Webinare ohne rechtliche Fallstricke

Datenschutz in Webinaren

In Zeiten von Corona bieten wir Trainer vermehrt unsere Seminare online als sogenannte Webinare an. Das ist auch gut so, denn Stillstand und Wissen passen nicht zusammen.

Trotzdem müssen wir hier besondere Vorsicht walten lassen, denn wir nehmen Geld für Webinare und werden damit als Dienstleister in vielen Fällen direkt zur verantwortlichen Stelle. Wir sind hiermit nicht mehr nur für uns selbst verantwortlich, sondern auch für unsere Kunden – die uns vertrauen.

Die DSGVO als unser Leitwerk

Ziel der DSGVO ist es, personenbezogene Daten zu schützen.

Personenbezogene Daten stehen in Artikel 4 der DSGVO und sind alle Daten, anhand derer eine Person identifiziert werden kann.

Name, E-Mail, IP-Adresse. Das sind die Mindestdaten, die wir haben, wenn jemand eines unserer Webinare bucht. Selbst ohne Klarnamen und ohne Angabe einer Mailanschrift, haben wir immer noch Zugriff auf die IP-Adresse der Teilnehmer. Sprich, wir sammeln definitiv personenbezogene Daten.

Und hier kommt die Webinar-Software ins Spiel. Wir verpflichten uns nämlich, dass jegliche Weitergabe und Verarbeitung der personenbezogenen Daten unserer Teilnehmer durch Dritte ebenso den Anforderungen der DSGVO entspricht. Und wir müssen unsere Teilnehmer (im Gesetz „Betroffene“ genannt) darüber informieren, wer ihre Daten noch bekommt und was damit gemacht wird.

Nach Artikel 28 der DSGVO ist eine sogenannte Auftragsdatenverarbeitung nötig, sprich ein gesonderter Vertrag, den wir mit dem Software-Anbieter abschließen. Den Vertrag bieten auch alle an. Soweit, so gut. Aber wir wissen eben nicht bei allen, was sie mit den Daten machen, denn es gibt Länder, da ist das vollumfängliche Preisgeben dessen gar nicht vorgesehen. So wurde Zoom schon dabei erwischt, wie sie Daten an Facebook weitergegeben haben, GoToMeeting hat Google-Server bedient und selbst Jitsi, dass eigentlich als sicher gilt, soll über die IOS App Daten an US-Trackingdienste weitergegeben haben.

Und jetzt werfen wir mal einen Blick auf Amerika, denn Zoom, Microsoft Teams & Co. sind stark im Kommen und da werden gewerblich ziemlich wahllos Webinare von deutschen Trainern darüber angeboten.

US Cloud Act vs. DSGVO

Bereits im Jahr 2014 wurde die Datenwelt einmal kurz still, als die US-amerikanischen Justizbehörden auftrumpften mit dem Satz: „All your data belongs to us.“ Und in 2018 ist kurz vor unserer DSGVO der US Cloud Act in Kraft getreten. Seither dürfen US-Behörden alle Daten von US-Unternehmen mit Standort weltweit die Herausgabe von Daten verlangen. Ein weiteres Problem ist, dass diese Unternehmen die betroffenen Personen darüber nicht informieren müssen.

Nach Artikel 48 der DSGVO ist die Übermittlung personenbezogener Daten immer dann gestattet, wenn er durch beispielsweise ein Rechtshilfeabkommen zwischen dem anfragenden Drittland und der EU gedeckt ist. Der direkte Zugriff US-amerikanischer Behörden stellt allerdings einen Verstoß gegen den Wortlaut der DSGVO dar. Um das mal in Zahlen auszudrücken, wenn ein EU-Unternehmer personenbezogene Daten an die US-Behörden übermittelt, kann er mit bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden. Angenommen, Du generierst 80.000€ im Jahr, kostet Dich solch ein Verstoß also 3.200€. Das ist etwa 3mal so viel wie eine deutsche Premiumsoftware vs. Zoom & Co.

Wie ernst es den USA mit unseren Daten ist, sehen wir am Scheitern des Vorhabens von T-Systems, die zur Telekom gehören. T-Systems hatte angeboten, für Microsoft via der Anwendung Office 365 eine Datentreuhand zu übernehmen. Sämtliche Daten, die wir in Deutschland so gerne geschützt wissen, wären für uns ausschließlich in Deutschland gespeichert worden. Es wurde vereitelt und heute ist auch Microsoft 365 offiziell nicht mehr für einen DSGVO-konformen Einsatz geeignet und deutsche Behörden mussten zurück auf Windows 7 oder 10 wechseln.

