DSGVO-Guide für Events: 10 Dinge, die du 2025 beachten musst

Teilnehmer·innen-Daten, Fotos, Event-Apps, Tracking – Datenschutz ist für Eventprofis längst Alltag. Und zugleich machen neue EU-Vorgaben, erste Urteile zum Data Privacy Framework und strengere Auflagen für Website-Tracking die DSGVO relevanter denn je. Gleichzeitig sind Daten die Basis für jede Kommunikation mit deinen Teilnehmenden. Kurz gesagt: Wer Events organisiert, kommt an Datenschutz nicht vorbei. Damit du auf der sicheren Seite bleibst, findest du in diesem DSGVO-Guide 10 konkrete TOD-DOs, die du 2025 – und vermutlich auch 2026  – im Blick behalten solltest – verständlich erklärt, praxisnah und sofort umsetzbar.

1. Erhebe nur Daten, die du wirklich brauchst

Frage bei der Anmeldung nur Informationen ab, die du für das Event tatsächlich benötigst – etwa Name, E-Mail-Adresse, Unternehmen, Rechnungsanschrift.
Verzichte auf „Nice-to-have“-Felder wie Hobbys oder Essensvorlieben, wenn sie nicht relevant sind.
 Tipp: Weise direkt im Formular oder auf der Event-Website darauf hin, wofür du die Daten nutzt – zum Beispiel „zur Organisation und Kommunikation rund um das Event“.

 Rechtlicher Hintergrund: Grundsatz der Datensparsamkeit (Art. 5 DSGVO).

2. Hole Einwilligungen aktiv ein und dokumentiere sie

Wenn du Teilnehmende über dein Event hinaus kontaktieren möchtest, z. B. Newsletter, Nachberichte, zukünftige Events, brauchst du eine klare und freiwillige Einwilligung. Das bedeutet konkret: 

• Verwende stets Double-Opt-In.
  Auch wenn dein Tool o.ä. das nicht als Standard vorschreibt.
• Halte fest, wann und wofür jemand zugestimmt hat.
• Beschreibe den Zweck der Nutzung verständlich – kein Juristendeutsch.
  Der letzte Punkt ist wohl der schwierigste.

 Viele Event-Management-Tools oder Event-Plattformen oder Dienstleister bieten fertige DSGVO-konforme Einwilligungstexte an. Nutze sie.

3. Nutze eine eigene Datenschutzerklärung für jede Event-Website

Ob Landingpage, Ticketshop oder Teilnehmerportal – jede Eventseite braucht eine individuelle Datenschutzerklärung. Diese muss u. a. enthalten:

• Welche Daten du erhebst; z. B. Name, IP-Adresse, Zahlungsdaten
• Wer Verantwortlicher ist – du oder der Anbieter
• Wie lange Daten gespeichert werden
• Welche Tools eingebunden sind; z. B. Google Fonts, Vimeo, YouTube, Matomo

 Prüfe regelmäßig, ob du neue Tools ergänzt hast – und passe die Erklärung an.

4. Setze Cookie-Consent sauber um

Setzt du auf Tracking oder Marketing-Tools, ist ein korrektes Cookie-Banner Pflicht.

Das bedeutet konkret:

• Nutze keine voreingestellten Häkchen.
• Biete immer eine echte Wahlmöglichkeit: „Zustimmen“ oder „Ablehnen“.
• Kümmere dich um eine Dokumentation der Zustimmung.

 Tools wie Usercentrics, Borlabs Cookie oder Cookiebot sind DSGVO-konform und speichern die Entscheidung automatisch. PS: Ich nutze Borlabs Cookie und die sind stets aktuell. Also auch dann, wenn sich mal wieder eine Vorschrift geändert hat. 

 Dein Ziel sollte lauten: Schaffe Transparenz und vermeide so Bußgelder.

5. US-Tools und Datentransfer prüfen

Viele Marketing-, KI- und Eventtools, z. B. Mailchimp, HubSpot, Zoom, sitzen in den USA. Seit 2023 gilt das neue EU–US Data Privacy Framework. Doch: Nur Anbieter, die zertifiziert sind, dürfen ohne Zusatzvereinbarungen genutzt werden. Prüfe deshalb die folgenden Fragen:

• Ist dein Anbieter auf data.privacyframework.gov?
• Enthält der Vertrag eine Auftragsverarbeitung (AVV)?
• Wird der Serverstandort transparent angegeben?

