Wenn du Fotos, Videos und Sprachnachrichten von deinen Gästen sammelst, sammelst du personenbezogene Daten echter Menschen — deiner Freunde, deiner Kolleginnen und Kollegen, deiner Familie. Die meisten Event-Foto-Tools speichern diese Daten auf Servern in den USA, und die wenigsten Gastgeber kommen auf die Idee zu fragen, wo sie eigentlich landen. Dieser Leitfaden erklärt, was "EU-Datenspeicherung" wirklich bedeutet, warum sie ausgerechnet bei einem Event-Album zählt und wie du ein echtes Versprechen von einem reinen Marketing-Siegel unterscheidest.
Keine Rechtsberatung. Dieser Artikel erklärt die Grundsätze in verständlicher Sprache und nennt die einschlägigen DSGVO-Artikel, damit du sie selbst nachschlagen kannst. Es ist keine Rechtsberatung. Für ein konkretes Event — besonders eine Firmenveranstaltung mit Mitarbeitenden oder ein Event mit Kindern — sprich mit einer qualifizierten Datenschutzberaterin oder einem Datenschutzberater.
Datenspeicherung beantwortet im Kern nur eine Frage: In welchem Land stehen die Server physisch, die die Fotos deiner Gäste speichern und verarbeiten? "EU-Datenspeicherung" bedeutet, dass die Daten auf Infrastruktur innerhalb der Europäischen Union (oder, etwas weiter gefasst, des EWR) bleiben — statt auf einen Server in einem anderen Land verschifft zu werden.
Wichtig ist das wegen der Art, wie die DSGVO diese Reisen behandelt. Nach der DSGVO ist die Übermittlung personenbezogener Daten in ein Land außerhalb der EU — eine "Drittlandübermittlung" — nur dann rechtmäßig, wenn ein konkreter Rechtsmechanismus greift: ein Angemessenheitsbeschluss nach Art. 45 oder geeignete Garantien wie die Standardvertragsklauseln der Europäischen Kommission nach Art. 46 Abs. 2 lit. c, mit durchsetzbaren Rechten und wirksamen Rechtsbehelfen für die Menschen, um deren Daten es geht (CITE-20260608-1011). Bleibt bei deinem Event-Tool alles innerhalb der EU, stellt sich diese Übermittlungsmechanik schlicht nicht. Behalte die Daten im Land und du hast die schwierigste Compliance-Frage komplett übersprungen.
"EU-Datenspeicherung" ist also kein Luxus-Feature. Sie ist der Unterschied zwischen einer einfachen Rechtsgrundlage und einer, die vom schwankenden Status des Rechts zur grenzüberschreitenden Übermittlung abhängt.
Ja — und zwar häufiger, als die meisten annehmen. Das Foto einer Person ist ein personenbezogenes Datum, weil es sie identifizierbar macht. (Zu einem besonderen biometrischen Datum wird es erst, wenn es durch ein bestimmtes technisches Verfahren zur eindeutigen Identifizierung verarbeitet wird, etwa durch die Merkmalsextraktion einer Gesichtserkennung — gewöhnliche Galerien überschreiten diese Linie nicht; CITE-20260608-1003.)
Es hält sich der verbreitete Glaube, private Feiern seien ausgenommen. Die DSGVO nimmt tatsächlich die Verarbeitung durch eine natürliche Person "zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" aus (Art. 2 Abs. 2 lit. c) — ein Gast, der seine eigenen Schnappschüsse privat behält, fällt also durchaus darunter. Aber diese Ausnahme schützt nur die einzelne Person; sie nimmt nicht die Plattform aus, die die Mittel für die Verarbeitung bereitstellt (CITE-20260608-1008). Ein Event-Media-Dienst ist ein Auftragsverarbeiter oder Verantwortlicher im eigenen Recht, voll im Anwendungsbereich der DSGVO — genau deshalb ist es deine Sache, wo er die Daten speichert, nicht nur seine.
Die Ausnahme ist außerdem enger, als sie klingt. Der EuGH hat sie in Ryneš (C-212/13) streng ausgelegt: Eine Verarbeitung, die "aus dem privaten Bereich der verarbeitenden Person nach außen gerichtet" ist, kann nicht als rein persönlich gelten (CITE-20260608-1009). Fotos anderer Gäste offen über einen geschlossenen privaten Kreis hinaus zu veröffentlichen, fällt wahrscheinlich aus der Ausnahme heraus und bringt dich als Gastgeber ebenfalls in den Anwendungsbereich der DSGVO.
Die unbequeme Wahrheit ist: Die meisten beliebten Event-Foto-Tools hosten außerhalb der EU. Allein auf Basis der jeweils selbst veröffentlichten Angaben jedes Anbieters (geprüft am 2026-06-08):
(Preise und Standorte mit Stand Juni 2026; Anbieter wechseln ihre Infrastruktur — prüfe also nach, bevor du dich darauf verlässt.)
