Die DSGVO (Datenschutz-Grundverordnung) wurde am 25. Mai 2018 von der Europäischen Union verabschiedet. Ziel dieser Verordnung war es, den Datenschutz in der EU zu harmonisieren und den Bewohnern der EU mehr Kontrolle über ihre persönlichen Daten zu geben, z. B. welche Daten gesammelt und wie sie verwendet werden. Unternehmen müssen sicherstellen, dass sie die DSGVO einhalten, sonst riskieren sie saftige Geldstrafen. Bei schweren Verstößen müssen sie mit 20 Millionen Euro oder bis zu 4 % des weltweiten Gesamtumsatzes des Unternehmens im vorangegangenen Geschäftsjahr rechnen, je nachdem, welcher Betrag höher ist. Um kein Risiko einzugehen, ist es daher sinnvoll, dass sich Unternehmen strikt an die Verordnung halten. Dies ist besonders wichtig, wenn sie personenbezogene Daten für Veranstaltungen wie Konferenzen oder Seminare sammeln. Hier erklären wir, welche grundlegenden Punkte Sie beachten sollten, um Ihre Veranstaltung DSGVO-konform zu machen. Darüber hinaus hat jede Veranstaltung ihre eigenen, individuellen Anforderungen.
Wie Sie Ihre Veranstaltungen DSGVO-konform machen
Für Event-Veranstalter ist die DSGVO extrem wichtig, da personenbezogene Daten von den Teilnehmern gesammelt werden müssen. Egal, ob es sich um eine kleine Veranstaltung im Büro oder ein externes Seminar handelt, zu dem Tausende von Menschen erwartet werden, die Compliance-Regeln sind immer die gleichen. Es ist von größter Wichtigkeit, eine klare Zustimmung der Teilnehmer einzuholen, bevor Sie deren Daten in irgendeiner Weise erfassen und verwenden können. Seien Sie so transparent wie möglich, damit die Teilnehmer umfassend informiert sind und eine fundierte Entscheidung treffen können. Sagen Sie einem Teilnehmer unter anderem immer, welche Daten Sie zu welchem Zweck sammeln wollen, wer diese Daten erhalten wird und wann sie wieder gelöscht werden. Nennen Sie die verantwortliche Stelle (in der Regel Ihr Unternehmen), die Kontaktdaten Ihres Datenschutzbeauftragten und beschreiben Sie die Rechte des Teilnehmers als sogenanntes „Datensubjekt“. Wichtig ist, dass Sie es ihm leicht machen, seine Einwilligung jederzeit zu widerrufen und seine Daten löschen zu lassen (dies ist das sogenannte „Recht auf Vergessenwerden“). Hier einige Tipps, um den Datenschutz bei Ihren Veranstaltungen zu gewährleisten:
- Überprüfen Sie Ihre Formulare: Überprüfen Sie alle Formulare, die Sie für Ihre Veranstaltung verwenden möchten, um sicherzustellen, dass sie DSGVO-konform sind, z. B. Anmeldeformulare und Datenschutzhinweise. Stellen Sie sicher, dass die Systeme und Prozesse, die Ihr Unternehmen verwendet, auf dem neuesten Stand sind und mit den Anforderungen der DSGVO übereinstimmen. Wenn ein Teilnehmer die Löschung all seiner Daten wünscht, ist das System dann in der Lage, ALLES, was mit dieser Person zu tun hat, zu löschen? Es sollte immer bedacht werden, dass z. B. steuerrelevante Dokumente wie Rechnungen einer gesetzlichen Aufbewahrungsfrist unterliegen und nicht gelöscht werden können.
