Veranstaltungen und der Datenschutz. Nicht unbedingt eine Liebe auf den ersten Blick. Umso besser, wenn man jemanden kennt, der sich damit richtig auskennt – unser Anwalt Thomas Waetke.
Seit 2008 ist er Fachanwalt für Urheber- und Medienrecht. Er verfügt über die Sachkunde im Bewachungsgewerbe (§ 34a GewO), die Fachkunde nach BGV A3 und VDE 0105-100 der elektrotechnisch unterwiesenen Person sowie die Sachkunde für das Erstellen und Prüfen von Flucht- und Rettungsplänen und Feuerwehrplänen. Von 2013 bis 2018 war er Justiziar im Bundesverband Veranstaltungssicherheit, und von 2018 bis 2022 Justiziar im Verband der Veranstaltungsorganisatoren e.V.
Er hat sich auf das Veranstaltungsrecht spezialisiert und berät Veranstalter und Dienstleister zu allen Fragen rund um Veranstaltungen. Außerdem betreibt er das Internetportal eventfaq.de
Und von ihm wollen wir, die Eventagentur REVIERKÖNIG, wissen, was die wichtigsten datenschutzrechtlichen Aspekte bei der Durchführung von Veranstaltungen sind, die es zu berücksichtigen gilt, um rechtliche Risiken zu minimieren.
Welche rechtlichen Anforderungen gelten für die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten bei der Planung und Durchführung von Events?
Wenn man ehrlich ist: Eine große Vielzahl von leider komplexen Vorschriften. Wir kennen hierzu insbesondere die seit 2018 gültige Datenschutzgrundverordnung (DSGVO). Obwohl die DSGVO nun schon mehr als 5 Jahre alt ist, gibt es (leider) immer noch viele Fragezeichen und Unsicherheiten, die erst nach und nach von den Gerichten geklärt werden.
Eine Kurz-Zusammenfassung der Anforderungen aus der DSGVO wäre nicht seriös, denn es würde immer ein wichtiger Teil fehlen. Ich greife aber exemplarisch zwei Beispiele heraus:
Ein wichtiger Grundsatz ist die sog. Datensparsamkeit: D.h. man darf nicht einfach Daten einsammeln, für den Fall, dass man sie vielleicht irgendwann einmal gebrauchen könnte. Zwei Beispiele dazu: Auf einer Veranstaltung heute werden Fotos gemacht. Man weiß heute aber noch nicht, was man mit den Fotos alles machen möchte, aber man speichert sie alle irgendwo in seiner IT-Struktur für den Fall, dass man mal ein schönes Foto braucht. Oder: Beispielsweise nach einer Messe hat man massenhaft Visitenkarten gesammelt (digital oder "analog") und hebt diese mal auf nach dem Motto: Irgendwann könnte ich sie ja vielleicht brauchen. Eine gewisse Zeit mag das gutgehen und man kann das Behalten noch verargumentieren. Aber es gibt eine unsichtbare Grenze, hinter der das Datensammeln rechtswidrig ist.
Das andere ist die richtige Rechtsgrundlage: Nur, wenn ich eine in der DSGVO geregelte Rechtsgrundlage habe, darf ich erheben, speichern und verarbeiten. Zwei bekannte Rechtsgrundlagen sind die Einwilligung und das berechtigte Interesse. Vorsicht ist geboten: Für jede (!) Datenverarbeitung im Unternehmen kann es unterschiedliche Rechtsgrundlagen geben. Die muss man finden, und diese Rechtsgrundlage definiert dann auch die Grenze dessen, was erlaubt ist.
Welche Maßnahmen müssen ergriffen werden, um die Einwilligung der Teilnehmer zur Verarbeitung ihrer personenbezogenen Daten ordnungsgemäß einzuholen?
Die Einwilligung hat einen Vorteil: Hat man sie, hat man eine sehr stabile Basis, um Daten zu verarbeiten.
Der Nachteil: Hat man den Einwilligungstext falsch formuliert oder kann man die Einwilligung nicht beweisen, sind alle auf dieser Einwilligung beruhenden Datenverarbeitungen rechtswidrig - und man muss alle diese Daten löschen...
Wie holt man nun aber die Einwilligung richtig ein: Möglich ist auch eine mündliche oder sog. konkludente Einwilligung. Aber: Diese wird man später ja nicht beweisen können. Daher sollte eine Einwilligung schriftlich beschafft werden: Altmodisch mit Unterschrift, oder mittels einer Checkbox bspw. bei einer Online-Registrierung. Aber auch hier ist Vorsicht geboten: Es kann sein, dass man Jahre später das Anklicken der Checkbox beweisen muss; ist die Webseite dann aber nicht mehr vorhanden, kann es Probleme geben.
