DSGVO: Die EU-Datenschutz-Grundverordnung ist da

Was Sie zur DSGVO für Eventkommunikation und Teilnehmermanagement wissen müssen

Kein Thema ist offenbar so heiß wie die EU-weit eingeführte Datenschutz-Grundverordnung – die DSGVO. Ein Großteil der Veröffentlichungen malt das Schreckgespenst der hohen Strafen an die Wand. Und da wird gern schon einmal ein passendes kostenpflichtiges Seminar oder Webinar angeboten. Anwalt ist in diesen Zeiten wahrscheinlich nicht die schlechteste Berufswahl gewesen. Was kommt auf die Eventkommunikation und das Gästemanagement tatsächlich zu?

Unternehmen müssen sich mit der DSGVO auseinandersetzen: Wir verraten, was auf Sie zukommt!
Unternehmen müssen sich mit der DSGVO auseinandersetzen: Wir verraten, was auf Sie zukommt!

Nun mal ganz ehrlich, können wir wirklich die 99 Artikel alle nachvollziehen und außerdem noch in unserer Berufspraxis umsetzen? Dabei trifft es alle Marketingkanäle, die mit Kundendaten umgehen, gleichermaßen. Gerade die Eventbranche, zu deren Hauptgeschäft es gehört, Besucher und Gäste zu kleineren und größeren Veranstaltungen, Messen, Kongressen, Incentive-Reisen, Produkt-Launches, Jubiläen, Presse-Events, Influencer-Veranstaltungen und, und, und einzuladen, verarbeitet eine große Menge an personenbezogenen Daten. Wie sollte die Unsicherheit bei Kunden nicht groß sein bei einer Verordnung, die den schönen offiziellen Titel trägt: „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“?

Anzeige

DSGVO seit fast zwei Jahren Thema

Fällt Ihnen was auf? Die Verordnung gibt es bereits seit April 2016 und die große Aufregung findet aber erst seit diesem Januar statt. Wie war das doch gleich mit dem Leidensdruck. Vorausschauende Agenturen haben sich rechtzeitig mit der DSGVO beschäftigt und sind jetzt klar im Vorteil, weil sie ihren Kunden Sicherheit bei der Eventumsetzung auch nach dem 25. Mai 2018 bieten können. „Strategisch aufgestellte Agenturen wie die unsrige erfüllen bereits seit Jahren die Anforderungen der neuen Verordnung“, bestätigt denn auch Colja Dams, Geschäftsführer von Vok Dams, „und das hat auch einen guten Grund: Die Umsetzung der Anforderungen, die aus der DSGVO entstehen, erfordert eine Menge an Arbeit und damit verbunden Kosten.“

Wer jetzt erst anfängt, sich mit der konkreten Umsetzung zu beschäftigen, kann durchaus in Schwierigkeiten kommen. Oder um einen weisen Staatsmann zu zitieren: „Wer zu spät kommt, den bestraft das Leben.“ (Michail Gorbatschow, 1989)

Checkliste für Datensicherheit auf Events

Werfen wir einen Blick auf die Punkte, die das Eventgeschäft am meisten tangieren. Es geht natürlich in erster Linie um das Teilnehmermanagement:

  1. Gesetzliche Erlaubnis zur Datenverarbeitung

Wie bereits bei Newslettern gang und gäbe muss der Betroffene in die Datenverarbeitung (Teilnehmerlisten, Flugbuchungen, Hotelunterkunft, Programmteilnahme, Mietwagen etc.) einwilligen. Falls diese oder eine gesetzliche Erlaubnis nicht vorliegen, dürfen die Daten nicht verarbeitet werden. Dies gilt auch für Datensätze, die der Kunde der Agentur zur Verfügung stellt. Die Agentur muss sich schriftlich absichern, dass die Daten verarbeitet werden dürfen.

  1. Auskunftspflicht

Jeder Betroffene hat das Recht zu wissen, ob und welche Daten von ihm wo gespeichert sind. Es wird also ein Konzept benötigt, dass alle Dateien erfasst, die an den verschiedenen Orten gespeichert sind. 

  1. Recht auf Vergessen

Jeder Teilnehmer kann fordern, dass seine Daten nach dem Event gelöscht werden. Es empfiehlt sich also, ein Löschkonzept zu entwickeln, das die schnelle Auffindung der Daten in allen Dateien ermöglicht.

