Unsachgemäß verwendete Passwörter führen immer wieder zu Sicherheitsproblemen: Sie werden vergessen, mehrfach verwendet oder auf Zetteln notiert. Vor diesem Hintergrund erscheint Windows Hello vielen Organisationen als naheliegende Lösung: Statt Passwort genügt ein Blick in die Kamera oder ein Finger auf dem Sensor, alternativ eine PIN. Technisch wirkt das modern, nutzerfreundlich und sicher. Datenschutzrechtlich stellt sich jedoch eine entscheidende Frage, sobald biometrische Merkmale ins Spiel kommen: Dürfen Beschäftigte per Gesicht oder Fingerabdruck authentifiziert werden – und wenn ja, unter welchen Voraussetzungen?

Biometrie und Datenschutz

Bei biometrischen Daten handelt es sich gemäß Art. 4 Nr. 14 DS-GVO um „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen […].“ Hierzu können etwa auch Fingerabdrücke oder Gesichtsmerkmale zählen. Der Gesetzgeber stuft diese gemäß Art. 9 Abs. 1 DS-GVO als sogenannte besondere Kategorien personenbezogener Daten und damit als besonders schutzwürdig ein. Der Grund dafür ist leicht verständlich: Ein Passwort kann geändert werden, ein Fingerabdruck nicht. Gerät ein biometrisches Merkmal in falsche Hände, lässt sich der damit eingetretene Schaden kaum rückgängig machen.

Auch wenn Windows Hello technisch so konzipiert ist, dass biometrische Merkmale nicht im Klartext oder cloudbasiert gespeichert werden, sondern als verschlüsseltes mathematisches Muster lokal auf dem Gerät verbleiben, ändert das nichts an der datenschutzrechtlichen Einordnung. Entscheidend ist lediglich, dass biometrische Daten verarbeitet werden.

Die Nutzung von biometrischen Daten lässt sich ferner nicht einfach damit rechtfertigen, dass sie praktischer ist. Datenschutzrechtlich kommt es vielmehr darauf an, ob sie wirklich erforderlich ist oder ob gleich geeignete, weniger eingriffsintensive Alternativen existieren. Im typischen Arbeitsumfeld ist genau das der Knackpunkt. Für die Anmeldung an einem Endgerät stehen mit Passwort, PIN oder Chipkarte regelmäßig Alternativen zur Verfügung, die ebenfalls sicher und praxistauglich sind. In solchen Konstellationen wird es schwierig zu begründen, warum ausgerechnet die Verwendung biometrischer Daten zwingend notwendig sein soll. An dieser Stelle rückt zwangsläufig die Einwilligung der Beschäftigten in den Fokus.

In die gleiche Kerbe schlägt auch das Urteil des Landesarbeitsgericht Berlin-Brandenburg (LAG Berlin-Brandenburg, Urt. v. 4. Juni 2020 – 10 Sa 2130/19), wonach Beschäftigte nicht verpflichtet werden können, ein biometrisches Verfahren – dort die Zeiterfassung per Fingerabdruck – zu nutzen. Ausschlaggebend war unter anderem, dass weniger eingriffsintensive Alternativen zur Verfügung standen. Das Gericht stellte klar, dass biometrische Daten keinen bequemen Ersatz für andere Verfahren darstellen dürfen, wenn deren Einsatz nicht zwingend erforderlich ist. Diese Wertung lässt sich ohne Weiteres auf Authentifizierungslösungen übertragen.

Einwilligung im Beschäftigtenverhältnis

Die Einwilligung gilt als Ausdruck selbstbestimmter Entscheidung. Im Arbeitsverhältnis ist sie jedoch besonders strittig. Der Grund ist offensichtlich: Zwischen Arbeitgeber und Beschäftigten besteht ein Abhängigkeitsverhältnis. Niemand möchte den Eindruck erwecken, nicht mitzumachen oder sich technischen Neuerungen zu verweigern. Genau deshalb stellt das Datenschutzrecht hohe Anforderungen an die Freiwilligkeit einer Einwilligung im Beschäftigungskontext.

