Personenbezogene Fotos, Einwilligung, KUG vs. DSGVO, Events, Kinder, Model Release und Checkliste – praxisnah für Deine Fotografie.
Autor
Martin Kleinheinz
Fotograf · Hannover
Aktualisiert
26. Mai 2026
Wenn Du diesen Artikel liest, bist Du vermutlich wie viele Kolleg:innen: kreativ, leidenschaftlich – und ein wenig überfordert mit dem rechtlichen Drumherum Deiner Arbeit. Die DSGVO klingt nach Bürokratie und Abmahnanwälten, dabei ist sie im Kern eine schlichte, aber fundamentale Botschaft: Sobald auf einem Foto eine Person erkennbar ist, verarbeitest Du personenbezogene Daten. Ein Porträt, ein Hochzeitsfoto, ein Bild von der Firmenfeier – das sind aus rechtlicher Sicht keine bloßen Kunstwerke mehr, sondern Datensätze unter strengem Schutz.
Für Deine tägliche Arbeit bedeutet das: Du bist nicht nur Künstler:in oder Dienstleister:in, sondern auch Verantwortlicher im Sinne der DSGVO. Diese Rolle bringt Pflichten zu Transparenz, klarer Rechtsgrundlage und der Wahrung der Rechte aller abgebildeten Menschen mit sich – und das ab dem Moment, in dem Du den Auslöser drückst, nicht erst bei der Veröffentlichung.
Dieser Guide ist nicht da, um Dir Angst zu machen. Er soll Dir die Unsicherheit nehmen und zeigen, wie sich die DSGVO als professioneller Rahmen Deiner Arbeit verstehen lässt – nicht als Feindbild. Mit den richtigen Prozessen kannst Du Dich wieder voll auf das konzentrieren, was Du liebst: großartige Bilder machen. Ergänzend findest Du fertige Vorlagen unter Modelvertrag & Property Release, die Auslieferung an Kunden behandelt Bildauslieferung als Fotograf, und der Praxis-Guide Eventfotografie Tipps ergänzt das Thema für Veranstaltungen.
01
Einstieg
Warum die DSGVO Dich wirklich betrifft
Vor 2018 war Fotografieren rechtlich für viele eine Grauzone, in der man sich auf das Kunsturhebergesetz und sein Gefühl verließ. Seit die Datenschutz-Grundverordnung europaweit gilt, hat sich der Blickwinkel grundlegend verschoben: Nicht mehr die Veröffentlichung steht im Mittelpunkt, sondern die gesamte Verarbeitung von Daten – und ein Foto, auf dem eine Person erkennbar ist, ist nun einmal genau das: ein personenbezogenes Datum.
Das hat Folgen, die viele Fotograf:innen unterschätzen. Sobald Du auslöst, beginnt die Datenverarbeitung. Sobald Du das Bild auf die SD-Karte schreibst, in Lightroom importierst, in eine Cloud lädst oder an einen Kunden lieferst, verarbeitest Du weiter. Jeder dieser Schritte braucht eine Rechtsgrundlage – entweder eine ausdrückliche Einwilligung der abgebildeten Person, oder ein berechtigtes Interesse, das ihre Privatsphäre nicht unzumutbar verletzt.
Die gute Nachricht: Die DSGVO ist kein Talent-Killer. Sie ist auch kein Werkzeug, um kreative Arbeit abzuwürgen. Sie verlangt vor allem eines – Transparenz. Wer die Menschen vor seiner Kamera ernst nimmt, ihnen erklärt, was er macht, und seine Prozesse sauber dokumentiert, ist meistens schon zu 90 % konform. Die restlichen 10 % sind solide Verträge und ein klarer Kopf bei Sonderfällen wie Kindern oder Konzerten.
Wer das Thema ignoriert, riskiert mehr als nur ein schlechtes Gewissen: Abmahnungen, Schadensersatzforderungen und im schlimmsten Fall hohe Bußgelder durch Aufsichtsbehörden. Gerade Hochzeits-, Event- und Businessfotograf:innen sind häufige Adressaten von Abmahnschreiben, weil Bilder im Netz schnell auffindbar sind. Wer aber einmal saubere Standards etabliert hat, kann auch entspannt durch die nächsten Jahre fotografieren – das Risiko wird beherrschbar.
02
Grundlagen
Was zählt als personenbezogenes Foto?
Bevor Du die DSGVO richtig anwenden kannst, musst Du verstehen, was sie eigentlich meint, wenn sie von „personenbezogenen Daten“ spricht. Artikel 4 Nr. 1 definiert sie als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Ein Foto ist genau eine solche Information – sobald sich der oder die Abgebildete identifizieren lässt.
Das ist viel weiter, als die meisten denken. Es geht nicht nur um das klassische, gut ausgeleuchtete Porträt mit voll sichtbarem Gesicht. Eine Person gilt schon dann als identifizierbar, wenn sie direkt oder indirekt erkannt werden kann. Direkt bedeutet: Das Gesicht ist klar zu sehen, und jeder, der die Person kennt, würde sie sofort wiedererkennen. Indirekt bedeutet: Auch wenn das Gesicht abgewandt, unscharf oder gar nicht im Bild ist, können andere Merkmale eine Identifizierung ermöglichen.
