Anmelden
Jetzt starten

Präsenzveranstaltungen: Einhaltung der DSGVO

Eine Veranstaltung mit 300 Teilnehmern bedeutet 300 Anmeldeformulare, Anwesenheitslisten, Scans von Ausweisen, Bestätigungs-E-Mails, Fotos und vielleicht einen Newsletter im Anschluss. So viele Stellen, an denen personenbezogene Daten erfasst werden, so viele Verpflichtungen gemäß der DSGVO. Sind Sie als Veranstalter wirklich konform? Diese Frage muss unverblümt gestellt werden. Dieser Artikel gibt einen Überblick über die konkreten Verpflichtungen, die für Ihre Tätigkeit gelten – von der Erhebung der Teilnehmerdaten bis zur Sicherheit der von Ihnen genutzten Plattform –, damit Sie handeln können, anstatt nur zu reagieren.

Was ist die DSGVO?

DSGVO: Eine europäische Verordnung, die auch für Veranstaltungen gilt

Die am 25. Mai 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) gilt für jede Organisation, die personenbezogene Daten von in der EU ansässigen Personen verarbeitet, unabhängig von ihrer Größe. Für einen Veranstalter bedeutet dies konkret, dass jede Datenerhebung – einschließlich einer Anwesenheitsliste in Papierform oder eines Scans eines Ausweises – eine Verarbeitung im Sinne der DSGVO darstellt und entsprechende Verpflichtungen nach sich zieht. Die Sanktionen der CNIL sind real: Im Jahr 2024 verhängte die Behörde 87 Sanktionen mit einer Gesamtstrafe von über 55 Millionen Euro (Quelle: CNIL, Tätigkeitsbericht 2024). Das ist kein Grund zur Panik, sondern ein Grund zum Handeln.

Die beiden Hauptakteure: Verantwortlicher und Auftragsverarbeiter

Die DSGVO basiert auf einer grundlegenden Unterscheidung: dem Verantwortlichen (Data Controller) und dem Auftragsverarbeiter (Data Processor). Als Veranstalter sind Sie der Verantwortliche: Sie entscheiden, warum und wie die Daten erhoben werden. Die von Ihnen genutzte Veranstaltungsplattform ist Ihr Auftragsverarbeiter: Sie verarbeitet die Daten in Ihrem Auftrag und gemäß Ihren Anweisungen. Diese Unterscheidung hat eine direkte Konsequenz: Auch wenn Sie Aufgaben an eine Plattform delegieren, bleiben Sie rechtlich für die Praktiken dieses Auftragsverarbeiters verantwortlich. Wir werden im letzten Abschnitt auf diesen entscheidenden Punkt zurückkommen.

Zusammenfassung

Als Veranstalter sind Sie der Verantwortliche für die Datenverarbeitung.
Die von Ihnen gewählte Plattform ist Ihr Auftragsverarbeiter.
Sie haften rechtlich für deren Vorgehensweise.

Auswirkungen der DSGVO auf B2B- und B2C-Veranstalter

B2B-Veranstaltungen: Oft unterschätzte Verpflichtungen

Ein weit verbreitetes Vorurteil lautet: „Geschäftliche Daten fallen nicht unter die DSGVO“. Das ist falsch. Die Kontaktdaten eines Mitarbeiters – sein Name, seine geschäftliche E-Mail-Adresse, seine Berufsbezeichnung – sind personenbezogene Daten im Sinne der Verordnung. Fachkonferenzen, Messen, Kundenseminare: All dies ist davon betroffen. Die Rechtsgrundlage des „berechtigten Interesses“ ist im B2B-Bereich häufig für den Versand von Einladungen oder die Vertriebsnachverfolgung anwendbar, muss jedoch zwingend in Ihrem Verarbeitungsverzeichnis dokumentiert werden. Sie befreit nicht von der Pflicht, die betroffenen Personen zu informieren.

