Datenschutz und Datensicherheit spielen sowohl bei realen als auch bei virtuellen Events eine große Rolle. Sicherlich haben Sie die jüngsten Diskussionen um die Sicherheit einiger Anbieter von Webkonferenzen oder Negativbeispiele von Videokonferenzen mit Sicherheitslücken mitbekommen; ebenso wie das kürzlich gekippte Privacy Shield. Deshalb wollen wir Ihnen heute Tipps an die Hand geben, wie Sie bei der Auswahl eines Videokonferenz-Tools für Ihre Online-Events vorgehen können. Bitte beachten Sie, dass diese keine Rechtsberatung darstellen und Sie im Zweifelsfall einen fachkundigen Experten mit der Klärung Ihres konkreten Falles beauftragen sollten.
XING Events Lesetipp: Virtuelle Events – enormes Potential für Eventveranstalter
Prüfen Sie, wo das Tool für Ihre Webkonferenzen gehostet wird. Anbieter aus der EU unterliegen beispielsweise den Vorgaben der DSGVO und bieten somit ein gewisses Schutzniveau. Bei Anbietern, die die Daten außerhalb der EU in einem sogenannten Drittland hosten, prüfen Sie, ob diese ein anderes Schutzniveau oder Garantien anbieten. Dazu zählen:
Bis zum 16. Juli 2020 zählten auch Privacy-Shield-Zertifikate von Unternehmen in den USA zu solchen Schutzniveaus. Allerdings hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen an diesem Tag für ungültig erklärt. Es ermöglichte bis dahin eine Übertragung personenbezogener Daten in die USA.
Das Privacy Shield wurde für ungültig erklärt, da eine Übermittlung von personenbezogenen Daten in die USA nur dann zulässig ist, wenn garantiert werden kann, dass im Zielland ein angemessenes Datenschutzniveau existiert. Dafür muss die EU-Kommission per Angemessenheitsbeschluss verbindlich feststellen, dass dieses Schutzniveau in den USA gegeben ist und das wird nun nicht mehr anerkannt.
Alternativ zu einem Angemessenheitsbeschluss der EU-Kommission können Daten basierend auf EU-Standardvertragsklauseln übermittelt werden. Solche Vertragsklauseln hat die EU-Kommission erarbeitet und veröffentlicht. Schließen die Unternehmen solche Verträge ohne Veränderungen daran vorzunehmen ab, gilt dies ebenfalls als Garantie für ein angemessenes Datenschutzniveau.
Haben Sie bislang US-Dienstleister aufgrund des Privacy Shields genutzt, müssen Sie nun Ihre Prozesse anpassen. Dafür können Sie folgende Regeln und Einwilligungen nutzen.
Binding-Corporate-Rules: Die beteiligten Unternehmen können sich selbst Datenschutzvorschriften geben. Diese Richtlinien müssen Sie zusammen mit den Aufsichtsbehörden aufstellen beziehungsweise die von diesen genehmigen lassen.
Ausdrückliche Einwilligung: Sie können von den Usern und Teilnehmern eine ausdrückliche, informierte Einwilligung einholen, dass Sie deren Daten in ein Drittland übermitteln werden. Allerdings muss die Person in diesem Prozess vorab, ausführlich und verständlich über diese Datenübertragung informiert werden und kann diese Einwilligung darüber hinaus jederzeit widerrufen.
Erforderliche Übermittlungen: Die Übermittlung ist ebenfalls zulässig, wenn sie für die Erfüllung eines Vertrags erforderlich ist. Tracking- und Marketingzwecke zählen dazu jedoch nicht.
EU-Standardvertragsklauseln: Die Standardvertragsklauseln sind grundsätzlich zulässig. Das bedeutet, dass Sie die Daten nach einer zusätzlichen Prüfung auf die Standardvertragsklauseln in die USA übermitteln können.
Bei der Wahl zwischen der regulären beziehungsweise „persönlichen“ Version oder der Business-Version eines Anbieters sollten Sie letztere bevorzugen, da diese Versionen oftmals höhere beziehungsweise überhaupt erst die erforderlichen Sicherheitsstandards bieten.
Wählen Sie außerdem ein Tool, das datenschutzerhöhende Einstellungen zulässt, wie beispielsweise die verschlüsselte Übertragung von Daten oder die Nutzung von Passwörtern für Meetingräume.
