Die Weihnachtsfeier ist die eine Veranstaltung im Jahr, bei der wirklich jeder das Handy zückt. Am Ende des Abends hat Ihr Team hunderte Fotos und Clips aufgenommen – und fast nichts davon erreicht den Rest des Unternehmens. Es verteilt sich auf private Kamerarollen, eine WhatsApp-Gruppe, die drei Leute nicht exportieren können, und einen „vorübergehenden" Ordner auf dem geteilten Laufwerk. Dann fragt die interne Kommunikation nach ein paar Aufnahmen für den Neujahrs-Newsletter – und die Suche beginnt.
Es gibt einen schnelleren Weg, alles an einem Ort zu sammeln – und bei einer Firmenveranstaltung, mit Mitarbeitern im Bild, muss der schnelle Weg auch der rechtskonforme sein. In dem Moment, in dem Ihr Unternehmen Fotos identifizierbarer Beschäftigter erhebt, speichert oder veröffentlicht, greift die Datenschutz-Grundverordnung – und „war doch nur die Weihnachtsfeier" ist keine Position, die Ihr Datenschutzbeauftragter abnicken wird. Dies ist ein praktischer Leitfaden Schritt für Schritt, wie Sie es richtig machen: Mitarbeiterfotos ohne App sammeln, die Einwilligung beim Upload einholen, Beschäftigtenbilder in der EU halten, eine sinnvolle Aufbewahrungsfrist setzen und einem Löschverlangen nachkommen, wenn eines eingeht. Geschrieben für den EU-/EWR-Kontext, mit Hinweisen für Deutschland; für die tiefere rechtliche Auseinandersetzung siehe unseren Begleitleitfaden, DSGVO und Mitarbeiterfotos auf Veranstaltungen: Was HR 2026 wissen muss.
Keine Rechtsberatung. Dieser Beitrag erläutert die einschlägigen DSGVO-Vorschriften nur zur allgemeinen Orientierung und zitiert die Verordnung direkt, damit Sie jeden Punkt nachprüfen können – er ersetzt aber nicht die Beratung durch Ihren eigenen Datenschutzbeauftragten oder Anwalt.
Die Standardlösungen wirken harmlos – genau deshalb machen sie Ärger. Eine WhatsApp- oder Teams-Gruppe streut Mitarbeiterfotos über einen Chat, den niemand kontrolliert, ohne sauberen Export und ohne Möglichkeit, auf Verlangen die Bilder einer einzelnen Person zu löschen – und Gruppenchats werden ohnehin ignoriert (40 % der Menschen fühlen sich von ihnen überfordert; The Conversation, 2023). Ein Ordner auf dem geteilten Laufwerk hat keinen Einwilligungsnachweis, keine Aufbewahrungsgrenze und lebt ewig weiter. Ein Haufen privater Kamerarollen bedeutet, dass die Fotos das Unternehmen nie erreichen – rund 70 % der Handyfotos werden nie wieder angesehen (Popsa / Digital Camera World, 2025).
Keine dieser Methoden kann die fünf Fragen beantworten, die eine Firmenveranstaltung beantworten muss: Was ist unsere Rechtsgrundlage? Haben wir die Leute informiert? Wo liegen die Daten? Wie lange bewahren wir sie auf? Wie schnell können wir auf Verlangen löschen? Ein zweckgebautes Sammeltool kann das – und ja, das fällt eindeutig unter die DSGVO. Die Ausnahme für „persönliche Tätigkeiten", die im Büro gern weitergereicht wird (Verarbeitung „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten", Art. 2 Abs. 2 lit. c), kann einen Mitarbeiter schützen, der seine eigenen Schnappschüsse behält; sie schützt nicht den Arbeitgeber. Eine vom Unternehmen organisierte und zu Unternehmenszwecken fotografierte Veranstaltung ist per Definition eine berufliche und geschäftliche Tätigkeit. Gehen Sie also davon aus, dass die DSGVO für jede identifizierbare Kollegin und jeden identifizierbaren Kollegen auf jedem Foto gilt, das das Unternehmen erhebt – in der Sekunde, in der es erhoben wird.
