Teilnehmermanagement
bei Veranstaltungen
und die Rechtsfragen
Beim Teilnehmermanagement kann es um personalisiertes Einladungsmanagement, um den Anmelde- bzw. Registrierungsprozess, das Einlassmanagement gehen, ebenso um Event-Reporting mit Feedback der Teilnehmer und die Zahlungsabwicklung.
Aus rechtlicher Sicht steht dabei wenig überraschend der Datenschutz im Fokus:
Registrierung
Die Teilnehmer registrieren sich, und hinterlassen dazu naturgemäß ihre Daten. Auf der Registrierungs-Plattform findet also eine Datenverarbeitung statt. Hierbei sind mindestens folgende Fragen zu klären:
- Wer ist der datenschutzrechtlich Verantwortliche?
- Welche Daten werden erhoben?
- Sind die erhobenen Daten wirklich erforderlich? (Stichwort Datenminimierung)
- Zu welchen Zwecken werden sie erhoben?
- Aufgrund welcher Rechtsgrundlage (z.B. Einwilligung oder berechtigtes Interesse) erfolgt die Erhebung?
- Wo werden die Daten gespeichert?
- Wie lange werden sie gespeichert?
- Werden die Daten an Dritte weitergegeben (s.u.)?
Alle diese Informationen müssen dann in der Datenschutzerklärung den Betroffenen = den Teilnehmern offengelegt werden.
Soll eine Hausordnung bzw. sollen Teilnehmer-AGB eingebunden werden, müssen diese zum Zeitpunkt des Vertragsschlusses eingebunden sein – das kann diese Registrierung sein. Es macht Sinn, dass diese Hausordnung bzw. AGB mittels einer Pflicht-Checkbox aktiv bestätigt werden müssen.
Ticketverkauf
Werden Tickets verkauft, kommen weitere Rechtsfragen hinzu, die wir auf der Sonderseite Ticketing darstellen:
Hosting
Ist Software im Spiel, ist zu klären, wer wo diese Software hostet. Der Hoster ist üblicherweise ein sog. Auftragsverarbeiter, mit dem der Veranstalter oder die beauftragte Eventagentur einen Auftragsverarbeitungsvertrag (AVV) schließen muss. Vorsicht ist dabei geboten, wenn der Anbieter bspw. Cookies auf den Endgeräten der Teilnehmer speichert: Denn dann muss zwingend vorab eine Einwilligung eingeholt werden! Ggf. muss der Anbieter in der Datenschutzerklärung genannt werden.
Das gilt generell: Wenn Sie fremde Software einsetzen, prüfen Sie unbedingt vorab, welche Daten wo und warum von diesem Anbieter verarbeitet werden. Diese Datenverarbeitungen müssen regelmäßig in den Auftragsverarbeitungsverträgen genauso wie in der Datenschutzerklärung gegenüber den Betroffenen offen gelegt werden.
Abfrage von Allergien
Darf der Veranstalter bei seinen Gästen nach Allergien fragen, um vorab auch den Caterer zu informieren? Es sind dann einige datenschutzrechtliche Besonderheiten zu beachten.
Allergien sind sog. „personenbezogene Daten besonderer Kategorie“ (siehe Art. 9 DSGVO). Werden also solche Daten erhoben, greift mit Art. 9 DSGVO eine besondere Schutzvorschrift: Ihre Verarbeitung ist grundsätzlich verboten!
In Art. 9 Absatz 2 DSGVO finden sich einige Ausnahmen; die promineste Ausnahme ist, dass die Verarbeitung zulässig ist, wenn der Betroffene ausdrücklich eingewilligt hat. Das heißt: Soll ein Teilnehmer bspw. angeben, ob er eine Allergie hat, dann darf diese Information nur abgefragt werden, wenn der Teilnehmer ausdrücklich einwilligt.
Vorsicht: Ist die Einwilligung fehlerhaft, dann ist auch die Verarbeitung rechtswidrig. Dementsprechend hoch ist das Risiko für den Veranstalter bzw. die beauftragte Agentur, wenn sie solche Informationen abfragen.
Man kann auch nicht etwa argumentieren, dass die Abfrage ja zum Schutz des Teilnehmers sei: Dieses Argument findet sich nicht im Katalog der Ausnahmen vom Verarbeitungsverbot (Art. 9 Abs. 2 DSGVO). Außerdem: Das Risiko für den Teilnehmer der Veranstaltung ist ja gar nicht höher als sonst: Denn auch dann, wenn er selbst ein Restaurant besucht, hat er die Allergie und muss sich selbst darum kümmern, was er isst.
Abgesehen von den datenschutzrechtlichen Risiken einer fehlerhaften Einwilligung und Datenschutzinformation besteht noch ein anderes Risiko: Nämlich dann, wenn der Veranstalter bzw. die Agentur die Informationen versehentlich falsch weitergeben. Denn der Teilnehmer darf, wenn schon solche Informationen abgefragt werden, ggf. darauf vertrauen, dass das Catering auf seine Informationen ausgerichtet ist.
Nutzung zu Werbezwecken
Es ist datenschutzrechtlich relativ einfach, wenn die Daten der Teilnehmer ausschließlich dazu verwendet werden, die Veranstaltung abzuwickeln. Sobald die Daten darüber hinaus zu Werbezwecken verwendet werden sollen, wird es deutlich komplizierter. Denn grundsätzlich ist dafür eine Einwilligung einzuholen.
Weitergabe an Mitwirkende
Sollen die Teilnehmerdaten an Dritte weitergegeben werden (z.B. Referenten, Aussteller, Sponsoren), dann muss
- das explizit im Rahmen der Datenschutzerklärung offen gelegt werden, normalerweise auch der Dritte namentlich benannt werden,
- vorab geprüft werden, ob/dass dieser Dritte tatsächlich ein Dritter (= eigenständig datenschutzrechtlich verantwortlich) ist, und nicht etwa ein gemeinsam Verantwortlicher mit dem Veranstalter oder ein Auftragsverarbeiter. Denn auch das müsste dann in der Datenschutzerklärung benannt werden.
Weiterführende Links:
Lexikon Übersicht Event-Bausteine Ticketing Akkreditierung Besucher-AGB Datenschutzrecht