Event-App-Sicherheit: Der richtige Umgang mit Datenschutz und Zugriffsrechten

Es gibt wohl kaum ein Thema, das Veranstaltungsplanern mehr schlaflose Nächte bereitet als Datenschutz. Das gilt ganz besonders für den Bereich der Event-App-Sicherheit.

Das Bewusstsein für Datenschutz und damit verbundene Sicherheitsrisiken ist deutlich gestiegen – nicht erst seit Einführung der DSGVO. Das heißt, Eventorganisatoren müssen heute besonders darauf achten, wie Technologiedienstleister – etwa Event-App-Anbieter wie EventMobi – ihre Veranstaltungsdaten speichern und verwenden.

Dieser Blogartikel beleuchtet grundlegende Sicherheitsfunktionen für Event-Apps und den richtigen Umgang mit Datenschutz. Außerdem nennen wir die wichtigsten technischen Fragen, die Sie Ihren Event-App-Anbietern stellen sollten. So vergewissern Sie sich, dass Sie nur mit den sichersten Dienstleistern zusammenarbeiten – und können nachts gut schlafen.

Die wichtigsten Sicherheits- und Zugriffsfunktionen für Event-Apps

Ob Ihre Event-App vertrauliche Informationen beinhaltet oder nicht, ist zweitrangig. In jedem Fall müssen Sie dafür sorgen, dass sämtliche persönliche Daten Ihrer Veranstaltungsteilnehmer nur für berechtigte Parteien zugänglich sind.

Im Bereich Sicherheit und Zugriffsrechte sollten Event-App-Anbieter diese wichtigen Funktionen zur Verfügung stellen:

• Passwörter für alle Teilnehmerkonten erforderlich machen. Mit Passwörtern können Ihre Teilnehmer den Zugang zu ihren persönlichen Profilen und den darin gespeicherten Informationen schützen. Ohne Passwörter könnte theoretisch jeder auf Ihre Event-App zugreifen, der die E-Mail-Adressen Ihrer Teilnehmer errät – und damit auch auf die enthaltenen Daten, wie etwa Profile oder Privatnachrichten.
• Zugangscodes für private Veranstaltungen erstellen. Diese Funktion erlaubt Ihnen, vorab einen Zugangscode an registrierte Teilnehmer, Referenten etc. zu schicken. Dieser muss eingegeben werden, um die App öffnen zu können. Damit wird der öffentliche Zugang zu Informationen in der Event-App begrenzt – wie Veranstaltungsort, Programmpunkte oder Referentenliste. So verhindern Sie Zugriff durch unbefugte Personen, die z. B. über ein Verzeichnis (wie einen App-Store) auf Ihre Event-App stoßen oder den Event-App-Link erraten.
• Zugriff nur für registrierte E-Mail-Adressen (die höchste Sicherheitsstufe für Event-Apps). Mit dieser Funktion können Sie den Zugang zur Event-App auf registrierte Teilnehmer beschränken. Wer sich in der App anzumelden versucht, wird anhand seiner E-Mail-Adresse mit der Teilnehmerdatenbank abgeglichen. Erscheint die E-Mail-Adresse nicht in Ihrer Datenbank, ist es nicht möglich, einen Account zu erstellen. Mit dieser Methode erhalten Sie die größte Kontrolle über Veranstaltungsdetails und Teilnehmerlisten. Denn Sie schließen damit jeden aus, der sich nicht als Teilnehmer registriert hat.

Der richtige Umgang mit Event-App-Datenschutz

Jede Person oder Organisation, die Informationen über Veranstaltungsteilnehmer sammelt, gilt unter Datenschutzgesetzen wie der DSGVO als „Datenverantwortlicher“. Datenverantwortliche tragen große Verantwortung für die Informationen, die sie zusammentragen. Dazu gehört unter anderem, wie die Daten gesammelt, gespeichert und für verschiedene Zwecke verwendet werden.

