Datenerhebung zum Zweck der Veranstaltungssicherheit?

„Sicherheit“ ist alleine erstmal kein Argument, Daten von Mitarbeitern und Mitwirkenden zu erheben und zu speichern. Da muss man sich schon etwas mehr Mühe geben, denn: Grundsätzlich ist die Datenerhebung verboten. Nur wenn eine gesetzlich geregelte Rechtsgrundlage (siehe Art. 6 DSGVO) bejaht werden kann, ist die Datenerhebung ausnahmsweise erlaubt.

Bevor man sich also die Mühe macht zu überlegen, ob die Datenerhebung sinnvoll ist und zu mehr Sicherheit auf der Veranstaltung beiträgt, muss man prüfen, ob man die Daten überhaupt erheben darf. Letztlich hängen die Fragen aber zusammen:

Einwilligung

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben (Art. 6 Abs. 1 Buchstabe a DSGVO).

Eine Datenerhebung ist erlaubt, wenn der Betroffene einwilligt. Der Veranstalter könnte sich nun also die Einwilligung der Mitarbeiter einholen. Bei eigenen Mitarbeitern mag das noch funktionieren, aber bei fremden Mitarbeitern geht das auch nur so lange gut, wie der Mitarbeiter auch tatsächlich einwilligt.

Was aber, wenn er das nicht will? Denn: Die Einwilligung miss freiwillig erfolgen. Abgesehen davon, dass das Risiko besteht, dass die Einwilligungserklärung fehlerhaft vorformuliert wurde und damit die Rechtsgrundlage entfallen könnte.

Aufgabe liegt im öffentlichen Interesse

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (…) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 Buchstabe e DSGVO).

Auf den erste Blick scheint diese Rechtsgrundlage zu passen, und tatsächlich habe ich auch schon öfter gesehen, dass diese sich in den Datenschutzhinweisen findet. Aber:

Nach Art. 6 Absatz 3 Satz 1 DSGVO muss die Rechtsgrundlage für die Verarbeitung durch Unionsrecht oder das Recht des Mitgliedstaates festgelegt werden, dem der verantwortliche Datenverarbeiter unterliegt. Die Vorschrift erfordert damit die Festlegung der öffentlichen Aufgabe und deren Übertragung auf den Verantwortlichen durch nationales Recht, sofern keine Aufgabenzuweisung durch Unionsrecht vorliegt.

Und: Soweit die Datenverarbeitung auf dieser Grundlage durch einen privatwirtschaftlichen Veranstalter würde erfolgen sollen, muss ihm diese Aufgabe übertragen worden sein.

Solange der Gesetzgeber also keine Datenabfrage für Mitarbeiter zum Zweck der Veranstaltungssicherheit vorschreibt, kann man sich auch nicht auf diese Rechtsgrundlage – Art. 6 Abs. 1 Buchstabe e DSGVO – berufen.

Berechtigtes Interesse

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (…) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, …  (Art. 6 Abs. 1 Buchstabe f DSGVO).

Das Interesse des Veranstalters an der Datenerhebung muss das Interesse des Mitarbeiters an der Nicht-Erhebung überwiegen.

Die Erhebung von Name und Vorname zu dem Zweck, dass der Mitarbeiter überhaupt vor Ort eingelassen wird, ist sinnvoll – jedenfalls dann, wenn die (fremden) Mitarbeiter ohne ihren Arbeitgeber einzeln in die Veranstaltungsstätte eingelassen werden wollen.