DSGVO TEIL 3

0

In drei Teilen berichten wir über die Datenschutzgrundverordnung – kurz DSGVO –, die im Mai 2018 unter großem medialem Getöse in Kraft getreten ist.

Teil 3: Datenschutz und Events – Wie du Veranstaltungen Datenschutz-konform umsetzt.

Im letzten Teil unserer dreiteiligen Serie zum Thema Datenschutz dreht sich alles um das Thema Events und wie dabei Daten von Gästen „verarbeitet“ werden.

Für dich als DJ gehören Events zum Alltag wie das Amen zum Gebet – oft stehst du als gebuchter Act im Mittelpunkt des Geschehens und verhilfst der Veranstaltung mit deinem Sound zum wahren Glanz. Das Thema Datenschutz betrifft dich dann höchstens bei deiner Website und deinen Social-Media-Aktivitäten (siehe dazu Teil 2 unserer Serie „Website, Newsletter und Social Media“). 

Avancierst du aber selbst zum Veranstalter, dann spielst du ein ganz anderes Game: Die Einführung der Datenschutzgrundverordnung (DSGVO) betrifft dich als Veranstalter bei jedem Event – ganz gleich um welche Art von Veranstaltungen(en) es sich dabei auch handeln mag, das Gesetzt macht keinen Unterschied zwischen Rockkonzert, medizinischem Fachkongress oder einem EDM-Event. Gleichsam unbedeutend ist, ob es sich bei deinen Veranstaltungen um kostenlose Events handelt oder ob du Eintritt verlangst. 

Sobald Personen an deinen Events teilnehmen, trifft dich die volle Härte der DSGVO. Daher ist es entscheidend, welche Daten du über deine Teilnehmer erhebst und was du anschließend mit diesen Daten machst.

Deine Pflichten als Veranstalter
Als Veranstalter bist du per Gesetz dazu verpflichtet, dass die Nutzung der personenbezogenen Daten deiner Gäste – also etwa von Namen, Kontaktdaten und Fotos – nach den Anforderungen der DSGVO erfolgt. Aus Sicht der DSGVO bist du dementsprechend der „Verantwortliche“. 

Beauftragst du weitere Dienstleister, die mit personenbezogenen Daten deiner Gäste in Kontakt kommen, dann bist du als Veranstalter auch dafür haftbar, dass diese DSGVO-konform handeln. Darüber hinaus bist du dazu verpflichtet, mit diesen Dienstleistern eine sogenannten „Auftragsverabreiter-Vereinbarung“ – kurz auch AVV genannt – abzuschließen. Das gilt im Übrigen auch für Ticketing-Systeme wie Eventbrite oder Software für Teilnehmermanagement wie Invitario – da du die Daten deiner Gäste über die Software verwaltest gelten auch diese als Auftragsverarbeiter. 

Der Schutz der Daten von Endverbrauchern – in deinem Fall deiner Gäste – war der Anlass für die Verschärfung des Datenschutzes und die Einführung der DSGVO. Dementsprechend wird in der DSGVO bei dieser Personengruppe von „Betroffenen“ gesprochen. 

Grundsätzlich solltest du wissen, dass deine Gäste mit umfangreichen „Betroffenenrechten“ ausgestattet wurden. Diese zu beachten und auf mögliche Anfragen vorbereitet zu sein, kann für dich also nur von Vorteil sein – die wichtigsten Rechte aus Sicht eines Veranstalters

Informationspflicht: Bevor du Daten einer Person für deine Events nutzen kannst, musst du sie in deiner Datenschutzerklärung darüber aufklären, welche Daten du verarbeitest.

Auskunftsrecht: Betroffene haben ein Auskunftsrecht. Bei solchen Anfragen musst du binnen eines Monats bekanntgeben, welche Daten über den Betroffenen von dir verarbeitet werden. Kommst du der Aufforderung nicht fristgerecht nach, begehstdu eine Datenschutzverletzung.

Recht auf Löschung: Jeder kann bei dir die Löschung seiner Daten begehren – außer es bestehen berechtigte Gründe, weshalb die Daten (noch) nicht gelöscht werden können. Bei kostenpflichtigen Veranstaltungen sind somit zumindest die Rechnungen aufzubewahren, für die eine Frist von 10 Jahren gilt. Auch das Löschen von Daten ist innerhalb eines Monats zu erledigen.

Recht auf Berichtigung: Betroffene können die Richtigstellung ihrer Daten begehren, um z.B. die Kontaktdaten oder Informationen über den Arbeitgeber zu korrigieren. 

Recht auf Einschränkung: Eine betroffene Person könnte verlangen, dass der Kontakt nur noch über die Postanschrift erfolgt und die E-Mail-Adresse zu löschen ist. Auch einer solchen Anfrage musst du nachkommen. Weiters besteht das Recht auf Einschränkung dann, wenn dir ein sofortiges, gänzliches Löschen – wie es z.B. bei Backups der Fall ist – nicht möglich ist. 

