Auftragsverarbeitungsverträge für Event-Tech: Was Sie vor der Unterschrift prüfen sollten

Ein Tool zum Fototeilen für die nächste Konferenz wirkt wie eine kleine Anschaffung. Es ist ein Event, ein paar hundert Gäste, ein QR-Code auf dem Lanyard. Dann fragt die Rechtsabteilung nach dem Auftragsverarbeitungsvertrag – und aus der kleinen Anschaffung wird eine Einkaufsfrage. Denn in dem Moment, in dem dieses Tool das Foto eines identifizierbaren Gastes erfasst, verarbeitet es personenbezogene Daten in Ihrem Auftrag, und der Vertrag, der diese Verarbeitung regelt, ist der AV-Vertrag.

Dieser Leitfaden richtet sich an die Person, die dieses Dokument vor der Unterschrift lesen muss: an die Eventmanagerin, die HR-Leitung, die Person im Einkauf oder in der IT, die Firmenveranstaltungen in der EU/im EWR betreut und prüft. Er führt durch das, was ein Auftragsverarbeitungsvertrag nach der DSGVO enthalten muss, und durch das, was Sie im AV-Vertrag eines Anbieters prüfen sollten, bevor Sie sich binden. Das Ziel ist nicht, aus Ihnen einen Juristen zu machen – es ist, Sie in die Lage zu versetzen, einen AV-Vertrag zu lesen, Klausel für Klausel zu erkennen, wie „gut" aussieht, und die Lücken zu finden, die eine Unterschrift verhindern sollten.

Keine Rechtsberatung. Dieser Artikel dient der allgemeinen Orientierung und zitiert die DSGVO direkt, damit Sie jeden Punkt am Quelltext nachvollziehen können. Er ersetzt keine Beratung durch Ihren eigenen Datenschutzbeauftragten oder Ihre Rechtsabteilung zu Ihrer konkreten Veranstaltung. Wo dieser Artikel eine Gathmo-Funktion nennt, geschieht das, um zu zeigen, wie eine rechtskonforme Konstellation in der Praxis aussieht – prüfen Sie das Äquivalent für die Plattform, für die Sie sich entscheiden.

Der AV-Vertrag ist kein Formblatt. Er ist das Rechtsinstrument, das die DSGVO verlangt, sobald eine Organisation personenbezogene Daten im Auftrag einer anderen verarbeitet – und es gibt ihn wegen der Art, wie die Verordnung die Verantwortung aufteilt. Wenn Sie eine Firmenveranstaltung durchführen und entscheiden, Fotos und Videos der Gäste zu erheben, ist Ihre Organisation der Verantwortliche – Sie entscheiden, warum und wie die Daten verarbeitet werden. Die Plattform zum Fototeilen, die diese Bilder auf Ihre Weisung speichert und anzeigt, ist der Auftragsverarbeiter. Art. 28 bestimmt, dass diese Beziehung „durch einen Vertrag oder ein anderes Rechtsinstrument" geregelt sein muss, das den Auftragsverarbeiter bindet – eine schriftliche Vereinbarung, die Gegenstand und Dauer der Verarbeitung, ihre Art und ihren Zweck, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen festlegt (Art. 28 Abs. 3 DSGVO).

Verarbeitet ein Event-Tech-Anbieter also die personenbezogenen Daten Ihrer Gäste, verpflichtet Sie das EU-Recht zu einem AV-Vertrag – es gibt keine Ausnahme nach dem Motto „ist doch nur ein Event", und die Pflicht trifft Sie als Verantwortlichen genauso wie den Anbieter. Ein fehlender oder dünner AV-Vertrag ist deshalb ein K.-o.-Kriterium, kein Nice-to-have: Er ist das eine Dokument, das die gesamte Konstellation rechtmäßig macht.

Eine Eingrenzung vor den Klauseln: Alles, was folgt, geht von gewöhnlichen Foto- und Videogalerien aus – dem Speichern und Anzeigen von Bildern. Sobald ein Tool Gesichtserkennung einsetzt, um Gäste zu gruppieren oder zu identifizieren, ändern sich die Daten und die Pflichten grundlegend (mehr dazu unten bei den Unterauftragsverarbeitern); eine Gesichtsvorlage (Template), die zur eindeutigen Identifizierung einer Person erstellt wird, ist biometrisches Datum unter einem weit strengeren Regime (Art. 9 Abs. 1 DSGVO; Erwägungsgrund 51).

