Bei der Organisation eines Meetings denkt man nicht automatisch an den Datenschutz. Sollte man aber. Besonders wenn es um Veranstaltungen mit externen Teilnehmern geht, sollten Sie die DSGVO im Blick haben. Denn beim Umgang mit Teilnehmerlisten, internen Notizen zu den Teilnehmern und bei der Nutzung von Einladungstools müssen die Regelnd der DSGVO eingehalten werden.
Umgang mit Teilnehmerlisten
Bei Teilnehmerlisten macht es einen grundlegenden Unterschied, ob es sich um eine interne Besprechung oder um eine Veranstaltung mit externen Teilnehmern handelt:
- Bei einer internen Besprechung im Unternehmen nehmen nur Beschäftigte des Unternehmens teil. Zweck einer solchen Besprechung ist typischerweise die interne Diskussion und Abstimmung. Die Beteiligten sind also durch einen gemeinsamen Zweck miteinander verbunden.
- Ganz anders bei einer Veranstaltung mit externen Teilnehmern, etwa einer Schulungsveranstaltung für Kunden eines Unternehmens. Hier verfolgt jeder Teilnehmer seine eigenen Interessen, mögen sie auch in die gleiche Richtung gehen. Zugleich muss das Unternehmen als Veranstalter seine Funktion als Dienstleister wahrnehmen können. Dazu gehört beispielsweise das Ausstellen von Teilnahmebestätigungen oder das Erstellen von Rechnungen für die Teilnahme.
Für den Umgang mit Teilnehmerlisten gelten deshalb jeweils völlig unterschiedliche Grundsätze. Sie lassen sich wie folgt zusammenfassen:
- Bei einer internen Besprechung kann jeder Teilnehmer eine Teilnehmerliste mit den Namen und den dienstlichen (!) Kommunikationsdaten aller Teilnehmer erhalten. Dies ist erforderlich, damit die Teilnehmer zum Thema der Besprechung auch noch später miteinander in Kontakt treten können.
- Bei einer Veranstaltung mit externen Teilnehmern ist das Verteilen einer Teilnehmerliste an die Teilnehmer dagegen nicht zulässig. Sie ist nicht erforderlich, um das Ziel der Veranstaltung zu erreichen. Anders darf nur verfahren werden, wenn die Einwilligung jedes Teilnehmers vorliegt, der auf der Liste stehen soll. Die interne Nutzung der Teilnehmerliste für das Ausstellen von Teilnahmebestätigungen und das Erstellen von Rechnungen ist dagegen kein Problem.
Interne Notizen über Eigenheiten von Teilnehmern
Nur wenn man auf manche Eigenheiten von Teilnehmern eingeht, gelingt das Meeting. So muss man für einen Imbiss beispielsweise wissen, ob jemand Veganer ist. Nach solchen Informationen fragt man den Betroffenen normalerweise selbst, entweder direkt oder über seine Assistenz. Dadurch erfährt er davon und weiß, was über ihn festgehalten wird. Außerdem kann man sich dann sicher sein, dass die Informationen auch wirklich stimmen. So weit, so gut.
Heikler wird es, wenn man über problematische Eigenheiten informiert sein muss („neigt zu körperlicher Nähe“). Die DSGVO lässt solche Aufzeichnungen im Ergebnis durchaus zu. Denn jeder darf seine eigenen berechtigten Interessen verfolgen. Gerade deshalb dürfen solche Informationen innerhalb des Unternehmens strikt nur an die gehen, die sie wirklich haben müssen. Außerdem sind sie streng gesichert aufzubewahren.
Dieser Artikel stammt aus dem sekretaria-Magazin. Wollen Sie mehr über die neuesten Trends im Office erfahren? Dann fordern Sie jetzt Ihr kostenloses Probeexemplar an!
Nutzung von Einladungstools wie Doodle
Besonders die Funktion „Online-Terminplaner“ von Doodle ist in Büros sehr beliebt. Absprachen sind dabei mit Teilnehmern innerhalb und außerhalb des Unternehmens möglich. Es handelt sich also nicht etwa um ein „internes System“. Die Gruppe, innerhalb der Absprachen erfolgen, kann beliebig groß sein.
Datenschützer sehen Doodle ausgesprochen kritisch. Das hat zwei Gründe:
- Wer auf eine Terminanfrage zugreifen will, muss den Link aufrufen, der ihm zugesandt wurde. Ein solcher Link lässt sich leicht weitergeben, auch an Unbefugte. Sie haben dann Zugriff auf die Daten aller Teilnehmer an einer Terminabsprache. Sie können diese Daten dann manipulieren.
- Anders als viele glauben, erfolgt die Speicherung der Daten nicht bei dem Unternehmen, das die Software nutzt, sondern beim Anbieter der Software (Doodle AG in Zürich). Das wäre an sich noch kein Problem, weil die Schweiz sich an die EU-Vorgaben für den Datenschutz hält. Es ist jedoch bekannt, dass die Doodle AG die Daten auch in völlig anderen Ländern speichert, etwa in den USA.
Damit verlassen diese Daten den Geltungsbereich der DSGVO.
Viele Aufsichtsbehörden geben den Rat, in Doodle nicht die echten Namen der Teilnehmer zu benutzen, sondern „Pseudonyme“. Damit sind Abkürzungen von Namen gemeint oder auch Fantasienamen. Das führt in der Praxis jedoch nicht weiter. Besser man verwendet andere Systeme. Sie vermeiden die beschriebenen Probleme. Der Bayerische Landesbeauftragte für den Datenschutz empfiehlt beispielsweise als Alternative die Software „Dudle“ der Technischen Universität Dresden und den „DFN-Terminplaner“. Beide sind kostenlos.
Der Autor Dr. Eugen Ehmann ist Regierungspräsident von Unterfranken und ist seit Jahren im Datenschutz aktiv.
