EU-Datenschutzgrundverordnung – Tipps für Orgas und solche, die es werden wollen

Ein fieses Monster hat sich unter dem Bett versteckt, um uns zu fressen. Zumindest erwecken manche Beiträge zur neuen EU-Datenschutzgrundverordnung diesen Eindruck. Können wirklich bald keine LARPs, Cosplay- oder Rollenspielconventions mehr stattfinden? Wir haben unsere Juristin und eine Taschenlampe geschnappt und unterm Bett nachgesehen.

Disclaimer: Alle Angaben wurden mit größter Sorgfalt erarbeitet und zusammengestellt. Für die Richtigkeit und Vollständigkeit des Inhalts sowie zwischenzeitliche Änderungen übernehmen die Autoren und Teilzeithelden.de keine Gewähr. Der Text ersetzt keine anwaltliche Einzelfall-Beratung.

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) erscheint für viele wie ein großes Monster, und das umfangreiche Werk sowie seine mediale Begleitung können diesen Anschein zweifelsohne vermitteln. Schaut man sich das alles jedoch mal genauer an, stellt man fest, dass vieles zwar ein wenig anstrengend, aber halb so schlimm ist. Unser Artikel wird dabei nicht alle Fragen erschlagen, aber ein paar erste Tipps auf den Weg geben.

Tatsächlich ist das Wörtchen „Neu“ schon irreführend. Die Verordnung ist bereits seit zwei Jahren in Kraft. Am 25.05.2018 endet jedoch nur die Übergangsfrist, zu der Betroffene alle Voraussetzungen erfüllt haben müssen, der nationale Gesetzgeber die nationale Umsetzung gesetzlich geregelt haben muss und die EU-DSGVO Vorrang vor nationalen Datenschutzregelungen bekommt. Zeitgleich tritt das überarbeitete Bundesdatenschutzgesetz (BDSG „neu“) in Kraft, das einige absichtliche Lücken der DSGVO schließt oder auch Strafregelungen enthält.

Datenschutz – schon immer ein Thema für Organisatoren

Durch mediale Präsenz wird vielen jedoch erst jetzt bewusst, dass sie sich mit diesem Thema beschäftigen zu müssen. Dabei hatten wir auch bis jetzt schon recht strenge Datenschutzgesetze, die man vielleicht nicht so genau im Blick hatte. Auch heute müssen sich schon Orgas an diese Gesetze halten, um die Daten ihrer Teilnehmer zu schützen. Daher sollte man die neuen Regelungen vielleicht auch als Chance begreifen, sich diesem Thema zu stellen. Dabei wird man feststellen, dass das zwar etwas mehr Aufwand bedeutet, aber auch für kleine Orgas machbar ist.

Wozu der ganze Stress?

Wir leben schon lange in einer Welt, in der Daten ein wahrer Schatz sind. Insbesondere die persönlichen Daten, die Aufschluss über Lebensweise und Verhalten geben, denn daraus lässt sich wirtschaftlich viel machen. Seien es Risikoprognosen für Kreditgeber oder Kaufinteresse und -verhalten, das natürlich alle Unternehmen interessiert, die etwas verkaufen wollen.

Um die Sammlung und Verarbeitung der Daten in gewissen Bahnen zu halten, wurde die DSGVO nun auf europäischer Ebene verabschiedet, gerade auch, um mit dem internationalen Gesetzeswerk wenig Fluchtmöglichkeiten in andere Jurisdiktionen, also andere rechtliche Zuständigkeiten (zum Beispiel andere Länder) zuzulassen. Dass die stark digitale Praxis dabei dem langwierigen Gesetzgebungsverfahren davongeeilt ist, kann man schon vermuten. So sind manche Regelungen zunächst schwer verständlich, dienen aber am Ende zum Schutz der Menschen.

