DSGVO: Herausforderung bei Firmenveranstaltungen

DSGVO
Foto: Wright Studio / shutterstock.com

DSGVO: Herausforderung bei Firmenveranstaltungen

Die Europäische Datenschutzgrundverordnung (DSGVO) ist derzeit das beherrschende Themen in Unternehmen innerhalb der gesamten EU. Die Verordnung verändert den Umgang mit personenbezogenen Daten grundlegend. Betroffen sind nicht zuletzt die Organisatoren von Veranstaltungen und Kongressen. Mit dem 25. Mai ist die Verordnung, die das Datenschutzrecht innerhalb der EU vereinheitlichen soll, nun konkret anwendbar. Damit drohen mit diesem Datum erhebliche Strafen, sollten Firmen gegen die Verordnung verstoßen.

Personenbezogene Daten auf Firmenveranstaltungen

Im Zusammenhang mit Veranstaltungen werden notwendigerweise zahlreiche personenbezogene Daten erhoben. Dies reicht von der der Registrierung zur Veranstaltung über den Bereich Travel, verbunden mit der Reise- und Hotelbuchung, bis hin zu Kreditkartendateninformationen, Ernährungsgewohnheiten und etwaigen Behinderungen. Darüber hinaus werden häufig Daten im Rahmen des Veranstaltungsprogramms erhoben. Dazu gehören etwa Apps auf mobilen Geräten, mithilfe derer sich Teilnehmer vernetzen oder durch die sie sich beispielsweise an Umfragen beteiligen können. Hinzu kommt: Viele Daten liegen nicht nur beim Veranstalter oder der steuernden Agentur, sondern müssen an Partner weitergegeben werden – zum Beispiel Reiseveranstalter, Hotels oder Catering-Service.

Pflicht zur Offenlegung und Löschung

Welche Daten über mich sind vorhanden, wie werden diese verarbeitet, wo sind sie gespeichert? Ein zentraler Aspekt der DSGVO besteht darin, dass Auskunft über solche Informationen gespeicherte persönliche Daten eingeholt werden kann. Ebenso kann die Löschung personenbezogener Daten verlangt werden – dies ist definiert mit dem „Recht auf Vergessen“. Das gilt auch, wenn Daten an Drittanbieter weitergeleitet wurden. Veranstaltungsplaner sind sogar verpflichtet sicherzustellen, dass diese Drittanbieter Daten ebenfalls DSGVO-konform verarbeiten. Dabei sind jedoch die gesetzlichen Aufbewahrungspflichten zu berücksichtigen, die einer Löschung entgegenstehen können.

Die Komplexität der DSGVO, auch in vielen Details, macht einen strukturierten Ansatz notwendig, der die Erfüllung aller relevanten Kriterien standardisiert. Dies ist insbesondere für Firmen sinnvoll, die pro Jahr eine höhere Zahl an Veranstaltungen durchführen.

Markus Struppler, Geschäftsführer der Proske GmbH. Foto: Proske GmbH

Checkliste für die DSGVO im Hinblick auf Veranstaltungen:

  1. Risikobeurteilung: Im ersten Schritt ist zu analysieren, in welchem Umfang und zu welchem Zweck personenbezogene Daten erhoben werden und welche Risiken dies für betroffene Personen mit sich bringen kann. Die Frage ist dabei auch, wer auf diese Daten zugreifen kann. Zu prüfen ist im nächsten Schritt auch, mit welchen Mitteln die jeweiligen Risiken reduziert werden können.

 

  1. Konzept zur Offenlegung und Löschung von Daten: Um das Recht auf Offenlegung der Daten und das Recht auf Vergessen zu erfüllen, wird ein Konzept benötigt, das beide Bereiche umfasst. Hier ist die Frage zu beantworten, wie sichergestellt werden kann, dass kurzfristig auf Daten zugegriffen werden und diese auf Wunsch gelöscht werden können. Ein solches Konzept sollte übergreifend entwickelt werden, damit alle Veranstaltungen im Unternehmen eingeschlossen sind.

 

  1. Datenminimierung: Im Zusammenhang mit Veranstaltungen ist es notwendig, eine Reihe von Daten zu erheben. Jedoch sollte genau geprüft werden, welche unabdingbar ist und welche nicht. Grundsätzlich ist zu empfehlen, nur die Daten zu erheben, die für eine Veranstaltung unbedingt erforderlich sind. Ob dazu etwa Telefonnummern oder Gesundheitsdaten gehören, ist im Einzelfall zu entscheiden. Stellt das Unternehmen oder die Lead-Agentur eine grundsätzliche Richtlinie zur Verfügung erleichtert dies die Entscheidungsfindung für die Organisatoren.

 

  1. Datenschutzvereinbarungen: Es ist notwendig, mit allen Dienstleistern, die im Auftrag des Veranstalters personenbezogene Daten verarbeiten eine Vereinbarung über die Auftragsverarbeitung abzuschließen. Dazu zählen neben zentralen Partnern wie Veranstaltungsagenturen auch alle indirekt Beteiligten wie beispielsweise Dienstleister, die für den Einladungsversand, das Teilnehmermanagement oder Reisebuchungen verantwortlich sind.

 

  1. Anpassung der IT-Systeme: Die IT ist ein Schlüsselfaktor für die Einhaltung der DSGVO. Um den Aufwand bei der Offenlegung oder Löschung in Grenzen zu halten, sollten Auskunftsfunktionen in die IT-Systeme integriert werden. Empfehlenswert ist eine Software, die Vorgänge automatisiert und so bei der Einhaltung der Verordnung unterstützt. Werden personenbezogene Daten im Zuge einer Veranstaltung erhoben, so sollte die Zahl der beteiligten Systeme möglichst gering gehalten werden. Moderne Plattformen bieten über Schnittstellen die Möglichkeit, Daten bei Bedarf in wenigen Schritten aus allen beteiligten Systemen zu löschen.