Warum ein Drohnenfoto im Immobilieninserat zum Datenschutzproblem wurde

Drohnenbilder wirken professionell, modern und verkaufsstark. Genau deshalb landen sie heute schnell in Exposés, auf Immobilienplattformen oder in Social Media. Der Fall der Datenschutzbehörde aus Österreich zeigt aber: Das eigentliche Risiko liegt oft nicht im Drohnenflug selbst, sondern in der ungeprüften Veröffentlichung des Materials.

Denn was hier schiefging, ist in der Praxis erstaunlich typisch: Ein Unternehmen wollte ein Objekt attraktiv vermarkten, dachte an Bildwirkung und Reichweite, aber nicht konsequent an die datenschutzrechtliche Frage, welche Informationen über Dritte dabei gleich mitveröffentlicht werden. Der Verstoß entstand also nicht erst durch Technik, sondern durch fehlende Freigabe- und Prüfprozesse im Marketing.

Inhaltsverzeichnis

Der Fall in Kürze
Der eigentliche Fehler lag nicht in der Drohne, sondern im Freigabeprozess
Rechtlich interessant: Das berechtigte Interesse half hier nicht weiter
Warum das kein Sonderfall der Immobilienbranche ist
Was Unternehmen daraus lernen sollten
Praxis-Check: Fünf Fragen für Unternehmen
Wie sich das Risiko realistisch senken lässt
Fazit
FAQ

Der Fall in Kürze

Gegenstand der Entscheidung der österreichischen Datenschutzbehörde vom 27. Februar 2025 war eine Beschwerde gegen eine Immobiliengesellschaft, die zur Vermarktung einer Liegenschaft Drohnenaufnahmen erstellt und in einem Online-Inserat veröffentlicht hatte. Auf den Aufnahmen war nicht nur das beworbene Objekt bzw. dessen Umfeld zu sehen, sondern auch das Haus der Beschwerdeführerin. Die Betroffene selbst war nicht abgebildet. Die Behörde gab der Beschwerde statt und stellte fest, dass die Veröffentlichung der Drohnenaufnahmen ihr Recht auf Geheimhaltung verletzt hat. Es ging also nicht um ein Bußgeld, sondern um die formelle Feststellung einer Datenschutzverletzung.

Bemerkenswert ist dabei: Das Inserat enthielt nach den Feststellungen der Behörde nicht einmal die genaue Adresse des Hauses der Betroffenen. Veröffentlicht wurde lediglich die Ortsangabe „Bezirk Donaustadt“. Trotzdem reichte das aus, um den Datenschutzbezug zu bejahen. Die Behörde argumentierte, dass sich die genaue Adresse der inserierten Liegenschaft etwa über eine Anfrage an die Maklerin, über öffentlich zugängliche Kartendienste wie Google Maps oder Google Earth und in weiterer Folge auch über das Grundbuch ermitteln lasse. In der Kombination aus Lage, Erscheinungsbild von Haus und Garten und den verfügbaren Zusatzinformationen sei die Betroffene identifizierbar.

Genau das macht die Entscheidung so lehrreich: Datenschutz scheitert nicht erst dann, wenn Name, Telefonnummer oder E-Mail-Adresse direkt im Bild stehen. Auch ein Gebäude kann in seinem Kontext zu einem personenbezogenen Datum werden, wenn sich daraus mit vertretbarem Aufwand auf eine Person schließen lässt. Die Behörde hat hier also sehr klar auf die indirekte Identifizierbarkeit abgestellt, wie sie Art. 4 Nr. 1 DSGVO voraussetzt.

Der eigentliche Fehler lag nicht in der Drohne, sondern im Freigabeprozess

Die Immobiliengesellschaft verteidigte sich unter anderem damit, dass sie vor dem Einsatz der Drohne geprüft habe, ob Drohnenflüge in der betreffenden Zone erlaubt seien. Außerdem seien auf den Aufnahmen keine anderen Details zu sehen als jene, die auch auf öffentlich zugänglichen Plattformen sichtbar seien. Genau hier liegt der eigentliche Praxisfehler.

