„Jetzt kommt die Erwachsenenversion“ Image 1

EU-DATENSCHUTZGRUNDVERORDNUNG

„Jetzt kommt die Erwachsenenversion“

Am 25. Mai 2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Daten spielen bei Veranstaltungen eine immer wichtigere Rolle. Experten raten Unternehmen, sich schnellstmöglich mit der Thematik auseinanderzusetzen.

D
ie Veranstalter des kalifornischen 
Coachella Valley Music and Arts Festival
, Goldenvoice, erlebten Ende Februar dieses Jahres einen Alptraum: Die Sparte der Anschutz Entertainment Group (AEG) beklagt einen gigantischen Datenklau. Über 950.000 Nutzerkonten der Coachella-Webseite wurden gehackt und vom Pseudonym „Berkrut“ im Darknet zum Verkauf angeboten. AEG bestätigt, dass es sich bei den Daten um Vor- und Nachnamen, Nutzernamen, die postalischen und die E-Mail- Adressen, Telefonnummern und Geburtsdaten der Nutzer handelt. Auch wenn unter den gestohlenen Daten keine Bank- und Kreditkarteninformationen enthalten sind, besteht laut Experten Grund zur Sorge. Sicherheitsfirmen warnen die User nicht nur vor Phishing-Mails (Betrugs-Mails, um an persönliche Daten zu gelangen), Dritte könnten mit den Daten auch Tickets stornieren oder sie zum Weiterverkauf anbieten.

Ob oder welchen Schaden das beliebte Musik- und Hippiefestival – die jährlich an zwei Wochenenden im April stattfindende Veranstaltung lockt insgesamt nahezu 200.000 Besucher auf das Festivalgelände – davongetragen hat, war bei Redaktionsschluss war noch nicht abzuschätzen. Ein Imageschaden steht aber außer Frage. In Europa drohen Veranstaltern künftig jedoch nicht nur Imageschäden. Sollten persönliche Daten beispielsweise ohne Einwilligung der Nutzer gespeichert werden, werden empfindliche Strafen fällig. Denn in einem Jahr tritt die 
neue EU-Datenschutzgrundverordnung (DSGVO)
 in Kraft. Und die „hat es in sich“, wie Rechtsanwalt Thomas Waetke erklärt.

„Was jetzt auf dem Markt ist, ist Kinderkram. Jetzt kommt die Erwachsenenversion. Stecken Sie besser mal die Nase rein, am besten gestern“, warnt der auf Eventrecht spezialisierte Anwalt auf der Messe Best of Events International (BOE) in Dortmund. Wie Waetke erklärt, seien unzählige Details zu beachten und jedes Unternehmen sei davon betroffen. „Es gibt keine Firma, die nicht eine Anpassung an die neuen Vorgaben vornehmen muss.“ Nicht nur, dass beispielsweise alle Datenschutzerklärungen und Datenschutzeinwilligungen angepasst werden müssten, bei Verstößen gegen die neue Verordnung würden Bußgelder in Höhe von bis zu 20 Mio. Euro fällig. Als Waetke die Zahl nennt, wird den Zuhörern klar, warum das aktuelle Bundesdatenschutzgesetz Kinderkram sei. Bisher lag die Grenze bei 300.000 Euro.

„Jetzt kommt die Erwachsenenversion“ Image 2
Veranstaltungsbesucher im Fokus: Welche persönlichen Daten existieren von mir und wie werden diese eingesetzt?
FOTO: RE:PUBLICA / GREGOR FISCHER (CC BY 2.0)

Bis zum 25. Mai 2018 muss das Bundesinnenministerium die DSGVO in deutsches Recht umsetzen.
Doch die ersten Entwürfe zum sogenannten Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG-EU) stießen bei Datenschützern auf massive Kritik und wurden bislang abgelehnt. Da hilft es auch nicht, dass Bundeskanzlerin Angela Merkel warnt, zu viel Datensparsamkeit könne Deutschland zum „digitalen Entwicklungsland“ werden lassen.

