← Zurück zum Blog

DSGVO für Race Organiser: Was Sie tun müssen, um entsprechend zu bleiben

Sie erheben personenbezogene Daten: Namen, E-Mails, Geburtstage, Zahlungsdaten. Die DSGVO gilt, ob Sie es wollen oder nicht. Hier ist die praktische Compliance Checkliste.

DSGVO gilt für Sie

Wenn Sie personenbezogene Daten von EU-Bewohnern erheben (die den Namen + E-Mail bei der Registrierung einschließt), gilt die DSGVO. Waage spielt keine Rolle. Eine 50-Personen-Charity 5K hat die gleichen Verpflichtungen wie ein 10.000-Personen-Marathon, nur in kleinerem Umfang.

Die Nichteinhaltungsstrafen betragen bis zu 4% des weltweiten Jahresumsatzes. Für eine kleine Organisation, die geschäftsorientiert sein kann.

Dieser Leitfaden ist praktisch, nicht juristische Beratung. Für spezifische Fragen wenden Sie sich an einen DPO.

Was als persönliche Daten im Rassenkontext zählt

  • Name, E-Mail, Telefon, Adresse
  • Geburtsdatum
  • Geschlecht
  • Medizinische Erklärungen
  • Notfallkontakt
  • Zahlungsdaten (über PCI-DSS-Schicht, noch unter DSGVO)
  • Fotos, die Einzelpersonen identifizieren
  • Fertigzeiten mit identifizierten Läufern
  • IP-Adressen

Wörtlich alles über Ihre Teilnehmer.

Grundprinzipien der DSGVO für Rennen

Zweckbeschränkung: Daten nur für bestimmte Zwecke sammeln. Verwenden Sie es nur für diese Zwecke.

Praktisch: Sammeln Sie keine Ernährungsvorlieben, es sei denn, Sie bieten Lebensmittel. Sammeln Sie keine Schuhgröße, es sei denn, Sie geben Schuhe.

Datenminimierung: Sammeln Sie nur, was Sie eigentlich brauchen.

Praktisch: Streifen-Registrierungsformulare an Wesentliche (siehe "Kunden-Registrierungsformulare" Anleitung für 10-Feld-Mindestwert).

Speicherbegrenzung: Daten nur so lange wie nötig halten.

Praktisch: Nach 3-5 Jahren nimmt der Teilnehmer auf, es sei denn, er ist aktiv für zukünftige Ereignisse registriert.

Integrität und Vertraulichkeit: Sichere Daten gegen unbefugten Zugriff.

Praktisch: SSL überall, bcrypt Passwörter, verschlüsselte Backups.

Verantwortlichkeit: Sie müssen die Einhaltung nachweisen können.

Praktisch: Dokumentieren Sie Ihre Datenflüsse. Bewahren Sie Audit-Pfade.

Die Einverständnislandschaft

Zwei Basen für die Verarbeitung:

Vertragserfordernis: Sie benötigen die Daten, um den Service (Registrierung, Rechnung, Renntag) bereitzustellen. Dies ist Ihre wichtigste Rechtsgrundlage.

Zustimmung: Explicit Opt-in für Dinge jenseits der Vertragsnotwendigkeit. Benötigt für:

  • Marketing-E-Mails nach der Veranstaltung
  • Daten mit Sponsoren teilen
  • Fotos in Marketingmaterialien verwenden
  • Austausch mit externen Zeitgebern (Anforderung oder Zustimmung)

Beschränken Sie sich nicht auf die Zustimmung für Dinge, die Sie im Vertrag rechtfertigen können. Die Zustimmung ist abzugsfähig; die Vertragserfordernis gilt.

Registrierungsformular Zustimmungsstruktur

  • Erforderlich: Annahme von Bedingungen (Vertragsnotwendigkeit)
  • Erforderlich: medizinischer Verzicht
  • ☐ Optional: Marketing-Einwilligung (Separate Checkbox)
  • ☐ Optional: Sponsorenkommunikation
  • ☐ Vorabentscheidungsersuchen

Nicht vorklicken optionale Boxen. Der Benutzer muss sich aktiv einschalten.

Rechte, die Sie ehren müssen

Die Teilnehmer haben das Recht,

  1. Zugang: Fordern Sie alle Daten an, die Sie speichern
  2. Berichtigung: Korrigierte fehlerhafte Daten
  3. Erasure: Löschen ihrer Daten ("Recht zu vergessen")
  4. Einschränkung: Beschränken Sie den Prozess
  5. Tragfähigkeit: Exportieren Sie Ihre Daten in maschinenlesbarem Format
  6. Einspruch: Verzicht auf bestimmte Verarbeitung

Sie müssen innerhalb von 30 Tagen darauf reagieren. Anfragen und Antworten.

Die "Recht zu vergessen" Falte

Fiscal Compliance (Kroatien: 11 Jahre Rechnungsrückhaltung) CONFLICTS mit voller Löschung.

Auflösung: Pseudonymieren Sie den Teilnehmerrekord, behalten Sie jedoch die Steuerrechnung mit den erforderlichen Angaben. Dokumentieren Sie diese Richtlinie.

Time-Monkey behandelt dies: "Anonymisierungs-Teilnehmer"-Befehl streifen persönliche Details aus einem Teilnehmerrekord während der Buchung.