Die einzige Entscheidung darüber, wie die Fotos hereinkommen, bestimmt, wie schwer jede spätere Pflicht wird. Ein QR-Code-basiertes Sammeltool, das im Browser läuft, ist der Weg des geringsten Widerstands für ein Firmenpublikum: Die Gäste scannen einen Code und laden vom Handy hoch, ohne App und ohne Anmeldung. Sie können 200 Kollegen nicht bitten, eine Software herunterzuladen und sich zu registrieren, bevor sie ein Foto teilen – und der Ansatz ohne Installation funktioniert, weil Smartphones und QR-Scannen inzwischen nahezu allgegenwärtig sind (rund 97 % Smartphone-Verbreitung in Deutschland 2024, laut Statista; 68 % der Verbraucher haben im Vorjahr einen QR-Code genutzt, laut TEAM LEWIS, 2024).
Bei einer Firmenveranstaltung sind die entscheidenden Fragen nicht die nach Filtern und Stickern – sondern diese, und der Rest dieses Leitfadens arbeitet jede einzeln ab:
Eine Falle, die Sie gleich zu Beginn meiden sollten: Mehrere Consumer-Event-Apps werben prominent mit der Fotosuche per Gesichtserkennung („Selfie scannen, alle deine Fotos bekommen"). Auf einer Hochzeit ein netter Trick; auf einer Firmenfeier eine Haftungsfalle. Ein Foto eines Gesichts ist nicht automatisch eine besondere Kategorie personenbezogener Daten – Erwägungsgrund 51 stellt klar, dass Bilder nur dann als biometrische Daten gelten, „wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen". Doch in dem Moment, in dem ein Tool ein Gesichts-Template erstellt, um Personen abzugleichen, verarbeitet es biometrische Daten zur eindeutigen Identifizierung einer Person – was Art. 9 Abs. 1 verbietet, sofern keine spezielle Ausnahme greift (typischerweise eine gesonderte, ausdrückliche Einwilligung). Eine schlichte Galerie, die keine Gesichts-Templates erstellt, bleibt standardmäßig außerhalb von Art. 9. (Gathmo bietet keine Gesichtserkennung und keine Gesichtssuche – das ist ein Roadmap-Punkt für Phase 2, kein Live-Feature. Hier ist die Abwesenheit die sicherere Einstellung.)
Transparenz ist nicht mit einem Schild erfüllt, das niemand liest. Wenn Sie personenbezogene Daten direkt bei den Personen erheben, verlangt Art. 13 Abs. 1, dass Sie – zum Zeitpunkt der Erhebung – bereitstellen: wer der Verantwortliche ist und wie er zu erreichen ist, die Zwecke und die Rechtsgrundlage und, sofern Sie sich auf das berechtigte Interesse stützen, das konkret verfolgte Interesse.
Die Upload-Seite hinter Ihrem QR-Code ist der natürliche Ort dafür. Wenn ein Kollege scannt und dort landet, kann diese Seite den Hinweis tragen und die Einwilligung im Kontext einholen – dort dokumentiert, wo das Foto geteilt wird, nicht vergraben in einer Richtlinie, die niemand geöffnet hat. Halten Sie den Hinweis schlicht: wer der Verantwortliche ist und wie er zu erreichen ist (plus der Datenschutzbeauftragte, wo Sie einen haben); warum Sie die Fotos erheben; die Rechtsgrundlage (und, wenn berechtigtes Interesse, worin dieses besteht); wie lange die Bilder aufbewahrt werden; und welche Rechte die Personen haben, einschließlich wie sie widersprechen und Löschung verlangen können.
Bei der Rechtsgrundlage verkompliziert das Beschäftigungsverhältnis die Lage: Weil Beschäftigte von ihrem Arbeitgeber abhängig sind, zweifeln Aufsichtsbehörden daran, dass eine Einwilligung in diesem Kontext jemals wirklich „freiwillig" erteilt wird. Für interne Dokumentation mit geringem Risiko – ein paar Aufnahmen im nächsten Team-Update – kann das berechtigte Interesse (Art. 6 Abs. 1 lit. f) genügen, sofern Sie die Abwägung durchgeführt und dokumentiert haben. Für alles, was nach außen gerichtet oder werblich ist – Recruiting, Marketing, Social Media – ist die ausdrückliche, aktive Opt-in-Einwilligung mit einem folgenlosen Recht zur Verweigerung der vertretbare Weg. In Deutschland regelt BDSG § 26 die Beschäftigtendaten unmittelbar, und die „Erforderlichkeit" danach passt schlecht zu Marketingfotos – ein weiterer Grund, sich über das Intranet hinaus auf eine dokumentierte Einwilligung zu stützen.
