OnlyFans Datenschutz: Daten, DSGVO, Sicherheit in der Praxis

Datenschutz auf OnlyFans ist nicht nur ein rechtliches Thema, es ist ein operatives. Wer seine Privatsphäre nicht aktiv schützt, riskiert Leaks, die Jahre nachhallen. Wir betreuen über 100 Creator, sehen jede Woche, was konkret schiefgehen kann, und was nie hätte schiefgehen müssen. Was folgt, ist die praktische Orientierung, die wir intern mit jedem neuen Account durchgehen. Kein Rechtsrat, aber das Setup, mit dem die Plattform, deine Daten und dein Konto zueinander passen.

Hinweis: Dies ist keine Rechtsberatung. Für individuelle rechtliche Fragen zu DSGVO, Auskunftsansprüchen oder Plattform-Haftung wende dich bitte an einen spezialisierten Anwalt.

1. Welche Daten OnlyFans sammelt

OnlyFans ist ein US-Unternehmen (Fenix International Ltd., Sitz in London, Datenverarbeitung auf US-Servern). Für den Betrieb, für die gesetzlich verpflichtende Altersverifikation und für Auszahlungen muss die Plattform eine ganze Reihe an Daten erheben. Die Übertragung nach außerhalb der EU läuft über EU-Standard-Vertragsklauseln (SCCs), wie bei allen großen US-Diensten mit EU-Nutzerbasis. Das ist rechtlich zulässig, es bedeutet aber auch: deine Daten verlassen den EU-Raum.

Hier ein strukturierter Überblick, was konkret erhoben wird, warum, wer es sieht und wie es DSGVO-seitig einzuordnen ist. Diese Tabelle ist der Ausgangspunkt für alles andere in diesem Artikel.

Daten-Typ	Warum erhoben	Wer sieht es	DSGVO-Status
Klarname + Anschrift	KYC, Steuer-Reporting, Auszahlung	OnlyFans + Zahlungsdienstleister	Rechtliche Verpflichtung (Art. 6 I c)
Ausweiskopie + Selfie	Altersverifikation via Ondato	Ondato + OnlyFans-Compliance	Rechtliche Verpflichtung
Bank-/Zahlungsdaten	Auszahlung an Creator	Zahlungsdienstleister (nie Fans)	Vertragserfüllung (Art. 6 I b)
Content (Fotos/Videos)	Auslieferung an Subs	Zahlende Fans gemäß Abo	Vertragserfüllung
Chat-Verlauf + DMs	Plattformbetrieb, Moderation	Creator + Fan, OF bei Meldung	Vertragserfüllung
IP, Device-ID, Browser	Fraud-Detection, Geo-Routing	OnlyFans intern	Berechtigtes Interesse (Art. 6 I f)
Verdienst/Umsatz	Accounting, 1099/Tax-Reporting	OnlyFans + US-Steuerbehörde	Rechtliche Verpflichtung
Gesichts-Biometrie (Ondato)	Liveness-Check, Anti-Fake-ID	Ondato (EU-Servers)	Art. 9 II g, Einwilligung

Wichtig zu verstehen: kein Fan sieht jemals deinen Klarnamen, deine Adresse oder deine Bankdaten. Auf der Plattform bist du ausschließlich unter deinem Künstlernamen sichtbar. Die sensiblen Daten liegen zwischen dir, OnlyFans und dem Zahlungsdienstleister. Die echten Leak-Risiken sitzen nicht in dieser Datenkette, sondern in den Rändern: Content-Metadaten, Social-Media-Promo, wiederverwendete Fotos, schwache Passwörter. Dazu unten mehr.

2. DSGVO-Rechte für EU-Creator

Als Creator mit Wohnsitz in der EU gelten deine Rechte aus der DSGVO auch gegenüber OnlyFans, obwohl die Daten auf US-Servern liegen. Das ist die praktische Konsequenz aus Art. 3 DSGVO (Marktortprinzip): wer EU-Nutzer gezielt bedient, muss die DSGVO einhalten, egal wo seine Server stehen. OnlyFans erkennt das in den eigenen Datenschutzrichtlinien explizit an.

