Veranstaltungen, Meetings und Webinare Online - Fragenkatalog zum Datenschutz für die Anbieterauswahl

Photo by Chris Montgomery on Unsplash
Dr. Thomas Helbing
Mittwoch, 23. September 2020 - 17:04

Sollen Veranstaltungen, Seminare, Versammlungen oder andere Meetings online abgehalten werden, stehen eine Vielzahl von Anbietern zur Auswahl. Um bei der Auswahl die Datenschutz bzw. DSGVO-Konformität zu berücksichtigen, kann der nachfolgende Fragebogen genutzt werden. Dieser kann im Vorfeld an Anbieter geschickt werden. Der Fragebogen kann auch von Datenschutzbeauftragtern und Datenschutz-Beratern für Kontrollen oder zur Prüfung der DSGVO-Konformität genutzt werden.

1. Anbieter

  1. Hat der Anbieter seinen Sitz in einem Land, das nicht Mitglied des EWR (Europäischer Wirtschaftsraum) ist?
  2. Setzt der Anbieter bei der Leistungserbringung Subunternehmer (einschließlich verbundener Unternehmen) mit Sitz in einem Land außerhalb der EU ein (z.B. Hoster, technischer Dienstleister, Supportdienstleister, Muttergesellschaft)? Wenn ja:
    1. Welche (Land, Firma, Anschrift)?
    2. Wie wird dort ein angemessenes Schutzniveau im Sinne der Art. 44 ff. DSGVO sichergestellt?
    3. Kann der Kunde mit dem Subunternehmer einen direkten Vertrag gemäß den EU Standardvertragsklauseln schließen?

2. Auftragsverarbeitung

  1. Ist der Anbieter bereit, mit dem Kunden einen Vertrag zur Auftragsverarbeitung (nach Art. 28 DSGVO) gemäß dem Muster des Kunden (Anlage) zuschließen? Ggf. mit welchen Änderungen?
  2. Falls Ziffer mit „nein“ beantwortet wird: Bitte den eigenen Muster-Vertrag zur Auftragsverarbeitung des Anbieters bereitstellen.
  3. Werden Daten in Rechenzentren außerhalb des EWR gespeichert oder sonst verarbeitet? Wenn ja, wo befinden sich diese?

3. Datensicherheit

  1. Liegt eine schriftliche Dokumentation der Datensicherheitsmaßnahmen (nach Art. 32 DSGOV) vor? Bitte beifügen.
  2. Wurde eine externe Zertifizierung der Datensicherheit durchgeführt? Bitte ggf. Zertifikat beifügen.
  3. Wird die Dokumentation nach Ziffer 3.1 zum Bestandteil des Auftragsverarbeitungsvertrags gemacht?
  4. Erfolgt eine Ende-zu-Ende Verschlüsselung?
  5. Erfolgt eine Transportverschlüsselung (zwischen Endgerät des Teilnehmers und den Servern des Anbieters)?
  6. Erfolgt eine Verschlüsselung lokal gespeicherter Daten (auf dem Endgerät des Nutzers oder auf den Server des Anbieters)?
  7. Welche Verschlüsselungstechniken (Algorithmus, Schlüssellänger etc.) werden genutzt?

4. Teilnahme

  1. Welche Daten müssen Teilnehmer zwingend bereitstellen, um an einer Veranstaltung teilzunehmen?
  2. Ist die Teilnahme rein Browserbasiert möglich?
  3. Muss/kann der Teilnehmer auf seinem Endgerät eine Software (z.B. Browser Add-On, native mobile App) installieren? Wenn ja, welche?
  4. Wie wird sichergestellt, dass nur berechtigte Personen teilnehmen können (individueller Link mit Token, zusätzliches Passwort, etc.)?
  5. Gibt es einen Warteraum, in den neue Teilnehmer zunächst eintreten, bevor sie vom Moderator in die Veranstaltung eingelassen werden?
  6. Können Teilnehmer Inhalte (Ton, Bild) aufzeichnen (bitte Funktionalität erläutern)?
  7. Werden Teilnehmer bei einer Sprach- und/oder Bildaufzeichnung vom System vorab gewarnt oder um Zustimmung gebeten?
  8. Beinhaltet die Lösung eine Aufmerksamkeitsanzeige, die es ermöglichen soll, zu erkennen, ob Teilnehmende der Videokonferenz folgen?
  9. Kann verhindert werden, dass Teilnehmer Aufzeichnungen erstellen?
  10. Besteht eine Funktion, mit der der Hintergrund verunschärft oder ersetzt wird?

5. Metadaten / Tracking und Analytics

  1. Welche Metadaten wie z.B. IP Adresse, Einwahlzeitpukte und -dauer, Endgerätedaten oder Tracking/Analysedaten („Telemetriedaten“) werden bei der Nutzung des Dienstes (und ihrer Apps) erhoben?
  2. Kann die Erhebung von Telemetriedaten unterbunden werden?
  3. Behält sich der Anbieter vor, Telemetriedaten auch für eigene Zwecke (Produktverbesserung und -entwicklung, Fehlererkennung und -behebung) zu nutzen? Wenn ja, für welche?

6. Löschung

Welche Funktionalität zur Löschung von Daten (Metadaten, Profildaten, Inhaltsdaten) bietet das System?

7. Sonstiges

  1. Ist es möglich, alle zu einer Person im System gespeicherten Daten zu exportieren (PDF, Excel, Anzeige am Monitor)?
  2. Ist sichergestellt, dass der Anbieter die Teilnehmerdaten (z.B. E-Mail, Telemetriedaten) nicht für werbliche Zwecke nutzt?
  3. Stellt der Anbieter eine Informationssammlung bereit, in der alle für den Kunden nach Art. 13, 14 DSGVO benötigten Daten enthalt sind (z.B. DSGVO FAQ, Whitepaper)? Bitte ggf. beifügen.
  4. Hat der Anbieter eine eigene Datenschutzerklärung für den Betrieb des Systems (einschließlich Apps) nach art. 13, 14 DSGVO (bitte beifügen)?
Stichwörter:
DSGVO Online Meeting

Über den Autor

Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte“ im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Newsletter Datenschutz

 

  • über 5.000 zufriedene Abonnenten
  • neue und aktualisierte Tools, Vorlagen, Muster, Checklisten und Erläuterungen zum Datenschutz und IT-Recht.
  • jederzeit abbestellbar mit einem Klick.