Die neuen KI-Tools zur Eventanalyse machen es nötig Datenschutz mitzudenken. Anwalt Dr. Felix Glocker diskutiert im Gastbeitrag worauf es im Rahmen der DSGVO und des AI Acts zu achten gilt.
(Bild: greenbutterfly/Shutterstock)
Der Einsatz von KI-gestützter Eventanalyse wirft datenschutzrechtliche Fragen auf. KI-Systeme können Verhaltensmuster auf Events analysieren, was für die Eventoptimierung nützlich ist, aber auch missbraucht werden kann. Wie weit dürfen Veranstalter bei der Datensammlung gehen? Wann ist Eventanalyse nach DSGVO und AI Act erlaubt?
Anzeige
Einsatzzweck einer KI-Eventanalyse
Bei Events – egal ob vor Ort oder online – fallen viele Daten an, die jedoch ungeordnet und für eine Eventanalyse schwer zugänglich sind. Veranstalter wissen oft nicht viel mehr als Gästezahl und ggf. Kartenverkauf- und Getränkeumsatz. Dagegen fehlen Bewegungsmuster auf der jeweiligen Veranstaltung, etwa wie oft Gäste bestimmte Ziele aufsuchen oder wie lange die Verweildauer bei bestimmten Programmpunkten ist. Damit entgeht Veranstaltern ein erhebliches Potenzial, ihre Events zu analysieren und letztlich zu optimieren.
Die KI-gestützte Eventanalyse kann diese Datenfülle erschließen. Selbstlernende KI-Systeme ermöglichen es, aus ungeordneten Daten Schlüsse zu ziehen. So kann KI Muster im Gästeverhalten erkennen, bestimmte Gästegruppen gliedern und die Beliebtheit bestimmter Vorträge oder Angebote vorhersagen.
Analysen der Gesamtveranstaltung i.d.R. zulässig
Im Hinblick auf den Datenschutz ist vor allem eine Rechtsgrundlage für die Datenverarbeitung zentral: Jeder Veranstalter benötigt als „Verantwortlicher“ im Sinne der DSGVO eine solche für die Verarbeitung personenbezogener Daten, die im Rahmen der Eventanalyse erfolgt.
Dr. Felix Glocker berät Unternehmen unterschiedlicher Größe – von Start-ups bis zu börsennotierten Konzernen – an der Schnittstelle von Technik und Recht. Ein Schwerpunkt seiner Tätigkeit ist das Datenschutzrecht. Hier unterstützt er Mandanten umfassend zur DSGVO und vertritt sie vor Behörden und Gerichten. Besonders erfahren ist er mit der datenschutzrechtlichen Vertragsgestaltung. Zudem kann er sein breites technisches Wissen im direkten Austausch mit Entwickler:innen einbringen, um bei der Produktentwicklung Datenschutz von Anfang an zu berücksichtigen. (Bild: CMS)
Es gibt sechs mögliche Rechtsgrundlagen unter der DSGVO. Von diesen sind vor allem die Einwilligung und die Interessenabwägung für die Eventanalyse relevant. Die Einwilligung wird dabei nur in Sonderfällen relevant sein, denn für sie gilt eine hohe Hürde: Eine Einwilligung muss aktiv (Stichwort: Opt-In), freiwillig und jederzeit widerrufbar sein – eine Vorgabe, die zumindest bei größeren Events kaum praktikabel sein wird.
Stattdessen kann sich der Veranstalter bei der Eventanalyse vor allem auf eine Interessenabwägung auf Basis seiner berechtigten Interessen stützen. Diese müssen dokumentiert werden. Solange der Veranstalter berechtigte Interessen verfolgt und die Eventanalyse keine direkten Auswirkungen auf den einzelnen Gast hat, dürfte eine Eventanalyse auf Basis einer Interessenabwägung gut zu rechtfertigen sein. Entscheidend ist vor allem, wie schwerwiegend die Interessen des Veranstalters sind (z. B. die Verbesserung der Barrierefreiheit wäre ein besonders schwerwiegendes Interesse). Auf der anderen Seite sind die Interessen der Gäste umso weniger betroffen, je geringer die möglichen Auswirkungen der Eventanalyse auf sie sind. So ist z. B. eine reine Analyse der Gesamtveranstaltung ohne Auswertungen auf der Ebene des einzelnen Gastes leichter zu rechtfertigen.
