Bereits im April 2016 ist die neue EU-Datenschutzverordnung in Kraft getreten. Angewendet werden die Gesetze aber erst ab dem 25. Mai 2018. Die Übergangsphase ist also noch nicht vorbei und Unternehmen bleiben noch ein paar Monate Zeit für Anpassungen. Viele sind sich allerdings noch nicht darüber im Klaren, welche Veränderungen auf sie zukommen oder wer genau für deren Umsetzung zuständig ist. Das kann schwerwiegende Folgen haben, denn ab Mai drohen empfindliche Sanktionen. Eine große Umstellung bedeutet das vor allem für Unternehmen, deren Sitz außerhalb der EU liegt und für die bislang keine so strengen Datenschutzvorschriften galten.
Dabei betrifft die DSGVO alle, die sensible Daten erheben und weiterverarbeiten. Dazu gehören auch Organisatoren von Konferenzen, die spätestens bei der Registrierung der Teilnehmer mit personenbezogenen Daten in Berührung kommen, und Softwarehersteller, die Veranstaltern die technischen Werkzeuge bereitstellen, über die die Teilnehmeranmeldung oder die Zahlung der Konferenzgebühren laufen.
Warum eine DSGVO, wenn es schon Datenschutzgesetze gibt?
Die bisherige EU-Datenschutzrichtlinie, die nun durch die DSGVO abgelöst wird, gilt schon seit 1995. Sie stammt demnach aus einer Zeit, in der private und unternehmerische Online-Aktivitäten größtenteils die Ausnahme waren und noch nicht über Big Data und Cloud Computing diskutiert wurde. Inzwischen haben sich nicht nur die technischen Voraussetzungen und Möglichkeiten grundlegend geändert, sondern auch die Art, wie Unternehmen und Nutzer miteinander kommunizieren und auf Daten zugreifen. Ein weiteres Problem ist durch die teilweise höchst unterschiedliche Implementierung der Richtlinie in den einzelnen EU-Mitgliedsstaaten entstanden. Statt eines einheitlichen Gesetzes für alle gibt es viele verschiedene. Eine Änderung der Situation, die Geschäfte innerhalb der EU vereinfacht, war also lange überfällig. Weil die DSGVO eine Verordnung und keine Richtlinie ist, findet sie automatisch in jedem EU-Mitgliedsstaat Anwendung. Eine vorherige Anpassung und Implementierung in nationales Recht ist nicht mehr nötig. In Deutschland fallen die Änderungen, die sich aus der Verordnung ergeben, vergleichsweise moderat aus. Weil das bisher geltende Datenschutzgesetz schon sehr streng gefasst ist, stehen deutschen Unternehmen keine allzu großen Überraschungen ins Haus, wohl aber einiger Anpassungsbedarf, der nicht unterschätzt werden sollte.
Was bedeutet die Verordnung für Veranstalter?
Wie in so ziemlich jeder Branche sind auch Veranstaltungsplaner daran interessiert, Besucher und deren Wünsche kennenzulernen. Nur so lassen sich Abläufe vereinfachen und weiterhin Tickets verkaufen: Wer um die Technikbegeisterung der eigenen Teilnehmer weiß, wird eher eine Konferenz-App anbieten. Stellt sich heraus, dass die meisten Tagungsbesucher an Hochschulen arbeiten,kann der Veranstalter beim nächsten Mal gezielt dort werben. Mit solchen Daten lässt sich eine ganze Menge anstellen und schließlich geben die Teilnehmer ausführlich Auskunft beim Registrieren, der Zahlung oder der Beitragseinreichung. Wie und vor allem wo es mit den Sammlungen weiterging, war bis jetzt zweitrangig. Die DSGVO schiebt der Sammelwut nun einen Riegel vor, indem sie Einzelpersonen stärker in den Fokus rückt und diesen in Bezug auf die Erhebung und Verwendung ihrer Daten mehr Rechte einräumt. Die Bestimmungen gelten sogar dann, wenn der Veranstalter selbst gar keine Konferenzen in der EU ausrichtet, sich aber EU-Bürger anmelden. Daran halten müssen sich außerdem Anbieter technischer Lösungen, die mit Teilnehmerdaten arbeiten. Auch hier spielt es keine Rolle, ob der Anbieter aus Rom oder Toronto kommt – die Einhaltung der DSGVO ist Pflicht. Auch ein Firmensitz in einem Land mit niedrigem Datenschutzniveau ist ab Mai 2018 keine Ausweichlösung mehr.
Was muss angepasst werden?
Hinter allen Neuregelungen steht der Gedanke, dass Personendaten immer der Person selbst gehören und nicht zum Eigentum des Unternehmens werden, das über diese verfügen kann. Das gilt auch dann, wenn das Unternehmen eine Erlaubnis zur Datenerhebung und -analyse erhält. Teilnehmer einer Veranstaltung sollen jederzeit die Kontrolle über die Speicherung und Verwendung ihrer persönlichen Informationen behalten.
Konkret betrifft das folgende Bereiche der DSGVO:
Recht auf Löschung (Art. 17)
Konferenzteilnehmer können verlangen, dass ihre Daten gelöscht werden, wenn diese nicht mehr benötigt werden und es keine Gründe gibt, warum die Daten nach dem Ende der Veranstaltung noch weiter auf dem Server liegen sollten. Ist die Konferenz vorbei und jemand möchte keine Newsletter oder Einladungen zu weiteren Veranstaltungen erhalten, muss der Veranstalter sicherstellen, dass die Daten nicht mehr bei ihm oder dem Anbieter einer Software gespeichert sind, mit deren Hilfe die Konferenz verwaltet wurde.
Recht auf Datenübertragbarkeit (Art. 20)
Diese Regelung lässt sich am ehesten mit der Mitnahme der eigenen Telefonnummer bei einem Wechsel des Anbieters vergleichen. Sie besagt, dass Konferenzteilnehmer die Herausgabe ihrer persönlichen Daten verlangen dürfen, um diese zu einem anderen Anbieter zu portieren. Auch hierfür muss der Anbieter der Konferenz-Software die technischen Mittel zur Verfügung stellen, um die Daten herauszugeben – laut Gesetz in einem „strukturierten, gängigen und maschinenlesbaren Format“.
Auftragsverarbeitung von Daten (Art. 28ff.)
Der Anbieter einer Konferenz-Software (=Auftragsverarbeiter) nutzt personenbezogene Daten, weil der Veranstalter ihn dazu beauftragt hat. Das Bundesdatenschutzgesetz (BDSG) hat das „im Auftrag“ so ausgelegt, dass der Veranstalter die alleinige Verantwortung trägt und Software-Anbieter mit den Daten arbeiten dürfen, ohne eine Erlaubnis einholen zu müssen. Mit der DSGVO wird die Verantwortung auf den Auftragsverarbeiter ausgeweitet. Dieser muss nun z.B. alle beauftragten Tätigkeiten in einem Verzeichnis erfassen und geeignete technische und organisatorische Datenschutzmaßnahmen ergreifen. Der Anbieter darf die Personendaten nicht für eigene Zwecke verarbeiten, wenn das nicht ausdrücklich zum Auftrag gehört, den der Veranstalter erteilt hat.
Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25)
Was im Deutschen sehr sperrig klingt, wird in der englischen Version einfach als „privacy by design & default“ bezeichnet. Das Prinzip dahinter besagt: Wer bereits bei der Entwicklung technischer Lösungen Datenschutzaspekte berücksichtigt, kann die Daten am Ende auch besser schützen („privacy by design“). Welche Maßnahmen dabei genau ergriffen werden müssen, ist nicht festgelegt – je nach Anwendung und Aufwand variiert das ohnehin, dazu gehören sollte aber beispielsweise eine verschlüsselte Datenübertragung oder eine Authentifizierung aller Software-Nutzer. Zudem sollten die getroffenen Voreinstellungen bereits auf den Schutz der Daten abzielen („privacy by default“). Nutzer müssen also nicht erst mühsam selbst alle Einstellungen vornehmen, um ihre Daten zu schützen. Das fällt vielen schwer, die sich selbst nicht intensiv mit dem Thema beschäftigen, deren Daten aber genauso schutzwürdig sind.