Denn die Frage, ob ein Drohnenflug luftfahrtrechtlich zulässig ist, beantwortet noch nicht die völlig andere Frage, ob das entstandene Material datenschutzrechtlich veröffentlicht werden darf. Viele Unternehmen vermischen diese Ebenen: technisch möglich, operativ erlaubt, marketingtauglich – also vermeintlich auch datenschutzrechtlich unproblematisch. Diese Gleichung geht oft nicht auf. Der Fehler war deshalb nicht bloß „ein Verstoß gegen Datenschutzrecht“, sondern das Fehlen einer verbindlichen Prüfroutine vor der Veröffentlichung visueller Inhalte mit Drittbezug.

Hinzu kommt ein zweiter, ebenso verbreiteter Denkfehler: Was irgendwo öffentlich sichtbar ist, darf man auch ohne Weiteres selbst erneut veröffentlichen. Auch das trägt nicht. Die Behörde hat gerade nicht gesagt: „Wenn man ein Haus auch auf Google Maps sehen kann, ist alles frei verwendbar.“ Im Gegenteil: Sie hat die verfügbaren öffentlichen Informationen in die Identifizierbarkeitsprüfung einbezogen und damit begründet, warum überhaupt personenbezogene Daten vorliegen. Öffentlich zugängliche Informationen können also den Datenschutzbezug verstärken, nicht entfallen lassen.

Rechtlich interessant: Das berechtigte Interesse half hier nicht weiter

Die Entscheidung ist auch deshalb praxisrelevant, weil die Behörde das wirtschaftliche Interesse des Unternehmens durchaus anerkannt hat. Die Vermarktung einer zu verkaufenden Liegenschaft und die ansprechende Darstellung ihrer Umgebung wurden als berechtigtes Interesse gewertet. Der Fall scheiterte also nicht schon daran, dass das Unternehmen „gar kein legitimes Ziel“ gehabt hätte.

Entscheidend war vielmehr der nächste Schritt: die Erforderlichkeit. Nach Auffassung der Behörde war es für den Vermarktungszweck gerade nicht erforderlich, das Nachbargrundstück bzw. das Haus der Betroffenen unverpixelt und gut erkennbar mitzuveröffentlichen. Die Behörde formuliert es sehr klar:

„Die Umgebung der Liegenschaft hätte ebenso verpixelt dargestellt werden können.“

Damit liegt die eigentliche Lehre offen zutage: Unternehmen scheitern im Datenschutz häufig nicht am Zweck, sondern an der Ausgestaltung. Nicht selten wäre das Ziel erreichbar gewesen nur eben mit weniger Eingriff, mit weniger Sichtbarkeit Dritter, mit besserer Maskierung oder mit einer datensparsameren Gestaltung. Wer diese Prüfung nicht sauber vornimmt, verliert die Rechtsgrundlage im entscheidenden Moment.

Warum das kein Sonderfall der Immobilienbranche ist

Auf den ersten Blick wirkt der Fall branchenspezifisch. Tatsächlich betrifft er aber weit mehr als Makler, Bauträger oder Projektentwickler. Überall dort, wo Unternehmen Bilder, Videos oder Lageaufnahmen für Kommunikation, Vertrieb oder Recruiting einsetzen, stellt sich dieselbe Frage: Wird hier nur das eigene Objekt gezeigt oder nebenbei auch etwas über Dritte preisgegeben?

Das Risiko ist deshalb leicht übertragbar. Marketingteams veröffentlichen Standortaufnahmen. Vertrieb nutzt Referenzfotos. HR dreht Imagevideos auf dem Betriebsgelände. Projektteams dokumentieren Baustellen oder Installationen. Social-Media-Verantwortliche posten „authentische“ Einblicke. Und oft fehlt genau an dieser Schnittstelle die klare Verantwortlichkeit: Wer prüft eigentlich vor Veröffentlichung, ob ein Bild Personen, Kennzeichen, Nachbargrundstücke, Arbeitsplatzsituationen, Kundenunterlagen oder andere identifizierende Merkmale enthält? Der Fall zeigt, wie schnell aus „Umgebungsdarstellung“ eine Verarbeitung personenbezogener Daten wird.

Gerade für kleinere und mittlere Unternehmen ist das eine unangenehme Wahrheit: Datenschutzprobleme entstehen selten nur in großen IT-Systemen. Häufig entstehen sie in alltäglichen Kommunikationsprozessen, weil Bildmaterial als rein gestalterische Frage behandelt wird. Der eigentliche Organisationsfehler ist dann nicht fehlende Juristerei, sondern fehlende Routine.

