Die DSGVO (Datenschutz-Grundverordnung) ist seit Mai 2018 in der gesamten EU verbindlich und gilt auch für Medienschaffende – sie regelt, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen.

Rubrik: Recht & Wirtschaft · Unterrubrik: Urheberrecht · Niveau: Einsteiger Synonyme / Auch bekannt als: Datenschutzgrundverordnung, GDPR (englisch), EU-Datenschutzrecht

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Im Einzelfall sollte eine Rechtsanwältin oder ein Rechtsanwalt konsultiert werden. Datenschutzrechtliche Fragen sind komplex und ändern sich durch Urteile und Auslegungen kontinuierlich.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) – englisch: General Data Protection Regulation (GDPR) – ist eine EU-Verordnung (EU 2016/679), die am 25. Mai 2018 in Kraft trat. Sie gilt unmittelbar in allen EU-Mitgliedstaaten und hat nationale Datenschutzgesetze weitgehend abgelöst.

Für Medienschaffende, Fotografen, Filmproduktionen und Kreativagenturen ist die DSGVO aus mehreren Gründen relevant: Sie erhebt, speichert und verarbeitet personenbezogene Daten – und Fotos von Personen gehören explizit dazu.

Personenbezogene Daten (Art. 4 DSGVO) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören:

  • Name, Adresse, E-Mail-Adresse
  • Fotos, auf denen eine Person erkennbar ist
  • Videoaufnahmen
  • IP-Adressen (bei Website-Besuchern)
  • Metadaten (GPS-Koordinaten in Foto-Exif-Daten)

Erklärung

Personenfotos und DSGVO

Ein Foto, auf dem eine Person erkennbar ist, ist ein personenbezogenes Datum. Für die Erhebung, Speicherung und Veröffentlichung solcher Fotos braucht man eine Rechtsgrundlage (Art. 6 DSGVO). Im Bereich Fotografie kommen vor allem zwei in Frage:

  1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die Person hat ausdrücklich eingewilligt.
  2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich und überwiegt die Interessen der betroffenen Person.

Das KunstUrhG (§§ 22–24) gilt parallel zur DSGVO und ist nicht abgelöst worden. Das Verhältnis beider Regelwerke ist juristisch noch nicht endgültig geklärt – im Zweifel gelten die strengeren Anforderungen.

Einwilligungspflichten

Eine datenschutzrechtliche Einwilligung muss:

  • Freiwillig sein (kein Nachteil bei Verweigerung)
  • Informiert sein (die Person weiß, was mit ihren Daten passiert)
  • Eindeutig sein (aktive Handlung, kein vorausgefülltes Kästchen)
  • Spezifisch sein (für einen bestimmten Zweck erteilt)
  • Widerruflich sein (jederzeit möglich)

Ein Model Release kann sowohl die Einwilligung nach KunstUrhG als auch nach DSGVO kombinieren – sollte aber entsprechend formuliert sein.

Auftragsverarbeitung

Wenn ein Kreativbüro externe Dienstleister einsetzt, die Zugang zu personenbezogenen Daten haben (z.B. Cloud-Speicherdienste, externe Bildbearbeitungslabore, externe Druckereien), liegt eine Auftragsverarbeitung (Art. 28 DSGVO) vor. Es muss ein schriftlicher Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden.

Beispiele für auftragsverarbeitungspflichtige Dienste:

  • Cloud-Speicher (Dropbox, Google Drive, iCloud) für Kundendaten
  • E-Mail-Newsletter-Tools (Mailchimp, Brevo)
  • Bildbearbeitungsdienste mit Serverübertragung
  • Foto-Entwicklungslabore (wenn Metadaten übertragen werden)

Datenschutzerklärung für Website und Portfolio

Jede Website, die personenbezogene Daten erhebt (auch durch Webanalyse, Kontaktformulare oder eingebettete Social-Media-Plugins), benötigt eine Datenschutzerklärung. Sie muss enthalten:

  • Wer ist verantwortlich (Name, Kontakt)
  • Welche Daten werden erhoben und verarbeitet
  • Auf welcher Rechtsgrundlage
  • Wie lange werden sie gespeichert
  • Welche Rechte hat die betroffene Person (Auskunft, Löschung, Widerspruch)
  • Hinweis auf Beschwerderecht bei der Datenschutzbehörde

Kostenlose Tools zur Generierung von Datenschutzerklärungen: Datenschutzgenerator.de, e-recht24.de (kostenpflichtige Premium-Version empfohlen).

Speicherdauer für Kundenfotos und -daten

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den jeweiligen Zweck notwendig ist. Praktische Empfehlungen:

  • Kundendaten für Rechnungen: 10 Jahre (steuerliche Aufbewahrungspflicht nach § 147 AO)
  • Fotos nach Abschluss eines Auftrags: nach Ablieferung löschen oder mit Einwilligung aufbewahren
  • Bewerbungsunterlagen: 6 Monate nach Absage (dann löschen)

Strafen bei Verstößen

Die DSGVO sieht empfindliche Sanktionen vor (Art. 83 DSGVO):

  • Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) für schwere Verstöße
  • Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes für weniger schwere Verstöße

Für kleine Selbstständige und Freelancer sind die Bußgelder in der Praxis deutlich geringer, aber auch Abmahnungen durch Wettbewerber und Beschwerden bei Datenschutzbehörden sind möglich.

