Fotos vom Kindergeburtstag teilen: Ein DSGVO-Leitfaden für Eltern

Zwölf Kinder. Eine Torte. Vierzig Handys, die beim Auspusten der Kerzen gezückt werden. Und hinterher haben Sie ein paar verwackelte Aufnahmen auf dem eigenen Handy, während die schönsten Fotos aller anderen über Handygalerien verstreut sind, die Sie nie zu Gesicht bekommen.

Also sammeln Sie sie ein. Vielleicht eine WhatsApp-Gruppe, vielleicht ein geteilter Link. Und dann kommt ein kleiner, sehr europäischer Gedanke: Moment — das sind Fotos der Kinder anderer Leute. Wo landen die? Wer kann sie sehen? Darf ich das überhaupt?

Ein guter Instinkt. Dieser Leitfaden beantwortet die Frage in klarer Sprache: Was die DSGVO tatsächlich zum Teilen von Fotos vom Kindergeburtstag sagt, was Sie als gastgebendes Elternteil tun müssen und wie Sie ein Party-Album einrichten, das zugleich mühelos und sicher ist. Geschrieben für Eltern in der EU, mit einem Hinweis für Deutschland und Österreich dort, wo die Regeln voneinander abweichen.

Keine Rechtsberatung. Dies sind allgemeine Informationen, keine Rechtsberatung. Für Ihre konkrete Situation sprechen Sie mit einer qualifizierten Datenschutzberatung.

Kurze Antwort: Es kommt darauf an, was Sie mit den Fotos machen.

Die DSGVO kennt eine Ausnahme für „ausschließlich persönliche oder familiäre Tätigkeiten" (Art. 2 Abs. 2 lit. c). Fotos auf der Feier des eigenen Kindes zu machen und sie privat zu behalten — im eigenen Album, geteilt nur im kleinen privaten Kreis von Familie und Freunden — fällt in der Regel darunter. Die Verordnung zielt schlicht nicht auf Ihre familiäre Fotokiste.

Aber die Ausnahme hat Grenzen, und die sind wichtig:

Die praktische Erkenntnis ist einfach und beruhigend: Halten Sie das Album privat, halten Sie es im Kreis der geladenen Familien, und stellen Sie die Kinder anderer Leute nicht öffentlich ins Netz. Tun Sie das, sind Sie auf der bequemen Seite der Linie.

Eine verbreitete Sorge: Ist ein Foto eines Kindes nicht ein besonders sensibles „biometrisches" Datum?

Standardmäßig nein. Erwägungsgrund 51 der DSGVO ist eindeutig: Fotografien sind nicht automatisch eine besondere Datenkategorie. Ein Bild wird erst dann zum biometrischen Datum — der Art, die die strengeren Regeln des Art. 9 auslöst — wenn es „mit speziellen technischen Mitteln" verarbeitet wird, „die die eindeutige Identifizierung" einer Person ermöglichen. Im Klartext: Eine gewöhnliche Galerie mit Partyfotos sind einfach Fotos. Sie wird zu etwas anderem, weit stärker reguliertem in dem Moment, in dem ein Dienst Gesichtserkennung einsetzt, um einzelne Kinder zu identifizieren oder zu markieren. (DSGVO Erwägungsgrund 51, gelesen mit Art. 9 Abs. 1.)

Die entscheidende Frage, die Sie jeder „Finde deine Fotos per Selfie"-Funktion stellen sollten, bevor Sie sie auf einen Kindergeburtstag richten, lautet also: Erstellen Sie ein Gesichtsmodell meines Kindes? Wenn ja, ist das Art.-9-Gebiet und braucht eine viel stärkere Rechtsgrundlage — typischerweise eine gesonderte, ausdrückliche Einwilligung.

Gut zu wissen: Gathmo setzt keine Gesichtserkennung ein. Fotos werden gespeichert und angezeigt; kein Gesichtsabgleich, keine Gesichtssuche. (Foto-Finder steht auf der langfristigen Roadmap, ist aber kein Teil des heutigen Produkts.) Für einen Kindergeburtstag ist „keine Gesichtserkennung" ein Vorteil, keine Lücke.

Wenn Sie diejenige oder derjenige sind, der die Fotos der Gäste sammelt, handeln Sie als das, was die DSGVO einen Verantwortlichen nennt. Das klingt schwerer, als es ist. Für eine private Kinderfeier, die im familiären Kreis bleibt, läuft es auf ein paar vernünftige Gewohnheiten hinaus.

Sie brauchen eine Rechtsgrundlage, um die Fotos zu verarbeiten (DSGVO Art. 6 Abs. 1). Für gewöhnliche, nicht per Gesichtsscan verarbeitete Partyfotos, die privat behalten werden, kann sich ein Gastgeber in der Regel auf das berechtigte Interesse stützen (Art. 6 Abs. 1 lit. f) — aber die Abwägung gewährt erhöhten Schutz, wenn ein Kind betroffen ist, und die Einwilligung (Art. 6 Abs. 1 lit. a) ist die sicherere, sauberere Grundlage. Im echten Leben bedeutet das einen einfachen Schritt: Sagen Sie es den anderen Eltern. Eine Zeile in der Einladung genügt — „Wir machen ein privates Fotoalbum; scannt den Code, um eure Fotos hinzuzufügen. Es ist nur für die geladenen Familien sichtbar — sagt uns Bescheid, wenn ihr die Fotos eures Kindes lieber nicht dabei haben möchtet." Das ist informiert, freiwillig und etwas völlig Normales.

Die Transparenzpflicht (Art. 13 Abs. 1) besagt: Wenn Sie personenbezogene Daten direkt bei Menschen erheben, teilen Sie ihnen — in diesem Moment — mit, wer sie erhebt, warum und auf welcher Grundlage. Für ein Party-Album ist das ein kurzer Hinweis auf der Upload-Seite: wer das Album betreibt (Sie), wofür es ist (der Geburtstag), wie lange es aufbewahrt wird und dass man die Entfernung eines Fotos verlangen kann.

Jeder Gast — oder das Elternteil eines Kindes auf einem Foto — kann von Ihnen die Löschung seiner Daten verlangen, und Sie müssen „unverzüglich" handeln und in jedem Fall innerhalb eines Monats nach der Anfrage (nur in wirklich komplexen Fällen um zwei weitere Monate verlängerbar). (DSGVO Art. 17 Abs. 1 + Art. 12 Abs. 3.) Bei einem privaten Album ist das meist trivial: Foto suchen, löschen. Der Punkt ist, sicherzustellen, dass Sie es können — viel einfacher auf einem Dienst mit echtem Lösch-Button als in einer WhatsApp-Gruppe, in der das Bild schon fünfzehnmal weitergeleitet wurde.

Zwei Grundsätze greifen ineinander: Datenminimierung — erheben Sie nur, was Sie brauchen — und Speicherbegrenzung — bewahren Sie es nur so lange auf, wie Sie es brauchen (DSGVO Art. 5 Abs. 1 lit. c und e). Ein Party-Album muss nicht unbegrenzt auf einem Server leben; ein festgelegtes Aufbewahrungsfenster, nach dessen Ablauf die Galerie gelöscht wird, ist genau das Verhalten, das das Gesetz möchte.

Falls Sie sich je gefragt haben, warum deutsche Eltern hier besonders vorsichtig sind, ist das ein Teil der Erklärung. Für Online-Dienste, die direkt an ein Kind gerichtet sind, ist eine Einwilligung standardmäßig erst ab 16 Jahren gültig; darunter muss ein Elternteil sie erteilen oder genehmigen. Die Mitgliedstaaten dürfen die Schwelle senken, aber nicht unter 13. Deutschland hat sie bei 16 belassen. Österreich hat sie auf 14 gesenkt (§ 4 Abs. 4 DSG). (DSGVO Art. 8 Abs. 1.)

Für ein von Eltern geführtes Geburtstagsalbum bleibt das meist im Hintergrund — Sie als erwachsene Gastgeberin oder erwachsener Gastgeber betreiben das Album, und die anderen Erwachsenen laden hoch. Aber es ist der Grund, warum der DACH-Markt Kinderfotos mit besonderer Ernsthaftigkeit behandelt, und ein guter Grund, das Album nur für Geladene zugänglich zu halten statt für alle Welt.

Hier ist der Teil, den die meisten „Fotos auf einer Feier teilen"-Tools stillschweigend überspringen: in welchem Land die Fotos Ihrer Kinder liegen.

Wenn ein Dienst Daten außerhalb der EU speichert — am häufigsten auf US-Servern —, ist das eine internationale Datenübermittlung, und sie muss bestimmte rechtliche Hürden nehmen (einen Angemessenheitsbeschluss oder Standardvertragsklauseln plus eine Übermittlungs-Folgenabschätzung) nach Kapitel V der DSGVO. Die Daten in der EU zu halten, umgeht diese Mechanik vollständig. (DSGVO Art. 45–46; EuGH C-311/18 Schrems II.)

Das ist ein echtes Unterscheidungsmerkmal, kein Marketing. Unter den beliebten QR-Code-Foto-Tools variiert der Speicherort tatsächlich — wir haben die jeweils eigenen Seiten der Anbieter am 08.06.2026 geprüft:

Gathmo speichert alle Medien in der EU — Objektspeicher in der EU-Jurisdiktion, Datenbank in Frankfurt — mit Auftragsverarbeitungsverträgen mit seinen Auftragsverarbeitern. Für einen Kindergeburtstag bedeutet das: Die Fotos verlassen nie die in der EU ansässige Infrastruktur.

So setzen Sie die rechtlichen Punkte in eine Einrichtung um, die jedes Elternteil hinbekommt:

Bei Geburtstagen geht es nicht nur um Fotos. Viele Eltern lieben es, kleine gesprochene Geburtstagswünsche zu sammeln — von den Großeltern, die nicht anreisen konnten, vom Cousin im Ausland. Es gelten dieselben Regeln: Sagen Sie den Leuten, wofür es ist, halten Sie es im privaten Kreis, hosten Sie es in der EU. Gathmos Sprachnachrichten sind in jedem Tarif verfügbar (von 30 Sekunden im Free-Tarif bis zu 180 Sekunden im obersten Tarif); automatische Transkripte dieser Nachrichten sind eine Funktion des obersten Tarifs und der Business-Tarife, nicht der unteren Tarife. Unter den QR-Wettbewerbern bietet nur JoinMyMoment ebenfalls Transkripte von Sprachnachrichten an — sie sind selten, nicht Standard.