Wie kannst Du deine Videoproduktion DSGVO konform gestalten?
Videoproduktion DSGVO-konform gestalten: Tipps zu Einwilligungen, Datenschutz & rechtssicherer Umsetzung für deine nächste Produktion. Jetzt informieren!
Johannes Westphal
Gründer & Creative Director
DSGVO-konforme Videoproduktion bedeutet: Du weißt zu jedem Zeitpunkt, wer welche Datei sieht, wo sie liegt und wer sie freigegeben hat. Wer das nicht im Griff hat, riskiert Bußgelder bis zu 20 Millionen Euro — oder vier Prozent des weltweiten Jahresumsatzes. Das klingt abstrakt, wird aber sehr konkret, sobald ein Kunde aus der Pharmabranche fragt, wo sein Rohmaterial gerade liegt.
Warum DSGVO und Videoproduktion ein unterschätztes Thema ist
Die meisten Datenschutzprobleme in Videoagenturen entstehen nicht beim finalen Export, sondern im laufenden Produktionsprozess. Rohmaterial auf privaten Dropbox-Accounts, Freigaben per E-Mail mit angehängten MP4-Dateien, Projektordner in der Projektmanagement-Software Asana, auf die noch fünf ehemalige Mitarbeitende Zugriff haben — das sind die echten Stolperfallen.
Ich sage das nicht aus dem Lehrbuch. Wir hatten 2023 einen Kunden aus der Medizintechnik in München, der uns nach einem abgeschlossenen Projekt fragte, wer außer unserem Team noch auf seine Interviewaufnahmen zugreifen könnte. Die ehrliche Antwort war: unklar. Das war der Moment, in dem wir unseren gesamten Produktionsworkflow auf den Prüfstand gestellt haben.
Was die DSGVO konkret von dir verlangt
Die Datenschutz-Grundverordnung (DSGVO) gilt für alle personenbezogenen Daten — und Videoaufnahmen von erkennbaren Personen sind personenbezogene Daten. Punkt. Das betrifft Interviews, Testimonials, Event-Footage, Behind-the-Scenes-Material und selbst B-Roll, auf der zufällig Menschen zu erkennen sind.
Drei Pflichten, die du als produzierende Agentur hast:
- Rechtsgrundlage dokumentieren — Einwilligung (Consent), Vertragserfüllung oder berechtigtes Interesse. Ohne schriftliche Grundlage darfst du das Material nicht verarbeiten.
- Verarbeitungsverzeichnis führen — Welche Kategorien personenbezogener Daten verarbeitest du, für wen, wie lange, auf welchen Systemen?
- Löschfristen einhalten — Rohmaterial darf nicht unbegrenzt auf Produktionsservern liegen. Typischerweise vereinbaren wir 90 Tage nach Projektabschluss als Löschfrist, sofern der Kunde keine andere Regelung wünscht.
Pro-Tipp: Baut eine einfache Checkliste in euren Projektabschluss-Prozess ein. Vier Punkte reichen: Einwilligungen archiviert? Rohmaterial übergeben oder gelöscht? Zugriffsrechte auf Drittplattformen entzogen? Abnahmeprotokoll signiert?
Model Release, Bildrechte und Einwilligungen richtig handhaben
Model Release ist kein Nice-to-have
Ohne unterzeichnetes Model Release darf kein Videomaterial mit erkennbaren Personen veröffentlicht werden — auch nicht intern. Das gilt für Mitarbeitendenvideos genauso wie für Kunden-Testimonials. In unserer Agenturpraxis sehen wir immer wieder, dass Model-Release-Formulare entweder gar nicht existieren oder als lose PDF irgendwo im E-Mail-Verlauf verschwinden.
Wir haben das gelöst, indem wir Model Releases digital vor dem Drehtag verschicken und die unterschriebene Version als Pflichtfeld im Projektordner hinterlegen. Kein Abnahmeprotokoll ohne dokumentierte Einwilligung.