Für Windows Hello mit Biometrie heißt das ganz konkret: Eine Einwilligung ist nur dann tragfähig, wenn Beschäftigte eine echte Wahl haben. Diese Wahl muss sich nicht nur auf dem Papier, sondern im Arbeitsalltag zeigen. Wer Biometrie nicht nutzen möchte, muss problemlos auf eine Alternative ausweichen können – etwa auf eine PIN-Anmeldung. Diese Alternative muss gleichwertig, praktikabel und dauerhaft verfügbar bleiben. Ebenso wichtig ist, dass aus der Ablehnung oder einem späteren Widerruf keinerlei Nachteile entstehen, weder formell noch informell.

Zu einer wirksamen Einwilligung gehören eine verständliche Information darüber, was Windows Hello macht und was nicht, eine klare Aussage zur Freiwilligkeit, ein transparenter Widerrufsprozess und organisatorische Vorkehrungen, die sicherstellen, dass der Widerruf tatsächlich gelebt wird. Wird die Verarbeitung biometrischer Daten hingegen faktisch zur Voraussetzung für den Arbeitsalltag, verliert die Einwilligung ihren freiwilligen Charakter – und damit ihre rechtliche Belastbarkeit.

Schließlich sollte auch die Risikobetrachtung nicht vergessen werden: Biometrische Daten gelten als besonders sensibel, weshalb je nach Umfang und Ausgestaltung der Verarbeitung zu prüfen ist, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Diese ist kein Selbstzweck, sondern ein Instrument, um Risiken systematisch zu identifizieren: Was passiert bei Geräteverlust? Wie werden die betreffenden Informationen gelöscht? Welche Zugriffsmöglichkeiten bestehen für Administratoren? Schon eine kurze, strukturierte Bewertung kann helfen, Schwachstellen frühzeitig zu erkennen und zu adressieren.

Fazit

Windows Hello kann in Organisationen insbesondere als Beitrag zur besseren Nutzerfreundlichkeit verwendet werden. Datenschutzrechtlich tragfähig ist der Einsatz jedoch nur, wenn Beschäftigten dauerhaft auch nicht-biometrische Anmeldeverfahren offenstehen. Die Geräteanmeldung mittels biometrischer Merkmale darf weder zum Standard noch faktisch zum Zwang werden. Sie kann nur dann Bestand haben, wenn sie auf echter Freiwilligkeit beruht, transparent kommuniziert wird und gleichwertige Alternativen tatsächlich zur Verfügung stehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS VERSTEHEN WIR UNTER NUDGING?

Als Nudging können Methoden im Rahmen von Entscheidungsfindungen und den damit verbundenen Handlungen verstanden werden, die das Verhalten beeinflussen wollen, ohne auf Gebote und Verbote zurückgreifen. Es findet kein förmlicher Zwang statt. Datenschutzrechtlich entfaltet das Nudging an Bedeutung, wenn die Nutzer bei dem Einsatz von verschiedenen, einwilligungspflichtigen Technologien auf Webseiten zustimmen sollen, um möglichst viele Daten der Nutzer über das technisch Erforderliche hinaus zu erlangen.

UND WAS IST DARK PATTERN?

Dark Patterns umfassen mögliche unrechtmäßige Beeinflussungen von Entscheidungen durch Benutzeroberflächen, die sorgfältig ausgearbeitet wurden, um Nutzer auszutricksen, damit diese Dinge tun, die sie sonst nicht tun würden. Es handelt sich um Designelemente, die die Wahrnehmung durch Gestaltung, Gewöhnung und komplizierte Entscheidungspfade beeinflussen.

WAS IST DAS PROBLEM?

