DSGVO Fotografie – Datenschutz für Fotografen – Vorlage & Tipps Datenschutzerklärung

Ein Fotograf oder Fotostudio muss bei der Verarbeitung personenbezogener Daten (z. B. Kundendaten, Bildmaterial) bestimmte Grundsätze beachten, wie sie in Art. 5 DSGVO festgelegt sind.

Die DSGVO Grundsätze sagen nicht nur was ein Fotograf tun muss, sondern vor allem wie er denken soll, wenn dieser mit personenbezogenen Daten arbeitet.

1. Rechtmäßigkeit, Transparenz und Fairness
Daten dürfen nur verarbeitet werden, wenn es dafür eine rechtliche Grundlage gibt – z. B. eine Einwilligung des Kunden, ein Vertrag (z. B. Auftrag für ein Shooting) oder ein berechtigtes Interesse.
Kunden müssen klar und verständlich informiert werden, welche Daten verarbeitet werden, warum, wie lange und von wem.

2. Zweckbindung
Daten dürfen nur für vorher klar festgelegte Zwecke erhoben und genutzt werden – z. B. zur Durchführung eines Shootings oder zur Rechnungserstellung. Eine spätere Nutzung für andere Zwecke ist nur mit neuer Rechtsgrundlage erlaubt.

3. Datenminimierung
Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck tatsächlich benötigt werden – z. B. Name und E-Mail für Terminabsprachen, aber nicht mehr.

4. Richtigkeit
Personenbezogene Daten müssen aktuell und korrekt sein. Fehlerhafte oder veraltete Daten (z. B. alte Kontaktdaten) müssen korrigiert oder gelöscht werden.

5. Speicherbegrenzung
Daten dürfen nicht länger als nötig gespeichert werden. Sobald der Zweck (z. B. Vertragsabwicklung) entfällt, sollten Daten gelöscht oder anonymisiert werden – es sei denn, gesetzliche Aufbewahrungsfristen stehen dem entgegen.

6. Integrität und Vertraulichkeit
Die Daten müssen durch geeignete technische und organisatorische Maßnahmen geschützt sein – z. B. verschlüsselte Festplatten, sichere Passwörter, gesicherter Zugang zu Online-Galerien.

7. Rechenschaftspflicht
Fotografen müssen nachweisen können, dass sie diese Grundsätze einhalten – z. B. durch Dokumentation, Verträge oder Datenschutzrichtlinien. Auch bei Auftragsverarbeitungen (z. B. Cloud-Dienste, Bildbearbeiter) trägt der Fotograf als Verantwortlicher die Hauptverantwortung.

Wer diese Grundsätze versteht, kann die deine Datenschutzmaßnahmen darauf aufbauen.

Bevor ein Fotograf datenschutzkonform arbeiten kann, muss er zunächst verstehen, welche personenbezogenen Daten er überhaupt verarbeitet. Dabei geht es nicht nur um die offensichtlichen Daten wie Fotos von Kunden – auch Kontaktdaten, Auftragsdetails und Rechnungsinformationen gehören dazu. Doch damit nicht genug: Schon beim Besuch der eigenen Website fallen Daten an, z. B. über Cookies oder Server-Logs. Wer ein Kontaktformular anbietet, erfasst noch mehr Informationen. Möglicherweise gibt es sogar eine Videoüberwachung am Studioeingang. Und wer Mitarbeiter beschäftigt, verwaltet zusätzlich deren Personal- und Bewerbungsdaten. Um den Überblick zu behalten, ist es sinnvoll, all diese Datenquellen zu kategorisieren – etwa nach Kunden-, Website-, Mitarbeiter- oder Bilddaten. So entsteht ein klares Bild davon, welche Daten im fotografischen Alltag tatsächlich anfallen – ein wichtiger Schritt auf dem Weg zur DSGVO-Konformität.

Wer einen Überblick hat, kann prüfen, welche Daten überhaupt notwendig sind.

Im zweiten Schritt muss jeder Fotograf klären, auf welcher Rechtsgrundlage die erhobenen personenbezogenen Daten verarbeitet werden

Wer personenbezogene Daten verarbeitet – etwa beim Fotografieren von Personen, bei der Bildverwaltung oder Veröffentlichung –, trifft damit bewusste Entscheidungen und trägt Verantwortung. Dabei gilt: Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine rechtliche Grundlage nach Artikel 6 der DSGVO vorhanden ist. Das nennt man auch „Verbot mit Erlaubnisvorbehalt“ – erlaubt ist nur, was ausdrücklich erlaubt ist.

Mögliche Rechtsgrundlagen für Fotografie und Datenverarbeitung

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
  Wenn eine Person freiwillig und informiert zustimmt – z. B. zur Veröffentlichung eines Porträtfotos auf einer Website.

• Vertrag (Art. 6 Abs. 1 lit. b DSGVO)
  Wenn Daten zur Vertragserfüllung nötig sind – z. B. bei einem Auftrag für ein Fotoshooting oder die Teilnahme an einem Workshop.

• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
  Wenn ein nachvollziehbares Interesse besteht – z. B. bei der Dokumentation einer öffentlichen Veranstaltung oder der Nutzung von Bildern für die Öffentlichkeitsarbeit –, und die Interessen der abgebildeten Personen nicht überwiegen.

Verantwortung ernst nehmen

Die Auswahl der passenden Rechtsgrundlage muss bewusst und gut begründet erfolgen – und gehört zu den Pflichten der Verantwortlichen. Wer unsicher ist, sollte sich fragen: Wäre das für mich in dieser Situation okay? Wenn die Antwort nein lautet, ist wahrscheinlich auch die Datenverarbeitung nicht vertretbar.

Nicht alles lässt sich mit einem juristischen Haken klären – gesunder Menschenverstand, Transparenz und ein respektvoller Umgang mit den Daten anderer bleiben die beste Grundlage für datenschutzfreundliches Arbeiten mit Fotos.

Die folgenden drei Rechtsgrundlagen nach der DSGVO sind die häufigsten im fotografischen Berufsalltag und decken typische Auftragsarten und Einsatzbereiche ab.

Vertrag (Art. 6 Abs. 1 lit. b DSGVO)

Eine Datenverarbeitung ist dann am einfachsten zu begründen, wenn sie für die Erfüllung eines Vertrags oder zur Erfüllung gesetzlicher Pflichten notwendig ist. Diese Rechtsgrundlage ist klar, aber eng begrenzt: Es dürfen nur die Daten verarbeitet werden, die wirklich erforderlich sind.

Vertragsbezogene Datenverarbeitung

Sobald ein Vertrag abgeschlossen wird – oder schon bei der Anbahnung eines Vertrags – dürfen personenbezogene Daten verarbeitet werden, sofern sie zur Durchführung notwendig sind.

Beispiele:

• • Eine fotografierte Person bucht ein Fotoshooting. Die Datenverarbeitung (z. B. Kontaktdaten, Bildübermittlung, Abrechnung) erfolgt auf Vertragsbasis.

  • Bei der Anmeldung zu einem Fotoworkshop oder einer Ausstellung kommt ein Vertrag zustande, die dafür nötigen Daten (z. B. Name, E-Mail, Zahlungsdaten) dürfen verarbeitet werden.

  • Wird eine Bildlizenz verkauft, darf die Adresse der Kundschaft zur Rechnungserstellung genutzt werden.

Aber: Sobald zusätzliche Daten verarbeitet oder Bilder für andere Zwecke weiterverwendet werden sollen (z. B. für Werbung oder Referenzen), muss dieser Zweck vollständig dokumentiert sein, eine weitere Vertragsvereinbarung oder eine Vereinbarung mit anderer Rechtsgrundlage erforderlich – etwa eine Einwilligung oder das berechtigte Interesse.

Gesetzliche Pflichten

Gesetze verpflichten in bestimmten Fällen zur Aufbewahrung von Daten – etwa zur Dokumentation, Nachweispflicht oder Steuerprüfung.

Beispiele:

• • Rechnungen für Fotoaufträge müssen laut Steuerrecht bis zu 10 Jahre gespeichert werden.

  • Angebote oder Vertragsverhandlungen mit öffentlichen Stellen unterliegen möglicherweise zusätzlichen Vergabe- oder Nachweispflichten.

Auch hier gilt: Die Verarbeitung ist nur im gesetzlich geforderten Umfang erlaubt. Darüber hinausgehende Zwecke brauchen eine zusätzliche Rechtsgrundlage.

Hochzeiten, Bewerbungsfotos, Familienshootings, Passbilder …
→ Wenn Fotos & Daten zur Vertragserfüllung nötig sind
→ Widerspruch nicht so leicht, muss begründet und abgewogen werden.

