Datenschutz im Veranstaltungsmanagement

Transcript

1. Datenschutz im Veranstaltungsmanagement PRICONA – Betriebliches Datenschutzmanagement | Benjamin Bolzmann,

   behDSB

2. Disclaimer Dieses Informationsangebot ist unverbindlich und stellt keine Rechtsberatung im

   Sinne des Rechtsdienstleistungsgesetzes dar! Der Inhalt kann und darf eine individuelle und verbindliche Rechtsberatung nicht ersetzen. Alle angebotenen Informationen sind ohne Gewähr auf Richtigkeit und Vollständigkeit.

3. Inhalte Die Basics 01. Vor dem Event 02. Während des

   Events 03. Nach dem Event 04. Goodies 05. Datenschutz auf öffentlichen und nicht-öffentlichen Events – Kompaktwissen für Eventmanager

4. Seite 4 Die Basics Datenschutz = • Schutz vor missbräuchlicher

   Verwendung • Schutz des Rechts auf informationelle Selbstbestimmung • Schutz des Persönlichkeitsrechts • Schutz der Privatsphäre “Jeder Mensch darf grundsätzlich darüber entscheiden, wem wann welche seiner persönlichen Daten zugänglich sein sollen”

5. Seite 5 Who is who 01. Adressdaten Mitarbeiter Adressdaten Kunden

   Verantwortlicher 02. Erhält die Adressdaten für die Einladungen Eventagentur 03. Software-Anbieter für Einladungsmanagement, Personal für Einlasskontrolle Subunternehmer 04. Das wichtigste “Element” in der Kette Betroffener

6. Seite Wann erlaubt – wann nicht? 6 Personenbezogene Daten dürfen

   grundsätzlich nicht verarbeitet werden, es sei denn, es gibt ... Tipp: Arbeitet solange es möglich ist mit einer gesetzlichen Grundlage und erst dann mit der Einwilligung der Betroffenen: - Erfüllung eines (Vor-)Vertrags - Berechtigtes Interesse mit Interessensabwägung - Leider meist nur auf das Event selbst reduziert durch die betroffene Person (informiert & freiwillig) das die Verarbeitung erlaubt oder anordnet Gesetz Einwilligung

7. Seite 7 Rechte der Betroffenen Deutliche Verstärkung der Rechte der

   Betroffenen nach der DSGVO 1 2 3 Welche Daten werden zu welchem Zweck erhoben/verarbeitet? Informationspflicht Auf berechtigte Anfrage muss eine Auskunft folgen Auskunftsrecht Daten dürfen zu Mitbewerber übernommen werden (selten) Datenübertragbarkeit

8. Seite 8 Rechte der Betroffenen Deutliche Verstärkung der Rechte der

   Betroffenen nach der DSGVO 5 6 4 (vs. berechtigte Gründe wie z.B. Aufbewahrungsfristen) Recht auf Löschung Falsche Daten müssen korrigiert werden Recht auf Berichtigung z.B. Kontakt nur via Post, E- Mailadresse muss gelöscht werden Recht auf Einschränkung

9. Vor dem Event Akquise & Werbung | Dienstpläne | Dokumentation

   | Wahl der Tools |

10. Seite Einladungen 10 Einladungen ohne vorliegende Zustimmung Per Post: Immer

    möglich. Daten des Verantwortlichen: Vertragliche Zusicherung (AVV) Unbekannte: Niemals per E-Mail. Bestehende Geschäftsbeziehung: Per E-Mail möglich* Hauptgäste Die anonyme Abfrage beim Hauptgast ist stets bedenkenlos (Personenanzahl) (Begleitungen) * “aktive”, niemals E-Mailadressen in das “An”-Feld

11. Seite 11 Dienstpläne Beschäftigte genießen auch Datenschutz! Dienstpläne dürfen nur

    an Orten ausgehängt werden, die nicht öffentlich zugänglich sind. Nur so können Veranstalter gewährleisten, dass die Übermittlung der Daten ausschließlich an befugte Personen erfolgt.

12. Seite 12 Dokumentation Vertrag mit Auftraggeber und allen Auftragnehmern schließen,

    wenn Daten auf Weisung verarbeitet werden sollen (AVV) Auftragsverarbeitungen Die informierte Einwilligung des Betroffenen sollte gut vorbereitet und auf das Event angepasst werden. (Anmeldung, Datenschutzerklärung, ...) Einwilligungen Selbiges gilt für die “Datenschutzerklärung” und Vor-Ort-Hinweise, also der Information an Betroffene was wie wann mit seinen Daten geschieht. Information

13. Seite 13 Wahl der Tools z.B. Ticketing-Software, Einlasskontrollsysteme, Videoüberwachung, Newslettersysteme,

    XING/LinkedIn/Co., ... 1 2 3 Drittstaatenübermittlung? Datenübermittlung Schutz als Standardeinstellung Privacy by Default Schutz in Technikgestaltung Privacy by Design Privacy Shield der EU und den USA: https://www.privacyshield.gov/list Argentinien, Andorra, Guernsey, Isle Of Man, Jersey, Kanada, Neuseeland, Israel, Schweiz, Färöer Inseln, Uruguay Drittländer ohne angemessenes Datenschutzniveau? 1.) Einwilligung oder Notwendigkeit zur Erfüllung eines Vertrags 2.) „Ausreichende Garantien“ wie Vertragsklauseln oder BCRs

