Datenschutz bei Veranstaltungen: So gelingt die Organisation

Einleitung Datenschutz bei Veranstaltungen

Vor diesem Hintergrund ist es essenziell, dass Veranstalter personenbezogene Daten nur in dem Umfang erheben, der für die Durchführung der Veranstaltung, einschliesslich des Ticketverkaufs, zwingend erforderlich ist. Die vom Veranstalter bearbeiteten Daten dürfen ausschliesslich für den angegebenen Zweck – beispielsweise die Anmeldung oder die Kommunikation im Rahmen der Veranstaltung – genutzt werden und nur so lange gespeichert bleiben, wie sie benötigt werden oder eine andere Rechtsgrundlage dafür besteht.

Ein zentraler Aspekt hierbei ist die Transparenz: Teilnehmer müssen klar und verständlich darüber informiert werden, welche Daten erhoben werden, zu welchem Zweck diese genutzt werden, ob sie an Dritte gegebenenfalls ins Ausland weitergegeben werden und wie lange sie gespeichert bleiben. Bei einer Weitergabe der Personendaten ins Ausland ist zudem ein angemessener Datenschutz zu gewährleisten. Diese Transparenzanforderungen werden regelmässig durch die Publikation einer Datenschutzerklärung oder eines entsprechenden Datenschutzhinweises erfüllt.

Wenn personenbezogene Daten auch für andere Zwecke als die Durchführung einer Veranstaltung im engeren Sinne (z.B. Marketingmassnahmen oder Foto- und Videoaufnahmen) verwendet werden sollen, ist regelmässig eine Einwilligung und teilweise sogar eine ausdrückliche Einwilligung der Veranstaltungsteilnehmer erforderlich. Werden ferner externe Dienstleister wie Fotografen oder Ticketplattformen in die Durchführung der Veranstaltung eingebunden, muss die Bearbeitung und Sicherheit der Personendaten durch diese Dritten vertraglich geregelt werden – beispielsweise durch einen Auftragsverarbeitungsvertrag.

Darüber hinaus müssen die Rechte der betroffenen Veranstaltungsteilnehmer gewahrt bleiben.

Um die datenschutzrechtlichen Anforderungen praxisnah zu veranschaulichen, werden im Folgenden einzelne Phasen der Veranstaltungsdurchführung genauer betrachtet und deren relevante Aspekte im Hinblick auf den Datenschutz bei Veranstaltungen erläutert.

1. Ticketverkauf → 2. Teilnehmerliste → 3. Veranstaltung → 4. Öffentliche Kommunikation

1. Datenbearbeitung im Rahmen des Ticketverkaufs

Als Veranstalter gibt es verschiedene Möglichkeiten einen Ticketverkauf zu gestalten. So kann ein Veranstalter zum Beispiel Tickets online oder physisch am Ort der Veranstaltung verkaufen oder sogar gar keine Tickets für die Veranstaltung ausgeben und diese lediglich zur freien Teilnahme bewerben. Im Rahmen des Ticketverkaufs stellt sich aus datenschutzrechtlicher Sicht in jedem Fall die Frage, welche Personendaten für den Ticketverkauf zwingend bearbeitet werden müssen und welche Daten aus Sicht des Veranstalters gegebenenfalls zu Werbezwecken oder zur Personalisierung der Veranstaltung freiwillig noch erhoben werden sollten. Konkret sollten Veranstalter sich daher die nachstehenden Fragen in diesem Zusammenhang stellen:

• Haben Sie von den Ticketkäufern nur jene Personendaten abgefragt, welche Sie tatsächlich für die Abwicklung des Verkaufs benötigen (z.B. Personalien Käufer, Zahlungsinformationen, Versanddaten, Kontaktangaben zur Zustellung der Bestätigung)?
• Sind alle weiteren abgefragten Personendaten auf freiwilliger Basis zur Verfügung gestellt worden (z.B. Geschlecht, Telefonnummer, ggf. Informationen zur Erstellung eines Kontos auf der Ticketing-Plattform)?