DSGVO-konforme Social-Media-Einbindung

Werden auf einer Website Social-Media-Plugins (Facebook, Instagram, YouTube) direkt eingebunden, werden beim Seitenaufruf automatisch Daten an die Social-Media-Plattform übertragen – ohne aktive Interaktion des Nutzers. Das ist nach DSGVO problematisch.

Lösungen:

  • 2-Klick-Lösung: Plugin lädt erst nach aktiver Bestätigung durch den Nutzer
  • Shariff-Lösung: Teilen-Buttons ohne direkte Datenübertragung (entwickelt von ct/heise)
  • Keine direkte Einbindung: Nur Links zu Profilen statt Plugins

Beispiele

  1. Fotostudio mit Cloud-Speicher: Ein Fotostudio lädt Kundenfotos in die Dropbox. Da Dropbox US-amerikanisch ist und die Fotos personenbezogene Daten enthalten, muss ein AVV mit Dropbox abgeschlossen werden (möglich über Dropbox Business).
  2. Portfolio-Website eines Fotografen: Der Fotograf zeigt Kundenfotos auf seiner Website. Er benötigt für jedes erkennbare Gesicht eine datenschutzrechtliche Einwilligung (oder eine andere Rechtsgrundlage). Zusätzlich muss die Website eine Datenschutzerklärung haben.
  3. Event-Fotografie: Bei einem Firmenevent werden Fotos gemacht. Das Unternehmen muss die Mitarbeiter vorab informieren (Pflicht nach Art. 13 DSGVO) und ggf. Einwilligungen einholen.
  4. Kontaktformular ohne Datenschutzerklärung: Ein Grafikdesigner hat auf seiner Website ein Kontaktformular, aber keine Datenschutzerklärung. Das ist ein DSGVO-Verstoß und kann zu Abmahnungen führen.
  5. Newsletter-Tool: Eine Kreativagentur nutzt Mailchimp für ihren Newsletter. Mailchimp ist ein US-Dienst – es muss ein AVV abgeschlossen und Empfänger müssen aktiv (Double-Opt-in) eingewilligt haben.

In der Praxis

Sofortmaßnahmen für Kreative:

  • Datenschutzerklärung auf Website und Portfolio prüfen/erstellen
  • AVVs mit Cloud-Diensten und externen Dienstleistern abschließen
  • Model Releases DSGVO-konform gestalten
  • Social-Media-Plugins sicher einbinden
  • Kundendaten nach Auftragsabschluss nicht länger als nötig aufbewahren
  • Google Analytics: Nur mit Einwilligung (Cookie-Banner) nutzen

Vergleich & Abgrenzung

DSGVO vs. BDSG: Das Bundesdatenschutzgesetz (BDSG) ist das deutsche Ausführungsgesetz zur DSGVO. Es ergänzt die DSGVO in Bereichen, in denen die DSGVO Spielraum lässt (z.B. Beschäftigtendatenschutz).

DSGVO vs. KunstUrhG: Beide gelten parallel. Das KunstUrhG regelt die Veröffentlichungserlaubnis, die DSGVO die Datenverarbeitung. Im Konfliktfall kann eine doppelte Prüfung nötig sein.

Häufige Fragen (FAQ)

Brauche ich als Freelancer eine Datenschutzerklärung? Ja, sobald Sie eine Website betreiben, die personenbezogene Daten erhebt (auch durch einfaches Webhosting mit Logfiles oder ein Kontaktformular), benötigen Sie eine DSGVO-konforme Datenschutzerklärung.

Darf ich Fotos von Kunden auf Social Media teilen? Nur mit ausdrücklicher Einwilligung. Eine allgemeine Einwilligung im Auftrag reicht nicht. Die Einwilligung muss spezifisch (für Social Media), informiert (welche Plattform, welche Dauer) und widerruflich sein.

Verwandte Einträge

Weiterführend

  • DSGVO im Volltext: eur-lex.europa.eu (Verordnung (EU) 2016/679)
  • Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI): bfdi.bund.de
  • Landesbeauftragte für Datenschutz (zuständig je nach Bundesland)
  • Kühling, Jürgen / Buchner, Benedikt (Hrsg.): DS-GVO BDSG – Kommentar, 3. Aufl. 2020, C.H. Beck
  • e-recht24.de (praxisnahe Informationen für Website-Betreiber)
Verwandte Einträge
BildrechteAGB und ImpressumFreiberufler-Vertrag
← Zurück zu Recht & Wirtschaft
Infotag · 13. Mai · 15:00 Uhr · Vor Ort

Sei am Mittwoch dabei.
Bring Eltern oder Freunde mit.

Ein halber Nachmittag, der dir drei Jahre Klarheit bringen kann. Kostenlos, unverbindlich, ehrlich.

  • Rundgang durch Studios, Schnitträume und Tonstudio
  • Echte Absolventenfilme sehen
  • 1:1-Beratung zu Bewerbung & BAföG
  • Studierende direkt fragen
  • Kaffee, Snacks, kein Sales-Pitch
  • Auch online möglich

Platz beim Infotag reservieren

Dauert 30 Sekunden. Bestätigung per E-Mail.
100 % kostenlos · keine Verpflichtung · jederzeit absagbar