Weitergabe von Teilnehmerdaten an Partner im Rahmen von Webinaren und gemeinsamen Veranstaltungen

Weitergabe von Teilnehmerdaten bei einer gemeinsamen Veranstaltung.
Kategorien:
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Die Weitergabe von Teilnehmerdaten an Veranstaltungspartner ist in der Praxis weit verbreitet. Dabei sind jedoch einige datenschutzrechtliche Aspekte zu beachten. Der Beitrag analysiert die maßgeblichen Erlaubnistatbestände, beleuchtet die Abgrenzung zwischen gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) und Controller-to-Controller-Übermittlung und entwickelt konkrete Gestaltungsmodelle für zwei typische Fallkonstellationen aus der Praxis.

Teilnehmerdaten unter Partner teilen?

Webinare und gemeinsame Veranstaltungen mit Partnerunternehmen sind im B2B-Marketing an der Tagesordnung. Dabei entstehen regelmäßig Situationen, in denen Teilnehmerdaten wie Name, E-Mail-Adresse und Unternehmenszugehörigkeit an die beteiligten Partner weitergegeben werden sollen. Der externe Referent benötigt die Teilnehmerliste, um im Nachgang Kontakt mit den Teilnehmern aufzunehmen, während der Veranstalter die Teilnehmerliste nutzt, um vorab Wettbewerber zu identifizieren und diese auszuschließen. Beide Szenarien setzen eine belastbare datenschutzrechtliche Grundlage voraus.

Denn grundsätzlich gilt: Jede Übermittlung personenbezogener Daten an einen Dritten ist eine eigenständige Verarbeitung nach Art. 4 Nr. 2 DSGVO und bedarf einer eigenen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO.

Ein „Konzernprivileg“, das Datenflüsse zwischen Unternehmen innerhalb eines Konzerns per se erlaubt, sieht die DSGVO nicht vor. In Erwägungsgrund 48 DSGVO werden konzerninterne Übermittlungen lediglich als mögliches Beispiel eines berechtigten Interesses benannt. Eine Einzelfallprüfung ist jedoch stets erforderlich.

Konzerninterne Weitergabe von Daten nach dem Kundenseminar

Folgender Fall aus der Praxis: Ein Veranstalter führt ein Kundenseminar durch. Bei diesem tritt eine Partner-GmbH aus dem Konzern als Referentin auf und bittet anschließend um die Teilnehmerliste zur Direktansprache.

Da die Partner-GmbH jedoch eigenständige Marketingzwecke verfolgt, scheidet ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO aus. Es fehlt an der Weisungsgebundenheit. Für die Stützung auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO hat der EuGH mit Urteil vom 4. Oktober 2024 (Rs. C-621/22) die Anforderungen konkretisiert. Erforderlich ist eine Verarbeitung zur Wahrung berechtigter Interessen nur dann, wenn sie zur Verwirklichung des in Rede stehenden Interesses absolut notwendig ist und die Interessen oder Grundrechte der Betroffenen nicht überwiegen.

Ob die werbliche Nachkontaktierung auf das berechtigte Interesse gestützt werden kann, hängt maßgeblich von den Umständen des Einzelfalls ab. Regelmäßig scheidet diese Rechtsgrundlage aus, da Teilnehmer bei der Anmeldung zu einer Veranstaltung nicht damit rechnen müssen, dass ihre Daten zu Marketingzwecken an Dritte weitergegeben werden. Anders kann es liegen, wenn die beteiligten Konzerngesellschaften nach außen einheitlich unter einer gemeinsamen Marke auftreten: In diesem Fall können die vernünftigen Erwartungen der Betroffenen die Interessenabwägung zugunsten des Verantwortlichen beeinflussen. Voraussetzung bleibt jedoch stets, dass dieser Umstand bei der Datenerhebung transparent kommuniziert wird (Art. 13 Abs. 1 lit. d DSGVO) und ein dokumentiertes Legitimate-Interest-Assessment (LIA) vorliegt.

Für die Eigenkommunikation des Veranstalters mit seinen Webinar-Teilnehmern eröffnet die aktuelle Rechtsprechung hingegen mehr Spielraum: Mit Urteil vom 13. November 2025 (Rs. C-654/23 – Inteligo Media) hat der EuGH den Begriff des „Verkaufs” im Sinne von Art. 13 Abs. 2 der ePrivacy-Richtlinie weit ausgelegt. Danach kann auch die Registrierung für einen kostenlosen Dienst als „Verkauf” gelten, sodass der Veranstalter Teilnehmer ohne gesonderte Einwilligung für eigene ähnliche Angebote per E-Mail ansprechen kann (§ 7 Abs. 3 UWG).

Lese-Tipp: EuGH erlaubt Newsletter ohne Einwilligung unter diesen Voraussetzungen

Für die Datenweitergabe an den Partner gilt hingegen: Die rechtssicherste Lösung ist nach wie vor die Einholung einer ausdrücklichen, freiwilligen Einwilligung bei der Anmeldung, in der der Partner namentlich benannt wird (Art. 4 Nr. 11, Art. 7 Abs. 1 DSGVO) und die jederzeit widerrufbar ist (Art. 7 Abs. 3 DSGVO).

