- Details
- Autor: Jürgen Bühse
Fotos sind aus der Unternehmenskommunikation nicht wegzudenken – ob auf der Website, in Social Media oder im Recruiting. Doch bei der Verwendung von Bildern mit erkennbaren Personen greifen mehrere Rechtsgebiete gleichzeitig: Datenschutzrecht, das Recht am eigenen Bild nach dem KUG – und in bestimmten Fällen sogar das Strafrecht. Dies stellt juristisch eine besondere Herausforderung dar, denn private Fotoaufnahmen unterliegen nicht der DSGVO, können aber dennoch strafrechtlich und in Bezug auf das KUG rechtlich bedeutsam sein.
Gemeinsame Dateiablagen sind aus dem Arbeitsalltag nicht wegzudenken. Gerade deshalb erfordern sie klare organisatorische Vorgaben. Aus Sicht von Verantwortlichen entstehen Datenpannen weniger durch Technik, sondern durch fehlende Regeln, Zuständigkeiten und Kontrollen.
Wenn ein KI-System eingeführt wird, taucht eine Frage zuverlässig auf: Müssen wir eine Datenschutz-Folgenabschätzung (DSFA) machen?
Eine aktuelle gerichtliche Entscheidung aus Berlin verdeutlicht, dass der Umgang mit Bildern von Personen – selbst in verpixelter Form – erhebliche datenschutz- und persönlichkeitsrechtliche Risiken birgt. Für Unternehmen betrifft dies insbesondere Webseiten, Marketingmaterialien, Präsentationen, Schulungsunterlagen und Fachvorträge, die öffentlich zugänglich gemacht werden. Der folgende Überblick fasst die Kernaussagen der Entscheidung verständlich zusammen und zeigt, welche konkreten Maßnahmen Unternehmen jetzt prüfen sollten.
Der Bundesgerichtshof (BGH) hat in einer aktuellen Entscheidung vom 11. November 2025 wichtige Fragen zur Datenschutz-Haftung nach Beendigung einer Auftragsverarbeitung geklärt, die für Unternehmen und Dienstleister im Rahmen der DSGVO-Compliance große Bedeutung hat. Im zugrunde liegenden Fall ging es um einen Datenleck-Schaden, der nach Ende eines Vertrags über die Verarbeitung personenbezogener Daten durch einen Dienstleister auftrat. Die personenbezogenen Daten des betroffenen Nutzers waren nach Vertragsende weiterhin beim ehemaligen Dienstleister gespeichert und wurden dort unzureichend gelöscht. In der Folge gelangten sie Dritten in die Hände.
Seit dem Herbst 2025 ist der EU-Data Act vollständig anwendbar und bringt für viele Unternehmen neue Verpflichtungen – insbesondere im Hinblick auf den Wechsel zwischen Cloud- und anderen Datenverarbeitungsdiensten. Dieser Beitrag richtet sich an Verantwortliche in Unternehmen, die Cloud-Services nutzen oder anbieten, und erklärt die wichtigsten Aspekte der neuen Regeln sowie praktische Auswirkungen auf Verträge und Dienstleisterbeziehungen.