Stellung des Datenschutzbeauftragten (Art. 37)
Ein betrieblicher Datenschutzbeauftragter muss laut DSGVO von allen Unternehmen benannt werden, deren Tätigkeit datenschutzrechtlicher Kontrolle bedarf und gleichzeitig maßgeblich zur Erreichung der Unternehmensziele beiträgt. Das ist etwa dann der Fall, wenn viele Personendaten verarbeitet werden müssen oder die Daten längere Zeit gespeichert werden. Wer derjenige ist, muss auch für Außenstehende wie Veranstaltungsteilnehmer oder Aufsichtsbehörden erkennbar sein. Auf der Website des Unternehmens muss der Datenschutzbeauftragte aber nicht namentlich genannt werden, stattdessen ist eine (allgemeine) Telefonnummer ausreichend, über die der Beauftragte leicht erreichbar ist. Das kann eine Hotline oder eine direkte Durchwahl sein. Aus den eigenen Reihen des Unternehmens muss die Person aber nicht kommen. Externe Datenschutzbeauftragte bringen Qualifikationen und Expertenwissen mit, das sich ein Angestellter erst durch Weiterbildungen aneignen müsste, und sind deshalb oft die besseren Ansprechpartner. Innerhalb des Unternehmens sollten dennoch alle mit der Datenschutzproblematik vertraut sein und die Gesetzeslage kennen.
Meldepflicht bei Datenpannen (Art. 33f.)
Kann ein Unternehmen den Datenschutz nicht mehr garantieren, weil Personendaten einem Hacker-Angriff zum Opfer gefallen sind oder ein Angestellter einen Datenträger verloren hat, auf dem Kreditkartendaten gespeichert waren, muss das innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden. In der Meldung wird erfasst, was passiert ist, wie viele Personen davon betroffen sind, welche Folgen die Panne hat und was dafür getan wird, um diese zu beheben oder den Schaden zu begrenzen. Je mehr Maßnahmen das Unternehmen zum Datenschutz ergreift, desto kürzer wird die Meldung. Das Unternehmen muss immer selbst entscheiden, ob eine Meldung herausgegeben wird. Dabei hilft die Frage, ob ein Risiko für Personen besteht oder nicht. Eine Meldung wäre beispielsweise nicht notwendig, wenn die Daten auf dem verlorenen Datenträger ordnungsgemäß verschlüsselt waren und von Unbefugten nicht gelesen werden können. Bei der Einschätzung ist jedoch Vorsicht geboten: Zieht die Panne wider Erwarten größere Auswirkungen nach sich als gedacht, hat das ein Bußgeld zur Folge. Intern dokumentiert werden muss allerdings jede Datenpanne. Bei einem hohen Risiko müssen außerdem die Betroffenen direkt oder – falls das sehr viele sind – über eine öffentliche Bekanntmachung informiert werden. Ein Software-Anbieter, der Teilnehmerdaten im Auftrag eines Veranstalters verarbeitet, sollte Datenpannen auf jeden Fall zumindest dem Veranstalter melden.
Datenschutzerklärung und Einwilligung (Art. 5ff.)
So ziemlich jeder, der Websites erstellt oder Software anbietet, möchte mehr über deren Nutzung in Erfahrung bringen. Eine große Hilfe dabei sind Tracking-Tools, die im Hintergrund Aktionen der Nutzer aufzeichnen und analysieren. Weil sich die Tools selbst gar nicht bemerkbar machen, bekommen die Nutzer nichts davon mit. Das soll sich ändern. Eine Beschreibung, welche Daten erfasst werden, darf in Zukunft nicht mehr fehlen. Ein Unternehmen muss deshalb die Datenschutzerklärung auf der Website erweitern:
- Welche Nutzerdaten werden erhoben und gespeichert?