Die Beeinflussungsmethoden Nudging und Dark Pattern kommen u.a. bei der Gestaltung und Nutzung von Consent-Layern auf Webseiten zum Einsatz, sprich bei der Abgabe einer datenschutzrechtlichen Einwilligung des Nutzers. Die datenschutzrechtliche Einwilligung stellt gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO eine belastbare Rechtsgrundlage zur Verarbeitung personenbezogener Daten dar. Darüber, dass die Einwilligung häufig zu Unrecht als „ultimative Rechtsgrundlage“ zur Verarbeitung personenbezogener Daten betrachtet wird, haben wir bereits berichtet. Die konkreten Anforderungen an eine Einwilligungserklärung ergeben sich aus der Gesamtschau der Art. 4 Nr. 11, Art. 6 Abs. 1 Satz 1 lit. a) und Art. 7 DS-GVO sowie der dazugehörigen Erwägungsgründe zur DS-GVO.

In Art. 4 Nr. 11 DS-GVO wird Einwilligung der betroffenen Person als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“, legaldefiniert.

Das Hauptaugenmerk liegt im Hinblick auf die Beeinflussung des Nutzers unstreitig auf der Freiwilligkeit. So wird insbesondere in Erwägungsgrund 42 Satz 5 zur DS-GVO wie folgt ausgeführt: „Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“

Freiwillig erfolgt die Abgabe einer Einwilligungserklärung nur dann, wenn kein Druck oder Zwang (in der englischen Sprachfassung „freely given“) ausgeübt wurde, um die betroffene Person zu einer Erklärung zu bewegen. Die betroffene Person darf bei Abgabe der Einwilligung mithin keinem physischen oder psychischen Zwang ausgesetzt sein. Nun wird die farbliche oder strukturelle Ausgestaltung von Consent-Layern als psychischer Zwang einzuordnen sein, wenn eine Beeinflussung der Wahrnehmung und eine hieran anknüpfend Entscheidung des Nutzers erfolgt.

WAS SAGEN AUFSICHTSBEHÖRDEN UND GERICHTE DAZU?

Die Landesbeauftragte für den Datenschutz Niedersachen äußert sich in ihrer Handreichung „Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer“ zum Thema Nudging wie folgt:

„Je mehr Betreiber von Webseiten für die Verwendung von Cookies Einwilligungen einholen, desto häufiger treten Formen des sogenannten Nudging auf. Dies bezeichnet Techniken, durch die das Verhalten der Nutzer beeinflusst werden soll. Diese Beeinflussung kann grundsätzlich im Interesse des Nutzers erfolgen oder im – entgegenstehenden – Interesse desjenigen, der Nudging einsetzt. Im Zusammenhang mit dem Consent-Layer auf Webseiten wird Nudging eingesetzt, um den User zur Abgabe einer Einwilligung zu „schubsen“: Beispielsweise ist in Consent-Fenstern die „Zustimmen“-Option oft im Vergleich zur „Ablehnen“-Option auffälliger gestaltet – durch Farbe, Schriftschnitt und sonstige Hervorhebungen. Zum Beispiel ist der Button „Zustimmung“ in Grün oder Blau mit weißer Fettschrift gestaltet und der „Ablehnen“-Button in Grau mit weißer Standardschrift.“

Weiter heißt es:

„Wird Nudging vom Verantwortlichen mit dem Ziel eingesetzt, den Betroffenen zur Erteilung der Einwilligung zu verleiten, so kann damit je nach konkreter Ausgestaltung gegen unterschiedliche rechtliche Vorgaben für die datenschutzrechtliche Einwilligung verstoßen werden. Fest steht, dass einem erlaubten Nudging Grenzen gesetzt sind und verhaltensmanipulierende Ausgestaltungen zu einer Unwirksamkeit der Einwilligung führen können.“

Hinsichtlich der Gestaltung und Verwendung von Schaltflächen zur Abfrage von Einwilligungen bei Cookie-Bannern hat das LG Rostock (Urt. v. 15.9.2020 – Az.: 3 O 762/19) u.a. wie folgt konstatiert:

„Eine wirksame Einwilligung ist […] mit dem […]  verwendeten Cookie-Banner nicht möglich. Denn auch bei diesem sind sämtliche Cookies vorausgewählt und werden durch Betätigung des grün unterlegten „Cookie zulassen ‚-Buttons „aktiviert“. […] Zwar hat der Verbraucher die Möglichkeit sich die Details anzeigen zu lassen und einzelne Cookies abzuwählen. Tatsächlich wird der Verbraucher jedoch regelmäßig den Aufwand eines solchen Vorgehens scheuen und deshalb den Button ohne vorherige Information über die Details betätigen. Damit weiß der Verbraucher aber gerade nicht, welche Tragweite seine Erklärung hat. Der Umstand, dass der Nutzer bei dem nun verwendeten Cookie-Banner auch die Möglichkeit hat, über den Bereich „Nur notwendige Cookies verwenden“ seine Einwilligung auf technisch notwendige Cookies zu beschränken, ändert an der Beurteilung nichts. Insoweit ist festzuhalten, dass dieser Button gar nicht als anklickbare Schaltfläche zu erkennen ist. Zudem tritt er auch neben dem grün unterlegten und damit als vorbelegt erscheinenden „Cookie zulassen“-Button in den Hintergrund. Diese Möglichkeit wird von einer Vielzahl der Verbraucher deshalb regelmäßig gar nicht als gleichwertige Einwilligungsmöglichkeit wahrgenommen werden. Daran ändert auch der Einleitungstext nichts, da dieser bereits nicht darüber aufklärt, welche Cookies wie vorbelegt sind und damit durch welchen Button, welche Cookies „aktiviert“ werden.“

FAZIT

Ersichtlich wird, dass die Beeinflussung des Nutzers bei der Abgabe seiner Willensbekundung, sprich seiner Einwilligungserklärung im Zusammenhang mit der Gestaltung von Consent-Layern sich an den Tatbestandvoraussetzungen der datenschutzrechtlichen Einwilligungserklärung und hier insbesondere dem Freiwilligkeitsvorbehalt messen lassen muss. Bei der Verwendung unzulässiger Mittel droht dem Verwender gleichfalls das Entfallen der Rechtsgrundlage zur Datenverarbeitung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS IST NEU?

Einzug in das Gesetz hält der neue § 7a UWG mit folgendem Wortlaut:

§ 7a Einwilligung in Telefonwerbung

(1) Wer mit einem Telefonanruf gegenüber einem Verbraucher wirbt, hat dessen vorherige ausdrückliche Einwilligung in die Telefonwerbung zum Zeitpunkt der Erteilung in angemessener Form zu dokumentieren und gemäß Absatz 2 Satz 1 aufzubewahren.

(2) Die werbenden Unternehmen müssen den Nachweis nach Absatz 1 ab Erteilung der Einwilligung sowie nach jeder Verwendung der Einwilligung fünf Jahre aufbewahren. Die werbenden Unternehmen haben der nach § 20 Absatz 3 zuständigen Verwaltungsbehörde den Nachweis nach Absatz 1 auf Verlangen unverzüglich vorzulegen.“

Hinzu kommt eine Änderung des § 20 UWG:

§ 20 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

1. entgegen § 7 Absatz 1 Satz 1 in Verbindung mit Absatz 2 Nummer 2 oder 3 mit einem Telefonanruf oder unter Verwendung einer automatischen Anrufmaschine gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung wirbt,

2. entgegen § 7a Absatz 1 eine dort genannte Einwilligung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig dokumentiert oder nicht oder nicht mindestens fünf Jahre aufbewahrt […]

(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist in den Fällen des Absatzes 1 Nummer 1 und 2 die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen, in den übrigen Fällen das Bundesamt für Justiz.

