kostenlos starten

Datenschutz auf der Weihnachtsfeier: So vermeiden Sie peinliche Compliance-Pannen 

Die jährliche Weihnachtsfeier ist ein Höhepunkt im Unternehmensjahr: eine Gelegenheit zur Danksagung, zum lockeren Austausch und zur Stärkung des Teamgeistes. Doch die entspannte Atmosphäre darf nicht darüber hinwegtäuschen, dass auch im festlichsten Rahmen der Datenschutz präsent bleibt. Sobald Fotos gemacht oder Gästelisten erstellt werden, sind wir mitten in der Verarbeitung personenbezogener Daten. Dieser Beitrag beleuchtet die wichtigsten datenschutzrechtlichen Aspekte rund um die betriebliche Weihnachtsfeier.  

1. Die Gästeliste: Welche Daten dürfen verarbeitet werden? 

Die Planung beginnt mit der Erstellung der Gästeliste. Hierbei werden Namen, Abteilungszugehörigkeit und möglicherweise Essenspräferenzen oder gesundheitliche Besonderheiten (z. B. Allergien) verarbeitet. 

1.1 Allgemeine Teilnehmerdaten (Name, Abteilung) 

Die Verarbeitung dieser Daten zur Organisation eines internen Events fällt in der Regel unter das berechtigte Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO) oder wird als notwendig zur Durchführung des Beschäftigungsverhältnisses (Art. 6 Abs. 1 lit. b i. V. m. § 26 BDSG) angesehen. Der Zweck ist die Organisation und Durchführung der betrieblichen Veranstaltung. Die Betroffenen können dies im Rahmen ihrer Pflichten als Mitarbeiter erwarten. 

1.2 Sensible Daten (Gesundheit, Allergien) 

Werden besondere Kategorien personenbezogener Daten, wie Informationen zu Allergien oder Unverträglichkeiten, erfasst, gelten strengere Maßstäbe (Art. 9 DSGVO). 

  • Die Rechtsgrundlage: Die Erfassung dieser Daten für das Catering ist nur zulässig, wenn die Mitarbeiter eine ausdrückliche, freiwillige und informierte Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) erteilen. 
  • Diese Daten müssen minimiert werden (Art. 5 Abs. 1 lit. c DSGVO). Nur die unbedingt notwendigen Informationen (z. B. „veganes Menü“, nicht „ist laktoseintolerant“) dürfen an das Catering-Unternehmen weitergegeben werden. Die Löschung dieser sensiblen Daten muss unmittelbar nach der Veranstaltung erfolgen. 

1.3 Externe Gäste und Kontaktdaten 

Werden Geschäftspartner oder Kunden eingeladen, müssen deren Kontaktdaten gemäß der Informationspflicht (Art. 13 DSGVO) und einer gültigen Rechtsgrundlage (oft ebenfalls das berechtigte Interesse zur Pflege der Geschäftsbeziehung) verarbeitet werden. Die Einladung sollte transparent über die Datenverarbeitung informieren. 

2. Der heikle Bereich: Fotos und Videos auf der Feier 

Fotos sind oft das größte datenschutzrechtliche Risiko auf der Weihnachtsfeier. Werden Mitarbeiter oder Gäste abgebildet, handelt es sich um personenbezogene Daten im Sinne der DSGVO. Zusätzlich greift in Deutschland bezüglich der Veröffentlichung das Recht am eigenen Bild (§ 22 KunstUrhG). 

2.1 Fotos zur internen Dokumentation (z. B. Intranet) 

Wollen Sie Fotos ausschließlich für interne Zwecke (Intranet, interne Präsentationen) verwenden, ist die Rechtsgrundlage die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). 

  • Freiwilligkeit ist entscheidend: Die Einwilligung muss freiwillig sein. Angesichts des Abhängigkeitsverhältnisses im Arbeitsverhältnis kann die Freiwilligkeit schwierig zu bejahen sein. 
  • Die Lösung: Das Opt-out-Modell vorbereiten: Alternativ kann auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) abgestellt werden, wenn das Interesse an der internen Dokumentation als überwiegend angesehen wird. In diesem Fall muss den Mitarbeitern vor der Feier klar kommuniziert werden, dass Fotos gemacht werden und sie das Widerspruchsrecht (Opt-out) haben. Wer widerspricht, darf nicht fotografiert werden oder muss unkenntlich gemacht werden. 

2.2 Fotos zu externen Werbezwecken (z. B. Social Media, Website) 

Wenn Sie Fotos auf der Unternehmens-Website, in Broschüren oder auf Social Media zur Außendarstellung nutzen möchten, benötigen Sie zwingend die ausdrückliche, dokumentierte Einwilligung der abgebildeten Personen (Art. 6 Abs. 1 lit. a DSGVO, § 22 KUG).

  • Anforderungen an die Einwilligung: Die Einwilligung muss klar festlegen: 
  • Festlegen, welche Fotos Sie verwenden dürfen.
  • Für welche konkreten Zwecke (z. B. Facebook-Post, Karriere-Seite). 
  • Für welchen Zeitraum. 
  • Die Person muss jederzeit das Recht haben, die Einwilligung zu widerrufen (Art. 7 Abs. 3 DSGVO). 

