Immobilienfotos können personenbezogene Daten enthalten — und KI-Staging-Anbieter verarbeiten diese Bilder auf ihren Servern. Was das DSGVO-rechtlich bedeutet und worauf Sie bei der Anbieterauswahl achten müssen.
Auf den ersten Blick erscheint Virtual Staging datenschutzrechtlich unproblematisch: Sie fotografieren leere Räume und laden die Bilder bei einem KI-Anbieter hoch. Doch dieser Eindruck trügt — aus drei Gründen.
Erstens können Immobilienfotos auch in leeren Räumen personenbezogene Daten enthalten: sichtbare Straßenbeschilderungen, Nachbarn durch Fenster, Namensschilder an Türen oder persönliche Gegenstände, die beim Aufräumen übersehen wurden. Zweitens handelt es sich beim Upload auf einen KI-Staging-Server um eine Übermittlung von Daten an einen Dritten — die der DSGVO unterliegt. Drittens verarbeiten viele KI-Staging-Anbieter die Daten auf Servern in den USA oder anderen Drittstaaten außerhalb der EU.
Was gilt als personenbezogenes Datum bei Immobilienfotos?
Sichtbare Personen (Nachbarn, Passanten durch Fenster)
Kfz-Kennzeichen im Bild oder auf dem Grundstück
Namensschilder (Türschild, Briefkasten im Bildbereich)
Persönliche Gegenstände, die eine Person identifizierbar machen
Straßenansichten, aus denen die genaue Adresse erkennbar ist
Bei reinen Innenaufnahmen leerer Räume ohne erkennbare Außenbereiche besteht in der Regel kein erhöhtes DSGVO-Risiko. Trotzdem gilt der AVV-Rahmen (Art. 28 DSGVO).
DSGVO-Anforderungen im Überblick
Für die DSGVO-konforme Nutzung von Virtual Staging sind drei Artikel besonders relevant: Art. 6 (Rechtsgrundlage), Art. 28 (Auftragsverarbeitung) und Art. 44–49 (Drittlandtransfer).
Grundpflicht
Art. 6
Rechtsgrundlage
Jede Datenverarbeitung braucht eine Rechtsgrundlage. Für Makler greift in der Regel das "berechtigte Interesse" (Art. 6 Abs. 1 lit. f) — der Verkauf der Immobilie im Auftrag des Eigentümers.
Vertragspflicht
Art. 28
Auftragsverarbeitungsvertrag
Wenn ein Makler Bilder an einen KI-Staging-Anbieter schickt, ist dieser Auftragsverarbeiter. Mit ihm muss ein AVV (Auftragsverarbeitungsvertrag) geschlossen werden — schriftlich oder elektronisch.
US-Anbieter
Art. 44–49
Drittlandtransfer
US-Anbieter dürfen EU-Daten nur mit gültigen Schutzmaßnahmen verarbeiten: EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) oder Angemessenheitsbeschluss der EU-Kommission.
Art. 28 DSGVO: Der Auftragsverarbeitungsvertrag (AVV)
Sobald Sie als Makler Fotos auf einen externen Server hochladen — auch bei KI-Staging-Diensten — sind Sie Verantwortlicher im Sinne der DSGVO. Der Anbieter des Staging-Dienstes wird zum Auftragsverarbeiter.
Art. 28 DSGVO schreibt vor: Zwischen Verantwortlichem und Auftragsverarbeiter muss ein Vertrag geschlossen werden, der mindestens folgendes regelt:
Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Pflichten und Rechte des Verantwortlichen
Technische und organisatorische Maßnahmen (TOMs)
Unterauftragsverhältnisse
Löschfristen und Rückgabepflichten
Praxistipp: So prüfen Sie, ob ein AVV existiert
Gehen Sie auf die Website des Staging-Anbieters und suchen Sie nach:
"Data Processing Agreement" (DPA) oder "Auftragsverarbeitungsvertrag" (AVV)
DSGVO-Seite oder Privacy Policy mit EU-spezifischen Abschnitten
Abschnitt zur EU-Datenverarbeitung in den AGB
Fehlt der AVV: Der Anbieter ist aus datenschutzrechtlicher Sicht nicht nutzbar — unabhängig von Qualität und Preis.
