Event DSGVO: Expertentipps für eine datenschutzkonforme Veranstaltung (+ Checkliste)

Wenn es um den Austausch von Daten geht, dann ist die Eventbranche ziemlich weit vorn mit dabei, denn bei Veranstaltungen werden viele Daten erhoben. Dazu gehören neben Kontakt- und Reisedaten auch hochsensible Informationen.

Im Mai 2018 ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft getreten und Eventmanager müssen seitdem darauf achten, ihr Event DSGVO konform zu gestalten! Damit Sie beim Thema Datenschutz bei Veranstaltungen genau wissen, was zu tun ist, haben wir mit einem DSGVO-Experten gesprochen, der das Thema mit Praxisbeispielen verständlich näher bringt. 

Außerdem hilft Ihnen unsere Event-DSGVO-Checkliste alles im Blick zu behalten und eine datenschutzkonforme Veranstaltung zu gewährleisten.

Expertentipps zum Thema Event DSGVO 

Kann man eine Passion für Datenschutz entwickeln? Wer das jetzt kategorisch ausschließt, der sollte Dr. Ralf Schadowski zum Thema Datenschutz und Datenverarbeitung hören. Der Experte für Datenschutz und IT-Sicherheit kann mit einer Leidenschaft über die DSGVO sprechen, dass man es kaum glauben kann. Und wir haben mit ihm gesprochen und lassen seine Gedanken über die Auswirkungen der DSGVO auf die Eventbranche mit einfließen.

Was genau versteht man unter der DSGVO?

Die DSGVO gibt jedem EU-Bürger das Recht, auf die personenbezogenen Daten, die jemand von ihm besitzt, zuzugreifen und sie zu kontrollieren – mit einigen Einschränkungen. So kann Herr Müller zwar verlangen, dass seine personenbezogenen Daten gelöscht werden, aber nicht, dass seine Finanztransaktionen gelöscht werden. Aus diesem Grund muss ein Unternehmen wissen:

  • Welche Daten können eingesehen werden?
  • Welche Daten können geändert werden?
  • Welche Daten können gelöscht werden?
  • Wie Daten gehostet/gepflegt/archiviert werden?

Das EU-Gesetz soll sicherstellen, dass alle Unternehmen folgende Grundsätze einhalten:

  • Datensicherheit: Die Datensicherheit ist von größter Bedeutung und muss in die Produkte und Prozesse integriert werden. Sie müssen nachweisen können, dass alle IT-Systeme sicher sind.
  • Einwilligung & Transparenz: Eventveranstalter müssen die Zustimmung der Teilnehmer zur Speicherung und Verwendung ihrer Daten einholen und erklären, wie die Daten verwendet werden. 
  • Übertragbarkeit: Die neue Verordnung sieht vor, dass Personen das Recht haben, ihre Daten von einem Data Controller an einen anderen zu übermitteln. 
  • Privatsphäre: EU-Bürger können Sie jederzeit auffordern, ihre personenbezogenen Daten nicht nur zu löschen (mit Ausnahme von Rechtsarchiven, Zahlungen usw.), sondern sie auch nicht mehr an Dritte weiterzugeben, die dann ebenfalls verpflichtet sind, die Datenverarbeitung einzustellen. 
  • Datenzugang: Sie müssen EU-Bürgern innerhalb von 30 Tagen und kostenlos Zugang zu ihren Daten in einem gemeinsamen digitalen Format gewähren.

Was hat sich mit der DSGVO für Veranstalter verändert?

Seitdem die Europäische Datenschutzgrundverordnung am 25. Mai 2018 in Kraft getreten ist, müssen Veranstalter wesentlich höhere Standards im Umgang mit personenbezogenen Daten schaffen, als das früher der Fall war. Damit die Verordnung eingehalten wird, müssen vor allem IT-Systeme von Eventveranstaltern dementsprechend angepasst werden. 

Die DSGVO besteht hauptsächlich darin, die bestehenden Gesetze zu verschärfen und die Strafen für Verstöße zu erhöhen. Das Bußgeld kann bis zu 4 % des Jahresumsatzes eines Unternehmens betragen. Deshalb ist es wichtig, dass Planer und Veranstalter ihre Rolle verstehen und wissen, wie die neue Verordnung funktioniert.

Mit der DSGVO gelten neue Anforderungen im Hinblick auf die Transparenz und Dokumentation von personenbezogenen Daten. Um den Aufwand in Grenzen zu halten, ist es sinnvoll Eventplattformen zu nutzen, die die Einhaltung der Datenschutzverordnung automatisiert haben. 

