Datenschutz während eines Webinars – was soll ich als Veranstalter unbedingt beachten?

Wer ein Webinar veranstaltet, muss einige Anforderungen bezüglich des Datenschutzes erfüllen. Erfahren Sie, was Sie bei der Auswahl der Webinar-Plattform und bei der Erhebung der Teilnehmerdaten beachten müssen.

Wer eine Online-Veranstaltung plant, muss die Regeln beachten, die in der Datenschutz-Grundverordnung (DSGVO) enthalten sind. Diese Vorschriften sollen die Privatsphäre der Benutzer schützen. Doch was versteht man eigentlich unter dem Begriff „Privatsphäre“, insbesondere in der Online-Welt? Dieser Begriff wird zwar nicht eindeutig definiert, doch können wir annehmen, dass es sich um einen Bereich des Lebens handelt, der ohne Erlaubnis nicht betreten werden darf. Um diesen Bereich zu schützen, verpflichtet die DSGVO den Administrator der personenbezogenen Daten zur Einhaltung zweier Grundprinzipien – und im Fall eines Webinars ist der Administrator der personenbezogenen Daten einfach der Veranstalter des Events, also Sie sind es!

Zurück zu den Grundprinzipien: das erste von ihnen ist als „Privacy by Design“ bekannt und besteht grundsätzlich darin, bereits in der Planungsphase des Webinars entsprechende technische und organisatorische Maßnahmen zu treffen, um den Datenschutz der Teilnehmer zu gewährleisten. Als Organisator müssen Sie sich also bereits vor dem Beginn des Webinars darum kümmern, dass die Vorschriften der DSGVO eingehalten sind und die Privatsphäre der Teilnehmer entsprechend geschützt wird. Das zweite Prinzip – „Privacy by Default“ – bezieht sich auf die Menge der Daten, die verarbeitet werden. Es sollen nur diejenigen Daten erhoben und weiterbearbeitet werden, die zur Erreichung des Zieles erforderlich sind, also anders gesagt: so wenig wie möglich, so viel wie nötig.

Wie sieht das in der Praxis aus? Was soll ich dann bei der Auswahl der Webinar-Plattform beachten?

Damit die Umsetzung des Datenschutzes bei Ihrem Webinar reibungslos verläuft, haben wir eine Checkliste vorbereitet, in der alle wichtigen Punkte zusammengefasst sind. Der allererste Punkt ist natürlich die Auswahl der Webinar-Plattform und die damit verbundenen Verpflichtungen.

Da Sie als Veranstalter eines Online-Events für den Datenschutz der Teilnehmer verantwortlich sind, liegt es auch in Ihrer Verantwortung, eine Webinar-Plattform zu finden, die einen entsprechenden Datenschutz gewährleistet. Deswegen achten Sie unbedingt darauf, dass die Plattform Ihrer Wahl technische und organisatorische Maßnahmen umsetzen lässt, die die Einhaltung der in der DSGVO enthaltenen Vorschriften sicherstellen. Dabei sollten die Rechte der betroffenen Personen respektiert werden, indem u.a. die Verarbeitung der personenbezogenen Daten gemäß der DSGVO verläuft. Die Plattform muss definitiv ein Sicherheitsniveau bieten, das für die Einhaltung dieser Vorschriften erforderlich ist, und es ist Ihre Aufgabe, dies vor dem Vertragsabschluss mit einem Anbieter der Webinar-Plattformen zu überprüfen. Bei ClickMeeting können Sie aller diesen Punkte völlig sicher sein – was das Recht betrifft, sind wir immer auf dem Laufenden und bieten den Datenschutz, der aktuell von den geltenden Gesetzen gefordert wird.

Der zweite Punkt betrifft die Einhaltung der DSGVO in der Praxis, nämlich den Vertragsabschluss und die Informationspflicht gegenüber den Teilnehmern der Webinare.