B2C-Veranstaltungen: noch höhere Anforderungen

Im B2C-Bereich ist häufig eine ausdrückliche Einwilligung erforderlich, insbesondere sobald die Datenverarbeitung über die logistische Organisation der Veranstaltung hinausgeht. Öffentlich verbreitete Fotos und Videos der Veranstaltung, die Erhebung von Gesundheitsdaten für eine Sportveranstaltung, die Verarbeitung von Daten minderjähriger Kinder: All dies sind sensible Fälle, die besondere Aufmerksamkeit erfordern. Ein Punkt wird häufig übersehen: Die Kommunikation nach der Veranstaltung – Versand einer Aufzeichnung, Zufriedenheitsfragebogen, Follow-up-Newsletter – erfordert eine andere Rechtsgrundlage als die bloße Anmeldung. Die für die Anmeldung eingeholte Einwilligung gilt nicht als Einwilligung für spätere Mitteilungen.

B2B2C-Veranstaltung

Bei manchen B2B-Veranstaltungen können auch Begleitpersonen wie Ehepartner oder sogar Kinder dabei sein. Dies ist beispielsweise bei Veranstaltungen vom Typ„Family Days“der Fall, bei denen das Unternehmen, das Werk oder die Manufaktur für Angehörige geöffnet ist, damit diese den Beruf eines dort beschäftigten Elternteils kennenlernen können.

Manche Unternehmen, die zum industriellen Erbe gehören, öffnen ihre Türen ebenfalls anlässlich der Tage des offenen Denkmals.
Dabei handelt es sich um eine Mischung aus Mitarbeitern und Teilnehmern bzw. Gästen aus der „breiten Öffentlichkeit“

Die Pflicht zur Unterrichtung von Personen

Was muss ein vorschriftsmäßiges Informationsblatt enthalten?

Artikel 13 der DSGVO schreibt vor, dass jede Datenschutzerklärung bestimmte Angaben enthalten muss: die Identität und die Kontaktdaten des für die Verarbeitung Verantwortlichen, die Zwecke und die Rechtsgrundlage jeder Verarbeitung, die Empfänger oder Kategorien von Empfängern der Daten, die Aufbewahrungsdauer, die Rechte der betroffenen Personen und die Art und Weise, wie diese ausgeübt werden können, die Kontaktdaten des Datenschutzbeauftragten, falls Ihre Organisation einen solchen benannt hat, sowie das Vorliegen etwaiger Übermittlungen außerhalb der Europäischen Union. Diese Erklärung muss in klarer und verständlicher Sprache verfasst sein – juristischer Fachjargon ist kein Alibi, sondern ein Hindernis.

Zu welchem Zeitpunkt muss die Information bereitgestellt werden?

Das Prinzip ist einfach, aber unverzichtbar: Die Informationen müssen vor der Datenerhebung bereitgestellt werden. In der Praxis bedeutet dies, dass sie im Online-Anmeldeformular (vor dem Absenden), in der Anmeldebestätigungs-E-Mail, in der App zur Akkreditierungsverwaltung und am Check-in-Schalter vor Ort zugänglich sein müssen. Es reicht nicht aus, einen Link zur Datenschutzerklärung in der Fußzeile einer E-Mail zu platzieren. Die Informationen müssen sichtbar und zugänglich sein und präsentiert werden, bevor die Person ihre Daten angibt.

Transparenz bei der Datenerhebung

Je nach Art der Veranstaltung die richtige Rechtsgrundlage ermitteln

Jede Verarbeitung muss auf einer der in der DSGVO vorgesehenen Rechtsgrundlagen beruhen. 

Die im Veranstaltungsbereich am häufigsten anzutreffenden Rechtsgrundlagen sind folgende:
Einwilligung: Wird insbesondere für den Versand eines Newsletters nach der Veranstaltung sowie für die Nutzung von Fotos und Videos herangezogen. Sie muss freiwillig, spezifisch, in voller Kenntnis der Sachlage erteilt und jederzeit widerrufbar sein.
Berechtigtes Interesse: Wird häufig für den Versand des Programms, für B2B-Follow-ups oder bestimmte Mitteilungen im Zusammenhang mit der Veranstaltung herangezogen. Ihre Anwendung erfordert eine dokumentierte Interessenabwägung zwischen den Bedürfnissen des Veranstalters und den Rechten der betroffenen Personen.
Vertragserfüllung: betrifft beispielsweise eine kostenpflichtige Anmeldung oder die Aushändigung eines für die Teilnahme erforderlichen Ausweises. Diese Rechtsgrundlage muss auf die Daten beschränkt bleiben, die für die Erbringung der angeforderten Dienstleistung unbedingt erforderlich sind.