Solche indirekten Merkmale sind in der Praxis oft viel wichtiger, als man denkt. Ein einzigartiges Tattoo am Unterarm, eine besonders markante Narbe, die charakteristische Silhouette einer Tänzerin in ihrer Trainingskleidung, eine sportliche Statur in einem bestimmten Trikot oder die Kombination aus Kleidung und Kontext können ausreichen. Auch die Umgebung selbst kann zur Identifizierung beitragen: Eine Person vor ihrem eigenen, einzigartigen Haus oder an ihrem Arbeitsplatz wird selbst dann erkennbar, wenn sie nur als Schatten zu sehen ist. Selbst Begleitpersonen im Bild können die Identifizierung der eigentlich anonymisierten Person ermöglichen, weil die Kombination eindeutig wird.
Der Test ist immer derselbe: Könnte eine dritte Person mit entsprechendem Zusatzwissen – ein Freund, ein Familienmitglied, ein Kollege – die abgebildete Person erkennen? Wenn die Antwort „Ja“ lautet, ist die DSGVO anwendbar. Das gilt auch dann, wenn Du selbst die Person nicht kennst. Die Frage ist nicht, ob Du identifizieren kannst, sondern ob die Person theoretisch identifizierbar ist. Ein Foto wird also nicht dadurch anonym, dass Du als Fotograf:in nicht weißt, wen Du da gerade abgelichtet hast.
Die unsichtbare Datenschicht: EXIF und IPTC
Ein oft übersehener Aspekt sind die Metadaten Deiner Fotos. Jede moderne Kamera und jedes Smartphone schreibt automatisch eine Fülle technischer und kontextueller Informationen in die Bilddatei – die sogenannten EXIF- und IPTC-Daten. Dazu gehören GPS-Koordinaten des Aufnahmeorts, Datum und genaue Uhrzeit, Kameramodell und sämtliche Einstellungen, manchmal sogar die Seriennummer des Geräts.
Für sich genommen sind das schon sensible Informationen. In Kombination mit dem Bildinhalt entstehen daraus aber regelrechte digitale Fingerabdrücke. Ein Foto, das eine Person nur von hinten zeigt, wirkt zunächst harmlos – wenn die Metadaten aber den genauen Ort und die Uhrzeit verraten, kann daraus mit weiteren Bildern ein Bewegungsprofil entstehen. Du verarbeitest also nicht nur das sichtbare Bild, sondern auch diese unsichtbare, aber rechtlich genauso relevante Datenschicht. Für die Auslieferung an Kunden lohnt es sich daher, GPS-Daten zumindest bei privaten Aufnahmen aus den Bildern zu entfernen.
Analog vs. Digital – ein Unterschied?
Die DSGVO ist technologieneutral. Sie unterscheidet nicht zwischen Sony-Sensor und Schwarz-Weiß-Negativ. Digitale Fotos fallen praktisch immer unter die Verordnung, weil ihre Verarbeitung automatisiert erfolgt. Analoge Fotos sind ebenfalls betroffen, sobald sie in einem „Dateisystem“ organisiert werden – also etwa systematisch nach Kunden, Veranstaltungen oder Namen sortiert. Spätestens wenn Du analoge Aufnahmen einscannst, sind sie digitale Daten und unterliegen denselben Regeln. Für die meisten Berufsfotograf:innen ist die DSGVO damit allgegenwärtig.
03
Recht
KUG vs. DSGVO – was gilt wirklich?
Eines der verwirrendsten Themen in der Fotografie-Rechtspraxis ist das Verhältnis zwischen der Datenschutz-Grundverordnung und dem alten Kunsturhebergesetz (KUG). Viele Kolleg:innen hofften 2018 darauf, dass das vertraute KUG mit seinen bekannten Ausnahmen einfach weitergilt. Die Realität ist komplizierter und verlangt eine klare gedankliche Trennung.
Grundsätzlich gilt: Europäisches Recht (DSGVO) hat Vorrang vor nationalem Recht (KUG). Die DSGVO ist also Deine primäre Rechtsquelle. Allerdings enthält Artikel 85 DSGVO eine sogenannte Öffnungsklausel, die den Mitgliedstaaten erlaubt, für die Verarbeitung von Daten zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken Ausnahmen zu schaffen. Der deutsche Gesetzgeber hat davon Gebrauch gemacht; Gerichte – einschließlich des Bundesgerichtshofs – haben bestätigt, dass §§ 22 und 23 KUG als Ausnahmen im rein journalistischen Bereich weiterhin anwendbar sind.
