Datenschutzerklärung für Whereby

(3 Bewertungen, 5.00 von 5)

Was ist Whereby?

Whereby ist ein browserbasiertes Tool für Online-Meetings. Unternehmen können darüber mit Geschäftspartnern und Kunden chatten, Videokonferenzen abhalten und Dateien austauschen. Teilnehmer müssen sich dabei nicht anmelden oder eine Software installieren. Sie können per Link an Sitzungen teilnehmen. Whereby ist ein Produkt des Anbieters Video Communication Services AS aus Norwegen. Welche datenschutzrechtlichen Vorgaben müssen Unternehmen beachten, wenn sie Whereby nutzen?

Der Punkt "Whereby" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

 

Warum ist Whereby datenschutzrechtlich relevant?

Unternehmen erheben über Whereby verschiedene Userdaten. Je nach Verwendung des Programms zählen dazu unter anderem

  • E-Mail-Adressen,
  • Chat-Nachrichten,
  • IP-Adressen und
  • Dateien.

Unternehmen können über die Software zudem Videomeetings aufzeichnen. Sie erheben so zum Teil personenbezogene Daten. Sie müssen daher verschiedene Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG))  beachten.

Whereby DSGVO-konform verwenden

Um Whereby datenschutzkonform zu nutzen, müssen Unternehmen auf diese Pflichten achten:

Vertrag zur Auftragsverarbeitung abschließen

Unternehmen erheben über Whereby Userdaten und geben diese an den dahinterstehenden Anbieter Video Communication Services AS weiter. Dafür müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Der Vertrag liegt bei Whereby in Form eines Data Processing Agreements (DPA) vor. Unternehmen können dies jedoch nur eingehen, wenn sie über einen Business-Account bei Whereby verfügen. Nutzen sie die Software nicht als Unternehmen, sondern als individueller Nutzer, sieht sich Video Communication Services AS nicht als Auftragsverarbeiter. Unternehmen können dann keinen AV-Vertrag abschließen.

Bei Abschluss des DPA sollten Business-Inhaber darauf achten, dass dies klarstellt,

  • welche Nutzerdaten Whereby erhält und speichert,
  • wie lange es die Daten speichert,
  • warum Whereby die Daten erhebt und speichert und
  • welche Rechte und Pflichten beide Seiten haben.

Datenschutzerklärung anpassen

Ob über Chat-Inhalte, Videoaufzeichnungen oder Dateien – Unternehmen erheben über Whereby Userdaten. Das müssen sie in ihrer Datenschutzerklärung erwähnen. Nach Art. 13 Abs. 1 DSGVO müssen sie dabei unter anderem aufführen,

  • warum sie über Whereby Daten sammeln,
  • welche Daten sie über Whereby sammeln,
  • wie lange sie diese Daten speichern wollen,
  • welche Rechtsgrundlage ihnen die Datenverarbeitung nach der DSGVO erlaubt,
  • dass sie für die Datenweitergabe mit Whereby einen AV-Vertrag geschlossen haben und
  • dass User der Datenerhebung und -speicherung widersprechen können.

Um Nutzern einen besseren Einblick in die Verarbeitung ihrer Daten bei Whereby zu geben, sollten Seitenbetreiber auf die Datenschutzbestimmungen und Nutzungsbedingungen des Anbieters verweisen.

Datensparsamkeit beachten

Unternehmen können User zu Chats und Video-Meetings einladen, ohne dass diese Daten zu ihrer Person angeben müssen. Unternehmen sollten daher nur dann Nutzerdaten abfragen, wenn sie diese unbedingt benötigen. Das schreibt der Grundsatz der Datensparsamkeit der DSGVO vor. Demnach dürfen Unternehmen nur Daten erheben, wenn diese

  • einem erlaubten Zweck dienen,
  • geeignet sind, diesen Zweck zu erfüllen und
  • erforderlich sind, um diesen Zweck zu erreichen.

Daten, die Unternehmen über Whereby erhoben haben, dürfen sie nur so lange speichern, wie sie diese für den angestrebten Zweck benötigen oder es ein Gesetz vorgibt.

In der Praxis sollten Business-Inhaber vor allem Videokonferenzen nicht aufzeichnen. Denn: Auf diese Weise sind Personen eindeutig identifizierbar. Sie erheben so personenbezogene Daten. Sie dürfen Videokonferenzen nur aufzeichnen, wenn sie dabei den Grundsatz der Datensparsamkeit einhalten.

Standardvertragsklauseln prüfen

Whereby verwendet Standardvertragsklauseln, um Datentransfers über seine Software datenschutzkonform zu gestalten. Unternehmen müssen überprüfen, ob die Vertragsklauseln den Vorgaben der DSGVO genügen.

Whereby speichert seine erhobenen Daten in Norwegen und in den USA. Der Datentransfer nach Norwegen entspricht den Vorgaben der DSGVO. Zwar ist Norwegen kein EU-Mitglied. Die DSGVO gilt dort jedoch trotzdem, da Norwegen zum Europäischen Wirtschaftsraum (EWR) gehört und es eine entsprechende Vereinbarung zwischen der EU und dem EWR gibt.

Für den Datentransfer in die USA müssen Unternehmen nicht nur Standardvertragsklauseln mit Whereby abschließen, sondern auch eine sogenannte Risikoabschätzung vornehmen. Dies muss zeigen,  

  • welche Art von Daten Unternehmen an Whereby versenden,
  • welche Datenschutzgesetze in den USA gelten und
  • ob Whereby weitere Maßnahmen nutzt, um Userdaten in den USA zu schützen.

Rechtsprechung zu Whereby

Für Whereby ist diese Rechtsprechung relevant:

Europäischer Gerichtshof zum Privacy Shield

Der Privacy Shield ist nicht geeignet, um Userdaten datenschutzkonform in die USA zu versenden. Das stellte der Europäische Gerichtshof (EuGH) im Sommer 2020 fest. Das Datenschutzniveau der USA entspricht nicht dem der DSGVO. Das ist laut der Richter vor allem darauf zurückzuführen, dass das Land Überwachungsprogramme einsetzt, die über das zwingend erforderliche Maß hinausgehen. Und: Sollten US-amerikanische Behörden oder Unternehmen die Daten von deutschen Nutzern missbrauchen, können sich diese juristisch nicht dagegen wehren.

Datenschutzbehörde Hamburg zum AV-Vertrag

Das Versandunternehmen Kolibri Image hatte einen spanischen Dienstleister beauftragt, um personenbezogene Daten weisungsgebunden verarbeiten zu lassen. Das Unternehmen schloss mit dem Dritten jedoch keinen AV-Vertrag. Es sah sich nicht verpflichtet, den Vertrag selbst aufzusetzen. Die Datenschutzbehörde Hamburg bejahte diese Pflicht jedoch. Sie verhängte daher ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren (17.12.2018).

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der Fußballverein VfB Stuttgart beauftragte mehrere Dienstleister, um Mitgliederdaten verarbeiten zu lassen. Er schloss mit den Dienstleistern jedoch keine AV-Verträge. Diese Pflicht gibt Art. 28 DSGVO jedoch vor. Die Datenschutzbehörde Baden-Württemberg sah daher einen Datenschutzverstoß. Sie sprach ein Bußgeld in Höhe von 300.000 Euro gegen den Verein aus.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6531 Bewertungen, 4.37 von 5)