Zurück zum Ratgeber
Ratgeber

DSGVO und Cloud-Rundgänge – Was ist erlaubt?

April 202612 min

Warum Cloud-Rundgänge ein DSGVO-Problem sind

Wenn ein Immobilienmakler oder ein Unternehmen einen virtuellen Rundgang erstellen lässt, denkt kaum jemand an Datenschutz. Man denkt an schöne Bilder, interaktive Navigation und beeindruckte Kunden. Aber hinter jedem Cloud-basierten Rundgang steckt ein Datenschutz-Thema, das viele unterschätzen.

Das Problem ist einfach: Plattformen wie Matterport, Kuula oder Ogulo speichern die Aufnahmen auf ihren eigenen Servern. Bei Matterport liegen diese Server bei Amazon Web Services (AWS) – in den USA. Bei Kuula ebenfalls. Und auch wenn die Server in Europa stehen sollten, bleibt das Unternehmen ein US-amerikanisches Unternehmen, das dem US-amerikanischen Recht unterliegt.

Das bedeutet konkret: US-Behörden können unter dem CLOUD Act auf diese Daten zugreifen – auch wenn sie physisch in Europa gespeichert sind. Für deutsche Unternehmen, die personenbezogene Daten verarbeiten (und ja, Bilder von Innenräumen können personenbezogene Daten enthalten), ist das ein echtes Compliance-Risiko.

Das Schrems-II-Urteil und seine Folgen

Im Juli 2020 hat der Europäische Gerichtshof mit dem Schrems-II-Urteil den EU-US Privacy Shield für ungültig erklärt. Die Begründung: Das US-amerikanische Überwachungsrecht bietet keinen ausreichenden Schutz für die Daten europäischer Bürger. Seitdem ist die Übertragung personenbezogener Daten in die USA nur noch unter strengen Auflagen möglich.

Zwar gibt es seit 2023 das EU-US Data Privacy Framework als Nachfolger, aber Datenschutzexperten warnen: Auch dieses Framework könnte vom EuGH gekippt werden (ein „Schrems III" ist wahrscheinlich). Unternehmen, die sich darauf verlassen, gehen ein Risiko ein.

Für Cloud-Rundgänge bedeutet das: Wenn die Aufnahmen Personen zeigen (z.B. Mitarbeiter im Hintergrund), Autokennzeichen, Namensschilder oder andere personenbezogene Informationen enthalten, dann ist die Speicherung auf US-Servern datenschutzrechtlich problematisch.

Welche Daten sind betroffen?

Viele denken: „In meinem Rundgang sind doch keine Personen zu sehen." Das stimmt oft – aber nicht immer. Folgende Daten können in 360°-Aufnahmen enthalten sein:

  • Personen im Hintergrund (Mitarbeiter, Passanten, Bewohner)
  • Namensschilder an Türen oder Briefkästen
  • Autokennzeichen (bei Außenaufnahmen)
  • Bildschirminhalte mit personenbezogenen Daten
  • Dokumente auf Schreibtischen
  • IP-Adressen der Besucher des Rundgangs (Tracking/Analytics)

Besonders der letzte Punkt wird oft übersehen: Wenn ein Cloud-Rundgang Analytics-Tools nutzt (und das tun fast alle), werden IP-Adressen der Besucher erfasst und auf den Servern des Anbieters gespeichert. Das ist eindeutig eine Verarbeitung personenbezogener Daten.

Besondere Risiken für bestimmte Branchen

Für manche Branchen ist das Cloud-Problem besonders kritisch:

  • Immobilien: Aufnahmen von bewohnten Wohnungen können Persönlichkeitsrechte der Mieter verletzen
  • Gesundheitswesen: Krankenhäuser und Arztpraxen unterliegen besonders strengen Datenschutzanforderungen
  • Industrie/KRITIS: Kritische Infrastruktur darf nicht auf fremden Servern dokumentiert werden
  • Öffentliche Verwaltung: Behörden müssen besonders strenge Datenschutzstandards einhalten
  • Bildung: Schulen und Universitäten mit minderjährigen Schülern haben erhöhte Sorgfaltspflichten

Self-Hosting als DSGVO-konforme Lösung

Die einfachste Lösung für das DSGVO-Problem ist Self-Hosting. Das bedeutet: Der fertige Rundgang wird nicht auf den Servern des Anbieters gespeichert, sondern auf eigenen Servern oder bei einem deutschen/europäischen Hosting-Anbieter.

Vorteile von Self-Hosting:

  • Volle Kontrolle über den Speicherort der Daten
  • Daten bleiben in Deutschland/EU
  • Kein Zugriff durch US-Behörden möglich
  • Eigene Datenschutzerklärung ohne Drittanbieter-Verweise
  • Keine Abhängigkeit von der Datenschutzpolitik eines US-Unternehmens
  • Langfristige Verfügbarkeit (kein Abo-Zwang)

Self-Hosting ist technisch unkompliziert: Der Rundgang besteht aus HTML-, CSS- und JavaScript-Dateien sowie den Panorama-Bildern. Diese können auf jedem Webserver gehostet werden – ob auf dem eigenen Server, bei einem deutschen Hoster wie Hetzner oder IONOS, oder in einer deutschen Cloud-Instanz.

