Mitarbeiterdaten und Fotos auf der Unternehmenswebsite – Datenschutzrechtliche Einordnung und praxistaugliche Lösungen
In einer digitalisierten Unternehmenskommunikation ist die Unternehmenswebsite häufig die erste Anlaufstelle für Kunden, Partner und Bewerber. Informationen über Ansprechpartner:innen, Fachabteilungen oder das Team „hinter dem Produkt“ schaffen Vertrauen, wirken sympathisch – und sind damit fester Bestandteil moderner Marketingstrategien.
Doch die Präsentation von Mitarbeiterdaten und Fotos im Internet ist auch ein rechtliches Minenfeld: Unternehmen bewegen sich zwischen Kundenfreundlichkeit und Datenschutz-Grundverordnung (DSGVO), zwischen Persönlichkeitsrechten und Kommunikationsinteressen. Dieser Beitrag beleuchtet die rechtlichen Grundlagen, Grenzen und empfohlenen Umsetzungsformen für die Veröffentlichung personenbezogener Mitarbeiterinformationen.
1. Datenschutzrechtlicher Ausgangspunkt
1.1 Was sind personenbezogene Daten?
Personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen bereits:
- Name und Vorname
- Funktion im Unternehmen
- dienstliche Telefonnummer oder E‑Mail-Adresse
- Lichtbilder und Videoaufnahmen
Besonders Lichtbilder gelten aufgrund ihrer hohen Erkennbarkeit als sensibler Bestandteil der Außendarstellung – und damit als besonders schutzbedürftig.
1.2 Anwendbare Rechtsgrundlagen
Jede Veröffentlichung personenbezogener Daten erfordert eine Rechtsgrundlage. Nach Art. 6 Abs. 1 DSGVO kommen je nach Art und Zweck der Datenverarbeitung insbesondere infrage:
- lit. a (Einwilligung)
- lit. b (Vertragserfüllung, z. B. bei Jobprofilen)
- lit. f (berechtigtes Interesse)
Für die Veröffentlichung von Fotos ist zusätzlich das Kunsturhebergesetz (§ 22 KUG) relevant. Nach überwiegender Auffassung ist dieses neben der DSGVO weiterhin anwendbar – jedenfalls soweit es um die medienrechtliche Ausgestaltung des Rechts am eigenen Bild geht.
2. Veröffentlichung von Mitarbeiterdaten auf Webseiten
2.1 Kontaktinformationen – Was ist erlaubt?
Die Veröffentlichung von Name, Funktion und dienstlichen Kontaktdaten (Telefonnummer, E‑Mail-Adresse) kann unter Umständen auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, sofern ein berechtigtes Interesse des Unternehmens besteht.
Beispielhafte Zwecke:
- Verbesserung der Erreichbarkeit für Kunden und Geschäftspartner
- Vorstellung von Abteilungsleitungen oder Projektverantwortlichen
Aber: Es bedarf stets einer konkreten Interessenabwägung unter Berücksichtigung des Grundrechts auf informationelle Selbstbestimmung (Art. 8 GRCh, § 26 BDSG, BVerfG Volkszählungsurteil).
Drei-Schritt-Prüfung für Art. 6 Abs. 1 lit. f DSGVO:
- Legitimes Interesse (z. B. Kundenkommunikation, Transparenz)
- Erforderlichkeit (Zweck kann nicht milder erreicht werden)
- Interessenabwägung zugunsten des Verantwortlichen
Die Entscheidung muss dokumentiert werden. Empfehlenswert ist ein kurzer Vermerk oder eine Ergänzung im Verzeichnis der Verarbeitungstätigkeiten.
2.2 Einschränkung durch das Prinzip der Datenminimierung
Art. 5 Abs. 1 lit. c DSGVO fordert die Beschränkung auf das notwendige Maß („data minimization“). Das bedeutet:
- keine privaten Telefonnummern
- keine Angaben zu Hobbys, Alter, Familienstand o. ä.
- kein „Social Media Feed“ ohne konkrete Rechtsgrundlage
Im Zweifel: Weniger ist mehr.
3. Veröffentlichung von Fotos – Einwilligung oder Vertrag?
3.1 Besonderer Schutz des Bildnisses
Die Veröffentlichung von Mitarbeiterfotos greift tiefer in die Privatsphäre ein. Bereits die Erstellung eines Fotos ist eine Verarbeitung personenbezogener Daten i.S.d. Art. 4 Nr. 2 DSGVO.
