Recht & DSGVO

Online-Kongress DSGVO-konform durchführen – worauf es ankommt

Für einen DSGVO-konformen Online-Kongress bist du als Veranstalter „Verantwortlicher" (Art. 4 Nr. 7 DSGVO). Du erhebst nur Name und E-Mail (Datenminimierung), holst die Anmeldung per Double-Opt-in ein, verlinkst Datenschutzerklärung und Impressum (max. 2 Klicks), schließt mit jedem Tool einen AV-Vertrag und lässt dir die Aufzeichnung deiner Speaker schriftlich genehmigen.

Aktualisiert am 27. Juni 2026

Wer ist bei einem Online-Kongress datenschutzrechtlich verantwortlich?

Sobald du einen Online-Kongress veranstaltest und Anmeldungen entgegennimmst, verarbeitest du personenbezogene Daten – und bist damit „Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO. Das gilt unabhängig davon, ob du Coach, Berater, Trainer oder Online-Unternehmer bist und ob der Kongress kostenlos ist. Verantwortlich heißt: Du entscheidest über Zweck und Mittel der Datenverarbeitung und haftest für deren Rechtmäßigkeit.

Die Dienstleister, die du einsetzt – E-Mail-Tool, Hosting, Zahlungsanbieter, ein Baukasten für die Kongress-Seite – sind in der Regel deine „Auftragsverarbeiter". Sie handeln in deinem Auftrag, und du brauchst mit ihnen einen Vertrag zur Auftragsverarbeitung (AVV, Art. 28 DSGVO). Die Verantwortung gibst du damit nicht ab: Du bleibst gegenüber deinen Teilnehmenden und der Aufsichtsbehörde in der Pflicht.

Wichtig vorab und ehrlich gesagt: Dieser Artikel erklärt die wiederkehrenden Datenschutz-Themen eines Onlinekongresses verständlich, ersetzt aber keine Rechtsberatung. Für deine konkrete Konstellation – etwa bei Gesundheits-, Finanz- oder Kinderthemen – solltest du im Zweifel eine Anwältin oder einen Datenschutzbeauftragten hinzuziehen.

Die DSGVO in Zahlen, die für deinen Summit zählen

2 FelderDatenminimierung: meist reichen Name + E-Mail
Art. 6/7Rechtsgrundlage & Einwilligung der Anmeldung
Double-Opt-inStandard für rechtssichere E-Mail-Anmeldung
max. 2 KlicksErreichbarkeit von Impressum & Datenschutz
Art. 28AV-Vertrag mit jedem eingesetzten Tool
bis 20 Mio. €Bußgeldrahmen bei schweren DSGVO-Verstößen (Art. 83)

Welche Daten du erheben darfst – Datenminimierung

Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verlangt, nur das abzufragen, was du für den Zweck wirklich brauchst:

  • Name und E-Mail-Adresse – Für eine kostenlose Kongress-Anmeldung reicht das in aller Regel. Mehr Pflichtfelder senken nicht nur die Anmeldequote, sie sind datenschutzrechtlich angreifbar.
  • Keine Pflicht zu Telefon, Adresse, Geburtsdatum – Solche Daten brauchst du für eine reine Anmeldung nicht. Frag sie höchstens optional ab und kennzeichne sie als freiwillig.
  • Zahlungsdaten nur beim Kongresspaket – Erst wenn jemand das kostenpflichtige Kongresspaket kauft, fallen Zahlungs- und Rechnungsdaten an – und die laufen über deinen Zahlungsanbieter, nicht über deine Anmeldeliste.
  • Tracking nur mit Einwilligung – Analyse- oder Marketing-Cookies (z. B. Pixel) brauchen eine vorherige aktive Einwilligung über ein Consent-Banner – sonst dürfen sie nicht laden.

Rechtsgrundlage und Einwilligung: Double-Opt-in bei der Anmeldung

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für die Kongress-Anmeldung und den anschließenden E-Mail-Versand stützt du dich praktisch immer auf die Einwilligung (Art. 6 Abs. 1 lit. a). Diese Einwilligung muss freiwillig, informiert und durch eine aktive Handlung erteilt sein (Art. 7 DSGVO) – ein vorab angekreuztes Kästchen reicht nicht.

