Veranstaltungsdatenschutz: Praxistipps, Mustertexte und Checkliste

Veranstaltungsdatenschutz: Praxistipps, Mustertexte und Checkliste

Veranstaltungsdatenschutz 2025: Der ultimative Praxis-Leitfaden für Events in Deutschland und Österreich

Inhaltsverzeichnis

Einleitung: Warum Veranstaltungsdatenschutz anders ist

Ein Event ist ein temporäres Ökosystem. Innerhalb weniger Stunden oder Tage werden große Mengen personenbezogener Daten von Teilnehmern, Speakern und Dienstleistern verarbeitet. Anders als im stationären Unternehmensalltag sind die Prozesse beim Veranstaltungsdatenschutz dynamischer, die Datenquellen vielfältiger und die Risiken konzentrierter. Von der Online-Registrierung über den Check-in vor Ort bis zur Nachbereitung per E-Mail – jede Phase birgt spezifische datenschutzrechtliche Herausforderungen. Dieser Leitfaden bietet Ihnen ein praxisnahes Toolkit, um den Veranstaltungsdatenschutz für Ihre Events ab 2025 in Deutschland und Österreich systematisch und rechtskonform zu meistern.

Kurzüberblick: Kernbegriffe und datenschutzrechtliche Rollen

Für einen soliden Veranstaltungsdatenschutz ist das Verständnis der grundlegenden Rollen und Begriffe unerlässlich:

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei Events sind das typischerweise Namen, E-Mail-Adressen, Firmenzugehörigkeit, Zahlungsdaten, aber auch Fotos oder Angaben zu Lebensmittelunverträglichkeiten.
  • Verantwortlicher: Das sind Sie als Veranstalter. Sie legen die Zwecke und Mittel der Datenverarbeitung fest und tragen die primäre Verantwortung für die Einhaltung der Datenschutzgesetze.
  • Auftragsverarbeiter: Externe Dienstleister, die in Ihrem Auftrag personenbezogene Daten verarbeiten. Beispiele sind Ticketing-Plattformen, Event-App-Anbieter oder die Agentur, die den Newsletter versendet. Die Zusammenarbeit muss durch einen Auftragsverarbeitungsvertrag (AVV) geregelt sein.
  • Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten – vom Erheben über das Speichern und Nutzen bis zum Löschen.

Einseitige Checkliste: Pre-Event, On-Site, Post-Event (Quick-Action)

Nutzen Sie diese komprimierte Checkliste als schnellen Überblick für einen effektiven Veranstaltungsdatenschutz in allen Phasen Ihres Events.

Phase Aufgabe Status
Pre-Event Datenschutzhinweise für die Registrierung erstellt und verlinkt? [ ]
Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern (Ticketing, App, etc.) geschlossen? [ ]
Einwilligungstexte (Marketing, Foto/Video) formuliert und getrennt abfragbar? [ ]
Prüfung, ob eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist? [ ]
Internes Team und Personal vor Ort zu den Datenschutzgrundlagen geschult? [ ]
On-Site Datenschutzhinweise am Check-in und im Veranstaltungsbereich sichtbar platziert? [ ]
Prozess für Opt-out von Foto- und Videoaufnahmen etabliert (z. B. farbige Lanyards)? [ ]
Sicherer Umgang mit Teilnehmerlisten und sensiblen Daten am Check-in gewährleistet? [ ]
Ansprechpartner für Datenschutzfragen vor Ort benannt und erreichbar? [ ]
Prozess für die Meldung eines potenziellen Datenschutzvorfalls definiert? [ ]
Post-Event Daten, die nicht mehr benötigt werden, fristgerecht gelöscht oder anonymisiert? [ ]
Marketing-E-Mails nur an Personen mit gültiger Einwilligung versendet? [ ]
Zugriffsrechte auf Event-Datenbanken und -Systeme widerrufen? [ ]
Dokumentation des Events (inkl. Datenschutzmaßnahmen) für Rechenschaftspflicht archiviert? [ ]

Rechtlicher Rahmen: DSGVO plus nationale Besonderheiten (DE und AT)

Die Datenschutz-Grundverordnung (DSGVO), auf Englisch General Data Protection Regulation (GDPR), bildet die europaweite Basis. Jedoch ergänzen nationale Gesetze diese und schaffen spezifische Regelungen, die für den Veranstaltungsdatenschutz relevant sind.

Deutschland

  • Bundesdatenschutzgesetz (BDSG): Konkretisiert die DSGVO in vielen Bereichen, z. B. bei den Rechten von Betroffenen oder den Pflichten des Datenschutzbeauftragten.
  • Datenschutz-Digitalisierung-und-Justiz-Gesetz (DDG): Dieses Gesetz hat das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) abgelöst und regelt den Schutz der Privatsphäre bei elektronischer Kommunikation und Telemedien. Dies ist relevant für Ihre Event-Webseite, Cookies und Tracking-Technologien auf der Registrierungsseite.
  • Kunsturhebergesetz (KunstUrhG): Regelt das „Recht am eigenen Bild“. Grundsätzlich dürfen Bildnisse nur mit Einwilligung der abgebildeten Person verbreitet oder öffentlich zur Schau gestellt werden. Es gibt Ausnahmen, z. B. für Personen der Zeitgeschichte oder wenn Personen nur als „Beiwerk“ erscheinen.

Österreich

  • Datenschutzgesetz (DSG): Enthält ergänzende nationale Regelungen zur DSGVO.
  • § 78 Urheberrechtsgesetz (UrhG): Ähnlich dem deutschen KunstUrhG schützt es das Recht am eigenen Bild. Eine Veröffentlichung ist unzulässig, wenn dadurch berechtigte Interessen des Abgebildeten verletzt würden.

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) Pflicht?

Eine Datenschutz-Folgenabschätzung (DSFA), auf Englisch Data Protection Impact Assessment (DPIA), ist nicht für jedes Event erforderlich. Sie wird jedoch zur Pflicht, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Prüfen Sie anhand dieser Trigger-Punkte, ob eine DSFA für Ihr Event notwendig ist:

  • Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO): Erheben Sie systematisch Gesundheitsdaten (z. B. für einen Sport-Event), Informationen zu Allergien oder andere sensible Daten von einer großen Anzahl von Teilnehmern?
  • Systematische und umfangreiche Überwachung: Setzen Sie Technologien wie Videoüberwachung in großem Stil, standortbasiertes Tracking per Event-App oder Gesichtserkennung ein?
  • Verarbeitung von Daten schutzbedürftiger Personen: Richten Sie sich gezielt an Kinder und Jugendliche und verarbeiten deren Daten in großem Umfang?
  • Einsatz neuer Technologien: Nutzen Sie innovative Tools wie KI-gestütztes Networking-Matching oder biometrische Einlasskontrollen?

Beispiel: Ein medizinscher Fachkongress mit 1.000 Teilnehmern, bei dem über eine App Gesundheitsdaten für personalisierte Workshops abgefragt werden, würde sehr wahrscheinlich eine DSFA erfordern. Ein internes Team-Meeting mit 50 Personen hingegen nicht.

Datenflüsse visualisieren: Sammlung, Speicherung, Zugriff, Löschung

Um den Veranstaltungsdatenschutz zu gewährleisten, müssen Sie wissen, woher die Daten kommen, wo sie liegen und wer darauf zugreift. Skizzieren Sie den Lebenszyklus der Daten:

  1. Sammlung: Online-Registrierungsformular, E-Mail-Anfragen, Visitenkarten am Stand, Lead-Erfassung per App.
  2. Speicherung: CRM-System, Ticketing-Plattform, Cloud-Speicher, lokale Excel-Listen (Achtung, Risiko!).
  3. Zugriff: Event-Team, Ticketing-Dienstleister, App-Anbieter, Druckerei für Namensschilder, Buchhaltung.
  4. Löschung: Definieren Sie klare Löschfristen. Kontaktdaten für Marketingzwecke dürfen nur mit Einwilligung weiter gespeichert werden. Daten zur Rechnungslegung unterliegen gesetzlichen Aufbewahrungsfristen (z. B. 10 Jahre in DE, 7 Jahre in AT).

