Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Abo

Datenschutz : Fotos im Internet – was soll dabei schon schiefgehen?

Fotos von und Videos mit Beschäftigten gehören fest zum Inventar des Employer Brandings und der Personalrekrutierung. Sie sollen Authentizität zeigen und die Begeisterung der Belegschaft visualisieren. Um eine möglichst große Reichweite zu erzielen, werden diese Fotos und Videos auf der Unternehmenswebsite und auch in sozialen Netzwerken veröffentlicht.

Dr. Niels LepperhoffAllgemeinDatenschutz
Lesezeit 5 Min.

Mithilfe im Internet veröffentlichter Fotos lassen sich Menschen anhand eines Bildes von ihnen identifizieren. So warb 2022 die US-Firma Clearview mit einer Erhöhung der gespeicherten Gesichtsfotos von 10 Milliarden auf 100 Milliarden innerhalb eines Jahres. Das Ziel sei, fast jeden Menschen auf der Erde zu identifizieren. Dazu sammelt das Unternehmen auf Webseiten und in sozialen Netzwerken veröffentlichte Fotos ein.(1)

Die Personenbildersuche der Firma PimEyes liefert nach Hochladen eines Fotos einer Person Links zu Webseiten mit weiteren Fotos, die diese Person in anderen Kontexten oder auf Gruppenbildern zeigen. Weitere Unternehmen bieten vergleichbare Dienste an und ermöglichen auch die automatische Analyse, ob zwei Bilder die gleiche Person zeigen. Die Mächtigkeit dieser frei zugänglichen Dienste zeigt der Fall der RAF-Terroristin Daniela Klette. Ein Journalist des Recherchekollektivs „Bellingcat“ brauchte nach 9705144eigenen Angaben nur 30 Minuten, um eine „heiße Spur“ der Terroristin anhand von alten Fotos zu finden.(2) Die genutzten Werkzeuge sind jedermann zugänglich.

Fotos und Videos dienen nicht nur der Personenidentifikation, sondern eignen sich beispielsweise auch zur Rufschädigung. Mit Hilfe von Fotos oder Videos, die eine Person zeigen, lassen sich Deepfakes erzeugen. Diese Deepfakes zeigen Szenen mit der Person, die so nicht stattgefunden haben. Die Anwendung reicht von pornographischen Darstellungen(3) bis zur Identitätsübernahme(4).

Um diese Dienste zur Verfügung stellen zu können, haben die betreibenden Unternehmen alle ihnen maschinell zugänglichen Fotos und Videos inklusive (personenbezogener) Daten aus Unternehmenswebseiten und sozialen Netzwerken, die mit diesen verknüpft sind, ausgelesen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat 2022 gegen PimEyes ein Bußgeldverfahren wegen unerlaubter Verarbeitung von Fotos eingeleitet.(5)

Anbieter von Bildgeneratoren lesen ebenfalls regelmäßig Fotos, Videos und die verknüpften (personenbezogenen) Daten aus Unternehmenswebseiten und sozialen Netzwerken aus. Erste Klagen wegen Urheberrechtsverletzung wurden zwischenzeitlich erhoben.(6)

Die Welt ist böse – na und?

Dass Unternehmen gegen Urheber- und Persönlichkeitsrechte verstoßen, ist weder neu noch überraschend. Genauso wenig, dass das eine oder andere Geschäftsmodell ohne systematische Gesetzesverstöße nicht funktionieren würde. So sagte Sam Altman, der CEO von OpenAI, vor dem britischen Oberhaus, dass ein Training von KI-Modellen ohne urheberrechtsgeschütztes Material nicht möglich gewesen wäre.(7)

Eine Collage aus digitalen Bildern behandelt Themen wie Technologie, Natur, Musik, Sport und Reisen. Mit einer Gitarre, Blumen, einem Golfplatz und einer Stadtlandschaft auf blauem Hintergrund, der an Social-Media-Posts erinnert und die Bedeutung des Datenschutzes für unsere gemeinsamen Erfahrungen hervorhebt.
Foto: Nmedia/stock.adobe.com

Wer Fotos und Videos seiner Beschäftigten auf die Unternehmenswebseite stellt oder in sozialen Netzwerken veröffentlicht, stützt diese Verarbeitung personenbezogener Daten regelmäßig auf eine Einwilligung. Um wirksam zu sein, muss eine Einwilligung – neben anderen Bedingungen – informiert erfolgen.

Risikoaufklärung erforderlich

Zur Informiertheit gehört selbstverständlich – neben weiteren Angaben – auch eine Beschreibung, zu welchen Zwecken welche personenbezogenen Daten, beispielsweise Foto, Name und Position, wo veröffentlicht werden sollen. Bei einer Veröffentlichung im Internet kommt hinzu, dass sich die Einwilligung auch auf den Datentransfer in Länder außerhalb der EU, die nicht über ein der EU vergleichbares Datenschutzniveau verfügen, beziehen muss. Die Risiken, die sich aus der Übermittlung für die Beschäftigten ergeben, sind explizit zu nennen (Art. 49 Abs. 1 lit. a) Datenschutz-Grundverordnung (DS‑GVO).

