Eine gewerbliche Fotobox in Ihrer Location ist ein Datenerfassungsgerät mit hohem Durchsatz. Jeder Gast, der sie durchläuft, erzeugt ein Bild, oft eine E-Mail-Adresse, manchmal eine Telefonnummer und, wenn KI-Transformationen oder Gesichtsfilter im Spiel sind, ein biometrisches Identifikationsmerkmal. Die DSGVO, CCPA/CPRA und ein enger werdender Flickenteppich aus US-Bundesstaatengesetzen greifen allesamt, und in der Haftung steht meist die Location, egal ob sie die Box selbst betreibt oder einen Anbieter beauftragt.
Dieser Leitfaden geht den tatsächlichen Datenfluss bei einer Aktivierung vor Ort durch, benennt, wo die jeweilige Aufsichtsbehörde ansetzt, und gibt dem Einkauf ein Audit mit 11 Fragen an die Hand, das vor der Unterzeichnung eines Anbietervertrags zum Einsatz kommt. Wer nur überfliegt, springt direkt zum Audit und zur Schadensrechnung. Betreiber, die verstehen wollen, warum es diese Fragen gibt, lesen zuerst die rechtlichen Einordnungen.
Was an Ihrer Box tatsächlich erfasst wird (und warum jeder Bestandteil anders reguliert ist)
Eine typische gewerbliche Fotobox erfasst in einer einzigen Gäste-Session sechs verschiedene Datenkategorien. Die rechtliche Einordnung ändert sich bei jeder.

- Rohe Gesichtsbilder. Personenbezogene Daten nach Artikel 4 DSGVO. Personenbezogene Informationen nach CCPA/CPRA. Für sich genommen gilt ein Foto nach EU-Recht nicht als „biometrische Daten“. Erwägungsgrund 51 der DSGVO ist eindeutig: Lichtbilder sind nur dann biometrische Daten, „wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen“. Bloßes Speichern von JPEGs legt den Schalter nicht um.
- Bilder, die durch Gesichtsfilter oder KI-Transformationen laufen. Potenziell biometrische Daten einer besonderen Kategorie nach Artikel 9 DSGVO, aber nur, wenn die Verarbeitung ein biometrisches Template zum Zweck der eindeutigen Identifizierung der Person extrahiert. Ein Stilfilter, der Pixel verzerrt, fällt nicht darunter. Eine Gesichtserkennungs- oder Gesichtsabgleich-Pipeline schon.
- E-Mail-Adresse oder Telefonnummer für die Zustellung. Personenbezogene Daten. Löst nachgelagert die Frage der Marketing-Einwilligung aus.
- Lead-Daten aus individuellen Feldern (Unternehmen, Position, Ernährungshinweise). Personenbezogene Daten. Manche Felder, besonders gesundheitsnahe, können sensibel sein.
- Engagement-Kennzahlen (Session-Zahlen, Verweildauer, Filter-Beliebtheit). Nur dann personenbezogene Daten, wenn sie mit einem Identifikator verknüpft sind. Ordentlich anonymisierte Aggregate fallen nach Erwägungsgrund 26 nicht in den Anwendungsbereich der DSGVO.
- WLAN- und Gerätetelemetrie. Personenbezogene Daten, sobald IP-Adresse oder Geräte-ID gespeichert werden.
Die Einordnung ist entscheidend, weil sie die Einwilligungsanforderung vorgibt. Eine E-Mail für die Fotozustellung zu erfassen und auf demselben Foto einen KI-Face-Swap laufen zu lassen, sind zwei verschiedene Verarbeitungsvorgänge nach Artikel 4 DSGVO, mit zwei verschiedenen Fragen zur Rechtsgrundlage, und sie brauchen zwei verschiedene Opt-ins.
Der vierstufige Datenfluss und wo jede Stufe reguliert ist
Behandeln Sie eine Gäste-Session als vierstufigen Zustandsautomaten. Jede Stufe ist ein eigener Verarbeitungsvorgang.
- Erfassung. Die Kamera löst aus, das Bild landet im Speicher der Box. Frage zur Rechtsgrundlage: Genügen Beschilderung und ein Hinweisbildschirm, oder brauchen Sie eine aktive Einwilligung? Bei einer Drucken-und-Gehen-Interaktion ohne nachgelagerte Speicherung reicht ein klarer Hinweis in der Regel aus. In dem Moment, in dem das Bild das lokale Gerät für irgendeinen anderen Zweck verlässt, brauchen Sie eine dokumentierte Rechtsgrundlage.
