Datenschutz ist spätestens seit der Einführung der DSGVO 2018 kein Papiertiger (mehr). Warum sich die Veranstaltungsbranche unbedingt mit dem Thema Datenschutz beschäftigen sollte, erklärt Rechtsanwalt und Fachanwalt für IT-Recht Timo Schutt.
(Bild: Shutterstock/ Andrey Popov)
Im Artikel „Datenverarbeitung bei Events“ habe ich bereits zu der Datenschutzgrundverordnung (DSGVO) und vor allem dem Erfordernis, für jede Datenverarbeitung eine Rechtsgrundlage zu haben, berichtet. Diesen Beitrag nehme ich zum Anlass, in weiteren Artikeln näheres zum Datenschutz und seiner Wichtigkeit in der Eventbranche zu schreiben.
Anzeige
Seit dem 25. Mai 2018 haben wir mit der Datenschutzgrundverordnung (DSGVO) in der ganzen EU ein neues, strenges Datenschutzrecht. Ergänzt wird die DSGVO in Deutschland durch das Bundesdatenschutzgesetz (BDSG). Dieses Datenschutzrecht gilt immer dann, wenn personenbezogene oder personenbeziehbare Daten verarbeitet werden, also letztlich Daten, die – auch mit größerem Aufwand – auf eine bestimmte Person zurückzuführen sind.
Die Eventbranche verarbeitet eine Vielzahl an personenbezogenen Daten
Gerade in der Eventbranche werden solche personenbezogenen Daten ständig verarbeitet. Dabei rede ich nicht nur von den Teilnehmerdaten. Jedes Event bringt die Notwendigkeit mit sich, eine Fülle an personenbezogenen Daten zu verarbeiten, also zu erheben, zu speichern, zu übermitteln, zu ergänzen usw.
Neben den Teilnehmenden einer Veranstaltung haben wir Beteiligte, wie Veranstalter:innen, Agenturen, Techniker:innen, Caterer, Locations, Hotels, Reiseveranstalter:innen, Fahrer:innen, Crew, Aushilfen, freie Mitarbeitende etc. Alle Daten der Mitarbeitenden, Ansprechpartner:innen, Geschäftsführer:innen usw. dieser Beteiligten sind personenbezogene Daten. Dazu gehören also auch die Namen von Ansprechpartner:innen, ebenso übrigens die Geburtstage, E-Mail-Adressen, Handynummern, Durchwahlen und alle weiteren Daten, die jeweils einer bestimmten Person zugeordnet werden können.
Sie sehen also, dass die Eventbranche in großem Ausmaß von den Regelungen des Datenschutzes betroffen ist.
Warum Lücken im Datenschutz schnell sehr teuer werden
Verstöße gegen die strengen Vorschriften zum Umgang mit personenbezogenen Daten können zum einen hohe Bußgelder nach sich ziehen. Der Bußgeldkatalog der DSGVO geht bis zu 20 Millionen Euro. Und selbst da ist nicht Schluss: Denn, wenn 4% des weltweiten Jahresumsatzes des betreffenden Unternehmens höher sind, dann gilt dieser Betrag.
In der Praxis zeigt sich, dass die Datenschutzbehörden, die diese Bußgelder verhängen, nicht zimperlich sind. Je nach Dauer und Schwere des Verstoßes und Wirtschaftskraft des Unternehmens haben wir auch in Deutschland bereits Millionenbußgelder gehabt. Aber für ein kleines oder mittelgroßes Unternehmen sind eben auch schon Bußgelder im fünf- oder sechsstelligen Bereich existenzgefährdend.
Dazu kommt, dass daneben auch alle betroffenen Personen Ansprüche geltend machen können. Werden also beispielsweise Daten der Besucher:innen einer Veranstaltung nicht sicher genug behandelt und kommen sie so Unbefugten in die Hände, dann kann jede einzelne Person, die von einer solchen Datenschutzverletzung betroffen ist, Schadensersatz und Schmerzensgeld verlangen.
Es gibt bereits eine Vielzahl an Urteilen, in denen deutsche Gerichte für eine einzige Person bis zu 5.000 Euro zugesprochen haben. Es ist nicht schwer, sich auszurechnen, welches Risiko man eingeht, wenn also beispielsweise eine Exceltabelle oder ein USB-Stick mit tausenden von Personendaten abhandenkommen.
So wird schnell klar, dass kein Unternehmen der Eventbranche hier auf Lücke setzen sollte. Das Risiko ist schlicht zu groß. Und auch betriebswirtschaftlich ist es schlauer, Geld in Datenschutz zu investieren, anstatt das Risiko einzugehen, hier wesentlich mehr Geld zu verlieren.
Was ist zu tun?
Die Anforderungen aus der DSGVO und dem BDSG sind umfangreich. So mussbeispielsweise jedes Unternehmen ein stets aktuelles Verzeichnis aller Datenverarbeitungsvorgänge führen (so genanntes Verarbeitungsverzeichnis). Die Datenschutzbehörden können (und werden) dieses Verzeichnis anfordern und daraus Schlüsse für Bußgelder u.Ä. ziehen. Kann das Verzeichnis nicht vorgelegt werden, weil es nicht existiert, ist das Bußgeld mehr oder weniger vorprogrammiert.
Dann muss jedes Unternehmen umfangreiche Maßnahmen etablieren, dokumentieren und durchsetzen, die in Summe das Risiko der personenbezogenen Daten so minimiert, dass die Verarbeitung der Daten zulässig ist (so genannte technische und organisatorische Maßnahmen). Zuvor ist danach eine Risikoanalyse durchzuführen: Welches Risiko haben die personenbezogenen Daten im Hinblick auf Schadensereignisse und Schadenshöhen?
Außerdem sind in der Eventbranche in vielen Fällen Datenschutzverträge zu schließen (Auftragsverarbeitungsverträge oder Verträge über die gemeinsame datenschutzrechtliche Verantwortung). Dazu werde ich in einem eigenen Beitrag dieser Reihe ausführlich berichten.
Schließlich sind alle Daten auch wieder zu löschen. Und zwar unmittelbar dann, wenn sie nicht mehr gebraucht werden (so genannter Grundsatz der Datensparsamkeit). Dafür bedarf es beispielsweise auch eines umfassenden Löschkonzepts. Und außerdem muss bei jeder (!) Datenerhebung die betroffene Person transparent informiert werden über das, was mit den Daten konkret in der Folge geschieht (Informationspflichten).
Haben Sie regelmäßig mehr als 20 Beschäftigte, die mit solchen Daten zu tun haben (auch Aushilfen, Werkstudierende, Praktikant:innen usw.), dann müssen Sie zudem einen Datenschutzbeauftragten bestellen und bei der Datenschutzbehörde melden.
Zusammenfassung
Datenschutz ist kein Papiertiger (mehr). Spätestens seit der Datenschutzgrundverordnung 2018 kommt kein Unternehmen mehr an dem Thema vorbei. Gerade die Eventbranche hat ständig in großem Umfang mit der Verarbeitung personenbezogener Daten zu tun. Ein Unternehmen, dass sich nicht um den Datenschutz kümmert, das Thema nicht ernst nimmt und keine fachliche Beratung in Anspruch nimmt, handelt in Anbetracht von Haftungs- und Bußgeldrisiken grob fahrlässig. Zu hoch sind die Ansprüche der Betroffenen und die Bußgelder, und zu riskant sind Verstöße, da sie – vor allem wenn sie online stattfinden – schnell auffindbar sind. Doch es ist nie zu spät, sich mit dem Thema zu befassen und bei Bedarf Beratung bei Expert:innen zu holen.