“Vielleicht brauchen wir das später mal” – das ist ein Satz, den ich in meiner Beratungspraxis oft höre: Man sammelt Daten, weil man sie vielleicht mal brauchen könnte.
Wenn es sich aber um Daten mit Personenbezug handelt, ist Vorsicht geboten: Denn im Datenschutzrecht gibt es u.a. den Grundsatz der Datensparsamkeit. Werden Daten nicht gebraucht, darf man sich schon gar nicht erheben, geschweige denn speichern. Ohne Not sollte man also keine personenbezogenen Daten sammeln und irgendwo speichern, besser gesagt: Ohne Rechtsgrundlage für das Erheben und Speichern.
Ein aktuelles Beispiel kommt aus Berlin: Die Berliner Landesbeauftragte für den Datenschutz hat gegen ein Unternehmen ein Bußgeld in Höhe von 215.000 € verhängt, weil Daten rechtswidrig verarbeitet wurden: Auf Anweisung der Geschäftsleitung hatte eine Mitarbeiterin eine Liste mit Mitarbeitern in der Probezeit erstellt. In dieser Liste gab es dann eine Bewertung, die die Entscheidung erleichtern sollte, ob die Mitarbeiter über die Probezeit hinaus beschäftigt werden sollen.
Das Problem dabei war u.a., dass in diese Liste auch Daten aufgenommen wurden, die aus persönlichen Äußerungen der Mitarbeiter herrührten, bspw. bezüglich Gesundheit oder privaten Gründen, die einer flexiblen Arbeitszeitzuteilung entgegenstehen könnten. Die Erfassung dieser Informationen aber war den Mitarbeitern unbekannt. Außerdem wurde von der Landesbeauftragten für den Datenschutz die fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste beanstandet, ebenso die verspätete Meldung einer Datenpanne und sowie die fehlende Erwähnung der Liste im Verarbeitungsverzeichnis.
Beispiele
Hier drei Beispiele für typische Datensammlungen:
- Fotos von Veranstaltungen; sobald Personen darauf erkennbar sind, spielt auch der Datenschutz eine Rolle.
- Teilnehmerdaten, die an verschiedenen Stellen in verschiedenen Listen gespeichert werden.
- Bewerbungen von potentiellen Mitarbeitern.
- Handynummern von diversen Ansprechpartnern bei Kunden, Gewerken, Behörden, von Kolleginnen und Kollegen usw.
Was tun?
Erfassen Sie die Momente, Situationen und Orte, an denen Sie personenbezogene Daten erheben: Z.B. Formulare, Webseiten, Apps, Plugins, Software-Tools (Teilnehmer-Management, Ticketshops), Handys, Laptops, PCs, Telefone, Faxgeräte, Excel-Tabellen, Auftragsverarbeiter (Agenturen, Streaming-Dienstleister, Hoster) usw.
Prüfen Sie, ob all das im betrieblichen Datenschutzkonzept berücksichtigt ist. Sind den Erhebungen geeignete Rechtsgrundlagen zugeordnet? Sind die Datenverarbeitungen den Betroffenen kommuniziert?
Sie sind sich nicht sicher? Sie kennen einige der Begriffe nicht? Sie brauchen Unterstützung? Schreiben Sie uns eine E-Mail an info@eventfaq.de, und wir lernen uns kennen!
Ich berate alle Verantwortlichen auf einer Veranstaltung. Ich bin Rechtsanwalt und Fachanwalt für Urheber- und Medienrecht und Herausgeber von EVENTFAQ. Mehr über mich
Profitieren auch Sie von meiner jahrelangen praktischen und theoretischen Erfahrung in Organisation, anwaltlicher Beratung und Durchführung von Veranstaltungen aller Art!
Kontakt: info@eventfaq.de oder Telefon 0721 1205060.
Urheberangabe für das/die Foto(s) (Symbolfoto):
- Thomas-Waetke_Profil: © Sebastian Heck
- Datenschutz Tresor: © the_lightwriter - Fotolia.com
