Datenschutz bleibt für Konferenz-Veranstalter:innen ein Dauerthema, auch wenn die große Aufregung aus der DSGVO-Anfangszeit vorbei ist. Gerade bei Konferenz-Websites lohnt es sich, genauer hinzusehen. Wie gut sind die Regelungen umgesetzt? Unsere Checkliste führt Sie Schritt für Schritt durch die wichtigsten Punkte.
- Eine DSGVO-konforme Website ist der beste Schutz vor Abmahnungen.
- Ihre Teilnehmenden können darauf vertrauen, dass ihre Daten sicher sind.
- Meist können Sie mit wenig Aufwand viel bewirken.
1. Formulare zum Anmelden, zum Einreichen von Beiträgen oder zur Kontaktaufnahme
Formulare auf der Konferenz-Website sind der direkte Weg zu personenbezogenen Daten. Ob einfache Kontaktanfrage, Registrierung zur Konferenz oder Abstract-Einreichung: Jede Eingabe liefert Informationen, die DSGVO-relevant sind. Mindestens eine E-Mail-Adresse oder Telefonnummer für Rückfragen ist immer dabei. Bei Anmeldeformularen sogar vollständige Namen und Adressen. Darauf sollten Sie achten:
Welche Daten brauchen Sie von den Nutzer:innen wirklich?
Stichwort ist hier „Datensparsamkeit“.
Erheben Sie immer nur die Daten, die Sie für den Zweck wirklich brauchen.
Ein einfaches Kontaktformular kommt meist mit einem Nachrichtenfeld plus E-Mail-Adresse oder Telefonnummer aus. Kennzeichnen Sie immer, welche der Felder Pflichtfelder sind. Darüber hinaus können Sie noch weitere Daten abfragen, die nicht verpflichtend sind.
Wenn Sie bei einem Feld nicht begründen können, dass die Daten wirklich nötig sind, kann es kein Pflichtfeld werden und muss optional bleiben.
Brauchen Teilnehmer:innen einer Tagung unbedingt einen eigenen Account?
in eigenes Konto für die Anmeldung ist nicht immer sinnvoll und widerspricht oft sogar dem Prinzip der Datensparsamkeit. Bieten Sie nach Möglichkeit die Wahl: Registrierung mit oder ohne Konto. Die Person entscheidet dann selbst.
Verschlüsseln Sie die Daten der Teilnehmenden?
Sobald Sie personenbezogene Daten abfragen, ist Verschlüsselung Pflicht.
Kümmern Sie sich um ein SSL-Zertifikat. Es sorgt dafür, dass die Verbindung geschützt ist (erkennbar an „https://“ und dem Schloss-Symbol im Browser).
Wissen die Teilnehmer:innen, was mit ihren Daten passiert?
Machen Sie transparent, wie Sie die Daten verwenden, die die Nutzer:innen eingeben.
Ein Hinweis direkt am Formular ist Pflicht: kurzer Text, klare Erklärung, Link zur Datenschutzerklärung. Und: erst nach aktiver Zustimmung durch die Person dürfen die Daten verarbeitet werden.
Die Zustimmung zur Datenverarbeitung berechtigt Sie nicht, automatisch Newsletter an die Teilnehmenden einer Konferenz zu verschicken. Dafür braucht es eine gesonderte Einwilligung. Bauen Sie dazu eine Checkbox ein, die eine Person anhakt und dadurch zustimmt.
2. Analyse- und Trackingtools
Viele Konferenz-Websites nutzen Analysewerkzeuge, um besser zu verstehen, wie Besucher auf die Seite kommen und sich dort bewegen. Solche Tools wie Google Analytics sind weiterhin erlaubt, sofern zwei Voraussetzungen erfüllt sind:
Anonymisieren Sie die IP-Adressen der Besucher:innen?
Tracking-Tools erfassen in der Regel IP-Adressen, die als personenbezogene Daten gelten. Das hat der BGH bestätigt. Personenbezogene Daten müssen anonymisiert werden. Bei Google Analytics reicht eine kleine Anpassung am Tracking-Code, um die IP standardmäßig zu kürzen.
