Am 17. Mai 2026 wird in Deutschland der Internationale Museumstag gefeiert. Und auch Datenschutzbeauftragte haben ein Faible für Kunst und historische Schätze. Doch wer im Datenschutz beratend tätig ist, betritt ein Museum selten, ohne einige datenschutzrechtliche Fragen zu stellen. Dieser Leitfaden begleitet Sie vom Ticketkauf bis zum kostenlosen WLAN und zeigt, an welchen Stellen die DSGVO im Museumsbetrieb relevant wird.
Der Inhalt im Überblick
- Ticketkauf: Online oder vor Ort?
- Besucherzählung: Überblick ohne Identifikation
- Videoüberwachung: Schutz der Kunstwerke
- Führungen und Audioguides: Datenschutz bei Bildungsangeboten
- Fotografieren im Museum: Rechte und Pflichten
- Digitale Services: WLAN, Newsletter und Feedback
- Mit Sensibilisierung: Viel Spaß im Museum
Ticketkauf: Online oder vor Ort?
Die erste datenschutzrelevante Interaktion findet bereits beim Kauf des Tickets statt. Wer das Ticket online erwirbt, übermittelt personenbezogene Daten wie Name, E-Mail-Adresse und Zahlungsinformationen. Diese Verarbeitung ist zur Anbahnung und Erfüllung des Vertrags notwendig und stützt sich auf Art. 6 Abs. 1 lit. b DSGVO. Zusätzlich verarbeitet die Webseite oder App zur technischen Bereitstellung und Sicherheit die IP-Adresse der Nutzer:innen auf der Grundlage des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO. Häufig wickeln spezialisierte Dienstleister den Verkauf als Auftragsverarbeiter ab, was eine vertragliche Regelung nach Art. 28 DSGVO zwischen dem Museum als Verantwortlichen und dem Dienstleister als Auftragsverarbeiter voraussetzt.
Wer besonderen Wert auf Datenschutz legt, kann das Ticket an der Museumskasse erwerben und bar bezahlen. In diesem Fall werden üblicherweise keine personenbezogenen Daten erhoben, sodass der gesamte Vorgang anonym bleibt. Ausnahmen können bei Sonderaktionen oder Ermäßigungen bestehen, bei denen ein Nachweis erforderlich ist.
Besucherzählung: Überblick ohne Identifikation
Museen sind daran interessiert, die Anzahl der Besucher:innen in den Ausstellungsräumen zu erfassen, nicht jedoch deren Identität. Hierfür kommen unterschiedliche Technologien zum Einsatz.
Anonyme Systeme wie Lichtschranken, Infrarot- oder LiDAR-Sensoren zählen Personen, ohne personenbezogene Daten zu erfassen. Die DSGVO findet hier schlicht keine Anwendung. Beim Einsatz von Kamerasystemen ist hingegen Vorsicht geboten. Nach dem Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO dürfen nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Für reine Besucherzählungen ist eine Identifizierung nicht notwendig; daher müssen Personen anonymisiert werden, beispielsweise durch eine geeignete Verpixelung. Die Rechtsgrundlage bildet in der Regel das berechtigte Interesse des Museums, etwa an der Steuerung von Besucherströmen und der angemessenen Klimatisierung der Kunstwerke, gestützt auf Art. 6 Abs. 1 lit. f DSGVO.
Videoüberwachung: Schutz der Kunstwerke
Wo unersetzbare Schätze stehen oder hängen, sind Videokameras nicht weit. Museen nutzen diese Systeme zur Sicherung ihrer Exponate und zur Wahrung des Hausrechts. Dabei sind umfassende Transparenz- und Informationspflichten zu beachten: Besucher:innen müssen durch gut sichtbare Hinweisschilder gemäß Art. 13 DSGVO über die Videoüberwachung informiert werden. Nach dem Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO dürfen die Aufzeichnungen nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. In der Praxis hat sich hierfür eine Speicherdauer von 24 bis 72 Stunden bewährt. Rechtsgrundlage ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO oder bei öffentlichen Museen die Videoüberwachung zur Wahrnehmung des Hausrechts nach § 4 Abs. 1 Satz 1 Nr. 2 BDSG.
Führungen und Audioguides: Datenschutz bei Bildungsangeboten
Auch im Rahmen einer Führung kann es zur Verarbeitung personenbezogener Daten kommen. Für die Organisation bestimmter Führungen werden bei der Buchung Name und Kontaktdaten der Teilnehmenden erhoben. Diese Verarbeitung ist zur Anbahnung und Erfüllung des Vertrags erforderlich und stützt sich auf Art. 6 Abs. 1 lit. b DSGVO.
Beim Einsatz von Audioguides kommt es auf die Art des Angebots an: Klassische Leihgeräte, die gegen Pfand ausgegeben werden, erfordern in der Regel keine Verarbeitung personenbezogener Daten. Audioguide-Apps hingegen können technische Daten wie IP-Adresse und Standortinformationen erfassen. Welche Daten im Einzelnen erhoben werden, ist der Datenschutzerklärung der jeweiligen App zu entnehmen. Die Verarbeitung dieser Daten erfolgt meist auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO.