Daten sind Geld: Warum Sie Ihr Event datenschutzkonform gestalten müssen?

Eventveranstalter gehören meist zu den kleinen und mittleren Unternehmen. Selbst ein Branchenriese wie die Messe Frankfurt mit 2.500 Mitarbeitern weltweit und einem Jahresumsatz von gut 660 Millionen EUR fällt in diese Kategorie. Viele Verbände organisieren Business-Events, aber die wenigsten Veranstalter sind mit einem üppigen Team oder gar mit einer umfangreichen Rechtsabteilung ausgestattet. 

Bestimmt überlegen auch Sie, welche Auswirkungen die DSGVO auf Ihre Eventplanung hat und was Sie zuerst angehen müssen, um nicht in Schwierigkeiten zu geraten. Wir erklären Ihnen zunächst zusammen mit dem Experten Dr. Ralf Schadowski die wichtigsten Grundregeln für Datenschutz bei Veranstaltungen.

„(Teilnehmer-)Daten sind Geld, und wir müssen uns gut überlegen, was wir mit diesen Daten machen wollen. Und das schon vor einer Veranstaltung“, meint Dr. Ralf Schadowski.

 „Wir brauchen den Consent, eine Einwilligung von den Teilnehmern, damit wir mit den Daten anschließend weiter arbeiten dürfen und die Personen werblich ansprechen dürfen.

Um ein Event DSGVO konform zu gestalten, müssen Veranstalter auf Anfrage eines Teilnehmers nachweisen können, woher sie diese personenbezogenen Daten haben und was mit ihnen geschieht. Er muss die Einwilligung der Teilnehmer mit dem Datum nachweisen können. Kann der Veranstalter das nicht, dann kann der Teilnehmer dies zur Anzeige bei der Datenschutzaufsicht bringen.“

Jeder Eventveranstalter ist also rechenschaftspflichtig und haftet dafür, was mit den personenbezogenen Daten passiert. 

Transparenz schaffen: Wohin gehen die Daten der Veranstaltungsteilnehmer?

In der digitalen Welt wird es immer schwerer, die Zielgruppe für ein Event effizient zu erreichen. Veranstalter verlassen sich schon lange nicht mehr allein auf (teure) Broschüren, sondern müssen auch alle digitalen Register ziehen. Dazu gehören Werbeangebote, wie sie Google, Facebook oder andere Dienstleister unter Stichworten wie Re-Targeting, Facebook Pixel, eTracker oder Webtracker anbieten. 

Alle diese Dienste zeichnet aus, dass sie die Customer Journey eines Kunden verfolgen und dann gezielt Online-Werbung ausspielen. Ein beliebtes Werbemittel bei Facebook sind zum Beispiel die sogenannten Custom Audiences. Dabei handelt es sich um die Ansprache von Zielgruppen per Facebook-Werbung, die entweder vorher auf der Event-Website waren oder aber über den Abgleich von persönlichen Daten (zum Beispiel vorhandene E-Mail-Adressen) auf Facebook erkannt werden. 

Dr. Ralf Schadowski: „Wenn ich Daten auf Websites über Tools wie Google Analytics, eTracker, Facebook Pixel oder ähnliches sammele, gibt es Dinge, die zwingend umgesetzt werden müssen. Zum einen muss ich mit diesen Dienstleistern Auftragsverarbeitungs-Verträge umgesetzt haben. 

Habe ich das nicht, so droht mir ein hohes Ordnungsgeld im Falle einer Datenpanne. Zu diesen Dienstleistern gehören auch z.B. Dienstleister vor Ort, die sich um Registrierung oder Teilnehmermanagement kümmern. Es gibt zahlreiche juristisch saubere Vorlagen für solche ADV-Verträge, z.B. von der Gesellschaft für Datenschutz und Datensicherheit GDD

Grundsätzlich muss der Betroffene immer wissen, wohin ein Veranstalter die Daten gibt. Diesen Datenweg müssen die Firmen verfolgen. Leider haben viele Unternehmen diese Transparenz nicht.“

Die Rolle als Veranstalter beim Datenschutz verstehen

Der Datenverarbeiter (Auftragsverarbeiter oder Data Processor)

Softwares und ihre Anbieter sind die Datenverarbeiter. Dies kann zum Beispiel Converve oder jeder andere Anbieter in Ihrem Software-Ökosystem sein (CRM, Marketingautomatisierung, Buchhaltung usw.). Obwohl beide Parteien die Einhaltung der DSGVO gewährleisten müssen, trägt der Datenverantwortliche letztendlich die größte Verantwortung. Am besten arbeiten beide gemeinsam an einem Prozess, der die Einhaltung der DSGVO Vorschriften vereinfacht. 