- Einwilligung durch Opt-In einholen: Geben Sie ganz genau an, zu welchem Zweck Sie Daten erheben, wie Sie die Daten verwenden, wie lange Sie sie aufbewahren und ob sie an Dritte weitergegeben werden. Beachten Sie, dass Sie die Daten nur für den genehmigten Zweck verwenden dürfen. Jede andere Verwendung erfordert eine erneute Zustimmung. Vermeiden Sie juristischen Fachjargon und halten Sie die Dinge einfach. In der Vergangenheit konnten Sie davon ausgehen, dass Sie die Erlaubnis einer Person haben, wenn diese nichts anderes angegeben hat. Nach dem neuen Gesetz müssen Personen entscheiden, ob sie ihre Zustimmung geben wollen oder nicht, daher sind vorab angekreuzte Zustimmungsfelder nicht erlaubt.
- Prüfen Sie Ihre Mailinglisten: Sie haben vielleicht Mailinglisten, die Jahre alt sind. Das heißt aber noch lange nicht, dass Sie sie einfach so nutzen können. Wissen Sie woher die Daten stammen und ob Sie jemals die Zustimmung erhalten haben, diese Personen zu kontaktieren? Wenn Sie sich nicht sicher sind, verhalten Sie sich so, als hätten Sie keine Zustimmung. Wir empfehlen allerdings nicht, die Kontaktperson schriftlich um ihr Einverständnis zu bitten. Wenn diese Person von vornherein nicht zugestimmt hat, kann die bloße Aufforderung einen Datenschutzverstoß darstellen. In diesem Fall wurden die Daten ohne die rechtliche Grundlage der Einwilligung zur Kontaktaufnahme mit dieser Person verarbeitet. Dies gilt auch, wenn Sie Mailinglisten kaufen – überprüfen Sie, ob das Unternehmen, von dem die Adressen kommen, sich an die DSGVO hält. Wenn nicht, könnten Sie die Hauptlast des Verstoßes tragen, auch wenn es technisch gesehen nicht Ihre Schuld war.
- Informieren Sie sich über die DSGVO: Die Verordnung regelt nicht nur, wie und welche Daten verwendet werden dürfen, sondern gibt dem Besitzer auch das Recht, jederzeit seine gespeicherten Daten abzufragen. Haben Sie die Mittel, dies zu tun? Andere Teile der DSGVO beinhalten die Benachrichtigung der Aufsichtsbehörden und, im Falle eines hohen Risikos, der Einzelpersonen innerhalb von 72 Stunden, nachdem es zu einer Datenverletzung gekommen ist; die Löschung aller Daten, wenn ein Nutzer darauf besteht (Unternehmen haben 30 Tage Zeit, um auf Anfragen zu reagieren), und Transparenz darüber, wer die Daten sammelt und wie die Daten verwendet werden. Sie sollten sich auch der "Datenminimierung" bewusst sein, was bedeutet, dass die Daten, sobald sie für den beabsichtigten Zweck verwendet wurden, nicht mehr für andere Zwecke verwendet werden dürfen und vernichtet werden müssen. Außerdem sollten Sie nur die Daten erfragen, die für die Durchführung einer Veranstaltung unbedingt notwendig sind. Andere Angaben sind rein freiwillig, Pflichtfelder müssen daher deutlich gekennzeichnet werden.
- Einstellen eines Datenschutzbeauftragten: Da die Einhaltung der DSGVO zwingend erforderlich ist und hohe Bußgelder drohen, wenn Unternehmen Fehler machen, ist es sinnvoll, eine Person mit der Einhaltung zu beauftragen – einen Datenschutzbeauftragten. Dessen Aufgabe wäre es dann zum Beispiel, Veranstaltungen DSGVO-konform zu gestalten.
Diese Checkliste ist besonders hilfreich, wenn es um DSGVO für Eventveranstalter geht. Beachten Sie, dass die Regeln auch dann gelten, wenn Ihr Unternehmen nicht in der EU ansässig ist, und Sie Daten von EU-Bürgern sammeln, was bei internationalen Veranstaltungen durchaus der Fall sein kann.
ALSO bietet Support für DSGVO-Compliance.
