Das Teilnehmermanagement ist auch ein wichtiges Thema für den Datenschutz, da personenbezogene Daten erhoben und verarbeitet werden müssen. Dabei geht es oft nicht nur um Namen, sondern auch um weitere Daten.
(Bild: Shutterstock / Zoomik)
Events ohne Teilnehmende wären ziemlich eintönig. Bei den meisten Events müssen Daten der Teilnehmenden verarbeitet werden, um das Event vorzubereiten, durchzuführen und abzurechnen. Grund genug, dass wir uns in diesem Beitrag mit den datenschutzrechtlichen Anforderungen an das Teilnehmermanagement befassen wollen. Wenn Sie das noch nicht überzeugt hat: Datenschutzrechtliche Fehler beim Teilnehmermanagement lösen gegebenenfalls Bußgelder durch die Datenschutzbehörden und Zahlungsansprüche der Teilnehmenden aus. Was ist also zu beachten?
>> Hier geht es zum ergänzenden Artikel „Datenverarbeitung bei Events“.
(Bild: Michael M.Roth/MicialMedia)
Datenschutzhinweise bei Datenerhebung
Zunächst ist es wichtig zu wissen, dass die Datenschutzgrundverordnung (DSGVO) Sie verpflichtet, bei jeder Erhebung von personenbezogenen Daten – am besten vorab, spätestens im selben Moment – die Personen, deren Daten Sie erheben (im Datenschutz „Betroffene“ genannt; in der Eventbranche reden wir von den „Teilnehmenden“), transparent und vollständig darüber zu informieren, was Sie konkret mit deren Daten tun werden. Diesen Text nennt man landläufig Datenschutzerklärung oder Datenschutzhinweise.
Es ist wichtig, dass Sie einen solchen Text anbieten und dass Sie ihn auch professionell erstellen lassen. Denn es ist erforderlich, nicht nur juristisch korrekt über die Datenverarbeitung zu informieren, sondern dies gleichzeitig so zu tun, dass jede:r daraus erkennen kann, was konkret mit den Daten geschieht. Die Inhalte dieses Textes ergeben sich aus den Anforderungen in Art. 13 DSGVO.
Wichtig ist dabei auch, dass die Datenschutzhinweise, die Sie auf Ihrer Website haben, nicht geeignet sind, die Datenverarbeitung für ein bestimmtes Event zu beschreiben. Denn es handelt sich hier um eine komplett andere Art der Datenverarbeitung.
Was ist die Rechtsgrundlage?
Dann müssen Sie sich Gedanken zu der Frage machen, warum Sie die Daten der Teilnehmenden überhaupt haben dürfen. Im Juristendeutsch heißt das: Sie brauchen eine Rechtsgrundlage für die Datenverarbeitung. Diese Rechtsgrundlage muss übrigens in den Datenschutzhinweisen auch genannt werden.
Da Sie in der Regel mit den Teilnehmenden einen Vertrag schließen, der die Teilnahme an der Veranstaltung regelt (der Vertrag muss nicht schriftlich geschlossen werden, sondern er wird durch Angebot und Annahme, also Ihre Bewerbung der Veranstaltung und die darauffolgende Anmeldung/Registrierung geschlossen), können Sie hier in der Regel die Rechtsgrundlage der Vertragserfüllung (Art. 6 Absatz 1 Satz 1 Buchstabe a) DSGVO) für sich nutzbar machen.
Aber Obacht: Wollen Sie mit den Daten der Teilnehmenden mehr tun, als bloß die Veranstaltung durchführen, also beispielsweise auch Werbung machen, dann reicht diese Rechtsgrundlage nicht aus. Für Werbung etc. brauchen Sie in der Regel eine Einwilligung, die dann gesondert eingeholt werden muss. Dafür benötigen Sie zusätzlich eine taugliche Einwilligungserklärung der einzelnen Personen. Diese Einwilligungserklärung muss den Umfang dessen, was Sie mit den Daten tun wollen, genau und verständlich darlegen. Für die Erteilung einer ausreichenden Einwilligung sind im Zweifel Sie beweispflichtig, so dass Sie die Einwilligungserteilung gut dokumentieren sollten.
Teilnehmerdaten dürfen ohne gesonderte Einwilligung nicht für Werbung genutzt werden.
Grundsätze der Datenminimierung und Speicherbegrenzung
Denken Sie daran: Sie dürfen laut DSGVO nur die Daten erheben und verarbeiten, die Sie unbedingt brauchen, um die Veranstaltung durchführen (und gegebenenfalls abrechnen) zu können. Das folgt aus dem Grundsatz der Datenminimierung. Es ist also nicht erlaubt, Daten „auf Vorrat“ zu speichern. Die Datenverarbeitung muss jeweils zu dem konkreten Zweck erforderlich sein.
Außerdem begrenzt der Grundsatz der Speicherbegrenzung die Dauer der Speicherung. Der Regelfall ist: Ist die Veranstaltung beendet (und abgerechnet), dürfen Sie die Daten maximal für die Dauer der Verjährung aus dem Teilnehmervertrag behalten, was drei Jahre nach Ende der Veranstaltung der Fall ist (beginnend am Ende dieses Jahres, also am 31.12.). Ausnahme: Sie haben eine Einwilligung der Teilnehmenden. Dann dürfen Sie die Daten speichern, bis ein Widerruf der Einwilligung erfolgt. Über die Speicherdauer müssen Sie ebenfalls in den Datenschutzhinweisen informieren.
Privacy by Design und by Default
Die Grundsätze Privacy by Design und Privacy by Default besagen: Wenn Sie für das Teilnehmermanagement eine Software benutzen, muss diese Software datenschutzfreundlich programmiert sein und in der datenschutzfreundlichsten Einstellung betrieben werden.
Wenn Sie beispielsweise ein Event streamen, dann muss das auch auf die für das Streaming genutzte Plattform zutreffen. Als Verantwortliche/r für die Datenverarbeitung müssen Sie auch Ihre Dienstleister, die Sie dabei unterstützen, sorgfältig auswählen und gegebenenfalls prüfen.
Anforderungen an die Datenweitergabe
Geben Sie Daten weiter (etwa an die Location, den Caterer, ein Hotel o.ä.), dann brauchen Sie auch dafür eine Rechtsgrundlage. Auch hier kann möglicherweise der Vertrag mit den Teilnehmenden helfen. Aber nur dann, wenn er eine solche Weitergabe auch umfasst, die Weitergabe also vom Vertragszweck gedeckt ist und Sie die Weitergabe zur Erfüllung Ihrer vertraglichen Leistung vornehmen müssen. Ansonsten kann die Weitergabe auch über eine Einwilligung ermöglicht werden oder Sie können ein berechtigtes Interesse an dieser Weitergabe begründen.
Jedenfalls ist auch die Weitergabe in den Datenschutzhinweisen zu nennen. Nach einem aktuellen Urteil des Europäischen Gerichtshofs sind dabei die Dienstleister, Subunternehmer und alle Dritten namentlich zu nennen. Die/der Teilnehmende muss also genau wissen, wer ihre bzw. seine Daten warum bekommt.
Wenn Sie die/den Empfänger:in der Daten mit einer bestimmten Datenverarbeitung beauftragt haben, liegt eine Auftragsverarbeitung vor und Sie benötigen zusätzlich vor Datenübermittlung mit der/dem Empfänger:in einen Vertrag (sogenannter Auftragsverarbeitungsvertrag). Alles weitere dazu können Sie in meinem Beitrag „Der Auftragsverarbeitungsvertrag – Ein Muss im Eventbereich“ nachsehen.
Dokumentation, Dokumentation, Dokumentation
Die DSGVO sieht eine so genannte Rechenschaftspflicht vor. Das bedeutet: Sie müssen jederzeit in der Lage sein nachzuweisen, dass Sie alle Anforderungen der DSGVO erfüllen. Das funktioniert nur, wenn Sie alle Schritte und Maßnahmen nachvollziehbar dokumentieren.
Was kann bei Verstößen passieren?
Eine fehlerhafte Datenverarbeitung kann zunächst Bußgelder der Datenschutzaufsichtsbehörden auslösen. Dabei ist es so, dass jedermann sich mit einer Beschwerde bei der Datenschutzbehörde über Sie beklagen kann. Dann wird die Behörde ermitteln und je nach gefundenen Verstößen handeln, also evtl. eben ein Bußgeld verhängen.
Gleichzeitig ist es so, dass die Teilnehmenden Ansprüche gegen Sie haben, wenn bekannt wird, dass Sie deren Daten nicht sicher, also nicht DSGVO-konform behandelt haben. Das ist das bekannte „Schmerzensgeld“. Denn die DSGVO sagt, dass schon die rechtswidrige Datenverarbeitung bei den Betroffenen einen zumindest immateriellen Schaden auslöst, der durch eine Zahlung auszugleichen ist. Die Gerichte sprechen zurzeit zwischen 50 und 5.000 Euro für solche Verstöße pro Person zu. Man kann sich also – je nach Anzahl der Datensätze – ausrechnen, wie teuer so ein Verstoß theoretisch werden kann.
Zusammenfassung
Das Teilnehmermanagement gehört zu den datenschutzrelevantesten Tätigkeiten der Eventbranche. Um hier auf der sicheren Seite zu sein und nichts falsch zu machen, ist sowohl eine professionelle Beratung als auch – im ersten Schritt – die Erstellung der erforderlichen Texte (Datenschutzhinweise, Einwilligungserklärung, Auftragsverarbeitungsvertrag) erforderlich. Die Texte sind für alle weiteren Events lediglich anzupassen, was dann einen wesentlich geringeren Aufwand auslöst.
In der Abwägung das Risiko einzugehen oder sich hier professionell aufzustellen, sollte das Ziel, DSGVO-konform zu handeln, eindeutig dominieren. Denn die Kosten für diese Maßnahmen sind zwar nicht gering, aber der Schaden bei einem Verstoß ist dafür umso höher. Dazu kommt dann auch der Imageverlust nach außen, wenn Datenschutzverstöße bekannt werden.
Wenn Sie bislang nicht Datenschutzkonform sind: Es ist nie zu spät, damit anzufangen und hier die erforderliche Rechtssicherheit herzustellen. Und schließlich gibt es auch externe Berater:innen und Expert:innen, die Ihnen hier tatkräftig zur Seite stehen und sich um Ihren Datenschutz kümmern können.