Heute ist das Thema, wie angekündigt, Veranstaltungen online und in Präsenz. Es gibt gemeinsame Komponenten bei Veranstaltungen, dass man es als Teilnehmende verwaltet, aber es gibt auch Unterschiede. Ich glaube, Online-Veranstaltungen waren wahrscheinlich vor der COVID-19-Pandemie das dominierende Thema im Vereinsbereich. Inzwischen ist es doch überall Standard, auch Formate in dieser Art anzubieten. Insofern macht es Sinn, auf beide Bereiche zu schauen.
Im Bereich Online-Veranstaltungen sind natürlich Video-Konferenz-Tools das heiße Thema, auf das ich später eingehen werde. Beim Thema Präsenzveranstaltungen ist der Dauerbrenner das Thema Fotos. Dazu bekommen wir auch die meisten Fragen. Gestern kamen bei dem allgemeinen Einführung-Webinar zum Thema DSGVO schon einige Fragen auf. Das Thema Fotos können wir heute nicht aussparen. Besonders fokussiert wird es auf den Bereich Cloud-Tools, das betrifft jetzt endlich auch andere Bereiche außerhalb von Veranstaltungen. Hier passt es gut dazu, weil sich die Teilnehmenden über eine Website namens "Kritik" angemeldet haben. Das ist ein Dienstleister für Anmeldeprozesse für Veranstaltungen.
Es gibt verschiedenste Dienstleister; vielleicht nutzen Sie auch einfach nur ein Cloud-Tool, um die Excel-Liste mit den Teilnehmenden zwischen den verschiedenen Aktiven zu synchronisieren. Aber ohne solche Helferlein funktioniert es heute fast gar nicht mehr. Dass man die Dateien auf einem USB-Stick hin und her trägt oder nur eine Person damit beschäftigt ist, wird in den seltensten Fällen der Fall sein. Insofern kommt man beim Thema Veranstaltungen und Cloud-Tools nicht drumherum.
Das ist dann auch schon so grob das Themenspektrum, das ich heute abdecken möchte. Einsteigen möchte ich aber noch einmal ein bisschen allgemeiner mit einem Blick darauf, was eigentlich Veranstaltungen sind. Was gehört alles dazu? Um das Thema Datenschutz abzugrenzen, muss man sich natürlich erstmal klar werden, was man da eigentlich macht. Welche Daten verarbeitet man? Wofür braucht man die Daten? In welcher Form möchte man die verarbeiten?
Was dann immer relevant ist, sind die Themen Rechtsgrundlagen und Informationspflichten. Das sind die beiden Basisbestandteile, mit denen man im Datenschutz immer zu tun hat. Man braucht für alles, was man tut, eine Rechtfertigung. Das klingt jetzt zu hart, aber letztendlich läuft es darauf hinaus, dass man eine sogenannte Rechtsgrundlage braucht. Das ist dann vor allem die Frage: Muss ich eine aktive Einwilligung holen, muss ich nachfragen, oder darf ich es einfach so tun?
Man muss über alles, was man tut, transparent informieren. Das ist das Thema Informationspflichten. Da möchte ich jetzt einmal darauf schauen, was da überhaupt die Berührungspunkte sind beim Thema Veranstaltungen.
Deswegen würde ich einsteigen damit, dass Veranstaltungen mehr sind als nur die Verwaltung der Teilnehmenden. Die Folien sollen einfach kurz für Teilnehmende stehen und das Thema auszuschreiben.
Hier habe ich mal aufgelistet, was die Verarbeitungstätigkeiten sind, die mir spontan eingefallen sind. Es gibt sicherlich je nach Art der Veranstaltungen einige mehr, aber das ist das, was mir spontan in den Sinn kam. Das trifft sicherlich nicht alles bei Ihnen zu, wenn Sie Veranstaltungen durchführen, aber wahrscheinlich mehrere Elemente.
Was natürlich auf jeden Fall auftritt, ist die Verwaltung von Teilnehmenden. Wenn Sie eine Veranstaltung machen, möchten Sie natürlich wissen, wer kommt, möchten entsprechend planen, vielleicht auch vorab Informationen verschicken und im Nachgang die Dokumentation zur Verfügung stellen. Sie brauchen also irgendeine Form von Teilnehmerverwaltung.
