Weil ein Brautmodengeschäft ein Foto seiner Kunden ohne gültige Rechtsgrundlage bei Instagram veröffentlichte, verhängte die spanische Datenschutzbehörde ein Bußgeld in Höhe von 10.000 Euro. Der Fall zeigt, dass bereits einmalige Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) erhebliche Bußgelder nach sich ziehen können.
Hintergrund des Bußgeldes
Im September 2021 wandte sich die Beschwerdeführerin an die spanische Aufsichtsbehörde Agencia Española de Protección de Datos und machte geltend, dass ein Brautmodengeschäft ihre Datenschutzrechte verletzt hatte. Laut der Beschwerdeführerin bestand der DSGVO-Verstoß darin, dass das Unternehmen das Foto des Paares mit der durch das Unternehmen angefertigten Hochzeitskleidung ohne die Einwilligung der Betroffenen gemäß Art. 6 Abs. 1 lit. a) DSGVO auf Instagram veröffentlichte.
Der Beschwerdegegner argumentierte hingegen, dass die Gesichter auf dem Foto verdeckt seien und das Paar auf dem Foto daher nicht identifizierbar wäre. Außerdem habe man lediglich das Foto veröffentlicht, das die Beschwerdeführerin davor selbst bei Instagram veröffentlicht hatte. Dies, zusammen mit der Tatsache, dass die Beschwerdeführerin das Unternehmen im Foto verlinkt habe, stelle laut dem Unternehmen eine konkludente Einwilligung in die Veröffentlichung des Bildes dar.
Schließlich erklärte das Brautmodengeschäft, dass es das Foto zwar veröffentlicht hatte, um die abgebildete Person zur noch nicht erfolgten Bezahlung der Hochzeitbekleidung zu motivieren, nach dem Erhalt der Zahlung das Bild jedoch sofort von Instagram löschte.
Die Aufsichtsbehörde folgte den Argumenten der Beschwerdeführerin und stellte fest, dass das Unternehmen für die Veröffentlichung des Fotos eine Einwilligung der abgebildeten Personen hätte einholen müssen (siehe auch die Pressemitteilung).
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung
Anonymisierung von Fotos
Auch wenn die Gesichter der auf dem Foto abgebildeten Personen abgedeckt waren, waren die Daten laut der Behörde nicht als anonymisiert anzusehen. Die Personen waren weiterhin identifizierbar, da der eigentliche Zweck der Veröffentlichung des Fotos durch das Unternehmen darin bestand, die Beschwerdeführerin zur Zahlung des Entgelts der Hochzeitsbekleidung zu bewegen. Dies wäre nicht möglich, wären die Personen gar nicht identifizierbar.
Rechtsgrundlage für die Veröffentlichung des Fotos
Anders als das Brautmodengeschäft ging die Aufsichtsbehörde nicht davon aus, dass die Veröffentlichung von Fotos in sozialen Medien auf ein berechtigtes Interesse des Verantwortlichen gestützt werden kann. Auch die Nichtzahlung der Kleidung rechtfertige keine Veröffentlichung des Fotos aufgrund von berechtigten Interessen des Unternehmens.
Die Behörde verwarf auch das Argument des Unternehmens, dass die Beschwerdeführerin die Kommunikationswege des sozialen Netzwerks hätte nutzen sollen, um das Foto zu melden bzw. durch Instagram entfernen zu lassen. Dies ist richtig, denn die Möglichkeit, ein Foto in den sozialen Netzwerken zu melden, verwirkt die Geltendmachung der gesetzlich verankerten Betroffenenrechte nicht. Vielmehr bestehen beide Möglichkeiten nebeneinander, und die betroffene Person kann sich frei für eine der beiden Optionen entscheiden.
Konkludente Einwilligung durch die Veröffentlichung des Fotos
Am interessantesten und für die Praxis am wichtigsten ist jedoch die Ablehnung der Aufsichtsbehörde, die Veröffentlichung des Fotos durch die Beschwerdeführerin samt der Verlinkung des Brautmodegeschäfts als eine konkludent erteilte Einwilligung anzusehen.
Die Behörde argumentierte, dass das Unternehmen die Veröffentlichung auf sein berechtigtes Interesse stützen wollte und sich daher nicht bemüht hat, eine Einwilligung einzuholen. Die Veröffentlichung des Fotos samt der Verlinkung durch die Beschwerdeführerin kann laut der spanischen Aufsichtsbehörde ebenso nicht als eine Einwilligung angesehen werden, da diese Handlung nicht die Anforderungen des Art. 4 Nr. 11 DSGVO erfülle.
Dies ist richtig, denn eine solche Veröffentlichung ist keine „eindeutige bestätigende Handlung“, mit der die betroffene Person zu verstehen gäbe, dass sie mit einer Veröffentlichung durch das Unternehmen einverstanden ist.
Diese Feststellung hat weitreichende Bedeutung für Unternehmen, die Profile auf sozialen Netzwerken unterhalten. Oft veröffentlichen („re-posten“) Marketing-Abteilungen Fotos von Kunden, in denen Kunden beispielsweise ihre Zufriedenheit mit den durch das Unternehmen verkauften Waren oder Dienstleistungen ausdrücken. Wie die spanische Entscheidung zeigt, sollten Unternehmen hierbei genau prüfen, ob das Foto personenbezogene Daten der Kunden zeigt. Dies ist insbesondere der Fall, wenn auf dem Foto die Kunden auch selbst abgebildet sind. Um ein solches Foto DSGVO-konform veröffentlichen zu können, ist die Einwilligung der betroffenen Personen zwingend einzuholen.
Fazit
Die Entscheidung der spanischen Datenschutzaufsichtsbehörde zeigt, dass bereits eine einzige Veröffentlichung ohne eine gültige Rechtsgrundlage schwere finanzielle Konsequenzen für das Unternehmen nach sich ziehen kann. Unternehmen sind gut beraten, vor jeder Datenverarbeitung genau zu prüfen bzw. durch einen Experten prüfen zu lassen, ob eine gültige Rechtsgrundlage hierfür besteht. Ist dies nicht der Fall, ist die Verarbeitung zu unterlassen, um keine unnötigen Risiken für das Unternehmen zu verursachen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!