- Wozu werden diese genutzt?
- Welche Daten werden an andere weitergegeben und wozu?
- Welche Tools zur Website-Analyse werden eingesetzt und welche Daten sind davon betroffen?
- Verwendet die Website Social Media-Plug-ins oder verlinkt auf Profile in sozialen Netzwerken?
- Wie werden die Daten gegen möglichen Verlust oder Beschädigung gesichert? Wird SSL-Verschlüsselung eingesetzt?
- Wie ist eine Kontaktaufnahme zum Beitreiber der Website möglich und welche Daten sind dazu erforderlich? Wer ist für Datenschutzangelegenheiten zuständig?
- Wo und wie erhalten Nutzer Auskunft über die von ihnen gespeicherten Daten oder können deren Löschung beantragen?
- Wie aktuell ist die Datenschutzerklärung?
Auf Schachtelsätze und unverständliche Fachbegriffe verzichten Sie bei der Anpassung der Erklärung lieber. Die Verordnung verlangt, dass jede Datenschutzerklärung präzise, transparent und auch für Laien leicht verständlich formuliert ist.
Eine der wichtigsten Fragen lautet ab sofort: Haben die Besucher zugestimmt? Jede Einwilligung muss dokumentiert werden, um diese notfalls nachweisen zu können. Die EU-Richtlinie zu Cookies wurde bislang in Deutschland nicht umgesetzt. Auf vielen Websites begegnen Nutzer ja seit einiger Zeit dem Hinweis, dass diese Cookies verwendet und der Nutzer dem mit einem Klick auf „OK“ zustimmen muss. Das reicht nun nicht mehr aus, denn Nutzer müssen nun explizit ihre Zustimmung geben. Tun sie das nicht, müssen die Inhalte trotzdem für sie zugänglich sein. „Ich stimme der Verarbeitung meiner Daten zu“ – gegen einen solchen Satz ist dabei per se nichts einzuwenden, allerdings darf sich daneben nur ein leeres Kästchen befinden, das die Person ankreuzt – oder eben nicht. Ist der Haken standardmäßig schon gesetzt, zählt das nicht als Einwilligung. Zwei nebeneinander platzierte Buttons, bei denen der Nutzer wählt, ob er zustimmt oder nicht, wären dagegen gesetzeskonform. Ist die Einwilligung einmal erteilt, hat der Teilnehmer das Recht, sich seine Entscheidung noch einmal anders zu überlegen und das ebenfalls mitzuteilen. Das darf nicht mehr Zeit und Aufwand in Anspruch nehmen als die Einwilligung. Ein wenig kulanter zeigt sich die Verordnung bei Konferenzen, bei denen die Anmeldung vor dem 25. Mai 2018 startet und erst danach endet. Personen, die sich vor dem 25. angemeldet haben, müssen dann nicht noch einmal explizit nach ihrer Einwilligung gefragt werden.
Rechenschaftspflicht (Art. 5)
Mit der Rechenschaftspflicht taucht ein ganz neuer Begriff im Bereich des Datenschutzes auf. Auskunft über ihre Datenschutzmaßnahmen mussten Unternehmen bis jetzt nur geben, wenn sich entweder eine Aufsichtsbehörde danach erkundigt hat oder es zu Verstößen kam. Die DSGVO verlangt nun, dass unabhängig davon nachzuweisen ist, dass die Vorgaben eingehalten werden und jederzeit belegt werden können. Das bedeutet viel Aufwand für den Datenschutzverantwortlichen, der entsprechende Kontrollen durchführen und die Ergebnisse dokumentieren muss.
Ganz ausführlich hat außerdem die Kanzlei Hunton & Williams die Unterschiede zwischen der Richtlinie von 1995 und der DSGVO gegenübergestellt, während die Europäische Kommission die wichtigsten Punkte in Form einer Infografik zusammengefasst hat.
Was, wenn die Änderungen verspätet umgesetzt werden?