Fazit

Verträge und gesetzliche Vorgaben bieten klare, aber begrenzte Möglichkeiten zur Datenverarbeitung. Sie gelten nur für das, was zur Vertragserfüllung oder gesetzlich vorgeschrieben ist – nicht für Werbung, Archivierung oder Veröffentlichung von Fotos. Dafür sind weitere Rechtsgrundlagen wie Einwilligung oder berechtigtes Interesse erforderlich.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

In bestimmten Fällen kann die Datenverarbeitung auf Grundlage „berechtigter Interessen“ nach Art. 6 Abs. 1 lit. f DSGVO erfolgen. Diese Rechtsgrundlage eignet sich, wenn die Verarbeitung notwendig ist, um eigene oder fremde Interessen zu verfolgen – etwa zur Dokumentation, Berichterstattung oder Außendarstellung.

Wichtig ist: Eine sogenannte Interessenabwägung muss zeigen, dass die eigenen Interessen schwerer wiegen als mögliche Nachteile für die betroffene Person. Das Ergebnis sollte dokumentiert werden.

Voraussetzungen für die zulässige Verarbeitung

1. Berechtigtes Interesse

Es braucht ein konkretes, legitimes Interesse – zum Beispiel:

• • eine Veranstaltung soll dokumentiert werden,

  • Bilder dienen der Öffentlichkeitsarbeit oder Werbung (Website, Social Media, Broschüren),

  • Fördergeber oder Partner möchten nachvollziehen, was mit ihrer Unterstützung passiert ist,

  • Fotografien zeigen gesellschaftliches oder kulturelles Geschehen, über das berichtet werden soll.

Unzulässig ist ein bloß „vorrätiges“ Sammeln von Daten oder Bildern, ohne klaren Zweck.

2. Erforderlichkeit der Verarbeitung

Die Datenverarbeitung muss nötig sein, um das Interesse zu erreichen. Gibt es datensparsamere Wege, sind diese zu wählen.

Beispiele:

• • Für eine Anwesenheitsliste genügt meist Name und Unterschrift – Geburtsdatum ist nicht erforderlich.

  • Um den Charakter der Veranstaltung zu zeigen, reichen Übersichtsfotos, keine Porträts.

  • Fotos sollten gezielt ausgewählt, gespeichert und mit Zugangsbeschränkungen geschützt werden.

  • Wer nicht für die Daten zuständig ist, sollte keinen Zugriff haben.

3. Abwägung der Interessen

Die Interessen der betroffenen Person dürfen nicht überwiegen. Je transparenter, erwartbarer und risikoärmer die Verarbeitung, desto eher ist sie zulässig.

Beispiele:

• • Aufnahmen bei öffentlichen Veranstaltungen oder im öffentlichen Raum sind oft erwartbar.

  • Bei sensiblen Daten (z. B. Religion, Gesundheit, Herkunft) oder Fotos von Kindern ist besondere Vorsicht geboten – hier ist in der Regel keine Verarbeitung im berechtigten Interesse möglich, sondern eine Einwilligung nötig.

  • Besonders schützenswerte Daten erfordern in den meisten Fällen zusätzliche Schutzmaßnahmen und rechtliche Prüfung.

Fazit:

Das berechtigte Interesse ist eine flexible Rechtsgrundlage – geeignet etwa für journalistische Zwecke, künstlerische Fotografie oder die Dokumentation von Ereignissen. Sie erfordert jedoch eine sorgfältige Abwägung und ein sparsamer Umgang mit Daten.

→ Widerspruch muss begründet und abgewogen werden, nicht so leicht

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Personenbezogene Daten – dazu gehören auch Fotos, auf denen Menschen erkennbar sind – werden oft auf Grundlage einer Einwilligung verarbeitet. Damit diese rechtlich wirksam ist, müssen bestimmte Bedingungen erfüllt sein.

Voraussetzungen für eine gültige Einwilligung

Eine Einwilligung ist nur dann datenschutzkonform, wenn sie:

• • informiert erfolgt: Die betroffene Person weiß, welche Daten für welchen Zweck verarbeitet werden, wer dafür verantwortlich ist und welche Rechte sie hat (inklusive Widerrufsmöglichkeit).

  • zweckgebunden ist: Die Einwilligung muss sich auf einen klar definierten Zweck beziehen, z. B. Veröffentlichung auf Social Media, nicht pauschal „für alle Zwecke“.