Ich will gleich mal ehrlich sein. Ja, Deutschland hinkt hinterher mit spannender Software im Online-Meeting und seminartauglichen Bereich. Die eierlegende Wollmilchsau haben wir noch nicht geschafft und wenn unsere Systeme mal nah dran sind, dann sind sie auch richtig teuer und ich fürchte, Geld ist bei vielen einer der größten Anreize, einfach zu hoffen, dass mit Zoom und Konsorten alles gut geht. Zumal das Monetäre jetzt in der Krise erst recht nicht vom Tisch zu wischen ist. Genauso unethisch kommt es daher, wenn große deutsche Anbieter plötzlich nur noch das Pro-Paket und auch nur noch mit der jährlichen Zahlung anbieten und sich so die derzeitige Zwangslage zunutze machen.  

Apropos Preis. Ich möchte Euch hier auch gern darauf sensibilisieren, dass man ruhig stutzig werden sollte, wenn ein Programm sehr günstig oder umsonst ist. Die Währung sind hier nämlich oft die Daten selbst. Umsonst ist nichts, seid Euch dessen bitte gewiss.

Der Privacy Shield

Nun haben wir mehrere Möglichkeiten. Eine ist, uns drauf verlassen, wenn US-Unternehmen uns die Mär vom Privacy Shield und der Anerkennung unserer Datenschutzrichtlinien erzählen… Ähm Moment mal, das hat ja bei Zoom schon nicht geklappt. Warum ist es überhaupt eine Mär? Weil zum einen das Gesetz, der US Cloud Act, sowieso über dem Privacy Shield steht und weil zum anderen im Falle der Weitergabe der Daten wir es ja bekanntlich nicht mal merken, denn wir müssen nicht informiert werden. Und wenn es doch mal auffliegt, was wollen wir denn tun? Wen wollen wir für was anzeigen und welches Gericht wird es verfolgen? Welche rechtlichen Mittel haben wir denn in den USA? Richtig, wir Trainer sind dann die, die mit dem angekratzten Ruf plus Geldstrafe in Deutschland sitzen und die großen US-Unternehmen machen weiter ihre Milliarden mit genug anderen Nutzern – und deren Daten.

Da wir gerade über den Privacy Shield geredet haben, es auch hier zwingend notwendig, etwas zu beachten. Es existieren unterschiedliche Zertifikate: HR und Non-HR. Nur die HR-Zertifikate sind für das Übermitteln von Beschäftigten-Daten gestattet. GoToMeeting hat beispielsweise nur ein Non-HR-Zertifikat zum Zeitpunkt des Schreibens dieses Artikels. Ich habe sie jetzt nicht alle durchsucht, weil ich mich ja bereits für meine Auswahl entschieden habe. Ich möchte Euch jedoch raten, auch hier sorgsam zu prüfen.

Webinar Software

Ok, was gibt es alternativ an Software? Mit jeder jetzt folgenden Stufe wird unser Risiko geringer.

Auf Nummer sicher gehen und schauen, dass die Daten, die wir erzeugen in einem Webinar, nur auf europäischen Servern lagern – so umgesetzt z.B. bei Cisco Webex, zusätzlich zum EU-US Privacy Shield (HR und Non-HR), Datenschutzanerkennung, Ende-zu-Ende-Verschlüsselung und bei den deutschen Partnern auch erreichbare deutsche Datenschutzbeauftragte. Cisco glänzt dafür ferner mit einem großartigen Support und guten Preisen, ab 12,85€ pro Monat, wenn man die jährliche Abrechnung wählt. Aber ich betone: es bleibt ein Amerikaner! Bleibt also auch Ihr wachsam da draußen.

Auch toll ist, wenn wir die Möglichkeit haben, unsere Daten komplett selbst zu hosten. Dann können wir die Amerikaner nochmal beruhigter benutzen, denn wir haben die Daten statt unserer Freunde aus Übersee. Das ging beispielsweise auch bei Skype for Business. Schwierig wird es jedoch mit dem Nachfolger Microsoft Teams als Bestandteil von Microsoft 365.  

Am sichersten ist man unterwegs, wenn man seine Webinare über deutsche oder europäische Anbieter laufen lässt, die unsere Daten auf deutschen oder europäischen Servern speichern. Hier ist FastViewer sehr zu empfehlen, wo man sich ab 38€ einen Webinar-Raum mieten kann.

Jede eben genannte Software bietet das sogenannte Screensharing (eigenen Desktop teilen) und die Kommunikation aller Teilnehmer an. Sie alle eignen sich also super für Konferenzen in Gruppen und genauso zu zweit. Man kann dank der Funktionen gemeinsam an Worksheets arbeiten, teilweise sogar Kleingruppen in andere Onlineräume auslagern, eigentlich alles, was wir im Face to Face Seminar auch können.