Der Inhalt der Einwilligung muss klar und verständlich informieren über das, wofür man die Einwilligung einholt (bspw. für Portraitfotos, für die Weitergabe der Daten an Sponsoren usw.). Das ist oftmals gar nicht so einfach, insbesondere nicht bei einer vielschichtigen Verwendungsabsicht der Daten. Das ist ein Grund, gut abzuwägen, ob man wirklich eine Einwilligung benötigt, oder ob es nicht ggf. besser geeignete Rechtsgrundlagen gibt. Hier ist also oftmals einiges an Denkarbeit gefragt!
Welche spezifischen Pflichten bestehen in Bezug auf die Information der Teilnehmer über die Verarbeitung ihrer Daten (z.B. Datenschutzerklärung, Informationspflichten)?
Einerseits zum richtigen Zeitpunkt und andererseits mit den richtigen Inhalten zu informieren. Bleiben wir beim Beispiel des Fotos: Möchte ich meine Gäste fotografieren, muss ich Ihnen meine Datenschutzerklärung zur Verfügung stellen, die speziell für Fotos ausgerichtet ist. Darin nenne ich die Zwecke der Fotos, die ggf. pro Zweck unterschiedliche Rechtsgrundlage, den Speicherort, die Speicherdauer, die Weitergabe der Fotos an Dritte usw.
Wähle ich aus welchen Gründen auch immer die Rechtsgrundlage "Einwilligung", genügt es übrigens nicht, ein Schild an die Wand zu kleben mit der Aufschrift "Hier werden Fotos gemacht" - auch, wenn der Gast das Schild liest und daran vorbei geht, ist das alleine noch keine ausreichende Einwilligung (abgesehen davon, dass man es vermutlich auch nicht würde beweisen können).
Ich muss einen Weg finden, wie der Gast zum richtigen Zeitpunkt (= zum Zeitpunkt der Datenerhebung, also des Erstellens des Fotos) informiert werden kann (z.B. durch Aushang: Die Datenschutzerklärung genügt, ausgehängt zu werden; nur eine etwaige Einwilligung müsste aktiv beschafft werden).
Welche technischen und organisatorischen Maßnahmen (TOMs) sind erforderlich, um den Schutz der personenbezogenen Daten der Teilnehmer während und nach der Veranstaltung zu gewährleisten?
Bekannte Antwort des Anwalts: Das kommt darauf an. Speichert der Veranstalter oder die Agentur bspw. eine private Mobilnummer? Oder nur den Nachnamen? Hier gibt es unterschiedliche Risiken, also kann es auch unterschiedliche TOMs geben. Ich verdeutliche das mal an einem alltäglichen Beispiel, in dem sich viele Leserinnen und Leser vermutlich wiedererkennen werden: Im Büro steht der PC, dort gibt es einen hochgesicherten Server. Dann hat man aber auch noch ein Handy, das man auch privat nutzt, im Homeoffice steht der Laptop auf dem Küchentisch, an dem die Nachbarn zum Kaffeebesuch sitzen. Der Wirkungsgrad der technischen Maßnahme "Server hinter Stahltür" würde etwas verblassen, wenn das Handy oder der Laptop zu Hause irgendwo herumliegen.
Das Unternehmen sollte alle Endgeräte identifizieren, ebenso alle Stationen, an denen Daten verarbeitet werden; alles muss nachher bei den TOMs berücksichtigt werden.
Übrigens: Wenn ein Dienstleister fremde Daten für seinen Auftraggeber verarbeitet (erhebt, speichert...), muss ein sog. Auftragsverarbeitungsvertrag (AVV) geschlossen werden - und zwar vor Beginn der Verarbeitung. Dort werden dann die TOMs vereinbart. Wenn nun der Dienstleister einen Unter-Dienstleister beauftragt, der auch diese Daten verarbeitet, muss der erste Dienstleister mit dem zweiten Dienstleister auch einen AVV schließen - und die dort vereinbarten TOMs müssen natürlich mindestens das Sicherheitsniveau der TOMs aus dem AVV mit dem Auftraggeber erreichen.
Wenn der erste Dienstleister eine Stahltür am Serverraum hat und diese Stahltür als TOM mit dem Kunden vereinbart, der zweite Dienstleister hat aber nur einen Vorhang, dann haben wir ein Problem.
Welche Verpflichtungen bestehen im Falle einer Datenschutzverletzung (Datenpanne) während der Veranstaltung, und wie sollte darauf reagiert werden?
Erstens schnell, und zweitens richtig.
Eine Datenpanne liegt bspw. schon vor, wenn ein Mitarbeiter sein Handy verliert, in dem er Handynummern seiner Kunden-Ansprechpartner gespeichert hat.
In diesem Fall muss der Mitarbeiter wissen, dass er seinen Arbeitgeber schnellstens informieren muss. Der Arbeitgeber muss u.a. Vorsorge treffen, dass ein etwaiger Datenabfluss so klein wie möglich gehalten wird, ggf. durch Hinzuziehung von externen Fachleuten. Eine Datenpanne liegt aber auch vor, wenn verschlüsselte Daten nicht mehr verfügbar sind, weil man das Passwort vergessen hat.