  1. Datensicherheit

Es müssen technische und organisatorische Maßnahmen getroffen werden, die Sicherheit vor Datenmissbrauch garantieren. Dies gilt natürlich auch für den Einsatz auf Events. Hier gelten dieselben Sicherheitsmaßnahmen. Ein einfacher passwortgeschützter Zugang reicht da nicht mehr aus. Räume abschließen, Rechner sichern oder keine ausgedruckten Datensätze sind nur die Minimalabsicherung.

  1. Datenumfang

Es muss darauf geachtet werden, dass nur Daten erhoben werden, die für das Guest Management erforderlich sind. Das kann manchmal ganz schön tricky werden. So sind Krankheiten, Behinderungen oder Religion manchmal wichtig, um entsprechende Maßnahmen im Vorfeld zu planen (barrierefreier Zugang, Essensauswahl, Gebetsräume etc.). Grundsätzlich gilt aber, dass so wenige Daten wie möglich abgefragt werden sollten. Wichtig ist es, die Daten anschließend wieder zu löschen.

  1. Auftragsdatenverarbeitung oder Funktionsübertragung

Die Differenzierung zwischen einer Auftragsdatenverarbeitung und Funktionsübertragung im Umgang mit personenbezogenen Daten ist nicht einfach, aber wichtig im Sinne der DSGVO. Bei einer Auftragsdatenverarbeitung wird die Datenverarbeitung vom Auftragnehmer streng nach Weisung des Auftraggebers durchgeführt. Da der Auftragnehmer keinen Einfluss auf die Art und Menge der zu verarbeiteten Daten hat, ist hier bei Verstößen der Auftraggeber verantwortlich und haftbar (externe Lohnabrechnung, IT-Wartungsverträge etc.).

Funktionsübertragungen sind vor allem dann notwendig, wenn dem externen Dienstleister eine Eigenverantwortlichkeit zukommt und es selbständiger Handlungen für die Ausübung der übertragenen Tätigkeiten bedarf (Rechtsanwalt, Inkassounternehmen, Steuerberater etc.). Hier gehen nicht nur die Nutzungsrechte an den Dienstleister über, sondern auch die rechtlichen Verpflichtungen. Damit ist er für die Einhaltung der datenschutzrechtlichen Pflichten selbst verantwortlich.

Datenvernetzung auf verschiedenen Devices
Das Besondere an der DSGVO: Sie hat EU-weit Gültigkeit.  (Bild: Vok Dams)

Was ist außerdem zu beachten?

Stellt sich nun die Frage, was Unternehmen und Agenturen tun müssen und können, um auf dem Gebiet der Datensicherheit und des Datenschutzes keine Schwierigkeiten zu bekommen. Zunächst sollten wir uns noch einmal klarmachen, dass die Leadagentur auch für die Daten ihrer Mitarbeiter und aller Projektpartner verantwortlich ist. Auch hier gelten dieselben Gesetze wie gegenüber dem Gast der Veranstaltung. Wir sprechen also von einer Kette von Freistellungen, da in der Praxis der Agenturpartner ebenfalls wieder Subunternehmen einsetzt, für die er die Verantwortung übernimmt. Die Bandbreite ist hoch im Eventgeschäft – sie reicht vom Melden der Crewmitglieder bis hin zur Weitergabe von Personalausweisdaten bei Events mit politischer Prominenz.

Ein weiterer wichtiger Punkt bei der europäischen Gültigkeit der DSGVO liegt in der Beratung internationaler Kunden. Gerade Kunden aus dem außereuropäischen Ausland benötigen einen Agenturpartner, der ihnen absolute Sicherheit geben kann.

Praktische Tipps zur Implementierung der DSGVO

Die formale Bestellung eines Datenschutzbeauftragten spielt eine wichtige Rolle. Zudem muss die Bestellung eine Aufgabenbeschreibung enthalten, die Präzisierung der organisatorischen Stellung sowie die Verpflichtung des Unternehmens, durch personelle und materielle Unterstützung die Arbeit des Datenschutzbeauftragten zu ermöglichen. Es macht außerdem Sinn, ein Programm zu implementieren, das es ermöglicht, in der geforderten Frist alle Daten und Dateien zu einer bestimmten Person zu finden. Dazu gehören die Dokumentation der Übermittlung von Daten und die Änderungsverfolgung. Nur so ist gewährleistet, dass im Sinne der DSGVO Einsicht und Löschung personenbezogener Daten erfolgen kann.

„Ein weiterer wichtiger Punkt für jede Agentur ist die Erstellung einer Roadmap mit allen Maßnahmen, die die DSGVO ab dem 25. Mai 2018 verbindlich vorschreibt. Gerade weil einige Maßnahmen Zeit kosten, muss hier genau geplant werden“, rät Colja Dams. Schließlich muss eine Vielzahl von rechtssicheren Verträgen angelegt werden. Dabei geht es unter anderem um Verträge für Datenübergaben vom Kunden sowie Standardverträge für Dienstleister wie Hotels, Transfer, Freelancer, Hostessen und Teilnehmer.

