von Timo Schutt und Christian Raith, Artikel aus dem Archiv vom
Wann dürfen Teilnehmerdaten verarbeitet werden, welche Rechtsgrundlagen gibt es, und was gilt es dabei zu beachten? Diese und weitere Fragen klären unsere Experten aus Recht und Versicherung.
Seit 2018 haben wir mit der Datenschutzgrundverordnung (DSGVO) in der ganzen EU ein neues, strenges Datenschutzrecht. Das Recht ist immer dann zu beachten, wenn personenbezogene oder personenbeziehbare Daten verarbeitet werden, also letztlich Daten, die – auch mit größerem Aufwand – auf eine bestimmte Person zurückzuführen sind.
Gerade in der Eventbranche werden regelmäßig solche Daten verarbeitet. Denn Teilnehmerdaten sind stets personenbezogene Daten und fallen damit in den Anwendungsbereich der DSGVO. Damit ist die Art und Weise der Erhebung und Verarbeitung der Teilnehmerdaten durch das Datenschutzrecht reglementiert. Eine Beratung durch einen Experten im Datenschutzrecht ist damit für alle Firmen, die sich mit dem Teilnehmermanagement befassen, aus meiner Sicht zwingend. Zu hoch sind Schadenersatzansprüche der Betroffenen und die Bußgelder, und zu riskant sind Verstöße, da sie – vor allem wenn sie online stattfinden – schnell auffindbar sind.
Dieser Beitrag konzentriert sich auf die Frage, wann Teilnehmerdaten überhaupt verarbeitet werden dürfen. Das ist deshalb wichtig, weil die DSGVO jede Verarbeitung von personenbezogenen Daten verbietet, wenn nicht ausnahmsweise eine Erlaubnis dafür vorliegt.
Um diese Erlaubnis soll es hier also gehen. Juristisch heißt diese Erlaubnis „Rechtsgrundlage“. Nur wenn Sie also eine solche Rechtsgrundlage haben, dürfen Sie überhaupt Teilnehmerdaten haben.
Dabei ist es auf den ersten Blick recht übersichtlich: Denn die DSGVO kennt nur sechs verschiedene Rechtsgrundlagen. Drei davon spielen in unserem Zusammenhang keine Rolle. Die restlichen drei möglichen Rechtsgrundlagen wollen wir uns jetzt näher anschauen.
Am bekanntesten dürfte die Einwilligung als Rechtsgrundlage für die Datenverarbeitung sein. Wenn mir also die Teilnehmenden die Datenverarbeitung gestattet, dann darf ich auch die Datenverarbeitung durchführen. Das ist geregelt in Artikel 6 Absatz 1 Buchstabe a) DSGVO.
Aber so einfach ist es (natürlich) nicht. Denn es gibt einige Hürden, die es zu überspringen gilt:
a. Die Einwilligung muss freiwillig abgegeben werden, was schon dann problematisch ist, wenn sie im Anmeldeprozess verpflichtend ist und andere vergleichbare Events für die Teilnehmenden nicht verfügbar sind.
b. Die Einwilligung muss informiert erfolgen, womit gemeint ist, dass die Teilnehmenden vor Abgabe der Einwilligung vollständig und transparent informiert werden müssen, was genau die Einwilligung bedeutet und in was konkret eingewilligt wird. Einen solchen Einwilligungstext sollte man sich nur von einer fachkundigen Person entwerfen lassen.
c. Die Einwilligung muss begleitet werden von den sonstigen Datenschutzhinweisen, die man landläufig auch von Webseiten kennt. In Artikel 13 DSGVO ist ein ganzer Katalog an Informationen zu finden, die man den Teilnehmenden geben muss, damit die Datenverarbeitungen zulässig sind.
d. Die Einwilligung ist jederzeit widerruflich. Erklären also die Teilnehmenden den Widerruf, ist die weitere Datenverarbeitung ab diesem Moment unzulässig und muss gestoppt werden.
Die Einwilligung ist also die bekannteste, aber vielleicht nicht unbedingt die beste Lösung, wenn es darum geht, die Datenverarbeitung der Teilnehmenden legitimieren zu können.
Nach Artikel 6 Absatz 1 Buchstabe b) DSGVO dürfen Daten von Personen verarbeitet werden, mit denen die Verantwortlichen (also das Unternehmen, das die Daten erheben und verarbeiten will) einen Vertrag geschlossen haben.
Das ist eine sehr charmante und überlegenswerte Möglichkeit, Teilnehmerdaten zu verarbeiten. Denn immer dann, wenn die Datenerhebung durch oder zumindest im Auftrag des Veranstalters stattfindet, liegen die Voraussetzungen grundsätzlich vor: Es besteht dann ein Vertrag (in der Regel ein Teilnahmevertrag) zwischen dem Verantwortlichen (= Veranstalter) und dem Betroffenen (= Teilnehmenden), und die Erfüllung dieses Vertrages erfordert die Verarbeitung der Teilnehmerdaten.
Folgende Voraussetzungen müssen also hier vorliegen:
a. Der Vertrag über die Teilnahme muss zwischen dem Datenverantwortlichen und den Teilnehmenden geschlossen werden. Problematisch wird das bspw. dann, wenn Person A auch Personen B anmelden kann oder wenn das Teilnehmermanagement von einem Unternehmen durchgeführt wird, das eigenständig Verantwortlicher im Datenschutzsinne ist, bspw. weil es die Daten auch zu eigenen Zwecken verarbeiten will.
b. Die Datenverarbeitung muss sich zwingend auf die Planung, Abwicklung und ggf. Abrechnung des konkreten Events beschränken. Andere Datenverarbeitungen (bspw. Werbemaßnahmen an die Teilnehmenden) können nicht über diese Rechtsgrundlage legitimiert werden.
c. Alles, was nicht zwingend zur Erfüllung des Teilnahmevertrages erforderlich ist, kann nicht auf die Vertragserfüllung gestützt werden.
d. Auch hier muss unbedingt eine transparente vollständige Datenschutzinformation hinzukommen (Artikel 13 DSGVO).
Es ist also genau zu prüfen, ob im konkreten Fall eine Datenverarbeitung über die reine Vertragserfüllung hinaus bezweckt wird (dann ist das nicht die richtige Rechtsgrundlage) oder ob die Datenverarbeitung sich auf die Organisation des konkreten Events beschränkt (dann ist die Vertragserfüllung eine sehr schöne Rechtsgrundlage, vor allem, weil sie nicht, wie die Einwilligung, widerrufen werden kann).
Eine geradezu inflationär verwendete Rechtsgrundlage ist in Artikel 6 Absatz 1 Buchstabe f) DSGVO zu finden: Das überwiegende berechtigte Interesse. Dort heißt es, dass die Datenverarbeitung dann rechtmäßig ist, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“. Aus dem Wortlaut kann man schon erkennen, dass einige Bedingungen zutreffen müssen, damit das funktioniert.
Ein überwiegendes berechtigtes Interesse liegt insbesondere nur dann vor,
a. wenn eine Abwägung vorgenommen wurde, die bestenfalls schriftlich erfolgt und die anhand objektiver Kriterien zu dem Ergebnis kommt, dass ein solches überwiegendes berechtigtes Interesse tatsächlich besteht,
b. so lange nicht die Teilnehmenden ihr Recht auf Widerspruch (ähnlich dem Widerruf bei der Einwilligung) wirksam ausüben (siehe Artikel 21 DSGVO),
c. wenn eine transparente vollständige Datenschutzinformation vor Beginn der Datenerhebung gegeben wird (Artikel 13 DSGVO).
Man sollte sich also nicht vorschnell auf ein berechtigtes Interesse an einer Datenverarbeitung berufen. Die Hürden sind höher, als viele meinen.
Man darf nicht alle Daten abfragen, die man vielleicht gerne haben wollen würde; es gilt das Prinzip der Datensparsamkeit, d.h.: Man darf nur solche Daten abfragen, die man zum Erreichen des Zwecks unbedingt braucht. Will man zusätzliche Daten erheben (bspw. die Abteilung oder Position im Unternehmen, um zielgerichtet Werbung zu schicken), wäre das ggf. ein neuer Zweck, und es wäre ggf. eine dafür passende Rechtsgrundlage notwendig.
Außerdem darf man die Daten nicht willkürlich lange bzw. schon gar nicht unendlich lange aufbewahren: Notwendig ist vielmehr ein Löschkonzept: Wann werden welche Daten wieder gelöscht? Es kann sein, dass unterschiedliche Daten zu unterschiedlichen Zeitpunkten gelöscht werden müssen. Ein bekanntes Beispiel ist die gesetzliche Aufbewahrungspflicht aus steuerrechtlichen Gründen – dann darf man aber nur diejenigen Daten so lange aufbewahren, die man für das Steuerrecht auch braucht. Verwendet man darüber hinaus Daten bspw. zu Werbezwecken und ist der Zweck vorher weggefallen, müssen diese Daten auch vorher gelöscht werden.
Ein Teilnehmermanagement ohne Berechtigung zur Datenverarbeitung (= Rechtsgrundlage) ist unzulässig. Die richtige Rechtsgrundlage zu finden und diese dann auch so umzusetzen, dass tatsächlich alle Kriterien erfüllt und Hürden übersprungen werden, ist nicht einfach. Eine rechtliche Beratung von Expert:innen ist in solchen Fällen dringend zu empfehlen.
Denn das Worst-Case-Szenario liegt auf der Hand: Ein Fehler in der Umsetzung des Teilnehmermanagements führt dazu, dass die gesamte Datenverarbeitung im Hinblick auf alle Teilnehmenden rechtswidrig ist. Bußgelder und Schadenersatzansprüche der Teilnehmenden drohen und können existenzgefährdende Ausmaße annehmen.
Es gibt Themen, die für uns als Versicherungsmakler immer ein wenig schwierig sind, dazu zählt auch der Bereich Datenschutz. Um hier jedoch auch aus Versicherungssicht ein Perspektive bieten und klare Produkte präsentieren zu können, werde ich das Thema Datenschutz noch um den Bereich Cyber erweitern.