Eine Weihnachtsfeier ist genau die Veranstaltung, bei der Sie einen Blick auf die Fotos werfen wollen, bevor sie öffentlich sind – jemand wird eine Aufnahme hochladen, die unvorteilhaft, anstößig oder einfach nichts ist, was eine Kollegin auf der Townhall-Folie sehen möchte. Die rechtskonforme Haltung ist Prüfen vor Veröffentlichen: Uploads landen in einer privaten Warteschlange, und ein Organisator gibt frei, was ins geteilte Album, auf einen Bildschirm oder auf die Auswahlliste der internen Kommunikation kommt. Eine KI-Vorprüfung kann offensichtlich unangemessene Inhalte markieren, wobei ein Mensch die endgültige Entscheidung trifft. Das schützt sowohl die Personen auf den Fotos als auch die Marke des Unternehmens – eine Kontrolle, die Sie nicht haben, wenn Bilder direkt in einen Gruppenchat wandern. (Gathmo betreibt eine visuelle KI-Moderation plus eine menschliche Prüf-Warteschlange; die KI-Moderation ist ab dem Essential-Tarif aufwärts enthalten – der Free-Tarif ist unmoderiert, was zu wissen sich lohnt, wenn Sie Mitarbeiterfotos sammeln.)
Für ein EU-Unternehmen, das die eigenen Beschäftigten fotografiert, ist wo die Daten liegen eine Compliance-Entscheidung, keine Feature-Vorliebe – und sie in der EU zu halten, vermeidet die Frage der Drittlandübermittlung vollständig. Übermittlungen außerhalb der EU sind nur auf Grundlage eines Angemessenheitsbeschlusses (Art. 45) oder geeigneter Garantien wie Standardvertragsklauseln (Art. 46) zulässig. Stand Mitte 2026 bleibt der Angemessenheitsbeschluss zum EU-US Data Privacy Framework (Juli 2023) in Kraft – das Gericht der Europäischen Union hat die erste Klage im September 2025 abgewiesen, ein Rechtsmittel ist beim EuGH anhängig – sodass Übermittlungen an DPF-zertifizierte US-Organisationen möglich sind, doch der Rahmen ist nicht risikofrei, und Standardvertragsklauseln plus eine Transfer-Folgenabschätzung bleiben der vernünftige Rückfallweg. Die sauberere Antwort ist, die Daten gar nicht erst zu exportieren. Hier teilt sich der Markt deutlich, nach den jeweils öffentlich verfügbaren Angaben jedes Anbieters, erfasst am 08.06.2026:
(Gathmo hostet in der EU – Objektspeicher in der EU-Rechtsordnung, die primäre Datenbank in Frankfurt, EU-Rechenleistung – mit Auftragsverarbeitungsverträgen mit seinen Verarbeitern. Genau genommen werben mehrere Anbieter mit europäischen Servern, der eigentliche Unterschied ist also der nachprüfbare Nachweis – ein benanntes Rechenzentrum und unterzeichnete AV-Verträge – nicht die EU-Behauptung allein.)
Fotos von Beschäftigten dürfen nicht ewig auf einem Laufwerk liegen. Zwei Grundsätze in Art. 5 regeln das: Datenminimierung (Art. 5 Abs. 1 lit. c) – nur erheben, was nötig ist – und Speicherbegrenzung (Art. 5 Abs. 1 lit. e) – Daten nicht länger identifizierbar halten, als es für den Zweck nötig ist. Entscheiden Sie also die Aufbewahrungsdauer bevor Sie erheben: Eine Galerie, die nach einem festgelegten Zeitraum automatisch löscht, setzt die Speicherbegrenzung für Sie durch, statt sich darauf zu verlassen, dass nächstes Jahr jemand einen Ordner aufräumt. Setzen Sie sie lang genug, dass die interne Kommunikation herausziehen kann, was sie braucht, und das Team seine Fotos herunterladen kann – und lassen Sie sie dann auslaufen. (Gathmos Tarife pro Event tragen ausdrückliche, endliche Aufbewahrungsfristen – von 14 Tagen im Free-Tarif bis zu 365 Tagen im Top-Tarif – statt unbefristeter Speicherung, also genau das Verhalten, das Art. 5 Abs. 1 lit. e verlangt.)
