Webkonferenzen, digitale Messen, hybride Events. Lösungen müssen her und zwar schnell – das ist „alternativlos“. Mit diesem Zauberwort werden viele Entscheidungen in Unternehmen begründet, die vor einem Jahr so niemals getroffen worden wären. Der Zweck heiligt die Mittel. Aber eben nur so lange, wie die Mittel der Lebenserhaltung dienen – was spätestens dann nicht mehr der Fall ist, wenn man geltendes Recht bricht und sich z.B. ein paar der in 2020 verordneten Strafzahlungen im Bereich des Datenschutzes ansieht.
„Verspätete Meldung einer Datenpanne an die betroffenen Personen: 20.000 €, die unverschlüsselte Übermittlung von personenbezogenen Daten: 100.000 €.“ Wie kann ich mich hiervor schützen? Indem ich mir für die neuen Herausforderungen die richtigen Partner suche. Der Auswahlprozess sollte stets mit Einbeziehung Ihres Datenschutzbeauftragten erfolgen. Wesentliche Aspekte sind hierbei:
- Standort und Server innerhalb der EU
Viele Lösungen werden außerhalb der EU, insbesondere in den USA gehostet (d.h. dass die Server, auf denen die Daten verarbeitet werden, in den USA stehen), was leider ein erhebliches Problem mit sich bringt.
Am 16. Juli 2020 verkündete der EuGH das „Schrems II“-Urteil, mit der Erklärung, dass das Datenschutzabkommen „Privacy Shield“ unzulässig ist und auch die sog. EU-Standardvertragsklauseln kein DSGVO-konformes Datenschutzniveau in den USA gewährleisten können. Begründet wurde dies mit den Zugriffsmöglichkeiten der US-Geheimdienste auf alle in den USA gespeicherten Daten, die durch keinen noch so guten privatrechtlichen Vertrag, den Sie mit ihrem Dienstleister schließen, eingeschränkt werden können. Faktisch ist damit die Verwendung von solchen Diensten, ohne entsprechende Einwilligung der betroffenen Personen, aktuell nicht mit geltendem Recht vereinbar.
- Sitz des Dienstleisters innerhalb der EU
Der US-Cloud Act gestattet seit 2018 den US-Geheimdiensten zudem den Zugriff auf alle Daten von US-Unternehmen – selbst wenn diese außerhalb der USA gehostet werden. Insofern ist es ebenfalls problematisch, wenn Sie Dienste nutzen wollen, die ein US-Unternehmen anbietet, selbst wenn der Service aus Europa heraus betrieben wird.
Man sollte daher darauf achten, dass der Service auch durch ein in der EU registriertes Unternehmen betrieben wird, oder das US-Unternehmen zumindest ein eigenständiges, in der EU registriertes Tochterunternehmen hat, das die Services innerhalb der EU anbietet und die Daten auch nicht mit dem US-Mutterkonzern austauscht.
- Ein flexibles „Einwilligungsmanagement“
Insbesondere, wenn es ohne Anbieter außerhalb der EU nicht geht, bleibt Ihnen nur die, von einigen Datenschützern ebenfalls als kritisch eingestufte, Einwilligung der betroffenen Personen – mit einem klaren Hinweis, dass sie hiermit der Übermittlung und Verarbeitung der Daten außerhalb der EU zustimmen und damit auf ihren durch die DSGVO garantierten Datenschutz verzichten. Das gewählte System muss diesbezüglich die Möglichkeit bieten, entsprechende Einwilligungen in allen Sprachen zu offerieren, die potenziell von potenziellen Zielgruppen des Events gesprochen werden.
Aber auch wenn EU-Dienste genutzt werden, spielt die Einwilligung eine ganz wichtige Rolle, da die Daten auf Grund des sog. Zweckbindungsgrundsatzes nicht für verschiedene Zwecke genutzt werden dürfen. Möchte Ihr Kunde die Teilnehmerdaten, welche im Rahmen der Anmeldung zu einer digitalen Veranstaltung erhoben wurden, auch dazu nutzen, um die Teilnehmer über weitere Veranstaltungen zu informieren, benötigt er hierfür eine explizite Einwilligung.
Ebenfalls einer Einwilligung bedarf es, wenn die Events aufgenommen werden und die Aufnahmen archiviert oder sogar veröffentlicht werden sollen. Das gewählte System sollte diesbezüglich die Möglichkeit bieten, eventspezifische Einwilligungstexte zu verwenden.
- Harmonisierte AV-Verträge (Auftragsdatenverarbeitungsverträge)
Der Kunde, für den Sie das digitale Event durchführen, hat ein erhebliches Interesse daran, dass er und nicht Sie – und schon gar nicht Ihr Dienstleister – Inhaber oder Besitzer der im Rahmen des Events erhobenen oder kommunizierten Daten wird. Dies ist umso problematischer, als die Sammlung von Daten bei vielen digitalen Services zum fest eingepreisten Geschäftsmodell gehört.
Schützen können Sie sich und die Daten Ihrer Kunden und deren Teilnehmer nur mit einem entsprechenden „Auftragsverarbeitungsvertrag“ – kurz AV-Vertrag genannt -, den Sie sowohl mit Ihren Dienstleistern, als auch mit Ihren Kunden abschließen. Hierbei ist es existenziell wichtig, darauf zu achten, dass Sie in dem Vertrag und in den ihm obligatorisch zugehörigen „TOM“ (die Beschreibung der technischen und organisatorischen Maßnahmen, die vom Auftragsverarbeiter garantiert werden, um die Daten zu schützen), Ihrem Kunden nichts zusichern, was nicht auch durch AV-Verträge mit den für das Event eingesetzten Dienstleistern Ihnen gegenüber durch diese garantiert wird.
Bevor Sie das erste digitale Event Ihrem Kunden anbieten, müssen Sie daher zwingend die AV-Verträge mit allen dafür notwendigen Dienstleistern abschließen, um zu wissen, was Sie Ihrem Kunden guten Gewissens in seinem AV-Vertrag zusichern können! Ein besonderes Augenmerk sollte hierbei auf die Datentrennung gelegt werden, also die Frage, wie der Dienstleister die sog. Mandantenfähigkeit seines Systems sicherstellt, die verhindert, dass Daten von verschiedenen Kunden vermischt werden oder durch Unbefugte eingesehen werden können.
- Ein wirksames Löschungskonzept
Ein Aspekt, der oftmals vergessen wird, ist die Frage, wann die Daten wieder gelöscht werden. Sofern keine Einwilligung der Teilnehmer eine längere Aufbewahrungsfrist zu gestatten vorliegt, dürfen die Daten nur solange aufbewahrt werden wie dies für die Zweckerfüllung, also z.B. die Durchführung des Events, notwendig ist. Die kaufmännischen Aufbewahrungsfristen betreffen insofern nur die abrechnungsrelevanten Daten, nicht aber die IP-Adresse oder sonstige personenbezogene Inhalte.
So dürfen z.B. auch keine Teilnehmer-Accounts oder Logindaten für das nächste Event aufgehoben werden – es sei denn die Teilnehmer haben in diese Datenvorhaltung explizit eingewilligt. Daten für statistische Auswertung, etwa zu Teilnehmerzahlen oder der durchschnittlichen Verweildauer bei einzelnen Vorträgen, müssen – ohne entsprechende Einwilligung – vorher anonymisiert werden. Eine aktive Bestätigung, dass und wann die Daten für ein Event gelöscht werden, sollte vertraglich im AV-Vertrag mit dem Dienstleister vereinbart werden.
Das alles klingt in ersten Moment recht aufwendig, allerdings hat man diesen Aufwand nur einmal, und der dadurch erlangte Schutz vor Strafen skaliert mit jedem weiteren Event. Er rentiert sich auf jeden Fall, denn eines zeichnet sich bereits ab: Corona ist ein Beschleuniger von Veränderungen.
Es wird nach Corona kein „Wie früher“ geben, sondern ein „Danach“. Die digitale Komponente wird aus der Veranstaltungswelt nicht mehr verschwinden. Umso wichtiger ist es, dass Sie Entscheidungen gerade jetzt so treffen, dass sie dauerhaft Bestand haben können.
Rechtsanwalt Martin Leber ist u.a. langjähriger Verbandsjurist des degefest e.V. Verband der Kongress- und Seminarwirtschaft.
Anm.d.Red.: Den vorliegenden Ausführungen liegt der Sachstand zur Zeit der Trump-Administration zu Grunde. Änderungen durch die inzwischen neue US-Regierung sind möglich.