Schaut man sich das Gebiet Datenschutz bzw. Datenschutzverletzung an, kommt man schnell auf das Thema Haftpflichtversicherung. Hier spielt es erst einmal keine Rolle, ob man als Eventagentur eine Betriebshaftpflicht hat, als Veranstalter eine Veranstalterhaftpflicht oder als Freiberufler:in eine Berufshaftpflichtversicherung. Die Bedingungen sind hier nahezu identisch und unterscheiden sich nicht groß.
Am Ende geht es um Fehler, die gemacht werden, aber natürlich auch um Schadenersatz. Das heißt, man schädigt mit seinem Verhalten einen Dritten, nämlich die Teilnehmenden und Besucher:innen. Nun handelt es sich hier weder um einen Personen- noch um einen Sachschaden, da weder eine Person verletzt wird noch materielle Dinge beschädigt werden. Aber das Schadenrecht hat eben auch noch ein drittes Schadenszenario, und das ist der sogenannte Vermögensschaden.
Man schädigt also in diesem Fall „nur“ das Vermögen, und das ist auch nicht die Folge eines Personen- oder Sachschadens. Damit sprechen aus der Versicherungssicht von einem „reinen Vermögensschaden“. Und genau hierauf muss man achten. Denn alle sind meist sehr ausführlich und auch hoch bei Personen- und Sachschäden versichert, und man findet oft auch Summen bis hin zu 10 Millionen Euro und mehr. Der reine Vermögensschaden ist jedoch meist auf 50.000 oder 100.000 Euro begrenzt. Das kommt daher, dass diese Vermögensschäden innerhalb einer Berufs-, Betriebs-, aber auch Veranstalterhaftpflicht bisher eher nicht präsent sind, sondern meist eben die Folge des Personen- oder Sachschadens sind. Und auch die Ausschlussliste innerhalb der Bedingungen ist für die reinen Vermögensschäden sehr lang. Somit bleibt am Ende nur wenig übrig. „War ja klar“, würden einige sagen, und ich kann dem nur Recht geben. Aber wie fast immer gibt es auch hier eine Zusatzlösung: die Vermögensschadenhaftpflichtversicherung. Diese Art der Versicherung kümmert sich ausschließlich um reine Vermögensschäden und ergänzt die Betriebs-, Berufs- und Veranstalterhaftpflicht sehr gut. Einige Agenturen haben so eine Versicherung bereits in ihrem Bestand, da gerade dort der Vermögensschaden immer wieder passieren kann. Sei es bei der Verletzung von Urheberrechten, Verwechslung von Terminen etc. Ab und zu gibt es auch Kombiprodukte, die eine vollwertige Vermögensschadenversicherung innerhalb der Betriebs- oder Berufshaftpflichtversicherung integriert haben. Daher ist die Frage nach den Kosten sehr schwierig. Eine reine Vermögensschadenhaftpflicht beginnt bei circa 400 Euro im Jahr, ist jedoch von der Betriebsgröße und -art abhängig.
Eine gute Ergänzung ist eine Rechtsschutzversicherung, denn die Rechtslage ist sehr umfangreich, und bei einem Schaden wird eine passende Vertretung benötigt.
Bisher wurde davon gesprochen, dass man selbst einen Fehler macht und somit für den Schaden verantwortlich gemacht wird. Was passiert aber, wenn man gehackt wird, jemand die Daten stiehlt und diese dann z.B. ins Netz stellt? Und das, obwohl man übliche Sicherungsmaßnahmen vorgenommen hat? So wurden bei manchem Datenklau schon tausende von Kundendaten inklusive der Kreditkartendaten gestohlen und öffentlich gemacht.
Hier stellt sich die Frage, ob man ein Verschulden hat. Daher könnte man sich für so einen Fall mit einer sogenannten Cyber-Versicherung schützen. Sicherlich eine der Versicherungsarten, die in den letzten Jahren eine große Bedeutung bekommen hat. Ich würde sogar provokativ sagen, dass diese wichtiger ist als eine Feuerversicherung.
Die Cyberversicherung hat ein paar Eingangshürden, denn wenn sich ein Unternehmen gar nicht schützt oder zumindest nicht gewisse Sicherungsmaßnahmen wie Firewall, Datensicherung etc. vornimmt, handelt man schon fast vorsätzlich, und das wollen die Versicherer natürlich ausschließen. Diese Versicherung macht also schon eine Vorauswahl und gibt auch Tipps, um einen Schaden zu vermeiden. Sollte er doch einmal vorkommen, wird der Schaden schnell behoben und sich dann auch um die Folgen gekümmert. Versicherte werden also an die Hand genommen, und es wird erklärt, man z.B. mit den Datenerpresser:innen verhandelt und was wo gemeldet werden muss. Sollte es dann wirklich zu einem internen oder externen Schaden kommen, kommt der Versicherer dafür auf. Wir können allen nur dringend ans Herz legen, über so eine Versicherung nachzudenken und idealerweise auch abzuschließen. Hier eine Preisauskunft zu geben ist nicht möglich, da Versicherung sehr individuell berechnet wird.