Die Politik sucht nach einem Konsens. Auf einer Podiumsdiskussion auf der Cebit am 22. März 2017 loben Politiker wie der FDP-Bundesvorsitzende Christian Lindner oder der SPD-Bundestagsabgeordnete Lars Klingbeil die kommende DSGVO zwar grundsätzlich, warnen aber vor einem zu engen Regulierungsrahmen und einem falschen Umgang mit dem Thema Datenschutz. Lindner: „Wir müssen in Deutschland endlich zu einer Kultur hinkommen, in der wir Chancen sehen und nicht immer nur vor Risiken warnen.“ Klingbeil sieht das ähnlich: „Daten fallen an und daraus entstehen neue Geschäftsmodelle“, ist er überzeugt. Er propagiert: „Keine Datensparsamkeit, aber Datensicherheit!“



Sicherheit der persönlichen Daten und die Hoheit darüber sind das Thema bei Richard Werners Vortrag im Security Forum am Mittwoch der Cebit. Der Mitarbeiter des IT-Sicherheits-Unternehmens Trend Micro erinnert an einen
Artikel der Schweizer Zeitung „Das Magazin“
, der Ende des letzten Jahres für Aufsehen sorgte. Dort wird beschrieben, wie Big Data dem amerikanischen Präsidenten Donald Trump ins Amt verholfen haben soll. Das Unternehmen Cambridge Analytica habe im Auftrag Trumps Daten aus sozialen Netzwerken für „Better audience targeting“ genutzt. Der Artikel erklärt, wie verschiedene Facebook-Likes dabei halfen, Persönlichkeitsprofile zu erstellen, um potenzielle Trump-Wähler zu identifizieren und mit gezielter Wahlwerbung zu beeinflussen.

„Es kann also jemand all diese Daten für Zwecke nutzen, von denen ich gar nichts weiß. Dabei will ich doch selbst entscheiden, was mit meinen Daten passiert und wer was damit macht“, sagt Werner. „Es liegt in meinem ureigenen Interesse, dass es solche Fälle erst gar nicht gibt. Und genau dafür gibt es die DSGVO.“ Künftig müsse jedes Unternehmen im Prinzip ad hoc in der Lage sein, Kunden sagen zu können, welche Daten vorhanden sind, wo sie gespeichert werden und wofür sie gebraucht werden“, so der Sicherheitsexperte.

„Jetzt kommt die Erwachsenenversion“ Image 5
Hacker haben die Daten von über 950.000 Nutzerkonten der Webseite des Coachella-Festivals geklaut.
FOTO: RE:PUBLICA / GREGOR FISCHER (CC BY 2.0)

Doch es gebe weitere Risiken. „Auch wenn Sie als Unternehmen nach bestem Wissen und Gewissen die Ihnen anvertrauten persönlichen Daten verwalten und alle Datenschutzerklärungen und -einwilligungen angepasst haben – verlieren Sie die Daten beispielsweise durch einen Hackerangriff, verstoßen Sie gegen die Richtlinie, das muss Ihnen bewusst sein.“ Datenverlust führe zu personalisierten Angriffen und ab 2018 würden Unternehmen für eventuelle Schäden zahlen. Laut Gesetz müssen die Unternehmen sich nach „Stand der Technik“ schützen. Werner rät, es bloß nicht bei Mindestanforderungen zu belassen. „Da sollten Sie Vorsicht walten lassen.“

Das Ganze lässt Veranstaltungsplaner natürlich aufhorchen. Denn gerade bei Konferenzen, Meetings und Messen sind unzählige persönliche Daten im Umlauf – bei der Registrierung im Vorfeld, durch Nutzungsdaten von Event-Apps, durch die Kommunikation mit E-Mails, Daten aus sozialen Netzwerken, Bewegungsdaten von Handys, Besuche von Webseiten, Beacons usw. Dass das Thema Datensicherheit die Branche bei den drohenden drakonischen Strafen bei Nichteinhaltung der Datenschutzgesetze beschäftigt, ist nur verständlich.

DSGVO IN ALLER KÜRZE

Rechtsanwalt Prof. Dr. Rainer Erd über die kommende Datenschutzgrundverordnung (DSGVO):

1. Die bisherigen Grundsätze des deutschen Datenschutzrechts (Zweckbindung Datensparsamkeit, Transparenz) werden beibehalten.

2. Neu sind umfangreiche Informationspflichten des Datenverarbeiters (Art. 13, 14 DSGVO), die zur Folge haben, dass die meisten Datenschutz-Erklärungen von Unternehmen überarbeitet werden müssen.

3. Neu ist auch, dass mit der Einführung des Marktortprinzips (Art. 3) ausländische Unternehmen wie Amazon, Google, Facebook sich nicht mehr darauf berufen können, europäisches Datenschutzrecht finde für sie keine Anwendung.

4.
Die Anforderungen an die „Einwilligung“ als zentraler Begriff für die Zulässigkeit von Datenverarbeitung werden einerseits gelockert, andererseits verschärft. Es ist zwar nun möglich, dass eine Einwilligung in Datenverarbeitung auch mündlich erklärt wird, aus Beweisgründen wird dies aber wohl kaum in Betracht kommen. Andererseits muss das Ersuchen um Einwilligung "in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" erfolgen (Art. 7 Abs. 2). Bereits ausgefüllte Kästchen auf Internetseiten sind unzulässig.

5. Neu ist auch, dass Verbraucher/Kunden neben dem Recht auf Löschung ein „Recht auf Vergessenwerden“ (Löschung aller Links) bekommen (Art. 17 Abs. 2).

6.
Eine große Erleichterung für Verbraucher ist das neu eingeführte „Recht auf Datenübertragbarkeit“ (Art. 20). Beim Wechsel von einem zum anderen Provider hat der Verbraucher jetzt das Recht, dass der Datenerhebende die Daten an den neuen Provider übermitteln muss.

7.
Eine Erweiterung zu Gunsten der Verbraucher haben auch die notwendigerweise einzuführenden technischorganisatorischen Maßnahmen gefunden.

Das wurde zuletzt deutlich, als die Deutsche Hospitality (Steigenberger Hotels and Resorts, Intercity- Hotel und „Jaz in the City“) die Business Target Group (BTG) mit einer quantitativen Marktforschungsstudie beauftragt hat (siehe tagungswirtschaft 1/2017, Seite 60). Entlang der Customer Journey von Veranstaltungsplanern haben die Marktforscher 100 ausführliche Telefoninterviews mit Corporate- Kunden der Deutschen Hospitality geführt. Auf die Frage, welches Kriterium die wesentliche Relevanz für die Zufriedenheit bei der Durchführung einer Veranstaltung für die Planer hat, ist nicht etwa Tageslicht oder Ähnliches, sondern Datensicherheit der überraschende Spitzenreiter.

„Das hat uns überrascht, auch deswegen, weil es keine vorgegebene Antwortoption war, sondern vielfach als freie Formulierung geäußert wurde“, so Lars Formanek, Director Commercial bei der Deutschen Hospitality, zur Studie. „Obwohl oder gerade weil Datensicherheit bereits ein gesellschaftlich rege diskutiertes Thema ist, wirft dies die Frage auf, wie das Ergebnis zu interpretieren ist“, so Formanek. Die Deutsche Hospitality plant daher eine weitere Umfrage explizit zum Thema Datensicherheit. Wegen der kommenden DSGVO ist die Deutsche Hospitality daher doppelt sensibilisiert und prüft, ob die bestehenden Datenschutzrichtlinien im eigenen Unternehmen angepasst werden müssen.

Selbes gilt beispielsweise bei Xing Events, in deren Geschäftsmodell persönliche Daten eine zentrale Rolle spielen. Wie PR-Manager Antje Schwuchow bestätigt, prüft Xing Events derzeit, ob eine Anpassung nötig ist. Entscheidend sind aus Sicht von Experten zwei Dinge: Dass alle Datenschutzerklärungen und Datenschutzeinwilligungen an die DSGVO angepasst werden und dass man sich bestmöglich gegen Angriffe von außen schützt. Das Coachella Festival kann ein Lied davon singen.  CHRISTIAN FUNK
 

www.eventfaq.dewww.datenschutz-grundverordnung.eu

FORTBILDUNGEN

Neues Datenschutzrecht für Veranstaltungshäuser
21. - 22.06.2017 im Intercity Hotel München; EVVC Akademie; Referent: Dr. Mandy Risch- Kerst. 
www.evvc.org/de/service/evvc-akademie
 

Die neue europäische Datenschutz-Grundverordnung ab 2018 – was müssen Sie beachten?
11.07.2017 im Congress Center Rosengarten Mannheim; IECA: Internationale Event- & Congress- Akademie; Referent: Prof. Dr. Rainer Erd.
www.ieca-mannheim.de
„Es gibt keine Firma, die nicht eine Anpassung an die neuen Vorgaben vornehmen muss.“
Thomas Waetke, Rechtsanwalt
Datenschutz