  • aktiv erteilt wurde: Zum Beispiel durch Ankreuzen eines Feldes, nicht durch bloßes Schweigen.

  • freiwillig erfolgt: Es darf keine Nachteile geben, wenn die Einwilligung verweigert oder widerrufen wird. Erforderliche und optionale Angaben müssen klar getrennt sein.

  • nachweisbar ist: Wer sich auf eine Einwilligung beruft, muss sie belegen können.

  • widerrufbar bleibt: Der Widerruf muss jederzeit möglich und einfach umsetzbar sein.

  • persönlich ist: Nur die betroffene Person kann einwilligen – bei Kindern die Sorgeberechtigten.

Vorteile der Einwilligung

Wenn alle Bedingungen erfüllt sind, bietet die Einwilligung ein hohes Maß an Klarheit und Rechtssicherheit. Die betroffene Person weiß genau, was mit ihren Daten (z. B. Fotos) passiert – und stimmt dem bewusst zu.

Beispiel:
Bei der Nutzung eines Newsletter-Tools kann eine datenschutzkonforme Einwilligung leicht umgesetzt werden: Nur die E-Mail-Adresse wird abgefragt, die Hinweise sind klar, das Häkchen muss aktiv gesetzt werden und jede E-Mail enthält die Möglichkeit, sich unkompliziert abzumelden. Die Einwilligung ist dokumentiert und jederzeit widerrufbar.

Grenzen der Einwilligung

In der Praxis ist die Einholung und Verwaltung von Einwilligungen nicht immer einfach: Sie müssen klar, spezifisch und nachvollziehbar sein – und ein Widerruf muss technisch und organisatorisch sofort umsetzbar sein. Das kann bei langfristigen oder komplexen Verarbeitungsprozessen (z. B. Archivierung oder mehrfache Nachnutzung von Bildern) schwierig werden.

Beispiel:
Wer Bildmaterial längerfristig nutzen oder in verschiedenen Kontexten veröffentlichen möchte, muss jede Verwendung genau benennen und bei Widerruf ggf. Inhalte wieder löschen – auch wenn diese schon verbreitet wurden. Das ist mit organisatorischem Aufwand verbunden und macht die Einwilligung in solchen Fällen oft unpraktisch.

Kita-, Schul- oder Mitarbeiterfotos, Social Media, Porträts
→ Wenn Personen aktiv, oft freiwillig ohne Gegenleistung zustimmen müssen
→ Wenn „Vertrag“ und „Berechtigtes Interesse“
→ Bei Kinder und Arbeitsverhältnis standard
→ Widerruf ist schnell und einfach

Fazit:

Eine Einwilligung ist sinnvoll, wenn sie eindeutig, nachweisbar und technisch gut umsetzbar ist – z. B. bei klar abgegrenzten Verwendungen wie Newslettern, Porträtfotografie auf Bestellung oder Veröffentlichungen mit eindeutigem Kontext. In anderen Fällen kann das berechtigte Interesse die passendere Rechtsgrundlage sein.

Wird gegenüber betroffenen Personen eine falsche Rechtsgrundlage genannt, gilt die Verarbeitung als rechtswidrig – mit möglichen Folgen wie Löschungspflicht, Bußgeldern, Abmahnungen und Vertrauensverlust bei Kunden und potentiellen Kunden.

Schnell zeigt sich, dass in einem Fotobetrieb personenbezogene Daten auf unterschiedlichen Rechtsgrundlagen verarbeitet werden – ein wichtiger Punkt, den Fotografen verstehen und festhalten sollten, um im nächsten Schritt den Umgang mit diesen Daten systematisch zu erfassen und zu dokumentieren.

Die Informationspflichten bei der DSGVO beziehen sich auf die Verpflichtung des Datenverantwortlichen (z.B. eines Fotografen), die betroffenen Personen transparent darüber zu informieren, wie ihre personenbezogenen Daten verarbeitet werden. Das ist dann die sogenannte Datenschutzerklärung.

Wichtige Fragen, die Fotografen klären müssen:

• Wie erfolgt die Datenspeicherung? (lokal, Cloud, verschlüsselt, gesichert …)
• Wer hat Zugriff auf die Daten? (Mitarbeiter, externe Dienstleister …)
• Wie lange werden Daten aufbewahrt? (gesetzliche Fristen, Kundenanforderungen …)
• Wie werden Einwilligungen dokumentiert? (schriftlich, digital)
• Welche Sicherheitsmaßnahmen sind erforderlich? (Passwortschutz, Backups, Zugriffsbeschränkungen …)

Die Datenschutzerklärung für Fotografen muss diese Informationen klar und verständlich darlegen, um DSGVO-konform zu sein. Eine gute Datenschutzorganisation schützt nicht nur vor rechtlichen Konsequenzen, sondern stärkt auch das Vertrauen der Kunden.