- Zustellung. Der Gast gibt eine E-Mail-Adresse oder Telefonnummer ein, um das Bild zu erhalten. Hier greift tatsächlich die „Erfüllung eines Vertrags“ nach Artikel 6 Abs. 1 lit. b DSGVO: Der Gast hat um die Zustellung gebeten, und Sie brauchen die Adresse, um zuzustellen. Geben Sie das nicht als Marketing-Einwilligung aus.
- Speicherung und Galerieanzeige. Das Bild liegt in der Cloud des Anbieters, mal per URL zugänglich, mal in eine öffentliche Galerie eingebettet. Die Speicherbegrenzung nach Artikel 5 Abs. 1 lit. e DSGVO gilt. Ebenso der Standard zur Sicherheit der Verarbeitung nach Artikel 32, an dem es beim Vibecast-Vorfall weiter unten scheiterte.
- Nachgelagerte Nutzung. Die E-Mail wandert in ein CRM. Das Bild landet in einem Marken-Recap-Reel. Der Anbieter verwendet Fotos für Case Studies weiter. Jede nachgelagerte Nutzung braucht eine eigene Rechtsgrundlage. Marketing verlangt ein eigenes, aktives, entkoppeltes Opt-in. Die Weiterverwendung durch den Anbieter für Case Studies erfordert eine ausdrückliche Einwilligung und die Offenlegung des Anbieters als Verantwortlichen für diesen Zweck.
Der häufigste Fehler auf Location-Seite ist, diese vier Stufen als ein einziges Einwilligungsereignis zu behandeln. Die meisten „Ich stimme zu“-Kästchen auf Box-Bildschirmen decken Stufe 2 gut ab und den Rest schlecht. Das britische Information Commissioner’s Office ist hier deutlich: Die Einwilligung muss granular sein, mit getrennten Opt-ins für getrennte Zwecke.
Einwilligung zuerst: Wie die Bildschirme wirklich aussehen sollten
Ein Einwilligungs-Flow, der eine Prüfung durch die Aufsichtsbehörde übersteht, hat drei Bildschirme, in dieser Reihenfolge.
Bildschirm 1, vor der Erfassung
Hinweis in klarer Sprache. Was erfasst wird, wer dafür verantwortlich ist, was als Nächstes damit passiert. Ein Link zur vollständigen Datenschutzerklärung. Noch keine Kästchen, aber ein sichtbarer Weg zum Abbrechen. So erfüllen Sie Ihre Informationspflicht nach Artikel 13 in der Benutzeroberfläche.
Bildschirm 2, vor der Zustellung
Eingabe von E-Mail-Adresse oder Telefonnummer. Darunter ein einzelnes, nicht vorangekreuztes Kästchen für Marketing-Follow-ups, mit Text, der die Marke oder Location nennt, die E-Mails verschickt, sowie die Art der Nachricht, die die Person erhält. Das Marketing-Opt-in ist vom Zustellfeld getrennt. Der Gast kann das Zustellfeld absenden und das Marketing-Kästchen leer lassen und erhält sein Foto trotzdem. Das ist das Kriterium „freiwillig“ in gelebter Form. Das ICO stellt klar, dass vorangekreuzte Kästchen, Schweigen und Untätigkeit keine Einwilligung darstellen (Erwägungsgrund 32).
Bildschirm 3, nach der Zustellung
Bestätigung, was gesendet wurde, was gespeichert wurde, die Aufbewahrungsfrist in klarer Sprache und ein Ein-Tipp-Link oder QR-Code, um die Löschung zu verlangen. Auf diesem Bildschirm erfüllen Sie auch die Anforderung, dass der Widerruf „so einfach wie die Erteilung“ sein muss, auf die das ICO hinweist.
Ein Simple Booth HALO-Einsatz sollte anhand desselben Drei-Bildschirm-Flows geprüft werden: Fotozustellung, optionales Marketing und jede Weiterverwendung durch Location oder Marke müssen getrennt bleiben, damit die Einwilligung granular bleibt.

