FOM-Software muss DSGVO-konform sein, sonst gehen die Organisatoren rechtliche Risiken ein. Worauf kommt es im Detail an?
Ein Gastbeitrag von Stephan Schmidt, Fachanwalt für IT-Recht, TCI Rechtsanwälte Mainz
Datenschutz! In den meisten Organisationen ist das wohl eines der am wenigsten geliebten Themen. Und doch muss man sich damit beschäftigen, schon rein aus Gründen der Rechtssicherheit. Auch im Bezug auf FOM-Software ist der Datenschutz ein zentrales Thema, denn Versäumnisse können neben datenschutzrechtlichen Folgen auch zur Anfechtbarkeit der Versammlungsbeschlüsse führen.
Rechtliche Grundlage
Organisationen benötigen für die Durchführung eines FOMs mindestens zwei rechtliche Grundlagen:
Erstens die Rechtsgrundlage für die Durchführung eines FOMs per se. Diese ist durch das sogenannte Corona-Gesetz (§ 32 Absatz 1 Satz 1 BGB) geschaffen worden. Dadurch sind FOMs rechtlich zulässig, auch ohne eine entsprechende Satzungsregelung. Da das Corona-Gesetz zeitlich bis zum 31. August 2022 begrenzt ist und die Rechtslage danach noch nicht eindeutig geklärt wurde, sollte die Satzung für zukünftige FOMs dennoch angepasst werden.
Daneben benötigen Organisationen noch eine datenschutzrechtliche Grundlage, die sich meist aus Art. 6 DSGVO ergibt. Hier finden sich verschiedene Rechtsgrundlagen, wie beispielsweise das berechtigte Interesse einer Organisation oder die Vertragserfüllung. Ein Verein kann beispielsweise argumentieren, dass die Vereinsmitglieder aus ihrer Mitgliedschaft bestimmte Teilhaberechte haben, und das FOM daher der Vertragserfüllung dient.
Einkaufen oder selbermachen?
Das ist die erste Frage, die sich FOM-Organisatoren in puncto Software stellen müssen. Aus Datenschutzgründen wäre es vielleicht am besten, wenn wir alle unsere eigenen, für unsere Bedürfnisse maßgeschneiderten IT-Lösungen aufsetzen. In der Praxis stehen den meisten Unternehmen, Vereinen und Verbänden dafür jedoch weder personelle, noch technische und finanzielle Kapazitäten zur Verfügung. Damit ist diese Frage für den Großteil der FOM Magazin-Leser bereits beantwortet.
Auswahl eines Softwareanbieters
Für die Durchführung des FOMs muss der Organisator in der Regel Teilnehmerdaten an den Softwareanbieter übermitteln, sofern es sich nicht um eine Lösung handelt, die der Organisator auch selbst betreibt und hosted. Bei der Übermittlung und Verarbeitung von Teilnehmerdaten muss die Einhaltung der DSGVO immer gewährleistet sein. Bei der Auswahl des Anbieters gibt es daher eine ganze Reihe an datenschutzrechtlichen Überlegungen.
Unternehmenssitz des Anbieters
Eine zentrale Frage ist der Unternehmenssitz des Anbieters. Je nach Ausgestaltung des Vertrags über die Nutzung eines Dienstes ist es schwierig zu erkennen, was mit den Daten passiert und wohin die Daten eventuell weitergeleitet werden.
Mit Blick auf den Sitz grundsätzlich unproblematisch sind Anbieter aus dem Europäischen Wirtschaftsraum (EWR). Sie unterliegen der DSGVO und werden datenschutzrechtlich als „sicher“ betrachtet.
Auch sichere Drittländer sind unproblematisch, dazu gehören derzeit Großbritannien, Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz und Uruguay.
Anbieter aus allen anderen Drittstaaten sind problematisch, dazu gehört auch die USA.
Lange Rede kurzer Sinn: Die meisten Organisationen sollten einen Anbieter aus einem EWR-Staat oder einem sicheren Drittstaat wählen. Andernfalls holt man sich zu viele Probleme ins Haus.
Wenn Sie sich für die Details interessieren, können Sie hier weiterlesen. Andernfalls können Sie direkt zum nächsten Punkt “Rechenzentrum” springen.
Probleme mit unsicheren Drittländern
Die Übermittlung von personenbezogenen Daten in Drittländer ist nur dann zulässig, wenn garantiert werden kann, dass im Zielland ein angemessenes Datenschutzniveau existiert.
Solche zusätzlichen Garantien sind beispielsweise technische Lösungen wie Verschlüsselungen und/oder vertragliche Garantien. Verschiedene Anbieter haben dazu in ihren Datenschutzvereinbarungen Regelungen eingefügt, die Dinge wie Datenanfragen oder Schadensersatzansprüche regelt. Ob diese zusätzlichen Garantien ausreichen, ist bisher nicht gerichtlich entschieden.
Ein potenzieller Ausweg ist die Nutzung von EU-Standarddatenschutzklauseln, die im Juli 2021 von der EU-Kommission veröffentlicht wurden. Aber auch hier besteht noch Unsicherheit, denn es gibt bisher kaum Erfahrungswerte, wie Gerichte mit Klagen gegen diese Standardklauseln verfahren.
Zudem ist bei Anbietern aus Drittländern unter Umständen eine Bewertung der Rechtsordnung dieses Drittlandes erforderlich (Transfer Impact Assessment, TIA). Für kleine Unternehmen oder Vereine ist das nicht praktikabel, denn sie verfügen nicht über die Kapazitäten und das Budget, um die Rechtsordnung eines Drittlandes zu bewerten.
Dazu kommen weitere Schwierigkeiten: Zum Beispiel muss man begründen können, warum man auf einen Anbieter aus einem Drittland zurückgreift, obwohl es Alternativen im EWR oder in sicheren Drittländern gibt. Der günstigere Preis allein reicht dabei als Kriterium nicht aus.
Unter Umständen müssen Sie von den Teilnehmern auch eine Einwilligung einholen, dass Daten in Drittländer übermittelt werden dürfen. Diese Einwilligung ist aber jederzeit widerrufbar. Vor allem bei FOMs stünden Sie dann vor dem Problem, dass man die Versammlung nicht durchführen kann, wenn Teilnehmer mit Teilnahme- oder Stimmrechten ihre Einwilligung nicht geben oder sie widerrufen.
Eine weitere Möglichkeit wäre, einen Plattformanbieter im EWR-Raum zu wählen und dann auf einzelne Services aus Drittländern zurückzugreifen, beispielsweise auf verschlüsselte Videofunktionen.
Rechenzentrum
Neben dem Unternehmenssitz ist auch der Ort des genutzten Rechenzentrums entscheidend. Man sollte dabei auch nach den Rechenzentren der Subunternehmer (zum Beispiel AWS oder Google-Cloud) und den Content Delivery Networks fragen, denn hier verstecken sich dann manchmal doch wieder Drittlandtransfers.
Technische Features
Aus datenrechtlicher Sicht sollte eine Software bestimmte Einstellungen erlauben:
● Rechte und Rollen: Selbstverständlich sollte nicht jeder Teilnehmer die gleichen Rechte, wie z.B. der Organisator, haben.
● Datenschutzsparsame Einstellungen: Das sind z.B. die verschlüsselte Übertragung von Daten oder die Nutzung von Passwörtern für Meetingräume
● Ton und Bild der Teilnehmenden: Sollten beim Eintritt standardmäßig abgestellt sein
● Technisch-organisatorischen Maßnahmen: Idealerweise kann der Anbieter eine ISO-Zertifizierung vorweisen, z.B. auf Basis von ISO 27001, ISO 27018, oder Common Criteria gemäß ISO 15408. Das erspart dem Organisator Prüfungsaufwand.
● Drittanbieter: Welche Drittanbieter(-tools) werden genutzt oder können genutzt werden?
● Telemetriedaten: Wohin werden Telemetrie- und Nutzungsdaten übertragen? Wofür werden diese genutzt?
● Hintergrund: Sind Einblicke in das private Umfeld möglich oder kann der Hintergrund unproblematisch ausgeblendet werden?
● Weiterverarbeitung: Wird sichergestellt, dass keine durch Vertraulichkeitsvereinbarungen geschützten Informationen eines Vertragspartners im webbasierten Dienst verarbeitet werden?
● Abstimmungen & Wahlen: Wie wird abgestimmt? Sind geheime Wahlen möglich? Wie wird die Abstimmung dokumentiert?
● Löschung der Daten: Was passiert mit den Daten nach dem virtuellen Event? Wann werden Daten gelöscht und wie wird die Löschung bestätigt?
Papierkram
Ein weiteres Thema, mit dem Sie sich sicherlich gerne beschäftigen: Bürokratie!
Zustimmung
Ist ein Anbieter gefunden, müssen die Datenschutzbeauftragten zustimmen. Wenn Mitarbeiter an der Versammlung teilnehmen, muss auch der Betriebs- bzw. Personalrat eingebunden werden (§ 87 Abs. 1 Nr. 6 BetrVG).