Nichts davon macht die Nutzung dieser Tools rechtswidrig. US-Übermittlungen lassen sich legitimieren: Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework, angenommen am 10. Juli 2023, ist weiterhin geltendes Recht, Übermittlungen an DPF-zertifizierte US-Organisationen können sich darauf stützen, und die erste Klage dagegen (Latombe, T-553/23) wurde am 3. September 2025 abgewiesen (CITE-20260608-1012). Aber es gibt einen Haken: Ein Rechtsmittel (C-703/25 P) ist beim EuGH anhängig, und der Vorgänger des Frameworks — der Privacy Shield — wurde 2020 durch Schrems II gekippt (CITE-20260608-1011). Der Boden unter US-Übermittlungen hat sich schon einmal bewegt und könnte es wieder tun. Daten in der EU zu halten heißt, dieses Wetter nie beobachten zu müssen.
Für eine lockere Hausparty ist dir das vielleicht egal. Für eine Firmenveranstaltung mit Mitarbeiterfotos, einen Kindergeburtstag oder jede Feier, bei der ein Gast sein Gesicht schlicht lieber nicht auf einem US-Server hätte, ist genau diese Unterscheidung die ganze Entscheidung.
"EU-gehostet" wird gerade zu einem Häkchen, das jeder setzen will — es lohnt sich also, hinter die Formulierung zu schauen. Ein paar Fragen trennen Beweis von Marketing:
Eine nützliche Faustregel: Wenn ein Unternehmen dir nicht klar sagen will, wo die Fotos deiner Gäste liegen, dann ist genau das die Antwort.
Bei der Datenspeicherung geht es um das Wo. Die DSGVO interessiert sich aber auch dafür, wie lange — und ob die Menschen wieder herauskommen.
Speicherbegrenzung und Datenminimierung. Personenbezogene Daten müssen "dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt" sein und in identifizierbarer Form "nicht länger als es erforderlich ist" aufbewahrt werden (Art. 5 Abs. 1 lit. c und lit. e; CITE-20260608-1013). Für ein Event-Album heißt das: definierte Aufbewahrungsfristen und automatische Löschung — kein Album, das unbegrenzt auf einem Server vor sich hin treibt. Das spricht für Tools mit klarer Aufbewahrungsdauer gegenüber einem unbegrenzten "Für immer behalten"-Standard.
Das Recht auf Löschung. Jeder Gast kann verlangen, dass seine Daten gelöscht werden, und der Verantwortliche muss "unverzüglich" handeln — in jedem Fall innerhalb eines Monats nach dem Antrag, verlängerbar um zwei weitere Monate bei komplexen oder zahlreichen Anträgen (Art. 17 Abs. 1 i. V. m. Art. 12 Abs. 3; CITE-20260608-1005, CITE-20260608-1006). Vor deinem Event lohnt es sich zu wissen, wie das gewählte Tool mit einer "Bitte lösch meine Fotos"-Nachricht umgeht — denn nach dem Gesetz tickt diese Uhr wirklich.
Sag es den Gästen von Anfang an. Wenn du Daten direkt bei den Menschen erhebst, musst du sie zum Zeitpunkt der Erhebung klar informieren: wer die Daten verantwortet, warum, auf welcher Rechtsgrundlage und welche Rechte sie haben (Art. 13 Abs. 1; CITE-20260608-1007). Bei einem Event ist das so einfach wie eine kurze Datenschutzzeile auf der Upload-Seite oder neben dem QR-Code — damit die Gäste wissen, in was sie sich da hineinscannen.
Gathmo ist EU-first gebaut, und wir zeigen lieber unsere Arbeit, als ein Siegel zu schwenken:
Zwei ehrliche Einschränkungen, denn Vertrauen ist hier der ganze Punkt. Erstens: Gathmo ist nicht die einzige EU-gehostete Option — auch EventPics (österreichisch, ausdrücklich Cloudflare R2 EU), Weddies und FridaySnap (deutsche Server) halten Daten in der EU; unsere Stärke ist die Kombination aus benannter EU-Speicherung und Auftragsverarbeitungsverträgen neben Funktionen wie transkribierten Sprachnachrichten und echtem White-Label — kein Anspruch, die einzige zu sein. Zweitens: Gathmo bietet zum Start keine Gesichtserkennungs-Fotosuche und kein RSVP — beides steht auf der Roadmap, ist aber heute nicht im Produkt. Wir weisen darauf hin, weil Gesichtserkennung genau die Funktion ist, die aus gewöhnlichen Fotos besondere biometrische Daten nach Art. 9 machen würde (CITE-20260608-1002); ein Tool, das Gesichter abgleicht, um Gäste zu identifizieren, braucht eine eigene Grundlage der ausdrücklichen Einwilligung. Zu wissen, dass ein Tool das (noch) nicht tut, ist für viele Gastgeber selbst ein Feature.
