Webinare haben nicht erst seit der Corona-Krise Konjunktur. Mit Webinaren kannst du viele Menschen gleichzeitig erreichen und eine tolle Lernumgebung schaffen. Webinare erfordern aber die Verarbeitung von personenbezogenen Daten des Nutzers.
Damit gilt für jedes Webinar die Datenschutzgrundverordnung (DSGVO) mit ihren vielen rechtlichen Fallstricken. Wie du trotz Datenschutzgrundverordnung und Wettbewerbsrecht rechtssicher Webinare abhältst, erfährst du in diesem Artikel.
In diesem ergänzenden Video-Interview haben wir einzelne Punkte detailliert unter die Lupe genommen. So wird die konkrete Umsetzung der DSGVO für Webinare klar:
Gastbeitrag von Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup automatisierte Lösungen für Websites (easyRechtssicher.de) und AGB und Verträge (easyContracts.de).
1. Muss ich bei der Auswahl meines Webinar-Anbieters etwas beachten?
In erster Linie muss die Webinarsoftware natürlich deine Anforderungen an ein gutes und reibungsloses Online Webinar erfüllen. Eine gute Übersicht über die verschiedenen Webinaranbieter findest du bei digital-affin.
Damit jedoch leider nicht genug. Auch rechtlich muss dein Anbieter bestimmte Anforderungen erfüllen, damit du das Webinar DSGVO konform abhalten kannst, ohne eine Abmahnung oder ein Bußgeld zu riskieren. Das klären wir in den weiteren Fragen.
2. Aus welchem Land darf der Anbieter meiner Webinarsoftware kommen?
In erster Linie muss dein Anbieter die Daten mit ausreichender Sicherheit DSGVO-konform verarbeiten. Hiervon kannst du im Grundsatz ausgehen, wenn der Anbieter in der EU ansässig ist, wie zum Beispiel der deutsche Anbieter edudip. Dann gilt für ihn automatisch die europäische Datenschutzgrundverordnung.
Anders ist es, wenn der Anbieter deiner Konferenzsoftware nicht in der EU sitzt. Du darfst Daten nur dann aus der EU heraus exportieren, wenn die EU festgestellt hat, das in dem Zielland ein mit der EU vergleichbares Datenschutzniveau besteht. Das ist etwa in Bezug auf die Schweiz, Japan oder Kanada der Fall. Auch Anbieter aus diesen Ländern kannst du ohne weiteres nutzen.
3. Darf ich einen Anbieter aus den USA für meine Webinare nach DSGVO verwenden?
Auch Webinaranbieter aus den USA kannst du oft verwenden. Ganz so einfach wie bei EU-Anbietern ist es aber nicht. Bei einem gleichwertigen Leistungsangebot solltest du daher einen EU-Anbieter für dein Webinar vorziehen.
Die US-amerikanischen Anbieter sind für Webinartools aber oft Marktführer und zeichnen sich nicht selten durch verlässliche Leitungen aus. US-Anbieter kannst du auch verwenden, aber nur, wenn diese bei privacy shield registriert sind. Das ist ein Abkommen zwischen den USA und der EU. Danach erkennt die EU den gleichwertigen Datenschutz wie in der EU für US-Anbieter dann an, wenn sich der Empfänger der Daten (also der Webinar- oder Konferenzanbieter) in den USA dem privacy shield Abkommen unterworfen hat.
Mehr Informationen dazu und wie du das prüfst, erhältst du hier. Bitte beachte aber, es gibt durchaus einige Anbieter in den USA, die auf Ihrer Website behaupten, Sie seien GDPR (DSGVO) konform, aber in Wirklichkeit nicht bei privacy shield registriert sind. Zertifiziert ist etwa der Anbieter Zoom. Dieser war zwar zuletzt stark in der Kritik (nicht immer zu Recht), ist nach einigen Nachbesserungen jedoch derzeit DSGVO-konform verwendbar.