Bei konzernweitem Datenaustausch ist außerdem sicherzustellen, dass ein einheitliches Widerspruchsregister (Opt-out) geführt wird, das konzernweit beachtet werden muss. Ein erklärter Widerspruch gegenüber dem Veranstalter darf nicht durch eine Kontaktaufnahme der Partner-GmbH umgangen werden.

Datenweitergabe bei gemeinsamen Webinaren und Kundenevents

Die nächste Fallkonstellation: Ein Veranstalter führt gemeinsam mit externen Partnerunternehmen Webinare und Präsenzevents durch. Der Partner möchte vorab wissen, wer teilnimmt. Der ausrichtende Veranstalter benötigt die Anmeldeliste hingegen, um Wettbewerber auszuschließen.

Grundsätzlich kann für den Wettbewerberausschluss ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht kommen. Zu beachten ist jedoch zwingend der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): In der Regel genügt die Übermittlung der Unternehmenszugehörigkeit oder der E-Mail-Domain. Eine namentliche Weitergabe ist nur verhältnismäßig, wenn der Zweck ohne sie nicht erreichbar ist. Dieser Verarbeitungszweck muss in der Datenschutzerklärung transparent beschrieben werden. Das Widerspruchsrecht nach Art. 21 DSGVO muss aktiv kommuniziert werden.

Für eine werbliche Nachkontaktierung durch den Partner scheidet das berechtigte Interesse regelmäßig aus, da Teilnehmer bei der Anmeldung zu einer Veranstaltung vernünftigerweise nicht damit rechnen müssen, dass ihre Daten zu Marketingzwecken an Dritte weitergegeben werden. Es bedarf daher einer Einwilligung.

Rollenbestimmung: JCA oder Weitergabe zwischen unabhängigen Verantwortlichen?

Die korrekte datenschutzrechtliche Rollenbestimmung ist von erheblicher praktischer Relevanz, da deren Verkennung bußgeldbewehrt ist. Entscheidend ist, ob echte Mitentscheidung über Zwecke und Mittel der Verarbeitung vorliegt. Dann ist nämlich ein Joint Controller Agreement (JCA) nach Art. 26 DSGVO erforderlich.

Liegt dagegen keine gemeinsame Entscheidung über Zwecke und Mittel vor, sondern verarbeitet jede Partei die Daten eigenständig für eigene Zwecke, liegt keine gemeinsame Verantwortlichkeit vor.

Das in der Praxis oft einfacher umsetzbare Modell ist die getrennte Verantwortlichkeit mit transparenter C2C-Übermittlung: Der Veranstalter erhebt die Daten, weist in seiner Datenschutzerklärung auf die mögliche Weitergabe an namentlich benannte Partner hin und übermittelt auf Basis einer geeigneten Rechtsgrundlage. Anschließend verarbeitet jede Partei die Daten eigenständig. Voraussetzung ist, dass nach der Übermittlung keine gemeinsame Entscheidungshoheit mehr besteht. 

Handlungsempfehlungen für die Praxis

Für Unternehmen, die regelmäßig Partnerveranstaltungen durchführen, empfehlen sich folgende Maßnahmen:  

  • Zweck vorab klären:Schriftlich klären, zu welchem Zweck der Partner die Daten nutzen möchte. Marketingzwecke erfordern Einwilligung. Organisatorische Zwecke können ggf. auf berechtigtes Interesse gestützt werden.   
  • Datenschutzerklärung anpassen:Gesonderten Abschnitt zu Partnerveranstaltungen aufnehmen, der Weitergabe, Empfängerkategorien und Rechtsgrundlage benennt.   
  • Rollenzuordnung dokumentieren:Für jede Partnerveranstaltung festhalten, ob JCA oder C2C-Übermittlung vorliegt. Ein fehlerhaft eingesetzter AVV birgt Bußgeldrisiko.   
  • Konzernweites Opt-out-System:Einheitliches Widerspruchsregister führen und konzernweit beachten.   
  • § 7 Abs. 3 UWG nur für Eigenwerbung: Das Bestandskundenprivileg nach § 7 Abs. 3 UWG ermöglicht dem Veranstalter die einwilligungsfreie Eigenkommunikation mit Teilnehmern für eigene ähnliche Angebote — deckt aber ausschließlich diese Eigenwerbung ab. Eine Weitergabe an Dritte zu deren Werbezwecken ist nicht erlaubt. 
  • Legitimate Interest Assessment (LIA):Bei Stützung auf berechtigtes Interesse ein dokumentiertes LIA durchführen (Interesse, Erforderlichkeit, Interessenabwägung). 

Haben Sie Fragen zu Ihrer konkreten Veranstaltungspraxis?

Die datenschutzrechtliche Einordnung von Partnerveranstaltungen hängt stark von den Einzelheiten ab: Ob gemeinsame oder getrennte Verantwortlichkeit vorliegt, welche Rechtsgrundlage trägt und wie die Datenschutzerklärung angepasst werden muss, lässt sich pauschal selten beantworten. 

Wir von 2B Advice begleiten Sie bei der rechtssicheren Gestaltung Ihrer Webinare und Events: von der Zweckanalyse über die Rollenzuordnung bis hin zur konkreten Formulierung für Ihre Datenschutzerklärung und Anmeldeprozesse. 

Sprechen Sie uns gerne an, wir freuen uns auf den Austausch mit Ihnen. 

Fon: +49 (228) 926165-100  
E-Mail: info@2b-advice.com 

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge