Die Nutzung externer Fotodienste in Kindertageseinrichtungen wirft komplexe datenschutzrechtliche Fragen auf – insbesondere, wenn es um die Verarbeitung von Kinderfotos geht. Dieser Artikel klärt, wann ein Auftragsverarbeitungsvertrag (AVV) erforderlich ist, wie Einwilligungen korrekt eingeholt werden und welche praktischen Schritte Ihre Einrichtung unternehmen sollte, um rechtssicher zu handeln.
Zulässigkeit der Nutzung externer Fotodienste hängt vollständig davon ab, ob es sich um eine Verarbeitung im „Haushaltsprivileg“ oder um eine institutionelle Datenverarbeitung i.S.d. DSGVO handelt. Sie agieren als Einrichtung; deshalb sind Sie Verantwortlicher nach Art. 4 Nr. 7 DSGVO, und die Beauftragung externer Fotodienste ist eine Weitergabe/Übermittlung bzw. ggf. Auftragsverarbeitung von personenbezogenen Daten (Kinderfotos). Fotos sind personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO; das Uploaden/Übergeben an Dritte ist ein datenschutzrechtlich relevanter Verarbeitungsvorgang.
1. Auftragsverarbeitungsvertrag mit Fotodienst?
Entscheidend ist, wer den Auftrag erteilt und in wessen Zweck-/Verantwortung gedruckt wird:
a) Eltern handeln privat (Haushaltsprivileg): Nutzen Eltern selbst dm/Rossmann für Fotos ihrer Kinder, fällt dies grds. unter Art. 2 Abs. 2 lit. c DSGVO (ausschließlich persönliche/ familiäre Tätigkeiten). Dann kein AVV nötig, weil der Dienst gegenüber den Eltern agiert, nicht in Ihrer Verantwortlichkeit.
b) Einrichtung handelt (z.B. für Portfolios, Aushänge, Fotomappen für Eltern, Doku-Zwecke): Sie sind Verantwortlicher; der externe Fotodienst verarbeitet Daten für Ihre Zwecke. Dann liegt typischerweise Auftragsverarbeitung i.S.v. Art. 28 DSGVO nahe (reine technische Entwicklung/Druck, keine eigenen Zwecke des Dienstes).
Konsequenz: Wenn Sie als Einrichtung Kinderfotos an dm/Rossmann o.Ä. zur Entwicklung weitergeben (online oder mittels Datenträger/Terminal) und der Dienst keine eigenen Zwecke (z.B. Werbung, Profilbildung) verfolgt, sollten Sie von einer Auftragsverarbeitung ausgehen und einen AV-Vertrag nach Art. 28 DSGVO abschließen.
Praktisches Problem: Viele „Walk‑in“-Fotodienste richten ihre Prozesse rechtlich/organisatorisch auf Verbraucher, nicht auf institutionelle Auftraggeber aus, bieten also keinen AVV an. In diesem Fall ist die Nutzung für institutionelle Zwecke datenschutzrechtlich im Grundsatz problematisch, weil Ihnen die rechtlich notwendige vertragliche und organisatorische Absicherung fehlt.
Handlungsempfehlung:
Bevorzugen Sie Dienstleister, die sich ausdrücklich als Auftragsverarbeiter für Einrichtungen/Unternehmen positionieren und einen AVV anbieten (oft Online-Fotodienstleister mit Business-Angebot).
Wenn ein Drogeriemarkt-Fotodienst keinen AVV anbietet, sollten Sie diesen für die Entwicklung von Fotos aus Einrichtungszwecken nicht einsetzen.
2. Einwilligung der Sorgeberechtigten (insb. bei Nutzung externer Dienste)
a) Grundsatz:
Kinderfotos sind besonders sensibel, weil das Recht des Kindes am eigenen Bild und die informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützt sind.
Für Minderjährige unter 16 Jahren ist die Einwilligung des Trägers der elterlichen Verantwortung erforderlich (Art. 8 Abs. 1 DSGVO); Deutschland hat die Altersgrenze nicht abgesenkt.
Bei gemeinsamem Sorgerecht ist für Veröffentlichungen von Kinderfotos im Internet unstreitig die Einwilligung beider Eltern erforderlich.
Der externe Druck selbst ist i.d.R. keine „Veröffentlichung“ i.S.d. § 22 KunstUrhG, sondern eine technische Verarbeitung in Ihrer Verantwortung. Gleichwohl ist es datenschutzrechtlich eine eigenständige Verarbeitung, die von der Einwilligung umfasst sein muss.
b) Umfang der Einwilligung:
Ihre Einwilligungstexte sollten transparent regeln:
zu welchen Zwecken Fotos angefertigt werden (Dokumentation, Portfolio, Geschenk an Eltern, interne Aushänge, ggf. Öffentlichkeitsarbeit getrennt geregelt),
dass zur Realisierung dieser Zwecke externe Dienstleister (Fotodienste) eingesetzt werden können,
ob / welche Kategorien von Empfängern Daten erhalten (Druckdienstleister, IT‑Dienstleister, Cloud-Service etc.),
ob eine Online-Verarbeitung/Cloud-Übermittlung stattfindet (einschließlich Hinweis auf etwaige Drittlandrisiken, wenn der Dienst Anbieter mit Sitz außerhalb der EU oder mit Cloud‑Infrastruktur außerhalb der EU nutzt).
Empfehlenswert ist, die Einwilligungen granular zu gestalten (z.B. getrennte Einwilligung: „Anfertigung und Ausdruck im Haus“, „Nutzung externer Druckdienstleister“, „Veröffentlichung im Internet“), um Widerrufsrechte und Ablehnungsmöglichkeiten differenziert zu ermöglichen.
c) Wer muss einwilligen?
Bei gemeinsamer elterlicher Sorge: Einwilligung beider Sorgeberechtigten einholen, jedenfalls wenn mehr getan wird als rein interne Dokumentation (z.B. wenn Fotos an Dritte weitergegeben werden oder in Portfolios, die die Einrichtung verlassen). Die Rechtsprechung zur Veröffentlichung in sozialen Medien betont die Notwendigkeit beider Einwilligungen; vor diesem Hintergrund ist eine doppelte Einwilligung für eine risikominimierte Praxis auch beim Einsatz externer Dienstleister angezeigt.
Bei Alleinsorge genügt die Einwilligung des allein Sorgeberechtigten.
3. Unterschiede: Online-Bestellung vs. direkte Entwicklung im Geschäft
a) Datenschutzrechtlicher Maßstab
Sowohl Upload/Online-Bestellung als auch die Nutzung eines Selbstbedienungsdruckers im Laden sind Verarbeitungen/Übermittlungen an einen Dritten.
Maßgeblich ist, wer Verantwortlicher ist und ob der Dienst für eigene oder fremde Zwecke verarbeitet, nicht das Medium (online vs. vor Ort).
b) Typische Unterschiede in der Risikoabwägung
Online-Bestellung:
Regelmäßig: Speicherung der Bilddateien auf Servern des Anbieters, ggf. in Cloud-Infrastruktur, potenziell auch außerhalb Deutschlands/EU; damit kommen Art. 44 ff. DSGVO (Drittlandübermittlung) in Betracht.
Höheres Risiko einer ungewollten Dauerverfügbarkeit, längerer Speicherfristen etc.
AVV muss insbesondere technische und organisatorische Maßnahmen, Speicherfristen und ggf. Drittlandregelungen klar regeln.
Direkte Entwicklung im Geschäft (Terminal / Sofortdrucker):
Wenn Sie die Bilder von einem mitgebrachten Speichermedium direkt am Terminal drucken und anschließend Datenträger mitnehmen und die Bilder auf dem Terminal nur flüchtig verarbeitet werden und keinen dauerhaften Speicherort verlassen, kann das Risiko geringer sein.
Gleichwohl bleibt es eine Verarbeitung durch einen Dritten; ob ein echter Auftragsverarbeitungsvertrag nötig ist, hängt davon ab, ob der Anbieter Zugriff auf die Daten hat bzw. die Infrastruktur zentral betreibt (was praktisch regelmäßig der Fall ist).
Ohne vertragliche Zusicherung (z.B. keine zentrale Protokollierung/Speicherung der Bilddaten) ist die Annahme einer bloß „internen“ Verarbeitung im Laden rechtlich nicht belastbar.
c) Praktische Konsequenz
Online-Fotodienste mit expliziten AVV‑Angeboten sind datenschutzrechtlich besser handhabbar.
„Walk-in“-Dienste ohne AVV sind für institutionelle Nutzung datenschutzrechtlich nur schwer vertretbar – unabhängig davon, ob online oder vor Ort.
4. Konkrete Handlungsempfehlung
1. Rollenklärung:
Interne Richtlinie: Fotos dürfen für Einrichtungszwecke nur über Dienstleister entwickelt werden, mit denen ein AVV nach Art. 28 DSGVO besteht.
Wenn Mitarbeitende privat für sich selbst Bilder derselben Veranstaltungen entwickeln (z.B. mit privatem Handy und im privaten Auftrag für die Eltern), muss klar getrennt werden, dass dies nicht im Namen der Einrichtung erfolgt.
2. Einwilligungsdokumentation:
Einwilligungsformulare überarbeiten:
klare Zweckbeschreibung (Dokumentation, pädagogische Arbeit, Aushänge, Portfolios, ggf. Öffentlichkeitsarbeit getrennt),
Hinweis auf Einsatz externer Dienstleister (Art, Kategorien, ggf. Länder) und Rechtsgrundlage (Einwilligung Art. 6 Abs. 1 lit. a DSGVO),
Einholung der Einwilligung beider Sorgeberechtigten bei gemeinsamer Sorge.
Widerrufsmöglichkeiten leicht zugänglich regeln; Prozesse etablieren, wie mit widerrufenen Einwilligungen umzugehen ist (Löschung, keine weiteren Aufträge etc.).
3. Dienstleisterauswahl:
Bevorzugen Sie spezialisierte Foto-/Printdienstleister, die
- einen AVV stellen,
- TOMs (z.B. Verschlüsselung, Zugriffskontrolle, Speicherfristen) dokumentieren,
- keinen eigenständigen Nutzungszweck (z.B. Werbenutzung, KI‑Training mit Bildern) haben.
- Dokumentieren Sie die Auswahlentscheidung (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
4. Interne Organisation:
Verfahrensverzeichnis: Verarbeitung „Fotoerstellung/Fotodruck Kinder“ mit Beschreibung der Zwecke, Rechtsgrundlagen, Empfänger und Löschfristen aufnehmen.
Mitarbeiter:innen schulen (Trennung zwischen privater und dienstlicher Nutzung von Fotodiensten; keine Nutzung beliebiger Apps oder Consumer-Portale ohne AVV).
Damit ist die Nutzung externer Fotodienste datenschutzrechtlich gestaltbar, setzt aber – in Ihrer Rolle als Einrichtung – regelmäßig einen AVV sowie transparente, elternbezogene Einwilligungsregelungen voraus; Unterschiede zwischen Online-Bestellung und Sofortdruck bestehen vor allem im Risiko- und Kontrollniveau, nicht in der grundsätzlichen Einordnung als Verarbeitung durch einen Dritten.