4. Muss ich bei dem Webinar-Anbieter auf weitere Punkte achten?
Nach der DSGVO darfst du Daten, die du von deinen Kunden erhalten hast, nur unter bestimmten Voraussetzungen an einen Dritten weitergeben. Verarbeitet der Dritte die Kundendaten in deinem Interesse und Auftrag, musst Du mit dem Dritten einen Auftragsverarbeitungsvertrag abschließen. Darin ist geregelt, dass der Dritte deinen Anweisungen bei der Verarbeitung der Daten folgt, also etwa auf deine Weisung hin bestimmte Kundendaten löscht.
Es ist daher erforderlich, dass du mit dem Anbieter deines Online Webinartools einen Auftragsverarbeitungsvertrag abschließen, damit du Webinare datenschutzkonform anbieten kannst. Bietet dein Webinar- oder Konferenz-System einen solchen Auftragsverarbeitungsvertrag nicht an, darfst du die Software oder Plattform nicht verwenden. Bei englischsprachigen Anbietern suche nach dem „data processing agreement“.
4. Was muss ich bei der Terminvereinbarung für Webinare beachten?
Wenn du den Interessenten online (also auch per Mail oder Messenger) die Möglichkeit bietest, Webinartermine zu buchen, musst du die Interessenten bei der Terminbuchung darauf hinweisen, dass ihre Daten verarbeitet werden, denn regelmäßig wirst Du von den Interessente Daten, wie Name und Mailadresse, abfragen.
Den Hinweis auf die Datenverarbeitung musst du unmittelbar bei der Dateneingabe gut erkennbar aufführen. Direkt neben oder über, aber niemals unter der Dateneingabe musst du auf die Verarbeitung der Daten hinweisen. War der Hinweis auf die Datenverarbeitung nicht direkt erkennbar, ist die Eingabe der Daten durch den Kunden keine Einwilligung mit der Datenverarbeitung, denn eine Einwilligung muss unter anderem immer „informiert“ erfolgen. Dann wäre die Verarbeitung der Daten des Kunden nicht DSGVO-konform und du könntest abgemahnt werden.
Ein solcher Hinweis könnte etwa so aussehen:
„Ihre Daten werden im Rahmen unserer Datenschutzerklärung nur für die Einladung zu dem Webinar und dessen Abwicklung verarbeitet.“ (Datenschutzerklärung ist ein Link)
Termin bestätigen
Noch sicherer wäre es, wenn du ein Opt In Feld (nicht voreingestellt) verwendest, mit dem der Nutzer diesen Hinweis bestätigt, ehe der Termin gebucht wird.
Du musst also bei der Buchung über die dabei stattfindende Datenverarbeitung informieren. Besonders einfach geht das etwa mit dem [Anzeige] Datenschutz-Generator von easyRechtssicher, hier findest du direkt ein Auswahlfeld für Webinar Anmeldungen. Damit erstellst du deine automatisiert aktuelle Datenschutzerklärung für deine gesamte Website, auf die du ganz einfach bei der Webinar-Anmeldung verweisen kannst.
5. Muss ich den Nutzer bei dem Webinar über die Datenverarbeitung informieren?
Du musst deine Kunden jeweils darüber informieren, wie du ihre Daten verarbeitest, wohin du sie sendest und welche Rechte sie in Bezug auf ihre Daten haben. Das sind die allgemeinen Anforderungen an eine Datenschutzerklärung.
Nutzt du eine Webinarsoftware, wird auch deren Anbieter die Daten deines Kunden empfangen. Im Regelfall bekommt der Anbieter sowohl die IP Adresse des Kunden, weitere Daten über das Surfverhalten des Kunden sowie vor allem die von ihm in dem Konferenzsystem eingegebenen Daten (wie Name, E-Mail-Adresse etc.) mit. Damit werden die Daten des Kunden auch an Webinarsoftware weitergegeben. Darüber musst du Deinen Kunden informieren.
