Legal & Compliance

Rechtliche Fragen zu Fotos auf dem Mitarbeiterausweis

Folgen Sie uns auf LinkedIn LinkedIn
Die Erstellung von Mitarbeiterfotos scheint auf den ersten Blick ein rein organisatorischer Vorgang zu sein. In der Praxis wirft die Fotoerfassung jedoch regelmässig komplexe rechtliche Fragen auf: Darf der Arbeitgeber ein Foto verlangen? Braucht es eine Einwilligung? Wie lange darf das Bild gespeichert werden? Dieser Artikel bietet einen Überblick für HR-Abteilungen, Corporate Security und Compliance und zeigt, wie moderne Lösungen wie Photo Collect helfen, die Anforderungen der DSGVO zuverlässig zu erfüllen.

Hinweis: Dieser Artikel bezieht sich auf die DSGVO mit Anwendung in der EU.

Darf ein Unternehmen ein Foto für den Mitarbeiterausweis verlangen?

Ja. Für alles, was erforderlich ist, um das Arbeitsverhältnis durchzuführen oder die Sicherheit zu gewährleisten, braucht es keine Einwilligung nach DSGVO. Ein Foto auf dem Ausweis ist datenschutzrechtlich zulässig, wenn es erforderlich ist, zum Beispiel für die Sicherheit und Identifikation im Unternehmen.

Die Rechtsgrundlage stützt sich auf:

  • Art. 6 Abs. 1 lit. f DSGVO: „Berechtigtes Interesse“ – z. B. Sicherheit, Zugangskontrolle, Vermeidung von Betrug
  • Evtl. Art. 6 Abs. 1 lit. b DSGVO: „Vertragserfüllung“ – z. B. Identifikation im Beschäftigtenverhältnis

Braucht es eine Einwilligung für die Erfassung des Fotos?

Nein. Für ein Foto auf dem Mitarbeiterausweis ist keine Einwilligung nötig, die Rechtsgrundlage ist das berechtigte Interesse oder die Vertragserfüllung. Hier wäre eine Einwilligung überflüssig und sogar gefährlich, weil der Mitarbeiter sie theoretisch widerrufen könnte und der Prozess rechtlich instabil würde. Eine Einwilligung wäre im Arbeitsverhältnis nicht wirklich freiwillig, die DSGVO verlangt aber, dass eine Einwilligung freiwillig erteilt wird.

Für zusätzliche Zwecke wie Internet-Profilbild, Microsoft Teams Bild, für die Webseite oder Marketingmaterial hingegen ist eine separat dokumentierte, explizite und freiwillige Einwilligung erforderlich. Am besten ist es, wenn Mitarbeitende das Foto selbst in diese Kanäle hochladen können. Photo Collect kann per E-Mail eine Kopie zur eigenen Verwendung an jeden Mitarbeitenden zustellen.

Braucht es eine Einwilligung für die Verarbeitung mit Photo Collect?

Nein. Die Nutzung von Photo Collect ändert nichts an der Rechtsgrundlage der Einwilligung (siehe oben).

Muss eine alternative Verarbeitung ohne Photo Collect angeboten werden?

Nein. Wenn Photo Collect der ausgewählte Dienstleister und Auftragsverarbeiter ist, darf das Unternehmen den gesamten Foto-Prozess zentral über Photo Collect abwickeln.

Weder Art. 6 (Rechtsgrundlage) noch Art. 13 (Informationspflichten) noch Art. 28 (Auftragsverarbeitung) verlangen, dass Mitarbeitende wählen können, wie ihre Daten verarbeitet werden oder welches System dafür genutzt wird.

Solange die Verarbeitung rechtmäßig, zweckgebunden, datenschutzfreundlich und transparent erfolgt, besteht keine juristische Pflicht zur Bereitstellung anderer Software- oder Bearbeitungswege.

Wie müssen Mitarbeitende über die Datenverarbeitung informiert werden?

Art. 13 DSGVO regelt die Informationspflichten, die ein Unternehmen gegenüber Mitarbeitenden hat, sobald personenbezogene Daten verarbeitet werden – also auch dann, wenn keine Einwilligung erforderlich ist. Das bedeutet: Auch wenn das Foto für den Mitarbeiterausweis auf Basis des berechtigten Interesses oder der Vertragserfüllung verarbeitet wird, muss der Arbeitgeber die Mitarbeitenden transparent darüber informieren, was mit dem Foto geschieht.

Als Beispiel:

Im Rahmen Ihres Arbeitsverhältnisses benötigen wir ein Foto von Ihnen, um einen personalisierten Mitarbeiterausweis zu erstellen und die Zutrittskontrolle im Unternehmen zu ermöglichen. Rechtsgrundlage hierfür ist Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Arbeitsverhältnisses) sowie Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Zugangssicherheit).

