Backe backe Kuchen

Liebe Kolleg:innen,

ich habe hier mal einen kleinen juristischen Fall mitgebracht und würde mich freuen, wenn Ihr hierzu eine kleine Einschätzung abgebt. :slight_smile:

Unternehmen U ist ein mittelständisches Unternehmen mit Sitz in Deutschland. Der Geschäftsführer G versucht das gute Verhältnis zu seinen Mitarbeitenden aufrecht zu erhalten. Hierfür bekommt jeder Mitarbeitende zu einem Jubiläum einen Kuchen geschenkt.
Da die wirtschaftliche Lage der U es hergibt, möchte G im Jahr 2023 eine Schippe draufsetzen und möchte personalisierte Kuchen bei einem Bäcker (B) in Auftrag geben. Für das demnächst anstehende 20.-jährige Jubiläum der Mitarbeiterin M nimmt der G, das im Intranet hinterleget, Profilfoto der M und schickt dieses per E-Mail an den B. Dieser verarbeitet das Foto, um auf dem bestellten Kuchen das Gesicht der M abzubilden.

Frage: Findet hier eine Verarbeitung gem. Art. 4 Nr. 2 DSGVO statt? Wenn ja, wie ist dieses Verhältnis datenschutzrechtlich zu bewerten und welche Verträge sind zwischen der U und dem B zu schließen?

Das ist ja wirklich mal ein origineller Fall für den Datenschutz. Es stellt sich die Frage, zu welchem Zweck die Fotos im Intranet hinterlegt wurden bzw. wie weit die dazu notwendige Einwilligung (die m. E. vorliegen sollte) geht. Fotos einfach so an Dritte weitergeben wäre für mich unzulässig.

Aber unabhängig davon finde ich das ganze eine Schnapsidee und ziemlich übergriffig vom Geschäftsführer. Soll er den Leuten doch lieber eine Prämie zahlen als solchen Kokolores zu veranstalten.

Ich sehe es ähnlich wie @bdsb. Die Fotos wurden eventuell von M freiwillig eingestellt, aber das gibt G nicht die Erlaubnis das Foto auf Kuchen oder Flyern oder sonstwo abzudrucken. Ist es nicht möglich M vorher zu fragen? Offensichtlich ist die Tradition des Jubiläumskuchens bereits bekannt und daher keine Überraschung mehr.

Persönlich finde ich Fotos auf Süßkram immer sehr suspekt. Wer will denn schon bitte sein eigenes Gesicht aufessen?

1 „Gefällt mir“

Genau, U hat wahrscheinlich keine Kuchen-Erlaubnis, sondern dürfte veilleicht z. B. Fotos bei Kontakten anzeigen. Ohne eine solchermaßen formulierte Einwilligung werden es in der Praxis oft Bewerberfotos sein, die an den Bewerbungszweck gebunden wären und für nichts Anderes verwendet werden dürften.

D., der als Datenschutzproblemvermeider auch sagen würde: Gutscheine, mit denen man sich selbst eine Foto-Torte machen lassen kann.

Also, jenseits aller Geschmacks- und Sinnfragen möchte ich mal auf die Fragenstellung eingehen:

Es handelt es sich hier eindeutig um die Verarbeitung personenbezogener Daten, nämlich eines Porträtfotos, das dem Geschäftsführer ja nun mal vorliegt, und hierzu hat er hoffentlich auch eine Einwilligung für bestimmte Veröffentlichungszwecke von der betreffenden Mitarbeiterin vorliegen. Mindestens hat sie ja offenbar für die Verwendung im Intranet eingewilligt, also für die firmeninterne Veröffentlichung ihres Profilfotos. Von daher würde ich gar nicht unbedingt behaupten, dass ein Kuchen mit dem Foto gegen die DSGVO verstößt - auch wenn ich persönlich darauf verzichten könnte.

Das zweite Problem ist natürlich, dass der Bäcker das Bild verarbeitet und geklärt werden müsste, ob das eine Auftragsverarbeitung darstellt. Sieht auf den ersten Blick zwar so aus, aber ist es wohl eher nicht, denn:
Nach Ansicht der Aufsichtsbehörden liegt eine Auftragsverarbeitung nicht vor, wenn die Datenverarbeitung lediglich im Zusammenhang mit der Erbringung einer (Haupt-)Dienstleistung für einen anderen erfolgt. Gemäß Erwägungsgrund 81 der DSGVO muss der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten „betrauen wollen“, was hier nicht der Fall ist, da die Datenverarbeitung nicht speziell beabsichtigt ist bzw. nicht den Schwerpunkt der Leistung des Bäckers darstellt. Der Bäcker soll ja in erster Linie einen Kuchen backen, und nicht dieses spezielle Foto verarbeiten.

Z.B. liegt auch keine Auftragsverarbeitung vor, wenn ein Copyshop den Auftrag erhält, einige T-Shirts mit Namen zu bedrucken. Hier ist also nicht die Verarbeitung des Fotos der Schwerpunkt der Tätigkeit, sondern das farbliche Bedrucken der T-Shirts.

3 „Gefällt mir“