Datenschutz: Nur Daten abfragen, die man auch unbedingt braucht - EVENTFAQ Alles zum Veranstaltungsrecht und Eventrecht

Wenn bspw. ein Veranstalter ein Kontaktformular anbieten oder einen Ticket- oder Merchandise-Shop, dann erhebt er personenbezogene Daten seiner Besucher. Das können u.a. der Name, die Anschrift, eine Mail-Adresse usw. sein.

Zu oft wird dabei übersehen, dass solche Datenerhebungen nicht dazu da sind, dass der Veranstalter haufenweise Daten sammeln darf – für den Fall, dass er sie mal brauchen könnte.

Vielmehr muss derjenige, der fremde Daten verarbeiten will, sich vorher gut überlegen, welche Daten er unbedingt benötigt – und warum (der sog. Zweck).

Wenn er bspw. die Mailadresse abfragt, aber das Ticket per Post schickt, dann muss er schon einen guten Grund haben, warum er auch die Mailadresse abfragt. Und diesen Grund muss er dann in seiner Datenschutzerklärung offenlegen.

Abfrage des Geburtsdatums?

Dabei gilt stets auch der Grundsatz der Datensparsamkeit: Man darf nur solche Daten erheben, die man wirklich für einen konkreten Zweck braucht. Ein aktuelles Urteil des Oberverwaltungsgericht Niedersachsen verdeutlicht das bzgl. der Abfrage des Geburtsdatums.

Der Onlineshop-Betreiber hatte u.a. als Argument für die Erhebung des Geburtsdatum angeführt, damit sicherstellen zu wollen, dass der Käufer volljährig sei.

Dieses Argument ließ das Gericht nicht gelten: Denn als „milderes Mittel“ (= weniger Daten erheben) genügt die Abfrage, ob der Käufer volljährig sei. Anhaltspunkte dafür, dass bei dieser Abfrageart die Hemmschwelle, unwahre Angaben zu machen, geringer ist, als wenn das gesamte Geburtsdatum abgefragt wird, waren für das Gericht nicht ersichtlich. Außerdem könne man durch die Abfrage des Geburtsdatum ohnehin nicht sicher sein, dass die Angaben stimmen würden: Die Eignung der Abfrage ist daher ohnehin zweifelhaft.

Zur Klarstellung: Es ist nicht per se verboten, auch das Geburtsdatum oder die Mailadresse abzufragen. Aber dann muss das Unternehmen auch einen Zweck dafür angeben, z.B. weil man an die Mailadresse Werbung schicken wolle. Dann braucht man aber eine geeignete Rechtsgrundlage dafür, im Zweifel die Einwilligung (und die erteilt bekanntlich nicht jeder Besucher). Ein „einfacherer“ Zweck könnte sein, wenn der Veranstalter die Möglichkeit haben will, seine Besucher kurzfristig erreichen zu müssen. Dies kann bspw. bei Open Air-Veranstaltungen sein, bei denen das Wetter den Veranstalter ggf. kurzfristig zu Maßnahme zwingen könnte. Die hierfür notwendige Rechtsgrundlage könnte bereits identisch sein mit der Rechtsgrundlage für die Erhebung des Namens, nämlich die Vertragserfüllung (Art. 6 Absatz 1 Buchstabe b DSGVO) oder des berechtigten Interesses (Art. 6 Absatz 1 Buchstabe f DSGVO). Aber: Wenn sich der Veranstalter dann auf diese Rechtsgrundlage stützt, darf er die Mailadresse nicht zu Werbezwecken verwenden – es sei denn, er verschafft sich dafür die Einwilligung des Besuchers oder kann sich mit zutreffenden Argumenten auf die Vertragserfüllung oder das berechtigte Interesse stützen.

Man sieht:

Es ist einiges an Denkarbeit gefordert – bevor Daten erhoben werden:

Was will man mit den Daten später machen?
Gibt es dafür eine ausreichende Rechtsgrundlage im Gesetz?
Wird dieser Zweck dann auch offen kommuniziert (in der Datenschutzerklärung)

Wir unterstützen unsere Mandanten bei diesen Fragen, und u.a. auch bei der Erstellung von Datenschutzerklärungen. Das Ziel ist natürlich, sich nicht angreifbar zu machen (durch verärgerte Besucher, die dann ggf. Schadenersatzansprüche geltend machen) oder Ärger mit den Vertragspartner zu vermeiden.

Sie haben Interesse an einer qualifizierten Beratung? Schreiben Sie uns eine E-Mail an info@eventfaq.de!

Abfrage des Geburtsdatums?

Rechtsberatung: Online oder telefonisch

Riesen-Bärenklau verletzt Mitglieder einer Wandergruppe – mögliche Haftung?

Personal erscheint nicht: Was kann der Veranstalter tun?

Fachkräftemangel: Wie lassen sich Abwerbungen verhindern?