Was bedeutet das für Deine Praxis? Es kommt auf den Zweck Deiner Fotografie an. Wenn Du als Pressefotograf:in für eine Zeitung, ein Magazin oder ein Online-Medium über tagesaktuelle Ereignisse berichtest, kannst Du Dich weiterhin am KUG orientieren. Die bekannten Ausnahmen des § 23 KUG – Personen der Zeitgeschichte, Teilnehmer an Versammlungen und Aufzügen, Personen als Beiwerk neben einer Landschaft – sind in diesem Kontext anwendbar. Aber Achtung: Das gilt nur, wenn der Zweck ausschließlich journalistisch ist. Sobald kommerzielle Eigeninteressen wie Werbung oder Verkauf hinzukommen, wird es schnell heikel.
Die allermeiste Arbeit im Foto-Business ist eben nicht journalistisch: Hochzeiten, Porträt-Shootings, Unternehmensfotografie, Eventreportagen für PR-Zwecke, Werbeaufnahmen, Stockfotografie. All das verfolgt einen primär kommerziellen oder vertraglichen Zweck. In diesen Fällen ist die Rechtslage zwar umstritten, aber die herrschende Meinung – und die sicherste Vorgehensweise – ist eindeutig: Richte Dich vollständig nach der DSGVO. Sich hier auf KUG-Ausnahmen zu stützen, ist ein erhebliches rechtliches Risiko, das im Schadensfall meist nicht haltbar ist.
Ein fundamentaler Unterschied bleibt, auch wenn Du Dich konsequent nach der DSGVO richtest: Das KUG regelt vor allem die Verbreitung und öffentliche Zurschaustellung von Bildnissen – also die Veröffentlichung. Die DSGVO regelt die gesamte Verarbeitung personenbezogener Daten. Dieser Prozess beginnt bereits beim Drücken des Auslösers und umfasst jeden weiteren Schritt: Speichern, Bearbeiten, Archivieren, Übergeben an Dritte, Löschen.
Der Perspektivwechsel ist also nicht akademisch, sondern alltäglich. Deine Leitfrage lautet 2026 nicht mehr „Gibt es eine Ausnahme im KUG?“, sondern: „Auf welcher Rechtsgrundlage nach Art. 6 DSGVO darf ich dieses Foto machen und verwenden?“ Wer von Anfang an mit dieser Frage arbeitet, hat den Großteil der DSGVO-Konformität schon im Kopf.
04
Einwilligung
Einwilligung richtig einholen
Die mit Abstand wichtigste Rechtsgrundlage für Deine Arbeit ist die Einwilligung der abgebildeten Person nach Artikel 6 Abs. 1 lit. a DSGVO. Doch eine Einwilligung ist nicht einfach ein „Ja“ in einem Gespräch oder ein freundliches Nicken. Damit sie rechtlich wirksam ist, muss sie mehreren strengen Kriterien aus Artikel 7 genügen. Eine unwirksame Einwilligung ist juristisch betrachtet praktisch keine – mit allen negativen Konsequenzen, die das nach sich zieht.
Die vier Säulen der wirksamen Einwilligung
Eine wirksame Einwilligung muss freiwillig erteilt werden. Die Person muss eine echte Wahl haben, ohne Druck, Zwang oder die Androhung von Nachteilen. Verweigert sie, darf ihr daraus kein Schaden entstehen. Besonders heikel ist das im Arbeitsverhältnis: Ein:e Mitarbeiter:in, die um eine Einwilligung für ein Foto auf der Firmenwebsite gebeten wird, könnte sich subtil unter Druck gesetzt fühlen. Hier braucht es eine echte, kommunikativ klar gemachte Wahlfreiheit – idealerweise mit dem ausdrücklichen Hinweis, dass eine Verweigerung keine beruflichen Folgen hat.
Sie muss informiert sein. Das ist in der Praxis der häufigste Stolperstein. Eine pauschale Einwilligung wie „Ich bin mit der Nutzung der Fotos einverstanden“ ist juristisch wertlos. Du musst vorab klar und verständlich kommunizieren, wer Du bist (Name und Kontaktdaten als Verantwortlicher), zu welchen konkreten Zwecken die Fotos verarbeitet werden (z. B. „für das private Hochzeitsalbum“, „zur Veröffentlichung im Portfolio auf martinkleinheinz.de“, „für Werbeanzeigen auf Instagram“), wie lange Du die Fotos speicherst, ob Du sie an Dritte weitergibst (Drucklabor, Cloud-Anbieter, Bildagentur), und dass die Einwilligung jederzeit widerrufen werden kann.
Sie muss eindeutig durch eine aktive Handlung erteilt werden. Ein voreingestelltes Häkchen in einem Online-Formular ist seit der DSGVO ausdrücklich unzulässig. Die Person muss selbst aktiv werden – durch das Setzen eines Hakens, das Klicken eines „Ich stimme zu“-Buttons oder eine Unterschrift. Stillschweigen, Untätigkeit oder ein freundliches Mitwirken vor der Kamera reichen rechtlich nicht aus.
Und sie muss nachweisbar sein. Hier kommt die sogenannte Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO ins Spiel: Im Streitfall trägst Du die Beweislast. Du musst jederzeit nachweisen können, dass eine wirksame Einwilligung vorlag. Eine saubere Dokumentation – sei es als Papierordner mit unterschriebenen Releases oder als digitales Archiv mit Zeitstempeln – ist daher kein „Nice to have“, sondern Deine eigene Absicherung.