Anti-Muster, die Aufmerksamkeit der Aufsicht auf sich ziehen: vorangekreuzte Kästchen, gebündelter Text nach dem Muster „Ich akzeptiere die AGB und das Marketing“, eine im langen Scrolltext der Nutzungsbedingungen vergrabene Einwilligung und jeder Flow, der das Foto zurückhält, bis das Marketing-Kästchen angekreuzt ist. Letzterer fällt per Definition durch den Test der Freiwilligkeit, weil die Einwilligung der Preis für die Leistung ist.
Ein hilfreiches Modell liefert hier Julian Archer von Forrester aus dem Jahr 2018, der Event-Daten in vier Kategorien einteilte: Einwilligung erhalten, Einwilligung zugesagt, Interesse gezeigt und kein Kontakt. Nur die erste Kategorie, in der die teilnehmende Person eine spezifische Opt-in-Erlaubnis für eine definierte Nutzung erteilt hat, darf nach der DSGVO beworben werden. „Interesse gezeigt“ (der Gast trat an die Box, posierte und ging ohne abgeschlossenes Opt-in wieder) galt vor 2018 als stillschweigende Einwilligung. Das gilt nicht mehr.
Wann ein Foto zu biometrischen Daten „besonderer Kategorie“ wird
Das ist die Schwelle, die die meiste allgemeine DSGVO-Berichterstattung falsch ansetzt. Die Grenze verläuft schärfer als „Gesichter sind personenbezogene Daten“.
Nach Artikel 4 Nr. 14 DSGVO sind biometrische Daten personenbezogene Daten, die „mit speziellen technischen Verfahren gewonnen werden und die sich auf die physischen, physiologischen oder verhaltenstypischen Merkmale einer natürlichen Person beziehen und die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen“. Der maßgebliche Satzteil lautet die eindeutige Identifizierung ermöglichen oder bestätigen. Ein Foto allein erfüllt diesen Test nicht. Ein Foto, das durch Software läuft, die ein Template der Gesichtsgeometrie zum Abgleich extrahiert, schon.
Artikel 9 Abs. 1 DSGVO untersagt dann die Verarbeitung biometrischer Daten zum Zweck der eindeutigen Identifizierung einer Person, es sei denn, eine der Ausnahmen nach Artikel 9 Abs. 2 greift. Für eine gewerbliche Location ist die relevante Ausnahme Abs. 2 lit. a: die ausdrückliche, gesondert dokumentierte Einwilligung speziell für die biometrische Verarbeitung. Eine allgemeine Foto-Einwilligung deckt das nicht ab.
Drei praktische Konsequenzen für Fotobox-Betreiber
Drei praktische Konsequenzen für Fotobox-Betreiber:
- Eine Box, die ein Foto erfasst und druckt, ohne weitere Verarbeitung, liegt in der Regel außerhalb von Artikel 9.
- Eine Box mit Gesichtsfiltern, die Pixel verzerren oder umgestalten (keine Template-Extraktion, kein Abgleich), liegt in der Regel außerhalb von Artikel 9, unterliegt aber weiterhin Artikel 6.
- Eine Box mit Face-Swap, „Alter raten“, Wiedererkennung von Stammkunden oder jeder anderen Funktion, die ein Gesichtstemplate zur Identifizierung extrahiert, fällt unter Artikel 9 und braucht eine ausdrückliche biometrische Einwilligung, dazu eine Datenschutz-Folgenabschätzung und eine Prüfung anhand des EU AI Act.
GDPR Local verweist auf die Forschungsliteratur zur Gesichtserkennung für eine brauchbare technische Untergrenze: Rund 40 Pixel zwischen den Augen sind die Schwelle, unterhalb derer zuverlässige Identifizierung zusammenbricht. Nahezu jede gewerbliche Box liefert Ergebnisse deutlich über dieser Auflösung, also geht es nie um die Auflösung. Es geht immer darum, ob die nachgelagerte Software eine Template-Extraktion vornimmt.
Aufbewahrung: Ein konkreter Plan, der das Risiko wirklich senkt
„Legen Sie eine Aufbewahrungsfrist fest“ ist der Standardrat und die Standardausrede. Hier ist ein belastbarer Plan, mit der Rechtsgrundlage für jedes Intervall.

