Warum Familien und Schulen DSGVO-konforme Alternativen brauchen
Das Teilen von Kinderfotos ist ein sensibles Thema. Ob in der Familie oder in der Schule – Fotos von Kindern sind personenbezogene Daten, die besonderen Schutz verdienen. Viele beliebte Foto-Apps stammen aus den USA oder Asien und verarbeiten Daten außerhalb der EU. Das ist nicht nur ein theoretisches Problem: Seit dem Schrems-II-Urteil des EuGH ist die Übermittlung personenbezogener Daten in die USA nur unter strengen Voraussetzungen erlaubt.
Für Schulen und Kitas gelten besonders strenge Anforderungen. Als öffentliche Einrichtungen benötigen sie einen Auftragsverarbeitungsvertrag (AVV), müssen Einwilligungen dokumentieren und die Rechte der Eltern auf Widerruf gewährleisten. Die meisten Consumer-Apps erfüllen diese Anforderungen nicht.
Aber auch für Familien lohnt sich ein Blick auf den Datenschutz: Wer möchte schon, dass Kinderfotos für KI-Training, Werbezwecke oder Profiling genutzt werden?
Foto-Sharing-Plattformen im DSGVO-Vergleich
| App / Plattform | Serverstandort | DSGVO | Einwilligung | Zugriffskontrolle | AVV |
|---|---|---|---|---|---|
| FamilyAlbum (mitene) | Japan / AWS Global | Unzureichend | |||
| Google Photos | USA / Global | Problematisch | |||
| iCloud Geteilte Alben | USA / Global | Eingeschränkt | |||
| WhatsApp-Gruppen | USA | Nicht konform | |||
| Dropbox / OneDrive | USA / EU (optional) | Bedingt geeignet | |||
| KinderAlbum | Deutschland (Hetzner, Nürnberg) | Vollständig konform |
Die Apps im Detail
FamilyAlbum (mitene)
UnzureichendHerkunft: Japan (Mixi, Inc.) · Speicherort: Außerhalb EU
Beliebte Familien-Foto-App aus Japan. Daten verlassen die EU, kein AVV verfügbar, keine granulare Zugriffskontrolle. Für den privaten Familiengebrauch nutzbar, für Schulen und Kitas nicht geeignet.
- Datenverarbeitung außerhalb der EU (Japan/USA)
- Kein Auftragsverarbeitungsvertrag (AVV) verfügbar
- Keine Einwilligungsverwaltung pro Kind
- Keine rollenbasierte Zugriffskontrolle
- Nicht für schulischen Einsatz konzipiert
Google Photos
ProblematischHerkunft: USA (Alphabet Inc.) · Speicherort: USA
Umfangreiche Foto-Plattform mit KI-Funktionen. Datenverarbeitung in den USA, Gesichtserkennung, umfangreiches Tracking. AVV zwar verfügbar, aber Drittlandproblematik bleibt.
- Datenverarbeitung auf US-Servern
- Umfangreiches Nutzer-Tracking und Profiling
- Gesichtserkennung und KI-Analyse der Fotos
- Schrems-II-Problematik bei Drittlandübermittlung
- Keine schulspezifischen Datenschutzfunktionen
iCloud Geteilte Alben
EingeschränktHerkunft: USA (Apple Inc.) · Speicherort: USA / EU (teilweise)
Apple bietet besseren Datenschutz als viele US-Konkurrenten, aber geteilte Alben haben eingeschränkte Kontrollmöglichkeiten. Keine Einwilligungsverwaltung, keine granulare Zugriffskontrolle.
- Eingeschränkte Kontrolle über geteilte Inhalte
- Kein Einwilligungsmanagement
- Kein AVV für Privatnutzer
- Keine Audit-Protokollierung
- Nicht für institutionellen Einsatz gedacht
WhatsApp-Gruppen
Nicht konformHerkunft: USA (Meta Platforms) · Speicherort: USA
Häufig für informelles Foto-Sharing genutzt, aber aus Datenschutzsicht hochproblematisch. Metadatenerfassung, keine Zugriffskontrolle, unkontrollierte Weiterleitung.
