EU-Datenspeicherung für Eventfotos: Warum der Serverstandort über die Freigabe im Einkauf entscheidet

Ein Tool zum Fototeilen für die nächste Konferenz wirkt auf den ersten Blick wie eine harmlose Anschaffung. Die Gäste scannen einen QR-Code, laden vom Handy hoch, und Sie bekommen das Album. So etwas kann eine Eventmanagerin an einem Nachmittag buchen – bis es auf dem Schreibtisch der Person landet, die für das Lieferantenrisiko verantwortlich ist, und die erste Rückfrage kommt: Wo liegen die Daten eigentlich?

Für ein europäisches Unternehmen ist diese Frage keine bürokratische Schikane – sie entscheidet darüber, ob das Tool überhaupt freigegeben werden kann. Die Fotos sind personenbezogene Daten identifizierbarer Mitarbeiter, Kunden und Gäste, und in dem Moment, in dem sie ein Handy verlassen und auf einem Server landen, zieht die Rechtsordnung dieses Servers die Anschaffung in einen Rechtsrahmen hinein – die Regeln der DSGVO zur internationalen Datenübermittlung –, den der Einkauf vor der Unterschrift klären muss.

Dieser Leitfaden richtet sich an die Menschen, die genau diese Frage beantworten: Einkauf, IT und die Rechtsabteilung, die eine Plattform für Eventfotos prüfen. Er erklärt, was „EU-Datenspeicherung" wirklich bedeutet (und wie sie sich von „DSGVO-konform" unterscheidet), warum sie Ihrem Team eine konkrete rechtliche Last abnimmt, wie die Regeln zum EU-US-Datentransfer Mitte 2026 stehen und wie Sie die Standortzusage eines Anbieters überprüfen, statt dem Siegel zu vertrauen. Er ist für den EU/EWR-Kontext geschrieben.

Keine Rechtsberatung. Dieser Artikel erläutert die einschlägigen DSGVO-Vorschriften und dient nur der allgemeinen Orientierung. Er zitiert die Verordnung direkt, damit Sie jeden Punkt nachvollziehen können, ersetzt aber keine Beratung durch Ihren eigenen Datenschutzbeauftragten oder Ihre Rechtsabteilung zu Ihrer konkreten Situation.

Datenspeicherung (Data Residency) ist die Antwort auf die Frage, auf den Servern welchen Landes Ihre Daten physisch liegen und verarbeitet werden. Bei einer Plattform für Eventfotos sind das die Uploads selbst – Fotos, Videos, Sprachnachrichten – plus die Datenbankeinträge und alle Backups, die sie beschreiben.

Es lohnt sich, drei Dinge auseinanderzuhalten, die Anbieter in ihren Marketingtexten gern verwischen:

Diese Unterscheidung ist für den Einkauf entscheidend, weil der Serverstandort die eine Tatsache ist, die darüber bestimmt, ob überhaupt eine Übermittlung personenbezogener Daten aus der EU stattgefunden hat. Bleiben die Daten in der EU, kommen die Übermittlungsregeln aus Kapitel V der DSGVO nie ins Spiel. Wandern sie in ein Drittland, dann schon – mit allem, was daraus folgt.

Weil die DSGVO das Verlassen der EU zu einem regulierten Vorgang macht – und die Beweislast dafür, dass er rechtmäßig erfolgte, bei Ihnen liegt, dem Verantwortlichen, nicht beim Anbieter.

Nach Kapitel V ist eine Übermittlung personenbezogener Daten in ein Drittland nur rechtmäßig, wenn sie auf einem Angemessenheitsbeschluss (Art. 45) beruht oder, ersatzweise, auf geeigneten Garantien wie den Standardvertragsklauseln der Europäischen Kommission (Art. 46 Abs. 2 lit. c) – mit durchsetzbaren Betroffenenrechten und wirksamen Rechtsbehelfen. Das ist kein Häkchen, das ein Anbieter für Sie setzt. Werden Ihre Konferenzfotos in den Vereinigten Staaten verarbeitet, muss Ihre Organisation darlegen, welcher Mechanismus das rechtmäßig gemacht hat – und, nach Schrems II, dass Sie das Zielland bewertet und zusätzliche Schutzmaßnahmen dokumentiert haben (mehr zum aktuellen Stand weiter unten).

In der Praxis ist das konkrete Arbeit, die ein US-gehostetes Tool erzeugt und ein EU-gehostetes Tool erspart: ein Transfer-Folgenabschätzung (Transfer Impact Assessment), die durchzuführen und zu dokumentieren ist, eine belastbare Rechtsgrundlage in der Akte, die für eine Aufsichtsbehörde bereitliegt, und ein dauerhaftes Risiko durch einen Rechtsstatus, der sich im letzten Jahrzehnt mehr als einmal verschoben hat – jede Verschiebung eine Neubewertung für jeden US-Anbieter, den Sie nutzen. Bleiben die Daten in der EU, fällt all das auf null zusammen: keine Übermittlung, also kein Mechanismus zu wählen, keine Folgenabschätzung und kein Angemessenheitsbeschluss, dessen Schicksal Sie verfolgen müssen. Für ein Team, das ein geringwertiges Tool ohne einen Monat juristischer Prüfung freigeben will, ist genau das der Wert des Serverstandorts – der Unterschied zwischen einer schnellen Freigabe und einer offenen Compliance-Akte.

Ein Auftragsverarbeitungsvertrag und der Serverstandort beantworten zwei verschiedene Fragen, und in der Regel brauchen Sie beides. Wenn ein externes Tool personenbezogene Daten in Ihrem Auftrag und nach Ihren dokumentierten Weisungen verarbeitet, verlangt Art. 28 Abs. 3 einen verbindlichen schriftlichen Vertrag – den AV-Vertrag (Auftragsverarbeitung) –, der regelt, wie der Auftragsverarbeiter mit den Daten umgeht. Aber dieser Vertrag beantwortet für sich genommen nicht, wo die Daten liegen oder ob eine grenzüberschreitende Übermittlung rechtmäßig ist; das ist die gesonderte Frage aus Kapitel V von oben. Ein Anbieter kann Ihnen einen tadellosen AV-Vertrag nach Art. 28 aushändigen und Ihre Fotos trotzdem in einem Drittland verarbeiten – damit bleibt die Übermittlungsfrage offen. Die Einkaufs-Checkliste lautet deshalb nicht „AV-Vertrag oder EU-Standort"; sie lautet „AV-Vertrag und eine klare Antwort zum Serverstandort". (Was ein AV-Vertrag nach Art. 28 inhaltlich enthalten muss, lesen Sie in unserem Begleitartikel Auftragsverarbeitungsverträge für Event-Tech, unten verlinkt.)

Das ist der Teil, der den Serverstandort als Vereinfachung so attraktiv macht. Kurz gesagt: Übermittlungen in die USA sind derzeit möglich, aber der Boden hat sich schon verschoben und ein Rechtsmittel ist anhängig – ein US-gehostetes Tool ist also eine laufende Bewertung, keine abgeschlossene. Der Stand der Dinge Mitte 2026:

Nichts davon ist ein Grund, wegen US-Tools in Panik zu verfallen. Es ist ein Grund anzuerkennen, dass man sich mit der Wahl eines solchen Tools eine Frage einhandelt, deren Antwort sich schon einmal geändert hat und sich wieder ändern kann – und jeden betroffenen Anbieter bei jeder Änderung neu zu verpapieren. Wer ein in der EU ansässiges Tool wählt, dem öffnet sich die Frage nie und steht außerhalb der Schusslinie der nächsten Entscheidung im Stil von Schrems.

Prüft man, wo diese Tools ihre Daten tatsächlich hosten, teilt sich der Markt in drei Lager. Die folgende Übersicht spiegelt die jeweils öffentlich verfügbaren Unternehmens- und Datenschutzangaben jedes Anbieters wider, erfasst am 08.06.2026 – die Lücken sind dabei so aufschlussreich wie die Aussagen.

Ausdrücklich in den USA. Mehrere beliebte Tools geben offen an, dass die Daten in den Vereinigten Staaten liegen, ohne EU-Option: GuestCam (gehostet auf US-basiertem Cloud-Speicher, kein EU-/europäisches Hosting), Kululu (primärer Content auf Google-Cloud-/Firebase-Servern in den USA), Fotify (betrieben von Lumenlio, LLC, einem Unternehmen aus Delaware) und Wedibox (ein US-Unternehmen, Wedibox LLC). Bei jedem davon befindet sich ein europäisches Unternehmen, das Mitarbeiter- oder Gästefotos verarbeitet, mitten im Drittlandtransfer-Gebiet und trägt die volle Bewertung.