Maxime ist dabei die sogenannte Interessensabwägung. Überwiegt also mein persönliches und schutzwürdiges Interesse an Privatsphäre und Datenschutz gegenüber dem Interesse eines Dritten an meinen Daten? Ganz grundsätzlich herrscht ein Verbot der Datenerhebung und Datenverarbeitung, um möglichst viel Schutz zu ermöglichen. Es gibt jedoch eine ganze Reihe Gründe, die dennoch erlauben, Daten zu verarbeiten. Denn sonst wäre eine Interaktion zwischen Institutionen und Individuen kaum möglich. Dürfte Amazon meine Adressdaten zum Beispiel nicht verarbeiten, wäre es nicht möglich, dass meine Bestellung auch zu mir verschickt werden kann. Hier ist es ja sogar im Interesse des Betroffenen, also Bestellers, das Amazon dies tut. Dasselbe gilt auch für viele andere Lebenssituationen, in denen meine Daten notwendig sind, damit andere etwas für mich tun, was ich auch will: zum Beispiel die Organisation von Cons. Die Erhebung und Verarbeitung von Teilnehmerdaten ist für eine Con-Organisation ja auch erforderlich, wie soll man sonst Ticketverkäufe im Vorfeld realisieren, Teilnehmer gezielt über Veranstaltungsthemen informieren oder überhaupt etwas planen, wenn man nicht weiß, wie viele kommen und wer kommt. Es ist also im Interesse des Teilnehmers und des Veranstalters, diese Daten zu erheben und zu verarbeiten, zumal man diese Daten im Rahmen der Anmeldung ja freiwillig zur Verfügung stellt.

Was sind eigentlich personenbezogene Daten?

Was personenbezogene Daten genau sind, hat der Gesetzgeber definiert. Es seien

„personenbezogene Daten“ [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind; – EU-DSGVO Art. 4 Nr. 1

Was juristisch furchtbar kompliziert klingt, ist im Grunde recht einfach. Immer wenn meine erhobenen Daten dazu geeignet sind, eine Person eindeutig zu identifizieren, sind das personenbezogene Daten. Das ist in der Regel immer die Kombination aus verschiedenen Daten. Ein vollkommen für sich stehendes Geburtsdatum ohne Bezug ist dies nicht. Ebenso wie zum Beispiel der Name Peter Müller. Sowohl Menschen mit diesem Geburtsdatum als auch mit diesem Namen wird es in Deutschland so oft geben, dass ich nicht eine einzige Person identifizieren kann. Kombiniere ich jedoch Namen und Geburtsdatum, sieht das schon anders aus. Das gilt dann auch für Name und Adresse oder Name und Mail-Adresse usw.

Damit das Ganze noch etwas komplizierter wird, gibt es auch noch besonders schützenswerte personenbezogenen Daten. Das sind all jene Merkmale, die es erlauben einen Rückschluss auf Gesundheit, ethnische Herkunft, Sexualität oder Religion zu ziehen. Hier gelten nochmals verschärften Regeln, die aber auch kein Grund zur Panik und absolut sinnvoll sind. Niemand möchte nach einer Diagnose plötzlich Post von einer wildfremden Apotheke bekommen, in der „zufällig“ genau die teuren Medikamente beworben werden, die zu der vom Arzt gestellten Diagnose passen.

Und was soll Verarbeitung bedeuten?

Auch das ist genau definiert:

„Verarbeitung“ [bezeichnet] jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; – EU-DSGVO Art 4 Nr. 2

Oder in einfach: Immer wenn man oben genannte Daten einsammelt oder neu kombiniert, verarbeitet man sie auch gleichzeitig. In diesem Moment gelten die Datenschutzvorschriften der EU-DSGVO und in Deutschland das angepasste Bundesdatenschutzgesetz (BDSG).

Doch wie schon oben geschrieben, sind viele der Regelungen nicht neu und galten auch bisher. Orgas kleiner und oft nicht-kommerzieller Con dürften zudem auch weiterhin nicht im Fokus der Datenschutzaufsichtsbehörden stehen – diesen Platz haben gerade direkt nach dem 25. Mai zunächst sowieso Facebook und Google. Doch verlassen sollte man sich darauf nicht, und eigentlich schuldet man ja auch seinen Teilnehmern einen verantwortungsbewussten Umgang mit deren Daten und damit auch die Dokumentation von Datenschutzmaßnahmen.

Baustellen für Orgas

Für Organisatoren, die sich dem Thema widmen, ergeben sich vier Baustellen, die man im Blick haben sollte.

