Kurzbeitrag : Zulässigkeit von Teilnehmerverzeichnissen : aus der RDV 4/2015, Seite 185 bis 186
1. Sachverhalt
Die Veranstalter von Seminaren, Workshops und sonstigen Informationsveranstaltungen registrieren die Namen und Kontaktdaten derjenigen, die sich als Teilnehmer anmelden, zu verschiedenen Zwecken. Im Vordergrund dürften die ordnungsgemäße Abrechnung und der Versand organisatorischer Hinweise stehen. Dass die Speicherung und Nutzung der Teilnehmerdaten für diese Zwecke datenschutzrechtlichen Bedenken begegnen, lässt sich wohl schwerlich behaupten; § 28 Abs. 1 Satz 1 Nr. 1 BDSG sollte eine ausreichende Rechtsgrundlage bieten. Die Anbieter solcher Veranstaltungen drucken die Namen der Registrierten aber häufig auch in Teilnehmerlisten aus, die zur Feststellung der Anwesenheit der Angemeldeten und zur Erleichterung der Kommunikation innerhalb des Teilnehmerkreises dienen sollen. Die Handhabung solcher Listen erfolgt in unterschiedlicher Weise – und stößt nicht selten auf Vorbehalte der Teilnehmer, die überhaupt nicht daran interessiert sind, dass ihre Namen und ggf. weitere Merkmale z.B. gegenüber ihnen unbekannten Dritten offengelegt werden. Kaum ein Veranstalter bedenkt die Reichweite seiner Befugnisse beim Umgang mit Teilnehmerlisten und informiert über ihren geplanten Einsatz vorab die Betroffenen. In Ermangelung einer Einwilligung – die erkennbar so gut wie nie (rechtswirksam) eingeholt wird – muss die datenschutzrechtliche Zulässigkeit der Verarbeitung und Nutzung in § 28 BDSG gesucht (und gefunden) werden.
2. Inhalte der Listen – Datenumgangsformen
Manche der üblichen Verzeichnisse beschränken sich auf alphabetisch sortierte Namenswiedergaben. Einige enthalten zusätzliche Hinweise auf das den Betroffenen entsendende Unternehmen bzw. seine Dienststelle, ggf. angereichert durch eine Abteilungszugehörigkeit oder die dort ausgeübte Funktion. Bei anderen werden diese Angaben noch um individuelle Kontaktdaten wie Anschrift oder E-Mail-Adresse ergänzt.
Dient das Verzeichnis dem Veranstalter bzw. einem seiner Mitarbeiter zur Anwesenheitskontrolle, so liegt sowohl in der Erstellung der Liste auf der Basis der Anmeldungen als auch in ihrem Gebrauch „vor Ort“ eine Datennutzung (§ 3 Abs. 5 BDSG). Soll die Datenzusammenstellung aus organisatorischen Gründen zum gleichen Zweck einem Dritten – etwa dem Referenten – ausgehändigt werden, ist darin entweder eine Datenübermittlung oder ein nach § 11 BDSG zu beurteilender Auftragsprozess zu sehen. Werden die Verzeichnisse allen Teilnehmern zugänglich gemacht, etwa durch Auslegen oder Zirkulation, erfahren diese die dort abgebildeten Daten der übrigen Gelisteten, so dass der gesetzliche Tatbestand der Übermittlung erfüllt ist – wiederum mit der Folge des Erfordernisses einer Zulässigkeitsprüfung durch die verantwortliche Stelle.
3. Erlaubnisrahmen
Eine verbindliche, allgemeingültige Regel, welche (Detail-)Angaben zu den Betroffenen in einer Teilnehmerliste vermerkt werden dürfen, lässt sich nicht treffen. Maßgeblich sind die Zwecke, die im konkreten Fall mit den ausgewiesenen Daten verfolgt werden und der Personenkreis, der sie zur Kenntnis nehmen soll.
Die Zulässigkeit richtet sich, wie gesagt, danach, ob der Einsatz mehr oder weniger gegliederter Listen vereinbar ist mit § 28 Abs. 1 Satz 1 Nr. 1, Abs. 1 Nr. 2 und/oder Abs. 2 Nr. 1 bzw. Nr. 2a BDSG. Dabei ist zu unterscheiden:
Eine mit der Liste erfolgende Datennutzung und ggf. -übermittlung zum Zweck der bloßen Anwesenheitskontrolle ist als für die Durchführung des Veranstaltungsvertrages „erforderlich“ gem. § 28 Abs. 1 Satz 1 Nr. 1 BDSG anzusehen. Schließlich soll die Feststellung der Präsenz dem Nachweis der Inanspruchnahme der bestellten Leistung dienen und evtl. auch den Anspruch auf die Erteilung entsprechender Bescheinigungen begründen. Allerdings ist für diesen Zweck eine Liste ausreichend, in der nur die Daten vermerkt sind, die eine eindeutige Identifizierung ermöglichen, d.h. ein Verzeichnis ist in aller Regel auf die Namensangaben zu reduzieren, weitere Zusatzmerkmale sind nicht „erforderlich“.