Grundsätzlich muss eine Datenpanne binnen 72 Stunden der zuständigen Aufsichtsbehörde (je nach Bundesland sind das die Landesbeauftragten für den Datenschutz und die Informationssicherheit) gemeldet werden. Eine Meldung darf nur dann unterbleiben, wenn durch die Datenpanne voraussichtlich kein Risiko für "Rechte und Freiheiten" der Betroffenen besteht.
Achtung: Man mag geneigt sein, eine peinliche Datenpanne nicht zu melden, um nicht in den Fokus der Aufsichtsbehörde zu geraten. Wenn aber ein Betroffener durch die Datenpanne geschädigt werden sollte und diesen Vorgang dann meldet, wird es unangenehm und umso teurer! Wir hatten schon Fälle, in denen die Datenpanne verschwiegen wurde, und Betroffene sich über unerlaubte Werbemails gewundert hatten... und dann über Umwege die verschwiegene Datenpanne doch ans Licht gekommen war. Hier fallen die Sanktionen der Aufsichtsbehörde wenig überraschend natürlich gravierender aus.
Außerdem muss bei einer Datenpanne geprüft werden, ob die Betroffenen informiert werden müssen - das ist nur dann nicht notwendig, wenn die Datenpanne voraussichtlich nicht zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen führt.
Außerdem müssen spätestens jetzt Maßnahmen ergriffen werden, dass sich die Datenpanne nicht wiederholt.
Welche datenschutzrechtlichen Aspekte sind bei der Zusammenarbeit mit externen Dienstleistern (z.B. Event-Agenturen, IT-Dienstleistern) zu beachten?
Es muss geprüft werden, ob dieser externe Dienstleister ein Auftragsverarbeiter ist, oder ob ggf. eine sog. gemeinsame Verantwortlichkeit begründet wird oder ob der Dienstleister komplett eigenständig datenschutzrechtlich verantwortlich ist. Zunächst ein paar einfache Beispiele: Anwälte und Steuerberater, die die Daten erhalten, gelten üblicherweise als selbständig verantwortlich. Ein Hoster der Webseite ist im Regelfall ein sog. Auftragsverarbeiter.
Nun noch ein sehr schwieriges Beispiel: Der Fotograf. Er kann sowohl Auftragsverarbeiter, als auch mit dem Auftraggeber gemeinsam Verantwortlicher als auch eigenständig Verantwortlicher sein. Hier spielt die vertragliche Gestaltung eine wichtige Rolle: Wie lautet der Auftrag an den Fotografen? Das Problem im Alltag: Oftmals werden die Aufträge zu einem frühen Zeitpunkt erteilt - zu einem Zeitpunkt, in dem man sich noch gar keine Gedanken über Datenschutz & Co. macht. Das ist aber nicht schlau, da eine ungeschickte Vertragsgestaltung zu späteren Problemen beim Datenschutz führen können.
Schließt man mit einem Dienstleister einen Auftragsverarbeitungsvertrag (AVV), müssen die dortigen TOMs mit denjenigen TOMs abgestimmt werden, die man selbst mit seinem Auftraggeber vereinbart hat. Je länger die Kette der Dienstleister ist, desto höher das Risiko, dass das irgendein Mitglied der Kette nicht ernst nimmt.
Außerdem muss bspw. auch geprüft werden, ob diese weiteren externen Dienstleister in der eigenen Datenschutzerklärung genannt werden müssen.
Und, was oft vergessen wird: Bei dem Dienstleister arbeitet ja ggf. eine Person, mit der man telefoniert oder Mails schreibt. D.h. man verarbeitet selbst fremde Daten eines Beschäftigten des Dienstleisters oder Daten des Freien Mitarbeiters - mit der Folge, dass man die eigen Datenschutzerklärung diesen Personen zur Verfügung stellen muss.
Gibt es einige typische Bereiche, in denen Datenschutzvorgaben häufig verletzt werden?
Leider eine ganze Menge. Hier ein paar Beispiele:
- Es wird vergessen, einen AVV zu schließen.
- Bei Fotos gibt es keine gesonderte Datenschutzerklärung.
- Für die eigenen Mitarbeiter hat man keine Datenschutzerklärung.
- Die Datenverarbeitungsvorgänge im Unternehmen sind nicht allesamt bekannt oder über die Jahre nicht mehr aktuell gehalten.
- Die Datenverarbeitung in Sozialen Medien ist nicht berücksichtigt.
- Ein Betroffener verlangt Auskunft, aber es erfolgt aus Trotz oder Unwissen keine oder nur eine unvollständige Auskunft.
- Beschäftigte wissen nicht, worauf sie achten müssen.
- Verträge werden von der Abteilung A entworfen und geschlossen, aber die ausführende Abteilung B kennt die Inhalte nicht.
Diese Liste ließe sich beliebig fortsetzen...