Bildrechte bei B-Roll und Archivmaterial
Fremdes Archivmaterial, Stockvideos und lizenzierte Musik sind ein eigenes Thema — aber es gibt einen DSGVO-Aspekt, den viele übersehen: Wenn du Stockmaterial von Plattformen beziehst, deren Server außerhalb der EU stehen, musst du prüfen, ob ein Auftragsverarbeitungsvertrag (AVV) notwendig ist. Das gilt auch für das Video-Review-Tool Frame.io (US-amerikanische Server) oder das File-Sharing-Tool WeTransfer.
Tools und Plattformen DSGVO-konform einsetzen
Das ist der Teil, über den am wenigsten gesprochen wird — und der in der Praxis am meisten Ärger macht.
Jedes Tool, das du im Produktionsprozess nutzt und das personenbezogene Daten verarbeitet, braucht einen AVV. Die gute Nachricht: Die meisten größeren Anbieter stellen AVVs bereit. Die schlechte Nachricht: Du musst sie aktiv abschließen und dokumentieren.
Hier eine Übersicht der häufigsten Tools im Agenturalltag und ihrem DSGVO-Status:
| Tool | Serverstandort | AVV verfügbar | Besonderheit |
|---|---|---|---|
| Frame.io | USA (AWS) | Ja (über Adobe) | Standard Contractual Clauses erforderlich |
| WeTransfer | Niederlande / USA | Ja | Business-Account nötig für AVV |
| Asana | USA | Ja | EU-Datenresidenz optional (kostenpflichtig) |
| Monday.com | USA / EU | Ja | EU-Region wählbar |
| Dropbox Business | USA / EU | Ja | EU-Rechenzentrum wählbar |
| Mux | USA | Ja | Für Video-Hosting/Streaming |
Mal ehrlich: Die meisten Agenturen in Berlin, Hamburg oder Köln haben für keines dieser Tools einen AVV abgeschlossen. Das ist ein echtes Compliance-Risiko — besonders bei Kunden aus regulierten Branchen wie Pharma, Finanz oder Gesundheit.
Pro-Tipp: Legt einen zentralen "Datenschutz-Ordner" im Projektmanagement-System an. Dort hinein gehören: AVVs aller genutzten Tools (einmalig), projektspezifische Einwilligungen und Model Releases, das Abnahmeprotokoll, die Löschbestätigung nach Projektabschluss.
Den Freigabeprozess DSGVO-konform gestalten
Warum klassische Freigabe-Workflows ein Datenschutzproblem sind
Ein typischer Freigabeprozess per E-Mail erzeugt im Schnitt 12–18 unkontrollierte Kopien eines Videos — durch Weiterleitungen, Downloads auf lokale Geräte, CC-Empfänger. In unserer Agenturpraxis haben wir bei Projekten mit mehreren Feedback-Runden gezählt: Bei vier Korrekturschleifen und drei beteiligten Stakeholdern auf Kundenseite landen wir regelmäßig bei über 20 Personen, die irgendwann eine Version des Materials hatten. Wer kann das noch nachvollziehen?
Das Problem ist nicht nur Unordnung — es ist ein DSGVO-Problem. Du verlierst die Kontrolle darüber, wer personenbezogenes Videomaterial gespeichert hat und ob es nach Projektabschluss gelöscht wurde.
Wie ein sauberer digitaler Freigabeprozess aussieht
Ein DSGVO-konformer Freigabeprozess erfüllt diese fünf Anforderungen:
- Zugangskontrolle — Nur autorisierte Personen sehen das Material, per Link mit Passwort oder Account-Login.
- Versionierung — Es gibt zu jedem Zeitpunkt genau eine aktuelle Version, keine parallelen Dateien.
- Audit Trail — Wer hat wann welche Version gesehen und freigegeben? Das muss dokumentierbar sein.
- Kein unkontrollierter Download — Das Material kann kommentiert, aber nicht ohne Weiteres heruntergeladen werden.
- Löschung nach Abschluss — Der Zugang wird nach Projektabschluss deaktiviert, das Material gemäß vereinbarter Frist gelöscht.
