Ortsschild mit Aufschrift DSGVO mit gelbem Hintergrund und hellblauem Himmel mit Wolken
© urbanphotographer/123RF.com
2. Dezember 2019

Interview: Datenschutz für Eventlocations (Teil II)

Datenschutz ist heutzutage ein großes und wichtiges Thema, mit dem schon fast jeder einmal in Berührung gekommen ist. Es gibt zahlreiche Vorschriften und Regelungen und häufig werden neue Gesetze verabschiedet, da das Thema Datenschutz ständig im Wandel ist. Wer sich nicht regelmäßig damit beschäftigt und über die Änderungen informiert, verliert leicht den Überblick.

 

Grund genug für uns, mit einem Experten auf dem Gebiet zu sprechen, dem betrieblichen Datenschutzbeauftragten Felix Großklaß der Innovationsberatung “team red”. Er verriet uns im ersten Teil des Interviews u.a. die 5 wichtigsten Punkte zum Thema Datenschutz auf der eigenen Eventlocation-Website. Hier nun die Fortsetzung.

Gibt es eigentlich einen Unterschied zwischen personenbezogenen Daten im B2B und im B2C Bereich?

Nein, das Datenschutzrecht kennt diese Unterscheidung nicht. Es geht immer um die Daten von Personen und das Umfeld, in welchem die eingesetzt werden, spielt keine Rolle.

Und wie lange darf ich die Daten meiner Kunden und Geschäftspartner z.B. für eigene Dokumentationszwecke aufbewahren?

Personenbezogene Daten können solange aufbewahrt werden, wie es der Zweck hergibt. Das lässt sich aus dem Prinzip der Zweckbindung schlussfolgern. Dabei gibt es nun bisher keine mir bekannten harten Grenzen. Allerdings wird es eine Aufsichtsbehörde sicher nicht witzig finden, wenn Sie einfach alle Daten über Jahre speichern, ohne dass damit je wieder etwas geschieht.

 

Im Prinzip kann diese Frage auch über ein Löschkonzept beantwortet werden, welches dann auch gleichzeitig als Leitfaden fungieren kann, wenn es zu entscheiden gilt, ob Datensätze gelöscht oder behalten werden.

 

Ansonsten bleiben natürlich sämtliche gesetzlichen Aufbewahrungsfristen davon unberührt, die es im Umgang mit Verträgen, Geschäftsbriefen oder ähnlichem zu berücksichtigen gilt.

Aber wie kann ich denn verhindern, dass meine Mitarbeiter mit personenbezogenen Daten falsch umgehen?

Zunächst einmal sind Ihre Beschäftigten auf das Datengeheimnis zu verpflichten und sollten in diesem Rahmen auch eine Schulung erhalten, die sie mit den grundlegenden Dingen vertraut macht. Im Idealfall ist diese Schulung auch auf den Adressatenkreis im Betrieb zugeschnitten, denn nicht alles, was in der DSGVO steht ist auch für alle interessant. Die Schulung sollte zudem einmal im Jahr aufgefrischt werden, da sich im Datenschutzbereich nun auch dynamisch die Dinge verändern und es zunehmend wichtiger wird, hier die Beschäftigten – natürlich auf einem angemessenen Niveau – auf dem Laufenden zu halten.

 

Es lohnt sich vermutlich auch zu prüfen, ob im Unternehmen ein Datenschutzmanagementsystem zum Einsatz kommen kann. Dadurch kommt das Thema in regelmäßigen Abständen auf die Agenda und geht genauso in einen kontinuierlichen Verbesserungsprozess ein, wie andere Prozesse im Unternehmen. Schlussendlich ist Datenschutz ja auch genau das: ein Prozess unter vielen, der entsprechend gesteuert werden muss.

Das klingt nach viel Arbeit. Kann mich denn jeder rechtlich belangen, wenn ich gegen die DSGVO verstoße? Auch meine Wettbewerber?