Was das konkret bedeutet, kurz und ohne Juristendeutsch:

Auskunftsrecht (Art. 15). Du kannst jederzeit einen kompletten Export aller Daten verlangen, die OnlyFans über dich gespeichert hat. Anfrage per Mail an den Data-Protection-Kontakt, Frist 30 Tage.
Berichtigung (Art. 16). Falsche Stammdaten (Name, Adresse, Geburtsdatum) kannst du korrigieren lassen. In der Praxis läuft das über den Support und erfordert oft einen Ausweis-Nachweis.
Löschung (Art. 17). Nach Account-Schließung werden Daten in der Regel 6 Monate aufbewahrt, danach gelöscht. Einschränkung: Steuerrelevante Daten müssen gesetzlich länger aufbewahrt werden (in der US-Jurisdiktion typischerweise 7 Jahre).
Datenübertragbarkeit (Art. 20). Du kannst deine Content- und Stammdaten in einem maschinenlesbaren Format anfordern. Praktisch relevant, wenn du die Plattform wechseln willst.
Widerspruch (Art. 21). Gegen Werbe-Zwecke und bestimmte Verarbeitungen auf Basis von „berechtigtem Interesse" kannst du widersprechen. Nicht gegen Verarbeitungen, die zur Vertragserfüllung oder KYC nötig sind.
Beschwerde bei der Aufsichtsbehörde. Wenn du denkst, OnlyFans kommt seinen Pflichten nicht nach, kannst du dich an die zuständige Datenschutzbehörde deines Bundeslandes wenden. In der Praxis sehr selten nötig.

Die Rechte sind eindeutig. Die Realität ist: du wirst sie selten brauchen. Die Plattform selbst ist kein typischer Leak-Vektor. Die operativen Risiken sitzen in deinem eigenen Account und deinem eigenen Content-Flow. Genau dort greift der Rest des Artikels.

3. ID-Verifizierung: Ondato im Detail

Seit 2021 läuft die Altersverifikation auf OnlyFans über den litauischen KYC-Anbieter Ondato. Beim Onboarding musst du:

ein gültiges Ausweisdokument fotografieren (Reisepass, Personalausweis, Führerschein),
ein Live-Selfie machen, das Gesicht + Ausweis gegen einen Liveness-Check vergleicht,
optional einen Abgleich zwischen Gesicht im Content und verifiziertem Gesicht zulassen (bei Solo-Accounts und beim Hinzufügen neuer Personen zu einem Account).

Ondato sitzt in der EU, unterliegt direkt der DSGVO und hat eigene Löschfristen. Laut Ondato-Datenschutzrichtlinie werden Biometrie-Daten nach erfolgreicher Verifikation in kurzer Frist gelöscht, der eigentliche Ausweis-Scan wird länger gespeichert, weil KYC-Pflichten das so verlangen. Die Daten werden an OnlyFans zurückgespielt in Form eines „verifiziert / nicht verifiziert"-Signals plus der Stammdaten aus dem Ausweis.

Was praktisch zählt:

Dein Ausweis wird nicht auf deinem Profil angezeigt. Nie.
Fans können deinen Klarnamen nicht abfragen, auch nicht über Support-Tickets.
Kommt es zu einer behördlichen Anfrage (USA oder EU), antwortet OnlyFans gemäß Rechtslage. Für deutsche Finanzämter gibt es keine automatische Meldung, aber bei konkreter Anfrage kann Datenherausgabe erfolgen.
Wer das zusätzliche Gesichts-Matching im Content deaktiviert haben will (z. B. für reine Audio-/No-Face-Accounts), kann das mit OnlyFans klären. Ist nicht immer möglich, bei klar non-human-Content (Füße, Hände only) aber in Einzelfällen machbar.

