DSGVO und Eventfotos: Was jeder Gastgeber 2026 wissen muss

Wenn Sie auf Ihrer Hochzeit, Ihrer Party oder Ihrer Firmenveranstaltung Fotos und Videos von Gästen sammeln, verarbeiten Sie personenbezogene Daten anderer Menschen — und in der EU bedeutet das: Die DSGVO greift. Die gute Nachricht: Für eine ganz normale private Feier sind die Regeln deutlich vernünftiger, als das Kürzel vermuten lässt. Hier steht, worauf es wirklich ankommt — in klarer Sprache, mit den passenden Artikeln zum Nachschlagen.

Keine Rechtsberatung. Dies ist eine verständliche Zusammenfassung der Rechtslage für Gastgeber, mit direktem Bezug auf die Verordnung. Für einen konkreten Fall — gerade bei einer Firmen- oder öffentlichen Veranstaltung — sprechen Sie mit einer qualifizierten Datenschutzberatung.

Ein Foto, das eine Person erkennbar macht, ist ein personenbezogenes Datum. Aber hier liegt der Stolperstein, den viele übersehen: Ein Foto ist nicht automatisch ein „besonderes" (biometrisches) Datum. Nach Erwägungsgrund 51 der DSGVO wird ein Bild erst dann zum biometrischen Datum, wenn es mit „speziellen technischen Mitteln" verarbeitet wird, „die die eindeutige Identifizierung" einer Person ermöglichen — also durch Gesichtserkennung. Ein normales geteiltes Fotoalbum ist somit ein gewöhnliches personenbezogenes Datum; eine App, die Gäste per Gesichtsabgleich erkennt, um ihre Fotos zu gruppieren, verarbeitet hingegen biometrische Daten und unterliegt einem deutlich strengeren Regime (Art. 9) — in der Regel mit ausdrücklicher Einwilligung. (DSGVO Erwägungsgrund 51; Art. 9 Abs. 1)

Fazit: Ein einfaches QR-Fotoalbum ist risikoarm. Foto-Finder mit Gesichtserkennung sind es nicht — wer so etwas einsetzt, braucht ein ausdrückliches Opt-in.

Um die Fotos Ihrer Gäste zu verarbeiten, brauchen Sie eine Rechtsgrundlage nach Art. 6. Zwei kommen für Gastgeber realistisch in Frage:

Fazit: Bei einer privaten Hochzeit oder Party deckt das berechtigte Interesse ein Gäste-Fotoalbum meistens ab. Setzen Sie auf eine klare Einwilligung, wenn Kinder im Mittelpunkt stehen, wenn Sie Fotos öffentlich veröffentlichen oder immer dann, wenn Sie unsicher sind.

Die DSGVO kennt eine Ausnahme für „ausschließlich persönliche oder familiäre Tätigkeiten" (Art. 2 Abs. 2 lit. c, Erwägungsgrund 18). Eine Privatperson, die auf der eigenen Geburtstagsfeier oder Hochzeit Fotos sammelt und sie nur mit den Gästen teilt, fällt in der Regel aus dem vollen Anwendungsbereich der DSGVO heraus. Aber die Ausnahme ist eng: Sobald Fotos öffentlich veröffentlicht werden oder systematisch Personen außerhalb des eigenen familiären Umfelds erfassen, gilt sie nicht mehr — das hat der EuGH im Fall Ryneš (C-212/13, 2014) klargestellt. Und für ein Unternehmen, das eine Veranstaltung ausrichtet, gilt sie nie. (Art. 2 Abs. 2 lit. c; Erwägungsgrund 18; EuGH C-212/13)

Fazit: Ein privates Album nur für geladene Gäste = geringe Pflichten. Eine öffentliche Galerie oder jede Firmenveranstaltung = volle DSGVO.

Nach Art. 13 müssen Sie Menschen, von denen Sie Daten direkt erheben, im Moment der Erhebung mitteilen, wer die Daten erhebt, wozu und auf welcher Rechtsgrundlage (und, wenn Sie sich auf das berechtigte Interesse stützen, worin dieses besteht). Bei einer Veranstaltung reicht dafür eine Zeile auf Ihrem QR-Schild und auf dem Upload-Bildschirm: „Die von Ihnen hochgeladenen Fotos werden von [Gastgeber] erhoben, um ein gemeinsames Event-Album zu erstellen; Hosting in der EU; Sie können verlangen, dass jedes Foto von Ihnen gelöscht wird." (DSGVO Art. 13 Abs. 1)

Das Recht auf Löschung (Art. 17) erlaubt es einem Gast, von Ihnen die Löschung seiner Daten zu verlangen (zum Beispiel, nachdem er seine Einwilligung widerrufen hat). Sie müssen unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang des Antrags handeln (Art. 12 Abs. 3), verlängerbar um zwei weitere Monate nur bei wirklich komplexen Fällen und mit Benachrichtigung. Welches Tool Sie auch nutzen — es sollte das Löschen eines einzelnen Fotos einfach machen. (DSGVO Art. 17 Abs. 1; Art. 12 Abs. 3)

Fazit: Wählen Sie eine Plattform, auf der Sie (oder der Gast) ein Foto schnell entfernen können — die gesetzliche Monatsfrist ist real.

