DSGVO & Compliance Guide für Messen
Darf ich scannen? Muss er unterschreiben? Ein juristischer Praxis-Guide für Vertriebsleiter und Datenschutzbeauftragte.
DSGVO & Compliance für Messen: Der Rechts-Guide
Lead-Erfassung ohne Bußgeld. Wer ist verantwortlich? Wann brauchen Sie eine Einwilligung? Und was bedeutet Pseudonymisierung?
Messehallen sind keine rechtsfreien Räume. Doch die Panik vor der DSGVO lähmt oft den Vertrieb. Wir klären auf: Was ist erlaubt, was ist verboten und wie sichern Sie sich ab.
Disclaimer
Dies ist keine Rechtsberatung. Wir erklären technische Best Practices. Für rechtskonforme Verträge konsultieren Sie Ihren Datenschutzbeauftragten.
1. Wer ist wer? Die Rollenklärung
- Der Verantwortliche (Controller): Das sind SIE (der Aussteller). Sie entscheiden, wofür die Daten genutzt werden.
- Der Betroffene (Data Subject): Der Messebesucher.
- Der Auftragsverarbeiter (Processor): Software-Anbieter (z.B. Salesforce, HubSpot, oder der Anbieter des Badge-Scanners).
- Check: Haben Sie mit diesen Anbietern einen AVV (Auftragsverarbeitungsvertrag) geschlossen?
- Kontakte.me: Da wir Local-First arbeiten, sind wir kein Auftragsverarbeiter, da wir keinen Zugriff auf Ihre Daten haben.
2. Einwilligung vs. Berechtigtes Interesse
Müssen Sie jedes Mal unterschreiben lassen?
- Visitenkarte: Die Übergabe einer Karte gilt als "konkludente Handlung". Sie dürfen die Daten speichern und im Kontext des Gesprächs kontaktieren (Berechtigtes Interesse, Art. 6 Abs. 1 lit. f DSGVO).
- Newsletter: Hierfür brauchen Sie fast immer ein explizites Opt-In (Einwilligung, Art. 6 Abs. 1 lit. a).
- Lösung: Checkbox im Scan-Formular:
[ ] Newsletter gewünscht.
- Lösung: Checkbox im Scan-Formular:
3. B2B-Ansprache nach der Messe
- Telefon: B2B oft erlaubt bei "mutmaßlicher Einwilligung" (wenn das Gespräch auf der Messe positiv war).
- E-Mail: Strenger. Die erste Mail sollte sich direkt auf das Gespräch beziehen ("Danke für den Besuch am Stand... hier sind die versprochenen Infos"). Werbe-Bombardement ohne Bezug ist abmahngefährdet.
4. Pseudonymisierung & Anonymisierung
Was ist der Unterschied?
- Anonymisierung: Daten werden unumkehrbar verändert. (z.B. "Besucher 123 hat Interesse an Produkt A"). Personenbezug ist weg -> DSGVO gilt nicht mehr. Gut für Statistik.
- Pseudonymisierung: Max Mustermann wird zu
ID_98765. Mit einem Schlüssel kann man ihn wiedererkennen. DSGVO gilt weiterhin!- Use Case: Weitergabe an Agenturen zur Auswertung, ohne Klarnamen preiszugeben.
5. Rollen & Rechte am Stand
Datenschutz heißt auch: Zugriffskontrolle.
- Die Aushilfe an der Info-Theke braucht keinen Zugriff auf alle CRM-Daten.
- Der Export-Button sollte für Praktikanten gesperrt sein.
- Mobiles Device Management (MDM): Stellen Sie sicher, dass Messe-iPads ferngelöscht werden können, falls sie geklaut werden.
Fazit: Dokumentation ist die halbe Miete
Erstellen Sie ein Verarbeitungsverzeichnis für die Messe:
- Welche Daten erheben wir? (Visitenkarten, Notizen).
- Welche Tools nutzen wir? (Scanner, Excel).
- Wann löschen wir? (Löschkonzept).
Wer dokumentiert, hat bei einer Prüfung meist gute Karten.
You might also be interested in
Lokale KI (Ollama) einrichten & nutzen
Scannen Sie Visitenkarten ohne Cloud! Eine Schritt-für-Schritt-Anleitung zur Nutzung von Ollama und Llama 3.2 Vision direkt auf Ihrem Mac oder PC.
DSGVO Checkliste für Messen & Lead-Scanning
Auf der Messe geht es hektisch zu. Schnell wird eine Karte gescannt. Doch ist das DSGVO-orientiert? Unsere Checkliste für den sicheren Lead-Prozess.
Visitenkarten & DSGVO: Was ist erlaubt?
Darf ich erhaltene Visitenkarten einfach scannen und speichern? Ein Leitfaden für den rechtskonformen Umgang mit Kontaktdaten.