Ein häufiger Fehler besteht darin, die Einwilligung standardmäßig als Rechtsgrundlage heranzuziehen, obwohl die Vertragserfüllung oder das berechtigte Interesse oft besser geeignet – und in der Handhabung weniger aufwendig – sind. Wichtig ist, die Rechtsgrundlage im Vorfeld festzulegen und zu dokumentieren.

Datenminimierung: Nur das Nötigste erfassen

Der Grundsatz der Datenminimierung ist eines der Grundprinzipien der DSGVO: Es dürfen nur Daten erhoben werden, die für die angegebenen Zwecke unbedingt erforderlich sind. Auf den Veranstaltungsbereich angewendet, wirft dies konkrete Fragen auf: Ist das Geburtsdatum für eine Fachkonferenz wirklich notwendig? Ist die Telefonnummer unverzichtbar, wenn die gesamte Kommunikation per E-Mail erfolgt? Diese Fragen vor jeder Veranstaltung zu beantworten, ist effektiver als ein jährliches Audit.

Anmeldeformular: Bewährte Vorgehensweisen

Die Einhaltung der Vorschriften hängt auch von den Details des Formulars ab. Nicht vorab angekreuzte Kontrollkästchen, klare und nach Verwendungszweck getrennte Einwilligungsformulierungen (ein Kästchen für die Registrierung, ein anderes für den Newsletter), ein vor dem Absenden sichtbarer Link zur Datenschutzerklärung, das Fehlen ungerechtfertigter Pflichtfelder: Jedes Element zählt. Eine konforme Veranstaltungsplattform muss es Ihnen ermöglichen, diese Einstellungen ohne technische Umgehungslösungen zu konfigurieren. Wenn Ihr Tool dies nicht zulässt, ist das ein Warnsignal.

Die Aufbewahrungsfrist für Daten

Für jeden Zweck angemessene Laufzeiten festlegen

Es gibt keine allgemeingültige Aufbewahrungsfrist: Sie hängt vom Zweck der jeweiligen Datenverarbeitung ab. Einige sinnvolle Richtwerte: Rechnungsdaten müssen gemäß den gesetzlichen Buchführungspflichten 10 Jahre lang aufbewahrt werden; Kontaktdaten für die Kundenakquise gemäß der Empfehlung der französischen Datenschutzbehörde CNIL 3 Jahre ab dem letzten Kontakt; Daten zur Teilnahme an einer Veranstaltung maximal 12 Monate für statistische Zwecke. Diese Fristen müssen unbedingt in Ihrem Verarbeitungsregister dokumentiert werden. Viele Veranstalter bewahren Daten mangels eines entsprechenden Verfahrens auf unbestimmte Zeit auf: Dies stellt an sich bereits einen Verstoß gegen die Vorschriften dar.

Wir bei Appcraft empfehlen, die Daten drei Monate nach der Veranstaltung aufzubewahren. In 90 % der Fälle reicht das völlig aus.

Akkreditierungen, Ausweise und Anwesenheitsdaten: der Sonderfall

Die beim Scannen von Ausweisen erhobenen Daten verdienen besondere Beachtung. Die Ankunftszeit, die besuchten Veranstaltungen, die Interaktionen mit Ausstellern: All dies sind Verhaltensdaten im eigentlichen Sinne. Sie müssen auf einer ausdrücklichen Rechtsgrundlage beruhen, in der Datenschutzerklärung erwähnt werden und nach einer festgelegten Frist gelöscht werden. Dieser Punkt wird bei Fachveranstaltungen häufig ignoriert, auch in Organisationen, die ihre DSGVO-Konformität ansonsten als gut im Griff haben.

