DSGVO-Checkliste für Fotos auf Firmenveranstaltungen: Ein Leitfaden für Eventplaner

Es sind noch drei Wochen bis zu einer Konferenz mit 400 Teilnehmenden. Die Agenda steht, die Badges sind in der Druckerei, und jemand aus der Rechtsabteilung hat gerade gefragt, ob das Foto-Tool, das Sie ausgewählt haben, eigentlich „DSGVO-konform" ist. Sie brauchen kein Jura-Studium, um darauf zu antworten — Sie brauchen eine Checkliste, die Sie durcharbeiten, abhaken und mit ruhigem Gewissen zurückgeben können.

Genau das ist diese Checkliste. Sie ist für Eventplaner, HR-Verantwortliche und Einkaufsleiter geschrieben, die Firmenveranstaltungen in der EU/im EWR ausrichten — dort, wo das Sammeln von Fotos und Videos identifizierbarer Teilnehmender in dem Moment zur regulierten Verarbeitung personenbezogener Daten wird, in dem das erste Bild eintrifft. Arbeiten Sie die folgenden Abschnitte vor der Veranstaltung durch, und Sie haben genau die Pflichten abgedeckt, die in einer Beschaffungsprüfung tatsächlich aufkommen — Rechtsgrundlage, Informationspflicht, Aufbewahrung, Löschung, internationale Datenübermittlung und der Auftragsverarbeitungsvertrag —, jeweils mit der zitierten Vorschrift, sodass die Rechtsabteilung jede Zeile nachprüfen kann.

Keine Rechtsberatung. Dies ist eine allgemeine Orientierung, die die DSGVO direkt zitiert, sodass Sie jeden Punkt am Quelltext überprüfen können. Sie ersetzt nicht die Beratung durch Ihren eigenen Datenschutzbeauftragten oder eine Rechtsanwältin zu Ihrer konkreten Veranstaltung. Wo diese Checkliste eine Gathmo-Funktion nennt, geschieht das, um zu zeigen, wie ein konformes Tool in der Praxis aussieht — prüfen Sie das Äquivalent für die Plattform, die Sie wählen.

Es gibt sechs Abschnitte, geordnet nach dem Ablauf einer Veranstaltung. Jeder ist eine kurze Liste von Ja/Nein-Prüfungen: Haken Sie jedes Kästchen ab, und Sie haben abgedeckt, worauf EU-Einkaufsteams prüfen; bleibt eines leer, dann ist genau dort der Punkt, an dem Ihr Datenschutzbeauftragter nachhakt. Eine Eingrenzung vorab: Die Prüfungen gehen von gewöhnlichen Foto- und Videogalerien aus (Bilder speichern und anzeigen), nicht von Gesichtserkennung. Wenn Ihr Tool einen Gesichtsabgleich einsetzt, um Teilnehmende zu gruppieren oder zu identifizieren, geraten Sie in ein deutlich strengeres Regime; siehe die eigene Prüfung in Abschnitt 1.

Hier unterscheidet sich eine Firmenveranstaltung am stärksten von einer Hochzeit oder einem Geburtstag. Die Plattform, die Sie wählen, ist nicht bloß eine Funktionsentscheidung; sie ist eine Datenverarbeitungs-Entscheidung, die Ihre Rechtsabteilung prüfen wird. Wenden Sie diese Prüfungen auf jeden Anbieter in der engeren Auswahl an.

☐ Stellt der Anbieter einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bereit? Wenn ein externes Tool personenbezogene Daten in Ihrem Auftrag und auf Ihre Weisung verarbeitet, ist das ein Verhältnis von Verantwortlichem zu Auftragsverarbeiter, und Art. 28 Abs. 3 verlangt einen verbindlichen schriftlichen Vertrag. Er muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Datenarten und Kategorien betroffener Personen sowie Ihre Rechte als Verantwortlicher festlegen — und dem Auftragsverarbeiter eine definierte Reihe von Pflichten auferlegen (Verarbeitung nur auf Ihre dokumentierte Weisung, Vertraulichkeit, Sicherheit, Bedingungen für Unterauftragsverarbeiter, Unterstützung bei Betroffenenrechten, Löschung oder Rückgabe der Daten am Ende des Dienstes sowie die Duldung von Überprüfungen). Kann ein Anbieter keinen AVV vorlegen, kann ein EU-Unternehmen ihn nicht einsetzen. (DSGVO Art. 28 Abs. 3.)