Was Unternehmen daraus lernen sollten

Die erste Lehre lautet: Visuelle Inhalte sind keine Nebensache. Fotos, Luftbilder und Videos gehören datenschutzrechtlich in dieselbe Sorgfaltslogik wie Formulare, CRM-Daten oder Newsletterlisten. Wer sie veröffentlicht, verarbeitet Informationen und muss prüfen, welche Personenbezüge dadurch direkt oder indirekt entstehen können.

Die zweite Lehre: „Man erkennt doch niemanden direkt“ ist kein tragfähiges Entlastungsargument. Im Fall reichte es aus, dass das Haus der Betroffenen identifizierbar war und sich die Person über Zusatzwissen und allgemein zugängliche Quellen ermitteln ließ. Für die Praxis bedeutet das: Auch Kontextdaten sind Daten. Lage, Umgebung, architektonische Besonderheiten, Sichtachsen, Nachbarbezug und Verknüpfbarkeit mit anderen Quellen müssen in die Prüfung einfließen.

Die dritte Lehre: Berechtigte Interessen sind kein Freifahrtschein. Sie funktionieren nur dann belastbar, wenn Unternehmen zuvor ernsthaft prüfen, ob es ein milderes, gleich geeignetes Mittel gibt. Im vorliegenden Fall lag dieses mildere Mittel auf der Hand: Unkenntlichmachung. Dass die Immobiliengesellschaft später genau so vorging und umliegende Grundstücke nunmehr unkenntlich macht, verstärkt die praktische Pointe der Entscheidung noch einmal. Die datenschutzfreundlichere Lösung war verfügbar, sie wurde nur zu spät institutionalisiert.

Praxis-Check: Fünf Fragen für Unternehmen

Gibt es vor der Veröffentlichung von Fotos, Videos oder Drohnenaufnahmen eine feste Datenschutzprüfung?
Oder entscheidet am Ende spontan das Marketing, was „gut aussieht“ und online gehen kann?
Prüfen Sie bei Bildmaterial auch indirekte Identifizierbarkeit?
Also nicht nur Gesichter, sondern auch Gebäude, Grundstücke, Kennzeichen, Arbeitsplatzsituationen oder sonstige Rückschlüsse auf Personen.
Ist dokumentiert, auf welche Rechtsgrundlage Sie die Veröffentlichung stützen?
Und wurde dabei wirklich geprüft, ob ein milderes Mittel wie Verpixelung, Zuschnitt oder Perspektivwechsel ausreicht?
Sind Zuständigkeiten zwischen Fachbereich, Marketing, Datenschutz und Geschäftsführung klar geregelt?
Gerade an dieser Schnittstelle entstehen viele Freigabefehler.
Gibt es technische und organisatorische Standards für die Bearbeitung visueller Inhalte?
Etwa Vorgaben zur Unkenntlichmachung, Freigabeworkflows, Checklisten oder verbindliche Review-Schritte.

Der Wert dieses Praxis-Checks liegt nicht in perfekter Formalität, sondern darin, blinde Flecken sichtbar zu machen. Wenn auf zwei oder drei dieser Fragen keine klare Antwort möglich ist, ist das Risiko meist schon höher als gedacht.

Wie sich das Risiko realistisch senken lässt

Die gute Nachricht: Das Problem ist beherrschbar. Unternehmen müssen dafür keine Bildkommunikation einstellen, sondern sie professioneller organisieren. Der wirksamste Hebel ist ein klarer Veröffentlichungsprozess für visuelle Inhalte. Dazu gehört eine kurze, praxistaugliche Freigaberoutine:

Was ist zu sehen?
Wer oder was könnte identifizierbar sein?
Welche Rechtsgrundlage trägt?
Reicht ein Zuschnitt oder eine Verpixelung?
Muss der Datenschutzbeauftragte einbezogen werden?

Daneben lohnt sich ein Blick in das Verzeichnis der Verarbeitungstätigkeiten. Bild- und Medienverarbeitungen werden dort oft zu grob oder gar nicht beschrieben, obwohl sie in Marketing, Vertrieb und Unternehmenskommunikation eine relevante Rolle spielen. Wer solche Prozesse sauber erfasst, erkennt leichter, wo Rechtsgrundlagen, Löschfristen, Dienstleister oder technische und organisatorische Maßnahmen fehlen. Das gilt besonders dann, wenn externe Fotografen, Agenturen, Plattformen oder Bearbeitungstools beteiligt sind.

Praktisch wichtig ist außerdem ein Standard für datensparsame Bildbearbeitung. Verpixelung, Unschärfe, Ausschnittänderung oder perspektivische Begrenzung sollten keine improvisierten Einzelfallentscheidungen sein, sondern normale Werkzeuge in der Content-Produktion. Der vorliegende Fall zeigt geradezu exemplarisch, dass eine kleine gestalterische Anpassung rechtlich den entscheidenden Unterschied machen kann.

Schließlich braucht es Sensibilisierung in den Fachbereichen. Datenschutzprobleme bei Bildmaterial entstehen selten aus bösem Willen, sondern aus Routine, Zeitdruck und einem verkürzten Verständnis von „personenbezogenen Daten“. Wer Teams nur auf klassische Datenfelder schult, aber nicht auf reale Kommunikationssituationen, lässt eine wichtige Lücke offen.

Fazit

Dieser Fall ist lehrreich, weil er ein verbreitetes Missverständnis sichtbar macht: Datenschutz scheitert oft nicht an spektakulären Datenpannen, sondern an ganz normalen Veröffentlichungsprozessen. Das wirtschaftliche Ziel war hier nachvollziehbar – der Fehler lag darin, dass niemand konsequent geprüft hatte, ob dieses Ziel auch mit weniger Eingriff erreichbar war.

Die eigentliche Botschaft lautet deshalb nicht: „Drohnen sind riskant.“ Sie lautet: Wer Inhalte veröffentlicht, braucht einen belastbaren Freigabeprozess. Nicht die Drohne war das Problem – sondern das fehlende Datenschutz-Design vor dem Klick auf „Veröffentlichen“.

FAQ

Was ist beim Drohnenflug datenschutzrechtlich zu beachten?

Sobald Ihre Drohne personenbezogene Daten erfasst, greifen Datenschutzregeln. Das ist schneller der Fall, als viele denken: Nicht nur Gesichter, sondern auch Kfz-Kennzeichen, erkennbare Kleidung, Hausfronten, Gärten oder Standortdaten können personenbezogen sein, wenn sich daraus Personen identifizieren lassen. Die DSGVO gilt nicht für rein persönliche oder familiäre Tätigkeiten, aber regelmäßig schon dann, wenn Aufnahmen geschäftlich genutzt, veröffentlicht oder systematisch gespeichert werden.

Dann brauchen Sie eine tragfähige Rechtsgrundlage, müssen Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit beachten und Betroffene grundsätzlich informieren. Gerade bei Kameradrohnen weisen die Datenschutzaufsichtsbehörden darauf hin, dass Interessenabwägungen oft zulasten des Drohnenbetreibers ausfallen und Veröffentlichungen im Internet besonders kritisch sind. Unabhängig davon ist zusätzlich das Luftverkehrsrecht einzuhalten.

Wie erstelle ich datenschutzkonforme Drohnenaufnahmen?

Am besten nicht erst beim Schneiden, sondern schon vor dem Start. Datenschutzkonforme Drohnenaufnahmen beginnen mit einer sauberen Flugplanung: Wozu wird geflogen, wo genau, wie lange, welche Personen oder Grundstücke könnten ins Bild geraten, welche Daten werden erhoben, wie werden sie gespeichert, anonymisiert oder gelöscht?

Praktisch heißt das: Perspektive, Flughöhe und Flugzeit so wählen, dass Personen und private Bereiche möglichst gar nicht erfasst werden. Nur das aufnehmen, was für den Zweck wirklich nötig ist. Aufnahmen zügig löschen, wenn sie nicht gebraucht werden und für unvermeidbare Drittaufnahmen Zuschnitt, Verpixelung oder andere Anonymisierung vorsehen. Bei risikoreichen Vorhaben, etwa bei systematischer oder umfangreicher Beobachtung, kann zusätzlich eine Datenschutz-Folgenabschätzung erforderlich sein.

Gibt es Software zur automatischen Anonymisierung von Personen auf Drohnenvideos?

Ja, solche Software gibt es. In der Praxis ist sie oft nicht drohnenspezifisch, sondern kommt aus der Videoüberwachung oder Postproduktion. Beispiele: AXIS Live Privacy Shield kann Menschen, Kennzeichen oder Hintergründe in Echtzeit dynamisch maskieren. Final Cut Pro kann Blur- oder Maskeneffekte an bewegte Objekte oder Gesichter tracken und per Machine Learning automatisch auf ein Objekt anwenden.

