Veranstaltungs-Datenschutz: Praktischer Leitfaden mit DSFA-Vorlagen

Veranstaltungs-Datenschutz: Praktischer Leitfaden mit DSFA-Vorlagen

Inhaltsverzeichnis

Einleitung: Datenschutz bei Veranstaltungen kurz erklärt

Ein professioneller Veranstaltungs-Datenschutz ist mehr als nur eine rechtliche Verpflichtung; er ist ein entscheidendes Qualitätsmerkmal und ein Vertrauensbeweis gegenüber Ihren Teilnehmern, Sprechern und Partnern. Von der ersten Anmeldung bis zur Nachbereitung nach dem Event werden personenbezogene Daten verarbeitet. Die Datenschutz-Grundverordnung (DSGVO) und das Datenschutz-Anpassungs- und Umsetzungsgesetz (DDG) setzen hierfür klare Rahmenbedingungen. Ein sorgfältiger Umgang mit diesen Daten schützt nicht nur die Privatsphäre der Betroffenen, sondern bewahrt auch Sie als Veranstalter vor empfindlichen Bußgeldern und Reputationsschäden. Dieser Leitfaden bietet Ihnen einen praxisorientierten Überblick und konkrete Handlungsempfehlungen für einen rechtskonformen Veranstaltungs-Datenschutz im Jahr 2025 und darüber hinaus, basierend auf den bewährten Ansätzen von Munas Consulting.

Anwendungsbereich und typische Datenkategorien

Der Veranstaltungs-Datenschutz greift, sobald personenbezogene Daten im Kontext eines Events erhoben, verarbeitet oder gespeichert werden. Dies betrifft sowohl digitale als auch analoge Prozesse und umfasst den gesamten Lebenszyklus einer Veranstaltung. Die Bandbreite der Daten ist oft größer, als auf den ersten Blick ersichtlich.

Typische Datenkategorien bei Veranstaltungen

  • Stammdaten: Name, Anrede, Titel, Firma, Position
  • Kontaktdaten: E-Mail-Adresse, Telefonnummer, Postanschrift
  • Organisatorische Daten: Anmeldebestätigungen, Rechnungsdaten, Zahlungsinformationen, Tischnummern
  • Präferenzdaten: Auswahl von Workshops, Essenspräferenzen (z. B. vegetarisch/vegan)
  • Besondere Kategorien (Art. 9 DSGVO): Gesundheitsdaten wie Allergien, Informationen zu Behinderungen für einen barrierefreien Zugang
  • Visuelle Daten: Foto- und Videoaufnahmen von Teilnehmern und Sprechern
  • Technische Daten: IP-Adressen bei Online-Anmeldungen oder virtuellen Events

Jede dieser Kategorien erfordert eine sorgfältige Prüfung der rechtlichen Grundlage und der notwendigen Schutzmaßnahmen.

Rechtliche Grundlagen und Auswahl der Rechtsgrundlage

Jede Verarbeitung personenbezogener Daten benötigt eine Rechtsgrundlage gemäß Art. 6 DSGVO. Für den Veranstaltungs-Datenschutz sind vor allem zwei Grundlagen relevant: die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO).

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die Einwilligung muss freiwillig, informiert, unmissverständlich und für einen bestimmten Zweck erteilt werden. Sie ist widerrufbar. Typische Anwendungsfälle sind:

  • Versand von Marketing-Newslettern nach der Veranstaltung.
  • Veröffentlichung von Foto- und Videoaufnahmen, auf denen Einzelpersonen klar erkennbar sind.
  • Weitergabe von Kontaktdaten an Sponsoren oder Partner.

