DSGVO-konforme Kundengalerien: Worauf Fotografen achten müssen
Fotos identifizierbarer Personen sind personenbezogene Daten. Diese sechs Punkte entscheiden, ob Deine Kundengalerie DSGVO-konform ist — praxisnah erklärt.
Sobald auf Deinen Fotos identifizierbare Personen zu sehen sind, verarbeitest Du personenbezogene Daten — und die DSGVO gilt. Für die Online-Galerie, mit der Du Bilder an Kunden übergibst, heißt das: Es gibt ein paar Punkte, die Du nicht ignorieren solltest. Dieser Artikel ist keine Rechtsberatung, sondern eine praxisnahe Checkliste.
1. Wo stehen die Server?
Der wichtigste Punkt zuerst: Wo werden die Bilder physisch gespeichert? Liegen die Daten bei einem US-Anbieter, brauchst Du seit dem Schrems-II-Urteil eine dokumentierte Rechtsgrundlage für den Drittlandtransfer — in der Praxis ein erheblicher Aufwand. Server innerhalb der EU, idealerweise in Deutschland, ersparen Dir dieses Problem komplett.
2. Liegt ein AV-Vertrag vor?
Wenn ein Dienstleister in Deinem Auftrag personenbezogene Daten verarbeitet — und das tut jede Galerie-Plattform — brauchst Du einen Auftragsverarbeitungsvertrag (AVV). Seriöse Anbieter stellen den als Standard bereit. Fehlt er oder musst Du lange danach suchen, ist das ein Warnsignal.
3. Verschlüsselung in Transit und at Rest
Die Übertragung muss per TLS verschlüsselt sein (erkennbar am Schloss-Symbol / https). Zusätzlich sollten die Dateien auch im Ruhezustand auf dem Server verschlüsselt liegen. Beides ist heute Standard — prüfe trotzdem, ob Dein Anbieter es ausdrücklich zusichert.
4. Zugriffskontrolle für die Galerien
Eine Kundengalerie sollte nicht für jeden offen im Netz stehen. Achte auf Passwortschutz, ablaufende Links oder zugangsbeschränkte Proofing-Links. So stellst Du sicher, dass nur die berechtigten Personen die Bilder sehen — relevant besonders bei Hochzeiten, Familien- oder Aktaufnahmen.
5. Ein funktionierendes Löschkonzept
Die DSGVO verlangt, dass Daten nicht ewig gespeichert werden. Deine Plattform sollte es ermöglichen, Galerien und einzelne Bilder zuverlässig und vollständig zu löschen — inklusive aller generierten Vorschau-Versionen. Ein Audit-Log, das dokumentiert, wann was gelöscht wurde, hilft Dir bei der Nachweispflicht.
6. Einwilligung der abgebildeten Personen
Das betrifft nicht die Plattform, sondern Deinen Workflow: Hast Du die Einwilligung der abgebildeten Personen, die Bilder so zu verarbeiten und weiterzugeben? Bei Auftragsarbeiten regelt das meist der Vertrag. Bei Dritten im Bild — etwa Gästen auf einer Hochzeit — wird es komplizierter. Kläre das vorab.
Fazit
DSGVO-Konformität ist kein einzelner Haken, sondern eine Kette: EU-Hosting, AVV, Verschlüsselung, Zugriffskontrolle, Löschkonzept und saubere Einwilligungen. Die gute Nachricht: Wenn Deine Galerie-Plattform die ersten fünf Punkte technisch abdeckt, musst Du Dich nur noch um den letzten — Deinen eigenen Workflow — kümmern.
Lumio ist genau darauf ausgelegt: Hosting ausschließlich in Deutschland, AVV als Standard, Verschlüsselung, zugangsbeschränkte Links, Lösch-Funktionen und Audit-Log. Den Rest — die Einwilligungen — nimmt Dir keine Software ab, aber wir machen Dir die technische Seite so einfach wie möglich.