In der Praxis setzt du das über Double-Opt-in um: Nach dem Absenden des Formulars bekommt die Person eine Bestätigungs-E-Mail mit einem Link, den sie aktiv anklicken muss. Erst danach ist sie angemeldet und in deiner Liste. Das ist im DACH-Raum der etablierte Standard, weil du damit nachweisen kannst, dass die Einwilligung tatsächlich von dieser Person stammt (Rechenschaftspflicht, Art. 5 Abs. 2).

Halte die Einwilligung sauber: Beschreibe direkt am Formular, wofür die Daten genutzt werden (Kongress-Zugang plus die dazugehörigen E-Mails), und verzichte auf das Koppeln mit unnötigen Zwecken. Ein E-Mail-Tool wie KlickTipp oder Quentn übernimmt den Double-Opt-in-Versand und protokolliert die Einwilligung mit Zeitstempel.

Was in die Datenschutzerklärung deines Kongresses gehört

Die Datenschutzerklärung ist Pflicht (Art. 13 DSGVO) und muss vor der Anmeldung erreichbar sein. Diese Punkte sollten konkret auf deinen Online-Kongress bezogen drinstehen:

  • Wer verantwortlich ist – Dein Name bzw. deine Firma, Anschrift und Kontakt – identisch zum Impressum.
  • Welche Daten, zu welchem Zweck – Name und E-Mail zur Kongress-Anmeldung und für den Versand der Programm- und Erinnerungs-E-Mails.
  • Rechtsgrundlage – Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, inklusive Hinweis auf das Double-Opt-in-Verfahren.
  • Eingesetzte Dienstleister – E-Mail-Marketing-Tool, Hosting/Seiten-Baukasten, Video-Hosting, Zahlungsanbieter – jeweils mit Hinweis auf die Auftragsverarbeitung.
  • Speicherdauer und Löschung – Wie lange du die Daten aufbewahrst und wann du sie löschst (siehe Aufbewahrung).
  • Betroffenenrechte – Auskunft, Berichtigung, Löschung, Widerspruch und das jederzeitige Widerrufsrecht der Einwilligung (Abmeldelink in jeder E-Mail).
  • Drittland-Übermittlung – Falls ein Tool Daten in die USA oder andere Drittländer überträgt, der Hinweis darauf und auf die Absicherung (z. B. EU-Standardvertragsklauseln, Data Privacy Framework).

Impressum und Datenschutz: erreichbar in maximal zwei Klicks

Sowohl das Impressum (nach DDG, früher TMG) als auch die Datenschutzerklärung müssen auf jeder Seite deines Online-Kongresses leicht erkennbar und unmittelbar erreichbar sein. Als Faustregel gilt: höchstens zwei Klicks bis dorthin, mit klarer Bezeichnung. Ein Footer-Link „Impressum" und „Datenschutz" auf der Anmeldeseite erfüllt das.

Verstecke die Links nicht hinter mehrdeutigen Bezeichnungen und lade die Datenschutzerklärung nicht erst nach dem Anklicken eines Sammelmenüs. Gerade bei Kongress-Landingpages, die auf maximale Conversion getrimmt sind, wird der Footer gern weggelassen – das ist ein vermeidbarer Abmahn- und Bußgeldgrund.

AV-Verträge mit deinen Tools (Art. 28 DSGVO)

Mit jedem Dienst, der in deinem Auftrag personenbezogene Daten verarbeitet, brauchst du einen Vertrag zur Auftragsverarbeitung. Die meisten Anbieter stellen ihn fertig bereit – du musst ihn nur abschließen und ablegen:

  • E-Mail-Marketing-Tool – KlickTipp, Quentn, ActiveCampaign o. Ä. – hier liegen Name und E-Mail deiner Teilnehmenden. AVV zwingend.
  • Seiten-Hosting / Kongress-Baukasten – Die Plattform, auf der Anmeldeseite und Mitgliederbereich laufen. AVV abschließen und prüfen, wo gehostet wird.
  • Video-Hosting – Der Dienst, der deine Interview-Aufzeichnungen ausliefert – auch er verarbeitet ggf. Nutzungsdaten.
  • Zahlungsanbieter – Für das Kongresspaket (z. B. Stripe, Digistore24). Beim Reseller-Modell kann sich die Rollenverteilung verschieben – im Zweifel prüfen lassen.
  • Consent- und Analyse-Tools – Cookie-Banner und Webanalyse, falls eingesetzt.