Ganz grundsätzlich gilt es aber zunächst, sich eine Übersicht zu verschaffen. Wo sammelt eigentlich wer welche Daten und wofür? Bereits hier kann man vielleicht erkennen, dass man einige Daten eventuell gar nicht braucht. Hat man diese Übersicht, ist das im Grunde schon die halbe Arbeit. Das Ganze muss nun strukturiert und dokumentiert werden. Das kann sowohl digital als auch physisch stattfinden. Diese Dokumentation ist wichtig, wenn man tatsächlich einmal gegenüber der Aufsichtsbehörde darlegen muss, wie man mit dem Datenschutz umgeht.

Baustelle 1: Grundsätzliche Anforderungen

1. Die EU-DSGVO sieht vor, dass es sogenannte Verarbeitungsverzeichnisse geben muss (Art. 30 DGSVO) . Dort wird übersichtlich dokumentiert, wer welche Daten zu welchem Zweck verarbeitet. Zum Beispiel Teilnehmerdaten oder Mitgliederdaten. Diese müsst ihr nicht veröffentlichen und nur auf Anfrage an eine Aufsichtsbehörde übermitteln. Zwar grenzt der Art. 30 Abs. 5 DSGVO dies zunächst auf Institutionen mit 250 oder mehr Mitarbeitern/Mitgliedern ein, der § 70 BDSG, als nationale Umsetzungsregel, spricht aber nicht mehr von irgendeiner Grenze. Daher empfehlen wir zur Sicherheit dieses Verzeichnis zu erstellen. Ein Muster findet ihr am Ende des Artikels.

2. Wenn man nun weiß, welche Daten von wem und für was verarbeitet werden, müssen nun alle, die Daten verarbeiten, über Datenschutzregelungen aufgeklärt werden. Immerhin sind die Orgas in der Haftung und müssen im Zweifel darlegen, dass die Teammitglieder wussten, dass sie die Adressdaten der Teilnehmer nicht einfach für das Gewinnspiel der Firma eines Freundes verwenden dürfen. Diese Aufklärung sollte dokumentiert werden. Auch hierfür haben wir am Ende ein Muster.

3. Eventuell kann es erforderlich sein, eine Person zur Datenschutzbeauftragten zu ernennen. Diese hat die Aufgabe, die Orga zu allen wichtigen Fragen des Themas zu beraten und gegebenenfalls auf Probleme hinzuweisen. Diese Stelle werden aber nur wenige Orgas explizit besetzen müssen. Der Art. 37 Abs. 1 schreibt dies nur für Organisationen vor, deren Hauptzweck die Verarbeitung von personenbezogenen Daten ist. Dies ist bei einer Con-Orga nicht der Fall, deren Hauptzweck die Veranstaltungsplanung und -durchführung ist. Allerdings erweitert das deutsche BDSG dies noch um die Einschränkung, dass ein Datenschutzbeauftragter auch dann nötig ist, wenn ständig mindestens 10 Personen mit der Datenverarbeitung beschäftigt sind. In Unternehmen trifft das schon kleine Firmen, bei denen regelmäßig 10 Mitarbeiter computergestützt mit Mitarbeiter- und Kundendaten in Kontakt kommen. Wie das genau bei Leuten bewertet wird, die nur nebenher und ehrenamtlich mit den Daten befasst sind, ist schwer abzuschätzen – sicherer wäre es, dass so wenige Orga-Mitglieder wie möglich tatsächlich Zugriff auf die Datensätze der Teilnehmer haben.

4. Die DSGVO sieht umfassende Informationspflichten gem. Art. 12 ff DSGVO für Betroffenen vor. Man muss also die Personen, deren Daten verarbeitet werden darüber informieren was warum mit ihren Daten so passiert. Diese Pflichten sind Teil von Baustelle 2 und 3 und können analog auf andere Situationen, wie Mitgliederverwaltung im Verein, übertragen werden.

Baustelle 2: Teilnehmerdaten

Teilnehmerdaten sind vermutlich die sensibelsten aller Daten, mit denen eine Orga zu tun hat. Daher ist eine Orga verpflichtet, die Teilnehmer bei der Anmeldung umfassend zu informieren, am Besten im Rahmen einer standardisierten Datenschutzerklärung. Diese kann man digital oder physisch zugänglich machen. Diese Erklärung benötig folgende Inhalte:

1. Wer ist der Verantwortliche (die verantwortliche Organisation) für die Datenerhebung und Datenverarbeitung

Das kann ein Verein, eine Firma oder eine einzelne Person sein.

2. Kontakt zu einem Ansprechpartner für Fragen zum Datenschutz

Dieser muss nicht zwingend namentlich erwähnt sein. Es reichen Mail-Adresse und eine postalische Adresse. Die Mail-Adresse muss jedoch klar zuordenbar sein, zum Beispiel Datenschutz@…

3. Welche Daten werden erhoben?

Hier empfiehlt es sich genau zu prüfen, welche personenbezogenen Daten man tatsächlich für die Teilnehmerverwaltung benötig. Sinnvoll sind sicher: Name, Adresse und E-Mail-Adresse. Eventuell auch Geburtsdatum und die Telefonnummer, jedoch nur, wenn es wirklich nötig ist, Teilnehmende kurzfristig zu erreichen. Zimmerwünsche, Rollenspielsystemvorlieben oder Charakterdaten sind hingegen unkritisch.

4. Zu welchem Zweck werden die Daten erhoben und verarbeitet?

Vorliegend wäre das die Teilnehmerverwaltung, gegebenenfalls die direkte Kommunikation mit dem Teilnehmer im Zusammenhang mit der Veranstaltung sowie die Veranstaltungsplanung.

5. Welche gesetzliche Grundlage gibt die Erlaubnis, diese Daten zu erheben und zu verarbeiten?

Im Zuge einer Con-Organisation ist das der Art. 6 Nr. 1 lit. b), denn eine Verarbeitung der Daten ist notwendig für die Erfüllung des Vertrages, also die Con-Teilnahme.

6. Werden die Daten an Dritte weitergegeben und wenn ja, an wen?

Zum Beispiel, wenn jemand seine Rechnung nicht bezahlt, an einen Anwalt oder ein Inkassobüro. Dieser gegebenenfalls spätere Empfänger muss von Anfang an benannt werden. Hier reicht jedoch eine grobe Beschreibung, wie Inkassobüro oder Anwalt, eine exakte namentliche Benennung ist nicht nötig. Werden Essensmeldungen ohne personenbezogene Daten weitergegeben, muss dies nicht erwähnt werden. Hierunter fallen auch Dinge wie die Weitergabe an die Herberge, wenn der Check-in o. Ä. nicht durch die Orga selbst organisiert wird. Wenn die Daten weitergegeben werden, wird zudem ein Auftragsdatenverabeitungsvertrag (ADV) gem Art 28 DSGVO nötig.

7. Wann werden die Daten gelöscht?

Sinnvoll ist so bald wie möglich. Man darf aber wohl ohne Probleme so lange speichern, bis Ansprüche verjährt sind – sei es, weil etwas nicht bezahlt wurde, oder auch wenn irgendetwas auf der Veranstaltung beschädigt wird. Da man recht konkret angeben soll, wann man löscht, ist es sinnvoll, auf die gesetzlichen Verjährungsfristen zu verweisen, zum Beispiel: „Wir löschen die Daten, sobald der Zweck der Erhebung erfüllt wurde. Sollte der Löschung ein berechtigtes Interesse entgegenstehen, verweisen wir auf die gesetzlichen Fristen.“

8. Rechte der Betroffenen

Bereits das alte Bundesdatenschutzgesetz sah vor, dass Betroffene, hier zum Beispiel Con-Teilnehmer, über ihre Rechte informiert werden. Dazu zählt das Auskunftsrecht, also das Recht darauf, jederzeit kostenlos zu erfahren, welche persönlichen Daten zu welchem Zweck gespeichert und verarbeitet wurden, das Recht, falsche Daten zu berichtigen, und das Recht auf Löschung von Daten. (Löschung natürlich erst dann, wenn der Datenerheber kein berechtigtes Interesse mehr am Behalten der Daten hat, also z. B. erst nachdem alle Rechnungen beglichen wurden.) Neu ist hier das Recht auf Ergänzung. Wenn also ein Teilnehmer darauf besteht, eine zweite Telefonnummer zu hinterlegen, muss man das machen. Ob das in der Praxis vorkommt, bleibt zumindest zweifelhaft.