- Umfangreiche Metadatenerfassung durch Meta
- Keine Kontrolle über Weiterleitung
- Kein Widerrufsmechanismus für gesendete Fotos
- Kein AVV, kein Einwilligungsmanagement
- Von Datenschutzbehörden für Schulen untersagt
Ausführlicher Artikel: WhatsApp für Schulfotos – Datenschutzprobleme und Alternativen
Dropbox / OneDrive
Bedingt geeignetHerkunft: USA (Dropbox Inc. / Microsoft) · Speicherort: USA / EU (je nach Tarif)
Cloud-Speicher mit Sharing-Funktionen. AVV verfügbar, EU-Rechenzentren möglich, aber keine spezialisierten Funktionen für Schulen oder Familien. Keine Einwilligungsverwaltung.
- Keine schulspezifischen Funktionen
- Kein Einwilligungsmanagement
- EU-Speicherort nur bei bestimmten Tarifen
- US-Konzern mit potentieller Datenherausgabe
- Nicht auf Kinderfotos oder Bildungseinrichtungen spezialisiert
KinderAlbum
Vollständig konformHerkunft: Deutschland · Speicherort: Deutschland
DSGVO-native Foto-Plattform speziell für Schulen und Kitas. Deutsche Server, integriertes Einwilligungsmanagement, rollenbasierte Zugriffskontrolle, Audit-Protokollierung.
- 100% DSGVO-konform, speziell für Bildungseinrichtungen
- Deutsche Server (Hetzner, Nürnberg)
- Integriertes Einwilligungsmanagement mit Widerruf
- Rollenbasierte Zugriffskontrolle (Lehrer, Eltern)
- Vollständige Audit-Protokollierung
- AVV selbstverständlich verfügbar
Warum deutsches Hosting entscheidend ist
Seit dem Schrems-II-Urteil des Europäischen Gerichtshofs (Juli 2020) ist das EU-US Privacy Shield ungültig. Die Übermittlung personenbezogener Daten in die USA ist seitdem nur noch unter strengen Voraussetzungen möglich – und selbst das 2023 eingeführte EU-US Data Privacy Framework steht in der Kritik und könnte erneut gekippt werden.
Serverstandort Deutschland
Deutsche Server unterliegen dem BDSG und der DSGVO. Keine Drittlandübermittlung, kein Risiko durch ändernde Abkommen. Die Daten bleiben unter deutschem Recht.
Kein Zugriff durch US-Behörden
US-Gesetze wie der CLOUD Act und FISA 702 erlauben US-Behörden Zugriff auf Daten bei US-Unternehmen – auch auf EU-Servern. Deutsche Anbieter ohne US-Niederlassung sind davon nicht betroffen.
Rechtssicherheit
Mit einem deutschen Anbieter und deutschem Hosting ist die Rechtsgrundlage eindeutig. Kein Risiko durch sich ändernde internationale Abkommen oder neue EuGH-Urteile zur Drittlandübermittlung.
Transparenz für Eltern
Eltern können darauf vertrauen, dass die Fotos ihrer Kinder in Deutschland gespeichert werden. Das schafft Vertrauen und vereinfacht die Einholung von Einwilligungen.
Mehr zum Thema deutsches Hosting und Datenschutz erfahren Sie in unserem Leitfaden zu Datenschutz und Hosting in Deutschland.
KinderAlbum: Die DSGVO-native Alternative
Im Gegensatz zu den oben genannten Plattformen wurde KinderAlbum von Anfang an mit Datenschutz als Kernprinzip entwickelt – nicht als nachträgliche Ergänzung. Jede Funktion ist auf DSGVO-Konformität ausgelegt.
Was KinderAlbum auszeichnet:
Deutsche Server (Hetzner)
Daten bleiben in Deutschland, keine Drittlandübermittlung, kein CLOUD Act
Einwilligungsmanagement
Digitale Einwilligungen pro Kind, zeitversioniert, jederzeit widerrufbar
Rollenbasierte Zugriffskontrolle
Eltern sehen nur Fotos der eigenen Kinder – automatisch und DSGVO-konform
Audit-Protokollierung
Lückenlose Nachverfolgung aller Zugriffe für die DSGVO-Rechenschaftspflicht
Erfahren Sie mehr über DSGVO-konforme Schulfotos oder informieren Sie sich über die Zusammenarbeit mit Schulfotografen.
