Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Teilnehmerlisten und ihre Tücken

19. Dezember 2015

Jeder, der schon mal an einem Seminar oder einer Unterweisung teilgenommen hat, kennt sie: Die Teilnehmerlisten die vom Durchführenden geführt werden. Meist in Form einer einfachen Liste, in der alle Teilnehmer mit Namen, ggf. Unternehmen, Funktion, E-Mailadresse und beliebigen weiteren Informationen aufgeführt sind. Jeder Teilnehmer unterzeichnet dann einmal (oder einmal pro Tag, je nach Seminar und Anbieter) hinter seinem Namen und bestätigt damit, dass er anwesend war. Mal liegt sie am Empfang aus, mal beim Referenten und häufig wird sie auch einfach einmal während der Veranstaltung herumgereicht.

Gerne wird die Teilnehmerliste dann auch in reduzierter Form (z. B. ohne Unterschriften) als Teilnehmerverzeichnis an alle Teilnehmer verteilt, sei es im Nachgang per Post oder E-Mail oder auch direkt während des Seminars in Papierform.

Opt-In und Opt-Out

Manchmal (in der Praxis leider viel zu selten) gibt es dann noch die Möglichkeit, per Kreuz ein Opt-In oder Opt-Out für die Aufnahme in die veröffentlichte Liste zu geben. Das Opt-Out ist dabei natürlich die datenschutzrechtlich deutlich schlechtere Lösung, weil ein vergessenes Kreuz an dieser Stelle zu einer ungewollten Datenübermittlung führen kann.

Achtung, Datenübermittlung!

Auch wenn es sich zunächst komisch anhört: Die Veröffentlichung der Teilnehmerliste ist eine Datenübermittlung.

Neben dieser Datenübermittlung durch Versand der Teilnehmerliste finden aber regelmäßig weitere, meist unbewusste Datenübermittlungen statt, z. B.

  • durch Auslegen oder Herumreichen der Teilnehmerliste im Rahmen der Unterschriftensammlung oder
  • durch Weitergabe an den (externen) Referenten

In beiden Fällen stellt sich die Frage, ob  diese Datenübermittlungen überhaupt rechtens sind. Das dürfte in weiten Teilen davon abhängen, welche personenbezogenen Daten sich außer den Namen der Teilnehmer noch auf diesen Listen finden.

Die Teilnehmer wissen gegenseitig von einander

Die Namen dürften unkritisch sein, da die Teilnehmer alle gemeinsam an einem Seminar teilnehmen und damit ohnehin offenkundig ist, um wen es sich handelt. Jegliche weiteren Informationen zur Person, wie z. B. E-Mailadresse, Unternehmen oder Position sind für die reine Ermittlung, wer anwesend ist, unnötig und sollten daher auch nicht auf Teilnehmerlisten, die zur Anwesenheitsermittlung dienen, zu finden sein. Optimaler Weise findet sich wie gesagt ein Opt-In für die Aufnahme in die zu verteilende Liste.

Mal wieder: Die informierte Einwilligung

Dabei sollte dann auch die Möglichkeit geboten werden, auszuwählen, welche Daten in dieser Liste enthalten sein dürfen. Wenn ordentlich darüber aufgeklärt wird, wer alles diese Daten bekommt (z. B. „ausschließlich Teilnehmer derselben Veranstaltung“), liegt eine informierte Einwilligung und damit ein Erlaubnistatbestand gem. BDSG vor. Beim Versand der Listen ist dann noch darauf zu achten, die Empfänger darüber zu informieren, wie mit den Daten umzugehen ist, dass also beispielsweise eine Weitergabe oder die Nutzung für Werbezwecke unzulässig sind. Unter anderem § 28 BDSG regelt hier einiges.

Weitergabe von Daten an Auftraggeber

Immer wieder kommt es vor, dass z. B. Auftraggeber Nachweise über die Teilnahme einzelner Mitarbeiter an bestimmten Veranstaltungen (z. B. zur Arbeitssicherheit o. ä.) verlangen, damit Aufträge erteilt werden. In solchen Fällen dürfen auf keinen Fall komplette Teilnehmerlisten herausgegeben oder vorgezeigt werden, schließlich können an den entsprechenden Veranstaltungen auch Personen teilgenommen haben, die mit dem aktuellen Auftrag gar nichts zu tun haben. In solchen Fällen sollten für die betroffenen Personen einzelne Zertifikate erstellt (bei internen Veranstaltungen) oder besorgt (bei Veranstaltungen durch externe Anbieter) werden, welche außer der Identifikation des Teilnehmers und der Bestätigung der Teilnahme keine weiteren Informationen enthalten. Der betroffene Mitarbeiter, dessen Teilnahmebestätigung übermittelt wird, ist entsprechend zu informieren.

Gerne berate ich Sie beim Entwurf rechtskonformer Teilnehmerlisten und der entsprechenden Prozesse.