| Datentyp | Aufbewahrung | Rechtsgrundlage |
|---|---|---|
| Quellbilder, keine Marketing-Einwilligung | 24–48 Stunden nach Ende der Aktivierung | Speicherbegrenzung (Artikel 5 Abs. 1 lit. e); entspricht dem Vibecast-Standard nach dem Vorfall |
| Zugestellte Galerie (Link, den Gäste erhielten) | 30 Tage, dann endgültige Löschung aus Primärspeicher und Backups | Speicherbegrenzung; angemessenes Zeitfenster für Zustellung und erneutes Teilen |
| Kontaktliste mit Marketing-Einwilligung | Gemäß Einwilligung, mit erneuter Einwilligung oder Präferenzabfrage nach 24 Monaten | Artikel 5 Abs. 1 lit. e und Widerrufsrecht nach Artikel 7 Abs. 3 |
| Engagement-Analysen, mit einem Identifikator verknüpft | 30 Tage, dann Identifikator entfernen und nur anonymisierte Aggregate behalten | Erwägungsgrund 26 (anonymisierte Daten fallen nicht in den Anwendungsbereich) |
| Biometrische Ausgaben (Templates aus Artikel-9-Verarbeitung) | Löschung am selben Tag, sofern keine ausdrückliche, gesonderte Artikel-9-Einwilligung für längere Aufbewahrung vorliegt | Artikel 9 + Artikel 5 Abs. 1 lit. e |
Zwei betriebliche Hinweise, die mehr zählen als die Zahlen selbst.
Die Löschung muss automatisiert sein
Die Löschung muss automatisiert sein. Ein geplanter Job, der Objekte aus dem Primärspeicher, dem CDN und den Backup-Snapshots entfernt. Manuelle Löschung ist keine Compliance, denn Auskunftsersuchen betroffener Personen nach Artikel 12 Abs. 3 unterliegen einer Antwortfrist von einem Monat, und Löschanträge nach Artikel 17 unterliegen derselben Frist. Jeder Prozess, der davon abhängt, dass sich eine Person nach jedem Event ans Aufräumen erinnert, verpasst dieses Zeitfenster.
Die Aufbewahrungsfrist muss Backups einschließen
Die Aufbewahrungsfrist muss Backups einschließen. Ein Foto, das aus der Produktionsdatenbank gelöscht wurde, aber noch im Snapshot der letzten Woche liegt, ist nicht gelöscht. Die Anbieterprüfung muss die Backup-Rotation und die tatsächliche Zeit bis zur vollständigen Löschung bei einem Löschantrag umfassen.
Verantwortlicher vs. Auftragsverarbeiter: Wer bei Ihrer Aktivierung tatsächlich haftet
Das ist die Frage, um die der Rest der Suchergebnisse einen Bogen macht. Bei einer Aktivierung vor Ort sind meist drei Parteien beteiligt, und die Zuordnung der Verantwortlichkeit entscheidet, wen die Aufsichtsbehörde im Bescheid benennt.
Die drei Parteien
Die drei Parteien:
- Die Location (ein Hotel, ein Einzelhandelsgeschäft, ein Freizeitzentrum für Familien), die die Aktivierung ausrichtet
- Die aktivierende Marke (ein Sponsor, der einen Pop-up in der Location betreibt)
- Der Fotobox-Anbieter (Hardware, Software, Cloud-Plattform)
Die üblichen Zuordnungen nach Artikel 4 Nr. 7 DSGVO, der den Verantwortlichen als denjenigen definiert, der über „die Zwecke und Mittel“ der Verarbeitung entscheidet:
- Von der Location betriebene Box, kein externer Sponsor. Die Location ist Verantwortlicher. Der Fotobox-Anbieter ist Auftragsverarbeiter. Die Location muss mit dem Anbieter einen schriftlichen Auftragsverarbeitungsvertrag nach Artikel 28 haben.
- Markengesponserte Aktivierung in einer fremden Location. Die Marke ist in der Regel Verantwortlicher (sie legt den Marketingzweck fest). Location und Anbieter sind Auftragsverarbeiter. Beide Verträge nach Artikel 28 sind erforderlich, und die Einwilligungsbildschirme müssen die Marke als Verantwortlichen benennen.
- Der Anbieter nutzt Gästedaten für eigene Zwecke (Modelltraining, kundenübergreifende Analysen, Case Studies). Der Anbieter wird für diesen nachgelagerten Zweck gemeinsam Verantwortlicher (Artikel 26) oder eigenständig Verantwortlicher. Der Einwilligungsbildschirm muss das offenlegen und den Anbieter benennen.
