Der Invitario Guide zum Thema Datenschutz und Events

In unserem Guide erfahren Sie, wie Sie den Datenschutz im Rahmen Ihrer Veranstaltungen rechtskonform umsetzen und was sich durch die Datenschutzgrundverordnung (DSGVO) in der Praxis für Sie verändert.

Die Einführung der Datenschutzgrundverordnung sorgt nicht nur bei Veranstaltern und Dienstleistern der Eventbranche für Verunsicherung. Mit diesem Guide möchten wir daher die wichtigsten Fragen zum Thema beantworten und aufzeigen, wie die DSGVO-konforme Umsetzung von Veranstaltungen erfolgt.

Auch wenn die DSGVO deutliche Verschärfungen gegenüber der bisher gelebten Praxis mit sich bringt, stellt sie für die Planung und Umsetzung von Veranstaltungen kein unüberwindbares Hindernis dar. Im Gegenteil: Alle an der Umsetzung einer Veranstaltung beteiligten Parteien haben nun eine für den gesamten EU-Raum gültige Rechtsgrundlage und werden von der Umsetzung dieser Regeln profitieren.

 
 

Zur besseren Übersicht haben wir den Guide in folgende Kapitel gegliedert:

KAPITEL I

Datenschutz in der Praxis

Wenn Sie gleich voll in die Praxis einsteigen möchten, dann ist dieses Kapitel genau richtig. Hier erfahren Sie alles, was Sie als Veranstalter oder Eventdienstleister zum Thema Datenschutz und DSGVO in der Praxis wissen müssen. Die rechtlichen Grundlagen interpretieren wir hier aus der Perspektive all jener, Eventagenturen und Dienstleistern und versehen sie mit entsprechenden Beispielen sowie Handlungsempfehlungen.

Inhaltsverzeichnis


KAPITEL II

Datenschutz Grundlagen

In diesem Kapitel erfahren Sie mehr über die rechtlichen Grundlagen im Datenschutz und der DSGVO. Auch hier haben wir für Sie die wichtigsten Themen nach den Anforderungen von Veranstaltern und Eventdienstleistern ausgewählt.

Inhaltsverzeichnis


Kapitel III

Ihre Fragen

In den FAQ behandeln wir die aktuellen Fragen unserer Leser und der Teilnehmer unserer Webinare. Über dieses Formular können Sie eine Frage einreichen.

Veranstaltungshinweis: Wenn Sie mehr zum Thema Datenschutz und Eventmanagement erfahren möchten, nehmen Sie einfach an unserem nächsten kostenlosen Fachwebinar zum Thema Datenschutz und Eventmanagement teil. Hier geht’s zur Anmeldung.

Inhaltsverzeichnis

Zu den Fragen


Kapitel I

Datenschutz in der Praxis

Hier erfahren Sie alles, was Sie als Veranstalter oder Eventdienstleister zum Thema Datenschutz und DSGVO wissen müssen.

Wie wird die Datenschutzgrundverordnung eigentlich auf Veranstaltungen angewandt? Die per 25. Mai 2018 gültige DSGVO gilt für alle Unternehmen, die im EU-Raum Daten von natürlichen Personen verarbeiten. Ganz klar, dass davon auch das Eventmanagement in vielen Bereichen betroffen ist. Vorwiegend geht es hier um die Nutzung jener Daten, die sich auf die Teilnehmer einer Veranstaltung beziehen. Veranstalter, die vor und/oder während einer Veranstaltung Daten zu den Teilnehmern erfassen und verarbeiten, sollten sich eingehend mit dem Thema Datenschutz befassen und ihre Abläufe an die Anforderungen der Datenschutzgrundverordnung anpassen. Andernfalls drohen neben Abmahnungen durch die jeweils national zuständige Datenschutzbehörde auch saftige Geldstrafen und ein Vertrauensverlust in das Unternehmen.

Tipp: Erstellen Sie als ersten Schritt ein Datenkonzept für Ihr Eventmanagement, anhand dessen Sie die für Ihr Unternehmen relevanten Maßnahmen ableiten. Dazu können Sie ein Diagramm oder eine Tabelle erstellen, in dem alle an Ihren Veranstaltungen beteiligten Unternehmen und externen Personen vermerkt sind – dies gilt sowohl für den Veranstalter wie auch für Dienstleister, die in dessen Auftrag tätig werden. Vermerken Sie bei jenen Beteiligten, die mit personenbezogenen Daten von Teilnehmern zu tun haben, für welchen Zweck dies erforderlich ist und welche Daten der jeweilige Partner für die Erfüllung seiner Leistungen benötigt. Nur jene Unternehmen, die personenbezogene Daten von Ihnen erhalten oder in Ihrem Auftrag erfassen, sind aus Sicht der DSGVO für den Datenschutz relevant.


Das „Who is Who“ im Datenschutz

Bevor es um die Maßnahmen geht, die von Veranstaltern und Dienstleistern bei der Planung und Umsetzung von Veranstaltungen zu ergreifen sind, erklären wir die Verteilung der einzelnen Rollen, die der Gesetzgeber vorgesehen hat.

An der Umsetzung einer Veranstaltung sind in der Regel mehrere Parteien beteiligt, die zum Teil auch für den Datenschutz relevant sein können. In der Datenschutzgrundverordnung werden dafür die Begriffe Verantwortlicher, Auftragsverarbeiter und Betroffener verwendet. Aber wer sind diese und welche Verantwortung tragen sie?

Verantwortlicher | Veranstalter

Der Verantwortliche wird im Regelfall der Veranstalter bzw. das Unternehmen sein, das die Veranstaltung durchführt und mit seiner Marke auftritt.

Ein Verantwortlicher entscheidet über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Die Verantwortung für eine rechtmäßige Datenverarbeitung liegt daher hauptsächlich bei diesem. In jedem Fall ist es für den Verantwortlichen verpflichtend, mit allen Auftragsverarbeitern (alle an der Planung und Umsetzung der Veranstaltung beteiligten Unternehmen, die mit Daten der Teilnehmer in Kontakt kommen, Details siehe unten) eine sogenannte Auftragsverarbeiter-Vereinbarung (auch als ADV bekannt) abzuschließen. Die Verantwortung dafür liegt beim Verantwortlichen als Veranstalter.

Tipp: Wenn Sie selbst über keinen Auftragsverarbeiter-Vertrag verfügen, fragen Sie bei Ihren Auftragsverarbeitern nach. Diese bieten häufig eine bereits auf ihren spezifischen Anwendungsfall abgestimmte Vereinbarung an, die gegebenenfalls an Ihre Anforderungen angepasst werden kann. Auch Interessenvertretungen wie die Wirtschaftskammer und andere Organisationen bieten kostenlose Muster für die Auftragsverarbeiter-Vereinbarung an. Eine Auswahl an Musterverträgen – inklusive der Auftragsverarbeiter-Vereinbarung von Invitario – finden Sie hier.

 

Auftragsverarbeiter | Eventdiensleister

Darunter sind jene Unternehmen zu verstehen, die im Auftrag eines Verantwortlichen tätig werden und dabei u.a. die personenbezogenen Daten der Teilnehmer verarbeiten.

Setzt der Veranstalter das Event vollkommen in Eigenregie um oder kommt kein externes Unternehmen mit den Daten der Teilnehmer in Kontakt, gibt es auch keinen Auftragsverarbeiter.

Das typische Beispiel für einen Auftragsverarbeiter sind Eventagenturen, die Zugriff auf die Daten der Teilnehmer erhalten oder diese für den Auftraggeber erfassen. Invitario ist ein typischer Auftragsverarbeiter: Unsere Software wird für das Verwalten von Teilnehmerdaten, die E-Mail-Kommunikation mit den Teilnehmern sowie für die Umsetzung des Check-ins der Veranstaltung mittels digitaler Gästeliste genutzt.

Bitte beachten Sie, dass Auftragsverarbeiter alle Subunternehmen, die unter Umständen personenbezogene Daten nutzen werden (siehe dazu Subunternehmen), gegenüber ihrem Auftraggeber offenlegen und genehmigen lassen müssen,

Tipp: Erstellen Sie zusammen mit einem auf Datenschutz spezialisierten Rechtsanwalt eine Auftragsverarbeiter-Vereinbarung, in der bereits alle für Ihre Leistungen relevanten Punkte abgehandelt werden. Nur wenige Auftraggeber verfügen über eine eigene Vereinbarung bzw. beharren auf der Umsetzung der eigenen Auftragsverarbeiter-Vereinbarung.

Auswahl von Auftragsverarbeitern

Bei der Auswahl von Auftragsverarbeitern sollten Verantwortliche nichts dem Zufall überlassen, es besteht eine hohe Sorgfaltspflicht. Die Auftragsverarbeiter müssen hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen (auch TOM genannt) vorhanden sind und derart durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und der Schutz der Rechte der Betroffenen – also der Teilnehmer – jederzeit gewährleistet ist. In jedem Fall ist es für den Verantwortlichen verpflichtend, mit allen Auftragsverarbeitern eine sogenannte Auftragsverarbeiter-Vereinbarung abzuschließen.

Der Verantwortliche ist nach DSGVO dazu verpflichtet, sich zu vergewissern, dass der Auftragsverarbeiter glaubwürdig ist und nach den Anforderungen der DSGVO arbeitet, um eine dementsprechende Auftragsverarbeiter-Vereinbarung abschließen zu können. Widrigenfalls kann es sich um ein Auswahlverschulden handeln, für das der Veranstalter haftet.

Der Abschluss der Auftragsverarbeiter-Vereinbarung sollte daher immer der erste Schritt im Rahmen der Beauftragung sein, da ohne Vertragsgrundlage – streng rechtlich gesehen – vom Auftragsverarbeiter vorher keine Daten verarbeitet werden dürfen.

Tipp: Sprechen Sie das Thema Datenschutz bereits bei der Geschäftsanbahnung an und stellen Sie sicher, dass der Auftragsverarbeiter-Vertrag im Rahmen der Beauftragung des Auftragsverarbeiters an Ihre Anforderungen angepasst wird. Für den Verantwortlichen sollte der Auftragsverarbeiter-Vertrag genauso relevant wie die eigentliche Beauftragung des Unternehmens sein.

Übermittluing von daten an auftragsverarbeiter

Stellen Sie vor jeder Übermittlung sicher, dass nur jene Daten an Ihre Auftragsverarbeiter übermittelt werden, die unbedingt für deren Leistungserbringung erforderlich sind. Verzichten Sie also auf alle zusätzlichen Informationen, die für den Auftragsverarbeiter keinen Nutzen haben. Die DSGVO spricht hier vom Prinzip der „Datensparsamkeit“.

Verzichten Sie unbedingt darauf, Informationen zu übermitteln, die mit der Veranstaltung in keinem Zusammenhang stehen. Übermitteln Sie beispielsweise keine Daten von Personen, die nicht zur Veranstaltung eingeladen werden sollen.

Prüfen Sie Ihre Dateien vor einer Übermittlung immer darauf, dass keine nicht erforderlichen Tabellenblätter enthalten sind und ungewollte Daten nicht nur ausgeblendet, sondern tatsächlich nicht in der Datei enthalten sind.

Bevor Sie Ihre Daten an Auftragsverarbeiter übermitteln, sollten diese unbedingt verschlüsselt werden. Eine ungeschützte Übermittlung per E-Mail kommt einer freien Veröffentlichung der Daten gleich. Im Idealfall bietet sich die Möglichkeit eines sicheren Datenuploads, wie er auch von Invitario angeboten wird: Über eine durch SSL-Zertifikat verschlüsselte Verbindung können Daten sicher in den Invitario-Account importiert werden.

Tipp: Erstellen Sie vor jeder Veranstaltung ein Datenkonzept und legen Sie für jeden Ihrer Auftragsverarbeiter nur jene Informationen fest, die von diesen zur Leistungserbringung unbedingt benötigt werden. Während das Unternehmen, das mit der Umsetzung der Einladung der Teilnehmer beauftragt wird, alle Kontaktdaten samt Adresse einer Person benötigt, sind beispielsweise für die Erstellung von Namenskärtchen lediglich die Namen der Teilnehmer erforderlich. Erstellen Sie daher für jeden Auftragsverarbeiter eine eigene Datei, die nur die jeweils relevanten Daten enthält.

 

Subunternehmer | Eventdiensleister

Der Begriff findet sich zwar nicht wortwörtlich in der DSGVO, jedoch wird von Subunternehmen generell dann gesprochen, wenn ein Auftragnehmer zur Erfüllung seiner Leistungen weitere Unternehmen beauftragt.

Dies muss im Fall der DSGVO gegenüber dem Auftraggeber – im Idealfall bereits im Rahmen des Auftragsverarbeiter-Vertrages – bekanntgegeben und durch diesen schriftlich genehmigt werden. Der Zweck der Datenverarbeitung ist für jeden Subunternehmer im Detail zu beschreiben. Der Letztverantwortliche muss zu jedem Zeitpunkt wissen, wo die von ihm bereitgestellten Daten gespeichert sind und wer die Datenverarbeitung durchführt. Dies gilt natürlich immer nur dann, wenn ein Subunternehmen zur Erfüllung seiner Leistungen personenbezogene Daten verarbeitet.

Die Möglichkeit, weitere Subunternehmen zur Auftragserfüllung hinzuzuziehen, kann vom Auftraggeber auf bestimmte Unternehmen oder Leistungen beschränkt, ausgeschlossen oder nach schriftlicher Genehmigung vereinbart werden. Die Praxis zeigt, dass einige Verantwortliche nicht nur die Bekanntgabe von Subunternehmen der ersten, sondern auch der zweiten Ebene einfordern.

Ein typisches Beispiel für ein Subunternehmen ist der von der Eventagentur (Auftragsverarbeiter) als Subunternehmen beauftragte Personaldienstleister, der die Mitarbeiter für den Check-in der Teilnehmer auf der Veranstaltung bereitstellen wird. Die Check-in-Mitarbeiter müssen die personenbezogenen Daten der Teilnehmer einsehen sowie gegebenenfalls bearbeiten und erweitern können, um den Empfang abwickeln zu können.

Für den in der Kette letztverantwortlichen Veranstalter ist es ebenfalls ratsam, sich davon zu vergewissern, dass der Personaldienstleister im Innenverhältnis in den einzelnen Werk- und Dienstverträgen der Mitarbeiter, die tatsächlich den Check-in betreuen werden, dementsprechende Geheimhaltungsvereinbarungen und datenschutzrechtliche Bestimmungen inkludiert oder gesondert abschließt.

Tipp: Übertragen Sie als Veranstalter die Haftung soweit zulässig für die Erfüllung aller Anforderungen von Subunternehmen an die beauftragenden Auftragsverarbeiter. Dies lässt sich im Rahmen der Auftragsverarbeiter-Vereinbarung eindeutig regeln.

 

Betroffener | Teilnehmer

Das wichtigste „Element“ in der gesamten Kette ist der Betroffene, in unserem Anwendungsfall der Veranstaltungsteilnehmer.

Die Datenschutzgrundverordnung wurde vor dem Hintergrund erlassen, die Daten „natürlicher Personen“ bestmöglich zu schützen und die Verwendung von personenbezogenen Daten weitestgehend einzuschränken. Werden Daten über eine Person verarbeitet, wird diese in der DSGVO als betroffene Person bezeichnet.

Auch wenn sich in der B2B-Kommunikation alles um die Geschäftsbeziehungen zwischen Unternehmen dreht, wird es eher die Ausnahme sein, dass eine anonymisierte Einladung an eine allgemeine Adresse eines Unternehmens geschickt wird. Dieser Sonderfall wird nicht von der DSGVO erfasst und kann bedenkenlos umgesetzt werden, solange Sie die Adressdaten aus einer öffentlich zugänglichen Quelle (z. B. Firmen- oder Telefonbuch) haben und keine personenbezogenen Daten verwendet werden.

In der Praxis werden freilich fast immer gezielt ausgewählte Personen eines Unternehmens eingeladen. Aus der Perspektive des Datenschutzes darf nicht übersehen werden, dass für die Kommunikation mit Mitarbeitern anderer Unternehmen – unabhängig von der Art der Geschäftsbeziehung – immer mit einer natürlichen Person als Vertreter der Organisation kommuniziert bzw. diese zur Veranstaltung eingeladen wird. Es gelten die Grundsätze der Verarbeitung von personenbezogenen Daten von Betroffenen im Sinne der DSGVO. Es macht also keinen Unterschied, ob Sie einen Geschäftspartner oder einen privaten Kontakt zu einer Veranstaltung Ihres Unternehmens einladen.

Betroffene können gegenüber dem Verantwortlichen oder auch Auftragsverarbeitern Schadensersatzansprüche geltend machen und haben das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Verarbeitung ihrer Daten.

 

Grafik: Die Rollen in der Eventpraxis

Wie an diesem Beispiel zu sehen ist, sind an der Umsetzung der Veranstaltung mehrere Unternehmen beteiligt. Nicht alle davon sind für den Datenschutz relevant und als Auftragsverarbeiter einzustufen oder gegenüber dem verantwortlichen Veranstalter als Subunternehmen offenzulegen.

Die Grafik zeigt, wie die Vertragsverhältnisse zwischen den Parteien nach der DSGVO abzuschließen sind:

  • Ein Unternehmen beschließt eine Veranstaltung für Mitarbeiter und Kunden auszurichten. Nach der DSGVO ist das Unternehmen als Veranstalter damit auch letztverantwortlich bzw. verantwortlich. Das Unternehmen verfügt über die Adressdaten seiner Mitarbeiter und Kunden. Das Unternehmen verfügt ebenfalls über die dementsprechenden Zustimmungen, um diese Personenkreise per E-Mail mit einer Einladung beschicken zu können.
     
  • Der Veranstalter beauftragt eine Eventagentur mit der Umsetzung der Veranstaltung. Die Eventagentur übernimmt, neben der inhaltlichen Planung der Veranstaltung, auch die Auswahl und Beauftragung weiterer Dienstleister und Unternehmen, u. a. für das Catering, die Ton- und Lichttechnik und den Blumenschmuck. Die Eventagentur wird auch mit der Umsetzung des Einladungs- und Teilnehmermanagements sowie des Check-ins der Teilnehmer auf der Veranstaltung beauftragt.
     
  • Da diese Tätigkeiten die Verarbeitung von personenbezogenen Daten inkludieren und die Adressdaten von Mitarbeitern und Kunden vom Veranstalter an die Eventagentur übermittelt werden, gilt die Agentur als Auftragsverarbeiter. Als Verantwortlicher schließt der Veranstalter mit der Eventagentur als Auftragsverarbeiter eine Auftragsverarbeiter-Vereinbarung ab.

Die Eventagentur beauftragt für die Umsetzung weitere Subunternehmen, einige davon werden auch die personenbezogenen Daten des Veranstalters verarbeiten:

  • Software für das Einladungs- und Teilnehmermanagement: Für das Einladen, Verwalten und Empfangen der Teilnehmer wählt die Agentur die Software Invitario, die von Mitarbeitern der Agentur, des Veranstalters und im Rahmen der Veranstaltung von Mitarbeitern eines Personaldienstleisters bedient wird.

    In der Auftragsverarbeiter-Vereinbarung zwischen der Eventagentur und Invitario werden auch die beiden Subunternehmen von Invitario angeführt, die im Rahmen der Leistungserbringung Daten verarbeiten.
     
  • Personal für den Check-in am Event: Für den Empfang der Teilnehmer an der Veranstaltung wird auf einen Personaldienstleister zurückgegriffen. Der Empfang der Teilnehmer wird mit der Check-in-App von Invitario umgesetzt: Über eine digitale Gästeliste können die Teilnehmer per Name oder Scan eines QR-Codes am Tablet oder Smartphone schnell und sicher erfasst werden. Somit werden die Daten der Teilnehmer auch für die Mitarbeiter am Check-in sichtbar.

Beide Subunternehmen gelten nach DSGVO somit als Auftragsverarbeiter der Eventagentur, die in diesem Fall selbst mit dem Anbieter der Software sowie dem Personaldienstleister eine Auftragsverarbeiter-Vereinbarung abschließen muss. Auch die Subunternehmen der Eventagentur sind dazu verpflichtet, ihre Subunternehmen anzuführen und durch die Eventagentur genehmigen zu lassen, sofern von diesen personenbezogene Daten verarbeitet werden.

Ebenfalls sind beide Subunternehmen in der Auftragsverarbeiter-Vereinbarung zwischen dem Veranstalter (Verantwortlicher) und der Eventagentur (Auftragsverarbeiter) anzuführen und durch diesen zu genehmigen.

Nicht als Auftragsverarbeiter gilt hingegen der Florist, der für die optische Aufwertung des Events mit dem Blumenschmuck beauftragt wurde und nicht mit den Daten der Teilnehmer in Berührung kommt – außer der Blumenschmuck enthält z. B. die Tischkärtchen mit den Namen der Teilnehmer, was die Verarbeitung von personenbezogenen Daten erforderlich machen würde.


Einladen zu Veranstaltungen

Was Sie beim Einladen zu geschlossenen Veranstaltungen berücksichtigen müssen.

Wenn es um die Kommunikation mit den möglichen Teilnehmern einer Veranstaltung geht, ist vor allem das Einladen zu geschlossenen Veranstaltungen ein für den Datenschutz relevantes Thema. Hier greifen Sie auf bereits bestehende Daten zurück, um Personen eine Einladung zukommen zu lassen.

Um im Wording der DSGVO zu bleiben, sprechen wir beim Einladen auch von der Verarbeitung von Daten. Haben Sie für die Verarbeitung zu diesem Zweck keine Zustimmung, dann dürfen Sie auch nicht einladen. Daher ist es nicht verwunderlich, dass die DSGVO bei Veranstaltern für Verunsicherung und Unverständnis sorgt. Die Frage, wen Sie unter welchen Umständen einladen dürfen und wen nicht, klären wir in diesem Abschnitt.

Um Personen vor Spam und willkürlicher Dauerbeschickung mittels Newslettern zu schützen, sieht der Gesetzgeber strenge Regeln für das Versenden von E-Mails an Personen vor. Dementsprechend sollten Sie beim Einladen per E-Mail bereits vor dem Versenden der Einladung über eine Zustimmung der betroffenen Personen verfügen.

Einladen dürfen Sie in der Regel Personen per E-Mail,

  • mit denen Sie in einer aktiven Geschäftsbeziehung stehen,
  • zu denen eine Geschäftsbeziehung bestanden hat,
  • von denen Sie aktiv Visitenkarten erhalten haben und
  • deren Adressen Sie von dritter Seite bekommen haben, wenn Ihnen garantiert wurde, dass diese Personen einer solchen Verarbeitung/Einladung zugestimmt haben.

Das Grundproblem beim Einladen von Personen besteht darin, dass – wenn noch keine ausdrückliche Zustimmung der Betroffenen zum Zweck des Einladens besteht – nach DSGVO an diese keine Einladung per E-Mail übermittelt werden darf. Hier haben wir eine Art „Henne-Ei-Problem“: Sie haben die Namen und E-Mail-Adressen der gewünschten Teilnehmer, dürfen diese aber nicht per E-Mail anschreiben. In Österreich gilt darüber hinaus die Sonderbestimmung nach § 107 Telekommunikationsgesetz (TKG): Demnach dürfen E-Mails grundsätzlich nur dann geschickt werden, wenn eine aufrechte Geschäftsbeziehung oder eine explizite Zustimmung des Betroffenen besteht.

 

Einladen von Begleitungen

Was ist bei Einladungen mit Begleitungen zu beachten ist.

In der Praxis wird zwischen Hauptgästen und Begleitungen unterschieden: Hauptgäste sind jene Personen, die vom Veranstalter direkt eingeladen werden. Dementsprechend sind Begleitungen jene Personen, die von den Hauptgästen zusätzlich zur Veranstaltung angemeldet werden.

Da die Anmeldung zur Veranstaltung immer durch den Hauptgast erfolgt, werden bei der Anmeldung von Begleitungen Daten von Dritten verarbeitet, über die der Hauptgast grundsätzlich nicht ohne Zustimmung verfügen kann.

Anonyme Begleitungen (ohne Abfrage von Daten)

Die anonyme Abfrage von Begleitungen ist vollkommen bedenkenlos, wenn etwa nur die Personenanzahl abgefragt wird.

Begleitungen mit der Abfrage von Daten

Meldet ein Hauptgast weitere Personen als Begleitungen, z. B. unter der Angabe von Geschlecht, Titeln und Namen, für eine Veranstaltung an, muss dies in Ihrer Datenschutzerklärung und im Anmeldeformular berücksichtigt werden.

Es gibt Konstellationen, im Rahmen derer davon ausgegangen werden kann, dass der Hauptgast über das konkludente Einverständnis (stillschweigende Willenserklärung) der Begleitperson verfügt, um diese ebenfalls zur Veranstaltung anzumelden. Davon kann insbesondere bei Ehepartnern bzw. Familienmitgliedern ausgegangen werden, wenn diese beispielsweise zur jährlichen Weihnachtsfeier eingeladen werden. Hier ist nicht zu erwarten, dass die Begleitperson Bedenken hinsichtlich des Datenschutzes haben könnte.

Wenn Sie bei Hauptgästen aber nicht davon ausgehen können, dass diese über eine konkludente Zustimmungserklärung ihrer Begleitungen verfügen, sollten Sie in der Datenschutzerklärung bzw. direkt im Anmeldeprozess mit einem kurzen Rechtstext auf den nachstehenden Sachverhalt hinweisen: Der Hauptgast muss garantieren, dass er dazu berechtigt ist die Begleitung(en) anzumelden. Hiermit bestätige ich, dass ich mit meinen Begleitpersonen Rücksprache gehalten habe und berechtigt bin, diese für die Veranstaltung anzumelden.

Auf keinen Fall sollten Sie die E-Mail-Adresse von Begleitungen abfragen oder diese gar mit Informationen zur Veranstaltung oder einem Newsletter beschicken.

 

Einladen ohne Zustimmung?

Drei Möglichkeiten, wie Sie Personen ohne vorliegende Zustimmung zu einer Veranstaltung einladen können.

Variante 1: fragen sie einfach

Bemühen Sie sich um die Zustimmung der gewünschten Personen, um diese auch per E-Mail zu Veranstaltungen einladen zu können. Die ausdrückliche Zustimmung können Sie – eine bestehende Geschäftsbeziehung vorausgesetzt – im Zuge einer Datenschutz- bzw. Zustimmungserklärung einholen. Auch wenn dies für bestehende Kontakte aufwendig erscheint und zeitlich gut abgestimmt sein muss, ist es der einzige Weg, um der DSGVO tatsächlich zu entsprechen. Stellen Sie bei allen neu in Ihrem Unternehmen erfassten Kontakten sicher, dass alle Anforderungen der DSGVO von der ersten Interaktion an erfüllt sind.

Variante 2: es besteht ein berechtigtes interesse

Bieten Sie mit Ihren Einladungen einen Mehrwert, der eine Kontaktaufnahme durch Ihr Unternehmen rechtfertigt. Dazu müssen Sie ein sogenanntes „überwiegendes berechtigtes Interesse“ im Sinne des Artikel 6 der DSGVO geltend machen, bei dem die Datenverarbeitung und das Versenden einer Einladung auch ohne Zustimmung zulässig ist. Dies können Sie dann in Erwägung ziehen, wenn seit langem eine Geschäftsbeziehung besteht und es bisher verabsäumt wurde, eine Zustimmung einzuholen. Die Voraussetzung dafür ist, dass die Grundfreiheiten und Grundrechte dieser Personen davon nicht betroffen sind. Dies könnte etwa dann der Fall sein, wenn lediglich Name und E-Mail-Adresse für eine einmalig stattfindende Veranstaltung genutzt und im Anschluss gelöscht werden oder im Zuge der Veranstaltung das Einverständnis eingeholt wird. Hier sollte jeder Anwendungsfall mit einem Rechtsanwalt abgestimmt werden, um eine rechtssichere Umsetzung zu gewährleisten.

Variante 3: Per post

Eine heutzutage leider immer seltener angewandte Form der Einladung ist auf jeden Fall immer zulässig: der Postweg. Per Brief können Sie – ganz ohne Zustimmung des Empfängers – eine Einladung versenden. Und zwar an jede Person, deren Daten Sie aus einem öffentlichen Register wie dem Telefon-, Firmen- oder Grundbuch recherchiert haben. Für den guten alten Brief benötigen Sie also nicht einmal eine bestehende Geschäftsbeziehung.

Tipp: Nutzen Sie die Vorteile einer postalischen Einladung für eine besonders hochwertige Veranstaltung oder für eine Zustimmungskampagne, in der Sie künftige Einladungen per E-Mail ankündigen. Die Rückmeldung zur Einladung samt Zustimmung zu Ihrer Datenschutzerklärung erfolgt über eine Eventwebsite. Zur nächsten Veranstaltung können Sie die Personen, die ihre Zustimmen gaben, bereits per E-Mail einladen. Abläufe wie diese können Sie mit Invitario im Corporate Design Ihrer Organisation nach den Vorgaben der DSGVO umsetzen.

Was Sie nicht dürfen

Personen, zu denen Sie bisher keine Geschäftsbeziehung pflegten oder noch keinen Kontakt hatten, per E-Mail zu einer Veranstaltung einladen. Wie oben erwähnt, können Sie solche Personen in der Regel nur per Brief einladen.


Offene Veranstaltungen

Was bei offenen Veranstaltungen mit freier Anmeldung zu berücksichtigen ist.

Grünes Licht in Sachen Datenschutz gibt es grundsätzlich für die Verarbeitung von Daten, die Sie im Rahmen einer offenen Anmeldung zu einer Veranstaltung ohne Einladung erfassen. In diesem Fall wenden sich Personen von sich aus aktiv an Sie als Veranstalter.

Im Sinne der DSGVO wird hier von einer Vertragserfüllung gesprochen, für die keine gesonderte Zustimmung des Teilnehmers erforderlich ist. Jegliche Kommunikation, die sich auf die Anmeldung bzw. Veranstaltung bezieht, kann demnach ohne ausdrückliche Zustimmung des Teilnehmers rechtssicher per E-Mail erfolgen.

Aber auch in diesem Fall ist es erforderlich, eine Datenschutzerklärung im Rahmen des Registrierungsprozesses zur Verfügung zu stellen: Für den Veranstalter besteht eine grundsätzliche Informationspflicht über die Datenverarbeitung (siehe Datenschutzerklärung), unabhängig davon, ob eine Zustimmung erforderlich ist oder nicht. Der Teilnehmer muss darüber aufgeklärt werden, wo und wie die Daten verarbeitet bzw. gespeichert und gesichert werden.

Bitte beachten Sie, dass die Daten – sofern keine gesetzlichen oder rechtlichen Archivierungs- und Aufbewahrungspflichten bestehen – nach Vertragserfüllung zu löschen sind. Für statistische Zwecke können Sie Daten speichern, wenn diese zuvor anonymisiert wurden.

Tipp: Möchten Sie die Daten der Teilnehmer auch für Folgeveranstaltungen oder Marketingaktivitäten nutzen, dann nehmen Sie diese Punkte in Ihre Datenschutzerklärung auf. Da Sie hiermit über die reine Vertragserfüllung hinausgehen, ist zu diesen Punkten eine ausdrückliche Zustimmung der Teilnehmer erforderlich. Wie Sie diese umsetzen müssen, erfahren Sie im Abschnitt Datenschutzerklärung.


Datenschutz auf der Veranstaltung

Auch auf der Veranstaltung selbst ist der Datenschutz der Teilnehmer zu wahren: Relevant ist hier vor allem der Empfang bzw. Check-in der Teilnehmer, bei dem die personenbezogenen Daten über die Gästeliste eingesehen werden.

Häufig werden im Verlauf einer Veranstaltung auch Daten von Teilnehmern erhoben. Wie schon im Rahmen der Anmeldung zur Veranstaltung ist auch hier zu unterscheiden, ob die Daten zur reinen Vertragserfüllung oder weitere Zwecke erhoben werden.

Werden alle oder wird ein Teil der Daten direkt am Check-in zur Vertragserfüllung im Sinne der organisatorischen Abwicklung der Veranstaltung erfasst, wird keine Zustimmung benötigt. Werden Daten auch für weitergehende Zwecke erhoben, so ist hier gegenüber den Teilnehmern Transparenz über den Zweck und Art der Verarbeitung herzustellen und eine ausdrückliche Zustimmung einzuholen.

Wenn die für den Check-in bzw. die Erhebung von personenbezogenen Daten engagierten Personen keine Mitarbeiter des Veranstalters im Sinne des Verantwortlichen sind, dann ist eine dementsprechende Auftragsverarbeiter-Vereinbarung, z.B. mit dem beauftragten Personaldienstleister, abzuschließen.

Wurden die Mitarbeiter von einem Auftragsverarbeiter als Subunternehmen beauftragt, dann ist in der Auftragsverarbeiter-Vereinbarung zwischen dem Veranstalter und der Eventagentur auf dieses Subunternehmen zu verweisen. Zusätzlich sollten Sie sicherstellen, dass es für die einzelnen Mitarbeiter Geheimhaltungs- bzw. Verschwiegenheitsverpflichtung mit dem direkten Arbeitgeber gibt.

Tipp: Bei der Sichtbarkeit von personenbezogenen Daten sollte darauf geachtet werden, dass der Kreis der Personen, die auf der Veranstaltung auf die Daten zugreifen oder diese einsehen können, möglichst klein gehalten wird. Darüber hinaus sollten die Daten nur dann eingesehen werden, wenn dies die Situation erforderlich macht.

Vermeiden Sie gedruckte Gästelisten am check-in

Vermeiden Sie den Einsatz von gedruckten Gästelisten, da diese im dynamischen Umfeld einer Eingangssituation oft verloren gehen können. Gedruckte Listen haben außerdem den Nachteil, dass sie für den gerade eintreffenden Gast einsehbar sind und auch Informationen beinhalten könnten, die für die Abwicklung des Check-ins nicht erforderlich wären. Sie erinnern sich: Die DSGVO setzt die Datensparsamkeit voraus.

Bei größeren Veranstaltungen mit mehreren Check-in-Stationen werden die erfassten Gäste auch nicht zwischen den Listen synchronisiert – damit entsteht eine große Sicherheitslücke: Personen könnten unter ein und demselben Namen mehrfach auf der Veranstaltung einchecken. Außerdem ist es sehr aufwändig festzustellen, wer bereits auf der Veranstaltung eingetroffen ist bzw. tatsächlich teilgenommen hat.

Digitalisieren Sie Ihren Check-in

Verwenden Sie stattdessen eine digitale Gästeliste, wie sie auch von Invitario angeboten wird. Mittels Tablet oder Smartphone können Teilnehmer per Name oder Scan eines QR-Codes schnell und sicher erfasst und mit allen anderen Check-in-Stationen synchronisiert werden.

Die Invitario Check-in-App kann beispielsweise so konfiguriert werden, dass die Gästeliste nicht einsehbar ist, sondern die Suchergebnisse mit den übereinstimmenden Teilnehmern erst nach Eingabe einer vom Anwender festgelegten Anzahl an Buchstaben am Bildschirm erscheinen. Noch eleganter ist der Scan eines QR-Codes, der dem Teilnehmer mit einer Anmeldebestätigung bzw. als Ticket oder mobiles Ticket zur Verfügung gestellt werden kann.

 

Foto- und Videoaufnahmen

Können Veranstaltungen (auch rein interne Veranstaltungen) mit Foto und/oder Video dokumentiert und diese Inhalte gespeichert werden?

Grundsätzlich fallen auch Foto- oder Videoaufnahmen nach der DSGVO in die Kategorie personenbezogener Daten. Damit gelten auch für diese die strengen Vorschriften der Datenschutzgrundverordnung.

Jedoch ist vor allem bei Veranstaltungen im öffentlichen Raum heutzutage davon auszugehen, dass diese Veranstaltungen dokumentiert werden und das Foto- bzw. Videomaterial veröffentlicht wird.

Als Veranstalter sind Sie gut beraten, wenn Sie entweder bereits in der Einladung oder zumindest im Eingangsbereich der Veranstaltung einen Hinweis platzieren, dass auf dieser Veranstaltung Foto- und/oder Videoaufnahmen angefertigt werden. Bei kostenpflichtigen Veranstaltungen sollte diese Information am besten bereits vor dem Kauf von Tickets einsehbar sein. Damit steht es jedem Teilnehmer zumindest theoretisch frei, die Veranstaltung unter Berücksichtigung dieser Information gegebenenfalls nicht zu besuchen.

Mustertext

Auf der Veranstaltung werden Film- und Tonaufnahmen sowie Fotos gemacht, mit deren auch späteren Verwendung Sie sich durch den Besuch der Veranstaltung einverstanden erklären.

Darüber hinaus sollten Sie Ihre Fotografen und Kamerateams darüber informieren, dass sie die mündliche Zustimmung der abzubildenden Personen einholen müssen, bevor die Aufnahmen gemacht werden. Wenn diese Zustimmung erfolgt, kann davon ausgegangen werden, dass diese Personen mit der Veröffentlichung der Aufnahmen einverstanden sind.

Haben Sie die Informationspflicht erfüllt und die mündliche Zustimmung der abgebildeten Personen erhalten, können die Aufnahme ohne Bedenken auf Ihrer Website sowie auf Social-Media-Kanälen verbreitet werden.

Nicht verwendet werden dürfen Aufnahmen, wenn diese für den Abgebildeten aus welchen Gründen auch immer nachteilig sind. Verzichten Sie daher am besten darauf, Teilnehmer mit alkoholischen Getränken und in zu „lockerer“ Stimmung zu fotografieren.

Achtung: Vollkommen ausgeschlossen ist die Verwertung der Fotoaufnahmen für Werbung, da es hierzu immer die explizite Zustimmung der abgebildeten Personen bedarf.

Es ist zu erwarten, dass für Aufnahmen, die von akkreditierten bzw. externen Fotografen, die nicht direkt dem Veranstalter, sondern etwa der Presse zuzuordnen sind, angefertigt werden, der Veranstalter nicht verantwortlich ist.


Kapitel II

Datenschutz Grundlagen

Was hinter dem Begriff Datenschutz steckt und Sie beim Handling von Daten beachten müssen.

Das Grundrecht auf Datenschutz sollte für alle Marktteilnehmer eine Selbstverständlichkeit sein. Weil es hier aber offenbar deutliches Potenzial für Verbesserungen gibt, wurde die verhältnismäßig strenge Datenschutzgrundverordnung mit ihren teilweise drakonischen Strafen erlassen.

Dementsprechend ernst ist das Datenschutzgesetz auch als ein „Verbotsgesetz“ formuliert, wonach das Verarbeiten von personenbezogenen Daten grundsätzlich verboten ist. Eine Verarbeitung von Daten ist nur erlaubt, wenn eine gesetzliche Ausnahme bestehen. Es gibt jedoch eine ganze Reihe von Ausnahmen, die das Arbeiten in der Praxis zwar verändern, aber keinesfalls verhindern wird.

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz. Das Recht auf Privatsphäre und Datenschutz wird sowohl durch die vom Europäischen Rat als auch durch die von der EU entwickelten Rechtsinstrumente gewahrt. So sind das Recht auf Privatsphäre und das Recht an personenbezogenen Daten (gemäß Art 8 EMRK) geschützt, wobei auch das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen Nr 108) spezifisch zur Anwendung gelangt.

Wichtige Begriffe im Datenschutz:

Verarbeitung

Unter Verarbeitung wird jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang wie das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, Anpassung oder Veränderung, das Abfragen, die Verwendung, Offenlegung oder Übermittlung von Daten verstanden.

Daten

Dies sind jene Informationen, die Sie entweder bereits über andere Personen haben oder im Rahmen Ihrer Veranstaltung erfassen. Sie müssen also nur die Gästeliste einer Veranstaltung weitergeben und schon fallen Sie unter die Datenschutzgrundverordnung.

 

Grundsätze

Die folgenden Grundsätze der DSGVO sollten Sie immer bedenken, wenn Sie mit dem Thema Datenverarbeitung zu tun haben.

Transparenz, Fairness, Rechtmäßigkeit

Daten müssen immer rechtmäßig, transparent und fair gegenüber den Betroffenen verarbeitet werden. Transparent bedeutet, dass Sie gegenüber den Betroffenen offenlegen müssen, welche Daten Sie verarbeiten, wo diese gespeichert und wie diese geschützt sind. Rechtmäßig bedeutet, dass Sie keine Daten aus unseriösen Quellen oder über den Schwarzmarkt beziehen dürfen. Sie müssen immer rechtmäßig über die Daten verfügen.

Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verwendet werden. Wenn Sie von einer Person die Zustimmung für eine Einladung zu einer Veranstaltung erhalten haben, dürfen Sie diese Zustimmung nicht dazu verwenden, die Person mit Werbung und Newslettern zu beschicken, die mit der Veranstaltung nicht unmittelbar in Zusammenhang stehen.

Datensparsamkeit und -minimierung

Stellen Sie sicher, dass immer nur so viele Daten verarbeitet werden, als zur Erreichung des Zwecks unbedingt notwendig sind. Passen Sie es ggf. die in Ihrem Unternehmen abgebildeten Workflows an.

Tipp: Prüfen Sie die in Ihrem Unternehmen gespeicherten Daten. In der Praxis zeigt sich, dass über die Zeit sehr viele Informationen gesammelt wurden, die entweder nicht mehr aktuell oder viel zu umfangreich sind. Löschen Sie alle Daten, die Sie nicht unbedingt zur Erfüllung Ihres Geschäftszwecks benötigen oder zu deren Verarbeitung Sie über keine Zustimmung verfügen.

Richtigkeit

Betroffene haben das Recht auf sachlich richtige und aktuelle Daten. Sie sind demnach dazu verpflichtet, Ihre Datenbanken stets aktuell zu halten und zeitnah auf Änderungsgesuche zu reagieren.

Speicherbegrenzung

Löschen Sie Daten sobald Sie diese nicht mehr für den ursprünglichen Zweck benötigen. Die beste Lösung aus Sicht der DSGVO ist immer das möglichst zeitnahe Löschen von nicht mehr benötigten Daten, sofern keine gesetzlichen oder rechtlichen Archivierungs- und Aufbewahrungspflichten bestehen. Alternativ können Sie Daten speichern, wenn diese pseudonymisiert oder anonymisiert wurden (darunter ist die „Datensparsamkeit“ zu verstehen).

Vertraulichkeit und Integrität

Sorgen Sie durch eine sichere Infrastruktur für Vertraulichkeit und Integrität: Technische und organisatorische Schutzmaßnahmen (TOM) sind zu dokumentieren und geben hauptsächlich über die Sicherheit der technischen Infrastruktur, wie z. B. Server-Hosting, Auskunft.

 

Die DSGVO als Verbotsgesetz

Das Datenschutzgesetz ist ein „Verbotsgesetz“, wonach das Verarbeiten von personenbezogenen Daten grundsätzlich verboten ist. Eine Verarbeitung von Daten ist nur erlaubt, wenn eine gesetzliche Ausnahme besteht.

In einer ganzen Reihe von Ausnahmen wird in der DSGVO die Verarbeitung von Daten ermöglicht. Neben der Nutzung von öffentlich zugänglichen Daten, wie z. B. aus Grundbuch, Firmenbuch oder zentralem Melderegister, können auch anonyme Daten ohne Bedenken genutzt werden. Auch zur Erfüllung rechtlicher Verpflichtungen oder im Rahmen gesetzlicher Ermächtigungen bestehen umfangreiche Ausnahmen.

Selbstverständlich ist auch die Verwendung bei lebenswichtigen Interessen des Betroffenen möglich. Sollte beispielsweise ein Teilnehmer auf Ihrer Veranstaltung kollabieren und Sie müssen den Rettungsdienst verständigen, können Sie die Ihnen von dieser Person bekannten Daten selbstverständlich ohne Zustimmungserklärung des Teilnehmers an den Rettungsdienst weitergeben.

In der Praxis von Veranstaltungen wird es sich in der Regel um eine der beiden nachstehenden Ausnahmen handeln:

Zustimmung des Betroffenen

Zustimmungserklärungen sind nach der DSGVO noch genauer zu formulieren als bisher. Wenn Sie über die Zustimmung eines Betroffenen verfügen, können Sie die Daten für die bekanntgegebenen Zwecke verarbeiten. Im Idealfall verfügen Sie bereits vor dem Versand der Einladung über die Zustimmung, auch wenn dies nicht in jedem Fall zwingend erforderlich ist.

Eine vom Betroffenen erfolgte Zustimmung muss zu folgenden Punkten erfolgen:

  • Art der verarbeiteten Daten: z.B. Name, Firma, Adresse etc.
  • Zweck der Verarbeitung: z.B. Planung und Umsetzung einer Veranstaltung
  • Wer die Daten verarbeitet: Welches Unternehmen zu welchem Zweck die Daten nutzt

Bitte bedenken Sie, dass im Streitfall der Beweis für die Zustimmung immer durch den Verantwortlichen erbracht werd en muss (Rechenschaftspflicht). Im Rahmen der Zustimmung muss auch immer eine Widerrufsbelehrung erfolgen, da die Zustimmung sonst keine Gültigkeit hat.

Beachten Sie bei der Formulierung Ihrer Zustimmungserklärungen folgende Punkte:

  • Eine Zustimmung (Einwilligung) sollte immer schriftlich erfolgen.
  • Bei der Formulierung auf eine klare und einfache Sprache achten.
  • Eine elektronische Zustimmung durch das Anklicken einer Checkbox oder eine mündliche Zustimmung genügt. Achtung: Schweigen, bereits angeklickte Checkboxen oder Ähnliches sind keine gültigen Zustimmungserklärungen!
  • Eine bereits gegebene Zustimmung kann jederzeit widerrufen werden. Hierfür bedarf es einer Widerrufsbelehrung.
  • Sensible Daten müssen immer mittels ausdrücklicher Zustimmung freigegeben werden.
  • Bei reiner Vertragserfüllung (siehe unten) ist keine Zustimmung erforderlich.

Tipp: Erfolgte die Zustimmung mündlich, bestätigen Sie dies in einer E-Mail an den Betroffenen und dokumentieren diese.

Vertragserfüllung

Viele Unternehmen glauben, dass unter der DSGVO für alles eine explizite Zustimmung der Betroffenen benötigt wird. Dies ist nicht der Fall. Wenn das Unternehmen nur den Vertrag erfüllen möchte, der mit dem Kunden abgeschlossen wurde, ist keine gesonderte Zustimmung erforderlich. Als Vertragserfüllung können etwa alle erforderlichen Maßnahmen zur Umsetzung einer Veranstaltung verstanden werden, zu welcher sich eine Person als Teilnehmer anmeldet.

 

Betroffenenrechte

Der Gesetzgeber hat Betroffenen bereits in der Vergangenheit umfassende Rechte zur Wahrung ihrer Interessen eingeräumt, ab dem Inkrafttreten der DSGVO werden die Betroffenenrechte aber noch einmal deutlich verstärkt.

Informationspflicht (Artikel 13 DSGVO)

Bevor Sie Daten einer Person verarbeiten und in eine Geschäftsbeziehung eintreten, müssen Sie diese in Ihrer Datenschutzerklärung u. a. darüber aufklären, welche Daten Sie zu welchem Zweck verarbeiten. Hier erfahren Sie mehr über die Anforderungen der Informationspflicht im Rahmen der Datenschutzerklärung.

Auskunftsrecht (Artikel 15 DSGVO)

Betroffene haben ein Auskunftsrecht. Wenn Sie eine solche Anfrage erhalten, muss der Verantwortliche nach den strengen Vorgaben der DSGVO binnen einem Monat bekanntgeben, ob bzw. welche Daten über den Betroffenen verarbeitet werden (z. B. Zweck, Art, Empfänger, Speicherdauer, Berichtigungs-, Löschungs- und Widerspruchsrechte etc.). Das Auskunftsrecht ist auf Anfrage eines Betroffenen anzuwenden. Kommen Sie der Aufforderung nicht fristgerecht nach, handelt es sich um eine Datenschutzverletzung.

Tipp: Erstellen Sie einen standardisierten Ablauf, um zeitnah auf Anfragen reagieren zu können.

Datenübertragbarkeit (Artikel 20 DSGVO)

In der Praxis des Eventmanagements wird es kaum zu einem solchen Anwendungsfall kommen. Hier soll vor allem sichergestellt werden, dass ein Konsument etwa zu einem Mitbewerber wechseln kann, ohne dort seine Daten neu eingeben zu müssen. Verantwortliche müssen Betroffenen die Daten zu diesem Zweck in geeigneter und maschinenlesbarer Art zur Verfügung stellen und an diese übertragen, wenn die Verarbeitung aufgrund einer Einwilligung oder eines Vertrages erfolgt ist. Sofern technisch möglich, sollen die Daten direkt zwischen Verantwortlichen – etwa zwischen zwei Banken – übertragen werden. Eine Ausnahme besteht, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe des öffentlichen Interesses erfolgt oder Rechte und Freiheiten anderer verletzen würde. Das Recht auf Datenübertragung besteht aber nur dann, wenn der Betroffene auch diese selbst bereitgestellt hat.

Recht auf Löschung

Grundsätzlich kann sich jeder Betroffene an den Verantwortlichen oder einen Auftragsverarbeiter wenden, um die Löschung seiner Daten zu begehren – außer es bestehen berechtigte Gründe, weshalb die Daten (noch) nicht gelöscht werden können. Hier ist ebenfalls eine Frist von einem Monat zu berücksichtigen, innerhalb derer die Daten gelöscht werden müssen. Gleiches gilt für einen Antrag auf Einsicht oder Änderung von Daten – auch diese müssen innerhalb eines Monats abgehandelt werden.

Tipp: Regeln Sie diese Punkte in Ihrer Auftragsverarbeiter-Vereinbarung. Sehen Sie dabei auch den Fall vor, dass sich der Betroffene nicht direkt beim verantwortlichen Veranstalter meldet, sondern, aus welchen Gründen auch immer, Kontakt mit einem Auftragsverarbeiter aufnimmt. Der Auftragsverarbeiter hat dann die Pflicht, diesen Antrag umgehend an den Verantwortlichen weiterzuleiten. Nur der letztendlich Verantwortliche kann die entscheidenden Schritte in Auftrag oder eine Weisung geben. Der Auftragsverarbeiter selbst ist nicht dazu berechtigt, die Daten eigenmächtig zu löschen oder dem Betroffenen über die gespeicherten Daten Auskunft zu erteilen. Der Auftragsverarbeiter muss stets an den Verantwortlichen verweisen, denn nur dieser kann prüfen, ob z. B. das Löschungsbegehren zu Recht besteht oder Aufbewahrungsfristen zu beachten sind, sodass unter Umständen nicht der vollständige Datensatz gelöscht werden kann.

Recht auf Berichtigung

Betroffene können die Richtigstellung ihrer Daten begehren, um z. B. die Kontaktdaten oder Informationen über den Arbeitgeber zu korrigieren. Auch hier müssen Sie innerhalb eines Monats die geforderten Maßnahmen umsetzen.

Recht auf Einschränkung

Eine betroffene Person könnte theoretisch verlangen, dass der Kontakt nur noch über die Postanschrift erfolgt und die E-Mail-Adresse zu löschen ist. Auch einer solchen Anfrage müssen Sie nachkommen.

 

Arten von Daten

Welche Arten von Daten werden überhaupt verarbeitet? Um die für Ihren Anwendungsfall geeigneten Datenschutzmaßnahmen zu ergreifen, müssen Sie zuerst die Kategorie Ihrer Daten definieren.

Der Gesetzgeber unterscheidet zwischen personenbezogenen und besonders schützenswerten „sensiblen“ Daten. Im Anwendungsfall von Veranstaltungen handelt es sich im Regelfall um die Verarbeitung von personenbezogenen Daten. Daten zu Unternehmen ohne Personenbezug bzw. „juristischen Personen“ finden in der DSGVO keine Beachtung.

Personenbezogene Daten

Diese umfassen sämtliche Informationen sowohl über das Privat- bzw. Berufsleben einer Person als auch das Leben in der Öffentlichkeit. Im EU-Recht sowie im Recht des Europarates werden personenbezogene Daten als Informationen über eine bestimmte oder bestimmbare natürliche Person definiert – es handelt sich demnach um Angaben über Betroffene, über die diese identifizierbar sind. Personenbezogene Daten beziehen sich nicht nur auf das private Leben, sondern inkludieren auch sämtliche berufliche Daten wie die Position im Unternehmen oder die geschäftliche E-Mail-Adresse. All diese „Daten“ fallen unter die Datenschutzgrundverordnung.

Folgende Daten gelten als personenbezogene Daten: Geschlecht, Geburtsdatum, Vor- und Nachname, akademische Titel, Adressdaten (privat wie geschäftlich), E-Mail-Adressen (privat wie geschäftlich), Unternehmen (Arbeitgeber), berufliche Position, Lebensmittelunverträglichkeiten (da dadurch kein Rückschluss auf den allgemeinen Gesundheitszustand möglich ist fällt diese Information nicht unter die Kategorie der sensiblen Daten), Körpermaße (z. B. Schuhgröße), Beziehungsstatus und Partner, Teilnahme an einer Veranstaltung, Interaktionen im Rahmen einer Veranstaltung, Foto-, Video- und Tonaufnahmen oder KFZ-Kennzeichen.

Das technische Format der Daten spielt keine Rolle: ob Excel, Word, E-Mail, Video- oder Sprachaufnahme, Foto oder handgeschriebene Karteikarte – relevant ist lediglich, dass ein Personenbezug hergestellt werden kann.

Sensible Daten

Diese Art von Daten wird für den Großteil an Veranstaltungen keine Bedeutung haben. Daten besonderer Kategorien, auch als „sensible Daten“ bezeichnet, beziehen sich auf Gesundheit, Religion, Sexualleben, politische Meinung, Zugehörigkeit zu einer Gewerkschaft, ethnische Herkunft, genetische Daten, biometrische Daten oder strafrechtliche Daten und sind daher besonders schützenswert. Sollten Sie diese Art von Daten verarbeiten, müssen Sie besonders vorsichtig sein, da Sie diese immer nur mit der ausdrücklichen Zustimmung der betroffenen Person verwenden dürfen. Sensible Daten werden u. a. in Art 9 iVm Art 4 Ziffer 13 bis 15 DSGVO geregelt.

Daten von Unternehmen

Auf reine Unternehmensdaten, wie z. B. Umsatzkennzahlen oder Firmennamen und Adressen, die Sie eventuell in Ihrem CRM verarbeiten, ist die DSGVO nicht anzuwenden. Im EU-Recht ist der Schutz „juristischer Personen“ bezüglich der Verarbeitung von Daten nicht geregelt.

 

Speichern und löschen von Daten

In der Datenschutzgrundverordnung liegen das Speichern und das Löschen von Daten nahe beisammen: Wie lange müssen die Daten nach einer Veranstaltung gespeichert werden? Aus Sicht der DSGVO ist das aber die falsche Frage, denn diese gibt vor, dass die Daten so rasch wie möglich zu löschen sind.

Grundsätzlich gilt: Wenn es sich um einer Person direkt zuordenbare Daten handelt, dürfen diese Daten nur so lange gespeichert werden, wie es die gesetzlichen Aufbewahrungspflichten vorsehen. Wenn also keine gesetzlichen Aufbewahrungspflichten bestehen, müssen die Daten nach der Erfüllung des Geschäftszwecks – etwa in den Tagen nach der Veranstaltung – umgehend gelöscht werden.

Dies ist vor allem bei kostenlosen Veranstaltungen der Fall, da es kein Rechnungsbegehren geben kann und es hier auch kaum zu einem Gewährleistungsfall etc. kommen wird. Der Gesetzgeber setzt zwar für die Löschung keine fixen Fristen an, erwartet aber ein zeitnahes Handeln. In der Praxis ist davon auszugehen, dass Unternehmen viele Gründe finden werden, um Daten nicht sofort löschen zu müssen.

Hingegen gilt bei kostenpflichtigen Veranstaltungen die Aufbewahrungspflicht hinsichtlich der wirtschaftlichen Transaktionen, wie z. B. die Rechnungen zum Verkauf der Tickets bzw. Einhebung der Teilnehmergebühren. Die Daten, die für die Erstellung der Buchhaltung benötigt werden und in weiterer Folge für das Finanzamt im Rahmen einer Prüfung relevant sein könnten, dürfen daher nicht gelöscht werden. Achten Sie aber auf das Prinzip der Datensparsamkeit: Auch eine gesetzliche Aufbewahrungspflicht rechtfertigt nicht die Speicherung vollständiger Datensätze, sondern bezieht sich unter Umständen nur auf ausgewählte Informationen. Alle nicht von der Aufbewahrungspflicht umfassten Daten sind daher entweder zu löschen oder können optional in anonymisierter Form (entspricht laut DSGVO einem Löschen) gespeichert werden.

Wichtig: Die Löschverpflichtung gilt für Verantwortliche und Auftragsverarbeiter. Der Verantwortliche muss sich nach DSGVO darum kümmern, dass auch bei allen Auftragsverarbeitern die Daten gelöscht werden. Nehmen Sie daher die Löschpflicht in Ihre Auftragsverarbeiter-Vereinbarungen auf, damit Sie diese mit Auftragsverarbeitern verbindlich vereinbaren.

Tipp: Über Ihre Datenschutzerklärung können Sie aber eine andere Vorgehensweise festlegen und sich beispielsweise auch für eine längere Speicherung der Daten die Zustimmung der Teilnehmer geben lassen. Beachten Sie auch hier das Koppelungsverbot: Die Zustimmung zu über die reine Vertragserfüllung hinausgehenden Punkten muss rein freiwillig erfolgen. Grundsätzlich darf eine solche Zustimmung nicht davon abhängig gemacht werden, ob der Teilnehmer die Hauptleistung – in unserem Fall die Teilnahme an der Veranstaltung – erhält.

Bei der Erstellung Ihres Datenkonzepts sollten Sie sich überlegen, ob bestimmte Daten für Sie nicht auch in anonymisierter Form aussagekräftig genug sind. Sobald ein Rückschluss von den Daten auf eine Person nicht mehr möglich ist, können Sie die Daten etwa für statistische Zwecke ohne Einschränkungen verwerten.

 

Verzeichnis von Verarbeitungstätigkeiten

Auch wenn es in diesem Zusammenhang die gesetzliche Ausnahme für Unternehmen mit weniger als 250 Mitarbeiter existiert, ist derzeit davon auszugehen, dass beinahe jedes Unternehmen, das regelmäßig Daten verarbeitet (etwa wiederkehrende Veranstaltungen, Lohverrechnung etc.) – unabhängig von seiner Größe – ein solches Verzeichnis nach Artikel 30 DSGVO führen muss.

Die Führung eines Verzeichnisses Ihrer Verarbeitungstätigkeiten hat aber in jedem Fall den Vorteil, dass Sie Ihre Prozesse analysieren und dokumentieren müssen. Legen Sie – unabhängig davon, ob Sie Verantwortlicher oder Auftragsverarbeiter sind – ein Dokument an, in dem Sie alle Tätigkeiten der Datenverarbeitung anführen. Auftragsverarbeiter müssen für jeden Verantwortlichen ein eigenes Verfahrensverzeichnis führen.

Berücksichtigen Sie dabei folgende Punkte:

  • Name und Kontaktdaten des Verantwortlichen bzw. Datenschutzbeauftragten (wenn vorhanden)
  • Zwecke, Art und Rechtsgrundlage der Verarbeitung
  • Betroffene Personen und Empfänger der Daten
  • Übermittlung in ein Drittland (außerhalb der EU)
  • Dauer der Datenspeicherung bzw. Löschfristen
 

Datenschutzbeauftragter (DSB)

Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist nach DSGVO dazu verpflichtet, eine Ansprechperson für Datenschutz oder sogar einen Datenschutzbeauftragten zu benennen.

Hier ist abzugrenzen, ob das Unternehmen die juristischen Erfordernisse für einen Datenschutzbeauftragten erfüllt oder die Ernennung eines Ansprechpartners für Datenschutz ausreichend ist. Ein Datenschutzbeauftragter ist für das Unternehmen mit deutlich höheren rechtlichen Anforderungen verbunden als ein bloßer Ansprechpartner für eventuelle Anfragen. Eine freiwillige Bestellung steht jedem Unternehmen offen. Eine Unternehmensgruppe kann einen gemeinsamen DSB ernennen. Auch kann ein externer Dienstleister, z.B. ein spezialisierter Rechtsanwalt, als DSB bestellt werden.

Die Bestellung eines DSB ist nach Artikel 37 DSGVO nur dann verpflichtend, wenn:

IN Deutschland

  • mehr als 9 Personen ständig Zugriff auf personenbezogene Daten haben.
  • Ausnahmen bei datengetriebenen Unternehmen bestehen.

IN Österreich

  • die Kerntätigkeit in der regelmäßigen und systematischen Überwachung Betroffener liegt.
  • sensible Daten besonderer Kategorien oder strafrechtliche Verurteilungen verarbeitet werden.

Ein DSB ist bei Unternehmen also insbesondere dann verpflichtend, wenn die „Kerntätigkeit“ des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche, regelmäßige und systematische Überwachung Betroffener erforderlich macht oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder Daten über strafrechtliche Verurteilungen besteht. Hierbei handelt es sich um Unternehmen wie Detekteien, Banken oder Versicherungen – in der Regel werden keine Eventdienstleister in diese Kategorie fallen.

Qualifikationsvoraussetzung für einen DSB ist das Fachwissen, insbesondere auf dem Gebiet des Datenschutzrechts, und Praxis sowie technische und organisatorische IT-Fachkenntnisse. Ein DSB muss ordnungsgemäß und frühzeitig über alle Angelegenheiten der Datenverarbeitung informiert werden und weisungsfrei gestellt sein. Der DSB berichtet grundsätzlich an den Vorstand oder die Geschäftsführung und darf keine Benachteiligung im Unternehmen erfahren. Zu seinen Aufgaben zählen die Information und Beratung des Unternehmens sowie der Mitarbeiter, die Überwachung und Einhaltung der Datenschutzbestimmungen. Der DSB agiert auch als Kommunikationsintermediär zur Datenschutzbehörde.

 

Internationaler Datenverkehr in das EU-Ausland

Dieser Punkt kommt in der Praxis häufig vor, da es sich bei der im Rahmen der Veranstaltung verwendeten Software um Cloud-Anwendungen handeln kann, bei denen Daten häufig in das EU-Ausland übermittelt werden. In solchen Fällen sollte in einem Verfahrensverzeichnis dokumentiert werden, in welches EU-Ausland Daten übermittelt werden und unter welcher Rechtsgrundlage etc.

Eine Übermittlung von Daten in das EU-Ausland ist nur unter folgenden Voraussetzungen genehmigungsfrei:

  • Es liegt eine ausdrückliche Zustimmung der betroffenen Person vor, nachdem über Risiken der Datenübermittlung informiert wurde.
  • Es besteht eine Notwendigkeit zur Vertragserfüllung.
  • Das Drittland verfügt über ein anerkanntes Datenschutzniveau (z. B. Kanada).
  • Es bestehen vom Datenschutzbeauftragten genehmigte unternehmensinterne Datenschutzleitlinien.
  • Es wurden vom Datenschutzbeauftragten genehmigte Standarddatenschutzklauseln abgeschlossen.
  • Es liegt eine Zertifizierung vor.

Tipp: Prüfen Sie Ihre Auftragsverarbeiter auf etwaige Subunternehmen in Drittländern, die sich vor allem bei Cloud-Services oft in den USA befinden. Solange der Auftragsverarbeiter über entsprechende Vereinbarungen und Garantien eines solchen Anbieters verfügt, ist dies kein Ausschlusskriterium. Wenn Sie wirklich sicher gehen wollen, beauftragen Sie nur Unternehmen, die ihre technologische Infrastruktur ausschließlich innerhalb der EU betreiben.

 

Technische Grundanforderungen

Nach dem Stand der Technik müssen auf Basis Artikel 32 DSGVO geeignete TOM (technische organisatorische Maßnahmen) implementiert werden, um den Datenschutz nach DSGVO gewährleisten zu können. Unternehmensinterne Verhaltensregeln und Zertifizierungen unterstützen dabei. Das aufrechtzuerhaltende Schutzniveau richtet sich nach Art, Zweck, Umfang und Kontext der Verarbeitung und den Risiken für die Privatsphäre der Betroffenen.


Die Datenschutzerklärung

Sie enthält alle nach der DSGVO relevanten Punkte und ist das Herzstück Ihrer Datenschutzstrategie und ein absolutes Muss für jede Veranstaltung.

ÜBERBLICK

  • Mit der Datenschutzerklärung informieren Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen Ihrer Eventwebsite und Veranstaltung.
  • Der Link zur Datenschutzerklärung muss von jeder Seite der Website aus und vor Anmeldung zur Veranstaltung erreichbar sein. Stellen Sie gegebenenfalls auch eine downloadbare Version zur Verfügung.
  • Bei kostenpflichtigen Veranstaltungen stellt eine fehlende oder mangelhafte Datenschutzerklärung einen Wettbewerbsverstoß dar, der zu einer mitunter kostspieligen Abmahnung führen kann.
  • Der Umfang der Datenschutzerklärung hängt von den Funktionen Ihrer Website und dem Zweck der Verarbeitung von Daten im Rahmen der Veranstaltung ab.
  • Da jeder Anwendungsfall unterschiedlich ist, kann ein Unternehmen auch über mehrere vollkommen unterschiedliche Datenschutzerklärungen verfügen.

WICHTIGE INHALTE

  • Welche Art von Daten (Name, Firma, Adresse etc.) werden gespeichert?
  • Zu welchem Zweck erfolgt die Speicherung?
  • Für welchen Zeitraum werden die Daten gespeichert?
  • Von wem werden die Daten verarbeitet (Firma, Zweck etc.)?
  • Wer ist die Ansprechperson im Fall eines Auskunfts- oder Löschungsbegehrens?
  • Welche Aufsichtsbehörde ist im Fall eines Verstoßes gegen die DSGVO zuständig?

Tipp: Für die Erstellung einer Datenschutzerklärung werden von zahlreichen Interessenvertretungen kostenlose Muster angeboten, die an die individuellen Anforderungen Ihres Anwendungsfalls angepasst werden können.

integration AUF WEBSITE und in e-mails

Wie die Datenschutzerklärung zu integrieren ist, hängt von Ihrem Anwendungsfall ab: Entweder beabsichtigen Sie die Daten der Teilnehmer nur einmalig im Rahmen einer Veranstaltung zu verarbeiten oder Sie planen, die Daten in weiterer Folge auch für andere Zwecke, wie die Einladung zu anderen Veranstaltungen oder die Übermittlung eines Newsletters, zu verwenden.

Im ersten Fall bedienen Sie sich der reinen Vertragserfüllung, die zur Verarbeitung keine ausdrückliche Zustimmung zur Datenschutzerklärung erforderlich macht. Hingegen ist für alle über die reine Vertragserfüllung hinausgehenden Maßnahmen die ausdrückliche Zustimmung der Teilnehmer erforderlich.

Datenschutzerklärung bei reiner Vertragserfüllung

Wenn die Verarbeitung der Daten keine über die reine Vertragserfüllung hinausgehende Verwendung der Daten vorsieht, muss die Datenschutzerklärung nur für den Teilnehmer vor Anmeldung und Teilnahme zur bzw. an der Veranstaltung auf Ihrer Website einsehbar sein. Damit erfüllen Sie die Informationspflicht im Sinne der DSGVO.

Der Vorteil: Es ist keine ausdrückliche Zustimmung des Teilnehmers im Rahmen des Anmeldeprozesses erforderlich, um dessen Daten zum Zweck der Planung und Umsetzung der Veranstaltung zu nutzen. Um sicherzugehen, ist es aber dennoch zu empfehlen, die Zustimmung zur Datenschutzerklärung in jedem Fall in den Anmeldeprozess zu integrieren. Fügen Sie dazu einfach eine durch den Teilnehmer anzuklickenden Checkbox als Pflichtfeld mit einem dementsprechenden Hinweistext in das Anmeldeformular ein.

Ich stimme der Verarbeitung meiner personenbezogenen Daten im Rahmen der Datenschutzerklärung [Link zur Datenschutzerklärung] zu. Diese Zustimmung kann ich jederzeit per Email an datenschutz@veranstalterin.com wiederrufen.

Beachten Sie, dass eine Datenschutzerklärung nur dann gültig ist, wenn diese vor der Anmeldung zu einer Veranstaltung zur Verfügung gestellt wird, diese leicht verständlich abgefasst und transparent gestaltet ist. Die allgemeine Empfehlung lautet daher, die Datenschutzerklärung in den Footer als eigenen Punkt, z. B. neben den AGB, einzupflegen.

Datenschutzerklärung mit ausdrücklicher Zustimmung

Diese Variante ist dann anzuwenden, wenn Sie beabsichtigen, die Daten über die oben beschriebene Vertragserfüllung hinaus zu verarbeiten. Das ist dann der Fall, wenn Sie Teilnehmer zu weiteren Veranstaltungen einladen, die Daten der Teilnehmer in welcher Form auch immer analysieren oder künftig einen Newsletter übermitteln wollen. Die Datenschutzerklärung muss dann auch jene Punkte umfassen, wobei wiederum das bereits angesprochene Koppelungsverbot zu beachten ist.

Alle von Ihnen vorgesehenen Maßnahmen sind in die Datenschutzerklärung aufzunehmen und dort hervorgehoben darzustellen. Die Datenschutzerklärung ist auch in diesem Fall zur Einsicht auf der Eventwebsite zur Verfügung zu stellen. Darüber hinaus muss der Teilnehmer den über die Vertragserfüllung hinausgehenden Punkten im Anmeldeprozess ausdrücklich zustimmen, damit Sie die Daten für diese Zwecke verarbeiten können. Fügen Sie dazu für jeden Punkt eine durch den Teilnehmer anzuklickenden Checkbox – keinesfalls als Pflichtfeld – mit einem dementsprechenden Hinweistext in das Anmeldeformular ein.

Tipp: Fügen Sie den Link zu Ihrer Datenschutzerklärung auch in Ihre E-Mail-Signatur ein.

MUSTERTEXT FÜR EINE ZUSTIMMUNG

Ich bin damit einverstanden, von der XY GmbH [Veranstalterin] in Zukunft per E-Mail über Veranstaltungen informiert zu werden. Dies kann ich jederzeit per E-Mail an datenschutz@veranstalterin.com widerrufen.

Und als weitere (optionale) Checkbox, wenn Sie beabsichtigen die Daten über den eigentlichen Vertragszweck hinaus auch dritten Unternehmen zur Verfügung zu stellen:

Ich bin damit einverstanden, von der XYZ GmbH [Dritte] in Zukunft per E-Mail über deren Produkte und Dienstleistungen informiert zu werden. Dies kann ich jederzeit per E-Mail an datenschutz@veranstalterin.com widerrufen.
 

Koppelungsverbot

Grundsätzlich gilt, dass die Inanspruchnahme der Hauptleistung – in unserem Fall also die Teilnahme an einer Veranstaltung – nicht davon abhängig gemacht werden darf, ob vom Teilnehmer eine zusätzliche Zustimmung erteilt wird.

Eine über die reine Vertragserfüllung hinausgehende Zustimmung darf also nicht verpflichtend sein. Im Detail muss hier aber zwischen kostenlosen und kostenpflichtigen Veranstaltungen unterschieden werden:

Kostenlose Veranstaltungen

Bei kostenlosen Veranstaltungen ist es in der Regel möglich, die Zustimmung zu einem Newsletter Opt-in als Voraussetzung für die Anmeldung bzw. Teilnahme einzusetzen. Es gilt ein ähnliches Prinzip wie bei Gewinnspielen: Bei einer kostenlosen Teilnahme kann argumentiert werden, dass als Gegenleistung für den Besuch der Veranstaltung eine Zustimmung verpflichtend erforderlich ist. Die Zustimmung kann in diesem Fall als Gegenwert zur Teilnahme an der Veranstaltung gesehen werden. Dafür kann aber kein pauschaler Freibrief erteilt werden – bitte prüfen Sie daher Ihren individuellen Anwendungsfall im Detail mit Ihrem Rechtsanwalt.

Kostenpflichtige Veranstaltungen

Bei kostenpflichtigen Veranstaltung ist dies aber keinesfalls möglich, denn die betroffene Person muss an der Veranstaltung teilnehmen können, ohne weitere Zugeständnisse zu machen, die mit der Vertragserfüllung bzw. der Veranstaltung selbst in keinem Zusammenhang stehen.


Ihre Fragen

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen.

Häufig gestellte fragen

Darf die Eventagentur, die im Rahmen der Einladung und auf der Veranstaltung Daten von Teilnehmern erfasst, diese an den Auftraggeber ausfolgen?

Da die Zusammenarbeit zwischen dem Auftraggeber und der Eventagentur u. a. mit der Auftragsverarbeiter-Vereinbarung geregelt ist, wird der Auftragsverarbeiter als verlängerter Arm des Auftraggebers tätig. Der Auftragsverarbeiter ist somit sogar dazu verpflichtet, die für den Auftraggeber erfassten Daten an diesen zu übermitteln. Was der Agentur strikt verboten ist, ist die Nutzung dieser Daten für eigene Zwecke. Die Agentur darf die erfassten Daten also keinesfalls zur Kontaktaufnahme im eigenen Namen nutzen. Auch die Weitergabe von Daten an Dritte ist strengstens untersagt. Darüber hinaus ist die Agentur nach der DSGVO dazu verpflichtet, die Daten zu löschen, sobald diese nicht mehr benötigt werden.
 

Kann der Veranstalter die Daten der Teilnehmer an Dritte weitergeben?

Ja, wenn der Dritte Auftragsverarbeiter ist und er die Daten für die Abwicklung des Events benötigt, wenn es für die Vertragserfüllung zwingend notwendig ist (Bekanntgabe von Lebensmittelunverträglichkeiten von Teilnehmern an den Caterer) oder wenn die Teilnehmer ausdrücklich die Weitergabe genehmigt haben. Sonst nicht.
 

Gilt die Übergabe einer Visitenkarte bereits als Zustimmung zur Übermittlung von Newslettern oder Einladungen zu Veranstaltungen?

Diese Frage lässt sich juristisch leider nicht eindeutig beantworten, da das sehr vom Einzelfall abhängt. Nicht zulässig ist es jedenfalls dann, wenn etwa auf einer Messe wahllos frei herumliegende Visitenkarten eingesammelt und diese Daten verarbeitet werden. Wenn Sie jedoch von einer Person aktiv eine Visitenkarte überreicht bekommen und Sie im Gespräch darauf hinweisen, dass Sie in Zukunft Informationen per E-Mail übermitteln oder man in gegenseitigem Kontakt bleibt, so ist dies in der Regel als konkludente Zustimmung zu betrachten, auf deren Basis eine E-Mail-Kommunikation stattfinden darf.

Tipp: Beziehen Sie sich im ersten E-Mail schon alleine aus Gründen der Höflichkeit auf das im Rahmen der Übergabe der Visitenkarte geführte Gespräch und die erteilte Einwilligung zur Übermittlung von Newslettern und Einladungen zu Veranstaltungen.
 

Dürfen Mitarbeiter des Veranstalters über das Eintreffen ausgewählter Gäste per Push-Nachricht informiert werden?

Dieser digitale Prozess kann mit einem Telefonanruf des Check-in-Mitarbeiters verglichen werden und ist daher als zulässig einzustufen. Achten Sie jedoch darauf, dass lediglich Mitarbeiter der Veranstalter, mit denen Sie dementsprechende Geheimhaltungsvereinbarungen – z. B. im Rahmen des Dienstvertrages – abgeschlossen haben, diese Informationen erhalten. Unzulässig wäre es, wenn Sie andere Teilnehmer der Veranstaltung darüber informieren würden. Um sicherzugehen, sollten Sie diese Vorgehensweise in Ihre Datenschutzerklärung aufnehmen.
 

Kann einem Teilnehmer der Zugang zu einer Veranstaltung verwehrt werden, wenn er vor der Veranstaltung die Löschung seiner Daten beantragt?

Wenn die eingeladene Person auf die Löschung der Daten beharrt und sie im Vorfeld darüber aufgeklärt wurde, dass eine Teilnahme nach der Löschung aus Gründen der Organisation oder Sicherheit nicht mehr möglich ist, dann wird die Person tatsächlich nicht an der Veranstaltung teilnehmen können.
 

Wie gehe ich als Auftragsarbeiter oder Subunternehmen mit einer Anfrage auf Dateneinsicht um?

Macht ein Teilnehmer seine Betroffenenrechte geltend und meldet sich bei Ihnen als Auftragsverarbeiter oder Subunternehmen, müssen Sie diese Anfrage zeitnah an den Verantwortlichen weiterleiten. In Ihrem Fall muss das nicht zwingend der Veranstalter sein, sondern dies kann auch Ihr direkter Auftraggeber sein, mit dem Sie eine Auftragsverarbeiter-Vereinbarung abgeschlossen haben.
 

Kann der Zeitpunkt des Eintreffens bzw. Verlassens der Veranstaltung durch den Teilnehmer sowie die Teilnahme an bestimmten Programmpunkten erfasst und ausgewertet werden?

Um diese Daten auswerten zu können, müssen diese entweder anonymisiert werden, damit kein Rückschluss auf eine einzelne Person möglich ist, oder Sie lassen sich die explizite Zustimmung der Teilnehmer zur Auswertung der Daten geben. Wenn Sie auf einer Veranstaltung derartige Daten erheben möchten, stimmen Sie die optimale Vorgehensweise am besten mit Ihrem Rechtsanwalt ab.
 

Kann die Teilnahme an einer Veranstaltung an ein Newsletter Opt-in gebunden sein?

Bei kostenlosen Veranstaltungen kann die Zustimmung zum Empfang eines Newsletters – mit jederzeitigem Widerrufsrecht – als „Entgelt“ für die Teilnahme verstanden werden. In jedem Fall sollten Sie die Zustimmung nicht mit allzu vielen Nachrichten überstrapazieren. Bei kostenpflichtigen Veranstaltungen ist diese Frage mit einem klaren Nein zu beantworten, da Sie damit eindeutig gegen das Koppelungsverbot verstoßen würden: Grundsätzlich darf nach der DSGVO die Inanspruchnahme der Hauptleistung – also die Teilnahme an einer Veranstaltung – nicht davon abhängig gemacht werden, ob vom Teilnehmer auch eine Zustimmung zu über die Vertragserfüllung hinausgehende Zwecke erteilt wird.
 

Können Teilnehmer einer vergangenen Veranstaltung zu weiteren Veranstaltungen per E-Mail eingeladen werden?

Dazu ist in der Regel die ausdrückliche Zustimmung der Personen erforderlich, weshalb Sie diese immer gleich im Rahmen der ersten Anmeldung der Personen einholen sollten. Wenn dies im Einzelfall nicht gelungen ist oder übersehen wurde, kann geprüft werden, ob ein berechtigtes Interesse für eigene Werbung und Marketing des Unternehmens besteht. Wenn dem so ist, könnte argumentiert werden, dass eine weitere Einladung zu einer Veranstaltung möglich ist. Wenn es sich um Veranstaltungen zu gleichen oder ähnlichen Themen handelt, wäre dies argumentierbar. Ein Verstoß gegen die DSGVO wäre es auf jeden Fall, solchen Kontakten – ohne deren ausdrücklicher Zustimmung – Werbematerial, Newsletter oder eine große Anzahl an Einladungen per E-Mail zuzusenden.
 

Können auf einer Veranstaltung erfasste Daten ohne Zustimmung des Teilnehmers gespeichert werden?

Ohne Zustimmung dürfen nach dem Abhalten der Veranstaltung – nach DSGVO wird hier von der Vertragserfüllung gesprochen – keine personenbezogenen Daten von Teilnehmern mehr gespeichert werden. Nur Daten, die Sie unter Umständen für Ihre Buchhaltung oder das Finanzamt benötigen und die einer Aufbewahrungspflicht unterliegen, dürfen gemäß den jeweiligen Fristen länger gespeichert bleiben. Ebenfalls speichern können Sie Daten, wenn ein Rechtsstreit droht oder es zu Zwischenfällen im Rahmen einer Veranstaltung gekommen ist. Bitte achten Sie unbedingt darauf, dass eine Aufbewahrungspflicht nicht den kompletten Datensatz zu den Teilnehmern umfassen muss. Im Sinne der Datensparsamkeit sind in diesem Fall all jene Daten zu löschen, die nicht unter der Aufbewahrungspflicht erfasst sind. Eine langfristige Speicherung der Daten kann dann erfolgen, wenn die Daten anonymisiert wurden und keine Rückschlüsse auf Personen mehr möglich sind.
 

Was ist bei firmeninternen Veranstaltungen, die sich primär an Mitarbeiter richten, zu beachten?

Bei internen Veranstaltungen steht man als Veranstalter im Regelfall mit den Teilnehmern bereits seit Jahren in einer Arbeits- bzw. Vertragsbeziehung. Damit kann sich das Unternehmen auf das berechtigte Interesse berufen, um Mitarbeiter zu Firmenveranstaltungen einzuladen. Denken Sie bei der Gestaltung von Dienstverträgen dennoch daran, solche Anwendungsfälle aufzunehmen. Es sollte geregelt sein, dass das Einladen zu Veranstaltungen ohne gesonderte Zustimmung möglich ist.
 

Betrifft die DSGVO nur Kundendaten oder auch die Daten von Mitarbeitern (z. B. Fotos der Mitarbeiter auf der Homepage)?

Die Datenschutzgrundverordnung regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Daten und Fotos der Mitarbeiter auf der Homepage sind personenbezogene Daten und unterliegen daher der DSGVO.
 

Umfasst die DSGVO nur Datensätze in operativen Systemen (wie z. B. CRM und ERP) oder auch Daten auf Backup-Datenträgern und in E-Mail-Postfächern?

Ja, die DSGVO ist hier allumfassend zu sehen. Sie findet bei der Verarbeitung (darunter fällt u. a. auch die Speicherung) von personenbezogenen Daten Anwendung. Welche Technologie dabei verwendet wird, ist nicht wesentlich. Es fallen daher auch personenbezogene Daten in den Anwendungsbereich, die in Backups oder in E-Mail-Postfächern gespeichert sind. Lediglich manuelle Dateien, die keiner Ordnung unterliegen, fallen nicht in den Anwendungsbereich der DSGVO.
 

Gilt die DSGVO nur für digitale Daten oder auch für analoge (z.B. händisch beschriebene Kundenkarten)?

Die Datenschutzgrundverordnung findet auch auf die analoge Verarbeitung personenbezogener Daten Anwendung, wenn diese einer Ordnung unterliegen. Wenn die Kundenkarten daher beispielsweise alphabetisch, geographisch oder nach dem Datum des erstmaligen Kontaktes geordnet sind, unterliegen sie der DSGVO. Lediglich Akten in Papierform, die nicht nach bestimmten Kriterien geordnet werden, unterliegen nicht der DSGVO.


Über Invitario

Invitario ist die Software für smartes Einladungs- und Teilnehmermanagement. Unternehmen, Eventmanager, Eventagenturen nutzen Invitario für die Kommunikation mit den Teilnehmern ihrer Veranstaltungen. Alle Kontaktpunkte mit Teilnehmern können vor, während und nach einer Veranstaltung aktiv gesteuert werden. Die Umsetzung kann dabei vollständig im Corporate Design des Veranstalters erfolgen. Zahlreiche nationale und internationale Unternehmen setzen die Lösungen von Invitario ein, um das Einladen von Gästen professionell und effizient zu gestalten. Invitario ist ein Produkt und eine eingetragene Marke der Eventbutler GmbH.

Über Stefan Grossek

Stefan Grossek ist in der Geschäftsführung von Invitario (Eventbutler GmbH) für die Bereiche Marketing und Datenschutz verantwortlich. Er hat in Wien Kommunikationswirtschaft studiert und ein Management-Studium an der Harvard University absolviert.

Über Rainer Lassl

RA Dr., Rainer A. Lassl MA ist Geschäftsführer und Partner der WRTP Rechtsanwälte GmbH mit Kanzleistandorten in Wien und Graz. Er beschäftigt sich seit Jahren ua. mit Datenschutzrecht, Internetrecht, IP-/IT-Recht sowie verwandten Rechtsbereichen.

RECHTLICHER HINWEIS

Bitte beachten Sie, dass die nachstehenden Informationen nur einen ersten Einblick in den Bereich des Datenschutzrechts geben und Invitario keine wie auch immer geartete Haftung für diese Inhalte übernehmen kann. Dieser Guide kann keine auf Ihre Organisation abgestimmte Rechtsberatung ersetzen und wir empfehlen Ihnen daher weitergehende Fragen sowie Ihren individuellen Anwendungsfall mit einem Rechtsanwalt abzuklären. Für eine Rechtsberatung Ihrer Organisation können Sie unseren Experten Dr. Rainer Lassl hier kontaktieren.