Als im Mai 2018 die europäische Datenschutzgrundverordnung in Kraft getreten ist, hat das weitreichende Folgen für Veranstaltungsplaner*innen gehabt. Insbesondere im Teilnehmermanagement, wo die Gästedaten gesammelt und verarbeitet werden war dieser Einschnitt spürbar: Datenverarbeitungsprozesse mussten überprüft und angepasst werden.
Auch heute gibt es immer noch – oder immer wieder – Unsicherheiten in Bezug auf die Einhaltung der EU-DSGVO. Zudem hat der coronabedingte Boom von virtuelle Events neue Fragen aufgeworfen: Wie steht es um den Datenschutz bei virtuellen Events? Mit welchen Tools und Anbietern können DSGVO-konforme Online-Veranstaltungen durchgeführt werden?
Die Datenschutzgrundverordnung umfasst 99 Artikel. Wir haben an dieser Stelle eine kurze Übersicht mit den wichtigsten Punkten zum Datenschutz für Events zusammengestellt.
Datenminimierung und Zweckbindung. Die sogenannte Datensparsamkeit besagt, dass immer so wenig Daten wie möglich erfasst werden sollen. Nur die für den Zweck unbedingt benötigten Daten werden erhoben. Veranstalter*innen sollen sich zum Beispiel fragen, ob sie die privaten Adressen ihrer Teilnehmer*innen brauchen. Werden Goody Bags versandt? Dann darf die Privatadresse erhoben werden. Ist das Event rein virtuell? Dann genügen wahrscheinlich Name und E-Mailadresse. Besonders sensible Daten wie z.B. Gesundheitsdaten unterliegen außerdem einem besonderen Schutz, sie dürfen nur bei berechtigtem Interesse und mit Einwilligung der Personen erhoben werden. Das betrifft z.B. Fragen zu Lebensmittelunverträglichkeiten. Hier muss dann sichergestellt werden, dass die Daten auch beim Cateringunternehmen geschützt sind.
Selbstbestimmung. Das kleine Kästchen, das auf das zustimmende Häkchen wartet, ist inzwischen aus keinem Registrierungsprozess mehr wegzudenken. Personenbezogene Daten dürfen nur mit der Zustimmung der betroffenen Personen gespeichert werden. Registrierungsformulare müssen deshalb immer die aktive Zustimmung der Teilnehmer*innen einholen.
Transparenz. Teilnehmer*innen haben das Recht zu wissen, welche Daten von ihnen wie gespeichert werden. Veranstalter*innen brauchen für diese Transparenz den Überblick über gespeicherte Daten und die Speicherorte. Sollen sie Auskunft geben, so sollte die Datenübersicht schnell zur Hand sein. Mit dem Recht zu wissen geht auch das Recht auf Vergessen einher. Teilnehmer*innen können die Löschung ihrer Daten verlangen. Deshalb empfiehlt es sich, ein Löschkonzept zu entwerfen mit dem schnell auf derartige Anfragen reagiert werden kann.
Verschlüsselung. Der erste Schritt ist die sichere Übertragung von personenbezogenen Daten. Daten müssen geschützt werden. Webseiten auf denen die Daten der Teilnehmer*innen über Registrierungsformularen erfasst oder während virtueller Events gesammelt werden müssen deshalb ausreichend verschlüsselt und immer auf dem aktuellen Stand sein.
Double Opt in Verfahren. Um die aktive Zustimmung der Teilnehmer*innen zu dokumentieren, bietet sich das Double Opt in Verfahren an. Das bedeutet, dass nach der Registrierung eine Bestätigungsmail versendet wird, in der über einen Link um die aktive Zustimmung zur Datenverarbeitung gebeten wird. Erst wenn die Teilnehmer*innen über eine Klick auf den Link aktiv bestätigen, dass ihre Daten verarbeitet werden dürfen, ist eine Speicherung erlaubt.
Serverstandorte und Speicherorte. Um von der EU-DSGVO zu profitieren, müssen die Daten auch in der EU verbleiben und hier sowohl verarbeitet als auch gespeichert werden. Dienste, die ihre Daten z.B. in den USA speichern, sind deshalb ein Problem für Veranstalter*innen. AirLST z.B. hostet deshalb alle Daten, die über das Teilnehmermanagement-Tool gespeichert werden in Frankfurt. So sind die Daten in Deutschland und werden auch während der Verarbeitung nicht über die USA oder andere Nicht-EU-Staaten geschickt.
Bei virtuellen Events melden sich alle Teilnehmer*innen über Ihre Computer auf der Eventplattform an. Schon die IP-Adress wird dabei als personenbezogenes Datenmaterial definiert. Auch wenn das Event ein offenes ist und keine Registrierung notwendig ist, ist deshalb eine Zustimmung der Einwählenden nötig. Auch wenn Interaktionen, Videos, oder gemeinsam genutzte virtuelle Whiteboards genutzt werden, ist es unabdingbar vorab die Zustimmung der Teilnehmenden einzuholen. Das gilt insbesondere, wenn diese Interaktionen aufgezeichnet und später veröffentlicht werden. Werden in virtuellen Discussion Rooms sensible Unternehmensdaten besprochen oder veröffentlicht, müssen diese besonders geschützt werden. Hier sollten auch Teilnehmer*innen explizit auf die Vertraulichkeit der Daten hingewiesen werden.
Allgemein lässt sich zusammenfassen, dass Teilnehmer*innen, Nutzer*innen, aber auch Eventmanager*innen weiterhin für den Schutz von Daten sensibilisiert werden sollten. Das Bewusstsein für sensible Informationen muss geschult werden, gleichzeitig baut fundiertes Wissen Barrieren und Ängste ab. So kompliziert ist das Ganze nämlich gar nicht und es gibt Tools, Mittel und Wege Events unkompliziert datensicher zu gestalten.
Im Oktober 2021 haben wir die Herbstkonferenz des Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. begleitet. Unter dem Motto "Wirtschaft trifft Aufsicht. Digitalisierung gestalten: Herausforderungen der modernen Arbeitswelt“ hat sich der Berufsverband in Präsenz in München und virtuell auf unserer Plattform getroffen. Selbstverständlich alles EU-DSGVO-konform. Unsere Server stehen in Frankfurt und auch mit Big Blue Button setzen wir auf ein deutsches Konferenzsystem, das wir individuell modifizieren. Im Live-Stream und in Breakout-Rooms wurde von ca. 300 eingeloggten Besucher*innen u.a. über den Umgang mit Datenpannen, das Verhältnis von Datenschutz und Social Media oder Datenschutz im Personalwesen diskutiert.
Weiterführende Quellen:
Fraunhofer-Institut für Sichere Informationstechnologie SIT: Auswahl und Nutzung webbasierter Kommunikationsdienste in Zeiten von Corona. Datenschutz und Datensicherheitsaspekte, 2020, https://www.athene-center.de/fileadmin/content/PDF/Onlinetools-Whitepaper.pdf?_=1589355004
Sign up now - Sign up for the free AirLST product webinar on June 15, 2024 at 15:00
Sign up now - Sign up for the free AirLST product webinar on June 15, 2024 at 15:00