Die Rechte der Teilnehmer

Recht auf Auskunft, Berichtigung und Löschung

Die Artikel 15, 16 und 17 der DSGVO garantieren den Teilnehmern das Recht auf Auskunft über ihre Daten, auf deren Berichtigung und auf deren Löschung. Sie haben grundsätzlich einen Monat Zeit, um auf einen Antrag zu reagieren (bei komplexen Anträgen kann diese Frist auf drei Monate verlängert werden). Konkretes Beispiel: Ein Teilnehmer beantragt nach der Veranstaltung die Löschung seiner Daten. Sie müssen in der Lage sein, sein Profil von Ihrer Plattform, aus den zugehörigen E-Mail-Verteilern und aus allen Datenbanken Dritter, an die Sie seine Informationen weitergegeben haben, zu löschen. Wenn Ihre Plattform diese Löschung auf Anfrage nicht zulässt, ist das ein Problem.

Widerspruchsrecht und Widerruf der Einwilligung

Das Widerspruchsrecht gilt für Verarbeitungen, die auf einem berechtigten Interesse beruhen: Der Teilnehmer kann jederzeit Widerspruch einlegen, und Sie müssen diese Verarbeitung einstellen, sofern keine zwingenden Gründe dagegen sprechen. Der Widerruf der Einwilligung betrifft Verarbeitungen, die auf einer Einwilligung beruhen: Er muss genauso einfach sein wie die Erteilung der Einwilligung. Ein Abmeldelink in jeder E-Mail reicht nicht aus, wenn andere Verarbeitungen auf der Grundlage der Einwilligung noch laufen. Die Ausübung dieser Rechte muss für alle betroffenen Verarbeitungen gelten, nicht nur für den Versand von E-Mails.

Wie lässt sich die Bearbeitung dieser Anträge in der Praxis organisieren?

Es ist kein Vollzeit-DSB erforderlich, um Anträge auf Ausübung von Rechten effizient zu bearbeiten. In den meisten Fällen reicht eine schlanke Governance aus: Benennen Sie einen internen DSGVO-Ansprechpartner (auch in Teilzeit), richten Sie eine spezielle E-Mail-Adresse für Anfragen ein (z. B. privacy@votreentreprise.fr), dokumentieren Sie jeden Antrag und die entsprechende Antwort in einem einfachen Verzeichnis und stellen Sie sicher, dass Ihre Plattform den Export und die Löschung von Daten auf Anfrage ermöglicht. Für mittelständische Unternehmen kann ein externer Datenschutzbeauftragter die erforderliche Rechtsberatung bieten, ohne dass die Auflagen einer festen Anstellung entstehen.

Kasten mit DSGVO-Hinweisen, in dem erläutert wird, dass ein Veranstalter nicht immer einen hauptamtlichen Datenschutzbeauftragten benötigt, um die Vorschriften einzuhalten.

Die Grundlagen einer konformen Veranstaltungsplattform

Die DPA (Data Processing Agreement): das erste Dokument, das Sie einfordern sollten

Artikel 28 der DSGVO schreibt den Abschluss einer Auftragsverarbeitungsvereinbarung (Data Processing Agreement, kurz DPA) zwischen dem Veranstalter und jeder Plattform vor, die personenbezogene Daten in seinem Auftrag verarbeitet. Dieses Dokument muss den Gegenstand und die Dauer der Verarbeitung, deren Art und Zweck, die Art der verarbeiteten Daten, die Verpflichtungen des Auftragsverarbeiters in Bezug auf Sicherheit und Vertraulichkeit, die Bedingungen für eine Weitervergabe sowie die Modalitäten für Audits festlegen. Das Fehlen eines DPA stellt an sich bereits einen Verstoß dar – es setzt Sie im Falle einer Kontrolle einem Risiko aus, unabhängig von der Qualität der vorhandenen technischen Maßnahmen. Eine Plattform, die keine DPA anbietet, kann nicht als konform eingestuft werden.