Guestmanagement bei der Auto China
Guestmanagement bei der Auto China (Bild: Vok Dams)

Was ist jetzt konkret zu tun?

Nachfolgend ist kurz zusammengefasst, welche Schritte konkret umgesetzt werden müssen:

  • Sensibilisierung durchführen
    Jeder Mitarbeiter im Umgang mit sensiblen Daten muss rechtzeitig über die konkreten Folgen der DSGVO und die konkreten Maßnahmen zur Umstellung informiert werden.
  • Bestandsaufnahme machen
    Kunden und Agenturen müssen eine Bestandsaufnahme bezüglich aller Prozesse durchführen, bei denen personenbezogene Daten erhoben, verarbeitet oder weitergegeben werden. Auf Grundlage der Bestandsaufnahme sollten ein Verarbeitungsverzeichnis erstellt und der konkrete Änderungsbedarf identifiziert werden.
  • Rechtsgrundlage prüfen
    Es ist zu prüfen, ob die identifizierten Datenverarbeitungsprozesse den Anforderungen der DSGVO, insbesondere den Rechtmäßigkeitsanforderungen des Art. 6 DSGVO entsprechen. Ansonsten sind die Prozesse den neuen Anforderungen (z.B. an eine Einwilligung laut Art. 7 und Art. 13 DSGVO) anzupassen.
  • Verträge prüfen
    Eventagenturen und Kunden müssen insbesondere ihre bestehenden Verträge zur Auftrags(daten)verarbeitung überprüfen und überarbeiten. In den Artikeln 26 bis 28 DSGVO sind Vorgaben für Vereinbarungen mit Auftrags(daten)verarbeitern und zwischen gemeinsam für die Verarbeitung Verantwortlichen geregelt.
  • Informationspflichten erfüllen
    Die weitreichenden Informationspflichten (Art. 13 und Art. 14 DSGVO), die teilweise neue Anforderungen enthalten (z.B. Nennung der Legitimationsgrundlage, Information über Beschwerderecht bei Aufsichtsbehörde), müssen in den internen Dokumenten (z.B. Kundenverträge) und Prozessen umgesetzt werden. 
  • Datenschutz- und Einwilligungserklärungen anpassen
    Etwaige Datenschutzerklärungen (z.B. auf der Webseite) oder Einwilligungserklärungen (z.B. für die Zusendung von E-Mail-Werbung) sind bezüglich der neuen Anforderungen anzupassen.
  • Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen umsetzen
    Die Anforderungen, die die DSGVO schon bei der Prozessgestaltung und bezüglich der Voreinstellungen (Art. 25 DSGVO) stellt, sind umzusetzen.
  • Datenschutzfolgenabschätzung implementieren
    Kunden und Agenturen sollten im Rahmen einer Datenschutzfolgenabschätzung (Art. 35 DSGVO) prüfen, ob die eigenen Datenverarbeitungsvorgänge aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge haben. Das Ergebnis und etwaige Maßnahmen zur Reduzierung eines etwaigen Risikos sind zu dokumentieren.
  • Betroffenenrechte umsetzen
    Die in der DSGVO geregelten Betroffenenrechte (z.B. das Recht auf Löschung) müssen in Abläufen bei Kunde und Eventagentur so abgebildet werden, dass diese gegenüber den Betroffenen auch tatsächlich zeitnah umgesetzt werden können.
  • Dokumentation organisieren
    Aufgrund der verstärkten, teils bußgeldbewährten Dokumentationspflichten der DSGVO (z.B. Art. 5 Abs. 2, 30, 33; Abs. 5, 28; Abs. 3 lit.a DSGVO), sollten Kunden und Agenturen die notwendige Dokumentation organisieren. Eine Implementierung ins Qualitätsmanagement nach DIN-EN ISO 9001: 2015ff ist hier hilfreich.

 

Autor dieses Beitrages ist Martin Schulz, Director Guestmanagement & IT bei Vok Dams.

 

Schreibt über die DSGVO: Martin Schulz, Director Guestmanagement & IT bei Vok Dams
Martin Schulz, Director Guestmanagement & IT bei Vok Dams, hat wichtige Informationen zur DSGVO zusammengefasst und teilt damit die Erfahrungswerte der Live-Kommunikationsexperten. (Bild: Anette Hammer)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Das könnte Sie auch interessieren: