Datenschutz bei Eventfotos: Das musst du wissen

Ein Bild sagt mehr als tausend Worte. Spätestens seit Einführung der DSGVO (und des katholischen KDG sowie evangelischen DSG-EKD) verursachen Bilder auch tausend Kopfschmerzen: Darf ich überhaupt noch Bilder machen? Darf ich sie veröffentlichen? Wir geben dir eine praktische Hilfestellung, wie du Veranstaltungen datenschutzkonform fotografisch begleiten kannst.

Portraitbild der/des Autor/in Thomas Kirchner
Frau blickt durch ihre Kamera

Disclaimer

Wir sind keine Rechtsanwälte. Allerdings beschäftigen wir uns seit mehr als fünf Jahren intensiv mit der DSGVO und den kirchlichen Datenschutzgesetzen. Ich bin TÜV-zertifizierter Datenschutzbeauftragter und begleite einige unserer Kund:innen aktiv in der Datenschutzberatung. Bei spezifischen Fachfragen empfehlen wir dir dennoch, einen auf Datenschutzrecht spezialisierten Anwalt zu konsultieren.

Werde dir bewusst, in welchem Rahmen die Veranstaltung stattfindet

Um was für eine Veranstaltung handelt es sich? Ist es eine interne Veranstaltung, ausschließlich mit Mitarbeitenden oder anderen verbundenen Personen deiner Einrichtung? Oder sind auch externe Personen vor Ort? Je nach Anlass besuchen Menschen die Veranstaltung mit unterschiedlichen Erwartungen zum Thema Fotoaufnahmen und Veröffentlichung. Bei einer Ferienfahrt rechnen Teilnehmende eher damit, dass Fotos von Ihnen gemacht werden als bei einer internen Weiterbildung.

Leg den Zweck der Fotos vorab fest

Die Reichweite der Fotoveröffentlichung kann den weiteren Prozess maßgeblich beeinflussen. Handelt es sich lediglich um eine interne Dokumentation, bestehen andere Informationspflichten, als wenn Fotos in Social-Media veröffentlicht werden sollen. Auch die nachgelagerte Nutzung der Bilder ist wichtig vorab zu klären: Sollen die Bilder lediglich dokumentieren oder für Werbemittel verwendet werden?

Bestimme die passende Rechtsgrundlage

Für das Anfertigen von Fotos kommen in der Regel zwei Rechtsgrundlagen gemäß DSGVO in Frage:

  • Entweder: Aufnahme und Verwendung von Fotos beruhen auf den berechtigten Interessen des Veranstalters.
  • Oder: Personen, die abgelichtet werden sollen, müssen vorab der Verarbeitung aktiv zustimmen.

Aber was bedeuten die Begriffe berechtigtes Interesse und Einwilligung eigentlich? Berechtigtes Interesse drückt aus, dass dein Interesse als Veranstalter, Bilder anzufertigen und zu veröffentlichen, höher wiegt, als das Interesse der abgelichteten Person. Beispiele für berechtigtes Interesse in der Praxis sind: das Versenden einer Event-Ankündigung an Besucher vorheriger Veranstaltungen, oder das Fotografieren von Großveranstaltungen, um damit bei der nächsten Auflage zu werben. Einwilligung wiederum bedeutet, dass die betroffene Person vorher aktiv und direkt der Aufnahme und Veröffentlichung zustimmt.

Gleich vorab: Sind Minderjährige betroffen, darf die Aufnahme und Verwendung nur durch eine Einwilligung erfolgen. Die Einwilligung ist an strenge Bedingungen geknüpft, wie du der folgenden Infobox entnehmen kannst.

Es bietet sich an, die Einwilligung so früh wie möglich einzuholen (z.B. direkt bei der Anmeldung). Je nach Gruppengröße solltest du dir dann Gedanken über die praktische Umsetzung der Einhaltung machen. Bei einer Gruppe von zehn Personen, die du selbst fotografierst, ist es noch einfach den Überblick zu behalten. Aber bei großen Veranstaltungen mit externen Fotografen kann das schnell unübersichtlich werden. Hier haben sich in der Vergangenheit verschiedene kreative Lösungen hervorgetan: zum Beispiel verschiedenfarbige Armbänder, oder Klebepunkte auf Namensschildern, die schnell einen Überblick geben, wer eingewilligt hat, fotografiert zu werden und wer nicht.

Wenn keine Minderjährige fotografiert werden, kannst du dich auch auf dein berechtigtes Interesse beziehen. Dabei musst du die deine Interessen mit denen der betroffenen Personen abwägen.

