DSGVO, Datenschutz und Fotorecht: was Du jetzt wirklich beachten musst

Personenbilder sind überall: Eventfotos, Teamseiten, Social-Media-Posts, Recruiting-Kampagnen. Und genau dort lauern die typischen DSGVO-Fallen. In diesem Leitfaden zeige ich Dir praxisnah, wie Du Personenaufnahmen rechtssicher planst, erstellst und veröffentlichst – ohne den Spaß an guten Bildern zu verlieren.

Das Wichtigste vorab: Wann ist ein Foto „personenbezogen“?

Ein Foto ist personenbezogen, sobald eine Person identifizierbar ist – direkt (Gesicht) oder indirekt (Kombination aus Ort, Kontext, Kleidung). Dann greift die DSGVO, inklusive Rechtsgrundlage, Transparenzpflichten und Betroffenenrechten. Das gilt für Foto, Video, Livestream, Story und auch Metadaten wie EXIF-Standort.

Wenn Du rein privat und ohne Bezug zu einer (auch künftigen) Veröffentlichung fotografierst, greift die Haushaltsausnahme. Sobald Du jedoch im beruflichen Kontext oder zur Veröffentlichung arbeitest (Website, Social Media, Presse), gilt die DSGVO.

Rechtsgrundlagen im Fotorecht: Einwilligung, Vertrag, berechtigtes Interesse

Für Personenbilder brauchst Du eine gültige Rechtsgrundlage. In der Praxis haben sich drei Wege bewährt:

  • Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Ideal für planbare Szenarien wie Teamfotos, Einzelporträts oder Kampagnenmotive. Achte auf Freiwilligkeit, Informiertheit und Widerrufsmöglichkeit. Bei Minderjährigen brauchst Du die Einwilligung der Sorgeberechtigten.
  • Vertragliche Erfüllung (Art. 6 Abs. 1 lit. b DSGVO): Greift z. B. bei Model-Release mit Honorar und klarer Zweckbestimmung (Produktion + Nutzung). Der Vertrag regelt das „Ob“ und die Einwilligung präzisiert das „Wie weit“. In der Praxis kombinieren wir beides.
  • Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Für Reportage, Veranstaltungen, Unternehmenskommunikation im öffentlichen oder halböffentlichen Raum. Du brauchst eine dokumentierte Interessenabwägung, transparente Information und einfache Widerspruchsmöglichkeiten. Typisch: Event-Gäste, Publikum, Bühnen-/Panel-Fotos, Alltagsreportage in Firmenräumen.

Profi Hinweis: Das Kunsturhebergesetz (KUG) mit den Ausnahmen für Bildnisse aus dem Bereich der Zeitgeschichte, bei Personen als Beiwerk und für Versammlungen/Umzüge wirkt für journalistische, künstlerische und wissenschaftliche Zwecke fort – flankiert durch Art. 85 DSGVO.2 Für unternehmensinterne Kommunikation verlässt Du Dich dagegen nicht auf das KUG, sondern auf die DSGVO.

Transparenz: Informiere klar – auch ohne Formularwüste

Du musst Betroffene informieren (Art. 13/14 DSGVO). Das geht pragmatisch und freundlich:

  • Vorab-Informationen in Einladungen, auf Eventseiten und mit gut sichtbaren Hinweis Schildern am Eingang.
  • Kurzlink/QR-Code zu Deiner vollständigen Foto Datenschutzhinweis-Seite.
  • Opt out leicht machen: farbige Lanyards/Störer für „bitte nicht fotografieren“, No Photo Zonen, gut geschulte Fotografen.

Falls eine direkte Information im Einzelfall unverhältnismäßig wäre (z. B. große Menschenmenge in der Fußgängerzone), kann die Ausnahme des Art. 14 Abs. 5 lit. b DSGVO greifen. Dokumentiere das sauber – pauschal ausklammern solltest Du die Transparenz nicht.