Registrierung und Ticketing: Minimaldaten und Protokollierung

Der Grundsatz der Datenminimierung ist hier entscheidend. Fragen Sie nur die Daten ab, die Sie für die Durchführung des Events zwingend benötigen (Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung).

  • Pflichtfelder: Name, E-Mail-Adresse (für Bestätigung und Informationen), ggf. Firma und Position.
  • Optionale Felder: Marketingeinwilligung, Angabe von Ernährungswünschen, Anmeldung zu spezifischen Workshops.
  • Identitätsprüfungen: Sind diese wirklich notwendig? Ein Abgleich des Namens auf dem Ticket mit dem Ausweis ist ein Eingriff in die Privatsphäre und sollte nur bei Hochsicherheitsveranstaltungen oder zur Altersverifikation begründet sein.
  • Protokollierung: Zugriffe auf die Registrierungsdatenbank sollten protokolliert werden, um die Nachvollziehbarkeit zu gewährleisten.

Einwilligungen und Musterformulierungen

Eine Einwilligung muss freiwillig, informiert, unmissverständlich und für einen bestimmten Zweck erfolgen. Wichtig ist das Kopplungsverbot: Die Teilnahme am Event darf nicht von der Einwilligung in den Newsletter-Empfang abhängig gemacht werden.

Muster für die Registrierung

Platzieren Sie am Ende des Formulars, aber vor dem Absende-Button, folgenden Hinweis:

“Ihre Daten werden zur Organisation und Durchführung der Veranstaltung verarbeitet. Weitere Informationen finden Sie in unseren Datenschutzhinweisen.”

Muster für Marketing-Einwilligung

Nutzen Sie eine separate, nicht vorangekreuzte Checkbox:

[ ] Ja, ich möchte zukünftig per E-Mail über ähnliche Veranstaltungen und Neuigkeiten informiert werden. Diese Einwilligung kann ich jederzeit widerrufen.

Foto- und Videorecht bei Veranstaltungen: Mustertexte und Opt-out

Die Anfertigung und Veröffentlichung von Fotos und Videos stellt eine Datenverarbeitung dar. Die Rechtsgrundlage ist oft das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Dokumentation und Öffentlichkeitsarbeit. Dieses Interesse müssen Sie jedoch gegen die Interessen der abgebildeten Personen abwägen.

Praktische Umsetzung

  1. Informieren: Weisen Sie bereits in der Einladung, auf der Webseite und durch Schilder vor Ort auf die Foto- und Videoaufnahmen hin.
  2. Opt-out ermöglichen: Bieten Sie eine einfache Möglichkeit zum Widerspruch. Farbige Armbänder oder Lanyards haben sich bewährt, um Personen zu kennzeichnen, die nicht fotografiert werden möchten.
  3. Fokus beachten: Bei Übersichtsaufnahmen ist die Einwilligung oft nicht erforderlich. Bei gezielten Porträts oder kleinen Gruppen sollten Sie eine mündliche Einwilligung einholen oder zumindest sicherstellen, dass die Personen erkennbar posieren.

Mustertext für Aushang vor Ort

Hinweis zum Veranstaltungsdatenschutz: Während dieser Veranstaltung werden Foto- und Videoaufnahmen zu Zwecken der Öffentlichkeitsarbeit und Dokumentation angefertigt. Wenn Sie nicht abgebildet werden möchten, wenden Sie sich bitte an unser Personal am Eingang oder an die Fotografen. Weitere Informationen finden Sie in unseren Datenschutzhinweisen.”

Besondere Kategorien und sensible Angaben (Art. 9 DSGVO)

Daten wie Gesundheitsinformationen (Allergien, Barrierebedarfe) oder religiöse Zugehörigkeit (Essenswünsche) sind besonders geschützt. Ihre Verarbeitung ist nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) zulässig.

  • Zweckbindung: Kommunizieren Sie klar, wofür die Daten benötigt werden (z. B. “Wir benötigen diese Angabe, um dem Catering Ihre Lebensmittelunverträglichkeit mitzuteilen.”).
  • Zugriffsbeschränkung: Nur die Personen, die diese Information zwingend benötigen (z. B. Catering-Leitung), sollten Zugriff erhalten.
  • Sichere Übermittlung: Vermeiden Sie unverschlüsselte E-Mails oder offene Listen.

Kinder und Jugendliche bei Veranstaltungen

Wenn sich Ihr Event auch an Minderjährige richtet, sind besondere Sorgfaltspflichten zu beachten. Für die Verarbeitung von Daten von Kindern unter 16 Jahren (in Deutschland und Österreich) ist die Einwilligung der Erziehungsberechtigten erforderlich. Die Informationspflichten müssen in einer klaren und kindgerechten Sprache formuliert werden.

Externe Dienstleister und Auftragsverarbeitung (AVV)

Fast jedes Event nutzt externe Dienstleister. Sobald diese personenbezogene Daten in Ihrem Auftrag verarbeiten, benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

AVV-Checkliste:

  • [ ] Liegt mit jedem relevanten Dienstleister ein gültiger AVV vor? (Ticketing-Anbieter, App-Entwickler, Cloud-Hoster, E-Mail-Marketing-Tool)
  • [ ] Regelt der AVV klar Gegenstand, Dauer, Art und Zweck der Verarbeitung?
  • [ ] Sind die technischen und organisatorischen Maßnahmen (TOMs) des Dienstleisters dokumentiert und angemessen?
  • [ ] Sind Regelungen zur Einschaltung von Sub-Unternehmern enthalten?
  • [ ] Sind Ihre Kontroll- und Weisungsrechte klar definiert?

Technische und organisatorische Maßnahmen (TOMs) vor Ort

Der Veranstaltungsdatenschutz endet nicht im Digitalen. Auch vor Ort müssen Sie Daten schützen:

  • Zugangskontrolle: Sicherer Bereich für das Organisationsteam.
  • Datenträgerkontrolle: Keine offenen Teilnehmerlisten am Check-in-Schalter liegen lassen.
  • Zugriffskontrolle: WLAN für Gäste vom internen Organisationsnetz trennen.
  • Vertraulichkeit: Personal auf den vertraulichen Umgang mit Teilnehmerdaten schulen. Laptops sperren, wenn der Platz verlassen wird.

Vorbereitung auf Datenschutzvorfälle bei Events

Ein verlorenes Notebook mit Teilnehmerdaten oder ein Hackerangriff auf die Event-App ist ein meldepflichtiger Vorfall. Bereiten Sie einen einfachen Workflow vor:

  1. Erkennen und sofort melden: Jeder Mitarbeiter muss wissen, an wen er einen Vorfall (z. B. den Datenschutzbeauftragten) intern meldet.
  2. Bewerten: Ist es ein meldepflichtiger Vorfall? Besteht ein Risiko für die Betroffenen?
  3. Handeln: Lücke schließen, Schaden begrenzen (z. B. Laptop per Fernzugriff sperren).
  4. Melden: Bei Risiko für Betroffene muss der Vorfall innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

Aufbewahrung, Archivierung und Anonymisierung nach dem Event

Nach dem Event beginnt die Phase des “Aufräumens”. Der Grundsatz der Speicherbegrenzung verlangt, dass Daten nur so lange aufbewahrt werden, wie sie für den ursprünglichen Zweck notwendig sind.

  • Löschen: Daten, für die keine Rechtsgrundlage mehr besteht (z. B. Essenswünsche nach dem Event), sind unverzüglich zu löschen.
  • Archivieren: Daten mit gesetzlicher Aufbewahrungsfrist (z. B. Rechnungen) müssen sicher archiviert werden.
  • Anonymisieren: Für statistische Auswertungen können Daten anonymisiert werden, sodass kein Personenbezug mehr herstellbar ist.

Barrierefreiheit und inklusive Datenverarbeitung

Ein moderner Veranstaltungsdatenschutz berücksichtigt auch Inklusion. Fragen Sie bei der Registrierung respektvoll nach Bedarfen:

  • Pronomen: Bieten Sie ein Freitextfeld oder eine Auswahl an, anstatt nur “Herr/Frau”.
  • Bevorzugter Name: Geben Sie die Möglichkeit, einen Namen für das Namensschild anzugeben, der vom offiziellen Namen abweichen kann.
  • Unterstützungsbedarf: Fragen Sie offen: “Benötigen Sie Unterstützung für eine barrierefreie Teilnahme? (z. B. Gebärdensprachdolmetscher, barrierefreier Zugang)”. Verarbeiten Sie diese sensiblen Daten mit höchster Vertraulichkeit.

Praxisbeispiele: Zwei kurze Szenarien mit konkreten Maßnahmen

Szenario 1: B2B-Konferenz mit 200 Teilnehmern

  • Maßnahme 1 (Registrierung): Datenminimierung anwenden. Nur Name, Firma, E-Mail abfragen. Optionale Einwilligung für den Newsletter mit separater Checkbox.
  • Maßnahme 2 (On-Site): Aushänge zum Fotorecht platzieren. Fotograf anweisen, keine Porträts ohne Zustimmung zu machen und Personen mit roten Lanyards (Opt-out) zu meiden.
  • Maßnahme 3 (Post-Event): Teilnehmerliste nach 4 Wochen löschen, außer für Personen, die dem Newsletter-Empfang zugestimmt haben. Rechnungsdaten gemäß gesetzlicher Frist archivieren.

Szenario 2: Öffentliches Stadtfest mit Sponsoren-Gewinnspiel

  • Maßnahme 1 (Gewinnspiel): Klare Teilnahmebedingungen mit Datenschutzhinweisen. Einwilligung zur Datenweitergabe an den Sponsor muss aktiv und separat von der Gewinnspielteilnahme erteilt werden (keine Kopplung).
  • Maßnahme 2 (Fotografie): Da es sich um eine öffentliche Veranstaltung handelt, ist das berechtigte Interesse an Übersichtsaufnahmen stark. Dennoch durch Aushänge informieren. Bei Nahaufnahmen von Kindern ist besondere Vorsicht geboten und die Einwilligung der Eltern einzuholen.
  • Maßnahme 3 (Datenlöschung): Daten der Nicht-Gewinner nach Abschluss des Gewinnspiels sofort löschen. Daten des Gewinners nach Übergabe des Preises löschen, sofern keine Aufbewahrungspflicht besteht.

Microcopy Sammlung: Sofort einsetzbare Checkboxen und Hinweise

Nutzen Sie diese Textbausteine direkt in Ihren Formularen und Hinweisen.

  • Für das Namensschild:
    “Welcher Name soll auf Ihrem Namensschild stehen? (Optional)”
  • Für Ernährungswünsche (mit Einwilligung):
    [ ] “Ich willige ein, dass meine Angaben zu Ernährungswünschen (z. B. Allergien) ausschließlich an das Catering zur Zubereitung passender Speisen weitergegeben werden. Diese Einwilligung kann ich jederzeit widerrufen.”
  • Für Teilnehmerlisten:
    [ ] “Ich stimme zu, dass mein Name, meine Position und meine Firma auf einer Teilnehmerliste erscheinen, die den anderen Teilnehmern der Veranstaltung zur Verfügung gestellt wird.”
  • Für die Weitergabe an Sponsoren/Partner:
    [ ] “Ja, ich bin damit einverstanden, dass mein Name und meine E-Mail-Adresse an den Partner [Name des Partners] für einen einmaligen Informationsversand weitergegeben werden.”

Anhang: Vorlagen, Quick-Checks und Behördenressourcen

Ein umfassender Veranstaltungsdatenschutz erfordert kontinuierliche Aufmerksamkeit. Für tiefere Einblicke und spezifische Fragen sind die folgenden offiziellen Ressourcen und Fachverbände eine wertvolle Hilfe.

  • Aufsichtsbehörden: Die primäre Anlaufstelle für verbindliche Informationen und Meldungen von Datenschutzvorfällen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Deutschland und die Datenschutzbehörde (DSB) in Österreich.
  • Berufsverbände: Bieten Praxishilfen, Netzwerke und Weiterbildungen für Datenschutzbeauftragte und -interessierte.
    • Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD)
    • Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)
  • Weiterführende Beratung: Für eine individuelle Prüfung Ihrer Event-Prozesse und die Erstellung maßgeschneiderter Datenschutzkonzepte empfiehlt sich eine professionelle Datenschutzberatung.