Speaker richtig einbinden: Einverständnis zur Aufzeichnung

Deine Speaker liefern Bild, Stimme und Inhalte – und damit ihre eigenen personenbezogenen Daten und Verwertungsrechte. Hol dir vor der Aufnahme ein schriftliches Einverständnis. So gehst du vor:

  1. 1

    Schriftliche Einwilligung zur Aufzeichnung

    Lass dir vor dem Interview schriftlich bestätigen, dass der Speaker mit Aufnahme und Veröffentlichung einverstanden ist – am besten als kurze Speaker-Vereinbarung per E-Mail oder Formular.

  2. 2

    Nutzungs- und Verwertungsrechte klären

    Halte fest, wofür du die Aufnahme nutzen darfst: Kongress-Tag, dauerhaftes Kongresspaket, Wiederholungen, Ausschnitte für Werbung. Lege auch fest, ob die Rechte zeitlich oder örtlich begrenzt sind.

  3. 3

    Umgang mit Speaker-Daten regeln

    Foto, Bio, Links und Angebote der Speaker erscheinen auf der Seite – auch das ist eine Datenverarbeitung, für die du die Zustimmung brauchst.

  4. 4

    Widerruf und Löschung bedenken

    Halte fest, was passiert, wenn ein Speaker später aussteigt oder die Löschung seiner Aufzeichnung verlangt – das spart im Konfliktfall viel Ärger.

Aufbewahrung und Löschung der Daten

Personenbezogene Daten darfst du nur so lange speichern, wie du sie für den Zweck brauchst (Speicherbegrenzung, Art. 5 Abs. 1 lit. e DSGVO):

  • Anmeldedaten bei Widerruf löschen – Meldet sich jemand ab oder widerruft die Einwilligung, entfernst du Name und E-Mail aus dem aktiven Verteiler – ein Abmeldelink in jeder E-Mail ist Pflicht.
  • Rechnungsdaten gesondert behandeln – Für Käufe des Kongresspakets gelten steuerrechtliche Aufbewahrungsfristen (in Deutschland regelmäßig bis zu 10 Jahre für Rechnungen) – diese Daten löschst du nicht vorzeitig, hältst sie aber getrennt.
  • Löschkonzept festhalten – Definiere einmal, welche Daten wann gelöscht werden, und halte dich daran. Das ist Teil deiner Rechenschaftspflicht.
  • Auskunfts- und Löschanfragen beantworten – Betroffene können jederzeit Auskunft oder Löschung verlangen; darauf musst du in der Regel innerhalb eines Monats reagieren.

US-Tools, Drittland-Transfer und der ehrliche Rest

US-amerikanische Tools sind nicht pauschal verboten, aber heikel: Sobald Daten in ein Drittland außerhalb der EU fließen, brauchst du eine zusätzliche Absicherung (Kapitel V DSGVO). Aktuell läuft das meist über das EU-US Data Privacy Framework, sofern der Anbieter dort zertifiziert ist, oder über EU-Standardvertragsklauseln. Im Zweifel sind EU-gehostete Alternativen der ruhigere Weg.

Sei dir der Grenzen dieses Artikels bewusst: DSGVO-Konformität ist kein einmaliges Häkchen, sondern ein laufender Prozess, und die Rechtslage ändert sich. Was hier steht, ist eine Orientierung, keine Rechtsberatung. Für verbindliche Aussagen zu deinem konkreten Online Kongress – etwa bei sensiblen Themen oder größeren Teilnehmerzahlen – führt am verlässlichsten der Weg über fachkundige juristische Beratung.

