Teilnehmerlisten im Kontext des BDSG

/von

Wir haben eine aktualisierte Version, bezogen auf die DSGVO, veröffentlicht. Diese finden Sie hier.

Hier der ursprüngliche Artikel:

Jeder, der schon mal an einem Seminar oder einer Unterweisung teilgenommen hat, kennt sie: Die Teilnehmerlisten die vom Durchführenden geführt werden. Meist in Form einer einfachen Liste, in der alle Teilnehmer mit Namen, ggf. Unternehmen, Funktion, E-Mailadresse und beliebigen weiteren Informationen aufgeführt sind. Jeder Teilnehmer unterzeichnet dann einmal (oder einmal pro Tag, je nach Seminar und Anbieter) hinter seinem Namen und bestätigt damit, dass er anwesend war. Mal liegt sie am Empfang aus, mal beim Referenten und häufig wird sie auch einfach einmal während der Veranstaltung herumgereicht.

Gerne wird die Teilnehmerliste dann auch in reduzierter Form (z. B. ohne Unterschriften) als Teilnehmerverzeichnis an alle Teilnehmer verteilt, sei es im Nachgang per Post oder E-Mail oder auch direkt während des Seminars in Papierform.

Opt-In und Opt-Out

Manchmal (in der Praxis leider viel zu selten) gibt es dann noch die Möglichkeit, per Kreuz ein Opt-In oder Opt-Out für die Aufnahme in die veröffentlichte Liste zu geben. Das Opt-Out ist dabei natürlich die datenschutzrechtlich deutlich schlechtere Lösung, weil ein vergessenes Kreuz an dieser Stelle zu einer ggf. ungewollten Datenübermittlung führt.

Achtung, Datenübermittlung!

Auch wenn es sich komisch anhört: Die Veröffentlichung der Teilnehmerliste ist eine Datenübermittlung.

Neben dieser Datenübermittlung durch Versand der Teilnehmerliste finden aber regelmäßig weitere, meist unbewusste Datenübermittlungen statt, z. B.

  • durch Auslegen oder Herumreichen der Teilnehmerliste im Rahmen der Unterschriftensammlung oder
  • durch Weitergabe an den (externen) Referenten

In beiden Fällen stellt sich die Frage, ob  diese Datenübermittlungen überhaupt rechtens sind. Das dürfte in weiten Teilen davon abhängen, welche personenbezogenen Daten sich außer den Namen der Teilnehmer noch auf diesen Listen finden.

Die Teilnehmer wissen gegenseitig von einander

Die Namen dürften unkritisch sein, da die Teilnehmer alle gemeinsam an einem Seminar teilnehmen und damit ohnehin offenkundig ist, um wen es sich handelt. Jegliche weiteren Informationen zur Person, wie z. B. E-Mailadresse, Unternehmen oder Position sind für die reine Ermittlung, wer anwesend ist, unnötig und sollten daher auch nicht auf Teilnehmerlisten, die zur Anwesenheitsermittlung dienen, zu finden sein. Optimaler Weise findet sich wie gesagt ein Opt-In für die Aufnahme in die zu verteilende Liste.

Mal wieder: Die informierte Einwilligung

Dabei sollte dann auch die Möglichkeit geboten werden, auszuwählen, welche Daten in dieser Liste enthalten sein dürfen. Wenn ordentlich darüber aufgeklärt wird, wer alles diese Daten bekommt (z. B. „ausschließlich Teilnehmer derselben Veranstaltung“), liegt eine informierte Einwilligung und damit ein Erlaubnistatbestand gem. BDSG vor. Beim Versand der Listen ist dann noch darauf zu achten, die Empfänger darüber zu informieren, wie mit den Daten umzugehen ist, dass also beispielsweise eine Weitergabe oder die Nutzung für Werbezwecke unzulässig sind. Unter anderem § 28 BDSG regelt hier einiges.

Weitergabe von Daten an Auftraggeber

Immer wieder kommt es vor, dass z. B. Auftraggeber Nachweise über die Teilnahme einzelner Mitarbeiter an bestimmten Veranstaltungen (z. B. zur Arbeitssicherheit o. ä.) verlangen, damit Aufträge erteilt werden. In solchen Fällen dürfen auf keinen Fall komplette Teilnehmerlisten herausgegeben oder vorgezeigt werden, schließlich können an den entsprechenden Veranstaltungen auch Personen teilgenommen haben, die mit dem aktuellen Auftrag gar nichts zu tun haben. In solchen Fällen sollten für die betroffenen Personen einzelne Zertifikate erstellt (bei internen Veranstaltungen) oder besorgt (bei Veranstaltungen durch externe Anbieter) werden, welche außer der Identifikation des Teilnehmers und der Bestätigung der Teilnahme keine weiteren Informationen enthalten. Der betroffene Mitarbeiter, dessen Teilnahmebestätigung übermittelt wird, ist entsprechend zu informieren.

Das könnte Sie auch interessieren
clubhouseClubhouse auf geschäftlich genutzten Smartphones
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bNutzung öffentlich zugänglicher Verzeichnisse für Werbung
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungSchulungen zum Datenschutz – eine Unternehmerpflicht
konzern unternehmensgruppeDatenschutz in Unternehmensgruppen und Konzernen – was ist zu beachten?
beschwerde aufsicht 77Serie Betroffenenrechte: Das Recht auf Beschwerde bei der Aufsicht nach Art. 77 DSGVO
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inePrivacy-Verordnung verzögert sich bis auf Weiteres
Das Verbandsklagerechtbdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungtelefax vertraulichkeitTelefonische Werbung