Brauche ich ein Model Release für jedes Foto?

Ja, für jede Veroeffentlichung eines erkennbaren Menschen benoetigen Sie eine schriftliche Einwilligung (Model Release). Der Release muss den Verwendungszweck, die Medien und die Widerrufsmoeglichkeit nennen. Mundliche Zustimmungen sind rechtlich unzureichend und schwer beweisbar.

Duerfen Hochzeitsfotos ohne Einwilligung online?

Nur bei Brautpaar und explizit einwilligenden Gaesten. Hochzeitsgaeste haben nicht automatisch einer Veroeffentlichung zugestimmt, nur weil sie auf der Hochzeit waren. Empfehlung: beim Paar-Vertrag eine Liste der fotografiert-einwilligenden Gaeste mit einfuegen.

Wie lange darf ich RAW-Dateien und Backups aufbewahren?

Nach Auftragsabschluss und Bezahlung sollten RAWs maximal 12 Monate aufbewahrt werden, sofern im Vertrag nicht explizit anderes geregelt. Nach Widerruf des Kunden ist unverzuegliche Loeschung Pflicht. Rechnungen bleiben 10 Jahre, aber die Bilder selbst sind davon getrennt.

Duerfen Babyfotos im Portfolio gezeigt werden?

Nur mit Einwilligung beider Erziehungsberechtigter. Bei Kindern unter 14 Jahren ist die Zustimmung der Eltern zwingend, bei aelteren Kindern zusaetzlich deren eigene Einwilligung. Widerruf ist jederzeit möglich.

Wie DSGVO-konform sind Gallery-Provider wie Pixieset und Pic-Time?

Beide US-Anbieter. Serverstandort und AVV prüfen. Für DSGVO-Sicherheit sind deutsche Alternativen wie StudioNext, fotograf.de oder selbst gehostete Galerien mit Pixeden besser geeignet.

Was ist mit Facebook- und Instagram-Uploads?

Die Plattformen uebertragen Daten an Meta (USA). Für Kundenbilder nur mit ausdruecklicher Zweck-Zustimmung und Hinweis auf Drittlandsuebermittlung. Die Nutzung der Meta-Plattform zur Darstellung von Kundenbildern erfordert zusaetzlich einen Vertrag.

Darf ich Gesichter auf Street-Photography veroeffentlichen?

Nur mit Einwilligung oder im Rahmen der Kunstfreiheit bei nicht-kommerziellen Zwecken. Bei kommerzieller Verwendung (Buch, Ausstellung mit Verkauf, Website) Einwilligung zwingend. Die Ausnahme für Zeitgeschichte gilt sehr eng.

Welche AVV brauche ich als Fotograf?

Gallery-Provider, Cloud-Backup, Website-Hoster, CRM/Studio-Management, Rechnungssoftware, Newsletter-Tool. Typisch 6-10 AVV. Ohne sie ist die Datenverarbeitung rechtswidrig.

Brauche ich einen Datenschutzbeauftragten?

Nur bei mehr als 20 regelmaessig datenverarbeitenden Personen oder umfangreicher Verarbeitung besonderer Kategorien. Einzel- und Kleinbetriebs-Fotografen sind in der Regel nicht betroffen.

Was droht bei DSGVO-Verstoessen?

Abmahnungen 1.000-4.000 Euro, Behoerden-Bußgelder 500-15.000 Euro, plus Schadensersatz-Forderungen abgebildeter Personen. Bei Babyfotos oder sensiblen Kontexten werden hoehere Strafen verhaengt.

← DSGVO Checker

DSGVO Check für Fotografen: Bildrechte und Portfolio absichern

Web-Skyline · April 2026 · 10 Min. Lesezeit · Für Fotografen in 25 Staedten

Ein Fotostudio bewegt sich juristisch in einem sehr spezifischen Korridor: Art. 6(1)(a)+(b)+(f), KUG §22-23, Art. 13. Dazu kommen KUG (Kunsturhebergesetz) §22, §23 und UrhG. Für alle Fotostudios in Deutschland lauten die drei Kernfragen 2025/26: Sind Ihre AVVs aktuell? Ist Ihr Consent-Layer Art.-7-fest? Wird KUG §22 parallel zur DSGVO beachten systematisch dokumentiert?

Fotografen-Website jetzt kostenlos prüfen

DSGVO-Check in 60 Sekunden mit Fokus auf Portfolio, Galerien und Modelrechte.

DSGVO-Check starten →

Warum DSGVO für Fotografen besonders kritisch ist

Abmahn-Tracker 2025: Platz 1 bei Fotostudios ist Portfolio-Veröffentlichung ohne Model-Release (57 %). Platz 2: Cloud-Galerie ohne Passwort (48 %). Platz 3: Fehlende Einwilligung bei Kinderfotos (31 %). Abmahnkanzleien (SM LAW, IDO, ABAG) scannen inzwischen automatisiert hunderte Fotostudios-Domains pro Woche.

In der Praxis nutzen Fotostudios heute durchschnittlich 4–6 externe Tools: z. B. Dropbox Business, Pixieset (AVV), ShootProof. Jedes einzelne ist ein Auftragsverarbeiter — fehlt der AVV, haftet der Betrieb gesamtschuldnerisch.

Fotostudios verarbeiten: Kontaktdaten, Kinderfotos (Einwilligung Erz.berechtigte), Bildrechte / Model-Release. Unter Art. 6(1)(a)+(b)+(f) müssen Speicherdauern, Zugriffsrechte und Löschkonzepte schriftlich vorliegen. Die Aufsichtsbehörden erwarten außerdem ein aktuelles Verarbeitungsverzeichnis nach Art. 30.

Foto-Thematik: Portfolio-Nutzung IMMER mit schriftl. Model-Release gemäß KUG §22. Abmahnkanzleien scannen Instagram-Posts, Google-Rezensionen und Website-Galerien systematisch auf nicht-autorisierte Veröffentlichungen von Fotostudios. Typische Abmahnsumme: 500–2.500 €.

Die 10 haeufigsten DSGVO-Verstoesse bei Fotografen

1. Portfolio ohne Model-Release

Sektorenspezifisch zu beachten: KUG (Kunsturhebergesetz) §22, §23 und UrhG. Diese können Datenverarbeitungen einerseits erzwingen (Aufbewahrung, Dokumentation) und andererseits beschränken (Verschwiegenheit, Zweckbindung).

2. Gallery-Provider mit US-Servern ohne Schutzmassnahmen

Fallbeispiel: Ein Fotostudio wurde 2024 wegen Portfolio-Veröffentlichung ohne Model-Release (57 %) abgemahnt. Streitwert 4.000 €, Anwaltskosten 800 €, Unterlassungserklärung unbefristet. Die Behebung des Problems hätte 30 Minuten und 0 € Material gekostet. Lehre: Portfolio-Veröffentlichung ohne Model-Release (57 %) wird flächendeckend gescannt.

3. Hochzeitsgaeste ohne Einwilligung fotografiert und veroeffentlicht

Ersteinrichtung — 10-Schritte-Plan: DSE aktualisieren, Consent-Tool buchen (CookieBot/Usercentrics), Google Fonts lokal einbinden, SSL aktivieren, Impressum prüfen, 3–5 AVVs schriftlich einholen (Dropbox Business, Pixieset (AVV), ShootProof), VVT anlegen, TOMs dokumentieren, Team schulen, Einwilligungs-Formular für Körperdaten für Passfotos auflegen.

4. Babyfotos ohne Doppel-Einwilligung

Der Online-Checker deckt die 10 häufigsten Schwachstellen ab und liefert für Fotostudios eine priorisierte To-do-Liste.

5. Kunden-Daten in unverschluesseltem CRM

Excel-Listen oder ungeschuetzte Tabellen mit Namen, Adressen und Leistungen sind ein Compliance-Verstoss.

6. Backups auf externen Festplatten unverschluesselt

Verlust einer Festplatte mit Kunden-RAWs ist eine meldepflichtige Datenpanne. Ohne Verschluesselung eine fast sichere Bußgeld-Situation.

7. Google Fonts extern

Wie in anderen Branchen: lokal hosten, sonst abmahnfaehig.

8. Kein Cookie-Banner auf Portfolio-Website

Google Maps, Vimeo-Videos, YouTube-Embeds, Social Plugins — alle Tracking-Elemente, die ohne Zustimmung geladen werden, sind Verstoesse.

9. Street Photography kommerziell genutzt

Bilder aus oeffentlichem Raum ohne Einwilligung in einem Bildband oder als Druck verkauft — kommerzielle Nutzung erfordert Zustimmung.

10. Newsletter ohne Double-Opt-In

Sammeln von E-Mails beim Auftrag und automatische Newsletter-Aufnahme ist rechtswidrig. Bestaetigungs-Mail Pflicht.

Echte Bußgeld-Faelle aus der Fotografie-Branche

Fall 1 — Muenchen 2024: Hochzeitsfotograf mit 5-Jahres-Portfolio. Abmahnung 4.800 Euro, weil 120 Hochzeitsgaeste ohne Einwilligung online waren. Zusaetzlich Loeschungsanspruch.

