DSGVO für Brautpaare: Was mit den Fotos eurer Gäste nach EU-Recht passiert

Eure Hochzeit ist der am häufigsten fotografierte Tag eures Lebens. Hunderte Fotos, eine Handvoll Videos und — wenn ihr es eingerichtet habt — Sprachnachrichten von den Menschen, die ihr liebt, alle in Echtzeit von den Smartphones eurer Gäste. Das ist wunderschön. Es ist aber, in den Augen des EU-Rechts, auch ein großer Stapel personenbezogener Daten anderer Leute, für den ihr jetzt verantwortlich seid.

Das klingt schwerer, als es ist. Ihr braucht keinen Anwalt, um Hochzeitsfotos zu sammeln, und ihr verstoßt nicht gleich gegen das Gesetz, weil Tante Renate ein verwackeltes Foto von der Torte hochgeladen hat. Aber weil zu euren Gästen auch Kinder, ältere Verwandte und Menschen gehören, die sich insgeheim nicht im Netz wiederfinden möchten, lohnt es sich zu verstehen, was die DSGVO tatsächlich von euch verlangt — und wie ihr alles so einrichtet, dass die Antwort lautet: „nichts, was ihr nicht ohnehin vorhattet."

Dieser Ratgeber ist für Paare und ihre Helfer geschrieben, nicht für Datenschutzbeauftragte. Er ist keine Rechtsberatung; für eure konkrete Situation fragt eine qualifizierte Fachperson. Aber jeder rechtliche Punkt unten ist an einen benannten Artikel der DSGVO geknüpft, sodass ihr die Quelle selbst prüfen könnt.

Die Kurzfassung. Für gewöhnliche Hochzeitsfotos habt ihr fast immer eine Rechtsgrundlage. Eure eigentlichen Aufgaben sind: den Gästen sagen, was passiert; eine Lösch-Bitte erfüllen; nicht alles für immer aufbewahren; und — der Punkt, den die meisten übersehen — euch darum kümmern, wo die Fotos physisch gespeichert werden. Ein in der EU gebautes Tool erledigt das meiste davon für euch.

Die ehrliche Antwort lautet meistens: weniger, als ihr befürchtet, aber nicht gar nicht.

Die DSGVO sieht eine Ausnahme vor für die Verarbeitung „durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten" (Art. 2 Abs. 2 lit. c, zu lesen mit Erwägungsgrund 18). Ein Gast, der seine eigenen Schnappschüsse von eurer Hochzeit auf seinem eigenen Handy für seine eigenen Erinnerungen behält, sitzt bequem innerhalb dieser Haushaltsausnahme. Und ihr, die ihr privat das Album aufbewahrt, ebenfalls.

Zwei Dinge ziehen euch aus dieser Komfortzone wieder heraus:

Also: ein privates Album, geteilt mit Menschen, die ihr eingeladen habt? Unkompliziert. Ein öffentliches Frei-für-alle? Schwerer. Die Technik darunter? Immer im Anwendungsbereich — und genau der Teil, den ihr sorgfältig auswählen solltet.

Das ist die Frage, die Brautpaare nervös macht, und die gute Nachricht ist: Die Einwilligung ist meistens nicht die Grundlage, auf die ihr euch stützt — jedenfalls nicht für gewöhnliche Fotos.

Nach Art. 6 Abs. 1 braucht jede Verarbeitung eine Rechtsgrundlage. Die beiden, die für eine Hochzeit zählen, sind:

Die Kernaussage des Registers im Klartext: Für gewöhnliche Event-Fotos ohne besondere Kategorien kann sich ein Gastgeber in der Regel auf das berechtigte Interesse stützen, doch die Einwilligung ist die sicherere Grundlage (und ist erforderlich), wenn die Abwägung scheitert oder besondere Datenkategorien betroffen sind. In der Praxis heißt das: Seid vorsichtiger mit Bildern von Kindern und mit allen, die ausdrücklich gebeten haben, nicht fotografiert zu werden.

Es gibt eine Stelle, an der die Einwilligung nicht verhandelbar wird, und die verdient einen eigenen Abschnitt.

Ein normales Foto eines Gesichts ist nicht automatisch eine „besondere Kategorie" von Daten. Erwägungsgrund 51 ist eindeutig: Fotografien „sollten nicht grundsätzlich als Verarbeitung besonderer Kategorien personenbezogener Daten angesehen werden" — sie werden zu biometrischen Daten und fallen unter den strengeren Art. 9 nur, wenn sie „mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen".

Übersetzt: Fotos speichern und anzeigen ist in Ordnung. Gesichtserkennung laufen zu lassen, um abzugleichen und zu markieren, wer wer ist, überschreitet die Grenze zur biometrischen Verarbeitung nach Art. 9 Abs. 1 — die verboten ist, sofern ihr keinen spezifischen Erlaubnistatbestand nach Art. 9 Abs. 2 habt, typischerweise eine gesonderte, ausdrückliche Einwilligung jeder einzelnen Person. Mehrere Hochzeitsfoto-Tools bewerben die Gesichtssuche als Aushänge-Funktion. Wenn ihr das aktiviert, habt ihr euch klammheimlich eine deutlich schwerere Einwilligungspflicht aufgeladen.

Bei Gathmo ist das eine bewusste Designentscheidung: Es bietet keine Fotosuche per Gesichtserkennung (sie steht auf der Roadmap, ist aber heute nicht im Produkt). Die Gesichter eurer Gäste werden als Fotografien gespeichert und gezeigt — nicht in durchsuchbare biometrische Vorlagen umgewandelt —, sodass ihr standardmäßig auf der Seite der gewöhnlichen Fotos bleibt.

Wenn ihr personenbezogene Daten direkt bei Menschen erhebt, sagt die DSGVO (Art. 13 Abs. 1), dass ihr ihnen zum Zeitpunkt der Erhebung eine klare Reihe von Grundinformationen geben solltet: wer für die Daten verantwortlich ist, warum ihr sie erhebt, die Rechtsgrundlage, wie lange ihr sie aufbewahrt und welche Rechte sie haben. Für eine Hochzeit ist das kein steifer Rechtshinweis auf jedem Tisch — es ist eine freundliche Zeile an der Stelle, an der die Gäste scannen und hochladen.

Etwas so Einfaches wie das hier erfüllt den Zweck:

„Fotos und Sprachnachrichten, die ihr hier teilt, kommen in das private Hochzeitsalbum von [Brautpaar], gespeichert auf EU-Servern und gelöscht, nachdem das Album schließt. Möchtet ihr nicht auftauchen? Sagt uns einfach Bescheid."

Ein gutes Foto-Tool blendet das für euch auf dem Upload-Bildschirm ein, sodass ihr nicht am Morgen eurer Hochzeit Datenschutzhinweise verfassen müsst. Es geht nicht um Förmlichkeit — es geht darum, dass niemand davon überrascht wird, wo sein Foto gelandet ist.

Gäste haben ein Recht auf Löschung — das „Recht auf Vergessenwerden" (Art. 17 Abs. 1). Wenn sich jemand aus dem Album zurückzieht oder es schlicht keinen guten Grund mehr gibt, sein Bild zu behalten, kann er euch bitten, seine personenbezogenen Daten zu löschen, und ihr müsst „unverzüglich" handeln.

Wie lange ist das? Die DSGVO gibt eine harte Obergrenze vor: Ihr müsst innerhalb eines Monats nach dem Antrag reagieren (Art. 12 Abs. 3), verlängerbar um zwei weitere Monate für wirklich komplexe oder umfangreiche Fälle, sofern ihr die Person innerhalb des ersten Monats über die Verlängerung informiert. Für eine Hochzeit ist das fast nie kompliziert — ihr findet das Foto, ihr löscht es. Die Frist existiert; ihr werdet selten den Großteil davon brauchen.

In der Praxis ist das auf einer Plattform deutlich leichter, auf der ihr (das Brautpaar) ein einzelnes Foto oder den gesamten Beitrag eines Gastes über ein Dashboard entfernen könnt, anstatt einen Gruppenchat anzubetteln, „das eine bitte rauszunehmen". Gathmos Alben sind moderiert und vom Gastgeber gesteuert, mit einer Prüf-Warteschlange — ein leises „Könnt ihr das eine bitte rausnehmen?" zu erfüllen, ist eine Sache von zwei Klicks, keine Verhandlung.

Die Grundsätze der Speicherbegrenzung und Datenminimierung der DSGVO (Art. 5 Abs. 1 lit. e und lit. c) besagen, dass personenbezogene Daten „nicht länger als es erforderlich ist" aufbewahrt und „auf das notwendige Maß beschränkt" werden sollen. Eine unbefristete Speicherung der Bilder eurer Gäste, ohne Enddatum, ist genau das, wovon das Gesetz euch wegführen möchte.

Hier kommt die emotionale Wendung, und auf einer Hochzeits-Seite ist das ein echter Konflikt: Ihr wollt diese Stimmen und Gesichter für immer behalten. Der Weg, beidem gerecht zu werden — dem Gesetz und der Sehnsucht — ist unkompliziert. Legt ein großzügiges, definiertes Aufbewahrungsfenster fest, ladet das Album in voller Qualität als eure dauerhafte persönliche Kopie herunter und lasst das geteilte Online-Album planmäßig ablaufen. Euer „für immer" lebt auf eurer eigenen Festplatte; die Cloud-Kopie hat ein sinnvolles Enddatum.

Gathmos Aufbewahrung ist genau darauf ausgelegt und skaliert mit dem Tarif:

Wenn das Fenster schließt, wird das geteilte Album gelöscht — es gibt kein stilles Archiv, das die Gesichter eurer Gäste Jahre später leise weiter aufbewahrt. Und der Batch-ZIP-Download (in jedem bezahlten Tarif) ist die Art, wie ihr die Erinnerungen selbst behaltet: volle Qualität, auf eurem eigenen Speicher, dort, wo „für immer" tatsächlich hingehört. Die Sprachnachricht eurer Großmutter, in ihren Worten, von euch aufbewahrt — nicht irgendwo auf einem Server gestrandet.

Ihr könnt alles oben Genannte perfekt machen und trotzdem, ohne es zu merken, die Gesichter eurer Gäste an einen Server auf einem anderen Kontinent übergeben. Gerade für eine deutsche oder österreichische Hochzeit ist die Datenresidenz die Entscheidung, auf die es leise am meisten ankommt.

Werden personenbezogene Daten außerhalb der EU übertragen — etwa in US-basierten Cloud-Speicher —, ist diese Übermittlung nur unter bestimmten Bedingungen rechtmäßig (DSGVO Kapitel V): ein Angemessenheitsbeschluss (Art. 45) oder geeignete Garantien wie Standardvertragsklauseln (Art. 46). Der rechtliche Hintergrund hier war turbulent: Schrems II (C-311/18) kippte das alte Privacy Shield, während die Standardvertragsklauseln in Kraft blieben, und der neuere EU-US Data Privacy Framework-Angemessenheitsbeschluss (in Kraft seit Juli 2023) wird selbst noch beklagt — das Gericht der Europäischen Union wies die erste Klage im September 2025 ab, eine Berufung ist beim EuGH anhängig. Heute nutzbar, aber nicht risikofrei, und ganz sicher nicht das, womit ihr euch an eurem Hochzeitstag beschäftigen wollt.

Der saubere Weg, die ganze Frage zu vermeiden, ist, die Daten von vornherein in der EU zu halten. Dann gibt es keine Drittlands-Übermittlung zu bewerten.

Hier unterscheiden sich Hochzeitsfoto-Tools wirklich — und das Daten-Digest (verifiziert im Juni 2026, in den jeweiligen Währungen, „Stand Juni 2026") zeigt, dass es eine echte Bruchlinie ist:

Gathmo gehört fest zu dieser letzten Gruppe und setzt auf Belege statt auf ein vages Siegel: Fotos, Videos und Sprachnachrichten werden mit EU-Datenresidenz gespeichert — Objektspeicher in der EU-Jurisdiktion, eine Postgres-Datenbank in Frankfurt, EU-Compute und unterzeichnete Auftragsverarbeitungsverträge mit den Auftragsverarbeitern. Es ist nur fair, präzise zu sein: EU-Hosting ist hier real, aber Gathmo ist nicht die einzige EU-ansässige Option, und wir tun nicht so. Der Vorteil ist die Kombination — EU-ansässiger Speicher plus das Audio-Gästebuch (Sprachnachrichten in jedem Tarif; vollständige Transkripte bei Grand) plus vom Gastgeber gesteuerte, moderierte Alben — alles an einem Ort zusammengeführt.

In der Sprache der DSGVO seid ihr (das Brautpaar/der Gastgeber) der Verantwortliche — ihr entscheidet, warum und wie die Daten verarbeitet werden. Die Plattform ist euer Auftragsverarbeiter, der nach euren Weisungen handelt. Diese Beziehung soll durch einen schriftlichen Auftragsverarbeitungsvertrag (AVV) geregelt sein (Art. 28 Abs. 3), der Sicherheit, Unterauftragsverarbeiter, die Unterstützung bei den Rechten eurer Gäste sowie das Löschen oder Zurückgeben der Daten am Ende des Dienstes abdeckt. Den müsst ihr nicht selbst aufsetzen — ein ernstzunehmendes, auf die EU ausgerichtetes Tool stellt einen konformen AVV bereit. Es ist eine faire Frage an jeden Anbieter: „Stellt ihr Gastgebern einen AVV zur Verfügung?" Wenn die Antwort ein ratloser Blick ist, sagt euch das etwas.

Noch eine Feinheit, falls Kinder hochladen werden: Das digitale Mindestalter für die Einwilligung bei Online-Diensten liegt in Deutschland bei 16 Jahren (keine Abweichung) und in Österreich bei 14 Jahren (§ 4 Abs. 4 DSG); darunter muss ein Elternteil einwilligen. Bei einer typischen Hochzeit greift das selten — aber es ist ein weiterer Grund, nichts zu aktivieren, das die Daten Minderjähriger intensiver verarbeitet als schlichte Fotos.