Können die Besucher:innen der Website widersprechen?
Besucher:innen der Konferenz-Website müssen wissen, ob und welche Tracking-Tools Sie einsetzen. Sie brauchen außerdem eine Möglichkeit, das Tracking abzulehnen. Google stellt dafür etwa ein Opt-out-Browser-Addon bereit.
3. Externe Dienste und Plugins
Social-Plugins wirken harmlos, sammeln aber oft schon beim Laden der Seite personenbezogene Daten und liefern sie an Plattformen wie Facebook oder Google. Viele Nutzer ahnen davon nichts. Das macht die Einbindung datenschutzrechtlich besonders heikel.
Nutzt Ihre Konferenz-Website Social Plugins?
Social-Media-Buttons sind bequem, doch sie schicken Daten an die Plattformen, sobald sie erscheinen. Weisen Sie in der Datenschutzerklärung sichtbar darauf hin, dass Sie solche Plugins einsetzen.
Noch besser: Verwenden Sie eine datenschutzfreundliche Variante, die erst Daten übermittelt, wenn jemand bewusst auf den Button klickt.
Verwenden Sie den erweiterten Datenschutzmodus für Videos?
Betten Sie Videos auf der Konferenz-Website ein, schicken die ebenfalls Daten an die jeweilige Plattform, sobald die Seite lädt. YouTube bietet dafür eine Lösung: den erweiterten Datenschutzmodus. Mit dieser Einstellung übermittelt YouTube erst dann Daten, wenn jemand das Video wirklich abspielt.
4. Cookies
Ein Cookie ist eine kleine Datei, die sich bestimmte Details merkt, die mit dem Besuch einer Website in Verbindung stehen. Beim nächsten Besuch werden die Einstellungen dann wieder geladen, sodass die Website etwa gleich in der richtigen Sprache angezeigt wird.
Bislang hat es ausgereicht, die Nutzer:innen auf das Setzen der Cookies hinzuweisen. Die DSGVO verlangt deutlich mehr Transparenz.
Brauchen Sie eine Einwilligung zum Setzen von Cookies?
Grundsätzlich dürfen Sie Cookies, die personenbezogene Daten betreffen oder das Nutzer:innenverhalten verfolgen, nur nach ausdrücklicher Zustimmung setzen. Nutzer:innen müssen selbst entscheiden können, welche Cookies sie erlauben wollen.
Was ist mit technisch notwendigen Cookies?
Es gibt Cookies, ohne die eine Konferenz-Website nicht funktioniert. Für die gibt es eine Ausnahme: Sie dürfen gesetzt werden, ohne dass Nutzer:innen aktiv zustimmen müssen.
Bei einer Konferenz-Website betrifft das z. B. Cookies, die den Warenkorb beim Ticketkauf betreffen. Die Software merkt sich, welche Angebote eine Person in ihren Warenkorb gelegt hat, damit sie beim nächsten Besuch die Anmeldung zur Konferenz fortsetzen kann.
5. Auftragsdatenverarbeitung
Laut DSGVO müssen Unternehmen einen Vertrag zur Auftragsdatenverarbeitung (ADV) abschließen, sobald sie personenbezogene Daten von Dienstleistern verarbeiten.
Sowohl der Dienstleister als auch Sie als Auftraggeber handeln ordnungswidrig, wenn sie sich nicht um einen ADV kümmern.
Haben Sie einen ADV-Vertrag mit dem Hoster der Konferenz-Website bzw. dem Anbieter der Konferenz-Software?
Immer dann, wenn auf Ihrem Webspace oder innerhalb Ihrer Software personenbezogene Daten erfasst werden, brauchen Sie einen ADV-Vertrag.
Das betrifft zum Beispiel:
- Hosting der Konferenz-Website
- Anmeldung der Teilnehmer:innen
- Beitragseinreichung
- Kommunikation über die Konferenz-Software
Haben Sie einen Vertrag mit Google geschlossen?