4. Zahlungsdaten und Bank-Reveal

OnlyFans behält 20 % Plattform-Gebühr, ausgezahlt werden 80 % an dich. Die Auszahlung läuft über einen Zahlungsdienstleister (je nach Land SEPA, Wire oder Paxum). Das Thema Bank-Reveal sorgt immer wieder für Angst, meist unbegründet:

Auf deinem Kontoauszug erscheint nicht „OnlyFans", sondern ein neutraler Absender wie „Fenix Internet" oder ein ähnlicher Zahlungsdienstleister-Name. Wer zufällig drüberschaut, sieht keinen direkten OF-Bezug.
In Kontoauszügen von Fans erscheint ebenfalls ein neutraler Absender. Das ist Plattform-Standard und seit Jahren so.
Für Steuern in Deutschland gilt: OnlyFans-Einkünfte sind voll einkommens- und umsatzsteuerpflichtig. Das Finanzamt erkennt die Einnahmen am Kontoauszug, nicht am Absendernamen. Wer glaubt, durch den neutralen Absender nichts melden zu müssen, liegt falsch.
Bankverbindung wechseln: jederzeit möglich. Auszahlungen gehen immer nur auf die hinterlegte, KYC-verifizierte Bankverbindung. Du kannst dein Business-Konto oder später deine UG/LLC-Bankverbindung nachtragen.

5. Account-Sicherheit: 2FA, Passwort, Geräte

Sicheres Creator-Workspace-Setup mit getrenntem Arbeitsgerät

Das häufigste Sicherheitsproblem, das wir in der Praxis sehen, ist nicht „OnlyFans wurde gehackt", sondern „mein Account wurde übernommen, weil mein Passwort schon auf einer anderen Seite geleakt war". Das ist kein Plattform-Thema, das ist Hygiene. Die folgenden Punkte sind bei uns intern Pflicht, bevor ein Account überhaupt live geht:

Eindeutiges Passwort aus einem Passwort-Manager. 1Password, Bitwarden oder Apple Passwörter. 20+ Zeichen, nur für OnlyFans. Kein „OFfan2024" und keine Variation eines Passworts, das auf Instagram liegt.
2FA über Authenticator-App. Nicht SMS. SMS-2FA ist für Personen mit Sichtbarkeit gefährlich (SIM-Swapping). Google Authenticator, Authy oder das native iOS/Android-System.
Separate Business-E-Mail. Eigene Adresse, nur für OnlyFans und den dazugehörigen Zahlungs-Account. Keine Vermischung mit privater Gmail oder der E-Mail, über die Instagram-Login läuft.
Geräte-Management. Unter „Account → Sessions" alle eingeloggten Geräte regelmäßig prüfen. Alte Telefone, fremde Logins, Hotel-Browser: alles rauswerfen, sobald nicht mehr aktiv.
Keine Passwörter im Browser speichern. Chrome- und Safari-Password-Speicher sind bei Zugriff auf das Gerät sofort offen. Passwort-Manager mit Master-Key ist hier nicht verhandelbar.
Login nur vom eigenen Gerät. Kein Login am Partner-Handy, nicht am Friseur-Laptop. Jeder zusätzliche Login ist ein zusätzlicher Angriffspunkt.

6. Geo-Block und VPN-Detection

Der Geo-Block ist eines der wichtigsten Werkzeuge, das OnlyFans Creatorn zur Verfügung stellt, und gleichzeitig eines der am meisten unterschätzten. Ohne Geo-Block ist dein Profil weltweit sichtbar, was in 95 % der „jemand aus meinem Umfeld hat mich gefunden"-Fälle der eigentliche Auslöser ist.

Länder-Block. In den OnlyFans-Settings unter „Privacy & safety" kannst du ganze Länder blockieren. Für deutschsprachige Creator: DE, AT, CH, optional LU, LI. Wer aus einem gesperrten Land auf dein Profil geht, sieht dein Profil nicht.
VPN-Detection. Nicht out-of-the-box aktiv. Viele gesperrte User umgehen den Block über einen VPN (NordVPN, Surfshark, ExpressVPN). Als Agentur arbeiten wir mit einer zusätzlichen VPN-Detection-Schicht, die bekannte Rechenzentrums-IPs und VPN-Exit-Nodes filtert. Ohne diese Schicht bleibt der Geo-Block halb offen.
Nickname-Block. Zusätzlich können einzelne Fans per Nickname oder E-Mail geblockt werden. Nützlich bei konkretem Verdacht.
Rate Limiting auf Search. Für deutschsprachige Creator relevant: wer unter dem Künstlernamen via Google suchbar ist, kann auch außerhalb der Plattform gefunden werden. Deshalb: Künstlername nicht auf privaten Social-Media-Accounts, Impressum der Agentur nicht öffentlich mit Creator-Name verknüpft.