Art. 44–49 DSGVO: Das US-Server-Problem
Viele bekannte KI-Staging-Anbieter (vor allem aus den USA, Kanada und Australien) verarbeiten die hochgeladenen Bilder auf Servern außerhalb der EU. Das ist datenschutzrechtlich nur unter bestimmten Voraussetzungen zulässig:
EU-US Data Privacy Framework: Seit Juli 2023 existiert ein neues Abkommen zwischen EU und USA. US-Unternehmen, die sich zertifizieren lassen, dürfen EU-Daten legal verarbeiten. Prüfbar unter dataprivacyframework.gov
Standardvertragsklauseln (SCC): Vertragsklauseln, die die EU-Kommission als Standardschutz akzeptiert. Seriöse Anbieter binden diese in ihren DPA ein.
Angemessenheitsbeschluss: Für wenige Länder (z.B. Japan, UK, Israel) hat die EU-Kommission das Datenschutzniveau als gleichwertig anerkannt.
Was das für die Anbieterauswahl bedeutet
Fragen Sie konkret: "Wo werden die hochgeladenen Bilder verarbeitet und gespeichert?" Und: "Haben Sie ein EU-US Data Privacy Framework-Zertifikat oder nutzen Sie SCCs?" Ein seriöser Anbieter beantwortet das transparent. Fehlt die Antwort oder verweist der Anbieter nur auf allgemeine AGB, ist Vorsicht geboten.
Art. 6 DSGVO: Die Rechtsgrundlage für Makler
Als Immobilienmakler können Sie die Verarbeitung von Immobilienfotos auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen: Sie verarbeiten die Bilder, um den Auftrag des Eigentümers (Verkauf der Immobilie) zu erfüllen.
Alternativ ist eine Einwilligung des Eigentümers (Art. 6 Abs. 1 lit. a) möglich — etwa wenn der Maklervertrag eine entsprechende Klausel enthält. In der Praxis ist das berechtigte Interesse der einfachere Weg, da es keine separate Einwilligung erfordert.
Anbietervergleich: Nur 2 von 7 erwähnen die DSGVO
ImmoStage hat 7 bekannte KI-Virtual-Staging-Anbieter auf ihre DSGVO-Compliance geprüft. Das Ergebnis: Nur 2 von 7 Anbietern erwähnen die DSGVO explizit und stellen einen Auftragsverarbeitungsvertrag bereit. Bei den restlichen 5 Anbietern fehlen AVV, EU-Datenlokalisierung oder Drittland-Schutzmaßnahmen gänzlich.
Worauf Sie bei der Anbieterauswahl achten sollten
Gute Zeichen
Explizite DSGVO-Seite oder DPA-Dokument
Serverstandort in der EU oder EEA
EU-US DPF-Zertifizierung oder SCC bei US-Hosting
Automatische Löschung nach Verarbeitung
Keine KI-Trainingsnutzung ohne Einwilligung
Warnsignale
Kein Wort zu DSGVO auf der Website
Kein AVV oder DPA abrufbar
Server ausschließlich in USA ohne DPF
Bilder werden für KI-Training genutzt
Keine Angabe zur Datenlöschung
So handhabt ImmoStage Datenschutz
ImmoStage wurde für den deutschen Markt entwickelt — und von Beginn an mit DSGVO-Konformität als Grundvoraussetzung gebaut:
Datenverarbeitung in Europa: Alle hochgeladenen Bilder werden auf europäischen Servern verarbeitet — kein Transfer in Drittstaaten ohne Schutzmaßnahmen
Auftragsverarbeitungsvertrag: Verfügbar auf Anfrage für alle gewerblichen Kunden (AVV nach Art. 28 DSGVO)
Keine Trainingsnutzung: Ihre Bilder werden nicht für das Training von KI-Modellen genutzt — ohne ausdrückliche Einwilligung
Löschung nach Verarbeitung: Hochgeladene Originalbilder werden nach der Verarbeitung automatisch gelöscht
Transparente Datenschutzerklärung: Deutsche Datenschutzerklärung mit klaren Angaben zu Datenverarbeitungszwecken und Rechten
DSGVO-Checkliste für Makler beim Virtual Staging
Nutzen Sie diese Checkliste, um sicherzustellen, dass Ihr Virtual-Staging-Workflow DSGVO-konform ist:
01
AVV mit Staging-Anbieter abschließen
Prüfen Sie, ob Ihr Anbieter einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO) anbietet. Fehlt er, ist der Einsatz rechtswidrig — unabhängig von Qualität und Preis.
02
Drittlandtransfer prüfen
US-Anbieter: Prüfen Sie das EU-US Data Privacy Framework-Zertifikat unter dataprivacyframework.gov. Alternativ: Standardvertragsklauseln (SCC) im DPA erforderlich.
03
Fotos vor dem Upload prüfen
Sehen Sie Personen, Kennzeichen oder Namensschilder im Bild? Diese sind personenbezogene Daten. Entweder entfernen (z.B. unkenntlich machen) oder separate Einwilligung einholen.
04
Rechtsgrundlage dokumentieren
Halten Sie fest, auf welcher Rechtsgrundlage Sie die Bilder verarbeiten (i.d.R. berechtigtes Interesse Art. 6 Abs. 1 lit. f). Für Eigentümerbilder genügt in der Regel der Maklervertrag.
05
Datenschutzerklärung aktualisieren
Erwähnen Sie in Ihrer Datenschutzerklärung den Einsatz von Virtual-Staging-Diensten als Auftragsverarbeiter. Name, Sitz und Zweck des Anbieters gehören dazu.
06
Staging-Bilder als Visualisierung kennzeichnen
Nicht nur aus DSGVO-Sicht, sondern auch portalseitig verpflichtend: Kennzeichnen Sie Staging-Bilder als "virtuell möbliert". Das vermeidet auch vertragsrechtliche Probleme.
Häufige DSGVO-Fragen zum Virtual Staging
Ja. Sobald Sie Bilder auf einen externen Server hochladen, handelt es sich um Auftragsverarbeitung im Sinne von Art. 28 DSGVO. Ein schriftlicher Auftragsverarbeitungsvertrag ist Pflicht. Bei fehlendem AVV riskieren Sie Bußgelder von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
Ja, aber nur wenn der Anbieter entweder (a) unter dem EU-US Data Privacy Framework zertifiziert ist, (b) Standardvertragsklauseln (SCC) nutzt oder (c) ein Angemessenheitsbeschluss für das Drittland gilt. Prüfen Sie das AVV des Anbieters oder fragen Sie direkt nach.
Sichtbare Personen (z.B. Nachbarn durch ein Fenster) sind personenbezogene Daten. Sie benötigen für deren Verarbeitung eine Rechtsgrundlage. Praktischer Weg: Gesichter unkenntlich machen, bevor Sie das Bild bei einem Staging-Dienst hochladen. Alternativ: Einwilligung der betroffenen Person.
Ja. Art. 13 DSGVO verlangt, dass Sie Betroffene über alle Verarbeitungszwecke und Auftragsverarbeiter informieren. Wenn Sie Virtual Staging für Kundenimmobilien nutzen, gehört der Staging-Anbieter als Auftragsverarbeiter in Ihre Datenschutzerklärung — mit Name, Sitz und Verarbeitungszweck.
Eugen Görtz ist Gründer von ImmoStage. Vor der Gründung war er über 10 Jahre als Abteilungsleiter in einem Industrieunternehmen tätig — mit Verantwortung für Prozessoptimierung, Teamführung und Digitalisierung. Diese operative Erfahrung fließt direkt in die Produktentwicklung von ImmoStage ein: pragmatische Lösungen, die im Makler-Alltag funktionieren.
10+ Jahre Abteilungsleiter in der IndustrieGründer von ImmoStage (2024)Fokus: KI-Staging für DACH-MaklerDSGVO & EU-Compliance
