Weihnachten und Datenschutz haben auf den ersten Blick nicht wirklich einen Bezug zueinander, zumal das Christkind mit Sicherheit nicht der DSGVO unterliegt – trotz seiner Verarbeitung personenbezogener Daten. Wir hier unten auf Erden müssen uns aber (zumindest in Europa) an die DSGVO halten, und das auch in Bereichen, die auf den ersten Blick damit nichts zu tun haben, wie bei der Weihnachtsfeier. Und auch wenn diese 2020 wohl bei fast allen Unternehmen digital ausfallen wird, muss der Datenschutz dennoch beachtet werden.
Digitale Weihnachtsfeier während Corona
Die betriebliche Weihnachtsfeier in der Form, wie sie viele kennen und lieben, wurde von Corona gestrichen. Das ist schade, aber da sich viele Unternehmen gerade (noch) digital(er) aufstellen, ist das eine perfekte Gelegenheit, um eine digitale Weihnachtsfeier abzuhalten. Doch auch, wenn Sie auch aus Datenschutz-Sicht das passende Video-Konferenz-Tool bereits gefunden haben, gibt es bei Weihnachtsfeiern einiges zu beachten. Bevor eine digitale Weihnachtsfeier starten kann, sollten Sie folgendes überprüfen:
Anforderungen an das Video-Konferenz-Tool: Checken Sie noch einmal, ob das gewünschte Tool alle wichtigen Datenschutz-Anforderungen erfüllt.
Screensharing und Aufzeichnung der Bildschirmübertragung: Entscheiden Sie sich, die digitale Weihnachtsfeier mittels Screensharing zu übertragen, sollten Sie sich mit diesem Thema im Vorfeld ebenso vertraut machen wie mit dem der Aufzeichnung der Bildschirmübertragung.
Zoombombing und andere digitalen Vorfälle verhindern: Um ungebetene digitale Gäste zu verhindern, die sich in Ihre online Weihnachtsfeier schleichen, sollten Sie auf wichtige Sicherheitsmaßnahmen zurückgreifen, wie Warteräume für das Online-Meeting, zufällige Meeting-IDs, personalisierte Online-Einladungen oder abgeschlossene Konferenzräume.
Do: Richtig datenschutzkonform einladen
Mitarbeiter:innen werden persönlich oder mittels ihrer geschäftlichen E-Mail-Adresse eingeladen. Sollten z.B. freie Mitarbeiter:innen keine geschäftliche E-Mail-Adresse haben, können Sie nicht einfach deren private E-Mail-Adresse verwenden – es sei denn, Sie haben die Einwilligung, dass Sie diese verwenden dürfen. Wenn Sie sich nicht sicher sind, dann schicken Sie die Einladungen per Post. Das ist erlaubt und ohnehin persönlicher.
Wollen Sie die Einladungen dennoch per E-Mail verschicken und das zeitgleich an mehrere Empfänger, dann sollten Sie unbedingt das „BCC“-Feld nutzen, damit die Empfängerliste nicht für jeden einsehbar ist.
Don’t: Weihnachtsanrufe ohne Einwilligung
Sie bekommen Lust und wollen auch Geschäftspartner:innen einladen? Dazu suchen Sie sich einfach die Telefonnummer von der Visitenkarte und greifen zum Smartphone, um am Telefon ein Weihnachtsständchen zu trällern? Das sollten Sie lieber lassen, denn laut § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG) fällt Werbung – und als diese wird ein solcher Anruf gewertet – durch einen Anruf ohne vorheriges ausdrückliches Einverständnis von Geschäftspartner:innen unter sog. unzumutbare Belästigung. Alles, was es sonst noch bei Weihnachtsgrüßen mittels verschiedener Medien zu beachten gibt, lesen Sie hier.
Sollte Ihre Weihnachtsfeier nicht digital, sondern vor Ort stattfinden, dann gilt es darüber hinaus folgendes zu beachten:
Do: Auftragsverarbeitungsvertrag für Eventdienstleister
Sobald Sie eine:n Eventdienstleister:in beauftragen, der für Sie die Weihnachtsfeier organisiert und ausrichtet, wird dieser vermutlich mit personenbezogenen Daten in Kontakt kommen (z.B. Kontaktdaten von Teilnehmer:innen, Daten für die Gästeliste usw.). Hier müssen Sie sicherstellen, dass Sie einen Auftragsverarbeitungsvertrag (AVV) mit den betreffenden Dienstleister:innen abschließen, damit dieser die personenbezogenen Daten gemäß der DSGVO, Ihren Vorgaben und nicht zuletzt ausschließlich für das anstehende Event verarbeitet.
Don’t: Datenverarbeitung durch Event-Subunternehmer ohne Einwilligung
Outsourcing an Nachbar Herbert als Event-Subunternehmer? Der / die Eventdienstleister:in Ihres Vertrauens arbeitet mit Subunternehmer:innen? Das muss Ihnen als Verantwortliche:r vorher mitgeteilt werden und Sie müssen zudem hiermit einverstanden sein. Handelt es sich dabei um in Ihren Augen fragwürdige Subunternehmer:innen, die evtl. die Sicherheit der von Ihnen übermittelten Daten Ihrer Mitarbeiter:innen gefährden, dürfen Sie diesen Subunternehmer ablehnen. Dabei ist es irrelevant, ob der allzu geschwätzige Nachbar Herbert, der zudem noch für Ihre Konkurrenz arbeitet, schon seit Jahren mit der von Ihnen angeheuerten Eventfirma arbeitet – es liegt in Ihrem Ermessen und am Ende sind Sie der / die Verantwortliche (für alle personenbezogenen Daten).
Do: Die technischen Gegebenheiten des Veranstaltungsortes überprüfen
Wenn Sie sich entschließen, dass Sie die Weihnachtsfeier selbst planen und durchführen möchten, sollten Sie einen genauen Blick auf die technischen Voraussetzungen des Veranstaltungsorts werfen. Gibt es beispielsweise Einlasskontrollen, die technisch auf dem neusten Stand sind? So verhindern Sie, dass z.B. ungeladene Gäste ungesehen die Veranstaltung betreten und beispielsweise Veranstaltungsunterlagen mit personenbezogenen Daten einsehen können.
Don’t: Die Gästeliste von letztem Jahr recyclen
Recycling ist zu befürworten, aber nicht in jedem Fall: Sollten Sie noch eine ausgedruckte Gästeliste der Veranstaltung des letzten Jahres haben, dann sollte diese schleunigst in den Schredder wandern. Setzen Sie dafür auf digitale Gästelisten oder – wenn diese ausgedruckt sein sollen – verwenden Sie diese so, dass sie von neu ankommenden Gästen auf keinen Fall eingesehen werden können. Gästelisten enthalten neben Vor- und Nachnamen meist noch andere personenbezogene Daten wie Telefonnummern oder Geburtsdaten.
Do: Fotografieren mit Ankündigung
Professionelles Fotografieren auf Weihnachtsfeiern ist erlaubt, wenn vorher die schriftliche Einwilligung aller Beteiligten eingeholt wird (nach § 26 Abs. 2 S. 3 BDSG) – diese können Sie beispielsweise der Einladung beilegen und dann beim Check-In zur Veranstaltung ausgefüllt einsammeln. Zudem müssen die Betroffenen auf ihr Widerspruchsrecht hingewiesen werden. Macht davon jemand Gebrauch, dann darf er auch nicht abgelichtet werden (diesen Personen können Sie z.B. eine rote Anstecknadel geben, damit der / die Fotograf:in Bescheid weiß). Hängen Sie zudem am Veranstaltungsort noch einmal Hinweise aus, dass auf der Veranstaltung fotografiert wird und geben Sie auch den Zweck der Aufnahmen sowie wo und wann die Bilder u. U. veröffentlicht werden (z.B. dass die Veröffentlichung von den Bildern auf der Firmenhomepage in einem Blogartikel zur Weihnachtsfeier geplant ist) mit an.
Don’t: Fotografieren ohne Einverständnis und wildes Geknipse in allen Räumlichkeiten
Machen Mitarbeiter:innen selbst Bilder auf der Veranstaltung, findet die DSGVO keine Anwendung. Aber die professionellen Bilder müssen sich unbedingt auf den offiziellen Rahmen und Veranstaltungsort beschränken. Verdeckte, heimliche Aufnahmen oder diskriminierende Fotos sind ebenso tabu wie Aufnahmen, die Rückschlüsse auf Angaben zu z.B. Religion, Gesundheit oder Sexualleben (nach Art. 9 Abs. 1 DSGVO) von teilnehmenden Mitarbeitern und Mitarbeiterinnen zulassen.
Gerade das Thema Mitarbeiterfotos sollte, auch außerhalb von Firmenevents, gründlich geklärt werden – nicht nur mit den abgebildeten Personen.
Do: Offizielle Stellungnahme zur Weihnachtsfeier
Auf dem Unternehmensblog oder unternehmenseigenen Social-Media-Plattformen die Weihnachtsfeier in Wort und Bild (nach vorherigem Einverständnis) noch einmal Revue passieren lassen, ist völlig in Ordnung. Zudem ist dies eine gute Möglichkeit, der Welt zu zeigen, dass das eigene Unternehmen mit Sicherheit die besten und fleißigsten Mitarbeiter:innen hat.
Don’t: Weihnachtsfeierfotos veröffentlichen ohne Zustimmung
Ehepartner:innen mit Vertrauensproblemen Stoff für Ehekrisen bieten? Darstellungen in Wort und Bild zu veröffentlichen, die personenbezogene Daten beinhalten oder Anlass zu Spekulationen bieten, sollte man auf jeden Fall unterlassen. Das Bild, auf dem Kollege X in enger Umarmung mit Kollegin Y zu sehen ist, mit dem Bilduntertitel „X und Y hatten danach noch wesentlich mehr Spaß“ zu posten, lässt nicht nur viel Platz für Spekulationen und gibt unnötige personenbezogene Daten Preis, sondern ist zudem auch völlig unangemessen. Ebenso unangemessen ist es, etwaige Anrufe misstrauisch gewordener Ehepartner:innen bei der Personalabteilung zu beantworten, wann denn die Gattin nun wirklich nach Hause gegangen sei. Die Uhrzeit, wann Personen auf die Weihnachtsfeier kommen oder gehen, ist ein personenbezogenes Datum und darf nicht einfach so herausgegeben werden. Auch nicht misstrauischen Ehepartner:innen.
Autorin: Kathrin Strauß
Artikel veröffentlicht am: 08.12.2020