Zum Hauptinhalt springen

Fotobox & DSGVO: Was Verleiher wirklich wissen müssen

Fotobox & DSGVO: Was Verleiher wirklich wissen müssen

Fotobox & DSGVO: Was Verleiher wirklich wissen müssen

Kaum ein Thema sorgt bei Fotobox-Verleihern für so viel Unsicherheit wie der Datenschutz. „DSGVO-konform" steht auf jeder zweiten Produktseite — aber was heißt das eigentlich konkret, wenn auf einer Hochzeit 120 Gäste in deine Box grinsen und ihre Fotos Sekunden später in einer Online-Galerie landen?

In diesem Artikel räume ich mit ein paar Mythen auf und zeige dir, worauf es wirklich ankommt. Kein Juristendeutsch, sondern die Sicht von jemandem, der selbst Boxen vermietet.

In meinen Anfangsjahren als Fotobox Vermieter wusste ich zwar, dass es das Thema DSGVO gibt und hatte mich aber nicht so ausgiebig damit beschäftigt, wie ich es eigentlich hätte tun sollen. Auf einem Event wurde ich dann durch einen Gast meines Kunden dazu befragt, und ich hatte auf die meisten Fragen nicht die richtige Antwort parat. Das wusste ich, dass ich hier nachschärfen musste und das Thema ernst zu nehmen ist.

Die drei Rollen: Wer ist hier eigentlich wofür verantwortlich?

Die DSGVO kennt drei Beteiligte. Wenn du die einmal verstanden hast, wird der Rest deutlich leichter.

1. Die betroffene Person — der Gast. Es geht um seine Daten: das Foto, in dem sein Gesicht erkennbar ist. Er hat Rechte (Auskunft, Löschung), die jemand erfüllen muss.

2. Der Verantwortliche — das bist du, der Verleiher. Du entscheidest, dass auf dem Event fotografiert wird, zu welchem Zweck und wie lange die Bilder gespeichert bleiben. Diese Entscheidungsgewalt macht dich rechtlich zum Verantwortlichen. Das lässt sich nicht wegdelegieren — auch nicht an deine Software.

3. Der Auftragsverarbeiter — die Software bzw. der Anbieter. Er verarbeitet die Daten in deinem Auftrag und nach deinen Weisungen. Er trifft keine eigenen Entscheidungen über die Fotos, sondern stellt die Technik bereit, mit der du deine Pflichten erfüllen kannst.

Der entscheidende Punkt: Verantwortlicher bleibst immer du. Eine gute Software nimmt dir die technische Last ab — die rechtliche Verantwortung trägst aber du. Genau diese Trennung wird zwischen euch in einem Auftragsverarbeitungsvertrag (AVV) geregelt.

Der Weg eines Gästefotos — Schritt für Schritt

Am leichtesten versteht man Datenschutz, wenn man einem einzigen Foto durch das System folgt.

  1. Auslösung am Kiosk. Der Gast tippt auf den Bildschirm, die Kamera löst aus. In diesem Moment wird ein personenbezogenes Datum erzeugt — sein Bild.
  2. Lokale Verarbeitung. Das Foto wird auf dem Box-Rechner verarbeitet (Overlay, Druck). Solange es nur dort liegt, verlässt es deine Kontrolle nicht.
  3. Upload in die Galerie. Jetzt wird es spannend: Das Foto wird auf einen Server hochgeladen, damit Gäste es später ansehen können. Entweder automatisch durch die Box, oder später von dir manuell. Hier kommt es darauf an, wo dieser Server steht (EU-Hosting!) und wer außer dir Zugriff hat.
  4. Abruf durch Gäste. Über QR-Code oder Link öffnet der Gast die Galerie. Ist sie offen für jeden, der den Link hat? Oder PIN-geschützt?
  5. Löschung. Nach einer festgelegten Frist (z. B. 14 oder 30 Tage) werden die Fotos automatisch gelöscht. Das ist keine Kür, sondern Pflicht — Daten dürfen nicht „für immer" liegen bleiben.

In meinem Betrieb haben sich die 30 Tage bis zur Löschung etabliert, weil es lange genug ist, dass jeder die benötigten Bilder komfortabel laden kann, aber diese auch nicht ewig rumliegen.