14. Während des Events Personalausweise | Fotos & Videos | Gästelisten

    / Digitalisierung

15. Seite 15 Personalausweise Personalausweisgesetz beachten! • Nur Identitätsnachweis – keine

    Erhebungsgrundlage • Kopie muss als solches erkennbar sein (“KOPIE”) • Freiwilligkeit und Einverständnis • Datensparsamkeit beachtet? • Kopie nur mit Einverständnis • Darf niemals “Pfand”/Sicherheit sein (Führerschein im Übrigen auch nicht) Bußgelder: Bis zu 30.000 Euro ps: Nehmt Smartphones oder Smartwatches

16. Seite 16 Fotos und Videos 01. Wurde nicht von der

    DSGVO verdrängt (Stellungsnahme BMI) • “Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden.“ (§ 22 Satz 1 KUG) • Einwilligung gilt im Zweifel als erteilt, wenn der Abgebildete eine Entlohnung erhielt. (vgl. § 22 Satz 2 KUG) Ohne Einwilligung dürfen verbreitet und zur Schau gestellt werden: • Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben (§ 23 Abs. 1 KUG) Kurzgesagt: • Übersichtsaufnahmen sind okay, Porträt von Teilnehmern nicht • Akkreditierte bzw. externe Fotografen sind nicht dem Veranstalter zuzuordnen („Pressefotos“) • Professionelle Fotografen kennen ihre rechtlichen Rahmenbedingungen sehr gut. Kunsturhebergesetz

17. Seite 17 Fotos und Videos 02. Es gilt: Recht am

    eigenen Bild! • Irrtum: Ab x Personen braucht man kein Einverständnis • Irrtum: Wenn jemand für ein Foto posiert, darf ich es verbreiten. • aber: kein Recht auf das eigene Bild, wenn Person(en) nur Beiwerk sind Einholung der Einwilligung nicht praktikabel: • „Wahrnehmung berechtigter Interessen“ (Art. 6 Abs. 1 lit. f DSGVO) mit Interessensabwägung • Informationspflichten nicht vergessen! Gerne auch auf dem Ticket, auf der Webseite oder in der Einladung. Kurzgesagt: • Einwilligung abhängig von äußeren Umständen (Anzahl, Stoßmengen, Einlassmanagement, ...) • Bilder niemals für Werbung nutzen! Einwilligung der Betroffenen

18. Seite Gästelisten 18 Sind einsehbar, können verloren gehen, können missbraucht

    werden Gedruckte Gästelisten vermeiden! 01. Digitale Gästelisten: Mittels Tablet oder Smartphone QR-Code-Scan (on- und offline), Check-In-Apps, Autovervollständigung nach Namen auf der Gästeliste Digitalisiert euch! 02.

19. Nach dem Event Werbeeinwilligung & Zweckbindung | Newsletter | Hilfe

    & Unterstützung bei Fragen

20. Seite 20 Werbeeinwilligung Die freiwillige, informierte und aktive Einwilligung der

    Betroffenen ist für E-Mails perfekt. + Abmelden-Link und Impressum! Opt-In immer perfekt Inhalt der Einwilligung / Information darf nicht “großzügig ausgelegt” werden. Daten dürfen nicht zu einem anderen Zweck als versprochen genutzt werden. Zweckbindung nicht vergessen! E-Mails grundsätzlich* unverfänglich, sofern das Wesen der Sache nicht verändert wird. Teilnehmer Event X => Einladung zu Event Y Die bestehende Geschäftsbeziehung

21. Seite 21 Newsletter Zustimmung zur Einladung via E-Mail = keine

    Zustimmung zum allgemeinen Newsletter Zustimmung zur EInladung via E-Mail = Zustimmung zum Newsletter zur gewählten Veranstaltung (CTA!) Newsletter immer via Opt-In: Ausdrückliche Einwilligung der Betroffenen

22. Seite 22 Hilfe & Unterstützung 1. Anlaufstelle: Datenschutzbeauftragter der eigenen

    Stelle 2. Anlaufstelle: Aufsichtsbehörde (lfd.Niedersachsen.de) Mo, Mi, Fr: 09:00 – 12:00 Uhr Vereinshotline: 0511-120-4576 3. Anlaufstelle: Rechtsanwälte mit Spezialisierung auf Datenschutz und IT 4. Anlaufstelle: Weitere Datenschutzbeauftragte, die ihr kennt ;-) Keine Anlaufstellen: Menschen, die sagen, sie wüssten die richtige Antwort auf eure Frage Internetforen (vor allem nicht Welpenseiten und Kunsthandwerker) Facebook Timeline, Aufrufe auf Twitter, Youtube-Kommentarspalte

23. “Goodies” Vordrucke | Formulare | Verträge

24. Viel Erfolg!