Die Erfassung und Verarbeitung Ihres Fotos erfolgt über die Software „Photo Collect“, betrieben durch die Visible Solutions AG, Zürich. Photo Collect verarbeitet die Daten ausschließlich auf unsere dokumentierte Weisung und ausschließlich zu dem Zweck, Ihr Foto aufzunehmen, zu prüfen und technisch aufzubereiten. Die Daten werden in einem ISO-27001-zertifizierten Rechenzentrum in der Schweiz gespeichert, pseudonymisiert verarbeitet und nach erfolgreichem Export automatisch gelöscht. Metadaten werden spätestens nach 90 Tagen entfernt. Weitere technische und organisatorische Massnahmen sowie Subprozessoren sind in unserem Auftragsverarbeitungsvertrag dokumentiert.

Sie haben das Recht auf Auskunft, Berichtigung und Löschung Ihrer Daten, soweit diese nicht zur Erstellung oder Verwendung des Mitarbeiterausweises weiterhin erforderlich sind. Weitere Informationen finden Sie in unserer allgemeinen Datenschutzerklärung für Mitarbeitende.

Müssen Mitarbeitende ihr privates Smartphone verwenden?

Eine Pflicht zur Nutzung privater Endgeräte (BYOD) ist arbeitsrechtlich zumindest in Deutschland und in der Schweiz problematisch (in anderen Ländern kann das Arbeitsrecht abweichen). Der Arbeitgeber kann nicht verlangen, dass ein Beschäftigter sein privates Gerät dienstlich nutzt (Deutschland nach § 106 GewO, Schweiz nach Art. 327 Abs. 1 OR). Deswegen muss eine Alternative bereitstehen. Typische Alternativen sind der Fotokiosk am Empfang oder die Foto-Erfassung per App im Kartenbüro.

Photo Collect bietet neben dem Upload per Smartphone (BYOD oder Firmen-Smartphone) weitere parallel nutzbare Kanäle, sodass keine BYOD-Pflicht besteht:

  • Fotokiosk zur Selbstbedienung am Standort
  • Photo Collect App für HR-Mitarbeitende, Empfang, Kartenbüro
  • API-Integration in Intranet oder Mitarbeiter-Portale
  • Direkte Webcam-Ansteuerung

Damit erfüllen Sie die arbeitsrechtliche Pflicht, eine zumutbare Alternative anzubieten.

Wie lange dürfen Fotos gespeichert werden?

Für Fotos gilt der DSGVO-Grundsatz: so kurz wie möglich, so lange wie nötig. Hier gilt es einerseits die Seite von Photo Collect als Data Processor und die Seite des Unternehmens als Data Controller auseinander zu halten:

Photo Collect ist bewusst kein langfristiger Speicherort, sondern ein Verarbeitungstool: Nach der Aufbereitung werden die Bilder zeitnah in das jeweilige System des Kunden übertragen. Photo Collect hält sich an die im Auftragsverarbeitungsvertrag dokumentierten Fristen – etwa die sofortige Löschung der Fotos nach erfolgreichem Export sowie die automatische Entfernung der Metadaten nach 90 Tagen (oder kundenindividuell konfiguriert).

Der Kunde als Verantwortlicher (Data Controller) legt die unternehmensinternen Löschfristen fest. Einige Unternehmen speichern Mitarbeiterfotos gar nicht dauerhaft, sondern entfernen sie direkt nach dem Kartendruck. Hier ist der Kunde in der Pflicht. Spätestens, wenn Mitarbeitende das Unternehmen verlassen, müssen die Fotos gelöscht werden.

Sind die Fotos biometrischen Daten nach Art. 9 DSGVO?

Die Frage, ob Fotos im Rahmen von Photo Collect als biometrische Daten gelten, führt oft zu Unsicherheiten. Zwar ist es richtig, dass eine Person auf einem Foto grundsätzlich identifizierbar ist. Diese Identifizierbarkeit allein macht ein Foto jedoch noch nicht zu einem biometrischen Datum im Sinne von Art. 9 DSGVO. Entscheidend ist, ob das Bild so verarbeitet wird, dass eine Person anhand ihrer biometrischen Merkmale eindeutig identifiziert oder authentifiziert werden soll. Genau hier setzt die juristische Unterscheidung an: Ein normales Porträtfoto, das lediglich gespeichert oder technisch aufbereitet wird, fällt nicht automatisch unter die strengeren Regeln für biometrische Daten.

