24/7 NOTFALL
Online-Termin
02761 8 33 63 100
info@itsecuritycoach.com
24/7 NOTFALL
Online-Termin
02761 8 33 63 100
info@itsecuritycoach.com
24/7 NOTFALL
Online-Termin
Ihr verlässlicher Partner in Sachen Cyber-Security
Cyber-News

Cyber news Kategorien

,

Social-Media-Fotos posten: Rechtslage, Risiken & Handlungstipps

Ohne Zustimmung kein Foto-Upload? Täglich werden millionenfach Social-Media-Fotos von Personen in sozialen Netzwerken geteilt. Dies geschieht oft spontan und ohne ausdrückliche Erlaubnis der Abgebildeten. Doch Vorsicht: Das Recht am eigenen Bild und Datenschutzgesetze setzen klare Grenzen. Dies gilt nicht nur in der EU, sondern weltweit wird der Schutz personenbezogener Bilder immer strenger durchgesetzt. Im Folgenden beleuchten wir die Rechtslage (Datenschutz und Persönlichkeitsrechte). Dabei zeigen wir mögliche Risiken auf und geben praktische Tipps, untermauert mit realen Fällen, wie Sie als Mitarbeitende rechtliche Fallstricke beim Posten von Fotos vermeiden können.

Beim Veröffentlichen von Fotos auf Social-Media müssen Datenschutzgesetze und Persönlichkeitsrechte beachtet werden. | Bildquelle: von Chanrothana Pech | Bild NR.: 1637341982

Rechtslage: Persönlichkeitsrecht & Datenschutz

Recht am eigenen Bild (§22 KUG): In Deutschland und vielen anderen Ländern dürfen Bilder, auf denen Personen erkennbar sind, nur mit Einwilligung der betroffenen Person veröffentlicht werden. Dieses „Recht am eigenen Bild“ ist  . Gestützt durch das deutsche Kunsturhebergesetz (KUG) und die Datenschutz-Grundverordnung (DSGVO), schützt es jeden davor, dass unerwünschte Fotos verbreitet werden. Ohne Zustimmung ist das Veröffentlichen eines Personenfotos in der Regel verboten.

Datenschutz (DSGVO): Auch datenschutzrechtlich gilt: Ein Foto, auf dem eine Person identifizierbar ist (selbst indirekt, z.B. an besonderen Merkmalen), zählt als personenbezogenes Datum. Die Veröffentlichung auf einer Social-Media-Plattform ist eine Form der Datenverarbeitung. Hierfür braucht es eine Rechtsgrundlage. Praktisch kommen nur zwei Rechtsgrundlagen in Frage:

  1. Einwilligung (Art. 6 Abs.1 lit. a) DSGVO): Die sichere Option. Idealerweise schriftlich oder elektronisch dokumentiert einholen, da die betroffene Person sie jederzeit widerrufen kann. Ohne Nachweis steht man im Streitfall schlecht da.
  2. Berechtigtes Interesse (Art. 6 Abs.1 lit. f) DSGVO): Unter engen Bedingungen kann ein Foto auch ohne Einwilligung veröffentlicht werden, wenn das Interesse des Veröffentlichenden die Datenschutz-Interessen der Abgebildeten überwiegt. Dies erfordert eine gründliche Dreifach-Abwägung: legitimes Interesse, Erforderlichkeit und Interessenabwägung. Vorsicht: Die Hürden sind hoch. Ein Gericht entschied z.B., dass das Foto einer Veranstaltung auf einer Facebook-Seite nicht durch berechtigtes Interesse gedeckt war, da es möglich gewesen wäre die abgebildeten Bürger zu anonymisieren (verpixelt). Die große Reichweite sozialer Netzwerke und Missbrauchsmöglichkeiten verstärken das schutzwürdige Interesse der Betroffenen. Fazit: In der Praxis genügt Art. 6 Abs.1 lit. f) selten als Freibrief. Im Zweifel wird Einwilligung benötigt.

Ausnahmen vom Einwilligungsgrundsatz

Nach dem KUG und ähnlich gelagerten Regelungen gibt es wenige eng definierte Ausnahmen, z.B.:

  • Personen der Zeitgeschichte: Prominente Personen dürfen im Kontext aktueller Berichterstattung auch ohne Zustimmung abgebildet werden. Für normale Mitarbeitende oder Kunden trifft das jedoch kaum zu.
  • Versammlungen, Events: Fotos von öffentlichen Veranstaltungen (Konferenzen, Konzerten, Demonstrationen) sind erlaubt, solange keine einzelne Person herausgestellt wird. Gruppenszenen sind unproblematisch, aber zoomt man auf ein Gesicht, ist es wieder ein Personenfoto mit Einwilligungspflicht.
  • Beiwerk: Ist eine Person nur zufällig im Hintergrund („beiwerkhaft“) und nicht Hauptmotiv, darf das Bild oft ohne Einwilligung veröffentlicht werden. Beispiel: Touristenschnappschuss vor dem Eiffelturm, auf dem einige Fremde am Rand zu sehen sind. Hier treten Persönlichkeitsrechte zurück, solange keine Verletzung berechtigter Interessen vorliegt.