Mitarbeitende und HR: Einwilligung ist Pflicht – Widerruf fair lösen

Mitarbeiterfotos und Employer Branding funktionieren mit Einwilligungen am besten. Achte darauf, dass keine Nachteile bei Verweigerung entstehen. Plane von Anfang an Widerrufsfälle:

  • Motive so gestalten, dass sie austauschbar oder leicht retuschierbar sind.
  • Veröffentlichungen mit kurzer Laufzeit planen (z. B. 12 – 24 Monate).
  • Prozesse für „Takedown“ und Ersatzaufnahmen definieren.

Bei Betriebsfeiern oder All Hands kannst Du mit berechtigtem Interesse arbeiten – vorausgesetzt, Du informierst, bietest Opt out und respektierst „rote Zonen“. Für Porträts oder Kampagnen bleib bei Einwilligung.

Minderjährige: Null-Risiko gibt es nicht – Sorgfalt schon

Bei Kindern und Jugendlichen brauchst Du grundsätzlich die Einwilligung der Sorgeberechtigten. Arbeite mit klaren Formularen, kurzen Gültigkeiten und Motiven, die den Schutz der Privatsphäre wahren (z. B. Gruppen, keine Geodaten, keine Schulwege). Für Sportvereine, Schul- und Kita Events sind zusätzlich interne Freigabeprozesse sinnvoll.

Eventfotografie und öffentlicher Raum: So funktioniert berechtigtes Interesse

Bilder von Veranstaltungen oder im öffentlichen Raum sind zulässig, wenn Dein Kommunikationszweck klar überwiegt und Du Schutzmaßnahmen ergreifst:

  • Sichtbare Hinweise vor Ort, Online Hinweise vorher.
  • Fokus auf „Szene“ statt Close Ups einzelner Personen.
  • Opt outs respektieren, Nachbearbeitung möglich halten.
  • Veröffentlichungskanäle und Reichweite begrenzen (z. B. Firmenkanäle, begrenzte Laufzeit).

Praxisbeispiel: Du fotografierst eine Konferenz. Szenische Totalen und Bühnen Shots sind unkritischer. Für Nahaufnahmen aus dem Publikum fragst Du kurz nach. Wer nicht aufs Bild will, wird konsequent respektiert. Das Ergebnis: starke Bildsprache, rechtssicher umgesetzt.

Fotograf – Verantwortlicher oder Auftragsverarbeiter?

Die Gretchenfrage: Ist der Fotograf Auftragsverarbeiter? Maßstab ist, wer über Zwecke und Mittel entscheidet.

  • Kampagnen-/Mitarbeiterfotos: In der Regel ist Dein Unternehmen Verantwortlicher; der Fotograf handelt weisungsgebunden → Auftragsverarbeitung mit AVV, TOMs, Löschkonzept.
  • Presse-/Kunstreportage: Der Fotograf entscheidet eigenständig über Zwecke/Mittel → eigene Verantwortlichkeit, kein AVV.
  • Mischformen: Klare Rollenklärung im Vertrag, inkl. Nutzungsrechte, Löschfristen, Datentransfer (RAWs), Verschlüsselung, Speicherort.

Verzeichnis, Prozesse, Sicherheit: Ohne Organisation geht es nicht

  • Verzeichnis von Verarbeitungstätigkeiten: „Foto  und Videokommunikation“ mit Rechtsgrundlagen, Speicherdauer, Empfängern.
  • Betroffenenrechte: Prozesse für Auskunft, Widerspruch, Löschung, Unkenntlichmachung.
  • Sicherheit by Design: Keine Geotags, sichere Übertragung (Ende zu Ende Verschlüsselung), Zugriff nur für berechtigte Personen, Wasserzeichen nur bei Bedarf, klare Archivstrategie.

Und ja: Auch im Fototeam kann es zu Datenpannen kommen. Ein versehentlich veröffentlichtes sensibles Bild oder EXIF Standortdaten in einer Story sind meldepflichtig, wenn ein Risiko für Betroffene besteht. Schnelle Reaktion ist Pflicht.

Bußgelder und Lehren: Kleine Fehler, echte Wirkung

Die Aufsichtsbehörden ahnden vor allem unrechtmäßige Aufnahmen und Veröffentlichungen, fehlende Einwilligungen sowie fehlende Schutzmaßnahmen. Auch geringe Beträge schmerzen, weil sie oft mit strengen Auflagen verbunden sind. Entscheidend ist Dein Prozessreifegrad: Wer sauber abwägt, informiert und dokumentiert, reduziert das Risiko drastisch.