Schwieriger zu rechtfertigen ist eine Eventanalyse, wenn es um die Betrachtung einzelner Gäste oder Beschäftigter geht. Wer z. B. das Verhalten einzelner Beschäftigter auswertet, wird dafür im Rahmen der Interessenabwägung sehr gewichtige Interessen auf seiner Seite benötigen.
Eine Emotionsanalyse mittels biometrischer Daten ist aus datenschutzrechtlicher Sicht besonders problematisch. Manche KI-Anbieter behaupten, dass sie die Emotionen von Gästen anhand von biometrischen Daten wie Mimik, Gestik oder Tonfall analysieren.
Für die Nutzung so sensibler Daten wie der Biometrischen stellt die DSGVO hohe Hürden auf. Eine Verwendung ist nur mit ausdrücklicher Einwilligung oder in bestimmten, eng begrenzten Ausnahmefällen zulässig. Als besonders problematisch sehen die Datenschutzbehörden die Analyse von Emotionen durch KI an, da deren derzeitige Unzuverlässigkeit Fehleinschätzungen, Vorurteilen und Diskriminierung Tür und Tor öffnet.
Auch der neue AI Act, dessen hier relevanter Teil seit Februar 2025 in Kraft ist, stellt ein deutliches Hindernis für die Emotionsanalyse bei Veranstaltungen dar. Der AI Act verbietet den Einsatz von KI zur Emotionsanalyse am Arbeitsplatz mittels biometrischer Daten. Bei Events sind typischerweise auch Mitarbeitende des Veranstalters anwesend, was für die Einstufung als Arbeitsplatz ausreicht. Auch der Messestand wäre für die Beschäftigten des Standbetreibers ein Arbeitsplatz. Daher wird eine Emotionsanalyse mittels biometrischer Daten auf Veranstaltungen typischerweise nach dem AI Act unzulässig sein.
Bloße Auswertungen über die Zufriedenheit mit Veranstaltungsteilen (z.B. anhand des vorzeitigen Verlassens bestimmter Veranstaltungsorte) sind aber noch keine Emotionsanalyse, soweit sie ohne biometrische Daten erfolgen. Sie sind leichter zu rechtfertigen.
Zentrale Bedeutung der Transparenz
Soweit Eventanalysen an sich zulässig sind, müssen sie transparent erfolgen. Nach der Datenschutz-Grundverordnung müssen Datenschutzhinweise leicht zugänglich sein.
Best Practice ist hier ein gut sichtbarer Aushang, der auf die Eventanalyse hinweist und leicht verständlich erklärt, welche Daten der Veranstalter erhebt und wofür sie verwendet werden. Der Aushang sollte auch auf das Bestehen von Auskunfts- und Löschungsrechten hinweisen. Für die vollständige Datenschutzerklärung mit allen Pflichtangaben nach der DSGVO (u. a. Empfänger, Drittstaatenübermittlungen und Speicherdauer) kann der Veranstalter auch mittels Link/QR-Code auf eine Webseite verweisen.
Belastbare Datenschutzdokumentation
Schließlich muss der Veranstalter als verantwortliche Stelle bei sich eine belastbare interne Datenschutzdokumentation schaffen. Damit kommt er seiner Rechenschaftspflicht nach, denn der Veranstalter als Verantwortlicher muss nach der DSGVO nachweisen können, dass er seine datenschutzrechtlichen Pflichten erfüllt.
Zumindest bei einer umfangreicheren Analyse einer Großveranstaltung wird der Veranstalter vor allem auch eine sogenannte Datenschutz-Folgenabschätzung durchführen müssen. Dabei handelt es sich um eine strukturierte Risikoanalyse, die die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung im Hinblick auf den Zweck und die Risiken für die von der Datenverarbeitung betroffenen Personen bewertet. Diese kann der Veranstalter bei sich hinterlegen und damit im Falle einer Kontrolle durch die Datenschutzbehörde seine DSGVO-Compliance nachweisen.
Fazit: DSGVO und AI Act kein Showstopper
Die Eventanalyse ist auch nach der Datenschutzgrundverordnung und dem Datenschutzgesetz an sich zulässig. Sie muss transparent kommuniziert werden und darf keine biometrischen Daten verwenden. Solange ihr Ziel die Analyse des gesamten Events ist, ist sie datenschutzrechtlich in der Regel gerechtfertigt.
Wer den Datenschutz von Anfang an mitdenkt, transparent kommuniziert und die Risiken in seiner Dokumentation gut abwägt, kann sich im Nachhinein viel Ärger mit Beschwerden und Datenschutzbehörden ersparen.