Schriftlich, elektronisch oder mündlich?
In der Praxis hat sich die schriftliche Einwilligung durchgesetzt – meistens in Form eines sogenannten Model Release. Das ist der Goldstandard und die sicherste Methode: ein schriftlicher Vertrag, den die Person nach Aufklärung unterschreibt, der alle Informationspflichten erfüllt und eindeutig dokumentiert ist. Wichtig: Vorlagen aus der Zeit vor 2018 sind häufig nicht DSGVO-konform und müssen unbedingt aktualisiert werden – ein altes „Modelvertrag“-PDF aus dem Netz reicht nicht mehr. Fertige, aktuelle Vorlagen findest Du im Beitrag Modelvertrag und Property Release kostenlos downloaden.
Die elektronische Einwilligung ist ebenfalls gültig, wenn sie korrekt umgesetzt wird. Das kann eine nicht vorangekreuzte Checkbox auf Deiner Website sein, ein klar beschrifteter Button in einem Online-Buchungsprozess oder eine kombinierte Einwilligung in Deinem Online-Formular für Anfragen. Entscheidend ist, dass Du den Vorgang technisch so dokumentierst, dass Du ihn im Streitfall rekonstruieren kannst – über Screenshots, Server-Logs oder ein automatisches Protokoll.
Die mündliche oder konkludente Einwilligung – jemand lächelt und posiert für Deine Kamera – ist theoretisch möglich, in der kommerziellen Praxis aber praktisch wertlos. Wie willst Du Monate oder Jahre später beweisen, dass die Person wirklich eingewilligt hat und über alle Zwecke informiert war? Verlasse Dich darauf nie, wenn es um Veröffentlichungen geht. Für Schnappschüsse im privaten Umfeld mag es reichen, sobald Du den Bereich von Portfolio, Social Media oder kommerzieller Lieferung betrittst, brauchst Du eine belastbare Form.
Widerruf und Dokumentation
Jede Person hat das Recht, ihre Einwilligung jederzeit, ohne Begründung und mit Wirkung für die Zukunft zu widerrufen. Darauf musst Du sie vorab hinweisen. Der Widerruf muss so einfach sein wie die Erteilung: Wenn ein Klick zur Einwilligung reicht, muss auch ein Klick zum Widerruf genügen. Im Hochzeits- oder Businessbereich genügt in der Regel eine formlose E-Mail oder ein Brief. Nach einem Widerruf darfst Du die Fotos für die ursprünglich vereinbarten Zwecke nicht mehr nutzen – meist musst Du sie auch aus allen aktiven Verwendungen entfernen und für die Zukunft löschen.
Bewahre alle Einwilligungen sorgfältig auf. Ob unterschriebene Papierdokumente in einem Ordner oder digitale Archive Deiner Online-Formulare – diese Dokumentation ist Deine Absicherung. Ohne Nachweis ist eine behauptete Einwilligung im Streitfall wertlos, und Aufsichtsbehörden gehen im Zweifel davon aus, dass keine vorlag. Faustregel: Bewahre Model Releases mindestens so lange auf, wie Du die Bilder verwendest – plus drei Jahre Verjährungsfrist obendrauf.
05
Events
Events und das berechtigte Interesse
Bei einem Stadtfest, einem Konzert oder einer großen Firmenfeier ist es weder möglich noch praktikabel, von jeder einzelnen Person eine schriftliche Einwilligung einzuholen. Hier kommt eine andere wichtige Rechtsgrundlage ins Spiel: das berechtigte Interesse nach Artikel 6 Abs. 1 lit. f DSGVO. Aber Vorsicht – das ist kein Freifahrtschein. Du musst eine sorgfältige Abwägung durchführen und die Betroffenen transparent informieren.
Die dreistufige Prüfung
Damit Du Dich auf Dein berechtigtes Interesse stützen kannst, musst Du gedanklich drei Schritte durchgehen. Erstens: Gibt es überhaupt ein berechtigtes Interesse? Definiere klar, worin Dein Interesse oder das Deines Auftraggebers besteht – etwa die Öffentlichkeitsarbeit und Dokumentation der Veranstaltung, die journalistische Berichterstattung oder künstlerische Zwecke. Zweitens: Ist das Fotografieren wirklich erforderlich, um dieses Interesse zu erreichen? Bei der Dokumentation einer Veranstaltung ist das meistens trivial zu bejahen. Drittens – und das ist der entscheidende Punkt – musst Du Dein Interesse gegen die Grundrechte und Freiheiten der abgebildeten Personen abwägen.
Bei dieser Abwägung ist die vernünftige Erwartungshaltung der Betroffenen der zentrale Maßstab. Was darf ein Mensch in einer bestimmten Situation realistisch erwarten? Bei einer öffentlichen Veranstaltung wie einem Stadtfest, einem Marathon, einem Festival oder einer Demonstration müssen Teilnehmer:innen damit rechnen, als Teil der Menge fotografiert zu werden – ihr Interesse, völlig anonym zu bleiben, tritt in den Hintergrund. Bei einer geschlossenen, aber großen Veranstaltung wie einer Firmen-Weihnachtsfeier oder einer Konferenz dürfen die Gäste ebenfalls mit Foto-Dokumentation für die interne und externe Berichterstattung rechnen, vor allem, wenn das Event öffentlich beworben wurde.
In privaten oder intimen Situationen kippt die Abwägung dagegen fast immer zugunsten der Person. Niemand muss damit rechnen, in einem Restaurant beim Essen gezielt fotografiert zu werden, am Strand oder in der Sauna. Auch auf eigentlich öffentlichen Events gibt es Momente und Bereiche, die für die Person privater wirken – die Garderobe, eine Raucherecke, ein emotionales Telefonat in der Lobby. Solche Bilder solltest Du grundsätzlich nicht machen, oder nur mit ausdrücklicher Einwilligung.
Die alte KUG-Ausnahme der Person als „Beiwerk“ kann in diese Abwägung einfließen: Wenn jemand nur zufällig und klein im Bild ist und der Fokus klar auf der Szenerie liegt – ein voller Marktplatz, eine Sehenswürdigkeit, ein Saal in der Übersicht –, wiegen die Interessen der einzelnen Person weniger schwer. Sobald Du jedoch gezielte Nahaufnahmen einzelner Personen oder kleiner, wiedererkennbarer Gruppen machst, reicht das berechtigte Interesse meist nicht mehr aus. Hier brauchst Du dann doch wieder eine explizite Einwilligung.
Hinweisschilder und Informationspflichten
Wenn Du Dich auf das berechtigte Interesse stützt, entfällt zwar die Pflicht, von jeder Person individuell eine Einwilligung einzuholen – aber nicht die Informationspflicht nach Art. 13 und 14 DSGVO. Da Du die Personen nicht einzeln ansprichst, musst Du sie auf andere Weise transparent und umfassend informieren. Das ist eine der wichtigsten praktischen Pflichten bei Events – und gleichzeitig ein strategisches Werkzeug, weil Du damit aktiv die Erwartungshaltung Deiner Gäste steuerst.
Bewährt hat sich ein mehrstufiges Informationskonzept. Platziere gut sichtbare Hinweisschilder an allen Eingängen, idealerweise dort, wo niemand sie übersehen kann. Diese Schilder enthalten einen klaren Hinweis („Auf dieser Veranstaltung werden Foto- und Videoaufnahmen gemacht“), den Zweck der Aufnahmen („für unsere Öffentlichkeitsarbeit auf Website und Social Media“), den Namen des Verantwortlichen sowie einen QR-Code oder kurzen Link, der zu detaillierten Informationen und einer Kontakt-E-Mail für Widerspruch führt. Wenn möglich, sollten Veranstalter:innen oder Moderation außerdem mündlich bei der Begrüßung auf die Aufnahmen hinweisen. Optimal ist es, schon in der Einladung oder auf der Event-Website Bescheid zu geben – das stärkt die Erwartungshaltung und Deine Position in der Abwägung erheblich.
Diese Maßnahmen sind nicht nur lästige Formalitäten. Sie zeigen Fairness und Transparenz – beides Kernprinzipien der DSGVO – und schützen Dich praktisch davor, dass sich später Gäste „völlig überrascht“ über die Veröffentlichung beschweren. Ein Gast, der an einem deutlich sichtbaren Schild vorbeigegangen ist, kann später nicht glaubwürdig behaupten, er habe von keinen Aufnahmen gewusst.
06
Sensibel
Kinder, Mitarbeiter:innen und besonders sensible Situationen
Kinderfotos: Strengste Maßstäbe
Fotos von Kindern und Jugendlichen sind datenschutzrechtlich besonders sensibel. Die DSGVO verlangt hier ein deutlich höheres Schutzniveau als bei Erwachsenen – aus gutem Grund: Kinder können die Tragweite einer Veröffentlichung kaum überblicken, und Bilder im Netz bleiben oft jahrzehntelang auffindbar. In der Praxis bedeutet das vor allem zwei Dinge: Für jede Veröffentlichung eines Kinderfotos brauchst Du immer eine ausdrückliche, schriftliche Einwilligung der Sorgeberechtigten – meist beider Elternteile, sofern gemeinsames Sorgerecht besteht. Das berechtigte Interesse als Rechtsgrundlage scheidet hier praktisch aus, auch bei Festen, Schulveranstaltungen oder Sportereignissen.
Diese Einwilligung muss – wie jede andere auch – freiwillig, informiert und jederzeit widerrufbar sein. Sie sollte klar regeln, wo und wie die Bilder verwendet werden dürfen. Bei Veranstaltungen wie Schulfesten, Sportturnieren oder Vereinsfeiern ist eine separate Einwilligung für jedes erkennbar abgebildete Kind nötig. Pauschale Sammeleinwilligungen über das Anmeldeformular reichen oft nicht aus, weil die konkreten Verwendungszwecke vorher selten klar sind.
Ab etwa 14 Jahren wird in der Rechtsprechung zunehmend von einer eigenen Einsichtsfähigkeit ausgegangen. Das bedeutet, dass Du bei Jugendlichen idealerweise nicht nur die Sorgeberechtigten, sondern auch den jungen Menschen selbst unterschreiben lässt – die sogenannte „Doppelzuständigkeit“. Das schützt Dich rechtlich und respektiert gleichzeitig die wachsende Selbstbestimmung der Jugendlichen. Bei Akt- oder besonders persönlichen Aufnahmen sollten beide Unterschriften ohnehin obligatorisch sein.
Auch bei Mitarbeiterfotos ist die Einwilligung Pflicht – und sie darf nicht in den Arbeitsvertrag eingebettet oder dort versteckt werden. Sie muss separat, freiwillig und mit klarer Information über die geplante Verwendung erfolgen. Eine Einwilligung, die als Bedingung für die Anstellung erscheint, ist im Zweifel unwirksam, weil die Freiwilligkeit fehlt.
Ein scheinbar harmloses „Gruppenbild mit Chef“ auf der Unternehmenswebsite ist ohne Einwilligung aller abgebildeten Mitarbeiter:innen nicht zulässig. Das gleiche gilt für interne Newsletter, Karriere-Broschüren, LinkedIn-Posts oder Social-Media-Auftritte – aus DSGVO-Sicht sind das alles Veröffentlichungen. Verlässt jemand das Unternehmen oder widerruft die Einwilligung, müssen die Bilder zeitnah aus allen aktiven Verwendungen entfernt werden – auch von der Karriereseite, aus alten Pressemitteilungen, aus dem LinkedIn-Profil des Unternehmens. Backups dürfen weiter existieren, aber nicht mehr aktiv genutzt werden.
In der Praxis bewährt es sich, im Onboarding-Prozess eine separate, deutlich getrennte Einwilligungserklärung zu verwenden, mit klarer Auflistung der geplanten Nutzungen und einem unkomplizierten Widerrufsweg. So vermeidest Du, dass später einzelne Mitarbeiter:innen rückwirkend Veröffentlichungen aus Karriereseiten oder Imagebroschüren entfernt sehen wollen.
Akt und sensible Motive
Bei Akt-, Erotik- oder besonders intimen Aufnahmen muss die Einwilligung deutlich detaillierter ausfallen. Im Vertrag sollte explizit stehen, dass es sich um Akt- oder Erotikaufnahmen handelt, welche konkreten Bildtypen entstehen, was veröffentlicht werden darf und welche Kontexte ausgeschlossen sind (etwa eine Verwendung in herabwürdigenden Werbeanzeigen). Die Volljährigkeit des Models sollte zweifelsfrei – idealerweise durch Ausweisprüfung mit Dokumentation – festgestellt werden. Hier ist der Aufwand größer, das Risiko aber ebenfalls.
07
Rechte
Rechte der abgebildeten Personen
Die DSGVO räumt allen abgebildeten Personen umfassende Rechte ein. Diese gelten unabhängig davon, auf welcher Rechtsgrundlage Du fotografierst oder veröffentlichst. Du musst als Fotograf:in oder Studio in der Lage sein, sie zeitnah zu erfüllen – meist innerhalb eines Monats. Wer auf eine ernsthafte Anfrage gar nicht reagiert, riskiert eine Beschwerde bei der Aufsichtsbehörde und damit mögliche Bußgelder.
Auskunftsrecht
Jede Person kann gemäß Art. 15 DSGVO verlangen zu erfahren, ob und welche Fotos Du von ihr gespeichert oder veröffentlicht hast, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange Du sie speicherst. In der Praxis bedeutet das: Du musst ein einigermaßen geordnetes Archiv führen, das Dir solche Auskünfte überhaupt erst ermöglicht. Wer alle Aufträge in einem einzigen, unsortierten Lightroom-Katalog mit zigtausend Bildern parkt, wird hier schnell ins Schwitzen kommen.
Recht auf Löschung
Das „Recht auf Vergessenwerden“ aus Art. 17 verlangt, dass Du auf Wunsch Fotos löschen musst, sofern keine zwingenden Gründe dagegen sprechen – etwa gesetzliche Aufbewahrungspflichten (Rechnungen sind davon nicht berührt, weil die Buchhaltung losgelöst von den Bildern existiert) oder überwiegende Interessen. Beachte: Löschen heißt im DSGVO-Sinn nicht nur, das Bild aus der aktiven Galerie zu nehmen. Auch Backups, lokale Kopien auf weiteren Festplatten und in der Cloud abgelegte Dateien müssen entweder gelöscht oder zumindest aus der aktiven Verwendung entfernt werden.
Widerspruchsrecht
Stützt Du Dich auf ein berechtigtes Interesse als Rechtsgrundlage, können Personen der Verarbeitung jederzeit aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen (Art. 21). Bei Direktwerbung sogar ohne Begründung. Ein Widerspruch muss ernst genommen und in der Regel umgesetzt werden – Du musst dann konkret darlegen, warum Dein Interesse trotzdem überwiegt, ansonsten verlierst Du die Rechtsgrundlage für weitere Verarbeitung.
In der Praxis lohnt es sich, ein einfaches, dokumentiertes Verfahren für solche Anfragen zu etablieren. Eine zentrale E-Mail-Adresse wie `datenschutz@deinedomain.de` oder ein Formular auf Deiner Website helfen, alles an einer Stelle zu bündeln. Wichtig ist eine kurze interne Routine: Identität der anfragenden Person prüfen, Anfrage prüfen, Bilder im Archiv suchen, Lösch- oder Auskunftsschritte dokumentieren, Antwort schicken. Wer dafür einmal ein Mini-Playbook anlegt, kann Anfragen souverän in weniger als einer Stunde abarbeiten.
08
Vertrag
Model Release – was wirklich hineingehört
Die Einwilligung ist das Herzstück der DSGVO-konformen Fotografie. In der Praxis hat sich der Model Release etabliert: eine schriftliche Vereinbarung zwischen Fotograf:in und abgebildeter Person, die mehr leistet als ein klassischer Vertrag über Nutzungsrechte. Er erfüllt gleichzeitig die Anforderungen der DSGVO (Einwilligung und Information), des KUG (Recht am eigenen Bild), und regelt urheberrechtliche Nutzungsrechte sauber.
Ein guter Model Release ist freiwillig, informiert und transparent. Er beschreibt klar, wer die Daten verarbeitet, welche Fotos überhaupt entstehen sollen, zu welchen Zwecken sie verwendet werden dürfen (Portfolio, Website, Social Media, Bildagentur, Print, Werbung), wie lange die Speicherung andauern darf und welche Rechte die Person hat – inklusive Widerrufsmöglichkeit mit konkretem Kontakt. Ein QR-Code auf dem Release, der zu Deiner ausführlichen Datenschutzerklärung führt, ist 2026 quasi Standard und ein klarer Pluspunkt in der Außendarstellung.
Wichtig ist außerdem die klare Differenzierung der Zwecke. Eine Einwilligung „für alle möglichen Verwendungen“ ist unwirksam. Liste konkret auf: Portfolio auf martinkleinheinz.de, Social-Media-Posts auf Instagram und LinkedIn, Verwendung in Newsletter, Verwendung in Werbeanzeigen, Verkauf über Bildagenturen. Je präziser Du bist, desto belastbarer ist die Einwilligung – und desto seltener gibt es später Diskussionen.
Halte für unterschiedliche Situationen mehrere Muster bereit: Einzelporträts, Gruppenfotos, Kinder mit Eltern-Unterschrift, Mitarbeiter:innen im Unternehmenskontext, Akt mit zusätzlichen Schutzklauseln. Passe sie individuell an den jeweiligen Auftrag an, bevor das Shooting beginnt – nicht erst, wenn die Kameras schon laufen. Fertige Vorlagen und konkrete Beispiele findest Du im Beitrag Modelvertrag und Property Release kostenlos downloaden.
09
Praxis
Praktische Checkliste für den Alltag
Theorie ist die eine Sache, der Foto-Alltag eine andere. Diese Checkliste fasst die wichtigsten Punkte zusammen, an denen Du Dich vor und nach jedem Auftrag entlang hangeln kannst. Sie ersetzt keine Rechtsberatung im Einzelfall, gibt Dir aber eine solide Orientierung und schützt vor den häufigsten Fehlern.
Vor dem Shooting
◆Rechtsgrundlage für die Aufnahmen geklärt – Einwilligung, Vertrag oder berechtigtes Interesse?
◆Model Release (oder Eltern-Unterschriften bei Kindern) vorbereitet und individuell angepasst?
◆Datenschutzinformation mit Zwecken, Speicherdauer, Widerrufsrecht zur Hand?
◆Bei Events: Hinweisschilder und QR-Codes vorbereitet, Veranstalter:in über Hinweispflicht informiert?
◆AVV (Auftragsverarbeitungsvertrag) mit Cloud-Anbieter, Drucklabor und Galerie-Plattform abgeschlossen?
Während und nach dem Shooting
◆Releases tatsächlich unterschrieben bevor Du den ersten ernsthaften Auslöser drückst?
◆Bilder verschlüsselt und zugriffsgeschützt gespeichert, nicht auf einer offenen NAS-Freigabe?
◆Sichtungs- und Auswahlprozess so geregelt, dass nur Berechtigte Zugriff haben?
◆Lieferung an Kunden über eine DSGVO-konforme Plattform – siehe Bildauslieferung?
Laufend im Studio
◆Datenschutzerklärung auf Deiner Website aktuell und passt zu Deiner tatsächlichen Praxis?
◆HTTPS aktiv, Cookie-Banner und Tracking-Tools rechtskonform eingerichtet?
◆Definierter Lösch- und Widerspruchsprozess inklusive zentraler E-Mail-Adresse?
◆Archiv strukturiert genug, um Auskunftsanfragen innerhalb eines Monats beantworten zu können?
◆Backups und alte Festplatten regelmäßig prüfen – auch dort dürfen widerrufene Bilder nicht aktiv genutzt werden?
Wer einmal pro Quartal eine Stunde investiert, um diese Punkte zu prüfen, hat 90 % der DSGVO-Risiken im Griff. Bei größeren Veränderungen – neue Auftragsart, neuer Cloud-Anbieter, neue Veröffentlichungskanäle – lohnt es sich, gezielt eine Anwaltsberatung dazu zu buchen. Die Kosten sind im Vergleich zu einer einzigen Abmahnung verschwindend gering.
10
FAQ
Häufige Fragen zur DSGVO in der Fotografie
Die folgenden Fragen kommen in Workshops und Beratungsgesprächen immer wieder. Sie sind als schnelle Orientierung gedacht und ersetzen die ausführlichen Kapitel oben nicht – sondern fassen die wichtigsten Punkte noch einmal zusammen.
Brauche ich für jedes Foto eine Einwilligung?+
Nein – aber für jede Veröffentlichung brauchst Du eine belastbare Rechtsgrundlage. Bei Events oder in der Öffentlichkeit kann das berechtigte Interesse genügen, sofern Du transparent informierst. Bei gezielten Porträts, kommerziellen Shootings und sensiblen Situationen ist eine ausdrückliche, dokumentierte Einwilligung Pflicht.
Wie lange darf ich Fotos speichern?+
Nur so lange, wie es für den Zweck nötig ist. Nach Projektabschluss, Widerruf der Einwilligung oder Wegfall des berechtigten Interesses solltest Du löschen oder zumindest archivieren, sodass keine aktive Verwendung mehr stattfindet. Wer Buchhaltungsdaten aufheben muss, kann Bilddateien trotzdem löschen – Rechnungen sind davon nicht berührt.
Was gilt für Social Media wie Instagram oder LinkedIn?+
Auch dort gilt die DSGVO. Du bist für jede Veröffentlichung verantwortlich, selbst wenn die Plattform ihren Sitz in den USA hat. Informiere die abgebildeten Personen vorab, hole bei Bedarf Einwilligungen ein und prüfe regelmäßig, ob alle Posts noch von einer aktuellen Rechtsgrundlage gedeckt sind.
Gilt die DSGVO auch für Hobbyfotograf:innen?+
Grundsätzlich ja, sobald Du Fotos systematisch verarbeitest und veröffentlichst – etwa auf Instagram, Flickr oder einer eigenen Website. Eine echte Ausnahme gibt es nur für die rein private Nutzung im Familien- oder Freundeskreis (Familienalbum, geschlossene Chat-Gruppe). Sobald Du Bilder mit erkennbaren Personen veröffentlichst, bist Du raus aus dieser Ausnahme.
Was passiert bei einem Verstoß?+
Die Bandbreite reicht von einer berechtigten Beschwerde der abgebildeten Person über anwaltliche Abmahnungen mit Unterlassungsforderung und Schadensersatz bis hin zu Bußgeldern durch die Aufsichtsbehörde. Besonders kritisch sind Veröffentlichungen ohne jede Rechtsgrundlage sowie fehlende Informationspflichten – beides ist mit etwas Vorbereitung problemlos vermeidbar.
Ist das Foto eines Hundes oder einer Katze auch personenbezogen?+
Tiere selbst sind keine „natürlichen Personen“ im Sinne der DSGVO. Sobald aber die Halter:in im Bild oder im Kontext eindeutig erkennbar ist – etwa weil das Tier ein berühmtes Rennpferd, ein bekannter Service-Hund oder im eigenen Vorgarten der Halter:in zu sehen ist – fließen personenbezogene Daten mit ein. Bei kommerzieller Nutzung lohnt sich daher meist auch hier ein Property Release.
Die DSGVO ist keine Gegnerin Deiner Fotografie. Sie zwingt Dich, klar zu kommunizieren, sauber zu dokumentieren und die Menschen vor Deiner Kamera als Partner:innen zu behandeln. Wer das einmal verinnerlicht hat, gewinnt Vertrauen, hebt sich von der Konkurrenz ab und schützt sich selbst vor unerwünschten Briefen vom Anwalt. Datenschutz ist 2026 kein Bürokratiehindernis mehr, sondern ein klares Qualitätsmerkmal seriöser Foto-Dienstleister.
Dieser Artikel ersetzt keine individuelle Rechtsberatung. Er kann Affiliate-Links enthalten (mit * gekennzeichnet); für Dich entstehen dadurch keine Mehrkosten.
◆ Newsletter
Bleib auf dem Laufenden.
Kamera- und Fotografie-News, ehrliche Equipment-Tests und neue Artikel – direkt in Dein Postfach. Selten, dafür relevant. Kein Spam, jederzeit abbestellbar.
