9 Tipps zum Event Management unter dem revidierten Datenschutzgesetz
Die Aufwärmphase für das revidierte Schweizer Datenschutzgesetz (DSG) geht in die letzte Runde. Ab dem 1. September gelten in der Schweiz die strengeren, dem europäischen Recht angeglichenen Datenschutz-Regeln. Wo gibt es konkreten Handlungsbedarf für das Event Management? Wir haben eine Checkliste in neun Punkten für die Praxis zusammengestellt.
1. Ist der Auftragsdatenverarbeitungsvertrag unterzeichnet?
Bei jedem Event, den Du mit eyevip organisierst, delegierst Du die Verantwortung für die dabei erhobenen und gespeicherten personenbezogenen Daten an die Systeme von eyevip. Damit machst Du eyevip zum Auftragsbearbeiter, wofür Du eine formelle Rechtsgrundlage benötigst. Diese schaffst Du mit der Unterzeichnung eines Auftragsdatenverarbeitungsvertrages. Falls Du den eyevip-AVV noch nicht unterzeichnet hast, kannst Du das Dokument über diese Formular bestellen.
2. Hast Du aufgeräumt?
Falls Du nicht sicher bist, ob noch alte Gästelisten auf Deinen Festplatten herumliegen, ist jetzt ein guter Moment, um Ordnung zu schaffen und das, was nicht mehr gebraucht wird, zu löschen. Ab dem 1. September gilt es, die Übersicht zu haben und die Arbeit mit personenbezogenen Daten so zu protokollieren, dass Du bei Bedarf genau aufzeigen kannst, wer wann Zugriff darauf hatte und wofür sie verwendet worden sind. eyevip nimmt Dir diese Arbeit ab, indem es bei jedem Datensatz automatisch ein Protokoll anlegt. Gästelisten sind in eyevip verschlüsselt und gesichert - aber nur, solange Du dafür sorgst, dass Dein Passwort stark ist und nicht in fremde Hände gelangt.
3. Weisst Du, wo Deine Wolke ist?
Wenn Du die Netzwerkstruktur nicht gut kennst, können Daten von der Festplatte unter Deiner Tastatur leicht in die «Cloud» und damit in schwer kontrollierbare Sphären wandern. Im Hinblick auf das neue DSG macht es Sinn, einen Check-Up durchzuführen, ob Deine personenbezogenen Daten wirklich in der Schweiz bzw. in einem Land gespeichert werden, welches ein angemessenes Datenschutzniveau bietet. Etwas komplizierter wird es dort, wo beim Veranstaltungs-Management Dienste von Drittanbietern wie z.B. Google Maps einbezogen werden, die fast unbemerkt Daten - z.B. mittels Cookies - speichern, die sich nicht mehr unter Deiner Kontrolle befinden, für die Du jedoch die Mitverantwortung trägst. eyevip kann Dir die Sicherheit bieten, dass die gespeicherten Daten garantiert verschlüsselt und in der Schweiz gespeichert werden, und dass Dienste von Drittanbietern, die via eyevip eingebunden werden, durch die erforderlichen Cookie-Hinweise und Opt-Out-Banner gesichert werden.
4. Sind Deine Gäste mit der Datenverarbeitung einverstanden?
Das Gesetz verlangt, dass betroffene Personen der Verarbeitung ihrer Daten zustimmen oder diese ablehnen können. Die Einwilligung soll freiwillig, informiert und eindeutig sein. Du als Event Manager:in trägst die Verantwortung, dass die Zustimmung Deiner Gäste vorgängig eingeholt und dass dies protokolliert wird. Doch wie geht das konkret? Zunächst ist es wichtig, dass die Datenschutzbestimmungen schon bei der ersten Kommunikation zur Kenntnis genommen werden und ein Opt-Out möglich ist. Bei eyevip erfolgt die Zustimmung des Gastes beim ersten Kontakt über eine Checkbox, mit der Deinen Datenschutzbestimmungen zugestimmt werden muss. In jeder E-Mail gibt es die Möglichkeit, sich von der weiteren Kommunikation abzumelden. Diese Aktivitäten werden jederzeit automatisiert protokolliert und umgesetzt, damit Du Dich auf das wesentliche - nämlich die Organisation Deines Events - konzentrieren kannst.
