Datenschutzkonformer Fotowettbewerb

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Im Frühling 2022 wurde von der VACE Group ein Fotowettbewerb geplant. Es sollte ein grüner VACE-Kofferanhänger an alle internen sowie externen MitarbeiterInnen versandt werden. Jener durfte in der Folge auf Sommer- und Urlaubsfotos abgebildet werden.

 

Nach der Laufzeit des Wettbewerbs konnten – nach Auswahl der besten Fotos – Letztere prämiert werden. Die Abstimmung über die Bilder erfolgte durch die Teilnehmer selbst. Im Anschluss gab es eine Preisverleihung und – auf freiwilliger Basis namentliche – Veröffentlichung der Gewinnerfotos in sozialen Medien und auf unserer Webseite.

Seitens unserer Abteilung Marketing und Kommunikation wurde der Grundstein für eine datenschutzkonforme Umsetzung gelegt: Erstens, und die ist besonders positiv hervorzuheben, wurde die interne Datenschutzstelle aktiv und frühzeitig angesprochen. Zweitens kam bereits von Seiten des Marketings der gute Vorschlag, von der Verwendung von Gesichtsportraits und (soweit möglich und tunlich) von Namen abzusehen – näher dazu untenstehend.

Rechtsgrundlage

Die Datenschutzstelle prüft bei einem solchen Vorhaben in erster Linie stets, welche Rechtsgrundlage zur Personendatenverarbeitung in Frage kommt. Artikel 6 DSGVO spricht von „Rechtmäßigkeit der Verarbeitung“ und kam für unsere Zwecke entweder „Einwilligung“ oder „Vertrag“ mit dem Betroffenen in Frage.

Von einer Einwilligung haben wir abgeraten, da jene nicht nur jederzeit widerrufbar wäre – sondern auch die immaterialgüterrechtliche Seite des Vorhabens (genauer: das Urheberrecht) gänzlich unberücksichtigt bliebe. Mittel der Wahl war aus unserer Sicht ein Gewinnspielvertrag, dessen sorgsam gewählte Formulierung sowohl die DSGVO als auch das UrhG– und nicht zu vergessen sämtliche Konditionen des Gewinnspieles (Teilnahmebedingungen, Fristen und Preise) – behandelt.

Gesichtsportraits & Namen (Datenminimierung, Pseudonymisierung)

Das Ausbleiben von Gesichtsbildern ist freilich eine hinsichtlich „Vertraulichkeit“ schützende Maßnahme, welche aber nichts am grundsätzlichen Vorhandensein von Personendaten ändert – solange Identifizierbarkeit herrscht. So könnten Personen anhand von Größe, Geschlecht oder Kleidung erkannt werden. Aus Datenschutzsicht wird man Fotos bevorzugen, welche jeden Personenbezug (wie zum Beispiel Aufnahmen von Leuten aus der Ferne oder von hinten) vermissen lassen.

Geht aus dem eingereichten Bild der Aufnahmeort hervor (zB Eisberg) wird ein begrenzter Kollegenkreis (welchem die ungewöhnlich kalte Reisedestination und der Urlaubszeitraum bekannt ist) sicherlich einen Personenbezug herstellen können. Ähnlich könnte man das Abbilden des eigenen Gartens sehen. Dazu muss man sagen: Natürlich ist Anonymität bei diesem Wettbewerb unter freundlich gesinnten Arbeitskollegen keineswegs unser Anspruch und begnügen wir uns mangels Betroffenenrisiken mit Maßnahmen zur Datenminimierung sowie Pseudonymisierung.

Eine Abstimmung mit Bild-Nummern anstatt Namen ist als Pseudonymisierung zu sehen. Der Veranstalter besitzt den „Schlüssel“ zur Pseudonymisierung zwangsläufig, um die Teilnehmer zuordnen und Preise verleihen zu können. Auch trägt die Vollständigkeit der Gewinnspielverträge zur Rechenschaftspflicht im Datenschutz bei (siehe oben zur Rechtsgrundlage).

Gewinnspielvertrag und -konditionen

Im gegenständlichen Vertrag wird man etwa regeln, dass die Reihung der Bilder die Folge eines Abstimmungsergebnisses ist – und in welchem Zeitraum eingereicht bzw. bewertet werden kann. Den Gewinner mittels Zufallsgenerator zu finden wäre eine andere, bei Gewinnspielen beliebte, Variante. Auch werden im Gewinnspielvertrag Details zur Veröffentlichung, Format, Auflösung, Dateigröße sowie Speicherdauer der Bilder vereinbart. Eine Archivierung und entsprechender Schutz (Einsperren von Papier; Eingeschränkter Benutzerzugriff) versteht sich von selbst.

Muss ein solcher Gewinnspielvertrag schriftlich sein? Und wann muss er vorliegen?

Die Form von Verträgen richtet sich nach dem ABGB (Allgemeines bürgerliches Gesetzbuch) und dort gilt für die allermeisten Verträge Formfreiheit. Das heißt, Schriftform ist nur in Ausnahmefällen vorgeschrieben. In unserem Fall nicht. Die DSGVO verlangt (Art 6 Abs 1 lit b) lediglich, dass die Personendatenverarbeitung „erforderlich“ ist zur „Erfüllung“ vom Vertrag - und dass der Betroffene Vertragspartei ist.

