Veranstaltungen, Meetings und Webinare Online - Fragenkatalog zum Datenschutz für die Anbieterauswahl

Photo by Chris Montgomery on Unsplash
Dr. Thomas Helbing
Mittwoch, 23. September 2020 - 17:04

Sollen Veranstaltungen, Seminare, Versammlungen oder andere Meetings online abgehalten werden, stehen eine Vielzahl von Anbietern zur Auswahl. Um bei der Auswahl die Datenschutz bzw. DSGVO-Konformität zu berücksichtigen, kann der nachfolgende Fragebogen genutzt werden. Dieser kann im Vorfeld an Anbieter geschickt werden. Der Fragebogen kann auch von Datenschutzbeauftragtern und Datenschutz-Beratern für Kontrollen oder zur Prüfung der DSGVO-Konformität genutzt werden.

1. Anbieter

  1. Hat der Anbieter seinen Sitz in einem Land, das nicht Mitglied des EWR (Europäischer Wirtschaftsraum) ist?
  2. Setzt der Anbieter bei der Leistungserbringung Subunternehmer (einschließlich verbundener Unternehmen) mit Sitz in einem Land außerhalb der EU ein (z.B. Hoster, technischer Dienstleister, Supportdienstleister, Muttergesellschaft)? Wenn ja:
    1. Welche (Land, Firma, Anschrift)?
    2. Wie wird dort ein angemessenes Schutzniveau im Sinne der Art. 44 ff. DSGVO sichergestellt?
    3. Kann der Kunde mit dem Subunternehmer einen direkten Vertrag gemäß den EU Standardvertragsklauseln schließen?

2. Auftragsverarbeitung

  1. Ist der Anbieter bereit, mit dem Kunden einen Vertrag zur Auftragsverarbeitung (nach Art. 28 DSGVO) gemäß dem Muster des Kunden (Anlage) zuschließen? Ggf. mit welchen Änderungen?
  2. Falls Ziffer mit „nein“ beantwortet wird: Bitte den eigenen Muster-Vertrag zur Auftragsverarbeitung des Anbieters bereitstellen.
  3. Werden Daten in Rechenzentren außerhalb des EWR gespeichert oder sonst verarbeitet? Wenn ja, wo befinden sich diese?

3. Datensicherheit

  1. Liegt eine schriftliche Dokumentation der Datensicherheitsmaßnahmen (nach Art. 32 DSGOV) vor? Bitte beifügen.
  2. Wurde eine externe Zertifizierung der Datensicherheit durchgeführt? Bitte ggf. Zertifikat beifügen.
  3. Wird die Dokumentation nach Ziffer 3.1 zum Bestandteil des Auftragsverarbeitungsvertrags gemacht?
  4. Erfolgt eine Ende-zu-Ende Verschlüsselung?
  5. Erfolgt eine Transportverschlüsselung (zwischen Endgerät des Teilnehmers und den Servern des Anbieters)?
  6. Erfolgt eine Verschlüsselung lokal gespeicherter Daten (auf dem Endgerät des Nutzers oder auf den Server des Anbieters)?
  7. Welche Verschlüsselungstechniken (Algorithmus, Schlüssellänger etc.) werden genutzt?

4. Teilnahme

  1. Welche Daten müssen Teilnehmer zwingend bereitstellen, um an einer Veranstaltung teilzunehmen?
  2. Ist die Teilnahme rein Browserbasiert möglich?
  3. Muss/kann der Teilnehmer auf seinem Endgerät eine Software (z.B. Browser Add-On, native mobile App) installieren? Wenn ja, welche?
  4. Wie wird sichergestellt, dass nur berechtigte Personen teilnehmen können (individueller Link mit Token, zusätzliches Passwort, etc.)?
  5. Gibt es einen Warteraum, in den neue Teilnehmer zunächst eintreten, bevor sie vom Moderator in die Veranstaltung eingelassen werden?
  6. Können Teilnehmer Inhalte (Ton, Bild) aufzeichnen (bitte Funktionalität erläutern)?
  7. Werden Teilnehmer bei einer Sprach- und/oder Bildaufzeichnung vom System vorab gewarnt oder um Zustimmung gebeten?
  8. Beinhaltet die Lösung eine Aufmerksamkeitsanzeige, die es ermöglichen soll, zu erkennen, ob Teilnehmende der Videokonferenz folgen?
  9. Kann verhindert werden, dass Teilnehmer Aufzeichnungen erstellen?
  10. Besteht eine Funktion, mit der der Hintergrund verunschärft oder ersetzt wird?

5. Metadaten / Tracking und Analytics

  1. Welche Metadaten wie z.B. IP Adresse, Einwahlzeitpukte und -dauer, Endgerätedaten oder Tracking/Analysedaten („Telemetriedaten“) werden bei der Nutzung des Dienstes (und ihrer Apps) erhoben?
  2. Kann die Erhebung von Telemetriedaten unterbunden werden?
  3. Behält sich der Anbieter vor, Telemetriedaten auch für eigene Zwecke (Produktverbesserung und -entwicklung, Fehlererkennung und -behebung) zu nutzen? Wenn ja, für welche?

6. Löschung

Welche Funktionalität zur Löschung von Daten (Metadaten, Profildaten, Inhaltsdaten) bietet das System?

7. Sonstiges

  1. Ist es möglich, alle zu einer Person im System gespeicherten Daten zu exportieren (PDF, Excel, Anzeige am Monitor)?
  2. Ist sichergestellt, dass der Anbieter die Teilnehmerdaten (z.B. E-Mail, Telemetriedaten) nicht für werbliche Zwecke nutzt?
  3. Stellt der Anbieter eine Informationssammlung bereit, in der alle für den Kunden nach Art. 13, 14 DSGVO benötigten Daten enthalt sind (z.B. DSGVO FAQ, Whitepaper)? Bitte ggf. beifügen.
  4. Hat der Anbieter eine eigene Datenschutzerklärung für den Betrieb des Systems (einschließlich Apps) nach art. 13, 14 DSGVO (bitte beifügen)?
Stichwörter:
DSGVO Online Meeting