Hier kann man sich jetzt vielleicht noch einmal datenschutzrechtlich differenzieren, ob das noch eine interne Verwaltung ist, also eine Liste, die Sie nur bei sich pflegen, wo über Anrufe und E-Mails in der Geschäftsstelle bei einer aktiven Person einfach die Informationen auflaufen und dann entsprechend in der Liste übertragen werden, oder eben dieser Weg der Online-Anmeldung, wie das jetzt auch bei der BGH-Veranstaltung der Fall war. Da wird dann ein Online-Anmeldetool genutzt.
Es gibt dann im Bereich Cloud noch ein paar mehr Punkte zu beachten. Es war sicherlich nicht einfach nur, die Veranstaltung zu erstellen und zu hoffen, dass sich jemand anmeldet. Sie werden auch bewerben. Da sind wir ganz grob bei den Wegen: Webseite, Social Media und Print.
Im Bereich Webseite und Social Media gibt es natürlich datenschutzrechtlich auch einiges zu beachten. Das ist der Fokus im Webinar nächste Woche Dienstag im dritten Teil dieser Webinarreihe. Aber der Vollständigkeit halber wollte ich heute einfach erwähnen, dass im Bereich Webseiten und Social Media noch ein paar Datenschutzpunkte extra zu beachten sind, die heute nicht so im Fokus stehen.
Wenn Sie dann eine Veranstaltung durchführen, haben Sie natürlich mit einem Video-Konferenz-Tool zu tun, vielleicht auch mit einem Abstimmungstool, wenn Sie eine Mitgliederversammlung durchführen. Auch da gibt es wieder Punkte zu beachten. Da komme ich dann später im Vortrag auch noch drauf. Wenn Sie die Veranstaltung einfach nur planen, egal ob online oder offline, haben Sie viel Kontakt mit Referentinnen und Referenten.
Sie stehen in Kontakt mit Dienstleistern, je nachdem wie groß das Event ist. Wenn Sie Räumlichkeiten brauchen, vielleicht ein Catering etc., haben Sie auch dort mit Personen zu tun. Das heißt, Sie schreiben E-Mails mit diesen Personen hin und her. Diese Personen, mit denen Sie da kommunizieren, haben natürlich auch ihre Datenschutzrechte und möchten, dass mit ihren Daten vernünftig umgegangen wird. Das ist vor allem bei Referentinnen der Fall.
Wenn eine Veranstaltung dokumentiert werden soll, z.B. durch Fotos oder Livestream-Aufzeichnungen, ist das natürlich auch ein Thema, das in der Verlängerung entsteht, wo Sie sich vorher entsprechend Gedanken machen müssen, dass datenschutzmäßig alles richtig eingeordnet wird. Beispielsweise bei so einer Veranstaltung wie heute würden Sie als Teilnehmende in der Aufzeichnung auftauchen. Dann hätten Sie das wahrscheinlich gerne vorher gewusst.
Das Bild bzw. die Mitarbeiterin von fulda.de ist Ihnen natürlich nicht bekannt, aber ich glaube, es ist klar, dass das Dinge sind, die man vorab klären muss. Datenschutzmäßig behandelt es sich schlecht, wenn einem das während der Veranstaltung aufhält.
Dann gibt es noch die Veröffentlichung im Nachgang, die wieder ein bisschen unterteilt ist nach Webseiten, Social Media und Print. Hier können ein paar eigene Themen auftreten, aber wie gesagt, das ist heute jetzt nicht so sehr der Fokus.
Das waren gerade verschiedenste Tätigkeiten, wo Daten anfallen im Bereich Veranstaltungen. Wichtig ist aber auch die Frage: Wessen Daten sind das denn? Das hatte ich ja schon mal kurz angerissen. Das sind vor allem die Daten der Veranstaltungsteilnehmenden und auch der Referentinnen.
Man kann vielleicht noch einmal unterscheiden zwischen Vereinsmitgliedern und Externen. Das ist eine richtige Unterteilung, die man machen sollte. Wenn jemand Vereinsmitglied ist, ist das etwas anderes. Letztendlich ist das rechtlich betrachtet jedoch nicht so anders, wenn eine externe Person zu einer Veranstaltung kommt oder ein Vereinsmitglied, denn auch ein Vereinsmitglied hat natürlich Datenschutzrechte und möchte wissen, was mit seinen Daten passiert.
