ZOOM®, TEAMS®, GoToMeeting® & WebEx® erhalten rote Ampel von Berliner Datenschutzbeautragten
DSGVO-konforme Webinarsoftware im Training

 

INHALT

DIE PRAGMATISCHE SEITE: WAS, WENN TRAINER DIE WEBINARPLATTFORM VORGESCHRIEBEN BEKOMMEN?
– Zu dir oder zu mir?
ÜBERSICHT: ANBIETER FÜR WEBINAR- / TELECONFERENCING-PLATTFORMEN, DIE IN DEUTSCHLAND SITZEN ODER EU HOSTING ZULASSEN
– Ob Teilnehmer mit Software oder Browser teilnehmen hat viele Konsequenzen
– Wie sicher ist Ende-zu-Ende Verschlüsselung wirklich?

– Die aktuelle Anbieterliste “Videokonferenz- & Webinarplattformen mit Hosting in der EU” ist hier.


Am 03.07.2020 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein brisantes Dokument veröffentlicht. Es handelt sich um Hilfestellung zur Prüfung von Videokonferenzlösungen für entsprechend Verantwortliche im Land Berlin. ZOOM®, TEAMS®, eine Variante von Cisco WebEx® sowie GoToMeeting® erhalten im Ampelsystem eine “rote Ampel”.

“Mängel, die eine rechtskonforme Nutzung des Dienstes ausschließen”


Die negative Einstufung “rot” bekamen Angebote, “bei denen Mängel vorliegen, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern”. Dies sei etwa der Fall, wenn “nach dem Vertrag die Anbieter

  • Auftragsdaten auch zu eigenen Zwecken verarbeiten,
  • der Vertrag Datenlöschungen nur verspätet oder eingeschränkt vorsieht oder
  • die Anforderungen an die Einbindung von Subunternehmern derzeit nicht ausreichend ausgestaltet sind und voraussichtlich Änderungen in den Verträgen zwischen Anbietern und Subunternehmern erforderlich sind.”

Der Fokus der Kurzprüfungen lag im Bereich der Rechtskonformität der Auftragsdatenverarbeitungsverträge der Anbieter. Unter anderem stellt die Veröffentlichung fest, dass “nach derzeitigem Entwicklungsstand alle betrachteten Dienste mit Ausnahme von Wire® (Schweiz) in der Standardkonfiguration für den Austausch von Informationen mit hohem Schutzbedarf nicht geeignet” sind.

Für Trainer*innen ist es allerdings wichtig zu verstehen, dass bei Weiterbildungsmaßnahmen oder Trainingsmaßnahmen nicht immer ein hoher Schutzbedarf vorliegen muss. Das gesamte PDF der Stelle “Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten” finden Sie genau hier. Wichtig ist der öffentlichen Stelle aus Berlin darauf hinzuweisen, dass selbst, wenn keine rechtlichen Mängel entdeckt wurden, dies nicht “bedeutet (…), dass diese nicht vorliegen”.

Weiter schreiben die Datenschützer, dass die Verantwortlichen “nicht von ihren gesetzlichen Pflichten” entbunden sind, die Konformität für den eigenen Fall zu prüfen. Das absolut lesenswerte Dokument betont, dass die Angebote nicht umfassend geprüft wurden “insbesondere erfolgte keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärungen.”



DIE PRAGMATISCHE SEITE: WAS, WENN TRAINER DIE WEBINARPLATTFORM VORGESCHRIEBEN BEKOMMEN?

Die rechtliche Situation ist also komplex. Gerade weil dies so ist, bekommen wir Trainer von Kunden manchmal vorgegeben, welche Plattform wir zu nutzen haben: Viele Betriebe haben neben funktionalen viele rechtliche Abwägungen hinter sich. Wenn Tools vorgegeben werden, ist das allerdings nicht immer zum Vorteil für ein Online-Training: Was ich selbst und manche unserer Trainer*nnen in den Trainingsprojekten erleben, reicht von sehr guter Zusammenarbeit bis hin zu frustrierenden Erlebnissen.

Die meisten unserer Kunden bieten ja eine für die Erwachsenenbildung sinnvolle Plattform an, die wir im Training auch gut nutzen können. Manchmal stößt man als Trainerin aber auch nur auf gefährliches Halbwissen bei den Kunden. “Wir haben keine Lizenz für die Webinarplattform, aber das ging auch immer so ganz gut. Kriegen Sie schon hin.”


“Bitte schulen Sie auf unserer ungeeigneten Plattform!”