Ein gut gesetzter Geo-Block plus VPN-Detection reduziert die Wahrscheinlichkeit eines „Erkannt-Werdens" erfahrungsgemäß drastisch. Kein Ersatz für Content-Hygiene, aber die erste Wand, gegen die ein Neugieriger läuft.

Typische Datenschutz-Fallen

Drei Fehler, die wir regelmäßig bei Creatorn sehen, die zu uns wechseln: 1) Content in unverschlüsselten Cloud-Ordnern. Google Drive oder Dropbox-Links, die einfach per Link-Sharing an Chatter oder Editoren geschickt wurden. Ein weitergeleiteter Link reicht, und das komplette Material ist außer Haus. Lösung: nur passwortgeschützte Ordner, idealerweise eine Agentur-DAM-Lösung. 2) EXIF-Metadaten auf hochgeladenem Content. iPhone-Aufnahmen enthalten GPS-Koordinaten, Zeitstempel, Device-ID. Fans mit etwas technischem Wissen ziehen das beim Download raus. Lösung: Pre-Upload-Pipeline mit Metadaten-Stripper. 3) Passwörter im Browser gespeichert. Wer Chrome-Password-Sync auf ein Privatgerät mit Partner/Mitbewohnerzugang nutzt, hat kein Passwort mehr, sondern eine öffentliche Notiz. Lösung: Passwort-Manager mit Master-Key, nie Browser-Speicher für Business-Accounts.

7. Datenrechte wahrnehmen: Auskunft und Löschung

Praktisch kommen DSGVO-Anfragen in zwei Situationen vor: entweder du willst den Account vollständig schließen und saubere Löschung, oder du willst einmalig sehen, was konkret gespeichert ist. Beides läuft im Grunde gleich ab.

Auskunft anfordern. Mail an den Data-Protection-Kontakt (in den OnlyFans-Richtlinien verlinkt, üblich: dpo@onlyfans.com). Betreff klar benennen: „Auskunftsersuchen nach Art. 15 DSGVO". Stammdaten zur Identifikation angeben (Künstlername, E-Mail, Geburtsdatum). Frist: 30 Tage.
Account-Löschung. Über die Settings kannst du das Konto deaktivieren und anschließend die vollständige Löschung beantragen. OnlyFans hält Daten anschließend noch 6 Monate für rechtliche Rückverfolgbarkeit, danach erfolgt die Löschung, außer bei steuerrelevanten Daten (dort gelten längere Aufbewahrungsfristen aus dem US-Recht).
Content-Löschung nach Kündigung. Einzelne Posts und Messages kannst du jederzeit löschen. Bei vollständiger Schließung werden Content und DMs gelöscht. Gekaufte PPV-Videos bleiben in der Regel bei den Fans, die sie bereits gekauft haben, sofern sie sie lokal gespeichert haben.
Widerspruch gegen Marketing. In den Notification-Settings alle Marketing-Opt-ins rauswerfen. Zusätzlich per Mail Widerspruch gegen Werbe-Verarbeitung auf Basis berechtigten Interesses.

Wichtig zu wissen: für steuer- und vertragsrelevante Daten (KYC, Transaktionen, Auszahlungen) gelten längere Aufbewahrungsfristen. Die Plattform darf nicht alles sofort löschen, auch wenn du es verlangst. Das ist keine Schikane, sondern gesetzlich so vorgesehen.

8. FAQ: Datenschutz auf OnlyFans

Sehen Fans jemals meinen Klarnamen oder meine Adresse?

Nein. Stammdaten und Adresse sind ausschließlich für OnlyFans, den Zahlungsdienstleister und Ondato sichtbar. Auf der Plattform erscheinst du nur mit Künstlername und Profilbild. Auch bei Chargebacks oder Streitfällen werden Klarnamen nicht an Fans herausgegeben.

Was passiert mit meinem Ausweis nach der Ondato-Verifizierung?

