Was muss bei Firmenevents datenschutzrechtlich beachten werden?

Fachbeitrag

Firmenevents gehören in vielen Unternehmen zum Geschäftsalltag dazu. Es gibt sie in vielen Formen, sei es als Werbeveranstaltung für Kunden, interne Feiern oder Messen. Im Folgenden soll aufgezeigt werden, auf was Unternehmen achten müssen, damit ihr Firmenevent DSGVO-konform durchgeführt werden kann.

Der Veranstalter als verantwortliche Stelle

Verantwortlicher nach Art. 4 Nr. 7 DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die alleine oder gemeinsam mit anderen über den Zweck oder die Mittel der Verarbeitung personenbezogener Daten bestimmt. Datenschutzrechtlich gesehen ist daher der Veranstalter des Firmenevents die Stelle, die dafür sorgen muss, dass die datenschutzrechtlichen Voraussetzungen gegeben sind.

Auftragsverarbeitungsverträge mit Eventdienstleister

Oft werden Firmenevents oder Firmenfeiern nicht in Eigenregie durch das Unternehmen umgesetzt. In solchen Fällen nehmen Firmen die Hilfe von Dienstleistern in Anspruch, die das Event umsetzen sollen. Hierzu zählen Eventagenturen, Caterer oder Unternehmen, die den Aufbau von technischen Equipment übernehmen.

Eventagentur

Eventagenturen übernehmen zumeist die gesamte Planung und Umsetzung für ein Unternehmen. Im Zuge dieser Dienstleistung erhält die Eventagentur eine ganze Reihe von personenbezogenen Daten. Die Eventagentur erhält z.B. Adressen der Teilnehmer um sich um die Einladungen für die einzelnen Personen zu kümmern. Der Auftragsverarbeiter, nach Art. 4 Nr. 7 DSGVO, verarbeitet personenbezogene Daten auf Weisung des Auftraggebers. In diesem Fall verarbeitet die Agentur personenbezogene Daten auf Weisung des Veranstalters. Daher sollte der Veranstalter mit der Eventagentur einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abschließen.

Die Eventagentur wird die personenbezogenen Daten in vielen Fällen an andere Dienstleister weitergeben, mit denen sie zur Durchführung des Auftrags zusammenarbeitet. Wenn es sich hier auch um Auftragsverarbeiter handelt, muss die Eventagentur Unterauftragsverarbeitungsverträge schließen. Die Verantwortlichkeit des Veranstalters besteht darin, sich zuverlässige Auftragsverarbeiter auszusuchen, die hinreichende Garantien bieten, dass technische und organisatorische Maßnahmen bestehen, um den Schutz der Rechte der Betroffenen zu gewährleisten. Auch müssen die Unterauftragnehmer der Eventagentur die gleichen Garantien bezüglich der Erfüllung der DSGVO leisten.

Caterer

Ein fester Bestandteil bei Firmenevents oder Festen ist das Buffet. Dieses wird normalerweise von einem Catering-Unternehmen zubereitet. Für den Abschluss eines AVV mit einem Catering-Unternehmen sollte keine Notwendigkeit bestehen, da die Kernaufgabe hier nicht in der Verarbeitung von personenbezogenen Daten liegt, sondern im Zubereiten oder Anrichten der Mahlzeiten.

Foto und Videoaufnahmen

Firmenfeiern werden gerne zum Anlass genommen, in ausgelassener Weise Foto- oder Videoaufnahmen von Mitarbeitern zu machen um diese dann im Zweifel im Intranet oder der Website des Unternehmens zu veröffentlichen. Dies ist grundsätzlich, mit einigen Ausnahmen, nur mit einer Einwilligung des Abgelichteten möglich. Die Einwilligung sollte sich auf das Erstellen der Aufnahme und die Veröffentlichung beziehen. Hierbei muss die Einwilligung, die sich auf das Anfertigen der Aufnahmen bezieht, die Voraussetzungen nach Art. 7 DSGVO erfüllen. Die Einwilligung für die Veröffentlichung des Fotos richtet sich nach § 22 KUG.

Voraussetzungen für die Einwilligung sind nach Art. 7 DSGVO sind:

  • Freiwilligkeit,
  • Informiertheit,
  • Hinweis auf das Widerrufsrecht,
  • Ausdrücklichkeit,
  • Nachweispflicht.

Einladungen sind Werbung

Auch wenn es wirklich nur als nette Geste gemeint ist, fallen Einladungen an Geschäftspartner oder Kunden zu einem Firmenevent oder einer Firmenfeierlichkeit unter den weit gefassten Begriff der Werbung, da auch Firmenevents eine geschäftliche Handlung darstellen können, die der Absatzförderung dient. Daher kann auch im Zusenden einer Einladung eine unzumutbare Belästigung nach § 7 UWG vorliegen. Wird die Einladung per Post versendet ist diese auch ohne Einwilligung möglich. Wird die Einladung via E-Mail versendet, sollte die Einwilligung mit dem Double-Opt-In Verfahren eingeholt werden. Bei Bestandskunden kann unter den Voraussetzungen des § 7 III UWG eine Einwilligung entfallen.