Fünf Fragen, mit denen du jede Fotobox-Software auf den Zahn fühlst

Bevor du dich auf ein Tool verlässt, stell dem Anbieter diese fünf Fragen. Die Antworten verraten dir mehr als jedes „DSGVO-konform"-Siegel.

  1. Wo werden die Fotos gehostet? Die Antwort sollte „in der EU" lauten — idealerweise mit konkretem Standort (z. B. Frankfurt). Bei US-Servern wird es kompliziert.
  2. Bekomme ich einen AVV? Ein seriöser Anbieter legt dir ungefragt einen Auftragsverarbeitungsvertrag vor. Gibt es keinen, fehlt die rechtliche Grundlage für die Zusammenarbeit.
  3. Ist eine Löschfrist vorhanden — und wird sie automatisch durchgesetzt? Manuelles Löschen wird im Alltag vergessen. Automatik ist Pflicht.
  4. Wie wird die Galerie geschützt? Offene Links sind ein Risiko. PIN- oder Passwortschutz sollte mindestens optional möglich sein.
  5. Wie unterstützt mich die Software bei der Information der Gäste? Stichwort Art. 13 — dazu gleich mehr.

Einwilligung am Kiosk: Das große Missverständnis

Viele Verleiher glauben, sie bräuchten von jedem Gast eine unterschriebene Einwilligung. In den meisten Fällen ist das nicht der richtige Hebel — und praktisch ohnehin nicht durchführbar, wenn 120 Leute feiern.

Wichtiger als die Einwilligung ist die Information. Nach Art. 13 DSGVO müssen Gäste vor der Aufnahme wissen:

  • dass fotografiert wird,
  • zu welchem Zweck,
  • wer dafür verantwortlich ist (du, mit Kontaktdaten),
  • wie lange die Fotos gespeichert werden,
  • wie man eine Löschung verlangen kann.

Praktisch heißt das: ein gut sichtbarer Hinweis-Screen am Kiosk vor der ersten Aufnahme und/oder ein Aushang neben der Box. Der Gast, der trotz Hinweis auf „Foto starten" tippt, handelt bewusst — das ist der saubere Weg.

Ich arbeite zum Beispiel mit einem kurzen Text, der vor jedem Foto angezeigt wird und durch drücken eines Buttons bestätigt wird. Ich finde diese Möglichkeit cleaner als eine Tafel mit den Hinweisen aufzustellen. Aber das ist Geschmackssache.

Drei Fehler, die ich bei Verleihern immer wieder sehe

  • „Die Software ist DSGVO-konform, also bin ich fein raus." Nein. Die Software ist ein Werkzeug. Verantwortlich bleibst du.
  • Galerie-Links für die Ewigkeit. Ein WhatsApp-Link zur Galerie, der nach zwei Jahren noch funktioniert, ist ein Problem. Ohne Löschfrist keine Konformität.
  • Kein Hinweis am Kiosk. Der häufigste und zugleich am leichtesten zu behebende Fehler. Ein einziger Screen löst ihn.

Deine Praxis-Checkliste

  • Hosting der Galerie in der EU geklärt
  • AVV mit dem Software-Anbieter unterschrieben
  • Automatische Löschfrist gesetzt (z. B. 14–30 Tage)
  • Galerie mit PIN/Passwort geschützt (wo sinnvoll)
  • Art.-13-Hinweis am Kiosk eingerichtet
  • Aushang/Hinweis neben der Box vorbereitet
  • Kontaktweg für Löschanfragen kommuniziert
  • Eigene Datenschutzerklärung & Impressum auf deiner Website aktuell

Fazit

Datenschutz bei der Fotobox ist kein Hexenwerk — aber er ist auch nichts, was sich allein durch ein Häkchen bei „DSGVO-konform" erledigt. Wenn du die drei Rollen verstanden hast und deine Software dir bei Hosting, Löschung, Galerieschutz und Gäste-Information aktiv hilft, hast du das Wichtigste im Griff.

---

Hinweis: Dieser Artikel gibt allgemeine, unverbindliche Informationen aus Verleiher-Sicht wieder und stellt keine Rechtsberatung dar. Für die rechtssichere Ausgestaltung deiner Dokumente (Datenschutzerklärung, AVV, Aushänge) wende dich bitte an einen Rechtsanwalt oder eine entsprechend befugte Stelle.