Was macht WebinarJam?
WebinarJam ist eine webbasierte Videokonferenz-Software. Unternehmen können damit Präsentationen vor bis zu 5.000 Nutzern gleichzeitig halten. Daneben verfügt WebinarJam über zahlreiche Funktionen zur Analyse gehaltener Webinare sowie zur Integration anderer Apps. Die Software stammt vom Anbieter Genesis Digital und verfügt über rund 50.000 Kunden aus 40 Ländern. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie WebinarJam verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum WebinarJam datenschutzrechtlich relevant ist
Melden sich User für ein Webinar an, erfasst und speichert das Tool ihre Daten. Welche Daten das sind, entscheidet die Art der Anmeldung. Nutzer können sich beispielsweise über einen Newsletter, ein klassisches Anmeldeformular oder soziale Netzwerke wie Facebook und YouTube für eine Videokonferenz registrieren. Unternehmen erheben so personenbezogene Daten wie
- Namen,
- E-Mail-Adressen und
- IP-Adressen
und geben diese an WebinarJam weiter. Zudem kann der Software-Anbieter auf die Gesprächsinhalte der Videokonferenzen zugreifen. Unternehmen müssen daher umfassende Datenschutzpflichten erfüllen.
Die Daten, die WebinarJam erhält, können zudem auf Servern in den USA landen. Nach aktueller Rechtslage gilt die USA als unsicheres Drittland mit einem unzureichenden Datenschutzniveau. Unternehmen müssen daher Maßnahmen ergreifen, um die personenbezogenen Daten zu schützen.
So können Unternehmen WebinarJam DSGVO-konform verwenden
Die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) schreiben folgende Pflichten vor, wenn Unternehmen WebinarJam verwenden:
Nutzer-Einwilligung in Cookies einholen
WebinarJam verwendet nicht-funktionale Cookies. Dafür benötigen Seitenbetreiber die Einwilligung ihrer User. Sie müssen diese per Opt-In einholen. Das heißt: Sie müssen Nutzer aktiv die Verwendung von Cookies in ihrem Browser bestätigen lassen. Das können sie beispielsweise über eine nicht-vorangekreuzte Checkbox vornehmen.
Vertrag zur Auftragsverarbeitung abschließen
Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) regelt die Rechte und Pflichten der Verantwortlichen, wenn Unternehmen personenbezogene Daten an einen Dritten weitergeben, um diese weisungsgebunden verarbeiten zu lassen. Nutzen Unternehmen WebinarJam, müssen sie mit dem Anbieter einen derartigen Vertrag schließen. Art. 28 DSGVO schreibt dabei vor, dass der Vertrag angibt,
- welche Userdaten WebinarJam erhält,
- warum es die Daten speichert und
- wie lange es die Daten speichert.
Darüber hinaus sollte der Vertrag grundsätzlich festhalten, welche Rechte und Pflichten beide Parteien für den Schutz der Daten haben.
Datenschutzerklärung anpassen
Unternehmen sollten in ihrer Datenschutzerklärung festhalten, dass sie mit dem Anbieter von WebinarJam einen AV-Vertrag geschlossen haben. In diesem Kontext sollten sie erklären,
- warum sie Userdaten speichern und an WebinarJam weitergeben,
- wie lange sie die Daten speichern,
- welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. a DSGVO) und
- dass Nutzer der Datenerhebung und Datenspeicherung jederzeit widersprechen können.
WebinarJam datensparsam verwenden
Unternehmen können bei WebinarJam wählen, welche Daten sie von Usern für eine Videokonferenz erheben. Dabei sollten sie den Grundsatz der Datensparsamkeit beachten. Für die Praxis heißt das: Sie sollten die Software so konfigurieren, dass sie möglichst wenige Daten von Nutzern sammeln und speichern. Unternehmen sollten daher beispielsweise keine Videokonferenzen aufzeichnen. Das ist datenschutzrechtlich nur zulässig, wenn es
- einem erlaubten Zweck dient,
- geeignet ist, diesen Zweck zu erfüllen und
- erforderlich ist, diesen Zweck zu erreichen.
