Datenschutzrecht
und Personen mit Verantwortung
Bei Veranstaltungen, ihrer Vorbereitung, aber auch im normalen Unternehmensleben werden reihenweise fremde Daten verarbeitet: Mitarbeiterdaten, Teilnehmerdaten, Nutzerdaten auf der Webseite usw. Dementsprechend spielt das Datenschutzrecht eine wichtige Rolle, die gesetzliche Grundlage dazu ist die DSGVO.
Nachfolgend stellen wir die verantwortlichen Personen im Datenschutz vor:
Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Ein Auftraggeber darf nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Der Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen unterbeauftragen.
Die Verarbeitung durch einen Auftragsverarbeiter darf nur auf der Grundlage eines Vertrags erfolgen (siehe Art. 28 DSGVO).
Achtung!
Beide, also Verantwortlicher und Auftragsverarbeiter, müssen sicherstellen, dass mit der Verarbeitung durch den Auftragsverarbeiter erst begonnen wird, wenn der Auftragsverarbeitungsvertrag wirksam geschlossen ist!
Schwierig ist die Beurteilung, ob bspw. eine Eventagentur Auftragsverarbeiter ist, wenn Sie einen Full-Service-Auftrag für die komplette Veranstaltungsorganisation erhält: Wenn also der Gesamtauftrag lediglich einen kleinen Teil Datenverarbeitung enthält (z.B. Weitergabe der Teilnehmerdaten an das Hotel). Selbst wenn man sich in dieser Situation dazu entscheidet, dass die Agentur kein Auftragsverarbeiter ist, muss sich die Agentur natürlich (dann als eigenständig Verantwortlicher) um den Datenschutz kümmern!
Das datenverarbeitende Unternehmen muss u.a. dann einen Datenschutzbeauftragten explizit benennen, wenn mehr als 20 Personen im Unternehmen Daten verarbeiten, ansonsten dann, wenn das Risiko der Datenverarbeitung eine Benennung notwendig macht.
Verantwortlich für die ordnungsgemäße Datenverarbeitung ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Beispiele:
Der Veranstalter bewirbt seine Veranstaltung, verkauft Tickets an Besucher und macht vor Ort Fotos.
Wenn er dazu jeweils einen Dienstleister beauftragt, sind diese dann seine sog. Auftragsverarbeiter:
- Die Eventagentur, die die Veranstaltung plant und dazu eine Event-Webseite erstellt und hostet
- Der Anbieter der Ticketplattform
- Der Fotograf (wobei dieser auch selbst verantwortlich sein kann, abhängig vom Auftrag!)
Weiterführender Link:
Gemeinsam Verantwortliche (auch: “Joint Controller) sind gemeinsam für den jeweiligen Datenverarbeitungsvorgang verantwortlich.
Das ist dann der Fall, wenn sie gemeinsam über Mittel und Zweck einer Datenverarbeitung (z.B. Teilnehmerdaten oder Fotos) entscheiden.
Gemeinsam Verantwortliche können bspw. sein:
- mehrere Mitveranstalter
- kooperierende Agenturen
- Veranstalter und Sponsoren oder
- ein Unternehmen mit Fanpage bei Facebook und Meta
Das Besondere: Die gemeinsam Verantwortlichen müssen
- einen Vertrag über eben ihre gemeinsame Verantwortlichkeit schließen: Wer ist für was verantwortlich?
- Betroffene in einer Datenschutzerklärung über diese gemeinsame Verantwortlichkeit informieren, sie also offenlegen.
Weiterführende Links:
Übersicht der Verantwortlichen Allgemeines zum Datenschutz DSGVO-Checkliste