Automatisierte Webinare

Dann gibt es noch eine andere Sparte von Programmen, die quasi ein Bündel aus Vermarktung und Webinarfunktion mitbringen. Da könnt Ihr Eure Webinare automatisieren. Meistens ist es aber so, dass sich nie alle miteinander unterhalten können und diese Programme sind eher für die (ich nenne es) Massenabfertigung geeignet. Denkt immer dran, je weniger Kommunikation möglich ist, desto weniger individuell könnt Ihr auch auf die Bedürfnisse Eurer Teilnehmer eingehen und desto weniger können die Teilnehmer voneinander mitnehmen. Hier gibt es von der amerikanischen Seite WebinarJam und das deutsche Pendant Webinaris. Erhältlich ab 41,30€ pro Monat, jedoch machen die meisten von uns mehr als 3 Webinare pro Monat und so kann man eigentlich erst ab 69,30€ rechnen.

Ich für meinen Teil weiß jedoch nicht, ob ich jemals ein Seminar so sehr „auf Autopilot“ schalten möchte. Ich möchte auf meine Teilnehmer eingehen können, mich kümmern, und das kann ich nur, wenn diese authentisch reden können (statt nur chatten) und ich vor allem immer persönlich dabei bin. Aber gut, jede Software für ihren Bereich. Es gibt Themen, die kann man eher automatisieren (eine Art Unterricht zum Selbststudium z.B.) und es gibt welche, die sollte man persönlich begleiten.

Messenger

Zuletzt möchte ich Euch noch einen Messenger ans Herz legen, über den ich selbst auch Kurse und Begleitung anbieten kann. Er heißt Stashcat und ist so sicher, dass ihn in Deutschland Behörden, Medizin und die Berufsstände der Rechtswissenschaften verwenden dürfen. Die Bundeswehr und die Polizei sowie viele große Kliniken und Sozietäten sind dort bereits Mitglied. Man legt sein Unternehmen als Organisation an und das, was Ihr von WhatsApp als Gruppen kennt, sind hier Channel. Ihr könnt so jeweils einem Personenkreis (bei mir Seminargruppen) einen eigenen Channel verpassen, den man innerhalb der Organisation dennoch nicht sehen kann. Sprich unter kNOwBODY is perfect können mehrere Gruppen laufen, die von ihrer Existenz gegenseitig nichts wissen. So bleiben die Daten von allen Teilnehmern unsichtbar und ich kann trotzdem einen roten Faden zu ihnen pflegen – toll ist das besonders in sehr digitalen Zeiten, wo man sich nicht persönlich treffen darf, so wie jetzt. Stashcat kommt aus Hannover und lagert ausschließlich auf deutschen Servern. Die ersten 10 Mitglieder einer Organisation sind kostenlos. Danach zahlt Ihr pro Mitglied 3,90€ im Monat. Abgerechnet wird jährlich. Aber es lohnt sich, sage ich aus tiefster Überzeugung! Das Programm läuft auf dem PC und als App. Und ab der übernächsten Version (zeitnah) soll auch die Konferenzfunktion per Videocall dabei sein. Und das wird für mich der Moment, wo die Begleitung von Gruppen noch spannender wird.

Fazit

Abschließend möchte ich sagen: „Was Du nicht willst, dass man Dir tu, das füge auch nicht anderen zu.“

Würdet Ihr wollen, dass Dienstleister, denen Ihr vertraut, mit Euren Daten sorglos umgehen? Dass Eure Daten sonst wo im Universum landen, weil es vielleicht grad billiger war? Mir ist bewusst, dass wir mit Google, Amazon, Apple & Co. sowieso gläserne Menschen sind und ich weiß auch, dass der Datenschutz nicht überall ein geliebtes (und gelebtes) Thema ist. Ich selbst habe es leicht. Mein Mann ist Datenschutzbeauftragter, sogar vom TÜV zertifiziert. Ich kann meine Fragen am Frühstückstisch stellen. Aber das ist auch der Grund, warum ich vielleicht mehr Begebenheiten, Gerichtssprüche und Bußgelder mitbekomme, die viele da draußen niemals erahnen würden. Und hier stimmt es: man hat schon Pferde vor Apotheken k*** sehen. Defacto muss man ja nur mal einem Kunden auf den Schlips getreten sein und er verlangt die Darlegung all seiner Daten und wo die hingegangen sind. Ich denke, es ist besser, wenn man in solch einem Fall ruhig schlafen kann und genau weiß, dass man immer auf der Seite des Kunden gestanden ist. Auch das ist für mich Ethik im Vertrieb!

Last but not least – wenn ein Kunde ein anderes (US-) System verwenden möchte, weil er es bereits etabliert hat, dann bin ich die Letzte, die es ihm ausreden will. Es kann auch immer noch sein, dass er die Software fest installiert hat und selbst hostet. Das ist sogar üblich in großen Unternehmen, denn ab einer gewissen Größe wird dem Datenschutz auch meistens mehr Beachtung geschenkt. Schließlich werden empfindliche Strafen fällig, wenn vermeidbare Lecks entstehen.

Viel Freude bei der Umsetzung und bei Fragen und Anregungen rund um Webinare bin ich gern für meine Branchenkollegen da. Ich selbst gebe seit 2013 Webinare und habe schon so einiges getestet und recherchiert.