In Photo Collect wird das Gesicht deshalb nicht zur Identifikation oder zum Abgleich mit anderen Datenbeständen genutzt. Die Software führt lediglich funktionale Analysen durch, um das Foto für den vorgesehenen Zweck technisch aufzubereiten, beispielsweise um die Person innerhalb des Bildes zu zentrieren, die Qualität zu prüfen oder den Hintergrund zu entfernen. Diese Verarbeitungsschritte dienen ausschließlich der Bildoptimierung und nicht der Feststellung oder Verifikation der Identität einer Person. Der Abgleich, ob es sich um den richtigen Mitarbeitenden handelt, erfolgt außerhalb des Systems und obliegt dem Unternehmen.

Dies gilt auch dann, wenn E-Mail-Adressen, die mit den Datensätzen mitgeliefert werden, typischerweise Rückschlüsse auf Klarnamen zulassen. Die Verarbeitung von Fotos mit Photo Collect bleibt eine normale personenbezogene Datenverarbeitung, aber keine Verarbeitung biometrischer Daten nach Art. 9 DSGVO.

Welche KI-Methoden zur Fotoverarbeitung sind zulässig?

Bei der Verarbeitung mit KI geht es darum, welche KI-Methoden eingesetzt werde: Wird die Person auf dem Bild synthetisch neu generiert (GenAI), biometrisch identifiziert oder oder dient KI lediglich dazu, die Kopfhaltung zu analysieren, den Hintergrund zu entfernen und das Gesicht zu zentrieren? Diese Unterscheidung ist entscheidend, denn je nachdem, welches Verfahren eingesetzt wird, gelten unterschiedliche datenschutzrechtliche Anforderungen. Und nach GenAI Verfahren sollte das Bild nicht mehr für sicherheitsrelevante Bereiche wie Mitarbeiterausweise eingesetzt werden.

Welche KI-basierten Verbesserungen erlaubt sind, wo die Grenzen verlaufen und wie Unternehmen die rechtlichen Anforderungen korrekt einordnen, lesen Sie im Artikel Bildverbesserungen mit KI – was ist erlaubt?

Können Klarnamen zur Ansprache verwendet werden?

Ein zentraler Grundsatz der DSGVO ist die Datenminimierung: Unternehmen sollen nur die Daten erheben und verarbeiten, die für den jeweiligen Zweck unbedingt erforderlich sind. Für die Erfassung und Aufbereitung eines Fotos – sei es für einen Mitarbeiterausweis oder für sicherheitsrelevante Identifikationsprozesse – wird der Klarname der betreffenden Person jedoch nicht benötigt. Photo Collect folgt konsequent diesem Prinzip und verzichtet daher bewusst darauf, Namen in das System zu importieren oder in Upload-Einladungen zu verwenden. Stattdessen erfolgt die Zuordnung ausschliesslich über technische Identifikatoren wie Mitarbeitenden- oder Kundennummern, ergänzt durch die jeweilige Kontaktadresse (E-Mail oder Telefonnummer), die für den Versand der Einladung erforderlich ist.

Fazit: Fotoverarbeitung sollte man professionell lösen

Fotos auf dem Mitarbeiterausweis wirken trivial, sind aber datenschutzrechtlich anspruchsvoll. Unternehmen müssen:

  • transparent informieren
  • BYOD-Pflichten vermeiden
  • Einwilligungen sauber managen
  • Löschfristen strikt einhalten
  • klare Zweckbindungen dokumentieren
  • technische und organisatorische Massnahmen sicherstellen

Photo Collect erfüllt diese Anforderungen. Unternehmen erhalten damit einen klar strukturierten und datenschutzfreundlichen Prozess, der den gesamten Umgang mit Mitarbeitendenfotos deutlich vereinfacht. Der Fotoprozess wird nicht nur effizienter, sondern auch technisch und rechtlich verlässlich abgesichert.

Folgen Sie uns auf LinkedIn LinkedIn

Nico Schefer

Geschrieben von

Weitere Beiträge

Legal & Compliance

Bildverbesserungen mit KI - was ist erlaubt?

Prozessmanagement

Ausweisfotos neu gedacht: Wie moderne ID-Prozesse von digitaler Fotoerfassung profitieren

Technologie

ISO/IEC 19794-5 – Der internationale Standard für biometrische Gesichtsbilder

Technologie

Bestehende Fotodatenbanken effizient nutzen: Mitarbeiterfotos und Ausweisfotos professionell verarbeiten

Prozessmanagement

Visa-Fotos automatisiert prüfen: ICAO-konforme ID-Fotos

Prozessmanagement

Mitarbeiterfotos effizient mit Handy erfassen – ohne App, ohne Login

MitarbeiterfotosPersonalausweisfotosStudenten-Ausweise
Demo-UploadBlogICAO Foto StandardsChatGPT-Experte
ImpressumDatenschutzerklärungCookie-RichtlinieSystemstatus
© Photo Collect by Visible Solutions AG, Zürich, Schweiz