Entscheidend bleibt stets: Verletzt die Veröffentlichung berechtigte Interessen der abgebildeten Person? Wenn ja, greift keine Ausnahme. In Zweifelsfällen tendieren Gerichte dazu, die Rechte der Person höher zu gewichten als das Publikationsinteresse, vor allem bei Social-Media wegen der potenziell globalen Verbreitung.

Was gilt international für Social-Media-Fotos?

Auch wenn außerhalb Europas andere Gesetze gelten, darf man nicht automatisch jede Personenaufnahme posten. Viele Staaten haben eigene Datenschutz- und Persönlichkeitsgesetze.

Die DSGVO gilt primär in der EU. Jedoch schützt sie auch Personen außerhalb der EU, wenn ein EU-Unternehmen deren Daten verarbeitet. Zudem müssen sich EU-Firmen an DSGVO-Grundsätze halten, selbst wenn sie Daten weltweit veröffentlichen. Ein EU-Arbeitgeber, der Fotos von jemand in Übersee auf Facebook postet, bleibt nach der DSGVO verantwortlich.

Landesgesetze weltweit: Immer mehr Länder ziehen mit strengen Regeln nach. Beispiele:

  • Indien: Das neue Datenschutzgesetz DPDP Act 2023 klassifiziert jede unautorisierte Verarbeitung personenbezogener Daten als Verstoß, der den dortigen Behörden gemeldet werden muss.
  • Australien: Hier ist ein Vorfall meldepflichtig, wenn ein gepostetes Foto ohne Zustimmung voraussichtlich ernsthaften Schaden für die Person bewirkt. Die Aufsichtsbehörde OAIC verlangt dann Meldung.
  • Vietnam: Die Gesetzeslage verlangt bereits jetzt Behördenmeldung, wenn personenbezogene Daten ohne Einwilligung verarbeitet werden.
  • Südkorea: Das Datenschutzgesetz (PIPA) schreibt eine Meldung binnen 72 Stunden vor, sofern z.B. eine große Personenzahl betroffen ist oder sensible Inhalte vorliegen.

Kurzum: Auch außerhalb Europas sehen Aufseher das ungefragte Veröffentlichen identifizierbarer Personenfotos als Datenschutzverstoß. Es kann lokal zu Behördenmeldungen, Bußgeldern oder anderen Sanktionen kommen. Abgesehen davon, können die Betroffenen selbst (zivilrechtlich) einschreiten.

Persönlichkeitsrechte weltweit: Unabhängig vom Datenschutz existiert in vielen Rechtsordnungen ein allgemeiner Schutz der Privatsphäre oder des Abbilds. 

Social-Media-Fotos: Sonderfall Beschäftigtendatenschutz

Fotos von Mitarbeitenden unterliegen besonderem Schutz. Wenn das Unternehmen Bilder von Angestellten (für das Intranet, die Webseite, die Social-Media-Kanäle etc.) nutzen möchte, gelten zusätzliche Regeln. In Deutschland etwa verlangt §26 BDSG  in aller Regel eine Einwilligung der Mitarbeiter, sofern das Bild nicht ausnahmsweise zur Vertragserfüllung nötig ist. Arbeitgeber sollten daher immer schriftliche Einverständniserklärungen einholen, bevor sie Mitarbeiterfotos extern verwenden. Fehlende Einwilligung kann auch arbeitsrechtliche Folgen haben: Beschäftigte könnten die Veröffentlichung untersagen lassen oder im Extremfall Schadensersatz von dem Arbeitgeber fordern. Auch intern gilt: ohne Frage kein Foto, z.B. für Teamfotos im Intranet sollte vorher das Okay aller Beteiligten eingeholt werden.

