchen ist damit ein wesentlicher Teil des Auftrages.
Wenn man das andersrum betrachtet, und keinen AVV schließen muss, dann ist der Bäcker Verantwortlicher. Und muss sich dann um Rechtsgrundlage, Betroffeneninfo nach Art. 14 etc kümmern. Wenn auch diesen nicht, dann sind es keine personenbezogenen Daten (hää?) und der Bäcker darf eine Kopie des Kuchens im Schaufenster ausstellen.

Bzgl. Zulässigkeit: man kann auch diskutieren, ob der AG evtl. ein berechtigtes Interesse an dieser Art Verarbeitung hat, da er und auch die Mitarbeiter an einem guten Arbeitsverhältnis interessiert ist.

Ich hätte noch eine Abwandlung, um der ‘Foto geht gar nicht’-Falle auszuweichen: Was wenn der AG allen Mitarbeitern zu Weihnachten einen Kuchen schenken will und wegen der Frische den Bäcker beauftragt, den Mitarbeitern den Kuchen direkt nach Hause zu versenden. Auch hier ist das Versenden ähnlich wie dem Drucken ein wesentlicher Teil des Auftrags, und ein AVV notwendig (und eine gute Rechtsgrundlage für den AG). Oder sehe ich das falsch?

TLC