Wichtig: Die Einwilligung muss nachweisbar sein. Nutzen Sie daher Checkboxen (nicht vor angekreuzt) im Anmeldeprozess und protokollieren Sie die Zustimmung.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Hierbei müssen Sie Ihr Interesse an der Datenverarbeitung gegen die Interessen und Grundrechte der betroffenen Person abwägen. Ihr Interesse muss überwiegen. Anwendungsfälle können sein:

  • Erstellung von Teilnehmerlisten mit Name und Firma zur Organisation und zum Networking vor Ort.
  • Direktwerbung per Post an ehemalige Teilnehmer.
  • Anfertigung von Übersichtsaufnahmen der Veranstaltung zur Dokumentation und Öffentlichkeitsarbeit, auf denen keine Personen im Fokus stehen.

Die Abwägung muss dokumentiert werden. Ein späterer Abschnitt dieses Leitfadens enthält einen Entscheidungsbaum, der Ihnen bei dieser wichtigen Wahl hilft.

Wann eine Datenschutz-Folgenabschätzung für Veranstaltungen erforderlich ist

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Art. 35 DSGVO immer dann erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Für Veranstaltungen kann dies in folgenden Fällen zutreffen:

  • Großveranstaltungen: Events mit einer sehr hohen Teilnehmerzahl, bei denen systematisch Daten verarbeitet werden.
  • Verarbeitung besonderer Datenkategorien: Wenn in großem Umfang Gesundheitsdaten (z. B. für Sportevents) oder andere sensible Daten erhoben werden.
  • Einsatz neuer Technologien: Nutzung von Gesichtserkennungssoftware, RFID-Tracking zur Analyse von Besucherströmen oder biometrischen Zugangskontrollen.
  • Systematische Überwachung: Umfassende Videoüberwachung von öffentlich zugänglichen Bereichen der Veranstaltung.

Die Durchführung einer DSFA hilft Ihnen, Risiken frühzeitig zu erkennen und durch geeignete Maßnahmen zu minimieren. Ein Muster für eine solche Abschätzung finden Sie im Anhang.

Konkrete technische und organisatorische Maßnahmen (TOM) für Events

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sind das Herzstück eines jeden Datenschutzkonzepts. Nach Empfehlung von MUNAS Consulting sollten Veranstalter für einen robusten Veranstaltungs-Datenschutz folgende Maßnahmen umsetzen:

Technische Maßnahmen

  • Verschlüsselung: SSL/TLS-Verschlüsselung für Ihre Anmelde-Webseite und alle Kommunikationswege.
  • Zugangskontrolle: Passwortschutz für Systeme, auf denen Teilnehmerdaten gespeichert sind (z. B. CRM, Event-Management-Software).
  • Datensparsamkeit: Erheben Sie nur die Daten, die für die Durchführung der Veranstaltung zwingend erforderlich sind (Need-to-know-Prinzip).
  • Sichere Endgeräte: Laptops und mobile Geräte, die vor Ort eingesetzt werden, müssen passwortgeschützt und verschlüsselt sein.

Organisatorische Maßnahmen

  • Datenschutzschulung: Alle Mitarbeiter und Dienstleister mit Zugriff auf Teilnehmerdaten müssen auf die Einhaltung des Datenschutzes verpflichtet und geschult werden.
  • Rollen- und Berechtigungskonzept: Definieren Sie klar, wer auf welche Daten zugreifen darf.
  • Sicherer Umgang mit Dokumenten: Gedruckte Teilnehmerlisten müssen sicher aufbewahrt und nach der Veranstaltung vernichtet werden.
  • Prozess für Betroffenenrechte: Etablieren Sie einen klaren Prozess, um Auskunfts-, Lösch- oder Berichtigungsanfragen von Teilnehmern fristgerecht zu bearbeiten.

Foto und Video: Mustertexte, Beschilderung und Abwägung

Foto- und Videoaufnahmen sind ein heikler Punkt im Veranstaltungs-Datenschutz. Hier kollidiert oft das Interesse des Veranstalters an Öffentlichkeitsarbeit mit dem Recht am eigenen Bild der Teilnehmer.

Rechtsgrundlage: Einwilligung oder berechtigtes Interesse?

  • Einwilligung: Erforderlich für Aufnahmen, bei denen Einzelpersonen oder kleine, klar identifizierbare Gruppen im Fokus stehen (Porträts, Interviews, Aufnahmen von Sprechern). Die Einwilligung sollte schriftlich oder über eine Checkbox im Anmeldeformular eingeholt werden.
  • Berechtigtes Interesse: Kann als Grundlage für Übersichtsaufnahmen dienen, die die Atmosphäre der Veranstaltung einfangen, ohne einzelne Personen hervorzuheben. Die Teilnehmer müssen jedoch im Vorfeld und vor Ort klar darüber informiert werden.

Mustertext für eine Foto- und Videoeinwilligung

Ich willige ein, dass im Rahmen der Veranstaltung [Name der Veranstaltung] am [Datum] Foto- und Videoaufnahmen von meiner Person angefertigt und für die Öffentlichkeitsarbeit (z. B. auf der Webseite, in sozialen Medien, in Pressemitteilungen) des Veranstalters [Name des Veranstalters] unentgeltlich und zeitlich unbegrenzt genutzt werden dürfen. Mir ist bekannt, dass ich diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Mustertext für Beschilderung vor Ort

Wichtiger Hinweis zum Datenschutz: Foto- und Videoaufnahmen

Sehr geehrte Teilnehmerinnen und Teilnehmer,

wir möchten Sie darauf hinweisen, dass während dieser Veranstaltung Foto- und Videoaufnahmen zu Zwecken der Dokumentation und Öffentlichkeitsarbeit angefertigt werden. Diese Aufnahmen können auf unserer Webseite, in sozialen Netzwerken und in Printmedien veröffentlicht werden.

Rechtsgrundlage hierfür ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO). Sollten Sie nicht fotografiert oder gefilmt werden wollen, teilen Sie dies bitte unserem Fotografen/Videografen direkt mit oder wenden Sie sich an unser Organisationsteam am Infopunkt.

Weitere Informationen finden Sie in unseren Datenschutzhinweisen unter [Link zu den Datenschutzhinweisen].

Aufbewahrungsfristen und Löschworkflow mit Nachweisverfahren

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck, für den sie erhoben wurden, erforderlich ist. Für den Veranstaltungs-Datenschutz bedeutet das, ein klares Löschkonzept zu haben.

Daten Art Zweck Aufbewahrungsfrist Rechtsgrundlage
Anmelde- und Teilnehmerdaten Vertragsdurchführung, Organisation Unmittelbar nach Ende der Veranstaltung, sofern keine anderen Fristen greifen Art. 17 DSGVO
Rechnungsdaten, Zahlungsbelege Steuerrechtliche Nachweispflicht 10 Jahre § 147 AO, § 257 HGB
Einwilligungserklärungen Nachweis der Rechtsgrundlage Bis zum Ende der Verjährungsfristen (in der Regel 3 Jahre nach letzter Nutzung) Rechenschaftspflicht Art. 5 Abs. 2 DSGVO
Kontaktdaten für Newsletter Marketing Bis zum Widerruf der Einwilligung Art. 6 Abs. 1 lit. a DSGVO

Löschworkflow mit Nachweis

Ein strukturierter Löschprozess ist entscheidend. Definieren Sie Verantwortlichkeiten und technische Abläufe. Führen Sie ein Löschprotokoll, in dem dokumentiert wird, wann welche Datenkategorien auf Basis welcher Rechtsgrundlage gelöscht wurden. Dies dient als Nachweis im Rahmen der Rechenschaftspflicht.

Vertrags- und Auftragsverarbeitungsanforderungen mit Dienstleistern

Selten organisiert man eine Veranstaltung komplett allein. Sobald externe Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeiten, liegt eine Auftragsverarbeitung vor. Dies erfordert den Abschluss eines Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO.

Typische Dienstleister bei Veranstaltungen:

  • Ticketing-Plattformen
  • Event-Management-Agenturen
  • Anbieter von virtuellen Event-Plattformen
  • E-Mail-Marketing-Tools für Einladungen
  • Fotografen oder Videoteams

Prüfen Sie Ihre Dienstleister sorgfältig (Stichwort: „Auswahlverantwortung“) und stellen Sie sicher, dass ein gültiger AVV vorliegt, bevor Daten übermittelt werden.