Nutzen Sie Google-Tools wie etwa Google Analytics auf Ihrer Konferenz-Website, braucht es auch einen ADV-Vertrag. Er kann direkt in den Kontoeinstellungen online abgeschlossen werden. Die DSGVO erlaubt es, den Vertrag auch elektronisch zu schließen.
Arbeiten Sie mit Dienstleistern außerhalb der EU zusammen?
Hier gelten zusätzliche Anforderungen.
Ein ADV-Vertrag ist auch hier Pflicht. Holen Sie vom Anbieter zusätzlich detaillierte Infos zum Datenschutz ein. Prüfen Sie, ob ein valider Schutz für den Transfer der Daten besteht.
6. Einverständnis
Ohne eindeutige Zustimmung seitens der Website-Besucher:innen geht seit der DSGVO nichts mehr. Jede Nutzung personenbezogener Daten braucht ein aktives und nachvollziehbares „Ja“.
Verzichten Sie auf ausgefüllte Kontrollkästchen?
Optionen wie Newsletter-Abos dürfen nicht vorausgefüllt sein. Nutzer müssen aktiv entscheiden und selbst ankreuzen, welche Angebote sie in Anspruch nehmen möchten.
Nutzen Sie das Double-Opt-in-Verfahren?
Damit nicht jemand irgendwelche Personen für Ihren Newsletter anmeldet, sichern Sie sich mit dem Double-Opt-in ab. Die Besitzer:innen der E-Mail-Adressen erhalten dann eine Nachricht mit einem Bestätigungslink. Erst wenn sie den anklicken, landet der Name im Verteiler.
Dokumentieren Sie die Einwilligung der Nutzer:innen?
Jede Zustimmung muss belegbar sein. Beim Double-Opt-in ist das einfach: Die Bestätigung per Link wird automatisch gespeichert.
Können Besucher:innen widersprechen?
Um beim Newsletter zu bleiben: Jede Mail muss einen Link zum Deabonnieren enthalten. Beim Klick darauf wird die Person aus der Liste der Empfänger:innen ausgetragen. Das darf nicht schwieriger sein als das Eintragen.
7. Fotos und Videos
Bilder und Videos bringen Ihre Konferenz online zum Leben und helfen Ihnen beim Werben für künftige Veranstaltungen. Seit der DSGVO sollten Sie dabei jedoch ein paar Regeln beachten.
Gibt es Fotohinweise?
Wenn Sie Fotos und Videos vor Ort machen, müssen die Teilnehmenden das wissen.
Informieren Sie darüber:
• wofür die Fotos/Videos verwendet werden
• wie lange sie gespeichert werden
• welche Rechte die Teilnehmenden haben
Was tun Sie, wenn ein:e Teilnehmer:in der Konferenz Widerspruch einlegt?
Prof. Härting schlägt außerdem vor, dass Sie sich immer auf Ihr berechtigtes Interesse als Veranstalter:in berufen, wenn es um Foto- oder Videoaufnahmen geht.
Alternativ könnten Sie von jeder Person auf der Konferenz eine ausdrückliche Erlaubnis einholen. Die Teilnehmenden können die Einwilligung aber jederzeit widerrufen. Das kann Ihnen zum Verhängnis werden.
Weitere Tipps für mehr Sicherheit beim Planen Ihrer Konferenz
Ähnlich beliebt wie das Thema Datenschutz: Steuern! Wir erklären, was Sie beim Ticketverkauf für Ihre Konferenz beachten sollten.
Nächstes Gesetz, noch mehr Unklarheiten: Aber zum Glück auch ein Artikel, in dem wir alle Fragen zum Barrierefreiheitsstärkungsgesetz beantworten.
Hinweis
Dieser Artikel soll Ihnen einen Überblick geben, welche Punkte beim Erstellen einer Konferenz-Website im Hinblick auf die aktuelle Gesetzeslage von Bedeutung sind. Der Text erhebt keinen Anspruch auf Vollständigkeit und ist keine Rechtsberatung. Für inhaltliche Fragen oder Sonderregelungen in Bezug auf Ihre Konferenz-Website sollten Sie sich individuell von einem Rechtsanwalt beraten lassen.