DSGVO und Mitarbeiterfotos bei Firmenveranstaltungen: Was HR 2026 wissen muss

Ihr Unternehmen hat gerade sein Sommer-Offsite hinter sich. Dreihundert Fotos liegen verstreut auf privaten Smartphones, in einer WhatsApp-Gruppe, die niemand sauber exportieren kann, und in einem geteilten Laufwerksordner, den jemand 2023 „nur kurz" angelegt hat. Die interne Kommunikation hätte gern zwölf gute Aufnahmen für den Newsletter. Und eine Mitarbeiterin hat gerade per E-Mail gebeten, dass nirgendwo Bilder von ihr veröffentlicht werden.

Diese letzte E-Mail ist die, die HR innehalten lassen sollte. Denn in dem Moment, in dem Ihre Organisation Fotos identifizierbarer Mitarbeiterinnen und Mitarbeiter erhebt, speichert oder veröffentlicht, greift die Datenschutz-Grundverordnung — und „es war doch nur die Weihnachtsfeier" ist keine Rechtfertigung, die eine Datenschutzbeauftragte akzeptieren wird.

Dieser Leitfaden führt HR-Verantwortliche und interne Eventplaner durch die DSGVO-Pflichten, die für Fotos von Mitarbeitenden bei Firmenveranstaltungen gelten: Worin Ihre Rechtsgrundlage tatsächlich besteht, wann Sie eine Einwilligung brauchen und wann nicht, wie lange Sie die Bilder aufbewahren dürfen und was Sie von jedem Foto-Tool verlangen sollten, bevor es auch nur ein einziges Mitarbeitergesicht zu sehen bekommt. Er ist für den EU/EWR-Kontext geschrieben, mit konkreten Hinweisen für Deutschland.

Keine Rechtsberatung. Dieser Artikel erläutert die einschlägigen DSGVO-Vorschriften und dient nur der allgemeinen Orientierung. Er zitiert die Verordnung direkt, damit Sie jeden Punkt nachprüfen können, ersetzt aber nicht die Beratung durch Ihre eigene Datenschutzbeauftragte oder Rechtsberatung zu Ihrer konkreten Situation.

Ja — und die „Privatnutzungs"-Ausnahme, die im Büro gern weitergereicht wird, rettet Sie nicht.

Die DSGVO nimmt die Verarbeitung aus, die „von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit erfolgt (Art. 2 Abs. 2 lit. c). Ein Gast, der privat seine eigenen Schnappschüsse von der Feier behält, kann unter diese Ausnahme fallen. Der Arbeitgeber nicht. Eine vom Unternehmen organisierte Veranstaltung, fotografiert zu Unternehmenszwecken — für einen Newsletter, ein Intranet, eine Recruiting-Seite, das nächste All-Hands-Deck —, ist definitionsgemäß eine berufliche und wirtschaftliche Tätigkeit. Die Ausnahme schützt die Einzelperson; sie schützt weder die Organisation, die als Verantwortliche handelt, noch eine Plattform, die in ihrem Auftrag als Auftragsverarbeiter tätig wird.

Es gibt eine weitere Grenze, die man kennen sollte. Der Europäische Gerichtshof hat im Fall Ryneš (C-212/13) die Haushaltsausnahme eng ausgelegt: Eine Verarbeitung, die „aus dem privaten Bereich der die Daten verarbeitenden Person nach außen gerichtet" ist — dort eine Videoüberwachung, die einen öffentlichen Raum erfasste —, kann nicht als ausschließlich persönlich gelten. Auf Veranstaltungen übertragen: Fotos anderer Personen über einen geschlossenen privaten Kreis hinaus zu veröffentlichen (etwa im offenen Internet) fällt wahrscheinlich aus der Ausnahme heraus und zieht den Veröffentlichenden mitten in den Anwendungsbereich der DSGVO.

Die praktische Antwort für HR ist also einfach: Gehen Sie davon aus, dass die DSGVO für jeden identifizierbaren Mitarbeitenden auf jedem Foto gilt, das Ihr Unternehmen erhebt — und zwar in der Sekunde, in der Sie es erheben.

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6. Für gewöhnliche Eventfotos kommen zwei realistisch in Frage: das berechtigte Interesse (Art. 6 Abs. 1 lit. f) und die Einwilligung (Art. 6 Abs. 1 lit. a).

Das berechtigte Interesse steht zur Verfügung, wo die Verarbeitung zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist und diese Interessen nicht von den Rechten und Freiheiten der betroffenen Person überwogen werden — eine Abwägung, die Sie tatsächlich vornehmen und dokumentieren müssen, mit erhöhtem Schutz, wenn ein Kind betroffen ist. Für risikoarme, intern gerichtete Veranstaltungsdokumentation können sich viele Organisationen darauf stützen.

Die Einwilligung muss für den bestimmten Fall, in informierter Weise und freiwillig erfolgen. Sie ist die sicherere Grundlage und wird zur erforderlichen Grundlage, wenn die Abwägung beim berechtigten Interesse scheitert oder besondere Datenkategorien betroffen sind.

Hier liegt der Haken, über den gerade HR stolpert: das Beschäftigungsverhältnis. Weil Mitarbeitende von ihrem Arbeitgeber abhängig sind, stehen Aufsichtsbehörden der Annahme skeptisch gegenüber, dass eine Einwilligung in diesem Kontext jemals wirklich „freiwillig" erfolgt. Das deutsche Bundesdatenschutzgesetz regelt Beschäftigtendaten unmittelbar in § 26 BDSG: Es erlaubt die Verarbeitung von Beschäftigtendaten, soweit sie für das Beschäftigungsverhältnis erforderlich ist, und erkennt an, dass eine Einwilligung im Beschäftigungskontext gültig sein kann, ihre Freiwilligkeit angesichts dieser Abhängigkeit aber bewertet werden muss — und sie sollte in der Regel schriftlich vorliegen.

Die ehrliche Lesart für die Unternehmensfotografie lautet: Die Erforderlichkeit nach § 26 passt für Marketing- oder Newsletter-Fotos meist schlecht (eine hochglänzende Recruiting-Aufnahme ist nicht „erforderlich", um den Arbeitsvertrag durchzuführen). Für alles, was nach außen gerichtet oder werblich ist, ist daher der belastbare Weg die freiwillig erteilte, dokumentierte Einwilligung mit einem klaren Recht, ohne jeden Nachteil abzulehnen. Beachten Sie außerdem: Nach europäischer und deutscher Rechtsprechung wurde § 26 Abs. 1 in Teilen für unionsrechtswidrig erklärt, und die Verarbeitung kann auch unmittelbar auf Art. 6 DSGVO gestützt werden — ein weiterer Grund, Ihre Fotos auf eine saubere, ausdrückliche Einwilligung zu gründen statt auf ein überdehntes Erforderlichkeitsargument.

Eine praktikable Faustregel für HR:

Das ist die Frage, die eine normale Fotogalerie von einem rechtlichen Minenfeld trennt — und genau hier erzeugen viele Event-Apps aus dem Consumer-Segment stillschweigend Risiken.

Ein Foto eines Gesichts ist nicht automatisch eine besondere Datenkategorie. Erwägungsgrund 51 der DSGVO ist eindeutig: Fotografien fallen nur dann unter die Definition biometrischer Daten, „wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen". Fotos bloß zu speichern und anzuzeigen, löst Art. 9 nicht aus.

Aber in dem Moment, in dem ein Tool eine Gesichtserkennung zur Merkmalsextraktion laufen lässt — also eine Gesichtsvorlage erstellt, um Gäste zu gruppieren oder zu identifizieren oder um Personen per Selfie „alle Fotos von mir finden" zu lassen —, verarbeitet es biometrische Daten zum Zweck der eindeutigen Identifizierung einer Person. Das verbietet Art. 9 Abs. 1, sofern kein spezifischer Ausnahmetatbestand greift (typischerweise eine gesonderte, ausdrückliche Einwilligung). Das ist eine deutlich höhere Hürde als die Einwilligung, die Sie für gewöhnliche Fotos eingeholt haben.

Das ist bei der Anbieterwahl entscheidend. Mehrere Wettbewerber in diesem Markt werben mit der Fotosuche per Gesichtserkennung als Aushänge-Funktion. Diese Funktion ist auf einer Hochzeit echt nützlich; bei einer Firmenveranstaltung mit Mitarbeitenden verwandelt sie Ihre Fotosammlung in eine Verarbeitung nach Art. 9 und verpflichtet Sie, eine ausdrückliche biometrische Einwilligung einzuholen und einen Erlaubnistatbestand nach Art. 9 zu dokumentieren. Für ein HR-Team, das schlicht die Offsite-Fotos an einem Ort haben möchte, ist das ein Risiko, nach dem Sie nicht gefragt haben.

Wichtig zum Tooling: Gathmo bietet zum Start keine Gesichtserkennung oder Gesichtssuche (das ist ein Punkt für Phase 2 auf der Roadmap, keine aktive Funktion). Für HR ist das Fehlen ein Vorteil: Gewöhnliche Fotogalerien, die keine Gesichtsvorlagen erstellen, halten Sie standardmäßig aus dem Bereich des Art. 9 heraus. Falls Sie eines Tages doch eine Gesichtssuche wollen, behandeln Sie das als bewusste, gesondert eingewilligte Entscheidung — nicht als etwas, das leise in einer App eingeschaltet wird.

Transparenz ist nicht optional, und sie ist nicht mit einem Schild erfüllt, das niemand liest. Wo Sie personenbezogene Daten unmittelbar bei der betroffenen Person erheben, verlangt Art. 13 Abs. 1, dass Sie ihr — zum Zeitpunkt der Erhebung — eine festgelegte Reihe von Informationen bereitstellen: die Identität und die Kontaktdaten des Verantwortlichen, die Zwecke und die Rechtsgrundlage der Verarbeitung und, wenn Sie sich auf das berechtigte Interesse stützen, die konkreten verfolgten berechtigten Interessen.

Für eine Veranstaltung bedeutet das einen klaren, zugänglichen Informationshinweis am Punkt der Aufnahme oder des Uploads: wer die Fotos verantwortet, warum, auf welcher Rechtsgrundlage, wie lange sie aufbewahrt werden und welche Rechte die betroffene Person hat. Ein QR-Code, der Mitarbeitende zu einer Upload-Seite führt, ist der natürliche Ort, um das sichtbar zu machen — die Landing- oder Upload-Seite kann den Hinweis tragen, sodass die Einwilligung (wo Sie sich darauf stützen) im Kontext erfasst wird, mit der Information direkt daneben.

Eine kurze, klare Checkliste für Ihren Hinweis:

Nicht unbegrenzt. Zwei Grundsätze aus Art. 5 regeln das:

In der Praxis heißt das: Legen Sie ein Aufbewahrungsfenster vor der Veranstaltung fest, nicht nach der Beschwerde. Eine Unternehmensgalerie, die nach einer festgelegten Frist automatisch löscht, statt für immer auf einem geteilten Laufwerk zu liegen, ist die sauberere Haltung. Hier schlägt ein eigens dafür gebautes Tool mit definierter, automatischer Aufbewahrung den improvisierten Ordner: Das System setzt die Speicherbegrenzung für Sie durch, statt sich darauf zu verlassen, dass jemand daran denkt, aufzuräumen.

Zur Orientierung: Gathmos Tarife pro Event tragen ausdrückliche, endliche Aufbewahrungsfenster — von 14 Tagen im Free-Tarif bis zu 365 Tagen im obersten Tarif — statt einer unbefristeten Speicherung, also genau das Verhalten, das Art. 5 Abs. 1 lit. e verlangt. Was auch immer Sie nutzen, das Prinzip ist dasselbe: ein festgelegtes Enddatum für die Daten.

Das ist das Recht auf Löschung — das „Recht auf Vergessenwerden" — und es ist keine Höflichkeit, die Sie ablehnen können.

Nach Art. 17 Abs. 1 kann eine betroffene Person vom Verantwortlichen verlangen, ihre personenbezogenen Daten unverzüglich zu löschen, wenn ein Grund vorliegt (etwa, weil die Daten für den Zweck nicht mehr erforderlich sind oder die Einwilligung widerrufen wird und keine andere Rechtsgrundlage besteht). Und es gibt eine harte Frist: Art. 12 Abs. 3 verlangt, dass Sie auf den Antrag unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang reagieren. Diese Frist kann um zwei weitere Monate verlängert werden, wenn der Antrag wirklich komplex oder umfangreich ist — aber nur, wenn Sie die betroffene Person innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren.

Für HR ergeben sich zwei operative Konsequenzen:

Wenn Sie einen Anbieter bewerten, stellen Sie die direkte Frage: Können Sie auf Anfrage die Inhalte einer bestimmten Person innerhalb der gesetzlichen Frist löschen — und verpflichten Sie sich dazu? Bei Gathmo ist die DSGVO-konforme Löschung auf Anfrage Teil des Modells. Wichtig für die Beschaffung ist, den Löschweg schriftlich zu haben — und ihn nicht erst während eines laufenden Antrags zu entdecken.

Wenn Ihre Teilnehmenden über mehrere EU-Mitgliedstaaten verteilt sind, gilt weiterhin die DSGVO — es gibt keine interne EU-Grenze, die an der Bewertung etwas ändert. Die größere Frage ist, wohin die Daten fließen, und genau dort wird die Plattformwahl zu einer Compliance-Entscheidung, nicht bloß zu einer Funktionsfrage.

Übermittlungen personenbezogener Daten außerhalb der EU sind nur rechtmäßig auf Grundlage eines Angemessenheitsbeschlusses (Art. 45) oder geeigneter Garantien wie Standardvertragsklauseln (Art. 46), mit durchsetzbaren Rechten und Rechtsbehelfen. Stand Mitte 2026 bleibt der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (angenommen im Juli 2023) in Kraft — das Gericht der Europäischen Union wies die erste Klage dagegen im September 2025 ab, eine Berufung ist beim EuGH anhängig, ohne dass ein Verhandlungstermin angekündigt wäre. Das macht Übermittlungen an DPF-zertifizierte US-Organisationen möglich, doch der Rahmen ist nicht risikofrei, und Standardvertragsklauseln plus eine Folgenabschätzung der Übermittlung (Transfer Impact Assessment) bleiben der umsichtige Rückfallweg.