Ein weiteres Recht, das wohl in der Con-Praxis keine Rolle spielen wird, ist das Recht auf Datenübertragbarkeit. Theoretisch muss eine Orga in der Lage sein, die Teilnehmerdaten, solange sie gespeichert sind, in einem maschinenlesbaren Format dem Betroffenen zur Verfügung zu stellen. Dies kann zum Beispiel eine CSV- oder RTF-Datei sein.

Kurzum: Man muss die Betroffenen darüber aufklären, dass sie das Recht auf Auskunft, Berichtigung, Ergänzung, Übertragbarkeit und Löschung haben. Ebenso haben sie das Recht, die Einwilligung zur Nutzung ihrer Daten zu widerrufen, es sei denn, es gibt rechtliche Gründe, die dem entgegenstehen. Eine einfache Lösung ist, an dieser Stelle direkt auf die entsprechenden Artikel zu verlinken: „Rechte der Betroffenen: Sie haben das Recht auf Auskunft, Berichtigung, Ergänzung, Beschränkung, Löschung und Widerspruch gem. Art. 15 ff. DGVO. Bitte wenden Sie sich hierfür an oben genannte Adresse.“

9. Hinweis auf die Beschwerdemöglichkeit bei der zuständigen Aufsichtsbehörde, also dem oder der Landesdatenschutzbeauftragten.

10. Bestätigung der Kenntnisnahme

Diese kann entweder per Unterschrift oder über ein Opt-In, zum Bespiel in Onlineformularen, erfolgen. Bei Online-Opt-In müssen aber saubere Log-files erstellt werden, die Datum und Uhrzeit protokollieren, wenn man die Dokumente gegebenenfalls für eine Aufsichtsbehörde braucht. Auch hier gibt es natürlich Anbieter für gängige CMS-Systeme oder Formular-Tools, die mit wenig Rechercheaufwand zu finden sind.

Baustelle 3: Die Homepage

Die Homepage dürfte das erste beliebte Ziel von Beschwerden werden, weil diese am leichtesten zugänglich ist. Auch hier gilt es intensiv zu prüfen: Wo werden eigentlich Daten erhoben? Hier ein paar typische Beispiele:

• Kontaktformulare
• Analyse-Plug-Ins wie Google Analytics
• Spamblocker
• Anmeldeformulare
• Social-Media-Plug-Ins
• Foren

Bei Plug-Ins findet man in der Regel auf der Herstellerseite Informationen, welche Daten erhoben werden, und in der Regel auch Textbausteine für die Datenschutzerklärung der eigenen Homepage. In manchen Fällen wird es nötig sein, eine Vereinbarung mit einem Anbieter über die Verarbeitung von Daten zu schließen. Das gilt insbesondere für Webhoster und Google Analytics. Als Faustregel gilt: Sammelt ein Plug-In personenbezogene Daten, wie zum Beispiel eine IP und den Standort (Land), dann wird so ein Vertrag nötig sein. Die Anbieter sind da aber in der Regel gut vorbereitet und helfen schnell und unkompliziert.

Sind die Datensammler identifiziert, folgt eine Datenschutzerklärung zur Nutzung der Homepage. Diese sollte separat vom Impressum und leicht zu finden sein. Dort gehören folgende Inhalte hinein:

1. Wer ist der Verantwortliche (die verantwortliche Organisation) für die Datenerhebung und Datenverarbeitung

2. Kontakt zu einem Ansprechpartner für Fragen zum Datenschutz

Hier reicht sogar nur die E-Mail-Adresse.

3. Welche Daten werden erhoben?

4. Zu welchem Zweck werden die Daten erhoben und verarbeitet?

5. Welche gesetzliche Grundlage gibt die Erlaubnis, diese Daten zu erheben und zu verarbeiten?

Nutzt die Seite ein Kontaktformular oder eine E-Mail-Adresse, die zur Kontaktaufnahme gilt, sollte darauf verwiesen werden, dass diese Daten gemäß Art. 6 Nr.1 lit. a) verarbeitet werden. Bei einem Kontaktformular sollte auf jeden Fall ein Opt-In zum senden nötig sein, der auch auf das Widerspruchsrecht hinweist, zum Beispiel: „Kontaktieren Sie uns per Kontaktformular oder E-Mail, willigen Sie der Verarbeitung der übermittelten Daten gemäß Art 6 Nr. 1 lit. a) ein, damit wir Ihre Anfrage beantworten können. Sie haben jederzeit das Recht, diese Einwilligung zu widerrufen.“

6. Werden die Daten an Dritte weitergegeben und wenn ja, an wen?

7. Wann werden die Daten gelöscht?

8. Rechte der Betroffenen

9. Datenschutzerklärung von Plug-Ins

10. Cookie-Hinweis

Nutzt die Seite Cookies, ist hier ein Hinweis nötig, am besten auf die Startseite (dazu gibt es zahlreiche Plug-Ins und Vorlagen im Netz). In der Datenschutzerklärung muss auf die Nutzung von Cookies (wenn die Seite dies tut) hingewiesen werden, samt Verweis, dass der Browser entsprechend konfiguriert werden sollte, wenn dies nicht gewollt ist.

11. Möglichkeit, das Sammeln von Daten zu verhindern.

Dies gilt zum Beispiel für Cookies, die personenbezogene Daten sammeln. Dafür haben die Anbieter solcher Cookies, zum Beispiel Google, explizite Opt-Out-Links. Ansonsten sollte auf jeden Fall der Hinweis in den Text, dass soziale Medien gegebenenfalls Nutzerdaten sammeln und man sich, um dies zu verhindern, von Facebook und ähnlichem ausloggen sollte.

Im Rahmen der ePrivacy-Richtlinie dürfte sich zum Thema Cookies noch einiges tun. Es ist als Website-Betreiber daher sinnvoll, diese im Blick zu behalten. Teilzeithelden.de ist hier bewusst schon einen Schritt weiter und bittet bei Cookies um Zustimmung. Wer auf Nummer sicher gehen will, sollte sich auch für eine Opt-In-Regelung entscheiden, denn dieser Punkt ist aktuell hoch umstritten. Aber auch hier keine Sorge: Das Opt-In betrifft nur Cookies, die personenbezogene Daten erheben, dies wären auch IP-Adressen. Einfache Zählmarken werden dadurch in der Regel nicht eingeschränkt.

 

12. Hinweis auf die Beschwerdemöglichkeit bei der zuständigen Aufsichtsbehörde, also dem oder der Landesdatenschutzbeauftragten.

Baustelle 4: Besondere personenbezogene Daten

Grade bei Liverollenspielen wird gerne nach Allergien oder Erkrankungen gefragt. Sollten diese Daten in erheblichem Maß verarbeitet, also systematisch von vielen Teilnehmern erhoben werden, muss nach Art. 35 Abs. 3 b) zusätzlich eine Datenschutzfolgenabschätzung, kurz DSFA durchgeführt werden. Hier möchte der Gesetzgeber dokumentiert wissen, warum die Daten erhoben werden und welche Schutzmaßnahmen getroffen werden, um einen Missbrauch zu verhindern. Eine DSFA hat folgende Inhalte:

1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
3. Risikobewertung
4. Geplante Abhilfemaßnahmen zur Bewältigung der Risiken

Wie streng die Aufsichtsbehörden bei der DSFA sein werden, ist aktuell schwer abzuschätzen. Um im Fall eines Falles mit vertretbarem Aufwand eine DSFA zu erstellen, bietet sich folgendes an: eine Tabelle, in der man beschreibt, wie welche Daten zu welchem Zweck verarbeitet werden. In der nächsten Spalte wird begründet, wozu die Daten nötig sind, das Risiko bewertet, dass diese Daten missbraucht werden, und entsprechende Maßnahmen dagegen dokumentiert.

Um diesen Aufwand möglichst elegant zu vermeiden und auch im Sinne der Datenminimierung zu handeln empfiehlt es sich, (Nahrungsmittel-)Allergien und religiöse Speisegebote nicht explizit abzufragen. Stattdessen kann man alle Essensvorlieben oder besondere Wünsche einfach nur als solche erheben. Dann wird man auch denen gerecht, die weder gegen Pilze noch Zucchini allergisch sind, aber nichts davon essen mögen, und erhebt nicht gezielt sensible Daten.