Die Tool-Anbieter für virtuelle Networkingevents, Seminare und Konferenzen, die wir Ihnen im Blogartikel „Virtuelle Events, Konferenzen und Messen – mit diesen Tools klappt's” vorstellen, haben wir uns mit Blick auf nachfolgende Kriterien genauer angeschaut:
Anbieter | Land | Schutzniveau | Datenschutzerklärung
Adobe Connect
USA
Zur Datenschutzerklärung
baldaja Connect
Deutschland
Zur Datenschutzerklärung
Blue Jeans Network
USA
Zur Datenschutzerklärung
Cisco Webex Meetings, Events und Webcasting
USA
Zur Datenschutzerklärung
Circuit
Deutschland
Zur Datenschutzerklärung
Clickmeeting
Polen
Zur Datenschutzerklärung
edudip next
Deutschland
Zur Datenschutzerklärung
Facebook Live
USA
Zur Datenschutzerklärung
Google Hangout beziehungsweise Google Meet
USA
Zur Datenschutzerklärung
GoToMeeting, GoToWebinar und Join.me
USA
Zur Datenschutzerklärung
Hopin
Großbritannien
Zur Datenschutzerklärung
Microsoft Teams
USA
Zur Datenschutzerklärung
talque
Deutschland
Zur Datenschutzerklärung
teambits
Deutschland
Zur Datenschutzerklärung
Teamviewer
Deutschland
Zur Datenschutzerklärung
VOXR GoVirtual
Deutschland
Zur Datenschutzerklärung
Zoom
USA
Zur Datenschutzerklärung
Zu den neuen Sicherheitshinweisen
Die folgenden Anbieter für virtuelle Messen haben wir Ihnen im Blogbeitrag „Virtuelle Events, Konferenzen und Messen – mit diesen Tools klappt's” vorgestellt. Diese unterliegen mit ihrem Firmensitz in Deutschland alle direkt der DSGVO, sodass ein gewisses Schutzniveau gewährleistet ist.
Camalot
Zur Datenschutzerklärung
cueconcept
Zur Datenschutzerklärung
Events66
zur Datenschutzerklärung
EXPO-IP
Zur Datenschutzerklärung
Fusion Fairs
Zur Datenschutzerklärung
meetyoo conferencing
Zur Datenschutzerklärung
Völkel ITK
Zur Datenschutzerklärung
Haben Sie Anbieter für Ihre Webkonferenzen in die engere Wahl genommen, prüfen Sie im nächsten Schritt sowohl deren als auch Ihren Umgang mit den Daten und berücksichtigen Sie dabei folgende Punkte:
Ihren Datenschutzbeauftragten sollten Sie schon bei der Auswahl Ihres Videotools mit ins Boot holen. Denken Sie dabei auch an die Verarbeitung von Mitarbeiterdaten und binden Sie daher ebenfalls den Betriebs- oder den Personalrat ein. Diese müssen dem Einsatz einer solchen Software zustimmen.
Benötigen Sie dafür eine kompetente Beratung, können Sie sich zum Beispiel an den Rechtsanwalt Thomas Waetke wenden. Als Mitglied des VDVO, dem Verband der Veranstaltungsorganisatoren, erhalten Sie eine kostenfreie Erstberatung.
Wie bei allen anderen IT-Tools, mit denen Sie Daten erfassen und verarbeiten, sollten Sie auch die Videokonferenz-Systeme in Ihre Datenschutzerklärung sowie in das Verzeichnis von Verarbeitungstätigkeiten aufnehmen.
Dazu gehören außerdem folgende Angaben:
Erstellen Sie diese Angaben gemeinsam mit Ihrem Datenschutzbeauftragten oder einem externen Experten für Datenschutz.
Bedenken Sie bei all Ihren Entscheidungen rund um Online-Events stets: Einmal in alle Welt verschickte Daten lassen sich kaum wieder zurückholen. Prüfen Sie daher die Angebote unterschiedlicher Anbieter und ziehen Sie einen vergleichbaren Service eines Anbieters aus der EU vor. Fragen Sie Daten stets sparsam ab, setzen Sie Passwörter bei Ihren Online-Meetings ein und machen Sie sich mit den Einstellungen des Konferenztools Ihrer Wahl vertraut. Denken Sie dabei auch an die Ergänzungen in der Datenschutzerklärung, dem Verzeichnis von Verarbeitungstätigkeiten und die frühzeitige Einbindung eines Datenschutzbeauftragten sowie des Betriebs- oder Personalrates.
Unsere drei Bausteine garantieren den Erfolg Ihres Online-Events! DSGVO-konform und rechtssicher! Sie konzentrieren sich auf Ihr Event und wir kümmern uns um den Rest!