WAS ÄNDERT SICH NUN KONKRET?

Mit Einführung des § 7a UWG besteht nun künftig wettbewerbsrechtlich eine Pflicht zu Dokumentation für Fälle der Telefonwerbung.  Hinsichtlich des Umfangs der Dokumentation konkretisiert der Gesetzgeber die Anforderungen lediglich insoweit, als dass zum Zeitpunkt der Erteilung der Einwilligung dies in angemessener Form erfolgen soll und diese Dokumentation gemäß § 7a Abs. 1 Satz 1 in Verbindung mit § 7 Abs. 2 Satz 1 UWG ab Erteilung sowie nach jeder Verwendung der Einwilligung für fünf Jahre aufbewahrt wird. Über weitergehende konkrete Anforderungen an die Dokumentation stellt der Gesetzgeber keine Anforderungen.

WAS BEABSICHTIGT DER GESETZGEBER MIT DER GESETZESÄNDERUNG?

Ausweislich des Gesetzesbegründung strebt der Gesetzgeber hier einen verbesserten Schutz vor telefonisch aufgedrängten und untergeschobenen Verträgen und eine effiziente Sanktionierung unerlaubter Telefonwerbung an. Weiter heißt es, dass durch die Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden sollen. Die Pflicht zur Dokumentation wird es werbenden Unternehmen außerdem erleichtern, die Wirksamkeit der Einwilligung zu prüfen.

IST DAMIT ALLES GESAGT?

Nicht so ganz. Die Neuregelung hat zu Recht Kritik erfahren, wobei insbesondere die Vereinbarkeit mit der Datenschutz-Grundverordnung (DS-GVO) in Zweifel gezogen wird. Wie durch den Kollegen Dr. Carlo Piltz bereits anschaulich dargestellt, liegt das Problem im Einwilligungsbegriff verankert, denn das UWG kennt einen solchen nicht. Die Einwilligung im UWG wird durch die Gesetzänderung aber nun Anforderungen unterworfen, welche wiederrum die DS-GVO selbst nicht vorsieht. Es stellt sich daher die Frage, ob zum einen die Dokumentationsverpflichtung und zum anderen die Aufbewahrungspflicht mit der DS-GVO vereinbar sind.

Der Gesetzgeber seinerseits verweist in seiner Begründung darauf, dass die Normen über Art. 94 Abs. 2 DS-GVO sowie Art. 13 in Verbindung mit Art. 2 lit. f) der Richtlinie 2002/58/EG auf die Einwilligung in Telefonwerbung anwendbar sind. Ferner stelle die Regelung eine spezielle Ausfüllung der Beweislastverteilung der in Art. 7 Abs. 1 DS-GVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar.

Im oben genannten Beitrag vom Kollegen Dr. Carlo Piltz wird zurecht darauf abgestellt, dass aufgrund der Tatsache, dass § 7a UWG keine weitere Konkretisierung zur Dokumentation normiert, es durchaus vertretbar erscheint, diese Verpflichtung insoweit mit Art. 5 Abs. 2 in Verbindung mit Art. 7 Abs. 1 DS-GVO als bereits durch die DS-GVO vorgesehene Regelung auszulegen. Bei einem Blick in Art. 7 DS-GVO findet sich jedoch keine Normierung eines näher definierten Aufbewahrungszeitraums.