Sollen die Teilnehmer ihr Erscheinen eigenhändig auf einem ausliegenden oder zirkulierenden Namensverzeichnis (ohne Zusatzmerkmale) dokumentieren (abhaken, Unterschrift), wird die damit verbundene Datenübermittlung nur dann als „erforderlich“ im Rahmen der vertraglichen Zweckbestimmung anzusehen sein, wenn der Veranstalter die Anwesenheitskontrolle nicht oder nur unter sehr erschwerten Bedingungen durchführen kann. Eine solche Situation kann z.B. bei großen Teilnehmerzahlen entstehen. Im Zweifel kann man bei solchen Konstellationen auch auf § 28 Abs. 1 Satz 1 Nr. 2 bzw. Abs. 2 BDSG „ausweichen“. Berechtigte Interessen des Veranstalters an einer solchen Vorgehensweise liegen fraglos vor. Für die Annahme ihr entgegenstehender stärker zu gewichtender schutzwürdiger Interessen der Betroffenen gibt es auch keinen Anlass – Veranstaltungsteilnehmer müssen schon auf Grund ihres Erscheinens damit rechnen, erkannt zu werden, und können sich schwerlich auf ein besonderes Geheimhaltungs- oder Vertraulichkeitsinteresse berufen.
Differenzierter zu beurteilen ist ein Teilnehmerverzeichnis, in dem ohne Kenntnis des Betroffenen diverse Zusatzangaben hinter seinem Namen vermerkt sind, z.B. Beruf, Funktion, Anschrift, Tel.-Nr. oder E-Mail-Adresse – Merkmale, die der Veranstalter (ob rechtmäßig oder datenschutzrechtlich fragwürdig, mag dahinstehen) bei der Anmeldung erhoben hatte. Die ungefragte Ausweisung eines Teilnehmers als Geschäftsführer, Leiter der Personalabteilung oder Betriebsratsmitglied gegenüber dem ihm unbekannten Teilnehmerkreis findet nicht zwangsläufig seine Billigung, im Gegenteil:
Die Annahme von der Übermittlung entgegenstehenden Interessen kann keineswegs von vornherein ausgeschlossen werden. Das gilt umso mehr, wenn ohne seine Beteiligung auch Kontaktdaten ausgedruckt werden. Vielleicht ist es für den Referenten hilfreich, seine Zuhörer besser einordnen und seinen Vortrag ggf. spezifischer ausrichten zu können, und viele Teilnehmer würden nähere Informationen über ihr Umfeld wohl auch begrüßen, weil dadurch ein persönlicher Erfahrungsaustausch gefördert werden könnte.[1] Es ist aber mitnichten sicher, dass dies jeder für wünschenswert hält – und spätere Kontaktaufnahmen nach Abschluss einer Veranstaltung können auch als lästig empfunden werden.
4. Empfehlungen
Will ein Veranstalter Teilnehmer-qualifizierende Angaben im Zusammenhang mit einer Schulung, einem Vortrag, einem Seminar o.ä. bekannt machen, sollte er unbedingt die Betroffenen einbeziehen. Dazu benötigt er keine förmliche Einwilligung, es reicht aus, wenn er einen entsprechenden Hinweis in den Anmeldebestätigungen oder schon in der Ausschreibung (z.B. auf Prospekten und Anmeldeformularen) platziert. Der Interessent hat dann Gelegenheit, sich darauf einzustellen: Entweder akzeptiert er die Vorgehensweise, oder er äußert seine Ablehnung – ggf. durch Verzicht auf eine Anmeldung. Prinzipiell ist es irrelevant, ob „angereicherte“ Teilnehmerverzeichnisse ausgelegt werden, den Veranstaltungsunterlagen beigefügt sind, unter den Teilnehmern zirkulieren oder ihnen gezielt ausgehändigt werden, entscheidend ist der stets ja gleiche Effekt, nämlich die Einräumung von Verfügungsmacht über die Daten und damit die Eröffnung von Missbrauchsmöglichkeiten. Hinweise der Veranstalter darauf, dass die Daten nur für veranstaltungsinterne Zwecke genutzt werden dürfen, dürften mangels effizienter Kontrolle in der Praxis leerlaufen.
Eine abschließende Bemerkung: Dem Veranstalter ist es natürlich unbenommen, in den Teilnehmerlisten Rubriken vorzusehen, in die die Teilnehmer nähere Angaben zu ihrer Person selbst eintragen können. Volenti non fit iniuria.
* Der Autor ist Rechtsanwalt mit dem Tätigkeitsschwerpunkt Datenschutzrecht.
[1] Eine Berufung auf § 28 Abs. 1 Satz 1 Nr. 1 BDSG als Legitimationstatbestand, so Bergmann/Möhrle/Herb, BDSG, § 28 Rn. 170, überstrapaziert die Norm, namentlich das Erforderlichkeitsmerkmal.