Gespeicherte Daten dürfen Unternehmen zudem nur so lange aufbewahren, wie es für den angestrebten Zweck tatsächlich notwendig ist.
Standardvertragsklauseln prüfen
Der Anbieter von WebinarJam – Genesis Digital – hat seinen Sitz in den USA. Er speichert erhobene Daten daher auf dort ansässigen Servern. Um den Datentransfer von der EU in die USA datenschutzkonform zu gestalten, nutzt Genesis Digital Standardvertragsklauseln. Unternehmen sollten diese überprüfen. Sie müssen nachweisen können, dass die erhobenen Userdaten durch die Standardvertragsklauseln in den USA genauso geschützt sind wie hierzulande durch die DSGVO. Dazu müssen sie auch eine sogenannte Risikoabschätzung vornehmen. Diese sollte offenlegen,
- welche Art von Daten Unternehmen an Genesis Digital in den USA weiterleiten,
- welche Rechtslage in den USA herrscht und
- ob Genesis Digital weitere Maßnahmen ergreift, um Nutzerdaten aus WebinarJam zu schützen.
Rechtsprechung zu WebinarJam
Soweit ersichtlich, liegt bisher keine Rechtsprechung zum Datenschutz von WebinarJam vor. Für die Software ist jedoch diese Rechtsprechung relevant:
Datenschutzbehörde Hamburg zum AV-Vertrag
Um rechtlich zulässig Userdaten an den Anbieter der Software weiterzugeben, müssen Unternehmen in jedem Fall einen AV-Vertrag mit diesem schließen. Ansonsten droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder alternativ von bis zu 2 Prozent ihres Jahresumsatzes. Das gibt Art. 83 Abs. 4 lit. a DSGVO vor. Die Datenschutzbehörde Hamburg hat für einen fehlenden AV-Vertrag bereits ein Bußgeld ausgesprochen. Ein deutsches Unternehmen war davon ausgegangen, dass ein in Anspruch genommener Dienstleister dafür verantwortlich war, den AV-Vertrag aufzusetzen. Die Pflicht obliegt jedoch beiden Parteien. Die Datenschutzbehörde sprach daher eine Strafe in Höhe von 5.000 Euro zzgl. 250 Euro Gebühren aus.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Um Mitgliederdaten weisungsgebunden verarbeiten zu lassen, engagierte der Fußballclub VfB Stuttgart zwischen 2016 und 2018 mehrere Dienstleister. Er schloss mit diesen jedoch keine AV-Verträge. Die Datenschutzbehörde Baden-Württemberg kam zu dem Schluss: Der VfB verstieß so gegen die DSGVO. Die Behörde legte daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro fest.
Europäischer Gerichtshof zur Verwendung von Cookies
WebinarJam verwendet Cookies, die nicht essenziell für den Seitenbetrieb sind. Es handelt sich um Tracking Cookies. Dafür benötigen Seitenbetreiber stets die Erlaubnis der Nutzer. Das entschied der Europäische Gerichtshof (EuGH) im Oktober 2019. Dabei verwies das Gericht auch darauf, dass es keine Rolle spielt, ob Seitenbetreiber mit Tracking Cookies personenbezogene oder anonyme Daten erheben (Az. C-673/17).
Bundesgerichtshof zur Verwendung von Cookies
Der Bundesgerichtshof (BGH) betonte in seiner Entscheidung vom Mai 2020, dass Tracking Cookies stets die Einwilligung von Nutzern benötigen. Um die Einwilligung einzuholen, dürfen Seitenbetreiber zudem nur ein nicht-vorangekreuztes Kästchen verwenden (I ZR 7/16).
Europäischer Gerichtshof zum Privacy Shield
Unternehmen versenden über WebinarJam Nutzerdaten in die USA. Als rechtliche Grundlage können sie dafür nicht den Privacy Shield verwenden. Denn: Der EuGH erklärte diesen im Juli 2020 für unwirksam. Das ist vor allem auf die dortigen Überwachungsprogramme zurückzuführen. Diese sind nicht auf das zwingend erforderliche Maß beschränkt. Für die Praxis bedeutet das: Der US-amerikanische Datenschutz entspricht nicht dem der DSGVO (Az. C-311/18).