 Wenn nicht, setze lieber auf europäische Alternativen oder verwende Standardvertragsklauseln.

6. Fotos und Videos nur mit Einwilligung

Fotos und Videos sind großartig fürs Eventmarketing – aber datenschutzrechtlich sensibel.
Du darfst Personen nicht einfach erkennbar abbilden, ohne dass sie zugestimmt haben.

• Weise daher bei der Registrierung und vor Ort darauf hin, dass du Foto- und Videoaufnahmen machen wirst.
• Hole bei Nahaufnahmen oder Interviews unbedingt eine schriftliche Einwilligung ein.
• Respektiere Widerrufe – und lösche auf Wunsch Aufnahmen.

 Praxis-Tipp: Verwende sichtbare Kennzeichnungen. Du könntest z. B. einen „No Photo“-Badge oder Punkt am Namensschild für Personen verwenden, die nicht fotografiert werden möchten.

7. Teilnehmendenlisten nur intern nutzen

Ein Klassiker mit Fallstrick: Teilnehmendenlisten dürfen nicht öffentlich oder an Sponsoren weitergegeben werden – außer du hast die ausdrückliche Einwilligung. Und ja, an einige Dienstleister musst du die Daten wohl weitergeben; z. B. an die Event-App oder die Druckerei für die Namensschilder. Aber das sind berechtigte Zwecke. Dennoch: Sei hier vorsichtig und schließe AVVs (Auftragsverarbeitungsvertrag) und übertrage die Daten nur verschlüsselt.

• Für Networking-Zwecke gilt: Gib den Teilnehmenden die Wahl, ob sie sichtbar sein wollen.
• Keine Veröffentlichung auf Websites oder Screens ohne Zustimmung.

Transparenz schafft Vertrauen – und schützt vor Beschwerden.

8. Schließe Verträge zur Auftragsverarbeitung 

Wenn externe Dienstleister deine Teilnehmerdaten verarbeiten; z. B. Registrierung, Payment, Hotelbuchung, brauchst du mit jedem einen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 DSGVO.

Achte darauf, dass der Vertrag regelt:

• Sicherheitsmaßnahmen; z. B. Verschlüsselung, Zugriffsschutz
• Löschfristen
• Unterauftragnehmer

 Seriöse Anbieter stellen dir den AVV automatisch bereit. Falls nicht, frage unbedingt nach.

9. Lösch' die Daten nach dem Event 

Nach der Veranstaltung solltest du alle personenbezogenen Daten schnellstmöglich löschen oder anonymisiert werden – es sei denn, gesetzliche Aufbewahrungsfristen greifen. Oder du hast ein anderes berechtigtes Interesse.

 Empfehlung:

• Teilnehmerdaten: 6–12 Monate (für Eventauswertung)
• Abrechnungsdaten: 10 Jahre (nach HGB)
• Fotos/Videos: nur mit gültiger Einwilligung aufbewahren

 Erstelle eine Löschroutine – das spart Zeit und vermeidet Chaos.

10. Melde Datenpannen

Trotz Vorsicht kann etwas passieren – ein USB-Stick geht verloren oder jemand schickt die Teilnehmer·innen-Liste versehentlich an die falsche Adresse.
Wenn personenbezogene Daten betroffen sind, musst du das innerhalb von 72 Stunden der Datenschutzbehörde melden.

Lege einen internen Notfallplan fest: Wer meldet, wen informierst du, welche Systeme prüfst du?
Dokumentiere den Vorfall, auch wenn du ihn nicht melden musst.

 Bonus: Führe eine „Data Breach“-Checkliste – so reagierst du im Ernstfall ohne Hektik.

Fazit: Datenschutz ist Professionalität

Datenschutz ist Zeichen von Professionalität. Wer transparent und zugleich sauber mit Daten umgeht, zeigt Wertschätzung gegenüber seinen Teilnehmenden – und schützt gleichzeitig die eigene Organisation. Mit diesem DSGVO-Guide hast du die wichtigsten DSGVO-Anforderungen 2025 im Griff. Regelmäßig prüfen, Toolanbieter hinterfragen und Einwilligungen dokumentieren – das ist die beste Versicherung gegen Abmahnungen.