Ich nehme an, diese Frage zielt auf die immer wieder geäußerte Befürchtung, dass irgendwann im Datenschutzbereich auch nochmal die große Abmahnwelle kommen könnte. Das ist nicht der Fall, da die Sanktionen nur durch die Aufsichtsbehörden verhängt werden können. Sich über Sie bzw. von Ihnen eingesetzte Verarbeitungen bei der Aufsichtsbehörde beschweren kann allerdings jede natürliche Person oder auch z.B. die Verbraucherschutzzentralen, aber keine Wettbewerber.

Tafel mit der Aufschrift DSGVO (Datenschutzgrundverordnung) in englisch GDPR (General Data Protection Regulation) mit einem Laptop und Vorhängeschloss zur Einführung der DSGVO in der EU am 25.05.2018

Kommen wir zu konkreten Fragen im Alltag der Eventbranche. Was muss ich beachten, wenn ich das Teilnehmermanagement einer Veranstaltung für meine Kunden übernehme?

Nun, zunächst werden Sie i.d.R. einen Auftragsverarbeitungsvertrag schließen müssen, der den genauen Umfang Ihrer Aufgaben und die dazugehörigen Rechte und Pflichten regelt. Die Auftragsverarbeitung kommt immer dann zum Tragen, wenn Sie als weisungsgebundener Auftraggeber personenbezogene Daten verarbeiten und vor allem nicht über den Zweck der Datenverarbeitung entscheiden. Das wäre hier m.E. der Fall.

 

Knifflig wird es dann, wenn Sie die erhobenen Daten noch für eigene Zwecke einsetzen möchten. Hier wären wir dann evtl. im Bereich der gemeinsamen Verantwortlichkeit und dies erfordert eine andere Vertragsgrundlage und auch eine andere Kommunikation gegenüber den Betroffenen, da diesen klar zu verstehen gegeben werden muss, wer von den Verantwortlichen wofür der Ansprechpartner ist.

Gibt es irgendwo eine Vorlage für einen solchen Auftragsverarbeitungsvertrag?

Da gibt es viele Muster im Internet. Ein Beispiel wäre die Gesellschaft für Datenschutz und Datensicherheit e.V., die unter anderem eine solche Vorlage bereitstellt. Es gibt aber wie gesagt auch einige andere Muster online.

Benötige ich auch eine Einwilligung für Namensschilder mit der jeweiligen Firma der Person auf einem Event?

Eigentlich nicht. Das Erstellen der Namensschilder als Vorgang sollte natürlich entsprechend den technischen und organisatorischen Maßnahmen abgesichert sein, aber es ist ja niemand verpflichtet, auf einer Veranstaltung das Namensschild auch tatsächlich zu tragen.

Und wie muss eine Zustimmung meiner Event-Teilnehmer aussehen, wenn ich Fotos während der Veranstaltung machen und diese später auch veröffentlichen möchte.

Darüber müssen die Teilnehmenden zunächst einmal im Vorfeld informiert werden und dann ihre Einwilligung geben. Hierbei ist auch über den Zweck aufzuklären. Wenn Sie als Locationbetreiber anbieten, für beispielsweise Hochzeiten die Hochzeitsfotografie zu übernehmen und dann darum bitten einige Fotos auch als Referenz verwenden zu dürfen, dann sind dies zwei getrennte Vorgänge. Das Hochzeitspaar kann Sie als Location zwar mit der Fotografie beauftragen, aber z.B. die Veröffentlichung der Bilder auf der eigenen Location-Website untersagen.

 

Ich würde auch empfehlen, dass es in der Information eine klare Anlaufstelle gibt, bei der die Betroffenen sich melden können, wenn sie ganz klar nicht fotografiert werden möchten.

 

Eine weitere Möglichkeit bei anderen Eventformen ist es auch, die Informationen direkt in die AGBs einfließen zu lassen, die beim Ticketkauf zum Tragen kommen.

