Betriebsausflüge, Firmenfeiern und Messauftritte sind Firmenevents, die einen großen Beitrag zur Kundengewinnung oder Mitarbeiterzufriedenheit leisten können. Der mit ihnen verbundene Planungsaufwand ist nicht zu unterschätzen – und das bereits ohne Datenschutz. Lezterer wird gerne übersehen, obwohl erhebliche Fallstricke lauern.
Dies ist nicht erst seit der DSGVO so. Bereits zuvor mussten Unternehmen bei der Planung ihrer Events den betrieblichen Datenschutz berücksichtigen. Es existieren mehrere Bereiche, in denen personenbezogene Daten erfasst oder verarbeitet werden können. Dies kann durch den Veranstalter (das Unternehmen) sowie durch externe Partner geschehen. Entscheidend ist es, die richtigen datenschutzrechtlichen Maßnahmen zu ergreifen. Mit diesem Beitrag möchten wir einen Überblick über die wichtigsten Bereiche verschaffen.
Einladung der Gäste
Es fängt bereits mit der Einladung an. Im Vorfeld ist zu klären, ob und auf welchem Weg die einzelne Gäste eingeladen werden dürfen. Meist ist ein Firmenevent als geschäftliche Handlung zu erachten, sodass eine Einladung als Werbung zu erachten ist. Somit können – von wenigen Ausnahmen abgesehen – der digitale Versand per E-Mail oder auch Anrufe die vorherige Zustimmung der Gäste erfordern. Der Versand einer Einladung auf dem Postweg ist hingegen gestattet.
Seit einigen Jahren erfreut sich die Nutzung von Einladungsplattformen im Internet einer steigenden Beliebtheit. Hierbei ist zu berücksichtigen, dass eine Auftragsverarbeitung durch den jeweiligen Plattformbetreiber vorliegen kann.
Auftragsverarbeitung
Zahlreiche Aufgaben, die mit der Vorbereitung und Durchführung von Firmenevents in Verbindung stehen, werden an externe Anbieter ausgelagert. Hierbei ist es möglich, dass diese personenbezogene Daten erfassen oder verarbeiten. Ein Beispiel ist die Erstellung von persönlich adressierten Einladungskarten mitsamt anschließendem Versand.
In solchen Fällen liegt zumeist eine Auftragsverarbeitung vor. Für den Veranstalter bedeutet dies, zunächst prüfen zu müssen, ob ein berechtigtes Interesse besteht, eine Auftragsverarbeitung zu erteilen. Ebenso ob die Daten beim jeweiligen Anbieter ausreichend geschützt sind. Sofern eine Auftragsverarbeitung vorliegt, ist darüber ein Vertrag zu schließen.
Datenminimierung
Gemäß DSGVO ist die Datenminimierung (früher: „Datensparsamkeit“) zu berücksichtigen. Sollte nicht die Notwendigkeit bestehen, einzelne Daten mit Personenbezug zu übermitteln, darf dies nicht geschehen.
Ein Beispiel aus dem Event-Bereich ist die Kommunikation mit dem Caterer. Vor allem bei großen Firmenfeiern ist es nicht ungewöhnlich, dass die Gäste im Vorfeld zwischen einem Fleischgericht und einem vegetarischem Gericht wählen können. Üblicherweise werden solche Daten intern erfasst und ausgewertet. Unter Berücksichtigung der Datenminimierung ist es nicht erforderlich, dem Caterer eine Liste zu übermitteln, welche die Namen und Essenswünsche der einzelnen Gäste enthält. Stattdessen genügt es, die Anzahl der jeweils gewünschten Gerichte zu übermitteln.
Fotoaufnahmen
Auf Firmenevents werden häufig Fotoaufnahmen gemacht, die später auf der Unternehmenswebsite oder gar anderen Medien veröffentlicht werden sollen. In Abhängigkeit von mehreren Faktoren (u.a. den für die Veröffentlichung vorgesehenen Medien) kann es notwendig sein, im Vorfeld von den Betroffenen die Einwilligung für Aufnahme und Veröffentlichung der Fotos einzuholen.
Es gibt aber auch Ausnahmen, vor allem bei größeren Events. Zur datenschutzrechtlichen Absicherung kann es sich empfehlen, die Gäste bereits auf der Einladung auf die geplanten Fotos und deren Veröffentlichung hinzuweisen. Insgesamt ist diese Thematik komplex und sollte daher grundlegend geprüft, vorbereitet und mit dem Fotografen abgesprochen werden. Selbiges gilt übrigens auch für Fotos von Mitarbeitern.
Erfassung personenbezogener Daten vor Ort
Ob Verlosung oder Sammelbox für Visitenkarten: manchmal werden personenbezogene Daten während des Events erfasst. Diesbezüglich bestehen Informationspflichten, d.h. Betroffene müssen nachvollziehen können, aus welchem Grund die Verarbeitung erfolgt und was dabei geschieht. Um der Informationspflicht nachzukommen, bietet es sich an, Informationsblätter an die Betroffenen auszuhändigen oder einen zentralen Aushang zu machen.
Fazit
Der Datenschutz macht vor Events keinen Halt. Planung und Durchführung können eine grundlegende Vorbereitung erfordern. Wir leisten bei diesem komplexen Thema sowie anderen Fragestellungen rund um den Datenschutz gezielte Unterstützung. Als externer Datenschutzbeauftragter stehen wir gerne auch Ihrem Unternehmen zur Seite. Wir sind bundesweit tätig, wie z.B. in Osnabrück oder Leipzig. Für weitere Informationen erreichen Sie uns telefonisch unter 0800 – 5600831 oder über unser Kontaktformular.