Tipp für die Organisation: Kündigen Sie die Foto-Regeln vorab an. Stellen Sie eine zentrale Person als „Foto-Ansprechpartner“ ab, die auf die Einhaltung der Regeln achtet. 

Alles, was Sie zur datenschutzrechtlichen Einwilligung wissen müssen, können Sie in unserem Blog-Beitrag zur Einwilligung nachlesen Die datenschutzrechtliche Einwilligung  – PLANIT // PRIMA

3. Externe Dienstleister: Catering, Location und DJs

Wenn Sie externe Partner beauftragen (Eventagentur, Fotograf), kann eine Auftragsverarbeitung (AV) nach Art. 28 DSGVO vorliegen, und zwar sobald diese Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeiten (z. B. Gästelisten, Fotos). 

3.1 Die AV-Vertragspflicht 

Bevor Sie Daten an den Dienstleister übermitteln, müssen Sie einen schriftlichen oder elektronischen Auftragsverarbeitungsvertrag abschließen. Dieser Vertrag regelt die Pflichten des Dienstleisters im Hinblick auf die Einhaltung der DSGVO und Ihrer Weisungen. Risikobewertung: Stellen Sie sicher, dass der Dienstleister die technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten einhält. Informationen zum Richtigen Umgang mit Auftragsverarbeitern haben wir Ihnen hier zusammengestellt. Auftragsverarbeitungsvertrag (AVV) – PLANIT // PRIMA

3.2 Die „Bring Your Own Device“ (BYOD)-Gefahr 

Manchmal übernimmt ein Mitarbeiter spontan teile der Organisation über sein privates Gerät. Dies mag praktisch sein, kann aber eine Gefahr darstellen. Stellen Sie sicher, dass Mitarbeiter Unternehmensdaten nicht auf privaten Geräten verarbeiten oder speichern, oder regeln Sie die Nutzung privater Geräte klar im Rahmen Ihrer IT-Policy.

4. Datenschutz-Compliance als Teil der Feierkultur 

Die schönsten Weihnachtsfeiern sind jene, bei denen sich alle sicher und wohlfühlen. Das gilt sowohl für das körperliche Wohlbefinden aber auch für den Schutz der Privatsphäre. Eine vorausschauende Planung in Bezug auf den Datenschutz ist der beste Weg, um Compliance-Bußgelder und peinliche Konflikte zu vermeiden. Denken Sie daran: Datenschutz ist keine Spaßbremse, sondern ein Zeichen von professioneller Wertschätzung gegenüber Ihren Mitarbeitern und Gästen. 

Ist Ihr Unternehmen schon DSGVO-konform aufgestellt? Mit // PRIMA gestalten Sie Ihr Datenschutz-Management einfach, klar und immer gesetzeskonform – dank automatischer Updates stets auf dem neuesten Stand – entwickelt von Datenschutzexperten.
Jetzt 14 Tage Gratis-Zugang sichern!  

Weitere Beiträge

Datenschutz auf der Weihnachtsfeier: So vermeiden Sie peinliche Compliance-Pannen 

Die jährliche Weihnachtsfeier ist ein Höhepunkt im Unternehmensjahr: eine Gelegenheit zur Danksagung, zum lockeren

Weihnachtsgruß Datenschutzkonform

Weihnachtsgrüße datenschutzkonform verschicken: So vermeiden Sie böse Überraschungen unter dem Weihnachtsbaum 

Die Weihnachtszeit ist traditionell die Zeit, in der Unternehmen ihre Wertschätzung gegenüber Kunden, Partnern

Auftragsverarbeitung

Kaum ein Unternehmen kommt heute noch ohne externe Dienstleister aus – sei es für

Betroffenenrechte in der Praxis – Anträge richtig bearbeiten

Unternehmen müssen Anfragen zu Auskunft, Löschung, Widerspruch oder Datenübertragbarkeit fristgerecht, vollständig und nachweisbar beantworten.

Betroffenenrechte im Datenschutzmanagement – So gelingt die Umsetzung in Ihrem Unternehmen

Die Datenschutz-Grundverordnung (DSGVO) stärkt die Rechte betroffener Personen. Es reicht nicht aus, Anfragen von

Betroffenenrechte DSGVO

Betroffenenrechte in der DSGVO – Überblick und Pflichten

Die DSGVO verankert umfassende Rechte für Personen, deren Daten verarbeitet werden. Diese Betroffenenrechte sichern

Was sind Betroffenenrechte? Bedeutung & Überblick

Die Digitalisierung hat die Art und Weise, wie Daten verarbeitet werden revolutioniert. Gleichzeitig wurden

Phishing im Rahmen von Black Friday

Der Black Friday ist für viele Verbraucherinnen und Verbraucher ein Highlight – Unternehmen locken

Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein Unternehmen personenbezogene Daten

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024