Irgendwann wird ein Kollege darum bitten, dass Bilder von ihm nicht aufbewahrt oder veröffentlicht werden. Das ist das Recht auf Löschung (Art. 17) – das „Recht auf Vergessenwerden" – und es ist keine Gefälligkeit, die Sie ablehnen können. Nach Art. 17 Abs. 1 kann eine Person die Löschung ohne unangemessene Verzögerung verlangen, wenn ein Grund vorliegt (etwa: die Daten sind nicht mehr nötig, oder die Einwilligung wird ohne andere Grundlage widerrufen). Und es läuft eine harte Uhr: Art. 12 Abs. 3 verlangt, dass Sie innerhalb eines Monats nach Eingang reagieren, verlängerbar um zwei Monate nur bei wirklich komplexen Anträgen – und nur, wenn Sie die Person innerhalb dieses ersten Monats über die Verlängerung informieren.
Zwei Folgen daraus: Sie müssen wissen, wo jedes Foto liegt – verstreut über Handys, Chats und Laufwerke wird aus einem Ein-Monats-Verlangen ein manuelles Gewühl; eine einzige verwaltete Galerie mit klarem Löschpfad macht es zu einer einzigen Handlung. Und der Widerruf der Einwilligung muss so einfach sein wie ihre Erteilung – wo die Einwilligung Ihre Grundlage ist, kann ein Kollege sie zurückziehen, und Sie müssen dann löschen. Fragen Sie also jedes Tool direkt: Können Sie die Inhalte einer bestimmten Person auf Verlangen innerhalb der gesetzlichen Frist löschen – und werden Sie sich dazu schriftlich verpflichten? (Bei Gathmo ist die DSGVO-konforme Löschung auf Verlangen Teil des Modells.)
Das ist der Teil, den der Einkauf nicht überspringen kann. Wenn ein externes Tool personenbezogene Daten in Ihrem Auftrag und nach Ihren Weisungen verarbeitet, ist die Beziehung Verantwortlicher zu Auftragsverarbeiter, und die DSGVO verlangt einen bindenden schriftlichen Vertrag – einen Auftragsverarbeitungsvertrag (AVV) – nach Art. 28 Abs. 3. Das ist kein Boilerplate: Art. 28 Abs. 3 verlangt, dass er Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Arten der Daten und die Kategorien betroffener Personen festlegt und dem Auftragsverarbeiter einen definierten Pflichtenkatalog auferlegt – Verarbeitung nur nach Ihren dokumentierten Weisungen, Vertraulichkeit, Sicherheitsmaßnahmen nach Art. 32, Bedingungen für Unterauftragsverarbeiter, Unterstützung bei Betroffenenrechten, Löschung oder Rückgabe der Daten am Ende sowie Duldung von Prüfungen.
Im Klartext: Ihr Unternehmen ist der Verantwortliche; das Foto-Tool ist der Auftragsverarbeiter; und Sie brauchen einen konformen AVV mit ihm, bevor Mitarbeiterfotos in seine Nähe kommen. Ein Anbieter, der keinen vorlegen kann, ist kein Anbieter, den ein EU-Arbeitgeber nutzen kann. Drei Fragen: Können Sie einen AVV nach Art. 28 DSGVO bereitstellen? (Wenn die Antwort „Was ist das?" lautet, hören Sie auf.) Nennen Sie Ihre Unterauftragsverarbeiter und wo sie sich befinden? Verpflichten Sie sich, unsere Daten am Ende zu löschen oder zurückzugeben? (Gathmo stellt einen AVV bereit – auf Anfrage über die Tarife pro Event und enthalten bei den B2B-Abonnements Studio, Agency und Enterprise. In diesem Markt sind ein eigener AVV und eine veröffentlichte Liste der Unterauftragsverarbeiter die Ausnahme, nicht die Regel.)
Die Upload-Seite hinter dem Code ist der Ort, an dem Ihr Hinweis nach Art. 13 lebt – ein Code, der sich nicht scannen lässt, verliert also nicht nur Fotos, sondern lotst die Leute auch an Ihrem Einwilligungshinweis vorbei. Ein paar Spezifikationen halten ihn nutzbar:
