Die DSGVO bringt seit dem vergangenen Jahr nicht nur für uns, sondern auch für unsere Kunden, einige Veränderungen mit sich. Wir haben einige wichtige Punkte für Sie zusammengefasst. 1. Gesetzliche Erlaubnis zur Datenverarbeitung Wie bereits bei Newslettern gang und gäbe muss der Betroffene in die Datenverarbeitung (Teilnehmerlisten, Flugbuchungen, Hotelunterkunft, Programmteilnahme, Mietwagen etc.) einwilligen. Falls diese oder eine gesetzliche Erlaubnis nicht vorliegen, dürfen die Daten nicht verarbeitet werden. Dies gilt auch für Datensätze, die der Kunde der Agentur zur Verfügung stellt. Die Agentur muss sich schriftlich absichern, dass die Daten verarbeitet werden dürfen. 2. Auskunftspflicht Jeder Betroffene hat das Recht zu wissen, ob und welche Daten von ihm wo gespeichert sind. Es wird also ein Konzept benötigt, dass alle Dateien erfasst, die an den verschiedenen Orten gespeichert sind. 3. Recht auf Vergessen Jeder Teilnehmer kann fordern, dass seine Daten nach dem Event gelöscht werden. Es empfiehlt sich also, ein Löschkonzept zu entwickeln, das die schnelle Auffindung der Daten in allen Dateien ermöglicht. 4. Datensicherheit Es müssen technische und organisatorische Maßnahmen getroffen werden, die Sicherheit vor Datenmissbrauch garantieren. Dies gilt natürlich auch für den Einsatz auf Events. Hier gelten dieselben Sicherheitsmaßnahmen. Ein einfacher passwortgeschützter Zugang reicht da nicht mehr aus. Räume abschließen, Rechner sichern oder keine ausgedruckten Datensätze sind nur die Minimalabsicherung. 5. Datenumfang Es muss darauf geachtet werden, dass nur Daten erhoben werden, die für das Guest Management erforderlich sind. Das kann manchmal ganz schön tricky werden. So sind Krankheiten, Behinderungen oder Religion manchmal wichtig, um entsprechende Maßnahmen im Vorfeld zu planen (barrierefreier Zugang, Essensauswahl, Gebetsräume etc.). Grundsätzlich gilt aber, dass so wenige Daten wie möglich abgefragt werden sollten. Wichtig ist es, die Daten anschließend wieder zu löschen. 6. Auftragsdatenverarbeitung oder Funktionsübertragung Die Differenzierung zwischen einer Auftragsdatenverarbeitung und Funktionsübertragung im Umgang mit personenbezogenen Daten ist nicht einfach, aber wichtig im Sinne der DSGVO. Bei einer Auftragsdatenverarbeitung wird die Datenverarbeitung vom Auftragnehmer streng nach Weisung des Auftraggebers durchgeführt. Da der Auftragnehmer keinen Einfluss auf die Art und Menge der zu verarbeiteten Daten hat, ist hier bei Verstößen der Auftraggeber verantwortlich und haftbar (externe Lohnabrechnung, IT-Wartungsverträge etc.). Funktionsübertragungen sind vor allem dann notwendig, wenn dem externen Dienstleister eine Eigenverantwortlichkeit zukommt und es selbständiger Handlungen für die Ausübung der übertragenen Tätigkeiten bedarf (Rechtsanwalt, Inkassounternehmen, Steuerberater etc.). Hier gehen nicht nur die Nutzungsrechte an den Dienstleister über, sondern auch die rechtlichen Verpflichtungen. Damit ist er für die Einhaltung der datenschutzrechtlichen Pflichten selbst verantwortlich Quelle: event-partner.de - DSGVO: Die EU-Datenschutz-Grundverordnung ist da 33