Mit dem Anbieter der Online-Plattform müssen Sie einen DPA-Vertrag unterzeichnen. Dieser Vertrag muss eine Schriftform haben, dies bedeutet aber nicht, dass er in Papierform mit händischer Unterschrift existieren muss. In diesem Dokument werden alle Details genannt, die die Verarbeitung der Teilnehmerdaten betreffen: der Ort, an dem die Daten gespeichert werden, die Dauer der Speicherung, die Art der erhobenen Daten usw. Dabei handelt es sich um eine Vereinbarung zwischen dem Webinar-Organisator und der Plattform, die von den Teilnehmern nicht eingesehen wird.

Dies bedeutet aber nicht, dass der Veranstalter keine Verpflichtungen gegenüber den Teilnehmern hat. Diese werden im Art. 13 der DSGVO genannt und decken sich teilweise mit dem DPA-Vertrag ab. Als Organisator sind Sie verpflichtet, den Teilnehmern Ihre Identität sowie die Kontaktdaten des Datenschutzbeauftragten anzugeben. Das Gleiche betrifft den Zweck und die Grundlage der Datenverarbeitung, die Dauer der Aufbewahrung der Daten sowie die eventuelle Übermittlung der Daten an Drittländer.

Welche Daten bei der Webinar-Anmeldung erhoben werden sollen oder dürfen?

Prinzipiell sind Sie durch das Gesetz verpflichtet, so wenig Daten wie möglich zu erheben – also nur diejenigen, die Sie zur Erreichung Ihres Zieles benötigen. Ein Basis-Datenpaket besteht aus drei Datensätzen: der E-Mail-Adresse, einem Benutzernamen (der ein Vorname, ein Nachname oder einfach ein Nick sein kann, den der Benutzer sich selbst vergeben hat) und den automatisch gespeicherten Daten wie z.B. der IP-Adresse und den Browser- oder den Standort-Daten. Diese Daten erhebt jede Webinar-Plattform, um die Durchführung der Online-Veranstaltung möglich zu machen.

Manchmal können Sie auch von den Teilnehmern weitere Daten erhalten, wie z.B. der „richtige“ Name, die Postanschrift oder die Telefonnummer. Diese Daten werden vom Teilnehmer jedoch immer freiwillig angegeben und Sie dürfen nicht ihre Offenbarung verlangen, um den Zugang zum Webinarraum zu gewähren. Diese Felder dürfen also im Anmeldeformular keine Pflichtfelder sein.

Welche Elemente auf der Registrierungsseite unbedingt auftauchen müssen?

Über das Anmeldeformular muss der Teilnehmer die Möglichkeit haben, die Informationen zur Verarbeitung seiner personenbezogenen Daten einzusehen. In der Praxis werden diese Informationen in Form einer Informationsklausel zusammengefasst, die aus einem oder zwei Sätzen besteht und einen aktiven Link zum gesamten Dokument enthält. Dabei handelt es sich aber nicht darum, die Einwilligung des Teilnehmers zur Verarbeitung der personenbezogenen Daten einzuholen – Sie informieren ihn nur, welche Daten erhoben werden und wie das getan wird. Durch das Anklicken des Kästchens bestätigt der Teilnehmer, dass er die Informationen gelesen hat – nicht, dass er dieser Verarbeitung zustimmt. Die Zustimmung erfolgt automatisch mit dem Betreten des Webinarraums.

Die Informationspflicht, die Sie gegenüber den Teilnehmern erfüllen müssen, haben wir bereits erwähnt – doch wie lässt sich das in die Praxis umsetzen? Es gibt zwei verschiedene Formen. Die kürzere – die Informationsklausen – bezieht sich meistens nur auf das Webinar, das gerade von Ihnen organisiert wird und zu dem der Teilnehmer sich gerade anmelden will. Die längere Variante ist die Datenschutzrichtlinie – dort wird beschrieben, wie die Daten von Ihrem Unternehmen in allen Aspekten verarbeitet werden, also nicht nur für die Zwecke dieses konkreten Webinars, sondern in jedem Fall, in dem die Daten erhoben werden. Egal für welche Form Sie sich entscheiden, ist es von zentraler Bedeutung, dass alle Informationen dort enthalten werden, die die DSGVO von Ihnen fordert.