Nachdem der Veranstalter die vorstehenden Fragen für sich beantwortet hat, muss dieser noch sicherstellen, dass er die betroffenen Personen angemessen über die Beschaffung von Personendaten informiert hat. Dies umfasst mindestens die Identität und die Kontaktangaben des Verantwortlichen (i.d.R. der Veranstalter), den Bearbeitungszweck der Datenbearbeitung und gegebenenfalls die Empfänger oder die Kategorien von Empfängern, von Personendaten. Im Fall einer Bekanntgabe von Personendaten ins Ausland, ist zudem auch der Staat inkl. der Massnahmen zur Sicherstellung eines angemessenen Datenschutzes bekannt zu geben. Hinsichtlich der beschriebenen Bearbeitungszwecke ist sicherzustellen, dass alle geplanten Bearbeitungszwecke explizit beschrieben werden. Die Rechtmässigkeit der Änderung des Bearbeitungszwecks oder gar eine Sekundärnutzung ist aktuell noch stark eingeschränkt.

Als gesonderter Hinweis ist zudem zu beachten, dass bei der Zusammenarbeit mit einer Ticketing-Plattform vertraglich sichergestellt wird, dass die Personendaten durch den Anbieter nur so bearbeitet werden, wie der Veranstalter selbst dies tun dürfte und der Anbieter eine angemessene Datensicherheit gewährleistet. Ferner muss sich der Veranstalter vorbehalten, dass der Anbieter Personendaten nur mit vorgängiger Genehmigung des Veranstalters an einen Dritten übertragen werden darf. Ungeachtet dessen kann es der Fall sein, dass der Anbieter einer Ticketing-Plattform weitere Personendaten bearbeitet, für die der Veranstalter nicht als Verantwortlicher agiert. Dies ist insbesondere der Fall, wenn der Veranstalter nicht allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet.

2. Datenbearbeitung im Rahmen der Verwaltung der Teilnehmerliste

Bei privaten oder auf einen bestimmten Personenkreis beschränkten Veranstaltungen wird regelmässig eine Übersicht der Teilnehmer erstellt, wobei es ebenfalls zu einer Bearbeitung von Personendaten kommt. Je nach Art der Veranstaltung werden mehr oder weniger Daten (z.B. Namen, Kontaktangaben, Ernährungspräferenzen) über die Teilnehmer bearbeitet. Wie im Rahmen des Ticketverkaufs nach Ziffer 1 ist auch bei der Verwaltung der Teilnehmerlisten darauf zu achten, dass nur jene Informationen erhoben werden, welche für die Teilnahme an der Veranstaltung zwingend notwendig sind. Veranstalter können selbstverständlich auch in diesem Zusammenhang weitere Personendaten erheben, sofern diese durch die Teilnehmer freiwillig abgegeben werden. Im Übrigen kann auch auf die vorstehenden Ausführungen zu Transparenz, Zusammenarbeit mit Dritten und Datensicherheit unter Ziffer 1 verwiesen werden.

Bei Teilnehmerlisten ist beim Datenschutz bei Veranstaltungen besonders darauf zu achten, dass für den Fall der Veröffentlichung oder Weitergabe solcher Listen, die Teilnehmer darüber informiert werden und diese die Möglichkeit haben, der Veröffentlichung oder Zustellung an die übrigen Teilnehmer zu widersprechen. Dies kann gegebenenfalls auch in der Datenschutzerklärung aufgenommen werden, allerdings muss sichergestellt sein, dass eine solche Widerspruchsmöglichkeit einfach zugänglich und ausübbar ist.

3. Datenbearbeitung während der Veranstaltung insbesondere betreffend Fotos und andere Aufnahmen

Grundsätzlich hat jede Person ein Recht am eigenen Bild. Das bedeutet auch, dass grundsätzlich jede Person darüber entscheiden kann, ob und in welcher Form ihr Bild aufgenommen und veröffentlicht werden darf. Sofern nun an einer Veranstaltung Fotografien oder andere Aufnahmen gemacht werden, bedeutet dies, dass sowohl die datenschutzrechtlichen wie auch die persönlichkeitsrechtlichen Bestimmungen berücksichtigt werden müssen. Aus datenschutzrechtlicher Sicht werden Aufnahmen grundsätzlich relevant, wenn die abgebildeten Personen erkennbar sind. Dies gilt auch bei Gruppenaufnahmen, ausser keine der abgebildeten Personen auf der Gruppenaufnahme tritt aus der Aufnahme hervor. Inwiefern eine abgebildete Person erkennbar ist, muss jeweils im Einzelfall analysiert werden.