Hosting in Europa und technische Sicherheit: unverzichtbare Kriterien

Über das DPA hinaus müssen mehrere technische Kriterien überprüft werden. Die Speicherung der Daten auf Servern innerhalb der Europäischen Union ist eine unabdingbare Voraussetzung. Datenübermittlungen außerhalb der EU – insbesondere an US-amerikanische Auftragsverarbeiter, die dem Cloud Act unterliegen – bergen konkrete rechtliche Risiken, die durch Standardvertragsklauseln (SVC) oder andere Mechanismen geregelt werden müssen. 

In diesem Zusammenhang unterliegen Sie selbst bei einer Hosting-Lösung auf Servern in Europa oder sogar in Frankreich bei einem US-amerikanischen Anbieter wie AWS (Amazon) oder Azure (Microsoft) dem US-amerikanischen Cloud Act. Die Verschlüsselung von Daten während der Übertragung und im Ruhezustand, die Verwaltung von Zugriffsrechten, die Nachverfolgbarkeit über Audit-Protokolle, ein Plan zur Reaktion auf Vorfälle (mit Benachrichtigung der CNIL innerhalb von 72 Stunden im Falle einer Verletzung) sowie anerkannte Zertifizierungen wie ISO 27001 sind wichtige Indikatoren für die Reife der Sicherheitsmaßnahmen.

Bei AppCraft sind diese Anforderungen in die Architektur der Plattform integriert: Hosting in Frankreich auf Servern von OVH (einem französischen Unternehmen), für die KI-Engine unzugängliche Teilnehmerdaten, durch die Architektur garantierte Anonymisierung und eine für jeden Kunden verfügbare Datenschutzvereinbarung.

Checkliste für die Auswahl einer Plattform, die die DSGVO wirklich erfüllt

Bevor Sie einen Vertrag mit einem Dienstleister abschließen, sollten Sie Folgendes Punkt für Punkt überprüfen:

1. Bietet der Dienstleister einen unterzeichneten und aktuellen DPA (DSGVO-Auftragsverarbeitungsvertrag) an?
2. Werdendie Daten ausschließlich innerhalb der Europäischen Union gehostet?
3. Unterliegt das Hosting-Unternehmen einer Gesetzgebung, die mit dem europäischen Recht unvereinbar ist, wie beispielsweise dem US-amerikanischen Cloud Act?
4. Ist die Verschlüsselung der Daten während der Übertragung (TLS) und im Ruhezustand gewährleistet?
5. Bietetdie Plattform Audit-Protokolle und eine Nachverfolgbarkeit der Zugriffe?
6. Verfügt sie über ein Benachrichtigungsverfahren im Falle einer Datenverletzung (72 Stunden gemäß CNIL)?
7. Ist das Anmeldeformular so konfigurierbar, dass die Grundsätze der Datenminimierung und der Einwilligung eingehalten werden?
8. Kanndie Löschung der Daten eines Teilnehmers auf Anfrage schnell durchgeführt werden?
9. Verfügtdie Plattform über eine anerkannte Zertifizierung (ISO 27001 oder gleichwertig)?
10. Sind die Subunternehmer der Plattform identifiziert und durch vertragliche Garantien abgesichert?
11. Kanndas Vertriebs- oderRechtsteam Ihre Fragen zur DSGVO ohne unangemessene Verzögerung beantworten?

Zusammenfassend

Die Einhaltung der DSGVO im Veranstaltungsbereich ist keine Angelegenheit für Juristen, sondern für Veranstalter. Die Verpflichtungen sind konkret, die Risiken real, und es gibt Lösungen – auch für Organisationen ohne eigenen Datenschutzbeauftragten. Entscheidend ist, einen strukturierten Ansatz zu verfolgen: die Datenverarbeitungen zu dokumentieren, eine wirklich konforme Plattform zu wählen, die Teilnehmer zu informieren und die notwendigen Mittel bereitzustellen, um ihren Rechten nachzukommen.