Der einfachste Weg, die gesamte Übermittlungsfrage zu vermeiden, ist, die Daten von vornherein in der EU zu halten. Und hier teilt sich der Markt deutlich. Anhand der öffentlich verfügbaren Unternehmensangaben, Stand Juni 2026:

Gathmos Position ist genau für dieses Anliegen gebaut: Datenresidenz in der EU, mit Objektspeicher in der EU-Jurisdiktion, der primären Datenbank in Frankfurt, EU-Compute und Auftragsverarbeitungsverträgen mit seinen Auftragsverarbeitern. Für ein HR- oder Beschaffungsteam, dessen Standardfrage lautet „Bleiben damit die Mitarbeiterdaten in Europa?", ist das ein Ja, das Sie der Rechtsabteilung vorlegen können — und die Residenz kommt mit dem Beleg (benanntes Rechenzentrum, Auftragsverarbeitungsverträge), nicht mit einem Marketing-Siegel. Dabei lohnt sich Präzision: Mehrere Anbieter werben mit europäischen Servern, das Unterscheidungsmerkmal ist also der nachprüfbare Beleg und ein unterzeichneter AVV, nicht die EU-Behauptung allein.

Das ist der Teil, den die Beschaffung nicht überspringen kann. Wenn ein externes Tool personenbezogene Daten in Ihrem Auftrag und nach Ihren Weisungen verarbeitet, ist die Beziehung die von Verantwortlichem zu Auftragsverarbeiter, und die DSGVO verlangt, dass sie durch einen verbindlichen schriftlichen Vertrag geregelt wird — einen Auftragsverarbeitungsvertrag (AVV) — nach Art. 28 Abs. 3.

Dieser Vertrag ist keine Standardformel, die Sie durchwinken können. Art. 28 Abs. 3 verlangt, dass er Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie die Rechte und Pflichten des Verantwortlichen festlegt — und dass er dem Auftragsverarbeiter eine bestimmte Reihe von Pflichten auferlegt: Verarbeitung nur nach Ihren dokumentierten Weisungen, Vertraulichkeit, Sicherheitsmaßnahmen nach Art. 32, Bedingungen für die Einbindung von Unterauftragsverarbeitern, Unterstützung bei den Betroffenenrechten, Löschung oder Rückgabe der Daten am Ende des Dienstes und die Duldung von Prüfungen.

Im Klartext: Ihre Organisation ist der Verantwortliche; das Foto-Tool ist der Auftragsverarbeiter; und Sie brauchen einen konformen AVV mit ihm, bevor Mitarbeiterfotos auch nur in seine Nähe kommen. Ein Anbieter, der keinen vorlegen kann, ist kein Anbieter, den ein EU-Unternehmen nutzen kann.

Wenn Sie Tools prüfen, ist das die Frage mit dem höchsten Wert:

Gathmo stellt einen AVV bereit — auf Anfrage über die Tarife pro Event und inklusive in den B2B-Abos Studio, Agency und Enterprise. Der Kontrast, auf den Sie Ihre Rechtsabteilung hinweisen sollten: In diesem Markt sind ein eigener, herunterladbarer AVV und eine veröffentlichte Liste der Unterauftragsverarbeiter die Ausnahme, nicht die Regel — viele auf Endkunden ausgerichtete Tools bieten schlicht keinen an.

Wenn Sie Fotos über einen scanbaren Code auf Lanyards, Tischkarten oder Bühnenbeschilderung erheben, halten ein paar praktische Vorgaben ihn nutzbar — und die Upload-Seite ist zugleich der richtige Ort für Ihren Informationshinweis nach Art. 13. Für Lanyards und Namensschilder halten Sie den Code mindestens 2 x 2 cm groß (2,5 x 2,5 cm sind auf Armlänge angenehmer); auf einem Bühnenbanner, das man von der anderen Saalseite betrachtet, deutlich größer. Halten Sie den erforderlichen Ruhezonen-Rand drumherum ein, verwenden Sie einen dunklen Code auf hellem Untergrund und drucken und scannen Sie immer einen Probeabzug in Originalgröße, bevor Sie Hunderte drucken. Ein Code, der sich nicht scannen lässt, kostet nicht nur Fotos — er schickt frustrierte Mitarbeitende irgendwohin, nur nicht zu Ihrem Einwilligungshinweis.