Ein sinngemäßes Zitat einer Trainerin: „Mein Kunde zwingt mich, deren hauseigenes Webinarsystem zu nutzen. Sie hosten es auf einem eigenen Server. Es ist zu langsam. Der Ton ist immer wieder abgerissen, Break-Out-Rooms – Fehlanzeige. Besonders toll gelaufen ist das Training jetzt nicht.“ Gehört habe ich auch schon diese Aussagen, hier sinngemäß der / die IT-Leiter*in eines großen Konzerns: „Wir haben zigtausend Dollar in unser System investiert. Wenn ein Trainer jetzt irgendwelche Break-Rooms will, dann geht das eben nicht.“

Kurz gesagt: Während wir Trainer am liebsten unsere eigene Webinarsoftware zu jedem Kunden mitnehmen würden, haben die meisten Kunden schon ein eigenes Videokonferenz-System. Dieses System wurde u. a. mit Blick auf Funktionsreichtum und Konformität mit geltenden Datensicherheits und -schutzegesetzen ausgewählt. Das eingesetzte Webinarsystem ist zwar möglicherweise kaum für die Erwachsenenbildung geeignet, weil es der Hersteller dafür nie konzipiert hatte. Das allerdings ist dem Kunden oft nicht klar.

 

 

Kundenunternehmen, insbesondere Konzerne, haben in einigen Fällen schon große Summen in eine Unified Communications Lösung z.B. von Cisco oder einem anderen Hersteller investiert. Diese Lösung deckt dann meist 90% der Kommunikationsbedürfnisse des Hauses ab. Dazu gehören unter anderem IP-Telefonie, Foren für Teamarbeit und Dateiaustausch, Videokonferenzen, Funktionen für werbliche Massenveranstaltungen und Sicherheitsmerkmale wie Kommunikations-Verschlüsselung. Für Ihren Kunden ist, außer diesen Faktoren dann noch der Datenschutz und die Datensicherheit wichtig. Was bedeutet dies für Trainingsinstitute und Trainer*innen? Meiner Meinung nach ergeben sich drei Konsequenzen:


  • 1) Früh ansprechen und testen:
    Erfragen Sie bei neuen Kunden so früh wie möglich, welches System dort als Schulungsplattform, Webinarsystem oder LMS präferiert wird.

  • 2) Abwägen:
    Überlegen Sie sich bei wichtigen Neukunden zweimal, ob Sie Ihr Lieblingssystem als Gegenkandidaten aufstellen. Es zeigt sich inzwischen, dass es besser sein kann, das eigene Trainingsdesign so umzustellen, dass man auch mal ohne Break-Out-Rooms auskommt. Wenn Sie Glück haben, hat der Kunde ein Webinarsystem, das zwar keine Break-Out-Rooms bietet, das aber eine Art Nachbildung dieser zulässt, indem man z. B. mehrere zeitgleiche Konferenzen erstellt. Vielen Kunden ist einfach nicht bewusst, wie hilfreich kleine Lerngruppen gerade bei Online-Trainings sein können. Sie werden einen unwissenden HR-Verantwortlichen allerdings nicht in zwei Sätzen darüber belehren können, dass das hauseigene Webinarsystem mehr als suboptimal ist. Meistens lösen Sie nur Irritation aus.

  • 3) “Jetzt sag ich endlich ‘was”:
    Ich habe schon erlebt, dass Unternehmen die kostenfreie Version eines Webinarsystems einsetzen, die gar nicht für kommerzielle Zwecke freigegeben ist. Sie werden nun aufgefordert, irgendwie damit zu arbeiten. Hierdurch verletzt Ihr Kunde nicht nur die Vertragsbedingungen mit dem Softwarehersteller. Möglicherweise wird auch gegen die DSGVO verstoßen. Das Datenschutzniveau von kostenfreien Versionen ist nämlich regelmäßig deutlich niedriger als für kommerzielle. In solch einer Situation müssen Sie erklären, warum Sie rechtliche Bedenken haben und am besten ein in Europa gehostetes Webinarsystem für die Seminardurchführung anbieten. Die Gebühr für die Nutzung trägt anteilig der Kunde.

 

Zu dir oder zu mir?

Auch wenn wir ungern das uns manchmal unbekannte Webinarsystem oder LMS eines Kunden nutzen, es gibt einige Vorteile dieser Variante. Die folgende Tabelle vergleicht die beiden Situationen am Beispiel eines Webinarsystems.