Bei den meisten Vereinen geht die Teilnahme an Veranstaltungen nicht automatisch mit der Mitgliedschaft einher. Auch da läuft es häufig so, dass die Teilnahme an Veranstaltungen des Vereins irgendwie ein bisschen neben der formalen Mitgliedschaft verläuft. Das ist dann häufig ein mündlicher Vertrag; man kommt einfach und es ist allen bewusst, was da passiert.
Rechtlich betrachtet muss man es jedoch ein bisschen von der Vereinsmitgliedschaft abgrenzen. Von daher sind die Vereinsmitglieder und externen Gäste eigentlich auch nicht so unterschiedlich zu behandeln, was Datenschutz angeht.
Hier im Fokus heute stehen ganz klar die Teilnehmenden von Veranstaltungen. Das ist ja auch die größte Zielgruppe bei einer Veranstaltung. Mit einem externen Referenten muss man vielleicht auch Dinge klären, aber die zahlenmäßig größte Gruppe sind natürlich die Teilnehmenden.
Deswegen würde ich heute auch den Fokus darauf legen. Es ist wichtig, dass man sich Gedanken macht, wie man mit den Daten umgeht. Es muss für jede Verarbeitungstätigkeit eine Rechtsgrundlage geben. Immer wenn man irgendwas mit Daten macht, sei es auf dem Computer oder in strukturierter Form auf Papier, braucht man eine Rechtsgrundlage.
Das hatte ich früher schon mal kurz angerissen. Es gibt die Einwilligung—das kennen die meisten von Ihnen wahrscheinlich—dass man aktiv irgendwo zustimmen soll, vielleicht auch etwas unterschreiben soll oder vielleicht auch nur mündlich gefragt wird, ob es in Ordnung ist, wenn mit den Daten das und das gemacht wird. Das ist eine Rechtsgrundlage, aber nur eine von mehreren.
In der Praxis relevant für Vereine ist daneben auch der Vertrag. Das ist der Fall, wenn beispielsweise jemand sagt, ich melde mich zu der Veranstaltung an und dann das Anmeldeformular online ausfüllt. Dann braucht man keine separate Einwilligung, wenn es nur um die Teilnehmerverwaltung geht.
Die Anmeldung ist ja ein Vertrag darüber, dass man an der Veranstaltung teilnehmen möchte. Um den Vertrag durchzuführen, braucht man im Bereich von Online-Veranstaltungen Daten. Vielleicht muss dann die URL für das Video-Konferenz-Tool zugeschickt werden.
In der Anmeldebestätigung ist das ähnlich, als ob man im Online-Shop etwas bestellt. Gewisse Datensätze braucht man; ansonsten kann der Vertrag nicht durchgeführt werden. Da braucht man also keine extra Einwilligung. Man muss nicht noch einmal separat zusätzlich fragen, ob man die Daten verarbeiten darf.
Das berechtigte Interesse ist ein bisschen komplizierter. Da legt man letztendlich die Interessen des Teilnehmenden und die Interessen des Vereins in eine Waagschale. Auf der einen Seite gibt es die Risiken für den Teilnehmenden, auf der anderen Seite die Interessen des Vereins. Man versucht, eine Abwägung zu treffen.
Dabei geht es auch um die Risiken, die entstehen können, aber auch um die erwartbaren Dinge im Bereich Veranstaltungen. Dazu komme ich später bei Fotos noch mal drauf. Es ist so, dass dieses berechtigte Interesse beispielsweise bei Gruppenaufnahmen, wenn es eine relativ große, relativ öffentliche Veranstaltung ist, dann kann man damit rechnen, fotografiert zu werden, ohne gefragt zu werden, solange nicht porträtiert wird, sondern dass es sich um Überblicksaufnahmen handelt.
Das geht dann also ohne Einwilligung. Daneben gibt es noch die gesetzliche Grundlage, die beispielsweise für Buchhaltungszwecke relevant ist. Im Bereich Veranstaltungen ist das jetzt gerade nicht mehr aktuell, aber war es vor ein paar Monaten noch die Kontakt-Datenerfassung nach den entsprechenden COVID-Gesetzen und Verordnungen. Das wäre dann auch eine gesetzliche Grundlage für eine Datenverarbeitung, weil das müssen Sie ja machen, wenn Sie eine Veranstaltung im Präsenzbereich durchführen.
Wie gesagt, kommt man im Bereich Veranstaltungen mit Vertrag und berechtigtem Interesse relativ weit. Die Rechtsgrundlagen betreffen so eine Einwilligung, die immer ein bisschen komplizierter ist. Man hat zwar nachher irgendwie bestätigt, aber die kann auch widerrufen werden. Dann muss man gucken, wie man damit umgeht, dass man die Daten auf einmal nicht mehr verarbeiten darf.
Eine Einwilligung bringt auch viel Unsicherheiten mit sich und hat relativ hohe Anforderungen. Insofern sind Vertrag und berechtigtes Interesse praxistauglicher als Rechtsgrundlage. Als Richtschnur kann man eigentlich wirklich ganz grob sagen, dass das erwartbare Maß an Datenverarbeitung passiert und was man auch transparent kommuniziert, das steuert das so ein bisschen.
Wenn das aber etwas ist, was total unüblich ist—wenn es bei einer Selbsthilfegruppe auf einmal Videoaufnahmen gemacht werden und online gestellt werden, in sozialen Medien verbreitet—ist das sehr unerwartet und unglücklich. Das wäre dann zum Beispiel ein klarer Fall, der das berechtigte Interesse abzeichnet.
Das zum Thema Rechtsgrundlagen. Der andere Bereich, mit dem man immer zu tun hat, ist das Thema Informationspflichten. Das sind auch immer ganz allgemeine Basispunkte im Datenschutz. Man muss immer transparent informieren, was man macht.
Das sind halt eben diese Datenschutzhinweise, wie Sie sie von Webseiten kennen, oft auch Datenschutzerklärungen genannt. Die müssen nicht aktiv bestätigt werden oder so. Das sieht man manchmal, das ist eigentlich falsch. Das ist ein reines Informationsangebot, das beispielsweise Veranstaltungsteilnehmende wahrnehmen können oder auch nicht.
Das betrifft aber eben nicht nur die Webseite, sondern alles. Wenn Sie ein Papierformular in der Geschäftsstelle zur Anmeldung für eine Veranstaltung entgegennehmen, dann müssten Sie da nicht auch irgendwo Datenschutzhinweise auslegen, sodass sich eine Person, die das interessiert, näher informieren kann.
Sowas macht man je nachdem auch, wenn es eine größere Reihe oder Veranstaltung ist. Man könnte auch sehen, dass man so etwas auch für die Referentinnen erstellt. Ansonsten sind natürlich auch von den betroffenen Gruppen, die Personenkreise, die ich in den Folien genannt habe, relevant, wie aktive Beschäftigte und Dienstleister.
Aber das sind wahrscheinlich dann eher allgemeine Themen, wo Sie nichts Veranstaltungs-spezifisches erklären müssen, sondern das ist ja ein ganz allgemeiner Umgang mit Datenbanken.
Zu den Basispunkten: Mit wem haben Sie eigentlich zu tun? Welche Daten verarbeiten Sie im Kontext von Veranstaltungen? Und dann schon mal so ganz allgemein nur eine kurze Einführung in Rechtsgrundlagen und Informationspflichten, weil da müssen Sie, wie gesagt, immer mit zu tun haben. Da kommt man nicht drumrum.
Es gibt allerdings auch noch spezielle Themen im Datenschutz, mit denen man nicht immer zu tun hat, sondern nur an manchen Stellen. Ein Beispiel dafür ist das Thema Cloud-Tools. Da hat man mit der sogenannten Auftragsverarbeitung zu tun. Da komme ich dann gleich darauf, was das ist.
Man bindet Dienstleister für Tätigkeiten ein, die man eigentlich selber als Organisation ausführt. Die Dienstleister in Anspruch nimmt, wird eine Cloud-Software, die auf dem Server des Anbieters läuft. Das ist letztendlich genau das. Ein Dienstleister bietet diesen Service an, bezahlt oder auch kostenlos.
Das muss man datenschutzmäßig entsprechend behandeln. Das taucht, wie ich eingangs sagte, nicht nur beim Thema Veranstaltungen auf, aber inzwischen bei Veranstaltungen doch fast immer, dass man so etwas in der einen oder anderen Form nutzt. Insofern ist das ein guter Anlass, das Thema zu beleuchten.