Besondere Datenkategorien: Gesundheit, Minderjährige, Teilnehmerlisten

Einige Daten erfordern besondere Aufmerksamkeit und strengere Schutzmaßnahmen.

  • Gesundheitsdaten (Art. 9 DSGVO): Die Abfrage von Allergien oder Lebensmittelunverträglichkeiten stellt eine Verarbeitung von Gesundheitsdaten dar. Hierfür ist eine ausdrückliche Einwilligung erforderlich. Die Daten dürfen nur zweckgebunden an das Catering weitergegeben und müssen danach unverzüglich gelöscht werden.
  • Minderjährige: Bei Veranstaltungen, die sich auch an Minderjährige richten, müssen die Anforderungen an Einwilligungen besonders beachtet werden (Art. 8 DSGVO). Je nach Alter ist die Zustimmung der Erziehungsberechtigten erforderlich.
  • Teilnehmerlisten: Die Veröffentlichung oder Weitergabe von Teilnehmerlisten (auch nur mit Name und Firma) bedarf in der Regel einer Einwilligung der betroffenen Personen. Eine Anzeige in einer passwortgeschützten Event-App kann unter Umständen auf ein berechtigtes Interesse gestützt werden, wenn dies dem Networking-Charakter der Veranstaltung dient und die Teilnehmer transparent darüber informiert wurden.

Praktische Vorbereitungscheckliste für Veranstalter

Ein guter Veranstaltungs-Datenschutz beginnt lange vor dem Event. Nutzen Sie diese Checkliste für Ihre Planung ab 2025:

  • [ ] Datenschutzhinweise erstellen: Formulieren Sie eine klare und verständliche Datenschutzerklärung für die Veranstaltung und binden Sie diese in den Anmeldeprozess ein.
  • [ ] Rechtsgrundlagen definieren: Legen Sie für jede einzelne Datenverarbeitung die passende Rechtsgrundlage fest (Einwilligung vs. berechtigtes Interesse).
  • [ ] Einwilligungen einholen: Implementieren Sie rechtssichere Prozesse zur Einholung von Einwilligungen (z. B. für Newsletter, Fotoaufnahmen).
  • [ ] AV-Verträge prüfen und abschließen: Stellen Sie sicher, dass mit allen externen Dienstleistern gültige AVVs bestehen.
  • [ ] Datensparsamkeit prüfen: Fragen Sie im Anmeldeformular nur die wirklich notwendigen Daten ab.
  • [ ] TOMs festlegen: Definieren Sie die technischen und organisatorischen Maßnahmen zum Schutz der Daten.
  • [ ] Personal schulen: Sensibilisieren Sie alle beteiligten Mitarbeiter und Helfer für die Datenschutzthemen.
  • [ ] Beschilderung vorbereiten: Entwerfen und drucken Sie die Hinweisschilder für Foto- und Videoaufnahmen.
  • [ ] Löschkonzept erstellen: Planen Sie, wann welche Daten nach der Veranstaltung gelöscht werden müssen.

Vor-Ort-Ablauf: Datenschutzchecks während der Veranstaltung

  • Ansprechpartner benennen: Ein informierter Ansprechpartner für Datenschutz Fragen sollte für Teilnehmer und Personal erreichbar sein.
  • Sicherer Check-in: Sorgen Sie dafür, dass Teilnehmerlisten am Empfang nicht offen herumliegen und für Dritte einsehbar sind.
  • Beschilderung anbringen: Platzieren Sie die Hinweisschilder zu Foto- und Videoaufnahmen gut sichtbar im Eingangsbereich.
  • Widerspruchsrecht kommunizieren: Informieren Sie Teilnehmer aktiv über ihr Recht, Foto- und Videoaufnahmen von sich zu widersprechen.

Nachbereitung: Prüfprotokoll, Löschnachweis und Reporting

Nach der Veranstaltung ist die Arbeit am Veranstaltungs-Datenschutz nicht vorbei.

  • Datenlöschung durchführen: Setzen Sie Ihr Löschkonzept um und löschen Sie alle Daten, für die keine Aufbewahrungspflicht besteht.
  • Löschnachweis erstellen: Dokumentieren Sie die Löschung in Ihrem Löschprotokoll.
  • Eventuelle Datenschutzvorfälle bearbeiten: Sollte es trotz aller Vorsicht zu einem Vorfall gekommen sein, folgen Sie Ihrem internen Notfallprozess (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden).
  • Feedback auswerten: Nutzen Sie die Erfahrungen zur Optimierung des Datenschutzes für zukünftige Veranstaltungen.

Entscheidungsbaum: Einwilligung oder berechtigtes Interesse?

Dieser vereinfachte Baum hilft bei der Entscheidung für die korrekte Rechtsgrundlage:

  • 1. Ist die Datenverarbeitung zur Erfüllung des Vertrags (Teilnahme an der Veranstaltung) zwingend erforderlich?
    • Ja: Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Beispiel: Erhebung von Name und E-Mail für die Anmeldebestätigung.
    • Nein: Gehe zu Punkt 2.
  • 2. Handelt es sich um eine freiwillige, zusätzliche Leistung (z. B. Marketing-Newsletter, Weitergabe an Sponsoren) oder werden sensible Daten (Gesundheit) verarbeitet?
    • Ja: Rechtsgrundlage ist die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
    • Nein: Gehe zu Punkt 3.
  • 3. Verfolgen Sie als Veranstalter ein legitimes Interesse (z. B. Öffentlichkeitsarbeit, Networking) und ist die Verarbeitung dafür notwendig?
    • Ja: Führe eine Abwägung durch. Überwiegen die Interessen der Teilnehmer (z. B. Erwartbarkeit, geringer Eingriff) nicht?
      • Abwägung positiv für Sie: Rechtsgrundlage kann das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) sein. Wichtig: Widerspruchsrecht und Informationspflicht beachten!
      • Abwägung negativ oder unklar: Wählen Sie den sichereren Weg der Einwilligung.
    • Nein: Keine Rechtsgrundlage, die Verarbeitung ist unzulässig.

Anhänge: DSFA-Vorlage, Muster-Einwilligung, Beschilderungs-Vorlagen

Ein professioneller Veranstaltungs-Datenschutz lebt von praxisnahen Dokumenten. Anstatt das Rad neu zu erfinden, sollten Sie auf etablierte Vorlagen zurückgreifen und diese an Ihre spezifische Veranstaltung anpassen.

  • DSFA-Vorlage (Datenschutz-Folgenabschätzung): Eine gute Vorlage sollte Abschnitte zur Beschreibung der Verarbeitungsvorgänge, zur Notwendigkeit und Verhältnismäßigkeit, zur Risikoanalyse für die Betroffenen und zu den geplanten Abhilfemaßnahmen enthalten.
  • Muster-Einwilligungstexte: Formulieren Sie klare, verständliche und zweckgebundene Einwilligungstexte für verschiedene Szenarien (Newsletter, Foto/Video, Datenweitergabe). Wichtig sind die Freiwilligkeit, die Information über den Zweck und der Hinweis auf das Widerrufsrecht.
  • Beschilderungs-Vorlagen: Nutzen Sie die oben genannten Mustertexte als Basis für gut sichtbare und informative Schilder, um Ihrer Informationspflicht vor Ort nachzukommen.

Für weiterführende Informationen und offizielle Leitlinien empfehlen wir die Webseiten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Publikationen von Berufsverbänden wie der Gesellschaft für Datenschutz und Datensicherheit (GDD) oder dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD). Für eine individuelle Beratung und die Erstellung maßgeschneiderter Konzepte steht Ihnen MUNAS Consulting zur Seite.