Vorsicht bei Datensammlung - EVENTFAQ Alles zum Veranstaltungsrecht und Eventrecht

„Vielleicht brauchen wir das später mal“ – das ist ein Satz, den ich in meiner Beratungspraxis oft höre: Man sammelt Daten, weil man sie vielleicht mal brauchen könnte.

Wenn es sich aber um Daten mit Personenbezug handelt, ist Vorsicht geboten: Denn im Datenschutzrecht gibt es u.a. den Grundsatz der Datensparsamkeit. Werden Daten nicht gebraucht, darf man sich schon gar nicht erheben, geschweige denn speichern. Ohne Not sollte man also keine personenbezogenen Daten sammeln und irgendwo speichern, besser gesagt: Ohne Rechtsgrundlage für das Erheben und Speichern.

Ein aktuelles Beispiel kommt aus Berlin: Die Berliner Landesbeauftragte für den Datenschutz hat gegen ein Unternehmen ein Bußgeld in Höhe von 215.000 € verhängt, weil Daten rechtswidrig verarbeitet wurden: Auf Anweisung der Geschäftsleitung hatte eine Mitarbeiterin eine Liste mit Mitarbeitern in der Probezeit erstellt. In dieser Liste gab es dann eine Bewertung, die die Entscheidung erleichtern sollte, ob die Mitarbeiter über die Probezeit hinaus beschäftigt werden sollen.

Das Problem dabei war u.a., dass in diese Liste auch Daten aufgenommen wurden, die aus persönlichen Äußerungen der Mitarbeiter herrührten, bspw. bezüglich Gesundheit oder privaten Gründen, die einer flexiblen Arbeitszeitzuteilung entgegenstehen könnten. Die Erfassung dieser Informationen aber war den Mitarbeitern unbekannt. Außerdem wurde von der Landesbeauftragten für den Datenschutz die fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste beanstandet, ebenso die verspätete Meldung einer Datenpanne und sowie die fehlende Erwähnung der Liste im Verarbeitungsverzeichnis.

Beispiele

Hier vier Beispiele für typische Datensammlungen:

Fotos von Veranstaltungen (sobald Personen darauf erkennbar sind, spielt auch der Datenschutz eine Rolle).
Teilnehmerdaten, die an verschiedenen Stellen in verschiedenen Listen gespeichert werden.
Bewerbungen von potentiellen Mitarbeitern.
Handynummern von diversen Ansprechpartnern bei Kunden, Gewerken, Behörden, von Kolleginnen und Kollegen usw.

Was tun?

Erfassen Sie die Momente, Situationen und Orte, an denen Sie personenbezogene Daten erheben: Z.B. Formulare, Webseiten, Apps, Plugins, Software-Tools (Teilnehmer-Management, Ticketshops), Handys, Laptops, PCs, Telefone, Faxgeräte, Excel-Tabellen, Auftragsverarbeiter (Agenturen, Streaming-Dienstleister, Hoster) usw.
Arbeiten Sie unsere Übersicht beispielhafter Datenverarbeitungen durch.
Sind die Zwecke der Datenverarbeitung festgelegt?
Sind den Erhebungen geeignete Rechtsgrundlagen zugeordnet?
Sind die Datenverarbeitungen den Betroffenen kommuniziert („Datenschutzerklärung„)?
Prüfen Sie, ob all das im betrieblichen Datenschutzkonzept berücksichtigt ist.
Arbeiten Sie unsere Checkliste zur DSGVO durch.

Beispiele

Was tun?

Bundesweite Rechtsberatung

„Alles aus einer Hand“ darf Subunternehmer nicht unterschlagen

Mangelhafte Leistung: Was tun?

Haftung für den Auftragsverarbeiter