Ansprechpartner für einen Betroffenen bist du als Verantwortlicher. Beschwerden können bei der für dein Bundesland zuständigen Datenschutzbehörde eingereicht werden. Besser ist es, wenn du Anfragen direkt erhältst und auf diese direkt reagieren kannst. Kommt die Behörde ins Spiel – dazu genügt eine einzige Beschwerde eines Betroffenen – wird es für dich mit Sicherheit aufwändig. 

Bei einem Verstoß gegen die DSGVO bekommst du im besten Fall nur eine Verwarnung, im schlechtesten Fall aber eine saftige Geldstrafe umgehängt. Da in DSGVO-Verfahren die „umgekehrte Beweislast“ gilt, musst du die in einer Beschwerde aufgestellten Behauptungen mit einer sauberen Dokumentation des Falls widerlegen können.

Die Relevanz der Gästeliste:
Kein Event kommt ohne sie aus, schließlich ist eine gute Gästeliste das Geheimnis hinter dem Erfolg vieler Events. Wenn du eine Gästeliste mit gut gepflegten und aktuellen Kontakten hast, dann liegt es nahe, diese Kontakte auch gezielt zu deinen Events einzuladen. Aus Sicht des Datenschutzes ist hier relevant, auf welcher Grundlage du Personen in deinem Adressbuch gespeichert hast, über deine Veranstaltungen informierst oder zu diesen einlädst.  

Grundsätzlich sollten nur Kontakte auf deinen Gästelisten stehen, die zumindest gelegentlich an deinen Veranstaltungen teilnehmen, in der jüngeren Vergangenheit schon einmal daran teilgenommen haben oder die ausdrücklich – am besten schriftlich bzw. online bei der Anmeldung zum Event – einer elektronischen Einladung zugestimmt haben. Wenn du eine Gästeliste für eine sich jährlich wiederholende Veranstaltung führst, dann kannst du die Daten der Gäste aus dem Vorjahr bedenkenlos für die Neuauflage des Events nutzen. Schließlich scheinen diese Personen ein Interesse an deinen Events zu haben. Hierbei solltest du jedoch beachten, dass du ohne gesonderte Zustimmung solche Gäste nur dann elektronisch, also z.B. per E-Mail einladen darfst, wenn dein Event inhaltlich gleich oder ähnlich wie in der Vergangenheit ausgerichtet ist. Also Gäste, die auf einem EDM-Event waren, darfst du nicht ohne Weiteres für Veranstaltungen im Automobilbereich einladen. 

Dabei spielt es übrigens auch keine Rolle, ob du deine Liste digital oder „old school“ mittels Papieregister führst – in jedem Fall verarbeitest du personenbezogene Daten und musst die DSGVO daher beachten. 

Mit den Teilnehmer deiner Events stehst du praktisch in einer Art von Geschäftsbeziehung, selbst wenn diese keinen Eintritt bezahlen sollten. 

Diese Personengruppe kannst du somit auch problemlos – und ohne ausdrückliche Zustimmung – per E-Mail über deine Veranstaltungen informieren und zu diesen einladen. Beachte dabei, dass du den Empfängern bei jedem Kontakt die Möglichkeit zum Widerruf – also zur Abmeldung von deinem Verteiler und der vollständigen Löschung aus deiner Datenbank – gibst und du in deiner Datenschutzerklärung über die Art und Weise der Datenverarbeitung im Rahmen deiner Events informierst. Welche Informationen du in die Datenschutzerklärung aufnehmen solltest, kannst du im ersten Teil unsere Serie nachlesen.

Neue Gästegruppen erschließen:
Wenn du neue Gäste für deine Veranstaltungen gewinnen und diese gezielt persönlich ansprechen möchtest, dann kannst du diese laut DSGVO nicht ohne Zustimmung per E-Mail (mit der Ausnahme von Journalisten) kontaktieren. 

Die Lösung ist zwar etwas altmodisch, dafür aber umso effektiver: Die per Post übermittelte Einladung ist nämlich auch im Rahmen der DSGVO zulässig, sorgt dafür für umso mehr Aufmerksamkeit beim Empfänger. Eine postalische Einladung kannst du nämlich immer an jede Person adressieren, deren Anschrift du aus einem öffentlichen Register recherchiert hast. 

Auch hier lässt sich einfach die Brücke zum digitalen Management deiner Gästeliste führen: In der gedruckten Einladung kannst du auf deine Website mit Online-Anmeldeformulare verlinken – so kann der Empfänger schnell und einfach auf deine Einladung reagieren und auch zur Verarbeitung seiner Daten im Rahmen deiner Events sowie für den Empfang zukünftiger Einladungen per E-Mail zustimmen. Noch komfortabler gestaltest du diesen Prozess mit einer Software für Teilnehmermanagement – diese kann dir für jeden per Post kontaktierten Kontakt auch einen individuellen Code zum Login auf der Eventwebsite zur Verfügung stellen. Empfänger deiner Einladung können sich so schneller zur Veranstaltung an- oder abmelden und Rückmeldungen können automatisiert verarbeitet werden.