Datenverarbeitungsvereinbarung (DPA)

Wenn Sie einen Drittanbieter-Service verwenden, der die Teilnehmerdaten verarbeitet, benötigen Sie eine DPA mit ihnen. Ihre DPA-Inventar wahrscheinlich beinhaltet:

  • Time-Monkey (Ihre Rennplattform)
  • Stripe / Stripe (Zahlungsprozessor)
  • Timing Unternehmen / RaceResult
  • E-Mail-Service (Mailgun, SendGrid)
  • Hosting Provider
  • Analyse (Google Analytics)

Jeder Anbieter verfügt über einen Standard DPA. Unterschreiben Sie sie alle. Kopien halten.

Datenschutz (öffentlich)

Ihre Event-Seite muss auf eine Datenschutzrichtlinie verweisen, die erklärt:

  • Welche Daten Sie erheben
  • Warum (Rechtsgrundlage)
  • Wie lange du es hältst
  • Mit wem Sie es teilen (besonders Namen Dritter)
  • Teilnehmerrechte und Übung
  • Ihr Ansprechpartner (DPO oder gleichwertig)

Aktualisieren Sie jährlich oder wenn sich Praktiken ändern.

Kinderdaten

Teilnehmer unter 16 Jahren benötigen eine elterliche Zustimmung. Anmeldeformulare für Kinderrennen müssen sammeln:

  • Eltern-/Betreuer-Einwilligung Checkbox
  • Eltern-/Vormundsname und Kontakt

Die Daten für Minderjährige werden strenger verarbeitet. Beraten Sie lokale Vorschriften.

Sicherheitsmaßnahmen

  • HTTPS auf allen Seiten (Let's Encrypt ist kostenlos)
  • bcrypt passwort hashing (nie einfache text)
  • Zugriffskontrolle (wer kann Teilnehmerdaten sehen?)
  • Audit Protokolle (die auf was, wann)
  • Verschlüsselte Backups
  • Incident Response Plan (was tun Sie, wenn verletzt?)

Time-Monkey implementiert alle oben standardmäßig.

Breach Benachrichtigung

Wenn Ihre Teilnehmerdaten beeinträchtigt werden, haben Sie 72 Stunden Zeit, um die betreffende Datenschutzbehörde (AZOP in Kroatien) zu informieren.

Sie müssen die betroffenen Teilnehmer auch benachrichtigen, wenn der Verstoß zu einer Gefahr für ihre Rechte führt.

Haben Sie einen schriftlichen Antwortplan. Wissen, wer Benachrichtigung Anrufe macht.

Foto-Einwilligung

Event-Fotografie ist DSGVO-relevant, weil Fotos Personen identifizieren. Gemeinsame Praxis:

  • Hinweis bei der Registrierung: "Fotos werden genommen und können für Werbezwecke verwendet werden. Entscheiden Sie sich bei der Registrierung."
  • Signage bei der Veranstaltung: "Photography in progress. Machen Sie aus, indem Sie jedem Mitarbeiter erzählen."
  • Teilnehmer können nach der Veranstaltung die Entfernung bestimmter Fotos anfordern

Checkliste für die Compliance

  1. ☐ Datenschutzerklärung veröffentlicht und verknüpft
  2. ☐ Registrierungsformular hat optionale Marketing-Einwilligung (getrennte Checkbox)
  3. ☐ DPAs mit allen Drittverarbeitern unterzeichnet
  4. ☐ Incident Response Plan dokumentiert
  5. ☐ Teilnehmer können Datenzugriff / Löschung anfordern
  6. ☐ Datenerhaltungsrichtlinie (max. 3-5 Jahre nach dem Erlass)
  7. ☐ SSL auf allen Seiten
  8. ☐ Einverständnis mit dem Foto
  9. ☐ Personal auf Grundlage der DSGVO-Grundsätze ausgebildet

Der Time-Monkey Winkel

Time-Monkey bietet:

  • DSGVO-konforme Standardkonfiguration
  • Datenzugriff + Löschen Selbstbedienung für Teilnehmer
  • Anonymisierungsbefehl für finanz-retention-with-erasure Szenarien
  • Prüfpfad für alle Datenoperationen
  • DPA bereit zu unterschreiben
  • Sicherheitspraktiken im Einklang mit den Anforderungen der DSGVO

Die Verwendung von DS-Native-Tools spart Monate der Compliance-Arbeit.

Starten Sie mit konformem Race Management →

Weitere Artikel

Wie man DNF (Did Not Finish) Teilnehmer in Race-Ergebnisse zu handhaben

Volunteer Management: Recruiting, Training und Retaining Race Day Heroes

Erstellen einer Eventseite, die Browser in Registranten umwandelt

Wie Sie Ihr erstes 5K-Rennen organisieren: Ein Schritt für Schritt Anleitung für neue Direktoren

BIB Nummer Zuordnung: Sequential vs First-Free vs Manual — Welche Strategie passt Ihr Rennen?

Bereit, Ihr nächstes Rennen zu organisieren?

Erstellen Sie Ihr Veranstalterkonto und veröffentlichen Sie Ihre erste Veranstaltung in weniger als 10 Minuten.

Erste Schritte →