Genau wie bisher werden Verstöße und eine nicht termingerechte Implementierung der neuen Gesetze mit einem Bußgeld geahndet. Das Aussitzen der Änderungen funktioniert nicht mehr. Je nach Größe und Umsatzstärke des Unternehmens lag das Bußgeld bislang unterhalb der Schmerzgrenze, weshalb viele eher zur Zahlung anstatt zur gesetzeskonformen Implementierung der Vorschriften bereit waren. Auf das Bußgeld folgte dann nämlich nichts mehr, wohingegen jetzt explizit verlangt wird, zusätzlich die Änderungen umzusetzen. Gegen Verstöße wird zudem künftig drastischer vorgegangen. Anstelle fester Geldbeträge ist dann jeweils ein bestimmter Prozentsatz des Jahresumsatzes aus dem Vorjahr zu zahlen. Das Maximum liegt bei 4% bzw. bei 20 Millionen Euro, je nachdem, welcher der Beträge der höhere ist.
Wo wird es in Zukunft noch Probleme geben?
Mehr Arbeit kommt mit der DSGVO nicht nur auf Unternehmen zu. Bei den Aufsichtsbehörden wird sich die neue Gesetzeslage genauso bemerkbar machen. Bisher mussten Unternehmen nur besonders schwerwiegende Datenpannen dort melden. Nachdem die DSGVO die Meldepflicht stark verschärft, werden bald schon einige Meldungen mehr eingehen und es wird länger dauern, bis diese abgearbeitet sind. Hundertprozentig deckungsgleiche Gesetze in allen Mitgliedsstaaten könnten trotz des Anspruchs der DSGVO wieder in weite Ferne rücken. Die Verordnung beinhaltet Öffnungsklauseln für Sonderregelungen der Mitgliedsstaaten, wodurch einzelne Länder wieder die Möglichkeit hätten, die Vorschriften anzupassen und das Ausgangsproblem der unterschiedlichen Gesetze schon wieder da wäre, wenn auch in abgeschwächter Form. Auch in anderen Punkten wird die Verordnung kritisiert.
Was kann Converia Veranstaltern bieten?
Für viele Anbieter von Konferenz-Software wird die DSGVO eine große Umstellung bedeuten. Insbesondere die, die keinen Sitz in der EU haben und Teilnehmerdaten etwa auf US-amerikanischen Servern speichern, werden ihre Prozesse grundlegend umkrempeln müssen. Fraglich ist, ob das bis Mai 2018 abgeschlossen sein wird und ob bis dann alles gesetzeskonform abläuft. Besser wäre es hier also nach wie vor, auf einen Anbieter aus Deutschland zu setzen, dessen Leistungen bereits jetzt datenschutzkonform sind und der auch in Zukunft darauf bedacht sein wird, veränderten Vorschriften nachzukommen. Wenn Sie am 28. Mai bereits mitten in der Planungsphase stecken, geht das leicht unter. Weil auch auf Veranstalter ein Mehraufwand zukommt, empfiehlt sich eine All-in-One-Lösung. Mehrere Systeme zur Verwaltung einer Konferenz einzusetzen könnte problematisch werden. Sensible Daten liegen dann gleich auf mehreren Servern, was unübersichtlich und unsicher ist – und laut der neuen Verordnung weitere Arbeit für Sie bedeutet, da Sie den Teilnehmern etwa erklären müssen, wo deren Daten überall gespeichert sind und was die Anbieter im Einzelnen damit tun dürfen.
Die wichtigsten Punkte für alle Veranstalter haben wir außerdem noch in Form einer Infografik zusammengefasst:
Dieser Artikel soll Ihnen dabei helfen, sich einen Überblick über die DSGVO und die damit verbundenen Aufgaben zu verschaffen. Der Text erhebt keinen Anspruch auf Vollständigkeit und ist keine Rechtsberatung. Für inhaltliche Fragen oder Sonderregelungen in Bezug auf Ihre Veranstaltungen sollten Sie sich individuell von einem Rechtsanwalt beraten lassen.