Für Online-Dienste legt Art. 8 ein Einwilligungsalter fest, das je nach Land variiert — Deutschland bleibt bei 16, Österreich bei 14. Auf einem Kindergeburtstag ist die praktische Antwort einfach: Holen Sie die Zustimmung der Eltern ein, bevor Sie Fotos ihrer Kinder erheben und vor allem bevor Sie sie teilen, halten Sie das Album privat und löschen Sie auf Anfrage sofort. (DSGVO Art. 8 Abs. 1; BDSG (DE); § 4 Abs. 4 DSG (AT))

Hier wird die Tool-Wahl zur Compliance-Entscheidung. Die Fotos von EU-Bürgern an einen in den USA gehosteten Dienst zu senden, ist eine internationale Datenübermittlung und unterliegt Kapitel V. Nachdem Schrems II (C-311/18) den Privacy Shield gekippt hatte, stützten sich Übermittlungen auf Standardvertragsklauseln; der EU-US Data Privacy Framework stellte 2023 dann wieder einen Angemessenheitsweg her — auch wenn er weiterhin gerichtlich angefochten wird. Der sauberste Weg, die ganze Frage zu vermeiden, ist, die Daten in der EU zu halten. (DSGVO Kapitel V; EuGH C-311/18; Durchführungsbeschluss (EU) 2023/1795 der Kommission)

Die meisten Event-Foto-Apps werden in den USA gehostet. Einige wenige — darunter Gathmo (EU/Frankfurt) und EventPics (Cloudflare R2 EU) — hosten in der EU und ersparen sich damit die Übermittlungsprüfung für EU-Veranstaltungen. (research-foundation/02 — eu-residency tab, erfasst 2026-06-08)

Art. 5 verlangt Datenminimierung und Speicherbegrenzung — erheben Sie nur, was nötig ist, und bewahren Sie es nicht ewig auf. In der Praxis: Setzen Sie ein Ablaufdatum für das Album und löschen Sie die Sammlung, wenn ihr Zweck erfüllt ist. Eine Plattform, die Alben automatisch ablaufen lässt (statt sie still zu archivieren), erledigt das von selbst. (DSGVO Art. 5 Abs. 1 lit. c, e)

Wenn Sie eine Firmenveranstaltung ausrichten, verarbeitet die Plattform Mitarbeiter- und Gästedaten in Ihrem Auftrag — das ist ein Verhältnis von Verantwortlichem und Auftragsverarbeiter, und Art. 28 verlangt einen schriftlichen Auftragsverarbeitungsvertrag (AVV), der Umfang der Verarbeitung, Sicherheit, Unterauftragsverarbeiter, Unterstützung bei Betroffenenrechten und Löschung am Ende des Dienstes abdeckt. Verlangen Sie von jedem Anbieter den AVV, bevor Sie unterschreiben; ein ernstzunehmendes B2B-Tool hat ihn parat. (In Deutschland berührt die Verarbeitung von Beschäftigtendaten zudem BDSG § 26.) (DSGVO Art. 28 Abs. 3; BDSG § 26)

Bei einer privaten Hochzeit ist der risikoärmste Aufbau meist einfach: Album nur für geladene Gäste, kurzer Hinweis neben dem QR-Code, keine Gesichtserkennung ohne aktives Opt-in und eine einfache Möglichkeit, Fotos entfernen zu lassen. Das Paar braucht nicht für jedes Schnappschussfoto einen juristischen Prozess, sollte aber vermeiden, ein privates Album ohne Nachdenken zur öffentlichen Galerie zu machen.

Bei einem Kindergeburtstag gelten dieselben Grundlagen, aber mit mehr Sorgfalt. Eltern sollten wissen, wohin Fotos gehen, wer das Album sehen kann und wie lange es online bleibt. Ein privates QR-Album ist etwas anderes als das öffentliche Posten aller Kinderfotos in sozialen Netzwerken. Wenn ein Elternteil darum bittet, ein Kind nicht aufzunehmen, löschen Sie das Foto.

Bei einem Company Offsite oder einer Konferenz behandeln Sie den Ablauf wie ein kleines Datenverarbeitungsprojekt. Klären Sie, wer Verantwortlicher ist, prüfen Sie den AVV der Plattform, bringen Sie einen klaren Upload-Hinweis am QR-Schild an, vermeiden Sie unnötige Gesichtserkennung und nutzen Sie ein definiertes Aufbewahrungsfenster. Sind Mitarbeitende in Deutschland betroffen, sollte HR den § 26 BDSG kennen.

Bei einem öffentlichen oder ticketbasierten Event sollten Sie davon ausgehen, dass die DSGVO vollständig greift. Dann können auch Veranstaltungsbeschilderung, Anweisungen für Mitarbeitende und eine Moderation nötig sein, damit hochgeladene Bilder keine Personen bloßstellen, die nicht öffentlich erscheinen wollten. Je öffentlicher das Event, desto weniger taugt „Fotos passieren auf Events eben" als Datenschutzkonzept.

Auf einer Tischkarte braucht es keine Gesetzessprache. Es braucht Klarheit. Ein praktischer Hinweis kann kurz sein:

Fotos und Nachrichten, die Sie hochladen, werden von [Name des Gastgebers] für dieses Event-Album gesammelt. Das Album ist privat, in der EU gehostet und für geladene Gäste verfügbar. Wenn ein Foto von Ihnen entfernt werden soll, kontaktieren Sie [E-Mail/Telefon].

Bei einem Firmenevent ergänzen Sie den Unternehmensnamen und einen Link zur vollständigen Datenschutzerklärung. Bei Hochzeit oder privater Party reicht der Gastgeber als Kontakt. Bei Kinder-Events erwähnen Sie, dass Eltern die Entfernung von Fotos ihres Kindes verlangen können. Entscheidend ist, dass Gäste vor dem Upload verstehen: wer sammelt, warum, wo die Daten liegen und wie sie widersprechen können.