Häufig wird bei größeren Veranstaltungen auch auf die Dokumentation der Veranstaltung verwiesen, bei denen die Personen nur Beiwerk sind. Dies wird durch das Kunsturhebergesetz (KUG) ermöglicht – allerdings nur zu journalistisch-redaktionellen Zwecken. Wenn du nicht gerade für die Presseabteilung tätig bist, wird diese Grundlage für dich häufig nicht anwendbar sein.

Was du bei einer Einwilligung beachten musst

  • Eine Einwilligung muss freiwillig gegeben werden und darf nicht an andere Bedingungen geknüpft werden (Negativbeispiel: „Du darfst nicht an der Veranstaltung teilnehmen, wenn du nicht einwilligst.“)
  • Die Einwilligung muss nachweisbar sein. Im katholischen Datenschutz ist die Schriftform meist erforderlich, im evangelischen Datenschutz dagegen nicht. Im weltlichen Datenschutz gilt auch konkludentes Verhalten als Einwilligung (Beispiel „Ich mache jetzt ein Foto für Instagram. Wer nicht aus dem Bild tritt, willigt ein.“)
  • Die Einwilligung ist widerrufbar. Dies betrifft allerdings nicht bereits vergangene Verarbeitungen (Beispiel: „Ich widerrufe meine Einwilligung für Veröffentlichungen in Flyern“ -> bisherige Flyer müssen nicht wieder eingesammelt werden.)
  • Bei Minderjährigen (bis 16 Jahre) müssen die Erziehungsberechtigten einwilligen. Zwischen 7 und 16 Jahre kann es zudem in einigen Fällen sein, dass auch die Minderjährigen selbst zusätzlich einwilligen müssen.

Mach dir Gedanken über deine Fotomotive

Solltest du die Verarbeitung von Fotos auf berechtigtem Interesse durchführen, kann das Fotomotiv ausschlaggebend für die Beurteilung der Interessensabwägung sein. Eine Nahaufnahme einer teilnehmenden Person wiegt schwerer als eine Gruppenaufnahme.

Außerdem ist es schon rein aus organisatorischer Sicht sinnvoll, vorher die Motive festzulegen, sonst ärgerst du dich in der Nachbereitung, dass kein passendes Bildmaterial für deine Zwecke vorliegt.

Informiere betroffene Personen zu Beginn der Veranstaltung

Immer wenn du personenbezogene Daten erhebst, musst du die betroffene Person informieren – daher auch beim Fotografieren auf Veranstaltungen. Am besten hast du bei der Veranstaltung einen Info-Zettel bei dir, der die notwendige Auskunft gibt (Bonuspunkte, wenn du diesen auch für alle bei der Veranstaltung sichtbar machst).

Folgende Informationen sind wichtig:

  • Der Name des Veranstalters (Einrichtung oder Organisation) und dessen Kontaktdaten
  • wenn vorhanden: die Kontaktdaten des betrieblichen Datenschutzbeauftragten, der für die Einrichtung bzw. Organisation verantwortlich ist
  • die Zwecke, für die die Fotos angefertigt werden sowie die Rechtsgrundlage
  • wenn Daten weitergeben werden: Empfänger bzw. Drittländer (z.B. USA bei Instagram und Co)
  • die Dauer, für die die Fotos gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen von Betroffenenrechte inkl. Beschwerderecht
  • Hinweis, dass Einwilligung jederzeit widerrufen werden kann

Bedenke die Folgeprozesse

Nachdem die Veranstaltung durchgeführt wurde, kannst du die Fotos sichten. Dabei musst du die Bilder sofort aussortieren, die aus Versehen Personen betreffen, die nicht eingewilligt haben. Außerdem darfst du die Bilder nur für den von dir angegeben Zweck verwenden. Hattest du vorher angekündigt, dass Bilder ausschließlich für die interne Dokumentation verwendet werden, darfst du die Bilder nicht auch noch für Werbezwecke nutzen (Ausnahme: Du holst dir dafür zusätzlich die Einwilligung ein).

Außerdem stehen betroffenen Personen gemäß Datenschutzrecht verschiedene Betroffenenrechte zu. Es kann sicherlich vorkommen, dass eine Person ihre Einwilligung widerruft und du das Bild ab sofort nicht mehr auf deiner Webseite einbinden darfst. Genauso können betroffene Personen von dir Auskunft fordern, wo ihre Bilder überall verwendet werden. Ein übersichtliches Redaktionssystem schafft dir da schon viel Abhilfe.