Ein gut gebauter Kongress-Funnel nimmt dir viel von der technischen Pflichtarbeit ab: Double-Opt-in-Anbindung, verlinkte Datenschutz- und Impressums-Seite und eine saubere Trennung, wer welche Daten hält. Wie du den Funnel insgesamt aufsetzt, liest du in unserer Komplett-Anleitung zum Thema Online-Kongress erstellen.

Datenschutz ist beim Online-Kongress kein Bremsklotz, sondern Teil des Vertrauens, das deine kostenlose Anmeldung überhaupt erst trägt. Wer transparent erklärt, was mit Name und E-Mail passiert, verliert keine Anmeldungen – er gewinnt Glaubwürdigkeit.
Summavo – Hinweis: ersetzt keine Rechtsberatung
Passendes BeispielEchte Online-Kongresse als Beispiel ansehen

Häufige Fragen

Was muss in die Datenschutzerklärung eines Online-Kongresses?

Wer verantwortlich ist, welche Daten (meist Name und E-Mail) zu welchem Zweck verarbeitet werden, die Rechtsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a), das Double-Opt-in-Verfahren, alle eingesetzten Dienstleister (E-Mail, Hosting, Video, Zahlung), Speicherdauer und Löschung, die Betroffenenrechte samt Widerrufsrecht sowie ein Hinweis auf etwaige Drittland-Übermittlungen.

Brauche ich von meinen Speakern ein schriftliches Einverständnis zur Aufzeichnung?

Ja. Hol dir vor der Aufnahme schriftlich die Zustimmung zur Aufzeichnung und Veröffentlichung sowie eine klare Regelung der Nutzungs- und Verwertungsrechte: Welche Verwendung ist erlaubt (Kongress-Tag, dauerhaftes Kongresspaket, Werbeausschnitte), für welchen Zeitraum, und was passiert bei Widerruf. Eine kurze Speaker-Vereinbarung per E-Mail oder Formular reicht in der Regel.

Ist Double-Opt-in bei der Kongress-Anmeldung Pflicht?

Die DSGVO schreibt nicht wörtlich „Double-Opt-in" vor, verlangt aber eine nachweisbare, aktive Einwilligung (Art. 7) und du musst sie belegen können (Rechenschaftspflicht). Double-Opt-in ist im DACH-Raum der etablierte Weg, genau diesen Nachweis zu führen – deshalb gilt es praktisch als Standard und ist dringend zu empfehlen.

Darf ich US-Tools wie ein amerikanisches E-Mail- oder Video-System einsetzen?

Grundsätzlich ja, aber nur mit zusätzlicher Absicherung des Drittland-Transfers – etwa über das EU-US Data Privacy Framework (wenn der Anbieter zertifiziert ist) oder EU-Standardvertragsklauseln. Du musst darauf in der Datenschutzerklärung hinweisen. EU-gehostete Alternativen vermeiden das Thema. Im Zweifel rechtlich prüfen lassen.

Welche Daten darf ich bei der Anmeldung überhaupt abfragen?

Nur das, was du für den Zweck brauchst (Datenminimierung, Art. 5 Abs. 1 lit. c). Für eine kostenlose Kongress-Anmeldung sind das in aller Regel Name und E-Mail. Weitere Angaben wie Telefon oder Adresse höchstens optional und als freiwillig gekennzeichnet. Zahlungsdaten fallen erst beim Kauf des Kongresspakets an.

Ist dieser Artikel eine Rechtsberatung?

Nein. Er erklärt die typischen Datenschutz-Pflichten eines Online-Kongresses allgemein verständlich und ersetzt keine individuelle Rechtsberatung. Für verbindliche Aussagen zu deiner konkreten Konstellation – besonders bei sensiblen Themen oder großen Teilnehmerzahlen – wende dich an eine Anwältin, einen Anwalt oder einen Datenschutzbeauftragten.

Deinen Online-Kongress in Minuten bauen

Beschreibe dein Thema – Summavo erstellt Anmeldeseite, Speaker-Bereich, Zeitplan und Anmeldung.

Eigenen Online-Kongress mit Summavo starten

Anmeldeseite mit Double-Opt-in-Anbindung und verlinktem Datenschutz – fertig aus einem Briefing.