Fall 2 — Berlin 2023: Portraet-Studio. Bußgeld 8.200 Euro für US-Cloud-Galerie ohne Schrems-II-Massnahmen und fehlende Datenschutzerklärung zum Transfer.

Fall 3 — Hamburg 2024: Baby- und Familienfotograf. Bußgeld 6.400 Euro nach Beschwerde einer geschiedenen Mutter, deren Kind ohne ihre Einwilligung im Portfolio war.

Fall 4 — Koeln 2025: Event-Fotograf. Abmahnung 2.800 Euro für Google Fonts extern, fehlendes Cookie-Banner und Veroeffentlichung ohne Model-Release.

Fall 5 — Stuttgart 2024: Food- und Produktfotograf. Bußgeld 3.500 Euro für unverschluesselte Backup-Festplatte, die bei Einbruch gestohlen wurde.

DSGVO-Checkliste für Fotografen

Datenschutzerklärung aktuell? Gallery-Provider, Cloud, Social genannt.
Impressum vollstaendig? Gewerbe, Ust-IdNr, Berufshaftpflicht falls relevant.
SSL-Zertifikat? HTTPS auch auf Galerie-Seiten.
Cookie-Banner mit Opt-In? Video-Embeds, Maps erst nach Zustimmung.
Google Fonts lokal?.
AVV mit Gallery-Provider? Pixieset, Pic-Time, Zenfolio etc.
AVV mit Cloud-Backup? Dropbox, Google Drive, iCloud.
Model-Release für jedes Portfolio-Foto? Schriftlich, mit Zweck.
Doppel-Einwilligung bei Kindern? Beide Erziehungsberechtigten.
Kontaktformular mit DSGVO-Hinweis? Checkbox und Erklaerungs-Link.
CRM verschluesselt? Passwortgeschuetzt, nicht Excel.
Backups verschluesselt? Festplatten mit BitLocker/FileVault.
Galerie-Links passwortgeschuetzt? Keine offenen URL-Links.
RAW-Aufbewahrungsfrist geklaert? Vertraglich geregelt.
Drittland-Uebertragung dokumentiert? Schrems-II-Massnahmen bei US-Anbietern.
Newsletter mit Double-Opt-In? Protokoll.
Auskunftsprozess? Formular und Frist.
Datenpanne-Prozess? 72 Stunden Meldung.
Loeschkonzept? RAWs, Kundendaten, Rechnungen getrennt.
Mitarbeiter-/Assistenten-Verpflichtung? Schriftlich.

Sofort-Massnahmen mit hoher Wirkung

Wenn Sie schnell die groessten Risiken eliminieren moechten: Erstens — ziehen Sie alle alten Portfolio-Bilder offline, für die kein schriftliches Release vorliegt. Zweitens — Google Fonts lokal einbinden. Drittens — Gallery-Links mit Passwortschutz versehen oder auf einen EU-Provider wechseln. Viertens — ein gesundes Cookie-Banner installieren. Fuenftens — die Backup-Festplatten mit BitLocker oder FileVault verschluesseln. Diese fuenf Massnahmen schliessen den Groessteil der typischen Abmahnungsrisiken und kosten in Summe unter 200 Euro.

Unterschiede nach Fotografie-Genre

Hochzeitsfotografen haben das komplexeste Einwilligungsmanagement: bis zu 150 Gaeste pro Event. Empfehlung: beim Vertragsschluss Gaeste-Einwilligungsliste als Vorbereitung des Paares mitgeben. Portraet- und Familienfotografen brauchen strikte Kinder-Einwilligungen und müssen bei Trennungen mit beiden Elternteilen sprechen. Event-Fotografen sollten schon am Eingang Hinweisschilder zur Fotografie aufstellen, um die Einwilligungslage klarzustellen. Hebammen- und Geburtsfotografen arbeiten im sensibelsten Bereich mit Gesundheitsdaten nach Art. 9 DSGVO. Food- und Produktfotografen haben weniger Personen, aber oft Model-Reiche-Shoots mit komplexer Einwilligung für Haende, Gesichter und Haut. Immobilien- und Architekturfotografen sollten Eigentuemer-Einwilligung holen und Bewohner beruecksichtigen. Street- und Reise-Fotografen müssen besonders sorgfaeltig zwischen journalistisch-dokumentarischer und kommerzieller Nutzung unterscheiden.