Häufig gestellte Fragen
Q:Ist FamilyAlbum (mitene) DSGVO-konform?
A:FamilyAlbum (mitene) ist ein Produkt des japanischen Unternehmens Mixi, Inc. Obwohl Japan einen Angemessenheitsbeschluss der EU-Kommission besitzt, fehlen bei FamilyAlbum wesentliche DSGVO-Anforderungen: Es gibt keinen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, kein granulares Einwilligungsmanagement pro Kind und keine transparente Auskunft über die genaue Datenverarbeitung. Für den privaten Familiengebrauch ist die App nutzbar, für Schulen und Kitas in Deutschland ist sie nicht geeignet.
Q:Warum reicht Google Photos nicht für Schulfotos?
A:Google Photos verarbeitet Daten auf Servern in den USA und setzt umfangreiches Tracking inklusive Gesichtserkennung ein. Zwar bietet Google einen AVV an, doch die Drittlandübermittlung in die USA bleibt nach dem Schrems-II-Urteil des EuGH problematisch. Zudem fehlen schulspezifische Funktionen wie ein Einwilligungsmanagement pro Kind, rollenbasierte Zugriffskontrolle und Audit-Protokollierung. Für Schulen und Kitas ist Google Photos daher keine DSGVO-konforme Lösung.
Q:Was bedeutet das Schrems-II-Urteil für Foto-Apps?
A:Das Schrems-II-Urteil des EuGH (2020) hat das EU-US Privacy Shield für ungültig erklärt. Seitdem ist die Übermittlung personenbezogener Daten in die USA nur unter strengen Voraussetzungen erlaubt. Foto-Apps mit US-Servern (Google Photos, iCloud, Dropbox, OneDrive) stehen daher unter erhöhtem Rechtfertigungsdruck. Obwohl das EU-US Data Privacy Framework 2023 eingeführt wurde, bleibt die Rechtslage unsicher.
Q:Was ist ein AVV und warum brauche ich einen?
A:Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO regelt die Rechte und Pflichten zwischen Ihnen und dem App-Anbieter. Er stellt sicher, dass der Anbieter Ihre Daten nur nach Ihren Weisungen verarbeitet. Ohne AVV ist die Nutzung einer Foto-App mit personenbezogenen Daten (besonders Kinderfotos) ein DSGVO-Verstoß.
Q:Kann ich als Privatperson jede Foto-App nutzen?
A:Für rein private und familiäre Zwecke greift die sogenannte Haushaltsausnahme (Art. 2 Abs. 2 lit. c DSGVO). Das bedeutet: Wenn Sie Familienfotos nur im engsten Familienkreis teilen, gelten die DSGVO-Anforderungen nicht in vollem Umfang. Sobald jedoch Fotos anderer Kinder (z. B. von Klassenkameraden) geteilt werden oder die Nutzung im schulischen Kontext stattfindet, greifen die vollen DSGVO-Pflichten.
Q:Worauf sollte ich bei der Wahl einer Foto-Sharing-App achten?
A:Achten Sie auf: 1) Serverstandort in der EU, idealerweise Deutschland. 2) Verfügbarkeit eines AVV. 3) Einwilligungsmanagement mit Widerrufsmöglichkeit. 4) Rollenbasierte Zugriffskontrolle. 5) Transparente Datenschutzerklärung. 6) Keine Weitergabe an Dritte oder Nutzung für Werbezwecke. Für Schulen und Kitas sollte die App speziell auf Bildungseinrichtungen zugeschnitten sein.
Jetzt auf die DSGVO-konforme Alternative umsteigen
Testen Sie KinderAlbum 30 Tage kostenlos. Deutsche Server, integriertes Einwilligungsmanagement und volle DSGVO-Konformität – ohne Kompromisse.