Die folgenden Funktionen unterstützen Sie beim richtigen Umgang mit grundlegenden Datenschutzanforderungen:

• Die Möglichkeit, Ihre eigene Datenschutzerklärung zu veröffentlichen. Diese sollte bei der Registrierung oder auf dem Login-Screen der Event-App erscheinen. So erfahren Veranstaltungsteilnehmer, was mit ihren Daten geschieht, bevor sie sich entscheiden, die Registrierung abzuschließen und/oder ein Profil in der App anzulegen. Die Datenschutzerklärung sollte außerdem jederzeit für Auskunftszwecke über die Event-App abrufbar sein. Damit sorgen Sie für größtmögliche Transparenz.
• Die Möglichkeit, dass Ihre Teilnehmer die AGB akzeptieren. Diese Funktion verpflichtet Teilnehmer, allgemeinen Veranstaltungsregeln zuzustimmen, bevor sie in die Event-App eintauchen können. Die AGB sollten außerdem darlegen, wie Teilnehmer mit Daten umgehen sollten, auf die sie in der Event-App zugreifen können. Die AGB sollten auch jederzeit für Auskunftszwecke in der Event-App abrufbar sein.
• Die Möglichkeit, bestimmte Teilnehmerprofile zu „verbergen“ und/oder festzulegen, welche Daten auf Teilnehmerprofilen angezeigt werden. Es kann manchmal von Vorteil sein, Teilnehmerprofile auf Anfrage in der Event-App unsichtbar machen zu können. Profile zu verbergen bedeutet jedoch oft, dass die jeweiligen Teilnehmer einige Funktionen der Event-App nicht benutzen können. Dazu gehören etwa Privatnachrichten, Gamification und Posten in Gruppendiskussionen oder Activity Feeds. Denn hierbei ist es wichtig, dass die Person angezeigt wird, die schreibt oder postet. Solche grundlegenden Funktionen der Event-App nicht verwenden zu können, kann die Nutzungsraten und das Teilnehmererlebnis beeinträchtigen – darüber sollten sich Veranstalter im Klaren sein. Ihre Datenschutzerklärung sollte genau darlegen, welche persönlichen Daten in der Event-App angezeigt werden. So schließen Sie aus, dass es hier zu Problemen kommt, nachdem Teilnehmer sich registriert haben. Es ist wichtig, festlegen zu können, welche Felder der Teilnehmerprofile in der Event-App für andere angezeigt werden. Schließlich sollten vertrauliche Informationen auf keinen Fall für alle Nutzer der App zu sehen sein.

Welche Datenschutz-Informationen Sie außerdem bei Ihren Event-Technologie-Dienstleistern anfragen können:

• • Eine Zusatzerklärung zur Auftragsdatenverarbeitung. Diese muss deutlich machen, welchen Datenschutzverpflichtungen Sie und Ihr Anbieter jeweils unterliegen. (Achtung: Dies ist nur notwendig, wenn die Informationen nicht bereits ausführlich in Ihrem aktuellen Vertrag dargelegt sind.)
  • Eine Liste von Unterauftragsverarbeitern. Diese Unternehmen darf der Veranstaltungstechnologie-Anbieter damit beauftragen, Informationen zu sammeln und zu speichern.
  • Wie mit Anträgen auf Auskunft über personenbezogene Daten oder auf Datenlöschung oder Anonymisierung umgegangen wird. Der Anbieter sollte Ihnen sagen können, wie lange Daten gespeichert werden, wo sie gespeichert werden und wer Zugriff darauf hat. Dies ist wichtig, falls Sie einer Auskunftsanfrage von Ihren Veranstaltungsteilnehmern nachkommen müssen.
  • Vorlagen für Allgemeine Geschäftsbedingungen und/oder Datenschutzerklärungen. Diese sollten die übliche Nutzung der Plattform beschreiben und von Ihnen an die spezifischen Ansprüche Ihrer Veranstaltung angepasst werden. Hier müssen Sie auch aufführen, wo Sie die Daten der Veranstaltungsteilnehmer speichern und wie diese verwendet werden. Wenn Sie z. B. gesammelte E-Mail-Adressen mit Sponsoren teilen, müssen Sie dies offenlegen. Der Technologieanbieter ist für die Weiterverwendung der Daten durch den Eventplaner üblicherweise nicht verantwortlich.