Aufgrund der Nachweispflichten müssen Fotografen in der Lage zu sein, Auskunft darüber zu erteilen, wie diese den Datenschutz im Unternehmen geplant und umgesetzt haben. Dies umfasst alle Maßnahmen und Prozesse zur Verarbeitung personenbezogener Daten, damit diese im Einklang mit der DSGVO erfolgt. Weitere Vorlagen und Informationen für Handwerksbetriebe hat z.B. der ZDH in seiner Datenschutz Praxis zusammengetragen.

• A. Rechte der Betroffenen wahren
• B. AV-Verträge mit Dienstleistern
• C. Daten sichern
• D. Daten löschen
• E. Sicherheitsmaßnahmen (TOM)
• F. Verzeichnis Verarbeitungstätigkeiten
• G. Meldung bei Pannen
• H. Mitarbeiter schulen
• I. Datenschutzbauftragten
• J. Folgenabschätzungen

A. Rechte der Betroffenen wahren

Fotografen verarbeiten regelmäßig personenbezogene Daten – allen voran Fotos, auf denen Personen erkennbar sind. Die DSGVO gewährt betroffenen Personen umfassende Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Diese Rechte gelten unabhängig von der Betriebsgröße und betreffen auch Einzelfotografen. In der Praxis bedeutet das: Es muss möglich sein, innerhalb eines Monats Auskunft darüber zu geben, welche Daten gespeichert wurden (z. B. Bilddateien, Kontaktdaten, Rechnungen), zu welchem Zweck und auf welcher Rechtsgrundlage. Ein Kunde kann z. B. die Löschung seiner Fotos verlangen, sofern keine gesetzlichen oder vertraglichen Aufbewahrungsgründe bestehen. Auch ein Widerspruch gegen die Veröffentlichung (z. B. auf der Website) muss möglich sein. Wichtig ist, dass diese Prozesse dokumentiert und praktikabel umsetzbar sind, etwa durch vorbereitete Formulare oder Checklisten. Ein Beispiel: Ein Model möchte wissen, ob und wo ihre Bilder verwendet wurden – der Fotograf muss die Informationen nachvollziehbar liefern können.

B. AV-Verträge mit Dienstleistern

Sobald externe Dienstleister im Auftrag personenbezogene Daten verarbeiten, ist ein sogenannter Auftragsverarbeitungsvertrag (AV-Vertrag) erforderlich. In der Fotografie betrifft das z. B. die Nutzung von Online-Galerien, Cloud-Diensten, Hosting-Anbietern, externen Bildbearbeitern oder Buchhaltungs-Software mit Zugriff auf Kundendaten. Auch die Zusammenarbeit mit einem Steuerberater fällt darunter, sofern personenbezogene Informationen verarbeitet werden. Der Vertrag regelt, wie die Daten verarbeitet, gesichert und auf Anweisung des Verantwortlichen (also des Fotografen) gelöscht werden. In der Regel wird der Vertrag vom Dienstleister bereitgestellt, sollte aber dennoch geprüft und archiviert werden. Ohne AV-Vertrag drohen empfindliche Bußgelder. Ein Beispiel: Eine Fotografin nutzt eine Online-Galerie für Kunden zur Bildauswahl. Der Anbieter speichert dabei personenbezogene Daten (Name, E-Mail, IP-Adresse). Ohne AV-Vertrag wäre diese Nutzung unzulässig. AV-Verträge sind auch für Einzelfotografen zwingend notwendig, sobald personenbezogene Daten im Auftrag verarbeitet werden.