Sie nutzen das Webinarsystem des Kunden Sie nutzen Ihr eigenes Webinarsystem
Wer muss Teilnehmer und Trainer*in einladen bzw. Rechte zur Nutzung als Host vergeben?
Das Unternehmen / HR-Abteilung / Abteilungsleitung Sie selbst
Wer wird bei Pannen während der Schulung möglicherweise von den Teilnehmer*innen verantwortlich gemacht?
Es kommt darauf an, wie es an die Teilnehmer kommuniziert wurde. Ggf. steht das Unternehmen / die HR-Abteilung / die Abteilungsleitung dafür gerade. Je konstruktiver ngemeinsam an einer Lösung für die Zukunft gearbeitet wird, desto besser. Sie selbst
Kosten für die Subskiption der /der Tools …
trägt das Unternehmen (Ihr Kunde), ohne, dass Sie hierüber diskutieren müssen. Sie werden versuchen, diese Kosten anteilig in Rechnung zu stellen. Wer zahlt Ihnen jedoch die Tage im Monat, an denen Sie die Toolkosten niemand in Rechnung stellen können?
Wer benötigt einen Auftragsdatenverarbeitungsvertrag mit dem Tool-Hersteller und muss Datenschutzgesetze einhalten?
Das Unternehmen Sie selbst
Wer wird im Zweifel für tool-bedingte Pannen während des Trainings eine schlechtere Evaluation erhalten? Beispiel dazu: Ein schlecht in-house gehostetes WebEx des Kunden kann ihnen das Training zu Hölle machen.
Sie selbst. Sie können den negativen Effekt ggf. abschwächen, wenn Sie Teilnehmern schon zu Beginn eines Live-Online-Trainings klarmachen, dass die Qualität der Verbindung und die Toolwahl nicht von Ihnen beeinflusst werden konnte. Sie selbst
Wer muss das gesamte Trainingsdesign ggf. umstellen, weil Funktionen wie Break-Out-Rooms bei der vom Kunden gestellten Lösung nicht verfügbar sind?
Sie selbst. Sie können diese Frustration vermeiden, falls Sie schon vor Erstellung der Seminardramaturgie (des Ablaufplans) wissen, welches System eingesetzt wird. Kein Umstellungs-Aufwand.
Wer muss den Teilnehmern eine Datenschutzerklärung zur Verfügung stellen?
Das Unternehmen Sie selbst.
Wer muss gegen eine gefühlt „anonyme Masse“ Unterricht halten, weil der Kunde nur ein browserbasiertes Webinarsystem zur Verfügung stellt, dass so schwach gehostet ist, dass alle Teilnehmer die eigene Webcam abschalten müssen?
Sie. Das einzige, was Sie tun können, ist mit der HR-verantwortlichen und so vielen Test-Teilnehmern wie möglich das Webinarsystem zu testen. Sobald einige Webcams eingeschaltet sind, wird Ihre Auftraggeberin nur noch einen stotternden Ton hören. Ist ein solcher Vorabtest nicht möglich, bitten Sie die HR-Abteilung, zur Not unter einem Vorwand, im Training dabei zu sein. Spätestens nach einem Training wird dann vielen klar, wie ungeeignet bestimmte Systeme für Trainings sind. Niemand.

Datenschutz und Datensicherheit sind Hauptgründe für viele Kompromisse, die wir als Trainer eingehen müssen. Für unsere Kunden sind die geltenden Gesetze in diesem Bereich teure Kopfschmerzverursacher. Egal wer nun die IT-Systeme für Ihr Training bereitstellt, je mehr Sie über Alternativen wissen, desto eher werden Sie als Partner*in auf Augenhöhe wahrgenommen.



ÜBERSICHT: ANBIETER FÜR WEBINAR- / TELECONFERENCING-PLATTFORMEN, DIE IN DEUTSCHLAND SITZEN ODER EU HOSTING ZULASSEN

Die Tabelle in unserem Artikel Anbieterliste Videokonferenz- & Webinarplattformen mit Hosting in der EU” zeigt, welche Anbieter derzeit Break-Out-Räume bieten und ob ein Hosting in einem EU Land angeboten wird. Viele sicherheitsbewusste Kunden, besonders Behörden achten u.a. auf ein Hosting in der EU oder Deutschland. Die Übersicht listet auch, ob der Anbieter auf software- und browserbasierte Endpunkte setzt. Mit softwarebasiert meinen wir, ob ein IT Anbieter für Endnutzer eine Software zur Verfügung stellt. Mit browserbasiert meinen wir, dass Endanwender die Lösung des IT-Anbieters mit einem modernen Browser nutzen kann. Einige Dienste erlauben beides, sind jedoch historisch eher einer Seite zugeneigt.

Die aktuelle Anbieterliste “Videokonferenz- & Webinarplattformen mit Hosting in der EU” ist hier.

About The Author

Marius Jost

Marius Jost leitet die Trainerausbildung des Instituts für systemisches Training sowie die Fachgruppe Online-Training des BDVT. Er begann seine berufliche Laufbahn als zunächst als IT-Analyst und entwickelte sich zum Lobbying- und PR-Spezialist für die IT-Branche. Er betreute u.a. als Senior-Associate für die Public Affairs Agentur Burson-Marsteller globale Kunden. Zuletzt durfte er als Kommunikationsmanager bei STADA weitere Erfahrungen sammeln. Jost ist Business Coach (DBVC) und hat sein Studium „International Business Administration” in Paris (ABS) und Frankfurt am Main (Goethe) absolviert.