Allergien bei den Teilnehmern abfragen?

Ein Veranstalter beauftragt eine Agentur, eine Veranstaltung für Mitarbeiter oder Kunden zu organisieren, die auch bspw. ein Abendessen beinhaltet. Weit verbreitet ist die Angewohnheit, dass die Agentur Allergien bei den Teilnehmern abfragt, und diese dann an den Cateringservice weitergibt.

Zu den Gesundheitsdaten gehören nicht nur unmittelbare Informationen über den Gesundheitszustand einer Person, sondern auch solche Daten „(…) aus denen Informationen über den Gesundheitszustand hervorgehen“ (Art. 4 Nr. 15 DSGVO).

Auch der Erwägungsgrund Nr. 35 besagt, dass Gesundheitsdaten auch umfassen alle „Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten…“.

Auch die Abfrage nach der Allergie führt also in die DSGVO.

Sensible Daten

Werden also solche Daten erhoben, greift mit Art. 9 DSGVO eine besondere Schutzvorschrift: Ihre Verarbeitung ist grundsätzlich verboten.

In Art. 9 Absatz 2 DSGVO finden sich einige Ausnahmen, die promineste Ausnahme ist, dass die Verarbeitung zulässig ist, wenn der Betroffene ausdrücklich eingewilligt hat.

Das heißt: Soll ein Teilnehmer bspw. angeben, ob er eine Allergie hat, dann darf diese Information nur abgefragt werden, wenn der Teilnehmer ausdrücklich einwilligt.

Ist die Einwilligung fehlerhaft, dann ist auch die Verarbeitung rechtswidrig. Dementsprechend hoch ist das Risiko für die Agentur, wenn sie solche Informationen abfragt.

Man kann auch nicht etwa argumentieren, dass die Abfrage ja zum Schutz des Teilnehmers sei: Dieses Argument findet sich nicht im Katalog der Ausnahmen vom Verarbeitungsverbot (Art. 9 Abs. 2 DSGVO). Außerdem: Das Risiko für den Teilnehmer der Veranstaltung ist ja gar nicht höher als sonst: Denn auch dann, wenn er selbst ein Restaurant besucht, hat er die Allergie und muss sich selbst darum kümmern, was er isst.

Abgesehen von den datenschutzrechtlichen Risiken einer fehlerhaften Einwilligung und Datenschutzinformation besteht noch ein anderes Risiko: Nämlich dann, wenn die Agentur die Informationen versehentlich falsch weitergibt. Denn der Teilnehmer darf, wenn schon solche Informationen abgefragt werden, ggf. darauf vertrauen, dass das Catering auf seine Informationen ausgerichtet ist.