Für Unternehmen gilt: Holen Sie sich vor Veröffentlichung von Fotos eine schriftliche Einverständnis Ihrer Mitarbeitenden. | Bildquelle: von uu | Bild NR.: 1839875617

Praxis-Empfehlungen: So handeln Sie richtig beim Posten von Social-Media-Fotos

Wie kann man   sicherstellen, dass man auf der richtigen Seite bleibt? Hier einige praxisnahe Tipps, um Fotos rechtssicher und respektvoll zu handhaben:

Der goldene Grundsatz: Holen Sie vor dem Posten die Einwilligung ein. Im Kollegen- und Freundeskreis mag das formlos gehen („Ist es okay, wenn ich das auf LinkedIn teile?“). Besser noch ist eine kurze schriftliche Zustimmung per E-Mail oder Messenger. So haben Sie einen Nachweis. Bei fremden Personen ist es ohnehin Pflicht: z.B. jemanden auf der Straße fotografieren und das Bild online stellen, sollte man nur nach ausdrücklicher Erlaubnis tun. Faustregel: Keine Veröffentlichung, solange nicht eindeutig „Ja“ gesagt wurde.

Konsens bei Mitarbeiterfotos

Wenn Sie Fotos vom Team, Betriebsausflügen o.ä. posten möchten, stimmen Sie sich in der Gruppe ab. Vielleicht möchte jemand nicht öffentlich auftauchen, das ist natürlich zu respektieren. Im Zweifel lieber ein Gruppenfoto nicht ins offene Internet stellen, wenn nur eine Beteiligter Bedenken hat. Für offizielle Kanäle sollte das Unternehmen idealerweise eine schriftliche Einwilligung von allen abgebildeten Mitarbeitern besitzen (häufig Teil des Onboarding-Prozesses). Fragen Sie im Zweifel bei HR oder Marketing nach, ob für die geplante Nutzung eine Einwilligung vorliegt.

Konsens bei Gruppenfotos ist wichtig: Stimmen Sie sich ab, bevor Sie Team- oder Gruppenbilder auf Social-Media veröffentlichen. | Bildquelle: von Jacob Lund | Bild NR.: 318394822

Social-Media-Fotos von Minderjährigen

Bei Kindern und sensiblen Bereichen extra streng sein: Fotos von Minderjährigen dürfen Sie niemals ohne schriftliches Einverständnis der Erziehungsberechtigten veröffentlichen. Gleiches gilt für Bilder in sensiblen Situationen (z.B. Krankenhäuser, Unfälle): Hier greift das Strafgesetz (§201a StGB in Deutschland verbietet z.B. Bloßstellung durch Bildaufnahmen). Solche Aufnahmen gehören nicht in Social-Media, außer Sie haben eine klare dienstliche Notwendigkeit und alle erforderlichen Zustimmungen.

Internationales Sharing von Fotos

Wenn Sie Fotos in globale Tools laden (z.B. US-Cloud oder internationale Team-Chats), beachten Sie, dass Datenübermittlung ins Ausland stattfindet. Personenbezogene Daten in Drittstaaten zu schicken ist nur erlaubt, wenn die Datenschutzanforderungen eingehalten werden (Stichwort Standardvertragsklauseln, Angemessenheitsbeschlüsse etc.). Ein schnelles Posten auf einer amerikanischen Plattform kann technisch eine Datenübertragung in unsichere Länder sein. Unternehmen lösen dies meist durch Privacy-Vereinbarungen mit den Dienstleistern. Als Mitarbeitende sollten Sie aber bewusst sein, dass jedes Foto auf Facebook, Instagram & Co. weltweit verteilt und gespeichert wird. Teilen Sie interne Personenfotos daher möglichst nur auf genehmigten Kanälen und nicht über private Accounts, wo die Firma keine Kontrolle hat.

Dokumentation bei geplanten Veröffentlichungen

Dokumentieren Sie: Wer hat zugestimmt? Führen Sie bei geplanten Veröffentlichungen im Unternehmenskontext Buch, wer alles im Bild ist und wie die Zustimmung eingeholt wurde. Das hilft ungemein, falls später jemand nachfragt oder behauptet, nichts davon gewusst zu haben.

Bei Unsicherheit, ob ein geplanter Post zulässig ist, zögern Sie nicht, rechtlichen Rat intern einzuholen. Das Datenschutz-Team kann einschätzen, ob eine Veröffentlichung heikel sein könnte. Das mag bei alltäglichen Posts unnötig sein, aber bei allem, was über locker privaten Kontext hinausgeht (z.B. Kunden-Eventfotos, Pressemitteilungen mit Bildern) sollte es Standard sein, das Datenschutz-Team vorher drüber sehen zu lassen.