Ein AV-Vertrag ist nicht „gut", weil er lang ist oder auf dem Briefkopf einer Kanzlei steht. Er ist gut, wenn er tatsächlich das enthält, was Art. 28 Abs. 3 verlangt. Lesen Sie die Vereinbarung jedes Anbieters gegen diese Elemente – ein AV-Vertrag, der sie auslässt, ist unvollständig, so geschliffen er auch aussehen mag:

Diese neun Elemente sind das Rückgrat jedes rechtskonformen AV-Vertrags. Sie müssen sich die Buchstaben der Unterabsätze nicht merken – aber wenn Sie die Vereinbarung eines Anbieters lesen, sollten Sie jeden Gedanken darin wiederfinden können. Eine Lücke hier ist keine Formatierungsfrage; sie ist eine fehlende Rechtspflicht.

Die Klauseln oben sagen Ihnen, was ein AV-Vertrag aussagen muss. Dieser Abschnitt handelt davon, was Sie bei einem konkreten Anbieter prüfen sollten, bevor Sie unterschreiben – die praktischen Fragen, an denen sich eine Einkaufsprüfung tatsächlich entscheidet. Arbeiten Sie sie der Reihe nach ab; die erste ist eine Hürde.

Fällt Punkt 1 durch, ist der Rest gegenstandslos. Besteht er ihn, stolpert aber über 3, 4 oder 5, dann haben Sie konkrete, zitierfähige Lücken, die Sie vor der Unterschrift ansprechen können – genau die Position, die Sie in einer Einkaufsprüfung haben wollen.

Bei Event-Tech verbirgt die Klausel zu den Unterauftragsverarbeitern das folgenreichste Detail – denn eine Plattform zum Fototeilen macht selten alles selbst. Sie nutzt Cloud-Speicher, einen Anbieter für Medienverarbeitung, vielleicht einen E-Mail- oder SMS-Dienst, womöglich eine KI-Moderations-Engine. Jeder ist ein Unterauftragsverarbeiter, der die Daten Ihrer Gäste anfasst, und Art. 28 verlangt, dass dieselben Pflichten an sie weitergereicht werden (Art. 28 Abs. 3 lit. d DSGVO). Zwei Dinge sind über „existiert die Klausel?" hinaus zu prüfen:

Wer sind sie, und wo sitzen sie? Eine benannte Liste der Unterauftragsverarbeiter macht den Rest Ihrer Analyse erst möglich. Ein Anbieter außerhalb der EU in der Kette ist nicht automatisch ein Ausschlusskriterium – aber er ist der Punkt, an dem die Übermittlungsregeln greifen, und das müssen Sie wissen. Ein Anbieter, der seine Unterauftragsverarbeiter veröffentlicht, gibt Ihnen die Landkarte; einer, der das nicht tut, verlangt von Ihnen, blind zu unterschreiben.

Zieht Sie der Stack in strengere Regime, die Sie gar nicht wollten? Das ist die Gesichtserkennungs-Falle. Ein Foto eines Gesichts ist nicht automatisch ein besonderes Datum – Erwägungsgrund 51 bestätigt, dass Bilder nur dann biometrische Daten sind, „wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen". Aber eine Gesichtsabgleichs-Engine, die Templates erstellt, um Gäste zu gruppieren oder Menschen „alle Fotos von mir finden" zu lassen, verarbeitet biometrische Daten zum Zweck der eindeutigen Identifizierung einer Person – und das verbietet Art. 9 Abs. 1, sofern keine Ausnahme (typischerweise eine gesonderte, ausdrückliche Einwilligung) greift (Art. 9 Abs. 1 DSGVO; Erwägungsgrund 51). Mehrere Tools in diesem Markt werben prominent mit Gesichtserkennungs-Fotosuche; bei einer Firmenveranstaltung mit Beschäftigten verwandelt dieser eine Unterauftragsverarbeiter Ihre Fotosammlung in eine Verarbeitung nach Art. 9 und in eine Pflicht zur ausdrücklichen Einwilligung, die Sie nie übernehmen wollten. Die Liste der Unterauftragsverarbeiter ist also auch der Ort, an dem Sie prüfen, ob die Datenkategorie still und leise eskaliert.

Hinweis zum Tool. Gathmo bietet zum Start keine Gesichtserkennung oder Gesichtssuche; das ist ein Roadmap-Punkt für Phase 2, kein aktives Feature. Für einen Firmenkunden ist genau dieses Fehlen der Punkt – gewöhnliche Galerien erstellen keine Gesichtsvorlagen, bleiben damit standardmäßig außerhalb von Art. 9, und die Datenkategorie eskaliert nicht unter Ihnen.

