Wenn intime Kundenshootings geleakt werden: Wer haftet eigentlich?

Der aktuelle Hackerangriff auf einen Foto-Dienstleister zeigt ein Problem, das viele Fotografen gerne verdrängen: Kundengalerien sind längst nicht mehr nur ein praktischer Download-Service, sondern eine Datenschutz- und Haftungsfrage.

Bei normalen Event- oder Schulfotos ist ein Datenleck bereits unangenehm genug. Bei sensiblen Shootings wie Boudoir, Fetisch, Erotik oder Aktfotografie sieht die Sache deutlich ernster aus. Dort geht es nicht nur um Dateien, sondern um Intimsphäre, Rufschädigung und im schlimmsten Fall sogar Erpressung.

Trotzdem lagern viele Fotografen genau solche Bilder bei externen Diensten wie Google Drive oder spezialisierten Foto-Plattformen wie PicDrop. Teilweise liegen dort jahrelang komplette Kundenshootings inklusive Namen, Mailadressen und Download-Links.

Die eigentliche Frage lautet deshalb nicht mehr, ob ein Dienst gehackt werden kann, sondern wer die Verantwortung trägt, wenn es passiert.

Juristisch bleibt der Fotograf in den meisten Fällen der sogenannte „Verantwortliche“ im Sinne der DSGVO. Der Cloud- oder Galerieanbieter ist lediglich der „Auftragsverarbeiter“. Das bedeutet vereinfacht: Der Dienstleister verarbeitet die Daten technisch, aber der Fotograf entscheidet, welche Bilder gespeichert werden, wie lange sie online bleiben und wer Zugriff erhält.

Genau deshalb kann ein Fotograf trotz externem Anbieter haftbar gemacht werden.

Viele glauben fälschlicherweise:
„Die Bilder liegen doch bei Google oder beim Galerieanbieter, also ist das deren Problem.“ Die DSGVO sieht das ausdrücklich anders.

Die europäische Datenschutz-Grundverordnung verpflichtet Verantwortliche dazu, geeignete technische und organisatorische Maßnahmen zu treffen. Dazu gehören unter anderem sichere Passwörter, Zugriffsbeschränkungen, angemessene Speicherfristen und die Auswahl eines geeigneten Dienstleisters. Grundlage dafür ist Artikel 32 DSGVO.

Besonders problematisch wird es bei sensiblen Inhalten. Intime Fotos gehören zwar nicht automatisch zu den „besonderen Kategorien personenbezogener Daten“ wie Gesundheitsdaten, Gerichte und Datenschutzbehörden bewerten mögliche Schäden für Betroffene jedoch deutlich strenger als bei normalen Portraits oder Landschaftsaufnahmen.

Ein öffentlich erreichbarer Galerie-Link ohne Passwort kann bei NSFW-Shootings schnell als fahrlässig angesehen werden. Gleiches gilt für dauerhaft gespeicherte Kundengalerien, fehlende Zwei-Faktor-Authentifizierung oder unverschlüsselte Cloud-Speicher.

Der Dienstleister selbst kann ebenfalls haftbar sein. Wenn ein Anbieter Sicherheitslücken ignoriert oder seine Infrastruktur schlecht absichert, drohen Bußgelder und Schadensersatzforderungen. Für Fotografen ist das allerdings keine vollständige Absicherung, denn die DSGVO erlaubt ausdrücklich eine gemeinsame Haftung mehrerer Beteiligter.

Relevant ist dabei Artikel 82 DSGVO:
Betroffene Personen haben Anspruch auf Schadensersatz, wenn ihnen durch Datenschutzverstöße ein materieller oder immaterieller Schaden entsteht.

Gerade immaterielle Schäden sind inzwischen ein ernstes Thema. Dazu zählen psychische Belastung, Kontrollverlust über intime Aufnahmen oder Rufschäden durch veröffentlichte Bilder.

Der Bundesgerichtshof hat zudem zuletzt mehrfach klargestellt, dass Unternehmen sich nicht einfach hinter externen Dienstleistern verstecken können. Wer personenbezogene Daten verarbeitet, bleibt verantwortlich dafür, geeignete Anbieter auszuwählen und Sicherheitsmaßnahmen zu prüfen.

Ein weiterer Punkt, den viele kleine Fotografie-Businesses ignorieren, ist der sogenannte Auftragsverarbeitungsvertrag, kurz AV-Vertrag. Eigentlich müsste mit jedem Cloud- oder Galerieanbieter, der personenbezogene Daten verarbeitet, ein entsprechender Vertrag bestehen. Viele professionelle Dienste bieten diesen inzwischen automatisch an, bei simplen Cloud-Lösungen oder älteren Workflows fehlt er jedoch oft komplett.

Rechtlich wird das spätestens dann unangenehm, wenn Betroffene oder Datenschutzbehörden nachfragen:
Warum wurden intime Bilder überhaupt extern gespeichert?
Warum lagen sie dort jahrelang?
Warum gab es keinen Passwortschutz?
Warum wurde ein US-Dienst verwendet?
Warum konnten Download-Links weitergegeben werden?

Genau an diesem Punkt zeigt sich auch der Unterschied zwischen normalen Kundengalerien und sensibler Fotografie. Ein geleaktes Landschaftsshooting ist ärgerlich. Ein geleaktes Aktshooting kann Existenzen zerstören.

Viele Fotografen konzentrieren sich verständlicherweise auf Bildqualität, Workflow und Kundenkomfort. Datenschutz wird dagegen oft erst interessant, wenn bereits etwas passiert ist. Dabei sind Galerie- und Cloud-Dienste inzwischen ein realer Teil des beruflichen Risikos geworden — besonders für Fotografen, die mit sensiblen oder intimen Inhalten arbeiten.