☐ Benennt der Anbieter seine Unterauftragsverarbeiter und deren Standorte? Die AVV-Bedingungen für die Einbindung von Unterauftragsverarbeitern sind Teil von Art. 28. Sie können weder eine Übermittlungsanalyse noch eine Anbieter-Risikobewertung abschließen, wenn Sie nicht wissen, wer sonst noch die Daten berührt und aus welchem Land.

☐ Verpflichtet sich der Anbieter schriftlich, Ihre Daten am Ende der Zusammenarbeit zu löschen oder zurückzugeben? Das ist eine der zwingenden Auftragsverarbeiter-Pflichten nach Art. 28 Abs. 3. Lassen Sie sich das in den Vertrag schreiben, nicht in eine Vertriebs-E-Mail.

☐ Wo werden die Daten gehostet — und nennt der Anbieter das klar? Ein Anbieter, der Ihnen die Hosting-Jurisdiktion nicht nennen kann, hat Ihre Übermittlungsanalyse gerade unmöglich gemacht. Behandeln Sie „das geben wir nicht bekannt" als Durchfallen. (Was Sie mit der Antwort tun, behandelt Abschnitt 5.)

☐ Nutzt das Tool Gesichtserkennung — und wollen Sie diese Haftung überhaupt? Das ist die Prüfung, die am ehesten übersehen wird, weil die Gesichtssuche als Komfortfunktion vermarktet wird. Ein Foto eines Gesichts ist nicht automatisch ein besonderes Datum; Erwägungsgrund 51 bestätigt, dass Bilder nur dann unter die Definition biometrischer Daten fallen, wenn sie „mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen". Aber in dem Moment, in dem ein Tool eine Gesichtsvorlage erstellt, um Teilnehmende zu gruppieren oder es ihnen zu erlauben, per Selfie „alle Fotos von mir" zu finden, verarbeitet es biometrische Daten zum Zweck der eindeutigen Identifizierung einer Person — was Art. 9 Abs. 1 verbietet, sofern kein spezifischer Ausnahmetatbestand (typischerweise eine gesonderte, ausdrückliche Einwilligung) greift. Das ist eine materiell höhere Einwilligungshürde, als sie gewöhnliche Fotos erfordern. Mehrere Wettbewerber in diesem Markt werben mit der Foto-Suche per Gesichtserkennung; bei einer Firmenveranstaltung mit Beschäftigten verwandelt diese Funktion Ihre Fotosammlung in eine Verarbeitung nach Art. 9 und eine dokumentierte Pflicht zur ausdrücklichen Einwilligung, die Sie gar nicht wollten. (DSGVO Art. 9 Abs. 1; Erwägungsgrund 51.)

Hinweis zum Tool. Gathmo bietet zum Start keine Gesichtserkennung oder Gesichtssuche — das ist ein Roadmap-Punkt für Phase 2, keine aktive Funktion. Für einen Unternehmenseinkauf ist genau dieses Fehlen der Punkt: Gewöhnliche Galerien, die keine Gesichtsvorlagen erstellen, bleiben standardmäßig außerhalb von Art. 9. Falls Sie jemals eine Gesichtssuche wollen, behandeln Sie sie als bewusste, gesondert eingewilligte Entscheidung — und nicht als Schalter, der still in einer App umgelegt wird.

Sie sind der Verantwortliche: Ihre Organisation entscheidet, warum und wie die Fotos verarbeitet werden. Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6. Für gewöhnliche Eventfotos kommen zwei realistisch in Frage, und die richtige zu wählen, ist der Unterschied zwischen einer haltbaren Position und einem Ratespiel.

☐ Haben Sie Ihre Rechtsgrundlage nach Art. 6 bestimmt — und ist es die richtige für den Verwendungszweck? Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) ist verfügbar, wo die Verarbeitung zur Wahrung Ihrer Interessen oder der eines Dritten erforderlich ist und diese nicht von den Rechten der betroffenen Person überwogen werden — eine Abwägung, mit erhöhtem Schutz, wenn ein Kind betroffen ist. Einwilligung (Art. 6 Abs. 1 lit. a) muss „für den bestimmten Fall, in informierter Weise und freiwillig" erfolgen; sie ist die sicherere Grundlage und die erforderliche, wenn die Abwägung scheitert oder besondere Datenkategorien betroffen sind. (DSGVO Art. 6 Abs. 1 lit. a und lit. f.)

☐ Wenn Sie sich auf das berechtigte Interesse stützen — haben Sie die Abwägung durchgeführt und dokumentiert? „Wir sind davon ausgegangen, dass das in Ordnung ist" ist keine dokumentierte Abwägung. Für risikoarme, nach innen gerichtete Dokumentation — ein paar Aufnahmen im nächsten Team-Update — kann das berechtigte Interesse genügen, aber nur, wenn Sie tatsächlich abgewogen und das festgehalten haben.

☐ Haben Sie speziell für Mitarbeiterfotos das Beschäftigungsverhältnis berücksichtigt? Weil Beschäftigte von ihrem Arbeitgeber abhängig sind, sind Aufsichtsbehörden skeptisch, ob eine Einwilligung in diesem Kontext wirklich „freiwillig" ist. In Deutschland regelt BDSG § 26 die Beschäftigtendaten unmittelbar: Er erlaubt die Verarbeitung, wo sie für das Beschäftigungsverhältnis erforderlich ist, und erkennt an, dass eine Einwilligung im Beschäftigungskontext gültig sein kann, ihre Freiwilligkeit aber zu prüfen ist und sie in der Regel schriftlich erfolgen sollte. Die Erforderlichkeit nach § 26 passt für Marketing- oder Recruiting-Fotos meist schlecht — für alles nach außen Gerichtete ist der haltbare Weg daher die freiwillige, dokumentierte Einwilligung mit einem folgenlosen Recht auf Ablehnung. (Hinweis: § 26 Abs. 1 wurde in Teilen für unionsrechtswidrig erklärt, sodass eine Verarbeitung auch unmittelbar auf Art. 6 DSGVO gestützt werden kann — ein weiterer Grund, werbliche Fotos auf eine saubere, ausdrückliche Einwilligung zu gründen.) (BDSG § 26 Abs. 1.)

Eine Faustregel zum Abhaken:

Transparenz ist nicht optional, und ein Schild, das niemand liest, erfüllt sie nicht. Wo Sie personenbezogene Daten direkt bei der betroffenen Person erheben, verlangt Art. 13 Abs. 1, dass Sie zum Zeitpunkt der Erhebung eine definierte Reihe von Informationen bereitstellen — darunter die Identität und Kontaktdaten des Verantwortlichen, die Zwecke und die Rechtsgrundlage der Verarbeitung und, wo Sie sich auf das berechtigte Interesse stützen, die konkret verfolgten Interessen. (DSGVO Art. 13 Abs. 1.)

Haken Sie jedes Element in Ihren Hinweis ein:

☐ Wer der Verantwortliche ist (Ihre Organisation), wie man ihn kontaktiert, und der Datenschutzbeauftragte, sofern Sie einen haben. ☐ Warum Sie die Fotos erheben (interner Newsletter, Intranet-Galerie, Recruiting-Seite). ☐ Die Rechtsgrundlage — und, wenn berechtigtes Interesse, worin dieses besteht. ☐ Wie lange die Bilder aufbewahrt werden. ☐ Welche Rechte die Teilnehmenden haben, einschließlich wie man Widerspruch einlegt und die Löschung verlangt.

