Lumio
← Blog · 15. Mai 2026

Foto-Übergabe per WeTransfer — was Du dabei rechtlich riskierst

WeTransfer ist bequem und schnell. Für Profi-Fotograf:innen ist es DSGVO-rechtlich problematisch — hier sind die fünf konkreten Punkte, die Du wissen solltest.

DSGVO Workflow

WeTransfer war jahrelang der Default für die schnelle Foto-Übergabe: Drag-and-drop ins Browser-Tab, Empfänger-Mail eintippen, fertig. Für private Zwecke ist das auch heute noch okay. Für Profi-Fotograf:innen — gerade in der DACH-Region — entstehen aber spätestens seit der DSGVO-Geltung 2018 und dem Schrems-II-Urteil 2020 echte rechtliche Risiken.

Dieser Artikel ist keine Rechtsberatung, sondern eine praxisnahe Auflistung der fünf Punkte, an denen Du Dich als Studio-Inhaber:in selbst prüfen solltest.

1. Daten landen außerhalb der EU

WeTransfer hat zwar einen europäischen Hauptsitz (Niederlande), aber die technische Infrastruktur nutzt zu großen Teilen US-Cloud-Anbieter. Das bedeutet: personenbezogene Daten — und Fotos identifizierbarer Personen sind genau das — werden potentiell außerhalb des EU-Schutzraums verarbeitet.

Seit dem Schrems-II-Urteil reicht ein Privacy-Shield-Hinweis nicht mehr aus. Du musst als Verantwortliche:r dokumentieren, dass Standardvertragsklauseln vorliegen UND eine Transfer Impact Assessment durchgeführt wurde. Für einen einzelnen WeTransfer-Versand machst Du das nicht — und damit bist Du formell nicht konform.

2. Kein AV-Vertrag standardmäßig verfügbar

Nach Art. 28 DSGVO brauchst Du mit jedem Dienstleister, der personenbezogene Daten in Deinem Auftrag verarbeitet, einen Auftragsverarbeitungsvertrag. WeTransfer Pro bietet einen DPA an, der kostenlose Tier in der Regel nicht.

Konkretes Problem: jedes Mal, wenn Du ein WeTransfer-Free-Link an einen Kunden schickst, verarbeitest Du dessen Daten über einen Dienstleister, mit dem Du keinen vollständigen AV-Vertrag hast.

3. Keine Zugriffskontrolle nach dem Senden

Ein WeTransfer-Link ist eine URL. Wer sie kennt, hat Zugriff. Kein Passwort, kein zeitliches Limit (auf Basis-Tarif), kein Audit-Log.

Wenn Dein Kunde den Link in einer Mail weiterleitet, in einer Slack-Gruppe postet, oder Screenshots vom Link teilt — Du hast keine Möglichkeit, das zu kontrollieren oder rückzuverfolgen. Im schlimmsten Fall stehen die Hochzeitsbilder Deiner Kund:innen sechs Monate später auf einer x-beliebigen Foto-Sharing-Plattform.

4. Kein Bewertungs- oder Auswahl-Workflow

WeTransfer ist ein File-Transfer-Tool, kein Foto-Workflow-Tool. Wenn Dein Kunde 500 Bilder durchsehen und die Lieblinge markieren soll, geht das mit WeTransfer schlicht nicht. Du landest bei Excel-Listen mit Bildnummern und manuellen Reportings — Zeitfresser ohne Ende.

5. Kein Branding, kein professioneller Eindruck

Eine WeTransfer-URL ist für den Kunden ein generisches Erlebnis. Für ein Premium-Hochzeitsshooting mit 4-stelligem Honorar sollte das Galerie-Erlebnis genauso premium sein wie die Bilder selbst — mit Deinem Logo, Deinen Farben, Deiner Domain.

Was die Alternative aussehen sollte

Eine DSGVO-konforme Galerie-Übergabe braucht im Minimum:

  • Server in der EU, idealerweise Deutschland
  • AV-Vertrag standardisiert und sofort abrufbar
  • Passwort-Schutz und/oder Ablauf-Datum pro Galerie
  • Audit-Log über Zugriffe (wer hat wann was angeschaut?)
  • Bildauswahl-Funktion für effizienten Workflow
  • Eigenes Branding auf der Galerie

Lumio erfüllt diese Punkte als deutsche Foto-Galerien-Plattform. Es gibt auch andere Anbieter im Markt — die wichtigsten haben wir auf unserer Vergleichs-Seite gegenübergestellt.

Pragmatisch: was tun, wenn Du gerade WeTransfer nutzt?

Du musst nicht über Nacht wechseln. Aber Du solltest in den nächsten 30 Tagen folgendes tun:

  1. Bestandsaufnahme: welche Daten hast Du in den letzten 6 Monaten per WeTransfer verschickt? (Mail-Archiv durchsuchen)
  2. Risikobewertung: sind das identifizierbare Personen (Hochzeit, Portrait) oder anonyme Aufnahmen (Architektur, Produkt)?
  3. Migrationsplan: für laufende Aufträge sofort auf ein DSGVO-konformes Tool umsteigen, für Altbestand AV-Verträge nachfordern oder Daten löschen
  4. Verarbeitungsverzeichnis aktualisieren (das hast Du, oder?)

Wenn Du einen einfachen Einstieg suchst: Lumios 14-Tage-Trial macht den Workflow-Wechsel ohne Karteneingabe durchspielbar.

14 Tage kostenlos testen.

Volle Funktionalität, ohne Vorab-Zahlung. Wenn du es nicht weiterführen willst, lass es einfach auslaufen — wir wollen dich nicht mit Erinnerungs-Mails belaestigen.

Trial starten Lieber selbst hosten? → lumio-app.de