Der Datenverantwortliche (Data Controller)

Das sind Sie! Unabhängig davon, ob Sie ein Unternehmen oder ein Verband sind, Sie besitzen die Daten und haben die Verantwortung für die Daten Ihrer Kunden, unabhängig von der Technologie, die Sie für die Datenverarbeitung einsetzen (CRM, Veranstaltungssoftware, Umfragetools usw.). 

Wer trägt die Verantwortung?

Wie der Name bereits erahnen lässt, trägt der Datenverantwortliche (also Sie) die Hauptverantwortung, die Einhaltung der DSGVO sicherstellen. Sie bestimmen gegenüber dem Datenverarbeiter (Data Processor) wie personenbezogene Daten verwendet werden sollen. Ein guter Datenverarbeiter verfügt allerdings bereits über dokumentierte Richtlinien und modernste Praktiken und Instrumente zur Datenverwaltung, zum Datenschutz und zur Sicherheit und hilft Ihnen dabei.

Praxisbeispiel

Im obigen Beispiel des Remarketings auf Facebook über den Einsatz eines Facebook-Pixel auf der Event-Website wird Facebook also zum Datenverarbeiter – weil Facebook Daten von Nutzern der Event-Website erhält.

Folgerichtig ergeben sich zwei Konsequenzen: Der Veranstalter muss eine Datenverarbeitungs-Vereinbarung mit Facebook abschließen (das geht glücklicherweise online zu erledigen, Details siehe hier) UND er muss seine Kunden in der Datenschutzrichtlinie darauf hinweisen, was mit den Daten geschieht und zu welchem Zweck sie an Facebook übermittelt werden. Wenn Sie z.B. Google-Analytics nutzen, können Sie hier die Vereinbarung mit Google herunterladen, zweifach ausdrucken und unterschrieben an Google in Irland senden.

„Veranstalter brauchen jedoch keine AV-Vereinbarung mit einem Dienstleister wie Facebook, XING oder LinkedIn, wenn sie ganz einfach Anzeigen schalten ohne den Einsatz von Custom Audiences oder anderen personenbezogenen Daten“, grenzt Ralf Schadowski die Anforderungen der DSGVO ab.

Event DSGVO im gesamten Kreislauf beachten!

Für einige Unternehmen sind Veranstaltungen nur eine Komponente einer längeren Kette. Diese Kette umfasst komplexe Arbeitsabläufe, bei denen die Daten aus einem Ökosystem stammen, das umgewandelt und in einen anderen Kreislauf geschoben wird. Ein Beispiel dafür ist, wenn Daten von einem Marketing-Automatisierungstool wie Hubspot zu einer Event-Management-Softwarelösung wie Converve und dann weiter zu einem CRM wie Salesforce gelangen.

Das bedeutet, dass die Daten innerhalb eines Unternehmens weit verbreitet werden können. Die Auswirkungen der DSGVO betreffen also nicht nur eine Softwarelösung, sondern das gesamte Ökosystem und den Workflow Ihres Unternehmens.

Beachten Sie deshalb: Sie müssen als Eventplaner ein umfassendes Bild haben, was mit den Daten vor, während und nach Veranstaltungen passiert, denn Sie müssen die Teilnehmer darüber informieren (Einwilligung), wie die Daten verwendet werden.

Event-DSGVO-Checkliste

Trösten Sie sich: Es geht allen Event-Veranstaltern genauso wie Ihnen! Daher gibt es keinen Grund zur Panik. Eine Checkliste hilft Ihnen dabei, die relevantesten Punkte zum Thema Datenschutz bei Veranstaltungen im Blick zu behalten.

1. Eventplanung DSGVO konform gestalten

Unabhängig davon, ob Sie unternehmensinterne Veranstaltungen oder externe Konferenzen planen, Sie müssen sicherstellen, dass alles, was Sie tun, DSGVO-konform ist. Wenn Sie personenbezogene Daten von Teilnehmern sammeln, sei es während der Registrierung vor der Veranstaltung, vor Ort oder während der Veranstaltung, betrifft Sie das. 

  • Prüfen Sie, wer von Ihnen Daten erhält und schließen Sie entsprechende Vereinbarungen ab. 
  • Holen Sie eine klare und eindeutige Zustimmung aller Teilnehmer ein, dass Sie die Daten sammeln und verwenden dürfen.
  • Nennen Sie alle Dritten, die Zugriff auf die Daten haben.
  • Überprüfen Sie alle Formulare (Registrierungsformulare, Datenschutzerklärung etc.) damit Ihre Veranstaltung datenschutzkonform ist.
  • Prüfen Sie Ihre ​​IT-Systeme, um sicherzustellen, dass sie in der Lage sind gesetzeskonform mit den Benutzerdaten umzugehen
  • Können Sie das „Recht auf Vergessen“ sicherstellen? (Auf Anfrage einen gesamten Datenpfad einer Person löschen?)
  • Überprüfen Sie Mailinglisten. Sie brauchen die klare Zustimmung der Teilnehmer bevor Sie Daten an Dritte weitergeben. Dazu gehört auch das Teilen von Kontaktinformationen mit Teilnehmern.
  • Klären Sie die Rechtmäßigkeit von Fotos und Videos auf Ihrem Event und informieren Sie Ihre Teilnehmer entsprechend.
  • Holen Sie sich Erlaubnis für Daten, die Sie vor dem Inkrafttreten der DSGVO 2018 gesammelt haben.
  • Verschlüsseln Sie personenbezogene Daten und sichern Sie diese regelmäßig.
  • Etablieren Sie einen Prozess zur Meldung von Datenpannen.
  • Stellen Sie sicher, dass auch Dritte sich an den Datenschutz halten.
  • Klären Sie die Haftung zwischen Veranstaltern, Mitveranstaltern und anderen Beteiligten.

Best Practices für datenschutzkonforme Events

  • Klare und einfache Sprache in den Formularen.
  • Beginnen Sie mit der Methode GM (gesunder Menschenverstand) Ihre Prozesse im Unternehmen zu analysieren und erstellen sogenannte Verfahrensverzeichnisse. Wie die für die einzelnen Prozesse aussehen könnten, finden Sie hier.
  • Machen Sie es den Teilnehmern leicht, ihre Einwilligungen zu widerrufen.
  • Weisen Sie darauf hin, dass die Zustimmung zur Datenverarbeitung freiwillig gegeben wurde.
  • Beschränken Sie sich auch im Sinne Ihrer Gäste auf tatsächlich relevante Daten.
  • Halten Sie die Anzahl der beteiligten Systeme zum Verarbeiten und Sichern von Daten so gering wie möglich, um Löschungen treffsicher und in nur einem Schritt vornehmen zu können.
  • Etablieren Sie eine ausführliche Datenschutzrichtlinie für Events auf Ihrer Webseite.
  • Überprüfen Sie Ihre Datenschutzvereinbarungen auf Ihrer Website hinsichtlich der Dienste, die Sie nutzen. Mit dem Tool Ghostery finden Sie, welche Dienste zur Zeit auf Ihrer Website eingesetzt werden und können gleichzeitig Dienste auf anderen Webseiten blockieren.
  • Sorgen Sie für einen Datenschutzbeauftragten, der für die Einhaltung der DSGVO verantwortlich ist.
  • Zum Thema Fotos und Videos beim Event: Informieren Sie Ihre Gäste über die Erhebung von Foto- und Videomaterial zum Beispiel mit einem Hinweisschild am Veranstaltungsort. Für die öffentliche Darstellung in Social Media sollten Sie explizit die Zustimmung der Fotografierten erhalten. Das können Sie beispielsweise über die AGBs des Ticketkaufs oder vor Ort mit einer manuellen Unterschrift.

Wie Sie Converve bei Ihrer Event DSGVO unterstützt?

Mit modernen Eventtools wie Converve bündeln Sie Ihre Eventplanung für virtuelle oder hybride Events. Außerdem können Sie eine mobile Event-App für Konferenzen oder Messen mit wenigen Klicks integrieren. 

Auch Converve tritt für Sie als Auftragsverarbeiter (Daten Processor) auf. Wir erfüllen die Anforderungen der DSGVO, so dass Ihre Daten und die Ihrer Teilnehmer und Aussteller bei uns sicher sind.

Des Weiteren bindet Converve Clickskeks als Cookie Lösung in die Eventplattformen der Kunden ein, um das Thema Datenschutz abzudecken.

Sie planen ein Matchmaking & Networking Event und benötigen dafür eine datenschutzkonforme All-In-One Lösung? Dann kontaktieren Sie unser Team. Zusammen gestalten wir eine maßgeschneiderte Plattform für Ihre Veranstaltungen.