Mit anderen Worten kann auch (etwa) ein mündlicher Vertrag eine Personendatenverarbeitung rechtfertigen bzw. ist Schriftform keineswegs verpflichtend. Von der Gültigkeit (siehe oben zur Formfreiheit) muss man die Frage der Beweisbarkeit strikt trennen. Mündliche Abmachungen sind schwer beweisbar und wird daher regelmäßig die Schriftform vorgezogen. Damit in Zusammenhang steht die DSGVO-Rechenschaftspflicht, d.h. wir als Verantwortliche müssen unter anderem die Rechtsgründe unserer Personendatenverarbeitungen jederzeit nachweisen können. Da für unseren Gewinnspielvertrag Formfreiheit gilt ist auch ein Vertragsabschluss via E-Mail-Willenserklärung grundsätzlich möglich.

Erheben, Hochladen, Speichern, Nummerieren, Auswählen und Löschen derselben Personendaten für einen Zweck lässt Datenschutzbeauftragte regelmäßig von einer „Vorgangsreihe“ sprechen. Die Rechtmäßigkeit muss dabei in jeder Phase der Personendatenverarbeitung gegeben sein und veranlasst uns dies zum Abschluss des Gewinnspielvertrags zu Beginn des Vorhabens.

Nach welchen Kriterien ist ein Abstimmungstool auszuwählen? (privacy by design)

Die IT-Abteilung hat natürlich ein Programm zum gemeinsamen Hochladen und Bewerten der Bilder ausgewählt, dessen Cloud-Speicherort innerhalb der EU liegt. Somit scheidet eine (völlig unnötige) Drittlandsübermittlung aus. Von der Seriosität des Anbieters sind wir aufgrund von Aufmachung der Homepage, Referenzen und Datenschutzerklärung ausgegangen. Der Benutzerkreis der Abstimmenden wurde durch Zugriffsrechte eingeschränkt. Ziel ist hier, dass nur Administratoren (Veranstalter) sowie Teilnehmende die Bilder sehen, bewerten und verwalten können.

Der gewählte Cloud-Anbieter versprach, man könne selbst entscheiden, ob „Teilnehmer ohne Registrierung, anonym, nur mit Passwort oder mit verifiziertem Account abstimmen können“. Wie immer galt es hier, ein Sicherheitsbedürfnis mit dem Benutzerkomfort abzuwiegen – auch mit Hinblick darauf, dass man als Veranstalter die Gewinnchance möglichst vielen Teilnehmern vergönnt.

Weiteres bietet die evaluierte Plattform Double-Opt-In via E-Mail und können Administratoren anstößige oder den Teilnahmerichtlinien nicht entsprechende Bilder ablehnen. Auch dass das Foto vor dem Hochladen als Vorschau angezeigt wird ist eine wichtige Datenschutzmaßnahme – es verhindert, falsche Dateien hochzuladen. Ebenso vorteilhaft ist aus Datenschutzsicht die Möglichkeit zu sehen, ein einst selbst hochgeladenes Bild ohne Hilfe Dritter tauschen oder löschen zu können.

Es muss nicht eigens erwähnt werden, dass die Informationspflichten der DSGVO einzuhalten sind und bietet die zum Einsatz gebrachte Plattform entsprechende Felder. Dabei soll die Information von Betroffenen bereits zum Zeitpunkt der Erhebung von Personendaten geschehen. Auch dieser Umstand gehört nach Einrichtung der entsprechenden Textpassagen durch einen kurzen Test überprüft und dokumentiert.

Auftragsverarbeitung in der Cloud?

Da es zu einer arbeitsteiligen Personendatenverarbeitung in einer Cloud kommt und diese nur „auf Weisung“ (via Eingaben) tätig wird ist der Drittanbieter regelmäßig als Auftragsverarbeiter zu bewerten. Sieht dies der Cloud-Anbieter auch so wird jener von sich aus einen Auftragsverarbeitungsvertrag zur Unterschrift bereitstellen.

Private E-Mail-Adressen

Als Dienstgeber wird man zur Abwicklung in erster Linie die betrieblichen E-Mail-Adressen der Mitarbeiter heranziehen – und sind private E-Mail-Adressen nur bei Notwendigkeit gefragt: Haben etwa Arbeiter oder Lehrlinge (noch) keine unternehmensbezogene E-Mail-Adresse so wird man – zumal die Teilnahme am Gewinnspiel ja gänzlich freiwillig ist – auch die private E-Mail-Adresse verarbeiten dürfen. Da der Betroffene selbst die Eingabe vornimmt sind entsprechende Warnhinweise anzuzeigen. Seitens des Veranstalters ist hinsichtlich erlangter Adressen besonders auf die Zweckbindung und das Löschkonzept zu achten.

Möchten auch Sie Wettbewerbe und Gewinnspiele datenschutzkonform veranstalten? Melden Sie sich gerne für ein kostenloses Erstgespräch hinsichtlich DSGVO sowie Umsetzung in Ihrem Unternehmen.

VACE Story zum Fotowettbewerb 2022

Story auf LinkedIn