DSGVO beim Firmenevent: Fotos richtig teilen

Rechtliche Anforderungen, Einwilligungen, Speicherfristen. Ein Leitfaden für HR und Eventmanager:innen – mit Mustertexten.

7 Min. Lesezeit · 28. März 2026

Sommerfest, Weihnachtsfeier, Teambuilding – jedes Firmenevent produziert Fotos. Und jedes Foto ist ein personenbezogenes Datum. Was bedeutet das für die DSGVO und was müssen HR und Eventmanager:innen konkret tun? Hier der Kurz-Überblick.

Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten Fragen wendet euch an eure:n Datenschutzbeauftragte:n.

1. Rechtsgrundlage klären

Fotos auf dem Firmenevent können auf zwei Wegen rechtssicher verarbeitet werden: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Für Gruppenbilder und Stimmungsfotos reicht meist das berechtigte Interesse – für gezielte Porträts oder Marketing-Verwendung ist eine Einwilligung Pflicht.

2. Transparent informieren

Am Einlass, auf Tischkarten oder per Intranet-Mail vor dem Event: Eure Mitarbeiter:innen müssen vor dem Ereignis wissen, dass fotografiert wird, wer die Fotos verarbeitet und wo sie später landen.

Mustertext für Einladungen

„Beim Event werden Fotos und Videos gemacht, die zur internen Dokumentation und gegebenenfalls für Intranet / Social Media verwendet werden. Wenn du nicht fotografiert werden möchtest, sprich uns bitte direkt an oder setze den roten Sticker auf dein Namensschild. Weitere Informationen unter: [Link].“

3. Speicherdauer festlegen

DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie sie benötigt werden. Tipp: Definiert eine klare Frist (z. B. 6 Monate) und automatisiert die Löschung. eventPIXX macht das von Haus aus – alle Inhalte werden nach der gewählten Frist automatisch auf deutschen Servern gelöscht.

4. Betroffenenrechte sicherstellen

Jede:r Mitarbeiter:in hat das Recht auf Auskunft, Berichtigung und Löschung. Eine Ansprechperson und ein klarer Prozess sind Pflicht – idealerweise koordiniert mit euer:m/-er Datenschutzbeauftragten.

5. Auftragsverarbeitung (AVV)

Wenn ihr einen externen Dienst nutzt, um Fotos zu sammeln und zu speichern, ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht. Seriöse Anbieter liefern den AVV auf Anfrage oder direkt mit. eventPIXX stellt euch den AVV kostenlos zur Verfügung.

6. Server-Standort prüfen

Fotos auf US-Servern (WhatsApp, Google Drive, iCloud) bedeuten Datentransfer in ein unsicheres Drittland – rechtlich heikel. Deutsche Server mit EU-Rechenzentrum sind die sicherste Variante.

Rechtssicher & einfach: eventPIXX

Deutsche Server, automatische Löschung, AVV auf Anfrage. Ideal für HR und Eventmanager:innen.

Mehr für Unternehmen

Fazit

DSGVO beim Firmenevent muss nicht kompliziert sein. Mit klarer Information, kurzer Speicherdauer und DSGVO-konformem Anbieter seid ihr rechtlich sauber aufgestellt – und holt trotzdem alles aus dem Event heraus.

Angebot für Unternehmen anfordern
Fragen? Antwort in < 30 Min.