Falls trotz aller Vorsicht ein Foto ohne Einwilligung veröffentlicht wurde (oder sich jemand nachträglich beschwert), handeln Sie sofort: Löschen Sie den betreffenden Post oder das Bild umgehend und informieren Sie gegebenenfalls Ihren Vorgesetzten oder Datenschutzbeauftragten über den Vorfall. Transparenz und rasches Handeln können größere Schäden abwenden. Die Person, die sich verletzt fühlt, sollte man ernst nehmen: Entschuldigen Sie sich für das Versehen und versichern Sie, dass das Foto entfernt ist. So lässt sich die Situation oft deeskalieren und ein formaler Streit vermeiden. Sollte es ein meldepflichtiger Vorfall sein, muss das Datenschutz-Team schnell die Meldung vorbereiten. Aber das ist dann nicht Ihre Last allein, sondern Teamwork.

Fazit:

Für uns als Mitarbeitende bedeutet das Thema Fotos auf Social-Media vor allem eins: Sensibilität und Absprache. Jeder von uns kann mit ein, zwei Klicks theoretisch zum „Datenverarbeiter“ werden, der Persönlichkeitsrechte tangiert. Darum sollten wir uns immer fragen: Habe ich das OK aller Betroffenen? Ist das Foto notwendig und unbedenklich? Wenn man diese Fragen beherzigt, steht einem lebendigen, aber respektvollen Umgang mit Social-Media-Fotos nichts im Wege. Und im Zweifel gilt: Lieber einmal mehr um Einwilligung bitten.

Suchen Sie Experten im Bereich IT-Sicherheit, Informationssicherheit und Datenschutz? Unser Team von itsecuritycoach steht Ihnen bei allen Fragen und Belangen rund um diese Themen zur Seite. Kontaktieren Sie uns – das erste Beratungsgespräch ist kostenlos!

 

Quellen:

  1. Recht am eigenen Bild (§22 KUG) und Persönlichkeitsrecht: https://www.ratgeberrecht.eu/aktuell/fotos-von-personen-im-internet-veroeffentlichen/
  2. DSGVO & Fotos: Einwilligung als Regelfall: https://www.e-recht24.de/datenschutz/11303-dsgvo-und-fotografie-was-aendert-sich.html
  3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): https://www.thomashelbing.com/de/blog/rechtsgrundlage-berechtigten-interesses-art-6-abs-1-lit-f-dsgvo-praxisleitfaden
  4. Ausnahmen vom Einwilligungserfordernis (§23 KUG): https://www.ra-plutte.de/faq-recht-am-eigenen-bild-beispiele/
  5. Internationaler Datenschutz (Indien, Australien, Vietnam, Südkorea): https://gesellschaft-datenschutz.de/datenschutz-in-anderen-laendern/, https://www.dlapiperdataprotection.com/?t=breach-notification&c=IN, https://www.oaic.gov.au/privacy/notifiable-data-breaches/about-the-notifiable-data-breaches-scheme, https://letranlaw.com/insights/key-concepts-under-vietnams-new-data-privacy-law/, https://www.truendo.com/en/blog/recent-updates-in-south-koreas-data-privacy-laws-what-you-need-to-know,
  6. Beschäftigtendatenschutz (§26 BDSG): https://www.roedl.de/dienstleistungen/rechtsberatung/arbeitsrecht/beschaeftigtendatenschutz
  7. Praxisempfehlungen für Social Media Fotos & Datenschutz: https://www.dr-datenschutz.de/datenschutz-fuer-privatpersonen-fotos-videos-in-sozialen-medien/
  8. Strafgesetz §201a StGB – Bildaufnahmen: https://www.gesetze-im-internet.de/stgb/__201a.html
KI-Verordnung und Datenschutz im Gesundheitswesen
1. Dezember 2025
ePA, GDNG und DiGA: Datenschutz 2025 im Überblick
4. Februar 2025
Datenschutz- und Datensicherheitslage für das Jahr 2024 – Auswirkungen für Unternehmen im Gesundheitswesen 
3. Dezember 2024
Das neue Gesundheitsdatennutzungsgesetz (GDNG) – Chancen und Herausforderungen im Datenschutz
31. Oktober 2024
Die EU-Verordnung zur Künstlichen Intelligenz – Ein Überblick über die erste umfassende KI-Regulierung
27. September 2024
Die Herausforderung der Datenportabilität im Gesundheitswesen: Chancen und Risiken für Patienten und Anbieter
27. August 2024

Unsere Themen-Blogs

Datenschutz-Blog
Cyber-Security-Blog
Alle Cyber-News

Unsere Themen-Blogs

Cyber-Security-Blog
Datenschutz-Blog
Alle Cyber-News

Wir freuen uns auf Ihre Fragen und Anforderungen!

Cyber-Security-Coaching, Audits, Schulungen und Veranstaltungen:
Das erste Beratungsgespräch bieten wir Ihnen kostenlos an!

Ihre Kontaktanfrage »