Weihnachten und die DSGVO

Hand aufs Herz, sind Sie schon in Weihnachtsstimmung? Es dauert tatsächlich nicht mehr lange, dann finden in Restaurants und den diversen Event-Locations die ersten Weihnachtsfeiern statt. Dieses Jahr stehen diese erstmalig unter dem Eindruck der seit dem 25.05.2018 wirkenden DSGVO.

Schon in der der „vor-DSGVO“-Ära galt es, für einen Firmen-Event verschiedene Datenschutzregeln zu beachten – eigentlich. In der Praxis spielten diese häufig eine, wenn überhaupt, untergeordnete Rolle. Mit der Einführung der DSGVO sollten Verantwortliche und Organisatoren solcher Events der Verordnung erhöhte Aufmerksamkeit schenken. Fragen Sie sich gerade: „Warum?, Weshalb?, Wieso? Bin ich davon betroffen?“ Dann können Sie sich gerne über unserer Kontaktformular bei uns melden. Wir helfen Ihnen weiter und beraten Sie bei Ihren speziellen Datenschutz-Belangen.

Zurück zu unserer kommenden betrieblichen Weihnachtsfeier und einigen Gedanken, die diese aus datenschutzrechtlicher Perspektive mit sich bringt. In der Natur der Sache liegt es zunächst einmal, dass bei der Planung und Ausführung einer Firmenveranstaltung personenbezogene Daten erhoben und verarbeitet werden. Einladungen müssen versendet und Teilnehmer verwaltet werden. Zusätzlich vielleicht ein Event-Highlight mit einer Agentur geplant, ein Caterer bestellt und mehrere Hotelzimmer für einige Kollegen gebucht werden. Eventuell wurde sogar ein zusätzlicher Fotograf für die Veranstaltung gebucht. Sicherlich fallen Ihnen noch viele weitere Beispiele ein, bei denen personenbezogene Daten im Rahmen der bald anstehenden Weihnachtsfeier verarbeitet werden.

Organisation

Je nach Unternehmensgröße und Anzahl der teilnehmenden Mitarbeiter wird es vorkommen, dass sich das Unternehmen Unterstützung bei spezialisierten Dienstleistern einholt. Um umfassend zu unterstützen und die Planung der Weihnachtsfeier übernehmen zu können, ist es sehr wahrscheinlich notwendig, dass personenbezogene Daten verarbeitet werden müssen. Vorstellbar sind z. B. das Tätigen von Hotelreservierungen, das Einladungsmanagement, Koordination mit unterschiedlichen Beteiligten unterschiedlicher Firmen etc. Da die benötigten personenbezogenen Daten im Auftrag und auf Weisung des Ausrichters der Weihnachtsfeier verarbeitet werden, muss in solchen Fällen ein sogenannter Auftragsverarbeitungsvertrag durch den Verantwortlichen geschlossen werden. Bei der Auswahl und Schließung solcher AV-Verträge gilt es, sich seine Partner sorgfältig auszusuchen. Dies liegt insbesondere daran, dass der Verantwortliche gesamtschuldnerisch mit dem Auftragsverarbeitenden für die ordnungsgemäße Handhabung der pb-Daten haftet.



Fotos

Auf jeder Feier werden mit Smartphones und Digitalkameras zahlreiche Fotos oder Videos angefertigt. Vielleicht wurde zusätzlich ein Fotograf für die Weihnachtsfeier engagiert. Die Fotos sollen im Anschluss im Intranet, auf der Homepage oder weiteren Kommunikationskanälen genutzt werden. Stichwort: Bilder und Videos anfertigen sowie verwerten – und dies DSGVO-konform. Nun ja, in manchen Teilen ist dies noch nicht abschließend geregelt. Weihnachtsfeiern mit „Kind und Kegel“ bergen zusätzliche Besonderheiten, die es vorab abzustimmen gilt. Stichwort: Rechtsgrundlage. Dabei kommt entweder eine Einwilligung oder das berechtigte Interesse des Unternehmens in Betracht. Einwilligungen sind immer mit Vorsicht zu genießen, da der Betroffene diese jederzeit widerrufen kann. Insofern sollte im Voraus gut überlegt werden, ob es die Möglichkeit gibt, die Verarbeitung der personenbezogenen Daten in Form der Fotos über das berechtigte Interesse zu begründen. Dies ist im Einzelfall zu betrachten und zu entscheiden.

Informationspflichten

Die DSGVO setzt insbesondere auf die Stärkung der Betroffenenrechte. Dazu gehört auch, dass der Verantwortliche über den Zweck und die Verarbeitung von personenbezogenen Daten zu Informieren hat, beispielsweise durch einen Aushang vor Ort oder bereits bei Versendung der Einladungen. Insbesondere beim Thema Fotografie und der Stützung auf das berechtigtes Interesse sollte im Voraus informiert werden.

Der Verantwortliche

Und wer muss für eine datenschutztechnisch konforme Ausführung Sorge tragen? Wird ein personenbezogenes Datum verarbeitet, hat die verantwortliche Stelle dafür Sorge zu tragen, dass dieses entsprechend der Vorgaben aus der Verordnung verarbeitet wird. Bei einer betrieblichen Weihnachtsfeier wird der Veranstalter i.d.R. auch der Verantwortliche sein.

Bei Fragen …

… rund um das Thema Datenschutz können Sie sich jederzeit mit uns in Verbindung setzen.

 

Ihre Datenschutzberater von Concepture