FAZIT

Durch die Neuregelung des § 7a UWG wird nunmehr ein konkreter Zeitraum vorgegeben, innerhalb dessen die dokumentierte Einwilligung durch den Unternehmer vorgehalten werden muss. Ob hieraus künftig Rechtsunsicherheiten aufgrund der möglichen Unionsrechtswidrigkeit herrühren, muss entsprechend beobachtet werden.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

SACHVERHALT

Dem streitgegenständlichen Sachverhalt ist zu entnehmen, dass es sich bei den sorgeberechtigten Elternteilen der Kinder um getrenntlebende Eheleute handelt, denen beide die elterliche Sorge zusteht. Die gemeinsamen Kinder leben bei der Mutter, wobei der Vater mit den Kindern einen regelmäßigen Umgang pflegt. Die neue Lebensgefährtin des Vaters wiederum betreibt einen Friseursalon und verbreitete zu Werbezwecken für ihr Friseurgewerbe auf den einschlägigen Profilen bei Facebook und Instagram Aufnahmen der Kinder. Die Mutter der Kinder hatte von der Veröffentlichung der Aufnahmen keine Kenntnis, wohingegen der Vater einer Veröffentlichung zustimmte. Mit Kenntnisnahme der Veröffentlichung verlangte die Mutter die Entfernung der Aufnahmen, welcher der Lebensgefährtin zunächst nicht nachkam. Die Mutter ging hiergegen mit Erfolg gerichtlich vor.

ENTSCHEIDUNG DES OLG DÜSSELDORF

Auch wenn im Rahmen des Beschlusses des OLG Düsseldorf im Kern die Anwendung des § 1628 BGB (Bürgerliches Gesetzbuch) hinsichtlich der gerichtlichen Entscheidung bei Meinungsverschiedenheiten der Eltern thematisiert wird, deren Ausführungen an dieser Stelle nicht weiter ausgeführt werden sollen, sind die weiteren datenschutzrechtlichen Betrachtungen von besonderer Bedeutung:

Zunächst stellt das Gericht klar, dass „das öffentliche Teilen der Bilder bei Facebook und Instagram und ihre Einstellung auf der Webseite […] schwer abzuändernde Auswirkungen auf die Entwicklung der Kinder [hat].“ Dies ergebe sich „aus der Tragweite der Verbreitung von Fotos in digitalen sozialen Medien unter Berücksichtigung der hiervon betroffenen Privatsphäre der Kinder und des gebotenen Schutzes ihrer Persönlichkeit.“ Weiterhin wird im Rahmen des Beschlusses deutlich gemacht, dass eine derartige Veröffentlichung von Fotoaufnahmen gegenüber einem unbegrenzten Personenkreis erfolgt und eine Weiterverbreitung dieser kaum kontrollierbar ist. Dies führe zwangsläufig dazu, dass die Kinder (potenziell) für einen unbegrenzten Zeitraum und gegenüber einem unbeschränkten Personenkreis mit Fotoaufnahmen aus der Zeit ihrer Kindheit konfrontiert werden. Nach Auffassung des Gerichtes „tangiert [dies] spürbar die Integrität ihrer Persönlichkeit und ihrer Privatsphäre.“

Darüber hinaus führt das OLG Düsseldorf mit Verweis auf eine frühere Entscheidung des Bundesgerichtshofes (BGH, Urt. v. 28.09.2004 – VI ZR 305/03) aus , dass sich die Notwendigkeit zur Einwilligung beider Elternteile aus § 22 KunstUrhG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie) ergibt. Hinsichtlich der Rechtsgrundlage der Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO (Datenschutz-Grundverordnung) ergibt sich dies bereits mit Blick auf die Regelung nach Art. 8 Abs. 1 DS-GVO. Darin heißt es: „Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung [auf Rechtsgrundlage der Einwilligung] nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird.“

Dementsprechend komme es grundsätzlich auch nicht darauf an, „ob die Kinder in die Bildveröffentlichung einwilligen. Eine solche Einwilligung würde nämlich nichts daran ändern, dass die erforderliche Einwilligung beider sorgeberechtigter Elternteile in die Bildverbreitung fehlt. […] Denn entscheidend sind nicht die Neigungen, die Bindungen oder der Wille der Kinder. Den Ausschlag gibt [vorliegend] vielmehr die Rechtswidrigkeit der Bildverbreitung mangels der Zustimmung der Mutter.“

