Ein Veranstalter beauftragt eine Agentur, eine Veranstaltung für Mitarbeiter oder Kunden zu organisieren, die auch bspw. ein Abendessen beinhaltet. Weit verbreitet ist die Angewohnheit, dass die Agentur Allergien bei den Teilnehmern abfragt, und diese dann an den Cateringservice weitergibt.
Zu den Gesundheitsdaten gehören nicht nur unmittelbare Informationen über den Gesundheitszustand einer Person, sondern auch solche Daten „(…) aus denen Informationen über den Gesundheitszustand hervorgehen“ (Art. 4 Nr. 15 DSGVO).
Auch der Erwägungsgrund Nr. 35 besagt, dass Gesundheitsdaten auch umfassen alle „Informationen über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten…“.
Auch die Abfrage nach der Allergie führt also in die DSGVO.
Sensible Daten
Werden also solche Daten erhoben, greift mit Art. 9 DSGVO eine besondere Schutzvorschrift: Ihre Verarbeitung ist grundsätzlich verboten.
In Art. 9 Absatz 2 DSGVO finden sich einige Ausnahmen, die promineste Ausnahme ist, dass die Verarbeitung zulässig ist, wenn der Betroffene ausdrücklich eingewilligt hat.
Das heißt: Soll ein Teilnehmer bspw. angeben, ob er eine Allergie hat, dann darf diese Information nur abgefragt werden, wenn der Teilnehmer ausdrücklich einwilligt.
Ist die Einwilligung fehlerhaft, dann ist auch die Verarbeitung rechtswidrig. Dementsprechend hoch ist das Risiko für die Agentur, wenn sie solche Informationen abfragt.
Man kann auch nicht etwa argumentieren, dass die Abfrage ja zum Schutz des Teilnehmers sei: Dieses Argument findet sich nicht im Katalog der Ausnahmen vom Verarbeitungsverbot (Art. 9 Abs. 2 DSGVO). Außerdem: Das Risiko für den Teilnehmer der Veranstaltung ist ja gar nicht höher als sonst: Denn auch dann, wenn er selbst ein Restaurant besucht, hat er die Allergie und muss sich selbst darum kümmern, was er isst.
Abgesehen von den datenschutzrechtlichen Risiken einer fehlerhaften Einwilligung und Datenschutzinformation besteht noch ein anderes Risiko: Nämlich dann, wenn die Agentur die Informationen versehentlich falsch weitergibt. Denn der Teilnehmer darf, wenn schon solche Informationen abgefragt werden, ggf. darauf vertrauen, dass das Catering auf seine Informationen ausgerichtet ist.
Datenschutzhinweise, Technisch-organisatorische Maßnahmen, Folgenabschätzung, Löschkonzept, Weitergabedokumentation, Verzeichnis… wir unterstützen unsere Mandanten bei der Umsetzung der Pflichten aus der DSGVO. Melden Sie sich unverbindlich unter Telefon 0721-1205060 oder E-Mail info@eventfaq.de
Ich berate alle Verantwortlichen auf einer Veranstaltung. Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und Herausgeber von EVENTFAQ. Mehr über mich
Profitieren auch Sie von meiner jahrelangen praktischen und theoretischen Erfahrung in Organisation, anwaltlicher Beratung und Durchführung von Veranstaltungen aller Art!
Kontakt: info@eventfaq.de oder Telefon 0721 1205060.
Urheberangabe für das/die Foto(s) (Symbolfoto):
- AGBCheck_quer: © Foto: Prostock-studio stock.adobe.com / Bannergestaltung: kollarneuber.de
- vorvertrag-final-web-829x100_alternative: © Foto: fotofabrik, stock.adobe.com / Bannergestaltung: kollarneuber.de
- Thomas-Waetke_Profil: © Sebastian Heck
- Allergietest: © nito500 / 123RF Standard-Bild