6. Was muss in meiner Datenschutzerklärung stehen, wenn ich Webinare anbiete?
Dann muss ein entsprechender Passus zu dem Webinar-Anbieter natürlich in deiner Datenschutzerklärung enthalten sein. Besonders einfach geht das etwa mit dem [Anzeige] Datenschutz-Generator von easyRechtssicher, hier findest du direkt ein Auswahlfeld für viele Webinar Anbieter.
7. Muss ich die Webinarsoftware in bestimmter Weise einstellen?
Die DSGVO gilt auch für das Webinar selbst. Oft sind in der Webinarsoftware Einstellungen möglich, die nicht in jedem Fall zulässig sind, sondern ggf. nur für bestimmte Meetings oder sogar gar nicht.
Du musst also dafür sorgen, dass dein Webinar nur mit zulässigen Einstellungen abgehalten wird.
Das betrifft vor allem Einstellungen zu den Funktionen, die ein:
- Tracking des Kundenverhaltens bei der Webinars (z.B. Klicks an bestimmten Stellen),
- eine Beobachtung des Kundenverhaltens bei dem Webinar (z.B. Aktivität bei der Teilnahme) oder
- eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)
ermöglichen.
Derartige Funktionen darfst du nur verwenden, wenn sie wirklich erforderlich sind oder der Kunde zuvor (informiert) eingewilligt hat: Das ist nur der Fall, wenn die Funktion
- einem erlaubten Zweck dient (z.B. nicht einfach Ausspähung)
- geeignet ist, diesen Zweck zu erfüllen
- erforderlich ist, diesen Zweck zu erfüllen (es gibt also kein für den Datenschutz milderes Mittel)
- ggf. mögliche Schutzmaßnahmen ergriffen sind.
Weitergehende Einstellmöglichkeiten, die für datenschutzkonforme Webinare konform wichtig sein können, findest du hier.
8. Was brauche ich, wenn ich kostenpflichtige Webinare anbiete?
Bietest du deine entgeltlichen Leistungen in Form von Online Kursen oder Webinaren an, musst du nicht nur die DSGVO, sondern auch das Fernabsatzrecht beachten. Dies stellt sowohl für Unternehmen als Kunden und erst Recht für Verbraucher als Kunden umfangreiche Anforderungen an deinen Bestellprozess. Hältst du diese nicht ein, kannst du sowohl von Konkurrenten als auch Abmahnvereinen teuer abgemahnt werden. Zudem drohen dir vielfache Nachteile im Vertrag mit deinem Kunden.
Viele dieser Vorschriften kannst du in deinen allgemeinen Geschäftsbedingungen für die Teilnahme an deinen Webinaren unterbringen. Passende Muster mit allen erforderlichen Inhalten findest du etwa bei [Anzeige] easyContracts.de.
9. Welche Webinar Anbieter kann ich Datenschutz konform verwenden?
Adobe Connect, edudip, Google Hangouts, GoToMeeting und Zoom kannst du jeweils verwenden – Erwähnung in der Datenschutzerklärung oder sonstige Erfüllung deiner Hinweispflichten nach DSGVO vorausgesetzt. Solltest du für deine Datenschutzerklärung bestimmte Muster benötigen, melde dich gern unter mail@easyRechtssicher.de.
10. Ergebnis
Webinare sind wie andere virtuelle Events auf jeden Fall ein tolles Werkzeug für dein Marketing und im Angesicht der Coronakrise wichtiger denn je. Beachtest du die rechtlichen Vorgaben und nutzt die passenden Muster für deine Datenschutzerklärung, kannst du Webinare Datenschutz konform ohne Angst vor einer Abmahnung oder einem Bußgeld verwenden. Dafür wünschen wir viel Erfolg.
Lies auf VideoRhetorik.de die Tipps, wie du inhaltlich ein gutes Webinar erstellen kannst.