Und wenn doch mal etwas schief geht?

Sollten trotz aller Mühen dennoch mal personenbezogene Daten verloren gehen, zum Beispiel weil ein Orga-Laptop mit Teilnehmerdaten gestohlen wurde, muss dies innerhalb von 72 Stunden der zuständigen Datenschutzbehörde gemeldet werden. Am besten erläutert man gleich was man alles gemacht hat um dies zu verhindern und auch was man für Maßnahmen (zum Beispiel eine Anzeige) ergriffen hat. Daten sollten auch immer verschlüsselt werden, sodass, wenn sie doch mal abhandengekommen sind, der Schaden begrenzt werden kann. Sollte man einen Verstoß gegen den Datenschutz nicht melden und die Aufsichtsbehörde erfährt dennoch davon, dürfte man mit einer höheren Strafe rechnen, als wenn man selbst der Meldepflicht nachkommt. Apropos Strafen: Die meisten deutschen Datenschutzbehörden haben bereits angekündigt, zunächst nur in Ausnahmen Bußgelder zu verhängen, solange man erkennt, dass sich mit dem Thema Datenschutz beschäftigt wurde. Und wenn doch, dann in angemessener Höhe.

Sollte man Post von einem Abmahnanwalt bekommen, gilt es Ruhe zu bewahren. Der Anwalt soll zunächst begründen, wo genau ein Verstoß gegen das Gesetz gegen unlauteren Wettbewerb vorliegt (die Basis solcher Abmahnungen), und darlegen, in wessen Auftrag er agiert. Bleibt er hartnäckig, wendet euch an einen Anwalt eures Vertrauens. Aus Schreck einfach bezahlen sollte man jedoch nicht. Tipp: Stellt Impressum und Datenschutzerklärung auf NoIndex, dann werden diese nicht über Suchmaschinen gefunden und erschweren dubiosen Abmahnern das Leben.

Möglichkeiten, sich das Orga-Leben leichter zu machen

Wer diese Arbeit vollkommen scheut, findet im Internet zahlreiche Anbieter, die gegen einen überschaubaren Preis ein fertiges Paket bieten, das alle obigen Themen abdeckt. Die Preise liegen hier im Schnitt bei 200 EUR.

Im Bereich LARP gibt es darüber hinaus noch zwei weitere Möglichkeiten: Der Deutsche Live-Rollenspiel-Verband bietet mit seinem Datenschutzbeauftragten die Möglichkeit, sich zu diesen Themen Hilfestellung zu holen. Darüber hinaus bietet LarpGate die Möglichkeit, seine Con-Teilnehmerverwaltung komplett datenschutzkonform auszulagern. Beides erleichtert die Arbeit, aber ganz frei wird man von ihr nicht.

Keine Angst vor dem Monster

Vieles mag zunächst verunsichern. Aber in der Praxis ist es vor allem viel Dokumentation und ein bisschen Fleißarbeit. Doch ist vieles gar nicht so neu, sondern wurde einfach nie gemacht.

Wer sich jetzt die Zeit nimmt, wird dabei ein paar wertvolle Einblicke in seine Arbeit als Orga und ein besseres Verständnis zum Umgang mit Daten bekommen.

Mit unseren Mustern bekommt man einen guten Überblick und braucht keine Angst vor dem Monster Datenschutz mehr zu haben, denn das ist am Ende eigentlich ganz flauschig und möchte nur ein bisschen Aufmerksamkeit. Ähnlich wie andere große Umstellungen ist es gerade in der Übergangsphase eine große Sache, aber in ein paar Jahren haben wir uns daran genauso gewöhnt wie an die Anschnallpflicht in Autos.

Linktipps und Muster:

• EU-DSGVO mit Erwägungsgründen und umfassenden Erläuterungen
• Kostenloser Generator für eine Homepage-DS-Erklärung
• Checkliste Datenschutz in Vereinen (LfD Niedersachen)
• Muster Verpflichtung Datenschutz
• Muster Verzeichnis von Verarbeitungstätigkeiten
• Muster Auftragsdatenverarbeitungsvertrag (LfD Niedersachen)

Titelbild: Depositphotos Ι urban#photographer Artikelbilder: Teilzeithelden