Tools und Software für DSGVO-konforme Fotografen

Für die Galerie-Auslieferung empfehlen wir statt Pixieset die EU-basierte Alternative fotograf.de oder selbst gehostete Loesungen mit Lychee oder Piwigo. Studio-Management geht sauber mit Studio Ninja (EU-Server), 17hats (US mit AVV) oder Sprout Studio. Für Cloud-Backup eignen sich Hetzner Storage Box, Tresorit (Schweiz) oder Backblaze (mit EU-Region). Bildbearbeitung lokal: Lightroom Desktop (nicht Cloud). CRM und Buchhaltung: sevDesk, Lexware oder Billomat. Vertrags- und Einwilligungsmanagement: DocuSign (mit EU-Option) oder signNow. Newsletter: rapidmail, CleverReach oder Brevo. Website-Hosting: IONOS, Hetzner oder Raidboxes statt US-Anbietern. Ein sauber aufgesetzter Fotograf kommt mit etwa 12 Stunden einmaligem Aufwand auf DSGVO-Score 88+. Die laufende Pflege: 30 Minuten pro Monat.

Ihren Fotografen-Betrieb in Ihrer Stadt prüfen

Lokale DSGVO-Analysen für 25 Grossstaedte mit zustaendiger Aufsichtsbehoerde und regionalen Bußgeld-Faellen.

Model Release richtig gestalten

Ein rechtssicheres Model Release enthaelt mindestens sieben Elemente. Erstens — den konkreten Verwendungszweck: Portfolio, Werbung, Social Media, Bildagentur, Buch, Ausstellung. Je genauer, desto rechtssicherer. Zweitens — die Medien: Website, Instagram, Facebook, Print, gedruckte Werbung. Drittens — den geografischen Geltungsbereich: Deutschland, EU, weltweit. Viertens — den zeitlichen Rahmen: unbegrenzt, 5 Jahre, bis Widerruf. Fuenftens — die Verguetungsregelung: unentgeltlich, gegen Honorar, TfP (Time for Pictures). Sechstens — das Widerrufsrecht: Hinweis, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann. Siebtens — Unterschrift des Models, bei Minderjaehrigen beider Erziehungsberechtigter. Ein gutes Template findet sich in den Musterverträgen des Deutschen Journalisten-Verbands oder über spezialisierte Anbieter wie Fotorecht Seiler. Ein schlampig formuliertes Release schuetzt Sie nicht und kann in Streitsituationen zu Schadensersatzforderungen fuehren.

Was tun bei Widerruf der Einwilligung?

Der Widerruf muss umgesetzt werden, soweit er möglich ist. Für die Zukunft: Bilder sofort von Website und Social Media entfernen, aus Portfolio loeschen, Bildagenturen informieren. Für bereits gedruckte Werke gilt kein Rueckwirkungs-Verlangen, aber Nachdrucke sind einzustellen. Dokumentieren Sie jeden Widerruf schriftlich, incl. Datum und Umfang. Im Streitfall sind Sie für die Umsetzung beweispflichtig. Empfehlung: Schon im Erstvertrag die Modalitaeten des Widerrufs klaeren, inklusive Hinweis, dass bereits gedruckte Werke nicht widerrufen werden können und dass eine Schadensersatzpflicht entstehen kann, falls aufwendige Kampagnen kurz vor Veroeffentlichung widerrufen werden. Diese Klausel ist rechtlich zulaessig und begrenzt das wirtschaftliche Risiko.

Haeufige Fragen zu DSGVO für Fotografen

Model Release für jedes Foto noetig?

Ja, für jede Veroeffentlichung erkennbarer Personen. Schriftlich, mit Zweck und Widerrufshinweis.

Hochzeitsfotos online ohne Einwilligung?

Nur Brautpaar und explizit einwilligende Gaeste. Gaeste haben nicht automatisch zugestimmt.

RAW-Aufbewahrung?

Maximal 12 Monate nach Auftrag, Vertrag kann anderes regeln. Nach Widerruf sofort loeschen.

Babyfotos im Portfolio?

Nur mit Einwilligung beider Erziehungsberechtigter, bei Minderjaehrigen ab 14 auch der Kinder.

Gallery-Provider DSGVO-konform?

US-Anbieter brauchen Schrems-II-Massnahmen. Alternativen: EU-Provider oder selbst hosten.

Social Media Uploads?

Daten gehen an Meta/USA. Nur mit spezifischer Einwilligung.

Street Photography verkaufen?

Kommerzielle Nutzung erfordert Einwilligung. Kunstfreiheit schuetzt nicht immer.

Welche AVV?

Gallery, Cloud, Studio-Management, Rechnung, Newsletter. Typisch 6-10 Vertraege.

Fotografen-Website jetzt prüfen

Kostenloser DSGVO-Check mit Fotografie-spezifischen Handlungsempfehlungen.