Um eine Person auf Bild- oder Videoaufnahmen für Veröffentlichungszwecke aufzunehmen, bedarf es eines Rechtfertigungsgrundes. Dieser liegt in der Regel in der Einwilligung der abgebildeten Person oder in einem überwiegenden öffentlichen oder privaten Interesse. Ein öffentliches oder privates Interesse kann allerdings in der Regel nur mit Zurückhaltung angenommen werden. Dies ist zum Beispiel der Fall bei Berichterstattungen über öffentliche Veranstaltungen wie Sportanlässe oder Konzerte oder bei Medienberichten unter Einhaltung der journalistischen Sorgfaltspflicht. Im Zweifel empfiehlt es sich, eine Einwilligung einzuholen. Anzumerken ist ferner, dass bei Aufnahmen im öffentlichen Raum, auf denen die abgebildeten Personen nur «Beiwerk» (z. B. Passanten bei einer Sehenswürdigkeit) darstellen, es genügt, die Aufnahmen auf Verlangen der aufgenommenen Person zu löschen. Die Personen müssen nicht zusätzlich angesprochen und informiert werden.

Sofern eine Einwilligung eingeholt werden muss, ist darauf zu achten, dass diese nur dann gültig ist, wenn sie nach angemessener Information (Art der Aufnahme, Publikationsmedium etc.) und freiwillig erfolgt.

Praxistipp beim Datenschutz bei Veranstaltungen: Bei Veranstaltungen sollte vor und an der Veranstaltung (z.B. in den Veranstaltungsunterlagen oder mittels eines Hinweisschildes) darauf hingewiesen werden, dass Fotos und ggf. weitere Aufnahmen erstellt werden. Dabei sollte auch angegeben werden, zu welchem Zweck die Aufnahmen erstellt werden und ob diese veröffentlicht werden. In diesem Zusammenhang kann der Veranstalter Teilnehmern die Möglichkeit geben Aufnahmen und deren Veröffentlichung zu widersprechen, indem zum Beispiel auf dem Namenskärtchen ein Punkt angebracht wird. Dieser Punkt zeigt den Fotografen bzw. den Personen, welche für die Veröffentlichung zuständig sind, an, dass die Person mit den Aufnahmen und deren Veröffentlichung nicht einverstanden ist.

4. Datenbearbeitung im Nachgang an die Veranstaltung

Die Datenbearbeitung im Nachgang an eine Veranstaltung (z.B. Danksagungen für die Teilnahme, Berichterstellungen in Medien oder Content-Nachbereitungen im Rahmen von Präsentationen) kann wichtige Erkenntnisse für zukünftige Veranstaltungen geben und gleichzeitig, kann es sinnvoll sein im Rahmen eines Follow-ups die Besucher einer Veranstaltung auf weitere Angebote eines Veranstalters aufmerksam zu machen. Dabei sind aber weiterhin die datenschutz- und persönlichkeitsrechtlichen Aspekte – wie vorstehend beschrieben – zu beachten. Das heisst, wenn Fotos für die Nachbearbeitung verwendet werden, muss beachtet werden, dass eine Einwilligung für eine solche Verwendung bzw. Nachbearbeitung vorliegt. Ferner muss sichergestellt werden, dass die Daten weiterhin gespeichert und bearbeitet werden dürfen, obschon sie gegebenenfalls nicht mehr für den Zweck der ursprünglichen Erhebung der Daten verwendet werden. Im Übrigen kann auch diesbezüglich auf die vorstehenden Ausführungen zur Transparenz und insbesondere zur Datenschutzerklärung, zur Zusammenarbeit mit Dritten und zur Datensicherheit unter Ziffer 1 verwiesen werden.

5. Fazit

Zusammenfassend kann festgehalten werden, dass bei der Vorbereitung, Planung und Durchführung von Veranstaltungen datenschutz- und persönlichkeitsrechtliche Aspekte zwingend berücksichtigt werden müssen. Konkret sollten Veranstalter insbesondere an die nachstehenden Punkte denken:

• Transparenz für die gesamte Dauer der Datenbearbeitung schaffen (Datenschutzerklärung, für Fotografien zum Beispiel Hinweise während der Veranstaltung).
• Nur notwendige Daten erheben und bearbeiten.
• Achtung bei der Zusammenarbeit mit Dritten.
• Einwilligungen einholen, insbesondere für Marketing und Aufnahmen.
• Betroffenenrechte (z.B. Auskunfts-, Widerspruchs- und Löschrechte) respektieren.
• Datensicherheitsmassnahmen umsetzen.

Eine gründliche Planung und rechtliche Beratung betreffend die Veranstaltung sind daher empfehlenswert, um Risiken zu minimieren und die datenschutz- sowie persönlichkeitsrechtlichen Vorgaben in genügendem Umfang einzuhalten.