Welche Anbieter bieten Self-Hosting an?

Nicht alle Anbieter für virtuelle Rundgänge bieten Self-Hosting an. Cloud-Plattformen wie Matterport, Kuula, Ogulo oder Giraffe360 haben kein Self-Hosting – die Daten müssen auf ihren Servern liegen. Premium-Anbieter mit eigener Software können die fertigen Rundgänge vollständig übergeben und Self-Hosting ermöglichen.

Auch Software wie 3D Vista, KR Pano oder Pano2VR ermöglicht Self-Hosting, da die fertigen Touren als HTML-Dateien exportiert werden können.

Checkliste für DSGVO-konforme Rundgänge

  • Werden die Daten auf Servern in Deutschland/EU gespeichert?
  • Ist der Anbieter ein EU-Unternehmen oder unterliegt er US-Recht?
  • Gibt es eine Auftragsverarbeitungsvereinbarung (AVV)?
  • Werden Analytics-Daten DSGVO-konform erhoben?
  • Können personenbezogene Daten in den Aufnahmen vorkommen?
  • Ist Self-Hosting möglich?
  • Werden die Rohdaten nach Projektabschluss gelöscht?

Fazit

Cloud-basierte Rundgänge sind bequem, aber datenschutzrechtlich problematisch – besonders wenn US-Unternehmen involviert sind. Für deutsche Unternehmen, die DSGVO-konform arbeiten wollen (oder müssen), ist Self-Hosting die sicherste Lösung. Die gute Nachricht: Es gibt genügend Anbieter und Software-Lösungen, die Self-Hosting ermöglichen – ohne Abstriche bei der Qualität.

Häufig gestellte Fragen

Warum sind Cloud-Rundgänge wie Matterport ein DSGVO-Problem?
Matterport speichert Daten auf US-amerikanischen Servern (Amazon AWS). Nach dem Schrems-II-Urteil ist die Übertragung personenbezogener Daten in die USA problematisch, da US-Behörden unter dem CLOUD Act auf diese Daten zugreifen können. Für deutsche Unternehmen ist das ein echtes Compliance-Risiko.
Welche Daten können in 360°-Aufnahmen personenbezogen sein?
Personenbezogene Daten in Rundgängen können sein: Personen im Hintergrund, Namensschilder an Türen, Autokennzeichen bei Außenaufnahmen, Bildschirminhalte mit Daten, Dokumente auf Schreibtischen sowie IP-Adressen der Besucher durch Analytics-Tools.
Was ist Self-Hosting und warum ist es DSGVO-konform?
Self-Hosting bedeutet, dass der fertige Rundgang auf eigenen Servern oder bei einem deutschen/europäischen Hosting-Anbieter gespeichert wird – nicht auf den Servern des Rundgang-Anbieters. So bleiben die Daten in Deutschland/EU, es gibt keinen Zugriff durch US-Behörden und volle Kontrolle über den Speicherort.
Welche Anbieter bieten Self-Hosting für virtuelle Rundgänge an?
Cloud-Plattformen wie Matterport, Kuula oder Ogulo bieten kein Self-Hosting. Anbieter, die mit eigener Software arbeiten (Premium-Anbieter), sowie Software wie 3D Vista, KR Pano oder Pano2VR ermöglichen Self-Hosting, da die fertigen Touren als HTML-Dateien exportiert werden können.
Was muss ich bei der DSGVO-konformen Nutzung von Rundgängen beachten?
Wichtige Punkte: Werden Daten auf Servern in Deutschland/EU gespeichert? Ist der Anbieter ein EU-Unternehmen? Gibt es eine Auftragsverarbeitungsvereinbarung (AVV)? Werden Analytics-Daten DSGVO-konform erhoben? Ist Self-Hosting möglich? Werden Rohdaten nach Projektabschluss gelöscht?

Virtuellen Rundgang erstellen?

Erhalten Sie eine kostenlose Beratung und Angebote von zertifizierten Anbietern.

Kostenlose Anfrage stellen

Cookie-Einstellungen

Wir verwenden Cookies und ähnliche Technologien. Technisch notwendige Cookies sind für den Betrieb der Website erforderlich. Analyse-Cookies helfen uns, die Website zu verbessern. Sie können Ihre Einwilligung jederzeit widerrufen. Datenschutzerklärung

Technisch notwendig

Session-Cookies, Cookie-Consent-Speicherung. Rechtsgrundlage: § 25 Abs. 2 TDDDG, Art. 6 Abs. 1 lit. f DSGVO.

Analyse

Anonyme Nutzungsstatistiken (Umami Analytics, datenschutzfreundlich, keine Weitergabe an Dritte). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG.