Kein Thema war im Frühjahr dieses Jahres – auch im Eventbereich – so heiß wie die EU-weit eingeführte Datenschutz-Grundverordnung – die DSGVO. Ein Großteil der damit im Zusammenhang in sämtlichen Medien verbreiteten Veröffentlichungen malte das Schreckgespenst der Abmahnungen und hohen Strafen an die Wand. Und passend dazu wurden von allen Seiten gern schon einmal passende, kostenpflichtige Seminare oder Webinare angeboten. Anwalt zu sein, war in diesen Zeiten wahrscheinlich nicht die schlechteste Berufswahl gewesen. Wir wollen hier noch mal schauen was auf die Eventkommunikation und das Gästemanagement tatsächlich in Zukunft zukommt.
Die DSGVO trifft alle Marketingkanäle, die mit Kundendaten umgehen gleichermaßen. Gerade aber im Eventbereich, zu dessen Hauptgeschäft es gehört, Besucher und Gäste zu Veranstaltungen, Meetings, Messen, Kongressen, Incentive-Reisen, Produkt-Launches, Jubiläen, Presse-Events, und, und, und einzuladen, werden eine große Menge an personenbezogenen Daten verarbeitet.
Werfen wir einen Blick auf die Punkte, die den Eventbereich am meisten betreffen.
Einer der wichtigsten Bereiche ist das Teilnehmermanagement:
Gesetzliche Erlaubnis zur Datenverarbeitung
Vergleichbar mit Newslettern, die Sie abonniert haben, muss der Empfänger in die Verarbeitung seiner Daten (Teilnehmerlisten, Flugbuchungen, Hotelunterkunft, Programmteilnahme, Mietwagen etc.) einwilligen. Dies gilt auch für Datensätze, die der Kunde der Eventagentur zur Verfügung stellt. Das sind die Basics, sozusagen die Grundvoraussetzung für die weiteren Schritte.
Auskunftspflicht
Jeder Bürger hat das Recht zu erfahren, ob und welche Daten von ihm wo gespeichert sind. Wenn also ein Interessent wissen möchte, ob wir noch Daten von ihm gespeichert haben, weil er einmal auf einem Event war, dann muss diese Anfrage wahrheitsgemäß beantwortet werden. Dazu zählt übrigens auch die Pflicht eine Auskunft zu erteilen, wenn keine Daten vorliegen.
Recht auf Vergessen
Jeder Teilnehmer einer Veranstaltung kann fordern, dass seine Daten nach dem Event gelöscht werden. Es empfiehlt sich also, alle personenbezogenen Daten, die im Rahmen der Eventvorbereitung verarbeitet werden, konzentriert und separat zu speichern, um die Löschung von Daten sicher zu stellen und den Arbeitsaufwand gering zu halten.
Datensicherheit
Hier kommen die technischen und organisatorischen Maßnahmen zum Zuge, die die Sicherheit vor Datenmissbrauch garantieren. Dazu gehören z. B. der Passwortschutz auf Rechnern und Mobiltelefonen, die Verschlüsselung von Festplatten und abgeschlossene Türen. Vorbei ist die Zeit, als die Tür zum Projektbüro im wahrsten Sinne des Wortes jedem „offen stand“.
Datenumfang
Bei der Erhebung der Daten muss darauf geachtet werden, dass nur Daten erhoben werden, die für das Guest Management erforderlich sind. Dies kann manchmal ganz schön tricky werden. So sind Krankheiten, Behinderungen oder Religion manchmal wichtig, um entsprechende Maßnahmen im Vorfeld zu planen (barrierefreier Zugang, Essensauswahl, Gebetsräume etc.). Grundsätzlich gilt aber, dass so wenige Daten wie möglich abgefragt werden sollten.
Stellt sich nun die Frage, was Unternehmen und Agenturen unternehmen müssen und können, um auf dem Gebiet der Datensicherheit und des Datenschutzes keine Schwierigkeiten mit dem Gesetzgeber zu bekommen. Zunächst sollten wir uns noch einmal klarmachen, dass die Leadagentur auch für die Daten ihrer Mitarbeiter und aller Projektpartner verantwortlich ist. Auch hier gelten dieselben Gesetze wie gegenüber dem Gast der Veranstaltung. Wir sprechen also von einer Kette von Freistellungen, da in der Praxis der Agenturpartner ebenfalls wieder Subunternehmen einsetzt, für die er die Verantwortung übernimmt. Die Bandbreite ist hoch im Eventbereich – sie reicht vom Melden der Crewmitglieder bis hin zur Weitergabe von Personalausweisdaten bei Events mit hohem Sicherheitsfaktoren (Prominenz, Behörden, Politik, etc.)
Uns stellt sich somit nun die Frage: was ist jetzt konkret zu tun?
Hier einige der wichtigsten Punkte kurz zusammen gefasst:
Sensibilisierung durchführen
Jeder Mitarbeiter im Umgang mit sensiblen Daten muss rechtzeitig über die konkreten Folgen der DSGVO und die konkreten Maßnahmen zur Umstellung informiert werden.
Bestandsaufnahme machen
Kunden und Agenturen müssen überprüfen welche Prozesse es gibt, bei denen personenbezogene Daten erhoben, verarbeitet oder weitergegeben werden. Auf Grundlage der Bestandsaufnahme muss ein Verarbeitungsverzeichnis werden.
Datenschutz- und Einwilligungserklärungen anpassen
Datenschutzerklärungen (z.B. auf der Unternehmens-Webseite) oder Einwilligungserklärungen (z.B. für die Zusendung von E-Mail-Werbung) müssen in Hinsicht auf die neuen Anforderungen angepasst werden.
Datenschutzfolgenabschätzung implementieren
Kunden und Agenturen sollten im Rahmen einer Datenschutzfolgenabschätzung (Art. 35 DSGVO) prüfen, ob die eigenen Datenverarbeitungsvorgänge aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge haben. Das Ergebnis und etwaige Maßnahmen zur Reduzierung eines etwaigen Risikos sind zu dokumentieren.
Betroffenenrechte umsetzen
Die in der DSGVO geregelten Betroffenenrechte (z.B. das Recht auf Löschung) müssen in den Abläufen bei Kunde und Eventagentur so abgebildet werden, dass diese gegenüber den Betroffenen auch tatsächlich zeitnah umgesetzt werden können.
Dokumentation organisieren
Aufgrund der verstärkten, teils bußgeldbewährten Dokumentationspflichten der DSGVO sollten Kunden und Agenturen die notwendige Dokumentation organisieren.
Wie Sie sehen – es gibt viel zu, sowohl für unsere Kunden, aber vor allem für uns, beim Thema DSGVO! Nun, wo der erste Wirbel, die große Panikmache vorbei sind, ist es an der Zeit die Vorgaben konzentriert umzusetzen und in die Arbeitsabläufe so zu implementieren, dass sie uns in Zukunft als vollkommen normal vorkommen.
Falls Sie Fragen zu diesem Thema haben – kommen Sie gerne auf mich zu. Ihr frisch gebackener Datenschutzbeauftrager der Passepartout GmbH – Florian Jack.