Auftragsverarbeitungsvertrag
Teil des Vertrags mit dem jeweiligen Softwareanbieter muss ein Auftragsverarbeitungsvertrag sein. Darin wird geregelt, wie mit den Daten umgegangen wird: Wie werden sie aufgezeichnet und gespeichert, wann werden sie gelöscht, wie wird mit Datenabfragen umgegangen?
Der Vertrag wird nur mit dem Hauptvertragspartner geschlossen, der sich dann wiederum um die Compliance seiner Subunternehmer kümmern muss.
Datenschutzfolgeabschätzung
Sollten für das FOM sensible Daten eingeholt werden (zum Beispiel Finanzdaten), muss unter Umständen eine Datenschutzfolgeabschätzung durchgeführt werden. Dadurch sollen Risiken für die Rechte und Freiheiten der Teilnehmenden beschrieben, bewertet und eingedämmt werden.
Datenschutzhinweise nach Art. 13 DSGVO
Ggf. müssen Sie Datenschutzhinweise verschicken, welche die Teilnehmer darüber aufklären, wie beispielsweise Daten verarbeitet werden, welchen Anbieter sie nutzen, wo er sitzt und wann Daten gelöscht werden.
Sie sollten in diesen Datenschutzhinweisen nur informieren, jedoch keine Einwilligung „in die Datenschutzhinweise“ einholen, denn eine solche Einwilligung kann jederzeit widerrufen werden und Sie brauchen auch rechtlich keine Einwilligung in Datenschutzhinweise, die ja nur über die datenschutzrechtlichen Gegebenheiten informieren sollen.
Verzeichnis der Verarbeitungstätigkeiten
Das gewählte Tool muss in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden.
Werbeeinwilligung
Sie können einwilligungsbasiert weitere Daten abfragen, z.B. eine Werbeeinwilligung für den Versand eines Newsletters. Die Einwilligung darf aber nicht mit der Erlaubnis der Teilnahme am FOM verknüpft werden. Für solche Einwilligungen benötigen Sie in der Regel einen Double-Opt-In.
Vorbereitung und Durchführung
Datensparsamkeit
Während der Vorbereitung des FOMs sollten Sie nur die Daten abfragen, die Sie wirklich für die Durchführung brauchen. Sie sollten beispielsweise nicht nach dem Geburtsdatum fragen, wenn es keine Altersbeschränkung für das FOM gibt. Halten Sie die Datenabfrage so schlank wie möglich.
Teilnehmerlisten
Teilnehmerlisten dürfen nur von Berechtigten eingesehen und verwaltet werden. Hierfür ist wiederum die Zuweisung von Rollen und Rechten im Tool und in einer separaten Teilnehmerregistrierung von Bedeutung.
Sie sollten ebenfalls sicherstellen, dass nur berechtigte Personen Einladungen erhalten und dass Teilnehmerlisten nicht öffentlich einsehbar sind. Die Teilnehmerliste darf außerdem nur dann veröffentlicht werden, wenn die Teilnehmer ausdrücklich zugestimmt haben.
Wortmeldungen
Während der Versammlung haben andere Teilnehmer zwar ein berechtigtes Interesse an der Kenntnis der Identität des jeweiligen Fragestellers, es gibt jedoch keine gesetzliche Verpflichtung, diese zu offenbaren.
Eine mögliche Lösung ist, dass Sie die Handhabung von Fragen in der Einladung und den Datenschutzhinweisen erläutern und auch auf das Recht hinweisen, der namentlichen Nennung im Einzelfall gemäß Art. 21 Abs. 1 DSGVO zu widersprechen.
Bild- und Tonaufnahmen
Bild- und Tonaufnahmen sind nur nach der Einwilligung der Aufgenommenen zulässig. Teilnehmer müssen über Aufzeichnungen, auf denen sie möglicherweise sichtbar sind, deutlich und vor Beginn dieser Aufzeichnung informiert werden (auch wenn dies nur bei Fragen der Fall ist).
Die Einwilligung darf bei FOMs nicht verpflichtend sein, sprich eine Teilnahme muss auch ohne Aufnahme möglich sein.
Eine mögliche Abkürzung
Fühlen Sie sich von all diesen Anforderungen erschlagen? Keine Sorge, das geht nicht nur Ihnen so.
Zum Schluss aber noch eine gute Nachricht: Die meisten Herausforderungen können Sie einfach lösen, indem Sie den richtigen Anbieter wählen, der ihnen ein DSGVO-konformes All-in-One-Paket liefert. Selbst in diesem Fall sollten allerdings trotzdem die Details prüfen, denn letztendlich sind Sie als Event-Organisator für den Datenschutz Ihres FOMs verantwortlich.