Ein AV-Vertrag sagt Ihnen für sich genommen nicht, wo Ihre Daten liegen. Er regelt die Beziehung; der Ort der Verarbeitung ist eine gesonderte Tatsache, die Sie feststellen müssen – und sie entscheidet, wie viel vom Übermittlungsregime Sie trifft. Übermittlungen außerhalb der EU sind nur rechtmäßig auf Grundlage eines Angemessenheitsbeschlusses (Art. 45) oder geeigneter Garantien wie der Standardvertragsklauseln (Art. 46), mit durchsetzbaren Rechten und Rechtsbehelfen (Art. 45, Art. 46 Abs. 2 lit. c DSGVO). Der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (erlassen im Juli 2023) ist Stand Mitte 2026 weiterhin in Kraft, sodass Übermittlungen an DPF-zertifizierte US-Organisationen möglich sind – aber er ist nicht risikofrei, und SCC plus eine Transfer-Folgenabschätzung bleiben der umsichtige Rückfallweg (EuGH C-311/18 Schrems II; Angemessenheitsbeschluss der Kommission zum DPF, 2023).

Die saubere Abkürzung besteht darin, die Frage ganz zu vermeiden: Halten Sie die Daten in der EU, gibt es keine Übermittlung zu bewerten. Hier spaltet sich der Event-Tech-Markt scharf – betrachtet man nur die jeweils öffentlich verfügbaren Angaben jedes Anbieters, erfasst am 08.06.2026:

Gathmo ist für genau diese Prüfung gebaut: EU-Datenspeicherung, mit der Primärdatenbank in Frankfurt, EU-Objektspeicher und EU-Rechenleistung sowie AV-Verträgen mit den eingesetzten Auftragsverarbeitern. Der Serverstandort kommt mit Beweis – einem benannten Rechenzentrumsstandort, kein Marketingsiegel. Seien Sie dabei präzise: Mehrere Anbieter werben mit „europäischen Servern", weshalb ein Einkaufsteam auf überprüfbaren Nachweis plus einen unterzeichneten AV-Vertrag prüfen sollte, nicht auf die EU-Behauptung allein.

Von allen Pflichten, die ein AV-Vertrag trägt, wird die Löschung am ehesten in der Praxis auf die Probe gestellt – denn Ihre Gäste haben ein Recht darauf, und es kommt mit einer Uhr. Nach Art. 17 Abs. 1 kann eine betroffene Person die Löschung ohne unangemessene Verzögerung verlangen, wenn ein Grund vorliegt (die Daten sind nicht mehr erforderlich, oder die Einwilligung wird widerrufen und es gibt keine andere Rechtsgrundlage), und Art. 12 Abs. 3 setzt die Frist: ohne unangemessene Verzögerung und in jedem Fall innerhalb eines Monats nach Eingang zu reagieren, verlängerbar um zwei weitere Monate nur bei wirklich komplexen oder zahlreichen Anliegen und nur mit Mitteilung über die Verlängerung innerhalb dieses ersten Monats (Art. 17 Abs. 1; Art. 12 Abs. 3 DSGVO).

Für den AV-Vertrag sind das zwei Prüfungen. Erstens: Verpflichtet der Vertrag den Auftragsverarbeiter, bei der Löschung auf Verlangen – einschließlich des Löschverlangens einer konkreten Person – zu unterstützen und sie innerhalb der gesetzlichen Frist umzusetzen? Das ist die Pflicht aus Art. 28 Abs. 3 lit. e konkret gemacht; fragen Sie direkt danach und lassen Sie es sich schriftlich geben. Zweitens: Endet die Beauftragung mit der Löschung oder Rückgabe aller Daten (Art. 28 Abs. 3 lit. g)? Bei Gathmo ist die DSGVO-konforme Löschung auf Anfrage Teil des Modells – in jedem Tarif innerhalb der gesetzlichen Frist umgesetzt –, und weil alles in einer verwalteten Galerie landet, ist ein Ein-Monats-Löschverlangen ein Handgriff, kein Gerangel über Handys und geteilte Laufwerke hinweg.

Ein letztes Wort zur Standardalternative – Eventfotos über eine WhatsApp-Gruppe, ein geteiltes Laufwerk oder eine Kette persönlicher E-Mails zu sammeln. Dieser Weg hat keinen schwachen AV-Vertrag; er hat gar keinen und keine Möglichkeit dazu – kein Auftragsverarbeiter, mit dem man kontrahieren könnte, keine Liste der Unterauftragsverarbeiter, keine definierte Aufbewahrung, kein Löschweg, kein Audit-Trail. (Er ist auch bei den Beteiligten im Chat unbeliebt: Eine Umfrage ergab, dass sich 40 % der Befragten von Gruppenchat-Nachrichten und Benachrichtigungen überfordert fühlten – The Conversation, 2023.) Eine Ad-hoc-Sammlung kann eine AV-Vertrag-Prüfung nicht bestehen, weil es nichts zu prüfen gibt.