Fotografieren im Museum: Rechte und Pflichten
Bevor im Museum das Smartphone gezückt wird, empfiehlt sich ein Blick in die Hausordnung. Nicht jedes Museum gestattet Fotoaufnahmen; die meisten erlauben sie jedoch für private Zwecke.
Das Selfie vor einem Kunstwerk ist datenschutzrechtlich unbedenklich. Auch Fotos mit Freunden oder Familie fallen in der Regel nicht in den Anwendungsbereich der DSGVO, sondern unter die sogenannte Haushaltsausnahme gemäß Art. 2 Abs. 2 lit. c DSGVO. Wer jedoch fremde Personen erkennbar abbildet, muss vorsichtig sein: Für das Anfertigen, Verbreiten und öffentliche Zurschaustellen solcher Aufnahmen ist grundsätzlich deren Einwilligung nach § 22 KunstUrhG und Art. 6 Abs. 1 lit. a DSGVO erforderlich. Die Einwilligung muss den Anforderungen des Art. 4 Nr. 11 und Art. 7 DSGVO genügen, also freiwillig, informiert und eindeutig für den konkreten Fall erteilt werden.
Digitale Services: WLAN, Newsletter und Feedback
Viele Museen bieten kostenloses WLAN an. Bei der Anmeldung werden technische Daten wie die IP-Adresse verarbeitet. Rechtsgrundlage hierfür ist das berechtigte Interesse an der Funktionsfähigkeit des Angebots gemäß Art. 6 Abs. 1 lit. f DSGVO.
Für die Anmeldung zum Museums-Newsletter ist eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Diese sollte aus Nachweisgründen im Double-Opt-In-Verfahren eingeholt werden.
Auch Feedback-Formulare verarbeiten gegebenenfalls personenbezogene Daten zur Bearbeitung der jeweiligen Anfrage. Je nach Inhalt kann die Rechtsgrundlage das berechtigte Interesse an der Bearbeitung der Anfrage gemäß Art. 6 Abs. 1 lit. f DSGVO sein. Zielt der Kontakt auf den Abschluss oder die Erfüllung eines Vertrags ab, ist Art. 6 Abs. 1 lit. b DSGVO einschlägig.
Mit Sensibilisierung: Viel Spaß im Museum
Datenschutz im Museum ist ein vielschichtiges Thema, das alle Bereiche von der ersten Interaktion beim Ticketkauf bis hin zu digitalen Angeboten umfasst. Museen sind verpflichtet, transparente und datenschutzkonforme Lösungen zu implementieren, um die Rechte der Besucher:innen zu wahren und die Kunstwerke wirksam zu schützen. Für Besucher:innen genügt es in der Regel, für das Thema Datenschutz sensibilisiert zu sein. Achten Sie bei Ihrem Besuch beispielsweise auf die Umsetzung der Informationspflichten – etwa durch Hinweisschilder zur Videoüberwachung oder durch Datenschutzerklärungen. Wir wünschen Ihnen einen schönen Aufenthalt im Museum!
Ich habe vorgestern bei der geführten Besichtigung einer ehemaligen Bunker-Anlage (auch eine Art Museum) einen Haftungsausschluss unterzeichnen müssen, um an der Führung teilzunehmen. Erfasst wurden Vor- und Nachname und das Geburtsdatum. Auf dem Formular fehlte jeglicher Hinweis darauf, was mit den Daten geschieht und wie lange sie gespeichert werden. Als DSB konnte ich mir natürlich einen dezenten Hinweis auf den mangelnden Datenschutz nicht verkneifen ;-)
Bei der Guild bin ich auf offene Daten gestoßen, aber natürlich gab es auch Reaktionen aus der Besuchergruppe, dass man es ja mit dem Datenschutz auch wirklich übertreiben könne.
Mir fehlt in dem Beitrag der Link zu den Landesdatenschutzgesetzen, aus denen sich für öffentliche Museen weitere Rechtsgrundlagen ergeben, insb. z.B. auch für die Videoüberwachung. Und warum wird hier nicht auf Art. 6 Abs. 1 lit e DSGVO verwiesen, auch dieser dürfte eine Rechtsgrundlage bieten?
Vielen Dank für den berechtigten Hinweis! Die einzelnen Landesdatenschutzgesetze finden Sie hier: DSGVO-Gesetz. Ihr Punkt zu Art. 6 Abs. 1 lit. e DSGVO trifft zu. Auch dieser kann als Rechtsgrundlage dienen. Der zentrale Unterschied zu § 4 Abs. 1 S. 1 Nr. 2 BDSG liegt im geschützten Interesse und dogmatischen Anknüpfungspunkt: Während Art. 6 Abs. 1 lit. e DSGVO eine öffentliche Aufgabe voraussetzt, die dem Verantwortlichen durch Gesetz übertragen wurde, knüpft § 4 Abs. 1 S. 1 Nr. 2 BDSG an das Hausrecht an.