Check-in am Event:
Hier ist klar zu unterscheiden, ob es sich bei deinen Events um offene (also für jedermann), eine geschlossene Veranstaltung (nur mit Einladung) oder um eine Mischung handelt. Wird am Einlass in bar bezahlt oder lediglich ein anonymes Ticket eingelöst, dann kennst du deine Gäste praktisch nicht und wer mit einem Ticket kommt ist dir im Prinzip egal. Bei geschlossenen Veranstaltungen verhält es sich genau umgekehrt: hier dreht sich alles um den Einlass von dir ggf. auch persönlich eingeladenen Personen und es ist in den meisten Fällen nicht erwünscht, dass die Einladung weitergegeben wird.

Am Check-in solltest du seit der Einführung der DSGVO auf gedruckte Gästelisten verzichten – diese sind meist für andere Gäste einsehbar und fliegen auch mal unkontrolliert am Einlass herum. Am Check-in gilt es zu vermeiden, dass deine Gästeliste nicht in die „falschen“ Hände gelangt. 

Rechtskonform und zeitgemäß arbeitest du jedenfalls, wenn du auf eine digitale Gästeliste auf Smartphones, Tablets oder Laptops setzt und die Namen von Gästen nicht für andere Gäste oder Dienstleister einsehbar sind. Setzt du am Check-in Personal eines Dienstleisters (z.B. eines Personalvermittlers) ein, dann bist du dazu verpflichtet eine Auftragsverarbeiter-Vereinbarung mit diesem Dienstleister bzw. Lieferanten zu treffen. 

Foto- und Videoaufnahmen machen und veröffentlichen:
Zur Vermarktung eines Events sind heute Foto- und Videoaufnahmen sowie deren Verbreitung über Social Media Plattformen unverzichtbar. Doch Aufnahmen, auf denen Personen erkannt werden können, zählen laut DSGVO ebenfalls zur Kategorie der „personenbezogenen Daten“ und sind daher mit Vorsicht einzusetzen. In deiner Einladung, Datenschutzerklärung sowie am Eingang der Location solltest du daher darauf hinweisen, dass Foto- und Videoaufnahmen zu Marketingzwecke angefertigt werden und man sich mit dem Besuch damit einverstanden erklärt. Bei kostenpflichtigen Events sollte diese Information schon vor dem Kauf von Tickets einsehbar sein – damit steht es jeder Person frei, für deine Veranstaltung aufgrund dieser Information ggf. keine Tickets zu erwerben.

Darüber hinaus solltest du deine Foto- und Video-Crew dazu anweisen, immer die Zustimmung von Personen noch vor der Aufnahme einzuholen. 

Selbstverständlich sollte es für dich sein, keine Aufnahmen zu veröffentlichen, auf denen Personen unvorteilhaft erscheinen könnten. Während die Veröffentlichung auf Social Media Plattformen und Websites keiner weiteren Zustimmung der abgebildeten Personen erfordert, ist für die werbliche Nutzung die ausdrückliche Zustimmung aller abgebildeten Personen notwendig.

Wichtig: Sollte eine Person mit einer veröffentlichten Aufnahme nicht einverstanden sein, muss es eine einfache Möglichkeit für das zeitnahe Löschen der Aufnahme geben.

Wenn du diese Auswahl an Tipps bei deinen Veranstaltungen berücksichtigst, bist du in Sachen Datenschutz vorbildlich unterwegs.

Rechtlicher Hinweis
Bitte beachte, dass die hier veröffentlichten Informationen nur einen ersten Einblick in den Bereich des Datenschutzrechts geben und der Autor keine wie auch immer geartete Haftung für diese Inhalte übernehmen kann. Diese Inhalte können keine auf deine Organisation abgestimmte Rechtsberatung ersetzen und wir empfehlen daher weitergehende Fragen sowie individuelle Anwendungsfälle mit einem Rechtsanwalt abzuklären.

Invitario entwickelt Software für smartes Einladungs- und Teilnehmermanagement und hat sich auf geschlossene Veranstaltungen spezialisiert – also auf Veranstaltungen, zu denen Personen eingeladen werden, über deren Kontaktdaten der Veranstalter bereits verfügt. Die Funktionen reichen vom Erstellen der Einladungsliste über das Einladen und Verwalten der Teilnehmer bis hin zum Check-in am Event. Über Invitario werden jährlich hunderte Veranstaltungen, zu denen Unternehmen ihre Kunden, Mitarbeiter und andere Stakeholder einladen, effizient und professionell abgewickelt.
Text, Fotos: Stefan Grossek | invitario

Erfahre mehr über invitario
https://invitario.com
https://www.facebook.com/invitario
https://www.instagram.com/invitario/
https://twitter.com/invitario

 

Share.

About Author

Stefan Grossek

Über Stefan Grossek Stefan Grossek ist in der Geschäftsführung des Software-Unternehmens Invitario für Datenschutz verantwortlich. Zusammen mit dem Rechtsanwalt Dr. Rainer Lassl (WRTP Rechtsanwälte) hat er den ersten Guide zum Thema „Datenschutz und Events“ verfasst und ist ein gefragter Gesprächspartner der Software- und Eventbranche. Stefan hat ein Management-Studium an der Harvard University in Boston absolviert und Kommunikationswirtschaft in Wien studiert.