Die Folge ist konkret
Die Folge ist konkret. Wenn ein Anbieter eine Galerie leakt, benennt die Aufsichtsbehörde den Verantwortlichen im Bescheid. Der Auftragsverarbeitungsvertrag nach Artikel 28 verschiebt diese Haftung nicht; er gibt dem Verantwortlichen einen vertraglichen Regressanspruch gegen den Anbieter für Schadloshaltung und Aufräumkosten. Ohne einen solchen Vertrag trägt der Verantwortliche das Bußgeld und die Behebung ohne Rückgriff.
Der Vibecast/Hama-Film-Vorfall im Dezember 2025 ist die sauberste jüngere Illustration. Ein Sicherheitsforscher, Zeacer, stellte fest, dass die Foto-URLs der Plattform fortlaufend und erratbar waren, ohne Authentifizierung und ohne Rate Limiting. Mehr als 1.000 Eventfotos ließen sich von jedem abrufen, der eine Zahl in einer URL hochzählte. TechCrunch berichtete am 12. Dezember 2025 über die Offenlegung. Vibecast kürzte seine Aufbewahrung nach dem Vorfall von zwei bis drei Wochen auf 24 Stunden. Die Folgeberichterstattung von Malwarebytes brachte die Lehre für die Location-Seite direkt auf den Punkt: Locations, die einen Fotobox-Dienst beauftragen, sollten den Betreiber fragen, wie und wie lange Fotos gespeichert werden. Das ist eine Pflicht des Verantwortlichen. Sie gehört in den Einkauf, nicht in die Nachbetrachtung nach dem Vorfall.
Anbieter-Audit: 11 Fragen, die Sie vor der Unterschrift stellen
Nehmen Sie diese Liste mit ins Einkaufsgespräch. Jede Frage steht für ein konkretes Versagensmuster, das Betreiber in den letzten 24 Monaten Geld gekostet hat.
- Wo werden Quellbilder gespeichert, und sind Galerie-URLs erratbar oder authentifiziert? (Daran scheiterte Vibecast.)
- Wie lautet der schriftliche Aufbewahrungsplan für jeden Datentyp, und wie wird die automatisierte Löschung überprüft?
- Welche Verschlüsselung kommt bei der Übertragung (TLS 1.3 oder höher) und im Ruhezustand (AES-256 oder gleichwertig) zum Einsatz?
- Sind die Download-Endpunkte der Galerie durch Rate Limiting geschützt? (Auch daran scheiterte Vibecast.)
- Gibt es einen schriftlichen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO, und enthält er Standardvertragsklauseln für jede Datenübermittlung außerhalb der EU bzw. des UK?
- Hat der Anbieter in den letzten 24 Monaten SOC 2 Type II oder ISO/IEC 27001 abgeschlossen?
- Wie lautet das SLA für die Meldung von Datenschutzverletzungen vom Anbieter an den Verantwortlichen? Artikel 33 gibt dem Verantwortlichen 72 Stunden Zeit, die Aufsichtsbehörde zu benachrichtigen, und die Frist des Auftragsverarbeiters muss darin Platz finden.
- Werden Gästedaten jemals zum Training von KI-Modellen verwendet, und wenn ja, auf welcher Einwilligungsgrundlage? (Die Standardantwort sollte Nein lauten.)
- Wie werden Löschanträge nach Artikel 17 bearbeitet, wie lautet das SLA, und erfasst die Löschung auch Backups?
- Unterstützt der Einwilligungsbildschirm granulare, entkoppelte Opt-ins mit dem Namen des Verantwortlichen und dem konkreten Zweck für jedes Opt-in?
- Ist die Altersabfrage konfigurierbar, und wohin werden Daten von Gästen unter 13 Jahren geleitet (oder unter 16 in Rechtsordnungen, die die höhere Schwelle übernehmen)?
Kann ein Anbieter die Fragen 1, 5, 7 und 9 nicht schriftlich beantworten, lassen Sie die Finger davon. Das sind die vier, die in Durchsetzungsentscheidungen der Datenschutzbehörden zuerst auftauchen.
CCPA-Parallelen und der US-Flickenteppich der Bundesstaaten
Das US-Bild lässt sich leichter zusammenfassen, als es die meiste Fachberichterstattung für Betreiber nahelegt, sobald man es in zwei Ebenen trennt: bundesstaatliche Verbraucherdatenschutzgesetze und bundesstaatliche Spezialgesetze zu Biometrie.