Der europäische Datenschutzausschuss nennt zu den mitzuteilenden Risiken beispielhaft das Fehlen einer Datenschutzaufsichtsbehörde im Empfängerland, von Datenverarbeitungsgrundsätzen sowie von Datenschutzrechten.(8) Angesichts der eingangs geschilderten für Menschen nachteiligen Verwendungen veröffentlichter Fotos und Videos, wird auch über die Risiken

  • der Identifikation auch auf Fotos und Videos, bei denen Beschäftigte von Anonymität ausgehen,
  • der Nutzung zum Algorithmustraining und
  • von Deepfakes

zu informieren sein. Ein Risiko beim Algorithmustraining ist, dass sich die Trainingsdaten wieder abrufen lassen(9) und nicht gelöscht werden können, ohne das ganze Modell zu löschen. Das Recht auf Vergessen (Art. 17 DS‑GVO) läuft damit – auch bei EU-ansässigen Unternehmen – faktisch ins Leere.

Die Beweislast, dass die Beschäftigten ausreichend über die Risiken vor Abgabe der Einwilligung unterrichtet wurden, liegt beim Unternehmen. Deshalb empfiehlt es sich, die Risikobelehrung in den Einwilligungstext zu integrieren.

Eine Person hält ein blaues Schild mit einem weißen Häkchensymbol vor sich, das Sicherheit und Vertrauen verkörpert, ähnlich modernen Datenschutzpraktiken. Der neutrale graue Hintergrund unterstreicht die Bedeutung des Schildes.
Foto: vegefox.com/stock.adobe.com

Fazit

Eine Veröffentlichung von Fotos und Videos von Beschäftigten auf der Unternehmenswebseite und in sozialen Netzwerken setzt die abgebildeten Personen neuen Risiken aus. Diese umfassen beispielsweise eine Identitätsübernahme und pornographische Darstellungen. Unternehmen sollten auch mit Blick auf ihre Führsorgepflicht kritisch prüfen, ob die Verwendung von Fotos und Videos von Beschäftigten weiterhin angemessen ist.

Im Regelfall wird die Veröffentlichung auf eine Einwilligung zu stützen sein. Beschäftigte müssen dabei u. a. auch über die Übermittlung in Länder außerhalb der EU sowie die damit einhergehenden Risiken unterrichtet werden.

Da immer wieder neue Risiken bekannt werden, empfiehlt es sich, regelmäßig zu prüfen, ob die verwendeten Einwilligungsmuster hinreichend über die Risiken informieren. Die Beweislast für die Wirksamkeit einer Einwilligung, d. h. auch für die Vollständigkeit der Risikoinformation, liegt beim Unternehmen.

Weitere Maßnahmen, wie eine Sperrung der Unternehmenswebseite für Crawler von „KI-Unternehmen“ und die Entfernung von personenbezogenen Metadaten aus dem Bildmaterial (Für eine Anleitung siehe beispielsweise Der Bayerische Landesbeauftragte für den Datenschutz (2024): Fotos veröffentlichen = KI trainieren? Aktuelle Kurz-Information 55. URL: AKI 55: Fotos veröffentlichen = KI trainieren? (datenschutz-bayern.de) ), können helfen, Risiken zu reduzieren.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

———————

  1. Heise Online (2022): Überwachung: Clearview will Datenbank mit 100 Milliarden Gesichtsfotos füllen, 17.02.2022.
    URL: https://heise.de/-6491056
  2. Netzwelt (2024): Behörden suchten 30 Jahre: KI-Gesichtserkennungssoftware findet RAF-Terroristin in nur 30 Minuten, 01.03.2024. URL: https://www.netzwelt.de/news/228259-ki-software-spuert-raf-terroristin-gesichtserkennung-liefert-nur-30-minuten-entscheidende-hinweise.html
  3. Heise Online (2023): Spanien: Jugendliche verbreiten KI-generierte Nacktbilder von Mädchen, 22.09.2023. URL: https://heise.de/-9314057
  4. Heise Online (2021): Deep Fake: Politiker fallen auf gefälschten Nawalny-Vertrauten rein, 26.04.2021. URL: https://heise.de/-6027713
  5. Heise Online (2022): Gesichtssuche: Datenschutzbeauftragter will Bußgeld gegen PimEyes verhängen, 21.12.2022. URL: https://heise.de/-7438089
  6. Der Spiegel (2024): Künstlerinnen und Fotoagentur klagen gegen KI-Bildgeneratoren, 17.01.2023. URL: https://www.spiegel.de/netzwelt/web/kuenstliche-intelligenz-kuenstlerinnen-und-foto-agentur-klagen-gegen-bildgeneratoren-a-e0648bb0-f2db-42b8-a044-10fd916f2e60. Letzter Zugriff: 2024-05-03.
  7. Heise Online (2024): Ohne unsere Inhalte keine KI: Weitere Klage gegen OpenAI und Microsoft, 02.05.2024. URL: https://heise.de/-9705144
  8. EDPB (2018): Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 9
  9. Heise Online (2023): Mit Wortwiederholungs-Trick: ChatGPT läßt sich Trainingsdaten entlocken, 30.11.2023. URL: https://heise.de/-9544586

———————

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.