Blick über den Tellerrand: Hinweisgeberschutz und sensible Daten

Das Hinweisgeberschutzgesetz (HinSchG) erlaubt Meldestellen, personenbezogene und in Ausnahmefällen auch besondere Kategorien von Daten zu verarbeiten, wenn das zur Aufgabenerfüllung erforderlich ist – aber nur mit spezifischen Schutzmaßnahmen.3 Das ist kein Freibrief für Bildaufnahmen im Arbeitskontext, zeigt aber: In klar geregelten, legitimen Prozessen sind auch „heikle“ Daten verarbeitbar – wenn die Schutzmaßnahmen stimmen.

Konkrete Handlungsschritte für Deine Foto Compliance

  • Formuliere eine klare Bild Policy: Zwecke, Kanäle, Laufzeiten, Verantwortlichkeiten.
  • Wähle die passende Rechtsgrundlage je Use Case und dokumentiere die Abwägung.
  • Nutze verständliche Einwilligungen mit Widerruf und kurzer Gültigkeit.
  • Informiere sichtbar: Einladung, Website, Schilder am Eingang, QR Code.
  • Richte Opt out Signale ein: Lanyards, Sitzreihen, Sticker. Schule Dein Team.
  • Schreibe einen AV Vertrag mit Fotopartnern oder kläre die Eigenverantwortlichkeit.
  • Setze Sicherheitsmaßnahmen um: verschlüsselte Übertragung, keine Geodaten, Zugriffskontrollen.
  • Etabliere Takedown Prozesse und „Blur“-Optionen für bereits veröffentlichte Inhalte.
  • Pflege Dein Verzeichnis der Verarbeitungstätigkeiten und ein kurzes Foto Daten Löschkonzept.
  • Übe den Ernstfall: Datenpanne erkennen, bewerten, melden – mit Vorlage.

FAQ: Häufige Fragen aus der Praxis

Brauche ich immer eine Einwilligung? Nein. Für Reportage/Events reicht oft berechtigtes Interesse – mit Information, Abwägung und Opt out. Für Porträts und Kampagnen bleibt die Einwilligung Standard.

Darf ich Bilder auf Social Media posten? Ja, wenn die Rechtsgrundlage passt und die Zwecke/Plattformen in Einwilligung oder Abwägung genannt sind. Denke an Reichweite, Kommentare, Weiterverbreitung.

Was ist mit Mitarbeitenden, die aus dem Unternehmen ausscheiden? Plane kurze Laufzeiten, ersetzbare Motive und Takedown Prozesse. Bei Widerruf entfernst Du das Bild aus Kanälen, die Du kontrollierst.

Zählen EXIF Daten und Standortinfos? Ja. Entferne Metadaten vor der Veröffentlichung und prüfe Smartphone Einstellungen. Das reduziert Risiken erheblich.

Muss ich die Identität interner Mitarbeitender offenlegen, die auf Daten zugreifen? Grundsätzlich besteht ein Auskunftsrecht über Empfängerkategorien und ggf. konkrete Empfänger. Die Identität einzelner Mitarbeitender, die intern im Auftrag des Verantwortlichen zugreifen, ist regelmäßig nicht offenzulegen – beachte aber die Rechtsprechung zur Transparenz gegenüber externen Empfängern.

Fazit: Rechtssichere Fotos sind eine Frage von Design und Disziplin

Gute Bilder leben von Nähe und Authentizität. Das bekommst Du DSGVO konform hin, wenn Du Prozesse, Transparenz und Respekt vor den Abgebildeten zusammendenkst. Aus meiner Erfahrung: Wer Einwilligung dort nutzt, wo sie Sinn ergibt, und im Übrigen sauber abwägt, kann mutig veröffentlichen – ohne jeden zweiten Post zu fürchten.

Über uns

Die advantegy GmbH unterstützt Dich mit pragmatischen Datenschutz Standards, passgenauen Vorlagen und Trainings für Marketing , HR und Event Teams. Sprich uns an, wenn Du Deine Bild Compliance in 30 Tagen messbar verbessern willst.