Die Ausnahme nach § 7 III UWG liegt vor, wenn

  1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
  2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
  3. der Kunde der Verwendung nicht widersprochen hat und
  4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne das hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Informationspflichten bei Firmenevents

Falls auf dem Firmenevent oder der Firmenfeier personenbezogene Daten erhoben werden, müssen die Informationspflichten nach Art. 13 DSGVO eingehalten werden. Die Informationspflichten könnten auf zwei Arten umgesetzt werden. Wenn die Daten in einem Geschäftsgespräch an einzelnen Ständen erhoben werden, ist es durchaus zumutbar das dem Besucher ein Informationsblatt übergeben wird. Bei einem großen Betriebsfest auf einem Firmengelände könnten die Informationspflichten auch an einem zentralen Ort ausgehangen werden.

Zentrale Punkte bei Firmenevents oder Firmenfeierlichkeiten im Bereich Datenschutz sind demnach AVV mit Eventdienstleistern, Einwilligungen bei Foto oder Videoaufnahmen, eine mögliche Einwilligung bei dem versenden der Einladung auf elektronischen Weg und seinen Informationspflichten nachzukommen. Abschließend kann gesagt werden, dass sich für das Ausrichten von Firmenevents im Vergleich zur alten Rechtslage, mit Ausnahme der Informationspflichten, nicht viel geändert hat. Daher hält sich der Aufwand durch die DSGVO auf diesem Gebiet in Grenzen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

6 Kommentare zu diesem Beitrag

  1. KUG wird durch die DSGVO verdrängt und gilt, wenn überhaupt, nur für die Presse. Bitte auch nochmal LfDI BW Vorgaben anschauen. Eine Einwilligung ist nicht immer oder „grundsätzlich“ erforderlich.

    • Ob das KUG von der DSGVO verdrängt wird oder ob es der Öffnungsklausel des Art. 85 DSGVO unterfällt, ist eine juristisch sehr umstrittene Thematik. Auch aus den LfDI BW FAQ zur Fotografie lässt sich nichts dem Artikel Gegenteiliges entnehmen. Gerade im Beschäftigtenverhältnis sind bei der Verarbeitung personenbezogener Daten (und somit auch der Fotografie) strengere Maßstäbe zu setzen. Wir hatten uns mit der Thematik kürzlich hier und hier beschäftigt. Eine Veröffentlichung ohne Einwilligung im Intranet ist daher nur in Ausnahmefällen möglich.

  2. Dieser Beitrag ist ein Beispiel für die Zumutungen des Datenschutzes bei alltäglichen Vorgängen ohne greifbaren/adäquaten Gegenwert. Die Betroffenen fühlen sich durch Informationen und Einwilligungsformulare verunsichert und belästigt, aus dem Firmenevent wird ein bürokratisches Monstrum. Der Schluss-Satz „Aufwand durch die DS-GVO hält sich auf diesem Gebiet in Grenzen“ ist sicher nicht Mehrheits-Meinung.

    • Der Schluss-Satz mag zwar zutreffend sein – bloß hat sich in der Vergangenheit niemand Gedanken zum Datenschutz gemacht, wenn er zu einem Firmenevent eingeladen hat.

  3. „Abschließend kann gesagt werden, dass sich für das Ausrichten von Firmenevents im Vergleich zur alten Rechtslage, mit Ausnahme der Informationspflichten, nicht viel geändert hat. Daher hält sich der Aufwand durch die DSGVO auf diesem Gebiet in Grenzen.“
    Diese Aussage im Schlusssatz mag zwar grundsätzlich stimmen. Problematisch ist wahrscheinlich in diesem Zusammenhang nur, dass sich bislang niemand bei der Ausrichtung und Einladung zu einer Firmenfeier zu diesen Punkten Gedanken gemacht hat. Insofern ist auch dies wieder ein Beispiel, wie alltägliche Vorgänge in Unternehmen ohne nennenswerten Gegenwert durch die Belange des Datenschutzes erschwert werden. Dem sicherlich wichtigen Gedanken zum Schutz personenbezogener Daten läuft dies in meinen Augen zuwider.

  4. „Wird die Einladung via E-Mail versendet, sollte die Einwilligung mit dem Double-Opt-In Verfahren eingeholt werden.“
    Wie soll das praktisch gehen? In der Einladungsemail nach der Einwilligung zu fragen ist zu spät. Und vorher eine Mail schicken, und eine Einwilligung zu erbitten, um eine Einladung zu schreiben, geht auch nicht… Soll man einen Brief schreiben, mit der Bitte eine Einwilligung zu erteilen, per Email eingeladen zu werden???

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.