Besonders wichtig ist es, wenn Sie das Webinar aufzeichnen möchten und danach als Video den Teilnehmern zur Verfügung stellen wollen. Dann sollen Sie das in Ihrer Datenschutzrichtlinie unbedingt erwähnen – genauso wie die Informationen, wie Sie z.B. die Vor- und Nachnamen der Teilnehmer, die Bilder ihrer Gesichter und ihre Stimmen speichern und verarbeiten. In der Praxis funktioniert es üblicherweise am besten, wenn man ein Dokument hat, die die Datenschutzerklärung enthält. Sollten die Richtlinien modifiziert werden, wird das Dokument ebenso modifiziert und kann von den Teilnehmern in der aktuellen Version direkt eingesehen werden. Wichtig ist, dass das Anmeldeformular einen aktiven Link hat, der zu diesem Dokument umleitet.

Es gibt noch einen Punkt, den Sie in Bezug auf die Sicherheit während des Webinars beachten sollen – möglicherweise ist es erforderlich, den Zugang zum Webinarraum zu sichern bzw. auf eine gewisse Art einzuschränken? Sie möchten ja, dass nur registrierte Teilnehmer den Raum betreten. Wie kann man das gewährleisten?

Die einfachste Methode ist die Angabe eines Passwortes bei der Webinar-Anmeldung. Meistens ist das Passwort gleich für alle Teilnehmer und es kann beliebig oft eingegeben werden, um den Raum zu betreten. Dies erhöht ein bisschen die Sicherheit, das Passwort kann aber sehr leicht an andere Personen weitergegeben werden, die sich nicht unbedingt registriert haben. Ein deutlich höheres Sicherheitsniveau wird durch ein Token gewährt – es handelt sich um einen Zugangscode, der einen Teilnehmer zum einmaligen Betreten des Webinarraums berechtigt. Sollte der Teilnehmer den Webinarraum aus irgendeinem Grund verlassen haben, muss ein neues Token generiert werden, um den Einlass zu ermöglichen. Während des Webinars können die Benutzer auf eine gewisse Art anonymisiert werden, indem z.B. nur die ersten Buchstaben ihrer Vor- und Nachnamen im Chat-Fenster sichtbar gemacht werden. Außerdem bietet u.a. ClickMeeting die Möglichkeit, das Chat-Fenster in der Aufnahme des Webinars auszublenden. Eine relativ einfache Methode ist die Sperrung des Webinarraumes, z.B. sobald das Event beginnt. Nachdem eine entsprechende Schaltfläche gedrückt wird, wird der Zutritt aller weiteren Personen verhindert.

Wie macht man das am besten konform mit der DSGVO?

Zum Schluss kommen wir noch einmal auf das Thema der Aufzeichnung zurück. Wie macht man das am besten konform mit der DSGVO? Beachten Sie vor allem, dass das Gesicht und die Stimme auch personenbezogene Daten sind – somit müssen sie auch gemäß der DSGVO verarbeitet werden. Bedenken Sie dabei, dass es sich nicht um Daten handelt, die zur Zielerreichung unbedingt erforderlich sind. Hierzu müssen Sie wieder Ihre Informationspflicht erfüllen und entsprechende Angaben in Ihrer Datenschutzrichtlinie machen.

Wenn Sie sich noch vor dem Webinar über diese Punkte Gedanken machen und entsprechende Maßnahmen ergreifen, können Sie davon ausgehen, dass das Webinar aus Sicht des Datenschutzrechts sicher ist und dass die Teilnehmerdaten so geschützt werden, wie das Gesetz das erfordert. Und das baut auch das Sicherheitsgefühl bei den Teilnehmern auf, was sich direkt in das Vertrauen in Ihre Veranstaltungen niederschlägt.

Karolina Łoboda – Sie hat Germanistik an der Universität Kazimierz Wielki studiert. Seit 14 Jahren im Vertrieb tätig, derzeit als Teil des Vertriebsteams als Sales Account Executive bei ClickMeeting. Sie unterstützt Enterprise-Kunden bei der Auswahl von Webinar-Paketen; spezialisiert auf Lösungen für Unternehmen; Betreuer der deutschsprachigen Märkte.

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5.00 out of 5)
Loading...

Melden Sie zu unserem