Müssen alte Einwilligungen neu eingeholt werden? Wir empfehlen Dir, Deine Gästelisten nach jeder Veranstaltung zu löschen. Wie steht es aber um bestehende Firmenkunden und Newsletter-Abonnenten, die Du auch nach dem 1. September weiterhin an Deine Veranstaltungen einladen möchtest? Sofern eine (nachweisbare) frühere Einwilligung vorliegt oder es sich um Kunden handelt, die Dir ihre E-Mail-Adresse für Werbezwecke überlassen haben, ist das problemlos möglich. Das revidierte DSG ändert die Regeln für Newsletter und Werbe-E-Mails nämlich nicht. |
5. Bist Du schon Minimalist:in?
Von den Gästen sollen nur jene personenbezogenen Daten abgefragt und erfasst werden, die für die Durchführung Deines Events auch wirklich relevant sind. Ob Dein Gast Vegetarierin oder Vegetarier ist, kann für Dich als Event Manager:in durchaus wichtig sein - aber nur, wenn es tatsächlich eine organisatorische Notwendigkeit ist, im Vorfeld die passende Anzahl vegetarischer Mahlzeiten zu bestellen. Grundsätzlich gilt: Je weniger Daten Du erhebst, desto sicherer bist Du, dass nur Daten erhoben werden, die kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen beinhalten.
6. Hast Du Deine Gäste-Infos gut abgesichert?
Zu Deinen Gästeinformationen soll nur Zugang haben, wer unbedingt muss. Das fängt beim Erstellen der Gästelisten an, gilt während der Durchführung, aber auch nach der Veranstaltung. Lege Deine Gästelisten zentral ab und kontrolliere den Zugang dazu. eyevip bietet Dir die dafür nötigen Tools: Zugriffskontrolle und -protokollierung von personenbezogenen Daten sind standardmässig umgesetzt. Vermeide beim Empfang die altbekannten grossen Tische mit Namensschilder-Sammlungen, die von allen eingesehen werden können. Eine diskrete und datenschutzkonforme Lösung bietet unsere Namensschilder-App, mit welcher die Namensschilder beim Check-In on-demand ausgedruckt werden und so Deinen Gästen die Freiheit lässt, ob sie ihre Teilnahme sichtbar machen möchten.
7. Darfst Du am Event Fotos machen?
Fotos an Veranstaltungen unterliegen bekanntlich bereits heute strengen Regeln, daran ändert das revidierte DSG nichts. Grundsätzlich hast Du gegenüber Deinen Gästen eine Informationspflicht, d.h. Du musst sie vor dem Event darüber informieren, dass Fotos und Videos aufgenommen werden und dass diese allenfalls veröffentlicht werden. Idealerweise machst Du bereits auf dem Anmeldeformular einen entsprechenden Hinweis. Keine Einwilligung braucht es, wo Personen nur am Rande von Fotos als «Beiwerk» zu sehen sind.
8. Was passiert mit den Daten nach dem Event?
Deine eingetragenen Firmen-Kunden und -Partnerunternehmen erscheinen immer mal wieder auf Gästelisten, der primäre Grund der Speicherung dieser personenbezogenen Daten steht aber in einem anderen Zusammenhang und findet woanders statt. Gemäss dem Erfordernis der Zweckbindung sollen Personendaten nur für denjenigen Zweck verwendet werden, für die sie erhoben worden sind. Die Gästeliste einer Veranstaltung soll nur im Kontext der betreffenden Veranstaltung genutzt werden, auch wenn es sich um Firmenkunden handelt. Es empfiehlt sich, Gästelisten spätestens sechs Monate nach der Veranstaltung zu löschen. Falls Du personenbezogene Daten mit Bezug zu einer Veranstaltung für andere Zwecke nutzen möchtest, benötigst Du dafür eine separate Einwilligung der Gäste, die Du schon bei der Einladung einholen kannst.
9. Bist Du auf Datenschutz-Fragen vorbereitet?
Es ist gut möglich, dass sich Anfragen von Kunden nach ihren personenbezogenen Daten ab dem Herbst häufen werden. Respektiere ihr Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung und mache Dich bereits heute mit der Routine bei solchen Anfragen vertraut, damit Du sie zeitnah beantworten kannst. eyevip bietet die Möglichkeit, die gewünschten Daten digital herunterzuladen, um sie den betroffenen Personen zur Verfügung zu stellen.
Bei Fragen steht Dir der eyevip-Datenschutzverantwortliche zur Verfügung.