☐ Wird der Hinweis am Punkt der Erfassung oder des Uploads angezeigt — und nicht irgendwo vergraben? Bei einem QR-basierten Erhebungsablauf ist die Upload-Landingpage der natürliche Ort für diesen Hinweis. Wenn der Scan eine teilnehmende Person zu einem Upload-Bildschirm führt, kann die Information genau dort stehen, und die Einwilligung (sofern Sie sich darauf stützen) wird im Kontext erfasst, statt unterstellt zu werden. Ein Tool, das die Einwilligung beim Upload erfasst, macht diese Prüfung leicht abhakbar.

Eine unbefristete Speicherung ist eine Beanstandung, die nur darauf wartet zu passieren. Zwei Grundsätze in Art. 5 bestimmen, wie lange Fotos leben dürfen:

☐ Haben Sie eine Aufbewahrungsfrist vor der Veranstaltung definiert — nicht erst nach einer Beschwerde? Eine Galerie, die nach einem festgelegten Zeitfenster automatisch löscht, setzt die Speicherbegrenzung für Sie durch, statt darauf zu vertrauen, dass jemand daran denkt, ein gemeinsames Laufwerk zu leeren. Das ist eine Stelle, an der ein zweckgebautes Tool mit definierter, automatischer Aufbewahrung einen Ad-hoc-Ordner schlicht schlägt. Zur Orientierung: Gathmos Tarife pro Event tragen ausdrückliche, endliche Aufbewahrungsfenster — von 14 Tagen im Free-Tarif bis zu 365 Tagen im obersten Tarif — statt einer unbefristeten Speicherung. Was Sie auch nutzen — das Kästchen, das Sie abhaken, bleibt dasselbe: ein definiertes Enddatum für die Daten.

☐ Erheben Sie nur, was Sie brauchen? Minimierung ist eine eigene Prüfung. Wenn das Tool Metadaten oder Medien aufsaugt, für die Sie keinen Zweck haben, ist das ein Kästchen, das Sie nicht ehrlich abhaken können.

Wenn Ihre Teilnehmenden über mehrere EU-Mitgliedstaaten verteilt sind, gilt die DSGVO weiterhin durchgängig — es gibt keine interne EU-Grenze, die die Analyse ändert. Die schwierigere Frage ist, wohin die Daten gehen, und dort wird Ihre Tool-Wahl zur Compliance-Entscheidung.

☐ Wissen Sie, ob Daten die EU verlassen — und gibt es einen rechtmäßigen Übermittlungsmechanismus, falls ja? Übermittlungen außerhalb der EU sind nur auf Grundlage eines Angemessenheitsbeschlusses (Art. 45) oder geeigneter Garantien wie Standardvertragsklauseln (Art. 46) rechtmäßig, mit durchsetzbaren Rechten und Rechtsbehelfen. Stand Mitte 2026 bleibt der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (angenommen im Juli 2023) in Kraft — das Gericht der Europäischen Union wies die erste Klage dagegen im September 2025 ab, und eine Berufung ist beim EuGH anhängig, ohne dass ein Verhandlungstermin angekündigt wäre. Übermittlungen an DPF-zertifizierte US-Organisationen sind daher möglich, aber der Rahmen ist nicht risikofrei; Standardvertragsklauseln plus eine Übermittlungs-Folgenabschätzung bleiben der umsichtige Rückfallweg. (DSGVO Art. 45, Art. 46 Abs. 2 lit. c; EuGH C-311/18 Schrems II; Angemessenheitsbeschluss der Kommission zum DPF, 2023.)

☐ Die saubere Abkürzung: Hält das Tool die Daten einfach in der EU? Der einfachste Weg, die ganze Übermittlungsfrage zu vermeiden, ist, die Daten von vornherein in der EU zu halten. Hier spaltet sich der Markt deutlich. Anhand der jeweils öffentlich verfügbaren Angaben jedes Anbieters, erfasst am 08.06.2026:

Gathmo ist genau für diese Prüfung gebaut: Datenresidenz in der EU, mit Objektspeicher in einer EU-Jurisdiktion, der primären Datenbank in Frankfurt, EU-Compute und Auftragsverarbeitungsverträgen mit seinen Auftragsverarbeitern. Die Residenz kommt mit Beleg — einem benannten Rechenzentrum und AVV mit den Auftragsverarbeitern — statt mit einem Marketing-Siegel. Seien Sie hier aber präzise: Mehrere Anbieter behaupten europäische Server, daher ist das Unterscheidungsmerkmal, auf das ein Einkaufsteam prüfen sollte, der nachprüfbare Beleg und ein unterschriebener AVV — nicht die EU-Behauptung für sich allein.