Über die reine Einhaltung der Vorschriften hinaus ist Datenschutz auch ein Mittel, um Vertrauen zu schaffen. Teilnehmer, die wissen, dass ihre Daten seriös behandelt werden, melden sich leichter an, geben relevantere Informationen weiter und kommen bei den nächsten Veranstaltungen wieder. Eine konsequente Umsetzung der DSGVO ist sowohl ein Wettbewerbsvorteil als auch eine gesetzliche Verpflichtung.

Weiterführende Informationen: Die Einhaltung der DSGVO wirft natürlich weitere damit zusammenhängende Fragen auf, wie beispielsweise die Verwaltung von Cookies auf Ihrer Veranstaltungswebsite, die Aufbewahrungsfrist für CRM-Daten zwischen zwei Ausgaben derselben Veranstaltung oder auch die besonderen Herausforderungen bei Hybridveranstaltungen, bei denen Online- und Vor-Ort-Teilnehmer nicht denselben Verarbeitungsvorgängen unterliegen. All diese Themen werden wir weiterhin untersuchen.

Verwandte Veranstaltungstypen

Verwandte Funktionen

Sie möchten eine Veranstaltung organisieren?

Starten Sie mit Appcraft!

Kontaktieren Sie uns!
Alle unsere Artikel

Folgen Sie uns in den sozialen Netzwerken

Die Appcraft-Versicherung

Machen Sie es wie unsere über 200 Kunden, Agenturen oder Unternehmen:
Entscheiden Sie sich für die Sicherheit der Nr. 1.

Illustration zur DSGVO, die den Schutz personenbezogener Daten, die Cybersicherheit und die Einhaltung gesetzlicher Vorschriften einer digitalen Plattform darstellt.

DSGVO
Personenbezogene Daten
Ihrer Veranstaltungen

CSR-Illustration, die die soziale Verantwortung von Unternehmen, nachhaltige Entwicklung und Umweltengagement symbolisiert.

CSR
ISO 20121:2024
r Ihrer Veranstaltungen

Illustration modularer digitaler Schnittstellen, die Datenmanagement, digitale Tools und vernetzte Systeme darstellen.

Projektbegleitung
100 % Unterstützung
bei Ihren Veranstaltungen

Illustration der ISO-Norm, die die Datensicherheit, Konformität und Zuverlässigkeit einer professionellen digitalen Plattform darstellt.

Cybersicherheit
ISO 27001
eventech

Illustration einer souveränen digitalen Infrastruktur in Frankreich, die für sicheres Hosting, Datenlokalisierung und DSGVO-Konformität steht.

Digitale Souveränität
-Veranstaltung

Die globale Veranstaltungsplattform zur Steuerung all Ihrer Events
Kontaktieren Sie uns
Lösungen
100 % autonom 100 % begleitet 100 % Agentur 150 Funktionen
Über
Unser Unternehmen Appcraft Das Magazin Unterstützung Kontaktieren Sie uns
Entdecken Sie unseren Newsletter
Die neuesten Nachrichten zu Veranstaltungen, Ressourcen und bewährten Praktiken jeden Monat in Ihrem Posteingang
Unsere Zertifizierungen
Symbol für die Zertifizierung nach ISO 27001, das für Informationssicherheit, Datenschutz und IT-Risikomanagement steht.GDPR-Symbol, das die Einhaltung der europäischen DSGVO und den Schutz personenbezogener Daten in einer sicheren digitalen Lösung darstellt.ISO 20121-Zertifizierungssymbol, das für verantwortungsbewusstes Veranstaltungsmanagement und Engagement für nachhaltige Entwicklung steht.
Unsere Partner
Freiberufliche Eventmanager, die über eine zentralisierte digitale Plattform bei der Organisation und Verwaltung von Fachveranstaltungen zusammenarbeiten.
Copyright © 2026 – APPCRAFT – Alle Rechte vorbehalten – Rechtliche HinweiseDatenschutzerklärungSicherheitsrichtlinie ISO27001Nachhaltigkeitsrichtlinie – Produktdatenblätter – Funktionen