AUSWIRKUNGEN FÜR DIE PRAXIS

Für die Praxis ergibt sich aus dem Beschluss des OLG Düsseldorf zwangsläufig die Anforderung, dass im Rahmen einer Veröffentlichung von Fotoaufnahmen von Kindern die Einwilligungen sämtlicher sorgeberechtigter Parteien eingeholt werden. Das bedeutet, dass neben den allgemeinen datenschutzrechtlichen Anforderungen an eine Einwilligungserklärung, diese so zu gestalten ist, dass die Notwendigkeit der Einwilligung sämtlicher Sorgeberechtigten deutlich hervortritt. Dies kann beispielsweise durch eine entsprechende Gestaltung der Unterschriftenfelder oder im Rahmen elektronischer Einwilligungserklärungen beispielsweise durch eine Hervorhebung im Text erreicht werden.

Sofern es der verantwortlichen Stelle zuzumuten ist und diese gegebenenfalls bereits Informationen über die sorgeberechtigten Personen vorliegen hat, sollte eine entsprechende Überprüfung der Einwilligungserklärungen erfolgen.

BESONDERER SCHUTZBEDARF PERSONENBEZOGENER DATEN VON KINDERN

Weiterhin ergibt sich aus den Entscheidungsgründen ein weit wesentlicher Aspekt: Die Veröffentlichung von Kinderfotos im Internet im Allgemeinen sowie in sozialen Netzwerken im Besonderen kann auf die Entwicklung von Kindern enorme negative Auswirkungen haben. In diesem Zusammenhang sollten verantwortliche Stellen – insbesondere solche mit Nähe zu Kindern, z.B. Kindertageseinrichtungen – stets hinterfragen, ob die Veröffentlichung von Kinderfotos im Internet zwingend erforderlich ist. (Zur Erforderlichkeit der Abbildung konkreter Personen unser Beitrag: „Veröffentlichung von Gruppenfotos in sozialen Netzwerken“, DSB 2021, S. 128 ff.). Dies ergibt sich bereits aus Art. 5 Abs. 1 lit. c DS-GVO – dem Grundsatz der Datenminimierung. Eine Veröffentlichung von Fotoaufnahmen verbietet sich erst recht dann, wenn Kinder (teilweise) unbekleidet abgebildet sind. Einen Perspektivenwechsel ermöglicht hierbei auch der Blog von Toyah Diebel.

Darüber hinaus wird in der datenschutzrechtlichen Literatur auch ein weiterer nicht zu vernachlässigender Gesichtspunkt diskutiert: Influencer:innen und Blogger:innen nutzen im Rahmen Ihrer Reichweite Fotoaufnahmen ihrer Kinder zur Platzierung von Werbung. Bei den benannten Personen handelt es sich sodann zugleich sowohl um die datenschutzrechtlich verantwortliche Stelle als auch um die Träger der elterlichen Verantwortung. Ist vor diesem Hintergrund eine solche Datenverarbeitung zulässig oder handelt es sich hierbei womöglich um ein unwirksames Insichgeschäft im Sinne des § 181 BGB?

FAZIT

Aus dem Beschluss des OLG Düsseldorf geht deutlich hervor, dass eine Veröffentlichung von Fotoaufnahmen von Kindern erhebliche Auswirkungen auf die Entwicklung der Kinder haben kann. Die Dimension einer solchen Veröffentlichung bedingt – und dies wurde bereits durch den Gesetzgeber und andere Gerichte erkannt – stets einer Einwilligung sämtlicher sorgeberechtigter Personen. Aufgrund möglicher weitreichender Folgen sollte durch verantwortliche Stellen stets im Vorfeld einer Veröffentlichung geprüft werden, ob eine solche zwingend erforderlich ist und bejahendenfalls für eine konforme Einwilligung der sorgeberechtigten Personen Sorge tragen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.