Bilder an Kunden übergeben — ohne ein DSGVO-Risiko zu bauen.
WeTransfer, Dropbox und US-Galerien sind bequem, aber rechtlich riskant. Hier liest du, was du als Fotograf:in beachten musst — und wie Lumio dir den Compliance-Aufwand abnimmt.
Das Problem mit den gängigen Übergabe-Wegen
Die meisten Fotograf:innen übergeben Bilder über Tools, die für generischen File-Transfer gemacht sind — nicht für die Übergabe personenbezogener Daten an Endkund:innen. Das macht die DSGVO- Konformität schwierig:
WeTransfer / Smash
Schneller File-Transfer, aber ein AV-Vertrag ist hier kompliziert (WeTransfer ist auf US-Cloud-Infrastruktur), und du hast keine Kontrolle darüber, wer den Link weitergibt oder wie lange das File abrufbar bleibt.
Dropbox / Google Drive
Beide sind US-Anbieter. Du brauchst Standardvertragsklauseln und eine Risikoabwägung gemäß Schrems II. Für Profi-Studios ein nicht-tragbarer Overhead pro Auftrag.
US-Galerie-Anbieter (Pic-Time, Pixieset, ShootProof)
Funktional gut, aber Datenverarbeitung in den USA. AV-Verträge und Standardvertragsklauseln sind verfügbar, aber Schrems II bleibt eine offene Flanke.
USB-Stick zur Post
DSGVO-technisch unproblematisch, aber 2026 als Übergabe-Standard für Profi-Aufträge nicht mehr zeitgemäß — und kein Bewertungs- oder Auswahl-Workflow möglich.
Was DSGVO-konforme Foto-Übergabe ausmacht
Diese acht Punkte solltest du bei jedem Galerie-Anbieter prüfen. Lumio erfüllt sie alle — die Checkliste ist aber auch ohne Lumio als Audit-Vorlage für andere Anbieter nutzbar.
- ✓ Server in Deutschland (Hetzner Falkenstein/Nürnberg)
- ✓ AV-Vertrag (Art. 28 DSGVO) direkt im Studio abrufbar und elektronisch abschließbar
- ✓ Verarbeitungsverzeichnis-Eintrag als PDF-Vorlage mitgeliefert
- ✓ Datenschutz-Folgenabschätzung (DSFA) nicht erforderlich
- ✓ Kein Datentransfer in Drittländer (kein Schrems-II-Risiko)
- ✓ TLS-Verschlüsselung im Transport, signierte URLs für Bild-Zugriffe
- ✓ 60 Tage Datenexport-Karenz bei Kündigung
- ✓ Löschungs-Bestätigung als PDF für Compliance-Dokumentation
Rechtsgrundlage: Vertragserfüllung
Wenn du als Fotograf:in einen Auftrag erfüllst (Hochzeit, Portrait, Business-Shooting, Event), läuft die Datenverarbeitung in der Regel auf Basis von Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung. Das ist die rechtlich bewährteste Grundlage, weil sie keine separate Einwilligung erfordert.
Für Hochzeitsgäste und Event-Teilnehmer:innen, die nicht direkte Vertragspartner:innen sind, gilt die Informationspflicht durch den Auftraggeber (z.B. Brautpaar, Veranstalter). Diese Verantwortung solltest du in deinem Fotografie-Vertrag explizit adressieren.
Hinweis: Diese Seite ist kein Rechtsrat. Für komplexere Fälle (politisch sensible Veranstaltungen, journalistische Arbeit, Veröffentlichung) empfehlen wir die Beratung durch Fachanwaltschaft für IT- und Medienrecht.
Häufige Fragen zu DSGVO und Foto-Übergabe
Brauche ich einen AV-Vertrag mit meinem Galerie-Anbieter? +
Ja, wenn der Anbieter personenbezogene Daten (das umfasst auch Bilder identifizierbarer Personen) in deinem Auftrag verarbeitet, brauchst du nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag. Bei Lumio ist der AV-Vertrag direkt in deinem Studio-Bereich abrufbar: Du trägst einmal deine Stammdaten ein, schließt ihn per Klick elektronisch ab (das erlaubt Art. 28 Abs. 9 DSGVO ausdrücklich) und kannst ihn jederzeit als PDF herunterladen — inklusive der Anlagen zu Datenarten, Sicherheitsmaßnahmen und Unterauftragsverarbeitern.
Was ist mit dem US-Cloud-Problem (Schrems II)? +
Lumio verarbeitet alle Daten in der EU, primär in Deutschland (Hetzner-Rechenzentren). Es gibt keinen Datentransfer in die USA und damit keine Schrems-II-Problematik mit Standardvertragsklauseln und Transfer Impact Assessments. Das vereinfacht deine DSGVO-Dokumentation erheblich gegenüber US-basierten Anbietern wie Pic-Time, Pixieset oder ShootProof.
Wer ist Verantwortlicher, wer ist Auftragsverarbeiter? +
Du als Fotograf:in bist Verantwortliche:r im Sinne der DSGVO — du entscheidest, was mit den Bildern passiert, du hast den Vertrag mit dem Kunden. Lumio ist Auftragsverarbeiter — wir verarbeiten die Daten ausschließlich nach deinen Weisungen (Speichern, Anzeigen, Bereitstellen für die von dir definierten Empfänger:innen).
Was ist mit Hochzeitsgästen, die auf den Bildern zu sehen sind? +
Die Rechtsgrundlage für deine Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) gegenüber deinem Auftraggeber, dem Brautpaar. Die Information der Gäste über die fotografische Tätigkeit ist nach herrschender Meinung Aufgabe des Brautpaars als Veranstalter. Diese Information solltest du im Fotografie-Vertrag mit dem Brautpaar verankern. Eine rechtliche Beratung im Einzelfall ist hier nicht ersetzbar — wir empfehlen für komplexere Fälle die Rücksprache mit Fachanwaltschaft (Stichwort: Hofstetter, Seiler, etc.).
Speichert Lumio die Bilder verschlüsselt? +
Bilder werden im Object Storage abgelegt; der Transport ist durchgehend TLS-verschlüsselt. Die Storage-Verschlüsselung at-rest erfolgt durch den Storage-Provider (Hetzner). Zugriffe auf einzelne Bilder erfolgen über signierte URLs mit limitierter Gültigkeitsdauer — direkter Storage-Zugriff von außen ist nicht möglich.
Was passiert bei Account-Kündigung mit den Bildern? +
60 Tage Karenzphase: deine Galerien bleiben für dich und deine Kunden erreichbar, du kannst alle Daten exportieren. Erst nach Ablauf dieser Frist werden die Daten endgültig gelöscht. Du bekommst rechtzeitig Reminder, falls du den Export vergisst.
Wie löscht ein Endkunde Daten gemäß seinem DSGVO-Recht? +
Wenn ein:e Endkundin/Endkunde ihr/sein Recht auf Löschung nach Art. 17 DSGVO geltend macht (z.B. wenn das Brautpaar nicht mehr möchte, dass die Hochzeitsbilder weiter gespeichert werden), löschst du die entsprechende Galerie in deinem Studio — die Daten werden dann innerhalb von 30 Tagen aus allen Backups entfernt. Du bekommst eine Löschungs-Bestätigung als PDF für deine eigene Compliance-Dokumentation.
Galerie-Übergabe ohne DSGVO-Kopfschmerzen.
Server in Deutschland, AV-Vertrag direkt im Studio abschließbar, kein US-Cloud-Risiko. 14 Tage testen, ohne Karte zu hinterlegen.