Der Ausweis-Scan wird bei Ondato (EU-Server) gespeichert, solange es KYC-rechtlich nötig ist. Biometrie-Daten (Live-Selfie) werden deutlich früher gelöscht. An OnlyFans geht ein „verifiziert"-Signal plus Stammdaten zurück, aber nicht der komplette Scan. Die genauen Fristen stehen in der Ondato-Datenschutzerklärung.

Ist OnlyFans DSGVO-konform, obwohl die Server in den USA stehen?

Die Plattform beruft sich auf EU-Standard-Vertragsklauseln (SCCs) für die Datenübertragung und erkennt die Rechte der DSGVO für EU-Nutzer an. Das ist der übliche rechtliche Aufbau bei US-Diensten mit EU-Kundschaft. Die Aufsichtsbehörden haben diesen Aufbau grundsätzlich als tragfähig anerkannt, solange die SCCs eingehalten werden.

Kann das Finanzamt automatisch sehen, dass ich OnlyFans nutze?

Nein, keine automatische Meldung. OnlyFans reicht keine Daten an deutsche Finanzämter weiter. Einkünfte sind trotzdem voll meldepflichtig. Das Finanzamt erkennt Eingänge am Kontoauszug und am Absendernamen (neutral, aber nachverfolgbar). Wer nicht meldet, riskiert Steuerhinterziehung, das hat nichts mit Datenschutz zu tun.

Was tun, wenn mein Account gehackt wurde?

Sofort Support kontaktieren, Passwort zurücksetzen, 2FA prüfen, alle aktiven Sessions ausloggen. Parallel die verknüpfte E-Mail sichern (Passwort dort auch neu), weil der Angreifer oft dort zuerst reinkommt. Wir haben für Portfolio-Creator eine Eskalations-Linie zum OF-Partner-Support, die hier schneller reagiert als der Standard-Channel.

Kann ich meine Daten vollständig löschen lassen?

Nach Account-Schließung werden Content und DMs gelöscht, Stammdaten nach einer Frist von üblicherweise 6 Monaten. Steuerrelevante Transaktionsdaten bleiben länger gespeichert, weil das Gesetz das verlangt (US-Recht, typischerweise 7 Jahre). Eine sofortige Vollständig-Löschung aller Daten ist rechtlich nicht möglich, auf keiner Plattform.

Wie sicher ist 2FA per SMS?

Besser als gar kein 2FA, aber deutlich schwächer als App-basiertes 2FA. SMS können bei SIM-Swapping abgefangen werden, was bei Creatorn mit öffentlicher Sichtbarkeit ein realistischer Angriffsvektor ist. Wir empfehlen grundsätzlich Authenticator-App plus Backup-Codes an einem Offline-Ort.

9. Fazit

Datenschutz auf OnlyFans ist kein einzelner Schalter, den du umlegst. Es ist ein Setup aus mehreren Ebenen: was die Plattform rechtlich verpflichtet erhebt, was sie DSGVO-seitig einhalten muss, was dein Account an Hygiene braucht und was dein Content-Flow an Pre-Upload-Prüfung verlangt. Die Plattform selbst ist in der Regel nicht das Problem. Die Probleme sitzen an den Rändern: schwache Passwörter, wiederverwendete Fotos, unverschlüsselte Cloud-Ordner, fehlender Geo-Block, Metadaten in Clips.

Wer die Basics ab Tag 1 sauber aufsetzt, hat das operative Risiko im Griff. Wer das später nachholen will, weil „erstmal Umsatz", räumt in 80 % der Fälle irgendwann einen Vorfall auf, der vermeidbar gewesen wäre. Das sehen wir in unserem Portfolio zu oft, um es nicht deutlich zu sagen.

Dies ist keine Rechtsberatung. Für individuelle Fragen zu DSGVO-Ansprüchen, Steuer-Reporting oder rechtlichen Schritten nach einem Leak konsultiere bitte einen spezialisierten Anwalt.

Du willst, dass dein OnlyFans-Setup nicht nur Umsatz bringt, sondern auch datenschutz- und sicherheitsseitig steht? Wir übernehmen das komplette Setup in unserem OnlyFans Management.