Wichtig ist aber: Automatische Anonymisierung ist kein Freifahrtschein. Sie sollte zuverlässig testen, ob Gesichter, Kennzeichen oder andere Identifikatoren wirklich unkenntlich werden. Außerdem löst Anonymisierungssoftware nur einen Teil des Problems. Funktionen wie ein Offline-Betrieb oder das Verhindern unbeabsichtigter Datensynchronisierung, etwa über einen „Local Data Mode“, helfen zusätzlich beim Datenschutz, ersetzen aber keine rechtliche Prüfung der Aufnahme selbst.

Gibt es spezielle Drohnen für den Einsatz in datenschutzsensiblen Bereichen?

Eine eigene EU- oder DSGVO-Kategorie „datenschutzsensible Drohne“ gibt es nicht. Das EU-Drohnenrecht regelt vor allem Betriebs-, Design- und Herstellungsanforderungen. Ergänzend empfiehlt EASA „privacy by design“ für Hersteller und Betreiber. Für sensible Einsätze sollten Sie daher weniger auf Marketingbegriffe als auf Funktionen achten: lokale Speicherung statt Cloud-Zwang, Offline-Modi, Verschlüsselung, restriktive Zugriffsrechte, abschaltbare oder begrenzbare Kamerafunktionen, Geofencing bzw. Geo-Awareness und – je nach Einsatz – Remote Identification.

Es gibt durchaus Systeme mit solchen Schutzfunktionen. DJI beschreibt etwa Offline- und Local-Data-Mode-Optionen; Parrot nennt bei bestimmten Enterprise-Modellen SD-Karten-Verschlüsselung und „zero data shared by default“. Das ist für datenschutzsensible Umgebungen hilfreich, ersetzt aber weder die Rechtsgrundlage noch die Pflicht zur datensparsamen Flugplanung.

Welche Bußgelder drohen bei Datenschutzverstößen mit Drohnen?

Datenschutzrechtlich gelten die normalen Bußgeldrahmen der DSGVO: je nach Verstoß bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes beziehungsweise bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes. Die Datenschutzkonferenz weist ausdrücklich darauf hin, dass bei unbefugter Datenerhebung oder -verarbeitung mit Kameradrohnen ein Bußgeld verhängt werden kann.

Daneben drohen weitere Folgen: luftverkehrsrechtliche Ordnungswidrigkeiten können je nach Tatbestand mit erheblichen Geldbußen geahndet werden, teils bis 50.000 Euro. Außerdem kommen Unterlassungs- und Schadensersatzansprüche in Betracht. Bei Aufnahmen des höchstpersönlichen Lebensbereichs kann sogar § 201a StGB relevant werden.

Darf ich mit der Drohne über Nachbars Garten fliegen?

Im Regelfall: nicht mit einer üblichen Kameradrohne ohne ausdrückliche Zustimmung. Nach § 21h Abs. 3 Nr. 7 LuftVO ist der Überflug über Wohngrundstücke nur unter bestimmten Voraussetzungen zulässig: mit ausdrücklicher Zustimmung des betroffenen Eigentümers bzw. Nutzungsberechtigten, oder bei sehr leichten Drohnen bis 250 g, die gerade nicht zu optischen oder akustischen Aufzeichnungen oder zur Erfassung/Übertragung von Funksignalen Dritter in der Lage sind, oder unter engen Sondervoraussetzungen bei Flügen ab 100 Metern mit berechtigtem Betriebszweck und zusätzlichen Schutzvorkehrungen.

Für die Praxis ist die Antwort deshalb einfach: Mit der normalen Foto- oder Videodrohne sollten Sie ohne Einwilligung nicht über Nachbars Garten fliegen. Selbst wenn luftverkehrsrechtlich ausnahmsweise etwas zulässig wäre, können Datenschutz-, Persönlichkeits- und zivilrechtliche Grenzen weiterhin entgegenstehen. Die Datenschutzaufsichtsbehörden empfehlen deshalb grundsätzlich, niemanden ohne Einwilligung zu filmen. Gerade in urbanen Umgebungen sei der rechtssichere Einsatz von Film- und Videodrohnen oft kaum möglich.