Ausdrücklich in der EU ansässig. Eine kleinere Gruppe nennt EU-/EWR-Hosting direkt: EventPics (betrieben von einem österreichischen Unternehmen, Aigner Software e. U., Hosting in einer EU-Region), JoinMyMoment (EU-/EWR-Hosting, mit Unterauftragsverarbeitern in Deutschland (Hetzner), Frankreich (Scaleway) und AWS Frankfurt) und Lense (Server in der Europäischen Union, personenbezogene Daten dort primär gespeichert und verarbeitet). Das sind die Tools, bei denen sich die Übermittlungsfrage gar nicht erst stellt.

Unklar oder ungenannt – was für sich schon ein Warnzeichen ist. Ein beachtlicher Teil der Tools sagt nicht klar, wo die Daten liegen. Mehrere in Deutschland oder der EU vermarktete Apps stützen sich auf Formulierungen wie „Made in Germany" oder „europäische Server", ohne eine ausdrückliche Aussage zum Serverstandort; andere – mit nicht offengelegtem Firmensitz oder mit Betrieb auf Google Cloud ohne genannte EU-Region – lassen die Rechtsordnung wirklich im Dunkeln. Für den Einkauf gilt: Ein ungenannter Serverstandort ist ein Befund, kein neutraler Punkt. Wenn ein Anbieter Ihnen die Hosting-Rechtsordnung nicht schriftlich nennen kann, können Sie Ihre Übermittlungsanalyse nicht abschließen – und das Tool sollte die Prüfung nicht passieren, bis er es tut.

Eine Warnung: Eine EU-Standortzusage auf einer Marketingseite ist ein Ausgangspunkt, kein Beweis. Der nächste Abschnitt schließt diese Lücke.

„DSGVO-konform" auf einer Startseite ist eine Marketingbehauptung. Ein Einkaufsteam braucht einen Nachweis, den es zur Akte nehmen kann. Fünf Fragen machen aus einer Behauptung etwas Überprüfbares:

Beantworten Sie alle fünf Fragen sauber und schriftlich, haben Sie einen Serverstandort, den Sie verteidigen können. Verweisen Sie nur auf ein Siegel, haben Sie eine Behauptung, die Sie nicht halten können.

Gathmo ist für genau die Einkaufsfrage gebaut, um die es in diesem Artikel geht. Die Datenspeicherung liegt in der EU, mit Objektspeicher in der EU-Rechtsordnung, der Primärdatenbank in Frankfurt, EU-basierter Rechenleistung und bestehenden Auftragsverarbeitungsverträgen mit den eingesetzten Auftragsverarbeitern. Ein AV-Vertrag ist über alle Einzel-Event-Tarife auf Anfrage erhältlich und in den B2B-Abos Studio, Agency und Enterprise enthalten. Die Aufbewahrung ist definiert und endlich statt unbefristet (die Einzel-Event-Tarife reichen je nach Tarif von einem 14-Tage-Fenster bis zu 365 Tagen), was genau die Speicherbegrenzungs-Haltung ist, die Art. 5 Abs. 1 lit. e verlangt. Für ein Einkaufs- oder IT-Team, dessen Standardfrage lautet „Bleiben unsere Eventdaten damit in Europa?", ist das ein Ja, das mit dem Beweis kommt – einem benannten Rechenzentrum und AV-Verträgen mit den Auftragsverarbeitern – und nicht nur mit einem Marketingsiegel.

Zwei Punkte der Ehrlichkeit, denn der Einkauf sollte sie von uns hören und nicht später entdecken. Erstens: Gathmo bietet zum Start keine Gesichtserkennung oder Gesichtssuche – das ist ein Roadmap-Punkt für Phase 2, kein aktives Feature. Für einen Firmenkunden ist das selbst ein Vorteil: Gewöhnliche Fotogalerien, die keine Gesichtsvorlagen (Templates) erzeugen, vermeiden die erhöhte, gesonderte Pflicht zur biometrischen Einwilligung, die ein Gesichtsabgleich nach Art. 9 auslöst. Zweitens: Der Serverstandort wird zu einer überlaufenen Behauptung – mehrere Anbieter werben mit europäischen Servern –, deshalb würden wir Gathmos Vorteil nicht als „die einzige EU-Option" formulieren, sondern als EU-Standort, den Sie überprüfen können: eine benannte Rechtsordnung, eine nachvollziehbare Geschichte zu den Unterauftragsverarbeitern und ein unterzeichneter AV-Vertrag. Machen Sie die obige Fünf-Fragen-Prüfung mit uns; genau dafür ist sie da.