Personenbezogene Daten – oder nicht alle Daten sind gleich

Welche Arten von Daten werden überhaupt verarbeitet? Um die für Ihren Anwendungsfall geeigneten Datenschutzmaßnahmen zu ergreifen, müssen Sie zuerst die Kategorie Ihrer Daten definieren.

Der Gesetzgeber unterscheidet zwischen personenbezogenen und besonders schützenswerten Daten aus besonderen Kategorien. Im Anwendungsfall von Veranstaltungen handelt es sich im Regelfall um die Verarbeitung von personenbezogenen Daten. Daten zu Unternehmen ohne Personenbezug bzw. „juristischen Personen“ finden in der DSGVO keine Beachtung.

Personenbezogene Daten

Diese umfassen sämtliche Informationen sowohl über das Privat- bzw. Berufsleben einer Person als auch das Leben in der Öffentlichkeit. Im EU-Recht sowie im Recht des Europarates werden personenbezogene Daten als Informationen über eine bestimmte oder bestimmbare natürliche Person definiert – es handelt sich demnach um Angaben über Betroffene, über die diese identifizierbar sind. Das technische Format der Daten spielt dabei keine Rolle: ob Excel, Word, E-Mail, Video- oder Sprachaufnahme, Foto oder handgeschriebene Karteikarte – relevant ist lediglich, dass ein Personenbezug hergestellt werden kann.

Personenbezogene Daten beziehen sich nicht nur auf das private Leben, sondern inkludieren auch sämtliche berufliche Daten wie die Position im Unternehmen oder die geschäftliche E-Mail-Adresse. All diese „Daten“ fallen unter die DSGVO.

Folgende Daten gelten als personenbezogene Daten:

  • Geschlecht
  • Geburtsdatum
  • Vor- und Nachname
  • Akademische Titel
  • Adressdaten (privat wie geschäftlich)
  • KFZ-Kennzeichen
  • Telefonnummern
  • E-Mail-Adressen (privat wie geschäftlich)
  • Unternehmen (Arbeitgeber)
  • Berufliche Position
  • Körpermaße (z. B. Schuhgröße)
  • Beziehungsstatus und Partner

Auch Daten die im Rahmen einer Veranstaltung erhoben bzw. verarbeitet werden fallen in die Kategorie personenbezogener Daten:

  • Teilnahme an einer Veranstaltung
  • Interaktionen im Rahmen einer Veranstaltung
  • Foto-, Video- und Tonaufnahmen

Sonderfall Lebensmittelunverträglichkeiten

Auch wenn Lebensmittelunverträglichkeiten als Gesundheitsdaten verstanden werden können, fallen diese aber zumindest aus Sicht der DSGVO nicht in den eine besondere Kategorie personenbezogener Daten – lassen diese doch keinen Rückschluss auf den allgemeinen Gesundheitszustand einer Person zu.

Besondere Kategorien personenbezogener Daten

Diese Art von Daten wird für den Großteil an Veranstaltungen keine Bedeutung haben. Daten besonderer Kategorien, früher auch unter der Bezeichnung „sensible Daten“ bekannt, beziehen sich auf den höchstpersönlichen Lebensbereich einer Person und sich daher besonders schützenswert.

Folgende Daten fallen in die besondere Kategorien personenbezogener Daten:

  • Gesundheit
  • Religion
  • Sexualleben
  • politische Meinung
  • Zugehörigkeit zu einer Gewerkschaft
  • ethnische Herkunft
  • genetische Daten
  • biometrische Daten
  • strafrechtliche Daten

Sollten Sie diese Art von Daten verarbeiten, müssen Sie besonders vorsichtig sein, da Sie diese immer nur mit der ausdrücklichen Zustimmung der betroffenen Person verwenden dürfen. Die besonderen Kategorien personenbezogener Daten werden u. a. in Art 9 iVm Art 4 Ziffer 13 bis 15 DSGVO geregelt.

Ausnahme: Daten von Unternehmen

Auf reine Unternehmensdaten, wie z. B. Umsatzkennzahlen oder Firmennamen und Adressen, die Sie eventuell in Ihrem CRM verarbeiten, ist die DSGVO nicht anzuwenden. Im EU-Recht ist der Schutz „juristischer Personen“ bezüglich der Verarbeitung von Daten nicht geregelt.

Über den Autor

Über den Autor

Die Redaktion von Invitario versorgt Sie regelmäßig mit interessanten Artikeln zu Eventmanagement und Teilnehmermanagement. Tipp: Abonnieren Sie den Invitario-Newsletter, um auf dem Laufenden zu bleiben.

Tipps der Redaktion

Webinar: Eventagenturen und Datenschutz

Webinar: Eventagenturen und Datenschutz

Wir haben mit emba-Vorstand Wolfgang Peterlik und dem Rechtsanwalt und Datenschutzexperten Dr. Rainer Lassl über die größten Herausforderungen gesprochen, die sich im Datenschutz für Eventagenturen ergeben.