Wenn ich eine Liste auslege, in der sich Interessierte für meinen Location-Newsletter mit Unterschrift und Datum anmelden können, benötige ich dann zusätzlich noch eine E-Mailbestätigung in Form einer Digital Object Identifier-Mail (DOI)?

Da gibt es unterschiedliche Ansichten zu und derzeit keine ganz klare Rechtssprechung. Meiner Meinung nach ist die Unterschrift auf der Liste vollkommen ausreichend, weil sie einen aktiven Entscheidungsprozess voraussetzt. Ich würde nur empfehlen, die Liste dann auch zu digitalisieren und aufzubewahren, um die Einwilligung im Fall der Fälle nachweisen zu können.

Zum Schluss noch eine Frage zur Zugangskontrolle: Spielt der Zugang zu meinem Büro beim Thema Datenschutz tatsächlich auch Rolle ?

Hier sind wir im Bereich der Schutzziele der Datenschutzgrundverordnung. Konkret im Bereich der Sicherung der Vertraulichkeit der Verarbeitung. Grundsätzlich ist dabei interessant, welche Arten von personenbezogenen Daten im fraglichen Büro verarbeitet werden und danach richten sich dann die zu treffenden Maßnahmen. Ein Beispiel: Sie haben ein kleines Start-Up und verarbeiten dort medizinische Daten, sagen wir Fotoanalysen zur Krebsfrüherkennung. Damit sind Sie im Bereich von besonders schützenswerten personenbezogenen Daten und müssen ein anderes Sicherheitsniveau nachweisen. Von einem normalen Zugang mit einem einfachen Türschloss, würde ich da beispielsweise abraten.

 

Warum ist das wichtig? Weil die DSGVO die Rechenschaftspflicht umgedreht hat und Sie damit als verantwortliche Stelle im Zweifel nachweisen müssen, dass Sie alles Menschenmögliche getan haben, um ein angemessenes Datenschutzniveau zu gewährleisten. Dazu gehört dann auch, dass Sie wissen, wer wann in Ihrem Büro ein- und ausgeht, wer die Schlüssel und somit Zugang zu personenbezogene Daten hat. Gleiches gilt dann auch für Aktenschränke und Rechner und Co. Und da sind wir dann im Bereich der Zugangskontrolle.

Egal ob Sie selbst mit sensiblen Daten arbeiten, oder sich Gedanken um die Sicherheit Ihrer eigenen Daten machen – das Thema Datenschutz ist allgegenwärtig. Wir hoffen sehr, dass Ihnen die Informationen von Felix Großklaß einen tieferen Einblick in die Thematik liefern und die ein oder andere wichtige Frage beantworten konnten. Hier finden Sie auch nochmal den ersten Teil des Interviews.

Das könnte Ihnen auch gefallen:

Bei der Planung eines Events gibt es viele Dinge, auf die Sie achten sollten. Ziemlich weit oben auf Ihrer To-do-Liste könnte dabei stehen, was für eine Art von Bestuhlung gebraucht wird. Es gibt natürlich viele verschiedene Varianten der Bestuhlung und jede Form hat ihre guten und schlechten Seiten. Es gibt einige Kriterien, die mit in die Wahl einbezogen werden sollten. Ein Kriterium wäre dabei zum Beispiel die Anzahl der Personen, die Größe der Location (falls diese schon feststeht)

weiterlesen

Da Eventlocations im ständigen Kontakt mit Kunden stehen, müssen sie sich an zahlreiche Vorschriften und Gesetze des Datenschutzes halten. Da ist es wichtig, alle Grundlagen und relevanten Regelungen zu kennen. Was ist erlaubt und was nicht? In unserem Interview mit dem betrieblichen Datenschutzbeauftragten Felix Großklaß von team red sprechen wir über die wichtigsten Fragen aus der Sicht von Eventlocations zum Thema.

weiterlesen