📋 Warum diese Checkliste?
Fotoboxen sind bei Firmenfeiern beliebt – sie sorgen für Spaß und unvergessliche Erinnerungen.
Doch aus Datenschutzsicht gibt es kritische Punkte, die oft übersehen werden. Diese Checkliste
hilft Ihnen, DSGVO-konforme Anbieter zu identifizieren und rechtliche Risiken zu vermeiden.
Für wen ist diese Checkliste? Datenschutzbeauftragte, HR-Manager, Eventplaner,
Compliance-Verantwortliche und alle, die Firmenfeiern mit Betriebsrat oder strengen Datenschutzauflagen organisieren.
1. Typische Datenschutzrisiken bei Fotoboxen
⚠️ Risiko 1: Cloud-Upload ohne Einwilligung
Das Problem: Viele Fotobox-Anbieter laden Bilder zur Bearbeitung (Filter, KI-Effekte, Hintergrundentfernung)
in externe Cloud-Dienste hoch – oft zu US-amerikanischen oder anderen Drittlandsanbietern.
- Rechtlich problematisch: Übermittlung in Drittländer ohne EU-Standardvertragsklauseln
- Unklar: Wo werden die Daten gespeichert? Wer hat Zugriff?
- Risiko: Verstoß gegen DSGVO Art. 44 ff. (Drittlandtransfer)
⚠️ Risiko 2: Fehlende Einwilligung zur Veröffentlichung
Das Problem: Bilder werden automatisch auf Beamer, Live-Galerien oder Social Media gezeigt –
ohne dass Mitarbeiter vorher gefragt wurden.
- Rechtlich problematisch: Verstoß gegen Art. 6 Abs. 1 lit. a DSGVO (Einwilligung erforderlich)
- Bei Betriebsrat: Mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG
- Risiko: Abmahnungen, Unterlassungsansprüche, Bußgelder
⚠️ Risiko 3: Internet-Abhängigkeit
Das Problem: Viele Fotoboxen brauchen Internet für Uploads, Filter oder Live-Galerien.
Das bedeutet: Datenübertragung in Echtzeit – oft ohne transparente Dokumentation.
- Unklar: Welche Daten werden wo hin übertragen?
- Risiko: Keine Kontrolle über Datenflüsse
2. Rechtliche Anforderungen (DSGVO & Betriebsrat)
Was sagt die DSGVO?
- Art. 6 DSGVO: Rechtmäßigkeit der Verarbeitung – Einwilligung oder berechtigtes Interesse erforderlich
- Art. 13/14 DSGVO: Informationspflichten – Betroffene müssen über Datenverarbeitung informiert werden
- Art. 32 DSGVO: Technische und organisatorische Maßnahmen – Verschlüsselung, Zugriffskontrolle
- Art. 44 ff. DSGVO: Drittlandtransfer – nur mit geeigneten Garantien (z.B. EU-Standardvertragsklauseln)
Was sagt das Betriebsverfassungsgesetz?
- § 87 Abs. 1 Nr. 6 BetrVG: Betriebsrat hat Mitbestimmungsrecht bei technischen Einrichtungen zur Verhaltens- und Leistungsüberwachung
- Praktisch: Wenn Fotobox-Bilder gespeichert/veröffentlicht werden, muss der Betriebsrat zustimmen
3. Checkliste für die Anbieter-Auswahl
✓ Fragen Sie Ihren Fotobox-Anbieter:
Werden Bilder in eine Cloud hochgeladen?
✓ Gut: Nein, alle Daten bleiben lokal auf dem Gerät
✗ Kritisch: Ja, Bilder werden zur Verarbeitung hochgeladen
Wo werden die Daten verarbeitet?
✓ Gut: Lokal auf dem Rechner des Anbieters vor Ort
✗ Kritisch: Cloud-Dienste (AWS, Google Cloud, Azure) in den USA oder anderen Drittländern
Braucht die Fotobox Internet?
✓ Gut: Nein, alle Features funktionieren offline
✗ Kritisch: Ja, Internet für Filter, Druck oder Galerien erforderlich
Gibt es eine Einwilligungsfunktion für Mitarbeiter?
✓ Gut: Ja, Mitarbeiter können vor dem Foto zustimmen oder ablehnen (User Consent)
✗ Kritisch: Nein, Bilder werden automatisch veröffentlicht
Werden Bilder automatisch auf Beamer/Galerie gezeigt?
✓ Gut: Nur mit vorheriger Zustimmung des Mitarbeiters
✗ Kritisch: Ja, automatisch ohne Einwilligung
Wie werden die Bilder ausgeliefert?
✓ Gut: Verschlüsselt per USB-Stick oder verschlüsseltem Download
✗ Kritisch: Unverschlüsselte Cloud-Links oder E-Mail-Versand
Nutzt der Anbieter Drittanbieter-Software?
