Aus Präsenz- werden Online-Kurse: Seminaranbieter stellen aufgrund der Corona-Krise ihr Angebot an Weiterbildungen zunehmend auf online um. Das schafft nach dem Lockdown im Frühjahr 2020 die nötige Flexibilität und Sicherheit, den Seminarbetrieb aufrechterhalten zu können. Doch was bei der Umstellung Probleme bereitet und oftmals nicht genau unter die Lupe genommen wird, ist der Datenschutz bei Online-Seminaren. Worauf zu achten ist, verrät Ralf Schulze, Geschäftsführer der Kedua GmbH in Berlin, die sich auf Datenschutz-Seminare spezialisiert hat.
Herr Schulze, der Datenschutz stellt für viel Weiterbildungsanbieter eine Hürde bei der Umsetzung von Online-Seminaren dar. Welche grundlegenden Dinge gilt es zu beachten?
Ralf Schulze: In der Regel wird man für Online-Seminare häufig auf bestehende Plattformen zurückgreifen. Weit verbreitete Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx können jedoch auch in Zeiten der Corona-Pandemie nicht ohne Weiteres eingesetzt werden. Da auch Videosignale zu den personenbezogenen Daten gehören, müssen hier die Regeln der DSGVO beachtet werden. Bei den genannten Angeboten wird ein “fertiges Paket” zur Verfügung gestellt. Aus datenschutzrechtlicher Sicht handelt es sich hierbei um eine Auftragsverarbeitung. Demzufolge ist ein Vertrag zur Auftragsverarbeitung gem. Artikel 28 Abs. 3 abzuschließen. Diese Verträge werden zwar bereitgestellt, leider sind dort oftmals Klauseln enthalten, die zu beanstanden sind. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat die gängigen Systeme analysiert und in einer Übersicht mit einem Ampelsystem versehen.
Welche Alternativen zu bestehenden Plattformen können Sie empfehlen?
Ralf Schulze: Ideal wäre es, einen eigenen Service aufzusetzen. Hier bieten sich Open-Source-Lösungen wie z. B Jitsi meet oder Big Blue Button an. Wenn diese dann auf einer eigenen Infrastruktur betrieben werden, entfällt die Auftragsverarbeitung. Alternativ können auch kommerzielle Angebote auf dieser Basis eingesetzt werden.
Grundsätzlich muss natürlich auch die Rechtmäßigkeit der Datenverarbeitung gemäß DSGVO nachgewiesen werden. Eine sehr gute Hilfestellung bietet hierbei die kürzlich von der Datenschutzkonferenz veröffentlichte Orientierungshilfe.
Im Sommer ist das Schrems-II-Urteil gefallen. Was hat es damit auf sich?
Ralf Schulze: Mit diesem Urteil wurde das Privacy-Shield-Abkommen mit den USA als unzulässige Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA deklariert. Da zahlreiche Anbieter ihre Angebote in den USA hosten, wird eine andere Rechtsgrundlage benötigt. Hier wären die Standardvertragsklauseln denkbar. Diese sind jedoch auch aufgrund der nationalen Gesetzeslage in den USA ebenfalls umstritten. Man sollte also versuchen, ohne US-Anbieter auszukommen.
Worauf müssen Kursanbieter in Bezug auf Datenschutz zusätzlich bei der Durchführung von Online-Kursen achten?
Ralf Schulze: Das Grundprinzip der Datenminimierung wäre hier ein Ansatzpunkt. Neben der eigentlichen Durchführung des Online-Kurses bieten einige Plattformen auch eine Teilnehmerverwaltung an. Hier sollte genau geprüft werden, ob dieser Service genutzt werden muss bzw. welche Daten Pflichtangaben sind. Hier spielt die Problematik Serverstandort Drittland (also außerhalb der EU) bzw. unzureichender Vertrag zur Auftragsverarbeitung wieder eine Rolle.
Wie sieht es derzeit mit den Kontrollen sowie Vergehen hinsichtlich Datenschutzbestimmungen im Bereich Online-Seminare aus?
Ralf Schulze: Hier schlägt wieder der Föderalismus zu. Die Kontrollen sind in den einzelnen Bundesländern sicher unterschiedlich stark ausgeprägt. Da sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit bereits mit dem Thema auseinandergesetzt hat, wird hier ein strengerer Maßstab anzusetzen und gegebenenfalls auch eine Kontrolle zu erwarten sein. In anderen Bundesländern wird das aufgrund der aktuellen Corona-Situation vielleicht etwas entspannter angegangen werden. Da jedoch datenschutzkonforme Lösungen verfügbar sind, würde ich vom Einsatz von Zoom, Teams und Co. abraten.