Wir hoffen, dass wir dir damit deine Vorbereitung auf die nächste Veranstaltung um einiges erleichtern können. Das wichtigste ist bei all den Hinweisen: Arbeite immer mit deinem gesunden Menschenverstand und mache nie Dinge, die du als teilnehmende Person nicht auch erwarten würdest.

Was ist mit Gruppenveranstaltungen?

Beispiel Klassenfahrt

Auch bei großen Gruppen gilt die Datenschutz-Grundverordnung (DSGVO), insbesondere die Bestimmungen zur Einwilligung. Nach der DSGVO ist eine Einwilligung der betroffenen Personen (in diesem Fall der Eltern oder Erziehungsberechtigten) erforderlich, wenn personenbezogene Daten verarbeitet werden sollen. Fotos von Kindern gelten als personenbezogene Daten. Das bedeutet, dass das Erstellen und Veröffentlichen von Bildern, auf denen Personen identifizierbar sind, nur mit vorheriger Zustimmung zulässig ist.

Problematisch

Wenn auf dem Foto Kinder zu sehen sind, von denen keine Einwilligung vorliegt, könnte dass als Datenschutzverstoß gewertet werden. Die Gruppengröße hebt die Anforderung nicht auf. Selbst bei großen Gruppen bleibt die Identifizierbarkeit entscheidend. Sollten Kinder klar erkennbar sein, ohne dass eine Erlaubnis vorliegt, verstößt du gegen die Datenschutzbestimmungen.

Datenschutzkonformes Hochladen von passwortgeschützten Fotos auf Moodle: Ist das zulässig?

Damit das Hochladen der Fotos rechtlich zulässig ist, benötigst du eine Rechtsgrundlage der DSGVO. Da es sich um Fotos von Kindern handelt, die als personenbezogene Daten gelten, ist in der Regel eine Einwilligung der Eltern oder Erziehungsberechtigten erforderlich. Diese Einwilligung muss explizit auch die Veröffentlichung oder Verbreitung der Bilder auf Plattformen wie Moodle abdecken.

Das Hochladen von Fotos als passwortgeschützte ZIP-Datei auf Plattformen wie Moodle ist ein guter erster Schritt. Um jedoch den Datenschutz vollständig zu gewährleisten, sind zusätzliche technisch-organisatorische Maßnahmen notwendig:

  1. Zugangsbeschränkung: Der Zugriff sollte nur für die Schüler und Eltern der betroffenen Klasse möglich sein.
  2. Sicherer Zugang: Individuelle Nutzeraccounts und sichere Passwörter sind notwendig.
  3. Passwortschutz und Verschlüsselung: Die ZIP-Datei sollte durch ein starkes, nur den Berechtigten bekanntes Passwort geschützt und idealerweise verschlüsselt sein.
  4. Zugriffs- und Speicherfristen: Zugriff nur für berechtigte Personen und Löschung der Dateien nach einem festgelegten Zeitraum.
  5. Informationspflicht: Gemäß DSGVO muss transparent über die Datenverarbeitung informiert werden.

Zusammenfassend gilt: Wenn Einwilligungen vorliegen, der Zugriff beschränkt und die Speicherfristen eingehalten werden, handelt es sich um eine datenschutzkonforme Vorgehensweise.

Christopher Utsch

Du möchtest mehr darüber erfahren, wie Jugendarbeit datenschutzkonform gestaltet werden kann? 

Dann erlebe Noahworks doch mal in Aktion. Gerne kommen wir mit dir zusammen, lernen mehr über deine tägliche Arbeit und zeigen dir, wie Noahworks deine Verwaltungsarbeit vereinfacht und die Kommunikation mit den Menschen bereichert.

Vereinbare dein Kennenlerngespräch
Wer hat's geschrieben?
Portraitbild der/des Autor/in Thomas Kirchner Thomas Kirchner
Tom ist Kreativkopf bei descript. Durch seine Ideen und Visualisierungen werden unsere Software-Anwendungen nutzer:innenfreundlich und barrierearm. Er ist außerdem unser TÜV-zertifizierter Experte für Datenschutz.
Lass uns im Gespräch bleiben Du findest den Beitrag spannend?

Das Thema des Beitrages interessiert dich? Du möchtest dich darüber austauschen, deine Meinung kundtun oder zukünftig mehr von uns lesen? Dann abonniere unseren Newsletter und folge uns auf Instagram und Facebook.