✓ Gut: Eigenentwicklung, volle Kontrolle über Datenverarbeitung
✗ Kritisch: Baukasten-Software von Drittanbietern (Black-Box)
Kann der Anbieter technische Details zur Datenverarbeitung dokumentieren?
✓ Gut: Ja, transparente Dokumentation für Datenschutzbeauftragte
✗ Kritisch: Nein, keine Details verfügbar
4. Vergleich: Standard-Anbieter vs. DSGVO-konforme Lösung
| Kriterium |
Standard-Anbieter |
DSGVO-konforme Lösung (z.B. fotobox.berlin) |
| KI-Verarbeitung |
Cloud-basiert (AWS, Google, Azure) |
Lokal auf dem Gerät (2 Sek.) |
| DSGVO-Risiko |
Hoch (Drittlandtransfer) |
Minimal (lokale Verarbeitung) |
| Internet erforderlich |
Ja, für Features |
Nein, komplett offline |
| User Consent Funktion |
Meist nicht vorhanden |
Eingebaut, konfigurierbar |
| Datenhoheit |
Beim Anbieter / Cloud |
Beim Kunden |
| Eigenentwicklung |
Baukasten-Software |
100% Eigenentwicklung |
| Dokumentation |
Oft nicht verfügbar |
Vollständig dokumentiert |
5. So setzen Sie DSGVO-konforme Fotoboxen um
Schritt 1: Anbieter prüfen (mit dieser Checkliste)
Nutzen Sie die Checkliste aus Abschnitt 3, um Anbieter zu vergleichen. Stellen Sie die Fragen konkret und fordern Sie schriftliche Bestätigungen.
Schritt 2: Datenschutzbeauftragten einbeziehen
Legen Sie Ihrem Datenschutzbeauftragten folgende Informationen vor:
- Technische Dokumentation des Anbieters zur Datenverarbeitung
- Angaben zu Speicherorten, Drittanbietern, Cloud-Nutzung
- Einwilligungskonzept (User Consent)
Schritt 3: Betriebsrat informieren (falls vorhanden)
Bei Firmenfeiern mit Betriebsrat:
- Betriebsrat hat Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG)
- Klären Sie vorab: Werden Bilder gespeichert/veröffentlicht?
- Dokumentieren Sie die Einwilligung der Mitarbeiter
Schritt 4: Mitarbeiter informieren
Informieren Sie Mitarbeiter transparent:
- Was passiert mit den Bildern? (Beamer, Galerie, Social Media?)
- Wie können sie zustimmen oder ablehnen? (User Consent Funktion)
- Wer erhält die Bilder nach dem Event?
✅ Best Practice: Wie fotobox.berlin diese Anforderungen erfüllt
Lokale KI-Verarbeitung: Alle KI-Effekte (Hintergrundentfernung, Filter) laufen direkt auf dem Rechner vor Ort – in nur 2 Sekunden. Keine Cloud, keine Uploads.
User Consent Funktion: Mitarbeiter entscheiden vor dem Foto, ob Bilder öffentlich gezeigt werden dürfen. Bilder ohne Zustimmung werden nicht auf Beamer/Galerie angezeigt.
Offline-First Architektur: Alle Features funktionieren ohne Internet. Keine Abhängigkeit von Cloud-Diensten.
100% Eigenentwicklung: Keine Drittanbieter-Software – volle Kontrolle über Datenverarbeitung und Sicherheit.
Transparente Dokumentation: Auf Anfrage stellen wir detaillierte Informationen für Datenschutzbeauftragte bereit.
6. Häufige Fragen (FAQ)
Müssen wir bei jeder Firmenfeier eine DSGVO-Prüfung machen?
Ja, aber: Wenn Sie einmal einen DSGVO-konformen Anbieter gefunden haben, können Sie diese Prüfung für zukünftige Events überspringen.
Dokumentieren Sie die Prüfung einmal ordentlich – dann gilt sie für alle weiteren Buchungen.
Reicht eine mündliche Zusicherung des Anbieters?
Nein. Fordern Sie schriftliche Bestätigungen zu Cloud-Nutzung, Datenspeicherung und Drittanbietern.
Im Zweifelsfall haftet Ihr Unternehmen als Verantwortlicher.
Was passiert, wenn wir gegen die DSGVO verstoßen?
Risiken:
- Bußgelder bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes (Art. 83 DSGVO)
- Abmahnungen durch Mitarbeiter oder Betriebsrat
- Reputationsschaden
Können Mitarbeiter nachträglich widersprechen?
Ja. Nach Art. 17 DSGVO haben Betroffene ein Recht auf Löschung. Wenn ein Mitarbeiter nachträglich Widerspruch einlegt,
müssen die Bilder gelöscht oder unkenntlich gemacht werden. Mit User Consent Funktion vermeiden Sie solche Konflikte.
Diese Seite als PDF speichern:
Drücken Sie Strg+P (Windows) oder Cmd+P (Mac) und wählen Sie "Als PDF speichern"