§ Veranstaltung 4.0 Image 1

DATENSCHUTZ-GRUNDVERORDNUNG

§ Veranstaltung 4.0

Rechtsanwältin Dr. Mandy Risch-Kerst erklärt, wie sich die neue Datenschutz- Grundverordnung (DS-GVO) auf den Pflichtenkatalog im digitalen Tagungs- und Kongressmanagement auswirkt.

I. Veranstaltungen im digitalen Zeitalter
Tagungen und Kongresse finden sich im Spannungsfeld zwischen Realität und Virtualität wieder. Der Einsatz digitaler Technologien ermöglicht Live- Veranstaltungen mit digitalen Inhalten (sog. „Hybride Veranstaltung“) bis hin zu reinen virtuellen Konferenzen und Tagungen. Die Integration digitaler Elemente innerhalb der Content-Vermittlung lässt die Grenze zwischen virtuellen Inszenierungen und „Hybriden Tagungs- und Kongressveranstaltungen“ fließend verlaufen.

Die Tagungs- und Kongresswirtschaft 4.0 in ihrer Umsetzung zeigt zugleich einen digitalisierten Veranstaltungsorganisationsprozess. Online-Gästemanagement, elektronisches Ticketing mit E-Ticket und Self-Service zur Registrierung bei Kongressen stehen für eine zeitgemäße Veranstaltungsorganisation. Der Einsatz von Event-Apps und Crowdcontrolling zur Messung von Besucherströmen, sowie eine Indoor-Navigation zu Tagungssälen und Sitzplätzen durch digital versierte Kongressveranstalter und Veranstaltungsagenturen hat sich zum Standardkundenwunsch etabliert. Tagungs- und Kongressveranstalter 4.0 bereichern Live-Veranstaltungen mit dem steten Einsatz von Social Media bei der Bewerbung und Nachbereitung mit datenbankbasierten Onlinemarketing-Systemen, Benchmarking, Usertracking, Profiling und offenem WLAN-Hotspots vor Ort.

Die Digitalisierung als Chance zu begreifen, stellt viele Veranstaltungsplaner vor neue Herausforderungen. Der richtige Umgang mit Big Data ist für das oben dargestellte datengestützte digitale Veranstaltungs-Management die Erfolgsgrundlage. Damit sich der Erfolg auch tatsächlich einstellt, sind die datenschutzrechtlichen Fragen, wann eine Erhebung und Verarbeitung von Daten rechtskonform ist, grundlegend.

§ Veranstaltung 4.0 Image 2
Tagungs- und Kongressteilnehmer können ihre personenbezogenen Daten künftig schlicht löschen lassen.
FOTO: CRAIG WHITEHEAD / UNSPLASH

II. Neue europäische Rechtslage durch die Datenschutz- Grundverordnung und BDSG
Ab dem 25. Mai 2018 wird es mit der EU-Datenschutz-Grundverordnung (DS-GVO) und dem neuen Bundesdatenschutzgesetz (BDSG) ein neues einheitliches Datenschutzrecht für Europa und Deutschland geben. Brüssel verfolgt dabei das Ziel den Datenschutz in Europa zu vereinheitlichen und zu verbessern. Die DS-GVO gilt sogar auch für außereuropäische Veranstaltungsunternehmen, wenn diese Waren oder Dienstleistungen im europäischen Markt anbieten. Ebenso gilt sie für Datenverarbeitungen von einem mit einer Niederlassung in der EU ansässigen Veranstaltungsagentur, gleichgültig, ob die Datenverarbeitung der Tagungsoder Kongressteilnehmer selbst in der Union oder einem Drittland stattfindet.

Was viele bisher nicht ernst genommen haben, ist nun Realität. Bereits seit dem 25. Mai 2016 nach Veröffentlichung der DS-GVO im Amtsblatt der EU ist diese in Kraft getreten. Seitdem gilt die zweijährige Übergangsfrist, um sich an die neue Rechtslage anzupassen (Art. 99 DS-GVO). Dem haben sich nur die wenigsten Veranstalter und Agenturen bisher gewidmet.

III. Neuer Pflichtenkatalog für Tagungs- und Kongressunternehmen

Der zukünftige Weg aller Akteure im Tagungs- und Kongressmanagement 4.0. ist es „geeignete technische und organisatorische Maßnahmen“ zu ergreifen, um Datenschutz und Datensicherheit zu gewährleisten. Um den neuen Grundsätzen der DSGVO gerecht werden zu können, sollen etwa so wenige Daten wie möglich erhoben werden; diese sollen so schnell wie möglich pseudonymisiert und – entsprechend festgelegter Löschkonzepte – deren Speicherdauer begrenzt werden. Geschäftsführer sind zukünftig angehalten, technische Geräte und IT-Anwendungen auszuwählen, die so voreingestellt werden, dass nur solche Daten erhoben werden, die für den Zweck der Verarbeitung notwendig sind. Die DS-GVO hält daran fest, dass jede Datenverarbeitung personenbezogener Daten in jeder ihrer Phase aufgrund des damit verbundenen Eingriffs in das Persönlichkeitsrecht der betroffenen Person einer Erlaubnis bedarf. Diese Erlaubnis unterliegt dem Zweckbindungsgrundsatz. Hieraus folgt, dass die Datenverarbeitung für neue Zwecke grundsätzlich nur dann zulässig ist, wenn diese mit dem ursprünglichen Zweck kompatibel sind. Die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, müssen eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der Daten feststehen.

Ad №1



Gerade im Bereich des Marketings treffen hier neue Einwilligungs- und Informationspflichten jedes Veranstaltungsunternehmens. Neben der Überarbeitung der Datenschutzerklärung auf der Website, müssen alle Marketingmaßnahmen unter die „Datenschutzlupe“ genommen werden. Als neue Dokumentationspflicht trifft die Geschäftsleitung zudem die Führung sogenannter Verfahrensverzeichnisse, in denen die internen Prozesse für die Verarbeitung personenbezogener Daten transparent aufgezeigt werden. Im Rahmen der neuen Rechenschaftspflicht des Veranstaltungsunternehmens beim Nachweis einer rechtskonformen Datenverarbeitung, wird die Datenschutzdokumentation in Streitfällen eine zentrale Bedeutung einnehmen. Die Errichtung eines Datenschutzmanagements mit einer dazugehörigen Datenschutzorganisation in Verbindung mit individuellen IT-Compliance-Guidelines wird zur Hausaufgabe einer jeden Geschäftsführung zur Enthaftung bei Datenschutzrechtsverletzungen.

Denn gerade die Betroffenenrechte (z.B. Tagungs- und Kongressteilnehmer), die durch die DS-GVO deutlich gestärkt wurden, können Datenschutzverletzungen sichtbar machen. Es gelten nun umfassende Information- und Transparenzpflichten sowie weitgehende Auskunftsrechte für Besucher/Teilnehmer. Mit diesen neuen Rechten soll es dem Besucher möglichst einfach gemacht werden unentgeltlichen Zugang zu ihn betreffenden personenbezogenen Daten zu erhalten und deren Berichtigung, Löschung, eingeschränkte Verarbeitung und Übertragung erwirken zu können. Der Tagungs- und Kongressveranstalter soll zur schnellen und unkomplizierten Rechteausübung des Besuchers/ Teilnehmers eine elektronische Antragstellung gewährleisten. Zusätzlich ist er verpflichtet, Anträge Betroffener unverzüglich spätestens aber innerhalb eines Monats zu beantworten und im Ablehnungsfalle zu begründen.

IV. Konsequenzen
Wir diese Hausaufgabe verschläft und den Kopf in den Sand steckt, verstößt zukünftig gegen geltendes Recht und riskiert u.a. Bußgelder in empfindlichen Höhen. Mit dem neuen Sanktionsrahmen der DSGVO können im Extremfall ein Bußgeld bis zu vier Prozent des weltweiten Vorjahresumsatzes eines Veranstaltungsunternehmens betragen. Die Einhaltung und Umsetzung der durch die DS-GVO vorgegebenen Schutzmodule zeigen den datenschutzkonformen Weg für Tagungs- und Kongressveranstaltungen 4.0 klar auf. Der Countdown läuft für Geschäftsführer ihr Unternehmen IT-compliant und damit zukunftssicher zu machen. Der Slogan „Datenschutz ist Chefsache“ ist nicht mehr als Werbespruch zu verstehen.  DR. MANDY RISCH-KERST
 


STEIGENBERGER HOTELS & RESORTS

Studie bestätigt Nachholbedarf

Rund jeder zweite Veranstaltungsplaner hat entweder noch nichts von der neuen am 25. Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DS-GVO) gehört (29% der Befragten), beziehungsweise keine genaue Vorstellung davon, was die DS-GVO für den beruflichen Alltag bedeutet (24%). Das ergab eine detaillierte Marktforschungsstudie der Steigenberger Hotels & Resorts und des Fachmagazins tw tagungswirtschaft. In 132 ausführlichen, durchschnittlich 17 Minuten dauernden Gesprächen, gaben Planer und Organisatoren von Tagungen und Firmen-Events nun darüber Auskunft, welche Rolle der Datenschutz bei der Veranstaltungsplanung spielt und wie sie sich eine datenschutzkonforme Zusammenarbeit mit Hotels vorstellen. Die Studie bescheinigt vielen veranstaltenden Unternehmen einen enormen Nachholbedarf in puncto Datenschutz: Bei mehr als der Hälfte aller Außer-Haus- Veranstaltungen, die in den letzten drei Jahren stattgefunden haben, wurden keine Datenschutzvereinbarungen mit den Hotels getroffen. Lediglich ein Drittel der Firmen handhabt den Datenschutz nach eigener Aussage konsequent. Das ist vor allem vor dem Hintergrund überraschend, als dass 89% der befragten Veranstaltungsplaner die Verträge mit den Veranstaltungshotels selbst abschließen. Weitere Fakten, die die Studie zu Tage fördert, sind zum Beispiel, dass 77% sinnvoll fänden, würden Hotels proaktiv das Thema Datenschutz ansprechen, dass 78% mit Hotels keine festgelegten Fristen zur Löschung personenbezogener Daten vereinbaren, oder dass sich 86% nicht bestätigen lassen, dass alle Mitarbeiter eines Hotels zum Datenschutz verpflichtet sind. „Die Ergebnisse der Studie bestätigen, dass weiterhin Unsicherheiten bezügliche eines umfassenden und rechtskonformen Datenschutzes besteht“, sagt Mark A . Cano, Verlagsleiter der tw tagungswirtschaft. „Einen proaktiven Umgang der Veranstaltungshotels mit der Thematik empfinden viele Planer als Pluspunkt bei der Hotelauswahl.“ Schreiben Sie uns, in welcher Form es für Sie beim Datenschutz noch Informationsbedarf gibt. Auf Wunsch erhalten Sie eine Zusammenfassung der Studienergebnisse:
                              
funk@tw.media.com
DS-GVO: Vor allem Marketing- Maßnahmen werden künftig unter die Datenschutzlupe genommen.

§ Veranstaltung 4.0 Image 8
Dr. Mandy Risch-Kerst ist Rechtsanwältin und Fachanwältin für IT-Recht & Gewerblichen Rechtsschutz, Lehrbeauftragte und Gründerin der Kanzleikooperation Eventlawyers für die Veranstaltungs-, Sicherheits- und Kreativwirtschaft mit dem Hauptstandort Berlin.

FOTO: EVENTLAWYERS
Datenschutz