Wir haben in unserer Agentur mittlerweile Freigabe.io im Einsatz, das genau diesen Workflow abbildet — inkl. AVV, EU-Serverstandort und dokumentiertem Abnahmeprotokoll. Der Wechsel hat unsere durchschnittliche Korrekturschleife von 9 auf 5 Arbeitstage reduziert, aber das war eigentlich ein Nebeneffekt. Der Hauptgrund war Datenschutz.
KI im Videoproduktionsprozess und der EU AI Act
Wer KI-Tools für Untertitelung, automatischen Schnitt oder Gesichtserkennung einsetzt, muss seit 2024 auch den EU AI Act im Blick haben. Besonders relevant: KI-Systeme, die Personen identifizieren oder kategorisieren, fallen unter strenge Auflagen — teils sogar Verbote.
Konkret bedeutet das für Videoagenturen: Wenn du automatische Transkription oder Sprechererkennung nutzt, prüfe, ob der Anbieter eine EU-Konformitätserklärung vorlegt und ob die Daten auf EU-Servern verarbeitet werden. Viele Tools in diesem Bereich arbeiten noch auf US-Infrastruktur — das ist aktuell ein Graubereich, aber kein sicherer Hafen.
DSGVO-Konformität im Kundenvertrag verankern
Verantwortlich für die DSGVO-konforme Verarbeitung seid im Zweifel ihr — die Agentur — solange das Material bei euch liegt. Das sollte im Dienstleistungsvertrag klar geregelt sein.
Folgende Punkte gehören in jeden Produktionsvertrag:
- Wer ist Verantwortlicher, wer Auftragsverarbeiter?
- Wie lange lagert die Agentur Rohmaterial?
- Wer trägt die Verantwortung für Model Releases (Agentur oder Kunde)?
- Gibt es eine Geheimhaltungsklausel für sensibles Footage?
- Was passiert bei einem Datenschutzvorfall (Breach Notification)?
Ein Pharma-Kunde aus Frankfurt hat uns letztes Jahr gebeten, diese Punkte explizit in den SLA aufzunehmen. Das hat den Vertrag um zwei Seiten verlängert — und beiden Seiten Klarheit gegeben.
Häufige Fragen
Was gilt als personenbezogenes Datum in einem Video?
Jede Aufnahme, auf der eine Person erkennbar ist — durch Gesicht, Stimme, Namenseinblendung oder Kontext. Das gilt auch für versehentlich aufgenommene Personen im Hintergrund. Sobald eine natürliche Person identifizierbar ist, greift die DSGVO.
Brauche ich für jeden Interviewpartner ein Model Release?
Ja, immer. Auch für interne Mitarbeitendenvideos, auch wenn die Person "einverstanden" ist — mündliche Einwilligung ist nicht nachweisbar. Ein schriftliches oder digital signiertes Model Release ist die einzige rechtssichere Grundlage für die Verwendung von Portraitaufnahmen.
Ist WeTransfer DSGVO-konform nutzbar?
Im Business-Tarif und mit abgeschlossenem AVV: ja, eingeschränkt. Der kostenlose Tarif ist nicht für die Übertragung personenbezogener Daten geeignet, da kein AVV abgeschlossen werden kann und die Datenverarbeitung nicht ausreichend kontrollierbar ist.
Wie lange darf ich Rohmaterial nach Projektabschluss aufbewahren?
Das hängt vom Vertrag ab. In unserer Agenturpraxis vereinbaren wir standardmäßig 90 Tage nach finalem Abnahmeprotokoll. Danach wird das Material gelöscht oder auf Wunsch an den Kunden übergeben — dokumentiert per E-Mail oder Abschlussprotokoll.
Was passiert, wenn ich als Agentur einen Datenschutzvorfall melde?
Du hast 72 Stunden Zeit, den Vorfall der zuständigen Datenschutzbehörde zu melden — z.B. dem Berliner Beauftragten für Datenschutz, wenn deine Agentur dort ansässig ist. Parallel musst du die betroffenen Personen informieren, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht. Fehlende Meldung ist bußgeldbewehrt.