Ebene Verbraucherdatenschutz
Kaliforniens CCPA und CPRA sehen nach Cal. Civ. Code §1798.155 2.500 $ pro Verstoß (unbeabsichtigt) und 7.500 $ pro Verstoß (vorsätzlich) vor, durchgesetzt von der California Privacy Protection Agency. Zudem gibt es nach §1798.150 ein privates Klagerecht bei Datenschutzverletzungen mit 100 bis 750 $ pro Verbraucher und Vorfall. Laut der CCPA-Seite des kalifornischen Attorney General sind die Kernpflichten Information, Opt-out beim Verkauf sowie Auskunfts- und Löschrechte. Die Schwelle für den Anwendungsbereich der CCPA ist für Location-Betreiber wichtig: Ein einzelnes Restaurant erfüllt selten die Tests von 25 Mio. $ Umsatz, 100.000 Verbrauchern oder 50 % des Umsatzes aus Daten. Seine Fotobox-Plattform fast immer. Für die meisten unabhängigen Locations ist die Plattform das regulierte Unternehmen.
Der Datenschutz-Tracker der IAPP für die Bundesstaaten zählt zur Mitte 2025 19 Bundesstaaten mit umfassenden Verbraucherdatenschutzgesetzen, seitdem sind weitere hinzugekommen. Die meisten folgen der Vorlage von CCPA/CPRA mit Abweichungen bei Opt-out-Umfang und Rechten.
Ebene Biometrie
Das ist die gefährlichere für Locations, die KI-Funktionen der Box nutzen. Zwei Gesetze stehen im Vordergrund.
Das BIPA von Illinois (740 ILCS 14) verlangt eine schriftliche Einwilligung, bevor irgendein biometrisches Identifikationsmerkmal erhoben wird. Das Gesetz definiert „biometrisches Identifikationsmerkmal“ so, dass es den „Scan der Hand- oder Gesichtsgeometrie“ umfasst, und schließt „Fotografien“ ausdrücklich aus. Eine Box, die ein JPEG erfasst und druckt, liegt also außerhalb des BIPA. Eine Box, die auf demselben Bild eine Gesichtsgeometrie-Erkennung ausführt (für Filter, Lächelerkennung oder Wiedererkennung bei erneutem Besuch), liegt innerhalb. Die Strafen betragen 1.000 $ pro fahrlässigem Verstoß und 5.000 $ pro vorsätzlichem oder leichtfertigem Verstoß, mit privatem Klagerecht und einer fünfjährigen Verjährungsfrist. Gefährlich wird das BIPA durch die Sammelklagen-Rechnung: Meta verglich sich in einer Illinois-Sammelklage wegen Gesichtsmarkierung auf 650 Mio. $, Google verglich sich in einem Google-Photos-Fall auf 100 Mio. $.
Das CUBI von Texas (Bus. & Com. Code §503.001) deckt dieselben Kategorien biometrischer Identifikationsmerkmale mit derselben Foto-Ausnahme ab. Die Strafe beträgt bis zu 25.000 $ pro Verstoß, doch die Durchsetzung liegt allein beim Attorney General von Texas. Es gibt kein privates Klagerecht, also ist das Risiko einer Sammelklage weit geringer als in Illinois. Werfen Sie beide nicht in einen Topf: Das betriebliche Risikoprofil ist ein anderes.
Die Vereinfachung, die Betreiber in der Praxis nutzen können: Bauen Sie die Einwilligungs-UX nach DSGVO-Standard (ausdrücklich, granular, schriftlich, mit gesonderter biometrischer Einwilligung, wo einschlägig), und Sie erfüllen oder übertreffen jedes derzeit geltende umfassende US-Bundesstaatengesetz, einschließlich der biometrischen Gesetze im BIPA-Stil. Die US-Landkarte wird damit zu einer Einsatzentscheidung (Wo führe ich die Aktivierung durch?) statt zu einer Compliance-Entscheidung (Muss ich die Bildschirme neu gestalten?).
Die Schadensrechnung: Was ein Leak eine Location tatsächlich kostet
Ein Szenario zum Einsetzen eigener Zahlen für eine Location mit vier Aktivierungen pro Jahr.
- 4 Aktivierungen × 800 Gäste = 3.200 Gäste pro Jahr
- 40 % schließen das E-Mail-Opt-in ab = 1.280 Kontakte mit Marketing-Einwilligung pro Jahr
- Bei durchschnittlich einem Bild pro Gast rund 3.200 gespeicherte Bilder pro Jahr
- Eine Datenschutzverletzung, die die Galerie offenlegt (das Vibecast-Muster), löst eine Meldung nach Artikel 33 innerhalb von 72 Stunden aus und eine Benachrichtigung der betroffenen Personen nach Artikel 34, wenn das Risiko für ihre Rechte und Freiheiten hoch ist
Das Risiko verteilt sich auf drei Ebenen.
Bußgelder der Aufsichtsbehörde
Das DSGVO-Maximum liegt bei 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist (Artikel 83 Abs. 5). Speziell für Verstöße gegen die Sicherheit der Verarbeitung nach Artikel 32 liegt die Obergrenze bei 10 Mio. € oder 2 % (Artikel 83 Abs. 4). Die meisten Durchsetzungsfälle auf Location-Ebene landen weit unter der Obergrenze. Der Reputationsschaden, in einer Entscheidung der Aufsichtsbehörde benannt zu werden, kostet meist mehr als das Bußgeld selbst.
Private Klagen
In Illinois liegt eine Sammelklage über alle 3.200 Gäste bei 1.000 bis 5.000 $ pro Klassenmitglied zwischen 3,2 Mio. $ und 16 Mio. $ vor Anwaltskosten, sofern die Box eine Gesichtsgeometrie-Extraktion durchführt (eine vom BIPA erfasste Verarbeitung, nicht die Fotos selbst). Selbst ein reduzierter Vergleich liegt im sechs- bis siebenstelligen Bereich. In Kalifornien setzt die private Klage bei Datenschutzverletzungen nach §1798.150 mit 100 bis 750 $ pro Verbraucher eine Verletzung mit 1.280 Datensätzen auf 128.000 bis 960.000 $ an.
Betriebskosten
Wenn die Verletzung 100 manuelle Löschanträge zu je 30 Minuten auslöst, sind das 50 Entwicklerstunden allein für die Bearbeitung der Anträge, dazu das Risiko, für einzelne die Monatsfrist zur Antwort nach Artikel 12 Abs. 3 zu verpassen. Jede versäumte Antwort ist ein eigenes Durchsetzungsrisiko.
Gegen diese Zahlen gerechnet, sind automatisierte Löschung, authentifizierte Galerie-URLs, durch Rate Limiting geschützte Endpunkte und ein Anbieter-Audit, das vor der Vertragsunterschrift durch den Einkauf erfolgt, die günstigsten Posten im Budget.
Der Realitätscheck 2026: EU AI Act plus Gesetze der Bundesstaaten
Zwei bald anstehende Änderungen sind für alle wichtig, die jetzt ein Fotobox-Programm konzipieren.
EU AI Act, Verordnung (EU) 2024/1689. Die Verbote nach Artikel 5 traten am 2. Februar 2025 in Kraft. Die Transparenzpflichten und die Vorschriften für Hochrisikosysteme gelten ab dem 2. August 2026, die vollständigen Hochrisikopflichten ab dem 2. August 2027. Für verbotene Praktiken drohen Bußgelder von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.
Was die Verordnung für eine gewerbliche Box abdeckt und was nicht:
- Die Verbote vom Februar 2025 untersagen die biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden sowie den Aufbau von Gesichtserkennungsdatenbanken durch das Scrapen des Internets oder von Videoüberwachung. Eine einwilligungsbasierte Box, die keine session-übergreifende Gesichtsdatenbank aufbaut, fällt nicht in den Anwendungsbereich der Verbote.
- Die Transparenzvorschriften vom August 2026 verlangen, dass KI-Systeme, die mit Menschen interagieren, offenlegen, dass sie KI sind. Systeme zur Emotionserkennung und zur biometrischen Kategorisierung unterliegen zusätzlichen Einschränkungen, wobei manche Anwendungen ganz verboten sind (namentlich Emotionserkennung im Arbeits- und Bildungskontext) und andere als hochriskant eingestuft werden. Eine Box-Funktion, die aus Gesichtsbildern auf Stimmung, Alter oder andere Merkmale des Gastes schließt, kann in die Hochrisikokategorie fallen, was Pflichten zur Konformitätsbewertung, Registrierung und laufenden Überwachung auslöst.