C. Daten sichern

Datensicherheit ist ein zentrales Prinzip der DSGVO. Fotografen speichern nicht nur Kontaktdaten, sondern insbesondere Bildmaterial, das sensible Informationen enthalten kann. Die Daten müssen vor Verlust, Diebstahl, unbefugtem Zugriff und Veränderung geschützt werden. In der Praxis bedeutet das: Nutzung von Passwörtern, verschlüsselten Festplatten, Backup-Systemen und Zugriffsregelungen. Auch Smartphones, Laptops und Cloud-Dienste sollten entsprechend gesichert sein. Ein einfaches Beispiel: Wird ein Laptop mit Hochzeitsfotos gestohlen, sind verschlüsselte Festplatten und ein starker Zugangsschutz der einzige Schutz vor einem Datenschutzverstoß. Wichtig ist auch, Zugänge zu Cloud-Systemen (z. B. Online-Galerien oder Dropbox) regelmäßig zu prüfen, Backups automatisiert durchzuführen und Mitarbeitende zu sensibilisieren. Die getroffenen technischen und organisatorischen Maßnahmen (TOM) müssen dokumentiert werden, um sie im Ernstfall belegen zu können. Auch einfache Betriebe sollten ein grundlegendes Sicherheitskonzept vorweisen können.

D. Daten löschen

Die DSGVO schreibt vor, dass personenbezogene Daten gelöscht werden müssen, sobald der Zweck entfällt oder keine gesetzliche Aufbewahrungspflicht mehr besteht. In der Fotografie betrifft das vor allem Bilddateien, E-Mails, Kontaktdaten oder Verträge. Der Fotograf muss prüfen, wann bestimmte Daten nicht mehr benötigt werden und dann gezielt löschen. Dabei ist zu beachten: Für geschäftliche Unterlagen (z. B. Rechnungen) gilt eine gesetzliche Aufbewahrungsfrist von 10 Jahren. Gleichzeitig kann es sinnvoll sein, Fotos länger aufzubewahren, um z. B. Urheberrechtsansprüche nachweisen zu können. Ein Löschkonzept hilft dabei, Regelmäßigkeiten zu schaffen und Daten nicht unnötig zu speichern. Beispiel: Ein Kunde hat seine Bilder erhalten, die Rechnung ist erstellt, die Nachbestellfrist verstrichen – dann kann das Material gelöscht oder archiviert werden, sofern keine andere Pflicht besteht. Wichtig: Auch in Backups oder Cloudsystemen müssen Daten löschbar sein.

E. Sicherheitsmaßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOM) sind der praktische Schutzschild der DSGVO. Jeder Fotograf ist verpflichtet, solche Maßnahmen zu treffen, um personenbezogene Daten zu sichern. Das reicht von technischen Schutzvorkehrungen wie Passwörtern, Firewalls, Zwei-Faktor-Authentifizierung, bis hin zu organisatorischen Regelungen wie Zugriffsberechtigungen oder definierten Prozessen für Datensicherung und Löschung. Entscheidend ist dabei das Verhältnis zwischen Aufwand und Risiko. Ein mobiler Portraitfotograf mit sensiblen Kundendaten braucht z. B. Schutz für mobile Geräte, regelmäßige Backups und dokumentierte Arbeitsprozesse. Wer Mitarbeitende hat, muss auch Schulungen und Zugriffsregelungen nachweisen. Die TOM sollten in einer Übersicht dokumentiert werden, um im Falle einer Prüfung zeigen zu können, welche Schutzmaßnahmen getroffen wurden. Auch die Aktualität der Maßnahmen sollte regelmäßig geprüft werden. Wichtig: TOM sind kein einmaliges Projekt, sondern Bestandteil der laufenden Praxis.

F. Verzeichnis Verarbeitungstätigkeiten

Ein zentrales Dokument der DSGVO ist das Verzeichnis der Verarbeitungstätigkeiten. Es listet alle Vorgänge auf, bei denen personenbezogene Daten verarbeitet werden. Auch Einzelunternehmer müssen ein solches Verzeichnis führen, sobald regelmäßig Daten verarbeitet werden. Für Fotografen umfasst das z. B.: Angebotserstellung, Terminplanung, Vertragsspeicherung, Bildbearbeitung, Rechnungserstellung, Online-Galerien, Marketing, Newsletter. Zu jedem Vorgang werden Angaben gemacht zu Zweck, Kategorien der Daten, Empfänger, Speicherdauer, Rechtsgrundlage und Schutzmaßnahmen. Beispiel: Der Vorgang „Kundenshooting“ umfasst Kontaktdaten, Bildmaterial, Speicherung in einer Cloud mit AV-Vertrag, Aufbewahrungsfrist 5 Jahre. Das Verzeichnis kann als einfache Tabelle geführt werden. Wichtig: Es ist intern zu dokumentieren, aber auf Anfrage der Aufsichtsbehörde vorzulegen. Die Inhalte sollten regelmäßig überprüft und bei Änderungen aktualisiert werden.

G. Meldung bei Pannen

Eine Datenpanne liegt vor, wenn personenbezogene Daten unrechtmäßig verloren gehen, gestohlen oder veröffentlicht werden. In der Fotografie könnte das z. B. der Verlust eines USB-Sticks mit Bildern oder der unberechtigte Zugriff auf ein Online-Album sein. Besteht ein Risiko für die Rechte der Betroffenen, muss der Vorfall innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden. Bei hohem Risiko müssen auch die Betroffenen informiert werden. Fotografen sollten daher ein internes Verfahren entwickeln, um solche Fälle zu erkennen, zu bewerten und ggf. zu melden. Dokumentation ist auch bei nicht meldepflichtigen Fällen vorgeschrieben. Beispiel: Ein verschickter Link zu einer Online-Galerie ist versehentlich öffentlich einsehbar. Wenn Personen identifizierbar sind, ist dies potenziell meldepflichtig. Wer vorbereitet ist, kann schnell und korrekt reagieren und Bußgelder vermeiden.

H. Mitarbeiter schulen

Sobald Mitarbeitende regelmäßig mit personenbezogenen Daten arbeiten, müssen sie in Datenschutzfragen geschult werden. In der Fotografie betrifft das z. B. Assistenten, Bildbearbeiter, Praktikanten oder Personen, die Zugriff auf Kundendaten oder Bildmaterial haben. Schulungen sollten die Grundlagen der DSGVO, sichere Arbeitsprozesse, Vertraulichkeit und Verhalten bei Datenpannen umfassen. Die Inhalte müssen verständlich und praxisnah sein. Auch Aushilfen sind einzubeziehen. Die Schulungen sollten dokumentiert und regelmäßig wiederholt werden. Beispiel: Ein Mitarbeiter lädt versehentlich ein unbearbeitetes Kundenbild öffentlich ins Netz hoch. Mit einer Schulung wäre das vermeidbar gewesen. Ziel ist, das Bewusstsein für Datenschutz als Teil der Arbeitskultur zu etablieren. Auch kleine Teams profitieren von klaren Standards und Verantwortlichkeiten.

I. Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss erst benannt werden, wenn mindestens 20 Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder wenn besonders risikobehaftete Daten verarbeitet werden. Für die meisten Fotografen, insbesondere Einzelunternehmer oder Kleinstbetriebe, ist dies nicht erforderlich. In Ausnahmefällen – etwa bei großangelegter Videoüberwachung oder Verarbeitung besonders sensibler Daten wie Gesundheitsinformationen – kann die Pflicht dennoch greifen. Wird ein Datenschutzbeauftragter benannt, muss er fachkundig, weisungsfrei und der Aufsichtsbehörde gemeldet sein. Auch wenn keine Benennungspflicht besteht, sollte intern eine verantwortliche Person für Datenschutzfragen benannt werden. Das schafft klare Zuständigkeiten und hilft bei der Umsetzung. Beispiel: Eine Fotografin mit einem Team von 5 Personen, das Kundendaten verarbeitet, braucht keinen offiziellen Beauftragten, sollte aber trotzdem intern eine Person benennen, die Datenschutzkoordination übernimmt.

J. Folgenabschätzungen

Eine Datenschutz-Folgenabschätzung (DSFA) ist nur notwendig, wenn eine Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. In der Fotografie ist das in der Regel nicht der Fall. Ausnahmen können auftreten, wenn etwa großflächige Überwachung (z. B. bei Veranstaltungen mit Gesichtserkennung) oder besondere Kategorien von Daten (z. B. Gesundheitsdaten bei medizinischer Dokumentation) verarbeitet werden. Die DSFA beinhaltet eine Bewertung der Risiken, geplante Schutzmaßnahmen und eine Verhältnismäßigkeitsprüfung. Die Ergebnisse müssen dokumentiert und bei Bedarf mit der Aufsichtsbehörde abgestimmt werden. Beispiel: Ein Fotograf bietet KI-gestützte Gesichtsanalyse bei Events an. Hier wäre eine DSFA erforderlich. Für normale Portrait-, Hochzeits- oder Eventfotografie ist die Folgenabschätzung in der Regel nicht nötig, sollte aber im Zweifelsfall geprüft werden.