Es ist außerdem wichtig, dass Sie wissen, wer in Ihrer Organisation oder Ihrem Team auf Daten zugreifen kann. Stellen Sie sicher, dass diese Personen im richtigen Umgang mit den Daten der Veranstaltungsbesucher geschult werden.

Mehr Infos zum Thema DSGVO-Konformität und Veranstaltungsplanung erhalten Sie in unserer kostenlosen Webinar-Aufzeichnung: DSGVO & Events: Der neue EU-Datenschutz und was Sie wissen müssen.

Weitere Überlegungen zur Event-App-Sicherheit

Vielleicht brauchen Sie Hilfe von einem Experten in IT oder Informationssicherheit, um in alle technischen Sicherheitsanforderungen Ihrer Eventtechnologie einzutauchen. Trotzdem gibt es ein paar besonders wichtige Themenbereiche, mit denen Veranstaltungsplaner sich vertraut machen sollten. So gehen Sie sicher, dass Sie bei der Auswahl von Eventtechnologie-Anbietern die richtige Entscheidung treffen:

• Welche Methoden zur Datenverschlüsselung verwendet der Anbieter (während der Übertragung und am Speicherort)? (Beispiel: Wird HTTPS-Verschlüsselung benutzt?)
• Wo werden die Daten gehostet, die der Dienstleister sammelt? (Und ist der Hosting-Anbieter sicher und seriös?)
• Entsprechen die Sicherheitsrichtlinien des Anbieters den industrieüblichen Standards?
• Wie sehen die Abläufe aus, mit denen Sicherheitslücken an Kunden kommuniziert werden?
• Sind alle Sicherheitsfunktionen im Grundpreis enthalten? Oder fallen zusätzliche Kosten für erhöhte Sicherheit an?

Erfahren Sie mehr darüber, wie EventMobi sich zu Event-App-Sicherheit und Datenschutz verpflichtet. Wir bieten sicheren Zugriff auf Event-Apps und Funktionen zur DSGVO-Konformität, damit Ihnen ganz einfach eine fantastische und sichere Veranstaltung gelingt.

Interne & externe Überlegungen zur Event-App-Sicherheit

Es ist nicht nur wichtig, dass Ihr Event-App-Anbieter auf Sicherheit achtet. Schließlich können auch Risiken entstehen, wenn andere Dienstleister und/oder Ihre Mitarbeiter die Daten von Eventteilnehmern abrufen oder nutzen. Denken Sie darüber nach, wie Sie diese Risiken entschärfen können. Einige Beispiele:

• Wie hoch ist die Sicherheit des WLAN, das Ihr Veranstaltungsort zur Verfügung stellt?
• Wer in Ihrer Organisation kann auf Ihre Veranstaltungsdaten zugreifen? Geben Sie jedem Admin-Rechte für das Verwaltungssystem Ihres Technologie-Anbieters? Haben Sie die entsprechenden Mitarbeiter darin geschult, wie sie mit Teilnehmerdaten umgehen und diese speichern sollten?
• Haben Sie Richtlinien für die Nutzung von Firmen-Mobilgeräten, damit der Zugang zu Ihrer Event-App begrenzt ist? Haben Sie sich für den Fall abgesichert, dass unbefugte Dritte auf das Mobilgerät eines Mitarbeiters zugreifen?
• Falls Sie benutzerdefinierte Felder verwenden, um eine externe Datenquelle (ERP, HR, CRM) in Ihre Event-App zu integrieren: Haben Sie darauf geachtet, dass nur die erforderlichen Informationen synchronisiert werden (und nicht mehr private Daten als notwendig)?
• Wenn Sie Teilnehmerinformationen mit Ihren Referenten oder Sponsoren teilen: Haben Sie während des Registrierungsvorgangs das Einverständnis Ihrer Teilnehmer eingeholt?

Möchten Sie mehr zum Thema Event-App-Sicherheit und Datenschutz erfahren? Dann lesen Sie unseren Leitfaden: DSGVO & Events: Was bedeutet die neue Richtlinie für Marketingprofis und Veranstaltungsplaner?