Compliance & Recht

DSGVO bei Konferenzen und Kongressen

Die DSGVO (Datenschutz-Grundverordnung) regelt seit 2018 EU-weit den Umgang mit personenbezogenen Daten. Bei Events betrifft sie die gesamte Teilnehmer-Journey: Anmeldung, Zahlungen, Foto- und Videoaufnahmen, Datenweitergabe an Sponsoren sowie die Zusammenarbeit mit Dienstleistern wie Hotels und IT-Anbietern.

Warum die DSGVO für Veranstalter zentral ist

Ein Kongress sammelt naturgemäß große Mengen personenbezogener Daten: Anmeldedaten, Zahlungsinformationen, fotografische Aufnahmen, Verhaltensdaten in der Event-App, Lead-Übergaben an Sponsoren. Die DSGVO verlangt, dass für jede dieser Verarbeitungen eine Rechtsgrundlage besteht, die betroffenen Personen informiert sind und ihre Rechte (Auskunft, Löschung, Widerruf) jederzeit ausgeübt werden können.

Verstöße können nicht nur empfindliche Bußgelder nach sich ziehen, sondern – fast schlimmer – Reputationsschäden in der Community und Vertrauensverluste bei Speakern, Sponsoren und Teilnehmenden.

Datenflüsse im Kongress

Die DSGVO erfasst sämtliche Stationen des Teilnehmer-Lebenszyklus beim Kongress:

  • Anmeldung: Erhebung von Stammdaten, Tickets, Zahlungsinformationen
  • Kommunikation: Versand von Bestätigungen, Erinnerungen, Newslettern (Einwilligung!)
  • Zahlung: Übermittlung an Zahlungsdienstleister, Speicherung von Rechnungsdaten
  • Vor-Ort: Check-in-Scans, Foto- und Videoaufnahmen, ggf. WLAN-Logins
  • Event-App und Plattform: Profile, Networking-Kontakte, Verhaltensdaten
  • Aussteller-Kontakte: Lead-Retrieval, Visitenkartentausch
  • Nachbereitung: Teilnahmebescheinigungen, Surveys, Auswertungen
  • Archivierung: Aufbewahrung für Buchhaltung, Folgeevents, gesetzliche Pflichten

Pflichten im Detail

Rechtsgrundlagen

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Typisch bei Events:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b) für Ticketing, Check-in, Bescheinigungen
- Rechtliche Verpflichtung (lit. c) für Buchhaltung, Aufbewahrungsfristen
- Berechtigtes Interesse (lit. f) mit Interessenabwägung – z. B. für Veranstaltungsfotos
- Einwilligung (lit. a) für Newsletter, Foto-Veröffentlichung, Lead-Übergabe

Informationspflichten

Spätestens bei der Anmeldung muss eine Datenschutzerklärung über alle Verarbeitungen informieren – wer verarbeitet was, wozu, wie lange, mit wem geteilt, welche Rechte bestehen.

Auftragsverarbeitung (AVV)

Mit jedem Dienstleister, der personenbezogene Daten verarbeitet (Kongresssoftware, E-Mail-Versand, Hotel, Druckerei, Lead-Retrieval), muss ein Auftragsverarbeitungsvertrag geschlossen werden – schriftlich, vor dem ersten Datenfluss. Bei Converia gibt es dafür eine gemeinsam mit Datenschutzbeauftragten von Hochschulen und PCOs entwickelte Vorlage. Sie funktioniert für fast alle Fälle, kann aber im Bedarfsfall auch angepasst werden.

Datenminimierung

Nur Daten erheben, die für den jeweiligen Zweck nötig sind. Beispiel: Geburtsdatum nur abfragen, wenn es wirklich gebraucht wird (z. B. CME-Berichte) – sonst weglassen.

Löschkonzept

Klare Fristen, wann welche Daten gelöscht werden. Buchhaltungsdaten 10 Jahre, Marketingdaten meist 2–3 Jahre, Teilnehmerdaten ohne Folgeevent typischerweise 1–2 Jahre. Converia unterstützt hier mit eigenen Datenbereinigungs-Tools.

Sonderthema: Foto- und Videoaufnahmen

Aufnahmen von Veranstaltungen sind ein Klassiker für DSGVO-Verstöße. Sicher ist:

  • Aushänge am Eingang mit Hinweis auf Aufnahmen reichen rechtlich nicht aus, wenn Personen klar identifizierbar sind
  • Aktive Einwilligung (z. B. via Anmeldeformular oder andersfarbiges Lanyard für „keine Fotos") ist Best Practice
  • Speaker und Panelisten benötigen separate Bildrechtevereinbarungen
  • Veröffentlichung in sozialen Medien ist eine eigene Verarbeitung und braucht eigene Einwilligung
  • Live-Streaming hat zusätzliche Regeln (Zuschauerdaten, Aufzeichnungsrechte)

Sponsoring und Lead-Übergabe

Die Übergabe von Teilnehmerdaten an Sponsoren ist nur mit aktiver, granularer Einwilligung der Teilnehmenden möglich – pauschale „Sie willigen in die Datenweitergabe ein" -Klauseln sind unwirksam. Praktisch heißt das:

  • Beim Stand-Besuch wird der Badge erst nach bewusster Aktion gescannt
  • Im Anmeldeformular separates Opt-in für „Daten dürfen an Aussteller übermittelt werden"
  • Lead-Retrieval-Geräte dokumentieren Zeit und Ort des Scans (Beweislast)

Praktische Checkliste

  • Aktuelle Datenschutzerklärung verlinkt im Anmeldeformular und auf der Website
  • AVV mit allen Dienstleistern unterzeichnet, archiviert
  • Verzeichnis von Verarbeitungstätigkeiten gepflegt
  • Datenschutzbeauftragter benannt (ab 20 Personen, die regelmäßig Daten verarbeiten)
  • Einwilligungen versionsgenau dokumentiert (welche Version wann zugestimmt)
  • Lösch- und Sperrfristen technisch umgesetzt
  • Mitarbeitende und freiwillige Helfer auf Datenschutz verpflichtet
  • Notfallplan für Datenpannen (Meldepflicht binnen 72 Stunden!)

Verwandte Begriffe

Zahlungsmanagement
Ticketing & Registrierung
Teilnehmermanagement
Ticketing & Registrierung
Event-Registrierung
Ticketing & Registrierung

Datenschutz nicht als Bremse, sondern als Standard

Mit Converia erfüllen Sie die DSGVO-Pflichten Ihres Events ohne Sonderaufwand – weil die Plattform die Anforderungen out-of-the-box abbildet.

Kostenlos testen