Ausweitung der bundesstaatlichen Biometriegesetze
Die 19 umfassenden Bundesstaatengesetze im IAPP-Tracker werden stetig mehr, und biometrie-spezifische Bestimmungen (nach dem BIPA-Vorbild oder in schwächeren Varianten) tauchen laufend in neuen Gesetzentwürfen der Bundesstaaten auf. Der Trend geht zu mehr Gesetzen, nicht zu weniger, und der Flickenteppich belohnt Einwilligungsdesigns, die an der strengsten Rechtsordnung ausgerichtet sind statt am Durchschnitt.
Das sichere Design für gewerbliche Boxen ab 2026: KI nur für künstlerische Transformation, keine Extraktion biometrischer Templates, eine ausdrückliche Zeile zur KI-Offenlegung im Einwilligungsbildschirm und Optionen für regionale Datenhaltung bei jedem grenzüberschreitenden Einsatz. Diese Haltung besteht vor jeder Aufsichtsbehörde, die derzeit Regeln schreibt.
Was Sie mitnehmen sollten
Drei Dinge, in der Reihenfolge ihrer Wichtigkeit:

- Behandeln Sie die Box als Gerät zur Erfassung biometrischer Daten, nicht als Kamera. Die Einwilligungs-UX muss davon ausgehen, dass irgendeine nachgelagerte Funktion, heute oder bei der nächsten Vertragsverlängerung, ein Template extrahiert.
- Sorgen Sie dafür, dass der Einwilligungsbildschirm granular und entkoppelt ist und den tatsächlichen Verantwortlichen benennt. Ein einzelnes „Ich stimme zu“-Kästchen für Zustellung und Marketing scheitert schon auf den ersten Blick.
- Prüfen Sie den Anbieter anhand des Audits mit 11 Fragen, bevor der Einkauf unterschreibt. Die vier nicht verhandelbaren Antworten sind Galerie-Authentifizierung, der Auftragsverarbeitungsvertrag nach Artikel 28, das SLA für die Meldung von Datenschutzverletzungen und der Ablauf für Löschanträge einschließlich Backups.
Die Compliance-Arbeit macht die Box nicht zur schlechteren Aktivierung. Ein Gast, der einen klaren Hinweis, ein einzelnes, entkoppeltes Marketing-Kästchen und einen Bestätigungsbildschirm mit Ein-Tipp-Löschlink sieht, hat ein besseres Erlebnis als der Gast, der auf einer Wand aus Juristendeutsch „Ich stimme zu“ getippt hat. Beides passt zusammen.
Quellen
- TechCrunch (2025). “Flaw in photo booth app Vibecast exposed more than 1,000 photos from events, security researcher finds.” https://techcrunch.com/2025/12/12/photo-booth-app-vibecast-exposed-more-than-1000-photos-from-events-security-researcher-finds/
- Malwarebytes Labs (2025). “Photo booth app exposes more than 1,000 photos from events.” https://www.malwarebytes.com/blog/news/2025/12/photo-booth-app-exposes-more-than-1000-photos-from-events
- Forrester / Julian Archer (2018). “GDPR: What marketers need to do differently at events.” https://www.forrester.com/blogs/gdpr-what-marketers-need-to-do-differently-at-events/
- Regulation (EU) 2016/679 (GDPR), Article 4 (definitions, including biometric data). https://gdpr-info.eu/art-4-gdpr/
- Regulation (EU) 2016/679 (GDPR), Article 9 (special categories of personal data). https://gdpr-info.eu/art-9-gdpr/
- GDPR Local (2025). “When does a photo become biometric data under GDPR?” https://gdprlocal.com/when-does-a-photo-become-biometric-data-gdpr/
- Information Commissioner’s Office (UK). “Lawful basis for processing.” https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/
- Information Commissioner’s Office (UK). “Consent.” https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/lawful-basis/consent/
- California Office of the Attorney General. “California Consumer Privacy Act (CCPA).” https://oag.ca.gov/privacy/ccpa
- California Civil Code §1798.155. https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.155
- Illinois General Assembly. Biometric Information Privacy Act, 740 ILCS 14. https://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004&ChapterID=57
- Texas Legislature. Business & Commerce Code §503.001 (Capture or Use of Biometric Identifier). https://statutes.capitol.texas.gov/Docs/BC/htm/BC.503.htm
- IAPP. “US State Privacy Legislation Tracker.” https://iapp.org/resources/article/us-state-privacy-legislation-tracker/
- European Commission. “Regulatory framework on AI” (Regulation (EU) 2024/1689). https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