Das bedeutet:
- Zwei Vorgänge sind zu prüfen: Erstellung und Veröffentlichung
- Für beide wird eine Rechtsgrundlage benötigt
Die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ist die gängigste Variante – aber sie bringt Herausforderungen mit sich (Widerrufbarkeit, Freiwilligkeit im Arbeitsverhältnis).
3.2 Widerruf und seine Konsequenzen
Ein Widerruf der Einwilligung wirkt ex nunc und erfordert die vollständige Entfernung des Fotos. Das ist bei breiter Verwendung (Website, Social Media, Printmaterialien) praktisch aufwendig und juristisch risikobehaftet.
Zunehmend sprechen Gerichte Schadensersatz nach Art. 82 DSGVO oder immateriellen Ausgleich nach § 823 BGB zu. Die Höhe variiert – aber Beträge im vierstelligen Bereich sind bei systematischem Verstoß nicht ungewöhnlich.
4. Der „Model Release Vertrag“ als sichere Alternative
4.1 Vorteile gegenüber der reinen Einwilligung
Ein gesonderter Vertrag zur Fotoverwendung, wie er aus dem Bereich professioneller Fotografie bekannt ist, bietet zahlreiche Vorteile:
- Schriftlich fixierte Einräumung der Nutzungsrechte
- Klare Regelung über Art, Umfang, Dauer und Medien der Veröffentlichung
- Festlegung einer Gegenleistung (z. B. private Nutzung eigener Porträts)
- Schutz des Unternehmens bei späterem Streit
Wichtig: Eine Klausel im Arbeitsvertrag reicht nicht! Eine standardmäßige Regelung zur Nutzung von Mitarbeiterfotos im Arbeitsvertrag dürfte an § 307 BGB (AGB-Kontrolle) und der mangelnden Freiwilligkeit im Beschäftigungsverhältnis scheitern.
4.2 Was gehört in einen Model Release Vertrag?
- Vertragsparteien (Unternehmen und Mitarbeiter:in)
- Zweck der Nutzung (z. B. Website, Broschüren, Social Media)
- Rechteübertragung (zeitlich, räumlich, inhaltlich)
- Bearbeitungserlaubnis (mit Einschränkungen: keine Entstellung)
- Vergütung (Sachleistung oder geldwerte Vorteile)
Die Vergütung kann z. B. in Form von hochwertigen Porträts erfolgen, die auch privat nutzbar sind („time for print“, „time for portfolio“).
5. Umsetzung in der Praxis – Leitfaden für Unternehmen
| Maßnahme | Beschreibung |
|---|---|
| Interessenabwägung dokumentieren | Für alle auf Art. 6 Abs. 1 lit. f DSGVO gestützten Veröffentlichungen (z. B. Kontaktdaten) |
| Einwilligungen bewusst einsetzen | Nur dort, wo keine andere tragfähige Rechtsgrundlage existiert |
| Model-Release-Verträge verwenden | Bei geplanter, breiter Verwendung von Mitarbeiterfotos |
| Mitarbeiter aktiv einbinden | Frühzeitige Kommunikation, auch über Risiken (z. B. weltweite Abrufbarkeit, Social Media) |
| Löschkonzepte definieren | Regelungen zur Entfernung bei Widerruf oder Ausscheiden der Person |
| Veröffentlichte Inhalte regelmäßig prüfen | Zuständigkeit und Turnus festlegen (z. B. durch Datenschutzbeauftragten) |
| Verzeichnis der Verarbeitungstätigkeiten anpassen | Verarbeitungsvorgänge systematisch erfassen |
6. Zwischen Kommunikation und Compliance
Die Darstellung von Mitarbeitenden auf Unternehmenswebseiten und in Marketingmaterialien ist ein wichtiges Mittel zur Imagebildung und Kundennähe – aber auch ein datenschutzrechtliches Risiko.
Unternehmen sollten ihre Strategien mit Bedacht wählen:
- Auf Einwilligungen kann man bauen – aber nicht ewig
- Verträge schaffen Klarheit – aber nur, wenn sie gut gemacht sind
- Transparente Kommunikation und klare Prozesse verhindern unnötige Konflikte
Datenschutz ist kein Marketinghindernis. Er ist Teil einer verantwortungsvollen Unternehmensführung.