Das ist das Recht auf Vergessenwerden, und es ist keine Gefälligkeit, die Sie ablehnen können. Nach Art. 17 Abs. 1 kann eine betroffene Person verlangen, dass Sie ihre personenbezogenen Daten unverzüglich löschen, wenn ein Grund vorliegt (zum Beispiel, dass die Daten nicht mehr erforderlich sind oder die Einwilligung widerrufen wird und keine andere Rechtsgrundlage besteht). Und es gibt eine harte Frist: Art. 12 Abs. 3 verlangt, dass Sie unverzüglich und in jedem Fall innerhalb eines Monats nach Eingang reagieren — verlängerbar um zwei weitere Monate für wirklich komplexe oder zahlreiche Anträge, aber nur, wenn Sie die Person innerhalb dieses ersten Monats über die Verlängerung und die Gründe informieren. (DSGVO Art. 17 Abs. 1; Art. 12 Abs. 3.)

☐ Wissen Sie, wo jedes Foto liegt, sodass Sie eine Löschung an einer Stelle ausführen könnten? Wenn Ihre Event-Medien über Smartphones, Chatgruppen und gemeinsame Laufwerke verstreut sind, wird aus einer Löschanfrage mit Monatsfrist ein manuelles Gewühl. Eine einzige verwaltete Galerie mit einem klaren Löschpfad macht daraus eine einzige Handlung — was der ganze betriebliche Grund ist, eine zu nutzen.

☐ Wenn Ihre Grundlage die Einwilligung ist: Ist der Widerruf so einfach wie die Erteilung? Eine teilnehmende Person kann die Einwilligung zurückziehen, und Sie müssen dann löschen (sofern keine andere Rechtsgrundlage besteht). Der Widerrufsweg muss real sein, nicht theoretisch.

☐ Hat sich der Anbieter verpflichtet, eine Löschung auf Anfrage innerhalb der gesetzlichen Frist auszuführen? Stellen Sie die direkte Frage und lassen Sie sich die Antwort schriftlich geben: Können Sie die Inhalte einer bestimmten Person auf Anfrage innerhalb der gesetzlichen Frist löschen — und verpflichten Sie sich dazu? Bei Gathmo ist die DSGVO-konforme Löschung auf Anfrage Teil des Modells. In diesem Markt sind ein eigener AVV und eine veröffentlichte Liste von Unterauftragsverarbeitern die Ausnahme, nicht die Regel — den Löschpfad also vor der Unterschrift schriftlich zu bekommen, statt ihn während einer laufenden Anfrage zu entdecken, ist der ganze Sinn.

Wenn Sie über einen scannbaren Code auf Lanyards, Tischkarten oder der Bühnenbeschilderung sammeln, ist die Upload-Seite, auf die er verweist, auch der Ort, an dem Ihr Hinweis nach Art. 13 stehen sollte — ein Code, der nicht scannt, verliert also nicht nur Fotos, er schickt frustrierte Teilnehmende weg von Ihrem Einwilligungshinweis. Ein paar Vorgaben halten ihn benutzbar: Auf einem Lanyard oder Badge sollte der Code mindestens 2 × 2 cm groß sein (2,5 × 2,5 cm ist auf Armlänge angenehmer); auf einem Bühnenbanner, das quer durch den Raum betrachtet wird, deutlich größer. Halten Sie den erforderlichen Ruhezonen-Rand um ihn herum ein, verwenden Sie einen dunklen Code auf hellem Hintergrund und drucken und scannen Sie einen Probeausdruck in Originalgröße als Test, bevor Sie Hunderte drucken.

Drucken Sie das aus und gehen Sie es mit Ihrem Datenschutzbeauftragten durch: