Die Betroffenenrechte in der DSGVO wurden vor dem Hintergrund erlassen, die Daten „natürlicher Personen“ bestmöglich zu schützen und die Verwendung von personenbezogenen Daten weitestgehend einzuschränken. Werden Daten über eine Person verarbeitet, wird diese in der DSGVO als betroffene Person – kurz auch Betroffener genannt – bezeichnet. In unserem Anwendungsfall des digitalen Teilnehmermanagements entspricht dies dem Veranstaltungsteilnehmer, dessen personenbezogene Daten durch den Veranstalter als für den Datenschutz Verantwortlichen verarbeitet werden.
Auch wenn sich in der B2B-Kommunikation alles um die Geschäftsbeziehungen zwischen Unternehmen dreht, wird es eher die Ausnahme sein, dass eine anonymisierte Einladung an eine allgemeine Adresse eines Unternehmens geschickt wird. Dieser Sonderfall wird nicht von der DSGVO erfasst und kann bedenkenlos umgesetzt werden, solange Sie die Adressdaten aus einer öffentlich zugänglichen Quelle (z. B. Firmen- oder Telefonbuch) haben und keine personenbezogenen Daten verwendet werden.
In der Praxis werden freilich fast immer gezielt ausgewählte Personen eines Unternehmens eingeladen. Aus der Perspektive des Datenschutzes darf nicht übersehen werden, dass für die Kommunikation mit Mitarbeitern anderer Unternehmen – unabhängig von der Art der Geschäftsbeziehung – immer mit einer natürlichen Person als Vertreter der Organisation kommuniziert bzw. diese zur Veranstaltung eingeladen wird. Es gelten die Grundsätze der Verarbeitung von personenbezogenen Daten von Betroffenen im Sinne der DSGVO. Es macht also keinen Unterschied, ob Sie einen Geschäftspartner oder einen privaten Kontakt zu einer Veranstaltung Ihres Unternehmens einladen.
Betroffene können gegenüber dem Verantwortlichen oder auch Auftragsverarbeitern Schadensersatzansprüche geltend machen und haben das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen die Verarbeitung ihrer Daten.
Der Gesetzgeber hat Betroffenen bereits in der Vergangenheit umfassende Rechte zur Wahrung ihrer Interessen eingeräumt. Mit dem Inkrafttreten der DSGVO wurden diese Betroffenenrechte aber noch einmal deutlich verstärkt:
- Informationspflicht (Artikel 13 DSGVO): Bevor Sie die Daten einer Person – hier wird von personenbezogenen Daten gesprochen – verarbeiten und in eine Geschäftsbeziehung eintreten, müssen Sie die betroffene Person in Ihrer Datenschutzerklärung u. a. darüber aufklären, welche Daten Sie zu welchem Zweck verarbeiten. Stellen Sie als Veranstalter sicher, dass an Auftragsverarbeiter gerichtete Anfragen sofort und direkt an Sie weitergeleitet werden. Abgesehen von Ihnen sollte kein Dienstleister eine Anfrage beantworten.
- Auskunftsrecht (Artikel 15 DSGVO): Betroffene haben ein Auskunftsrecht zu den über sie gespeicherten Daten. Wenn Sie als Veranstalter eine solche Anfrage von einem Teilnehmer erhalten, müssen Sie binnen einem Monat bekanntgeben, ob bzw. welche Daten über den Betroffenen verarbeitet werden (z. B. Zweck, Art, Empfänger, Speicherdauer, Berichtigungs-, Löschungs- und Widerspruchsrechte etc.). Das Auskunftsrecht ist auf Anfrage eines Betroffenen anzuwenden. Kommen Sie der Aufforderung nicht fristgerecht nach, handelt es sich um eine Datenschutzverletzung. Erstellen Sie einen standardisierten Ablauf, um zeitnah auf Anfragen reagieren zu können.
- Datenübertragbarkeit (Artikel 20 DSGVO): In der Praxis des Eventmanagements wird es kaum zu einem solchen Anwendungsfall kommen. Hier soll vor allem sichergestellt werden, dass ein Konsument etwa zu einem Mitbewerber wechseln kann, ohne dort seine Daten neu eingeben zu müssen. Verantwortliche müssen Betroffenen die Daten zu diesem zur Verfügung stellen und an diese übertragen, wenn die Verarbeitung aufgrund einer Einwilligung oder eines Vertrages erfolgt ist. Sofern technisch möglich, sollen die Daten direkt zwischen den Verantwortlichen – etwa zwischen zwei Banken – übertragen werden. Eine Ausnahme besteht, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe des öffentlichen Interesses erfolgt oder Rechte und Freiheiten anderer verletzen würde. Das Recht auf Datenübertragung besteht aber nur dann, wenn der Betroffene auch diese selbst bereitgestellt hat.
- Recht auf Löschung: Grundsätzlich kann sich jeder Betroffene an den Verantwortlichen oder einen Auftragsverarbeiter wenden, um die Löschung seiner Daten zu begehren – außer es bestehen berechtigte Gründe, weshalb die Daten (noch) nicht gelöscht werden können bzw. dürfen (z. B. Aufbewahrungspflichten von Rechnungen über den Kauf von Tickets zum Besuch einer Veranstaltung). Hier ist ebenfalls eine Frist von einem Monat zu berücksichtigen, innerhalb derer die Daten gelöscht werden müssen. Gleiches gilt für einen Antrag auf Einsicht oder Änderung von Daten – auch diese müssen im gleichen Zeitraum abgewickelt werden. Nur der letztendlich Verantwortliche kann die entscheidenden Schritte in Auftrag oder eine Weisung geben. Der Auftragsverarbeiter selbst ist nicht dazu berechtigt, die Daten eigenmächtig zu löschen oder dem Betroffenen über die gespeicherten Daten Auskunft zu erteilen. Der Auftragsverarbeiter muss stets an den Verantwortlichen verweisen, denn nur dieser kann prüfen, ob z. B. das Löschungsbegehren zu Recht besteht oder Aufbewahrungsfristen zu beachten sind, sodass unter Umständen nicht der vollständige Datensatz gelöscht werden kann. Regeln Sie diese Punkte in Ihrer Auftragsverarbeiter-Vereinbarung. Sehen Sie dabei auch den Fall vor, dass sich der Betroffene nicht direkt beim verantwortlichen Veranstalter meldet, sondern, aus welchen Gründen auch immer, Kontakt mit einem Auftragsverarbeiter aufnimmt. Der Auftragsverarbeiter hat dann die Pflicht, diesen Antrag umgehend an den Verantwortlichen weiterzuleiten.
- Recht auf Berichtigung: Betroffene können die Richtigstellung ihrer Daten begehren, um z. B. die Kontaktdaten oder Informationen über den Arbeitgeber zu korrigieren. Auch hier müssen Sie innerhalb eines Monats die geforderten Maßnahmen umsetzen.
- Recht auf Einschränkung: Eine betroffene Person könnte theoretisch verlangen, dass der Kontakt nur noch über die Postanschrift erfolgt und die E-Mail-Adresse zu löschen ist. Auch einer solchen Anfrage müssen Sie nachkommen.