Es ist also ein bisschen allgemeiner, erst mal unabhängig von Veranstaltungen. Ein kurzer Blick darauf: Was ist eigentlich das mit der Cloud? Ich habe die Folie hier betitelt mit "Das Problem mit der Cloud" (Problembewusst in Anführungszeichen). Manchmal hört man, Cloud-Tools sind schwierig, sollte man die Finger von lassen. Das ist nicht ganz richtig. Das kann man datenschutzmäßig alles gut abbilden und regeln, aber man muss halt einfach auf gewisse Punkte achten.
Sie müssen die Dienstleister entsprechend prüfen, ob Sie die auch in der Form nutzen dürfen. Darum geht es. Es ist nicht nur, dass ich jetzt nicht die Nutzung von Cloud in allgemeiner Form problematisieren möchte, sondern einfach aufzeigen, worauf Sie achten müssen.
Mit Cloud meine ich in allgemeiner Form so etwas wie einen Cloud-Speicher, also ganz typischer Form Dropbox, Nextcloud, Drive von Microsoft und solche Tools, wo man Dateien darüber synchronisiert. Aber auch Cloud-Tools, die gewisse Funktionen bieten, wie beispielsweise der Anmeldeprozess, den Sie für dieses Webinar heute genutzt haben.
Das wäre auch im Bereich Cloud-Tools oder wenn Sie in der Veranstaltung online weitermachen, wo vielleicht irgendwelche Daten auch dann drin stehen. Cloud kann ganz vielfältig sein. Das kann auch noch Online-Bildbearbeitung sein, sei nur der Name des Referenten, der ins Bild eingefügt wird. Da müssen wir einfach mal schauen, was Sie nutzen.
Vielleicht nutzen Sie auch schon das Terminfindungstool, wo Sie erst einmal intern klären, welche Termine überhaupt in Frage kommen. All diese kleinen Helferlein, die man so ganz selbstverständlich nebenbei nutzt, aber auch die großen Dinge, die man als Organisation in größerer Form erst einmal einführt, sind Cloud-Tools, bei denen es wichtig ist, dass die Software nicht auf Ihrem eigenen Computer läuft, sondern auf dem Server des Anbieters.
Damit geben Sie eben Daten heraus. Das ist der Punkt beim Thema Cloud. Es ist keine Wolke, die einfach so da ist, und das funktioniert alles ganz magisch. Die Dienstleister haben sich da Arbeit reingesteckt, damit das so funktioniert. Sie müssen den aber auch damit, dass das so funktioniert, die Daten geben, die gar nicht Ihre eigenen persönlichen Daten sind, sondern die Daten, für die der Verein verantwortlich ist.
Sofern es auch der Verein in der Verantwortung ist, muss das gut geregelt werden, dass mit den Daten vernünftig umgegangen wird. Deswegen ergeben sich ganz platt gesagt zwei Fragen: Vertraue ich überhaupt diesem Dritten, auf dessen Computer das läuft? Hier muss man sich erst mal bewusst werden: Wer ist das überhaupt, dieser Anbieter?
Dann auch datenschutzrechtlich die Frage: Darf ich die Daten eigentlich weitergeben? Das betrifft sowohl bezahlte Cloud-Dienste, wo Sie einen expliziten Vertrag abschließen, als auch kostenlose Cloud-Tools. Auch wenn Sie irgendwo einen Account anlegen, ist das auch schon datenschutzrechtlich als Cloud einzuordnen.
Die Quintessenz ist, dass es im Bild dargestellt wird, und der Spruch in der Ecke von freier Software oder Open-Source-Software öfters kommt: "There is no cloud, just someone else's computer." Es gibt die Cloud nicht, sondern es sind die Computer von Dritten. Das ist alles kein Problem, man muss es entsprechend behandeln.
Die Lösung im Datenschutzrecht für dieses Problem nennt sich Auftragsverarbeitung. Das klingt jetzt erstmal total sperrig, aber letztendlich ist es ein Vertrag zwischen Ihrem Verein und diesem Dienstleister, der den Dienstleister so einbindet, dass Sie die maximale Kontrolle behalten. So, als ob Sie die Daten selber verarbeiten würden.
Es ist also wichtig, dass die Software unter Ihrer Kontrolle läuft und der Anbieter nichts für eigene Zwecke macht, sondern nur das, was Sie auch möchten, mit den Daten. Das ist in einer Verordnung vorgeschrieben, im Artikel 28 der DSGVO.
Für andere Themen fällt damit nur Cloud-Computing, aber das ist eben das bekannteste Beispiel. Teilweise ist so ein Auftragsverarbeitungsvertrag auch schon in die AGB des Anbieters integriert. Wenn Sie also zum Beispiel einen Zoom-Account erstellt haben, haben Sie die Allgemeinen Geschäftsbedingungen von Zoom akzeptiert. In den Allgemeinen Geschäftsbedingungen steht drin, dass so ein Auftragsverarbeitungsvertrag mit abgeschlossen wird.
Es gibt Fälle, wo Sie Cloud nutzen, wo Sie das gar nicht wussten, dass das abgeschlossen ist. Oft muss so etwas aber extra noch zusätzlich abgeschlossen werden. Da gibt es dann Formulare oder Muster im Hilfebereich des Anbieters. Sonst muss man mal nachfragen. Das wird dann oft einfach mit "AV-Vertrag" abgekürzt und auf Englisch "Data Processing Agreement". Da sollten Sie entsprechend einfach nachschauen, ob Ihr Dienstleister das zur Verfügung stellt.
Ein anderes großes Thema, mit dem Sie im Bereich von Cloud-Tools schneller in Berührung kommen, was aber auch an anderen Stellen auftreten kann, ist das Thema internationale Datentransfers. Das ist sicherlich einigen von Ihnen bekannt: Datentransfers in die USA sind vor allem sehr problematisch.
Letztendlich sind aus datenschutzrechtlicher Sicht viele Länder problematisch, aber praxisrelevant sind die USA, weil viele der großen Firmen, die sehr bekannte und praktisch nutzbare Cloud zur Verfügung stellen, ihren Sitz in den USA haben. Da ist es so, dass durch zwei Gerichtsurteile in 2015 und 2020 Datenschutzabkommen, vereinfacht gesagt, zwischen der EU und den USA gekippt wurden vom Europäischen Gerichtshof.
Dieses zweite Urteil nennt sich das Schrems-II-Urteil. Deswegen ist die Situation seit 2020 wieder ein bisschen brenzliger. Es ist nicht komplett unzulässig, Anbieter aus den USA zu nutzen oder wo Server in den USA stehen, aber die Messlatte liegt einfach sehr hoch. Man muss das sehr stark vom Einzelfall prüfen, ob das zulässig ist.
Das sollte man auch noch gesondert dokumentieren, dass man das geprüft hat, wie man das geprüft hat. Damit wird es einfach ein relativ großes Unterfangen. In vielen Fällen, wo es Alternativen aus der EU gibt, bzw. im Europäischen Wirtschaftsraum, also Norwegen zählt zum Beispiel dazu, hat man diesen Punkt einfach gar nicht.
Das zählt als die standardisierte und einheitliche Regelung der EU, sodass es da am einfachsten ist, weil diese Länder sich alle an den Datenschutzgrundsatz gebunden haben. Insofern ist das immer der einfachste Fall oder der einfachste Ausweg zu sagen: "Da gibt es eigentlich auch ein anderes Tool, das tut es genauso gut, dann nehme ich doch lieber den Anbieter aus der EU."
Aber wie gesagt, andere Länder sind auch möglich. Bei Ländern wie zum Beispiel der Schweiz gibt es so Angemessenheitsbeschlüsse, sodass das auch generell unproblematisch ist. Aber bei anderen Ländern, wie den USA beispielsweise, muss man dann halt ganz genau im Einzelfall sich einiges detailliert angucken.
Wie sollten Sie jetzt ganz praktisch vorgehen, wenn Sie so einen Dienstleister auswählen? Sei es jetzt für Veranstaltungen, was das heutige Thema ist, aber auch für andere Bereiche. Vielleicht können Sie auch einfach die Mitgliederliste online irgendwo abspeichern, sodass Sie vom Vorstand gemeinsam daran arbeiten können.
Sie sollten immer einen Dienstleister auswählen, wo Sie Daten vom Verein an den Dienstleister geben, damit der quasi die Datenverarbeitung macht, die Sie eigentlich als Verein machen würden. Es sollte nicht sein, dass der Dienstleister etwas Eigenes damit tut.
Sie sagen einfach, Sie nutzen da so ein praktisches Tool. Dann brauchen Sie diesen Auftragsverarbeitungsvertrag. Darauf sollten Sie achten, dass der Dienstleister so etwas anbietet. Manchmal muss das eben auf Nachfrage erst geschehen.
Der erste Schritt ist aber eigentlich, dass Sie sich mal kurz innehalten sollten, gerade bei kostenlosen Angeboten: Was ist eigentlich das Geschäftsmodell des Anbieters? Es gibt kostenlose Tools, da ist das völlig legitim. Das sind einfach große Firmen, die sagen, sie machen beispielsweise jetzt für Vereine und gemeinnützige Organisationen kostenlose Angebote, haben aber einen anderen Weg, um dieses Geld mit Geschäftskunden zu verdienen.
Es gibt auch große Firmen, die sagen, sie bieten in kleinem Maßstab für Einzelpersonen kleine Lizenzen kostenlos an, und erst ab einer bestimmten Größe nehmen sie Geld. Aber es sollte in jedem Fall bewusst werden, wofür das kostenlos ist.
Es gibt auch viele Angebote, die mit Datenanalysen ihr Geld verdienen, wo Sie dann entsprechend auch Ihrer Zustimmung zustimmen müssen, dass irgendwo versteckt formuliert wurde, dass die ganzen Daten, die Sie da hochladen, analysiert werden für Werbezwecke, ausgewertet und weitergegeben. Da sollten Sie natürlich die Finger von lassen, wenn Sie da Vereinsdaten oder die Daten im Bereich Veranstaltungen, die Veranstaltungsteilnehmenden, hochladen.
Das wäre dann wiederum nicht zulässig. Deswegen ist es, bevor man in die rechtliche tiefere Prüfung einsteigt, oft schon ein guter Indikator, sich einfach mal kurz bewusst zu machen: Wenn etwas kostenlos ist, warum ist das eigentlich kostenlos und ist das irgendwie ein bisschen merkwürdig?
Der Punkt internationale Datentransfers, den hatte ich ja gerade auch ausgeführt. Da ist, wie gesagt, immer der europäische Wirtschaftsraum am einfachsten. In den anderen Fällen muss man halt genauer hingucken.
Verträge sollten immer im Namen des Vereins abgeschlossen werden. Das ist häufig gerade bei so kostenlosen Angeboten ein Thema im Vereinsbereich, dass einzelne Personen einfach aktiv sind für den Verein und die nutzen halt gerne diese kostenlosen Cloud-Angebote.
Es kann man sich ja schnell einen Account machen, das ist in ein paar Klicks erledigt. Das Problem ist dann, dass der Account auf den Namen dieser Privatperson läuft, aber eigentlich geht es ja um die Datenverarbeitung des Vereins. Der Auftragsverarbeitungsvertrag müsste zwischen dem Verein und dem Anbieter geschlossen werden.
Deswegen ist es also wichtig, dass man solche Verträge von vornherein im Namen des Vereins abschließt und nicht auf einzelne Privatpersonen laufen lässt.
Wichtig ist auch, dass Cloud-Anbieter in die eigenen Datenschutzhinweise aufgenommen werden müssen. Auch wenn Sie so einen Auftragsverarbeitungsvertrag haben und die Daten weitergeben dürfen an den Anbieter, ist das trotzdem ein Thema.
Das heißt, das gehört in die Datenschutzhinweise mit rein. Wenn Sie beispielsweise eine Veranstaltung durchführen, sollte dort entsprechend irgendwo auftauchen: "Wir benutzen für den Anmeldeprozess übrigens dieses und jenes Tool." Da sollte man dann noch dazuschreiben, dass mit den Anbietern ein Auftragsverarbeitungsvertrag abgeschlossen wurde.
Dann hat jeder, den das interessiert, direkt die Möglichkeit nachzugucken: "Na ja, gut, da ist an alles gedacht." Das ist auch relevant für das Thema internationale Datentransfers. Wenn das eben in sogenannten Drittstaaten ist, außerhalb des Europäischen Wirtschaftsraums, dann müssen Sie auch dazu schreiben, in welches Land die Daten gehen.
So viel als schneller Überblick zum Thema Dienstleister, Cloud-Tools, Auftragsverarbeitung und internationale Datentransfers. Das hängt, wie gesagt, oft stark zusammen.
Das sind letztendlich verschiedene Bestandteile im Datenschutz, aber es hängt in der Praxis beim Thema Cloud-Computing doch einfach alles mit dran.
Ein anderer Punkt, den ich ja angekündigt hatte, ist das Thema Video-Konferenz-Tools. Letztendlich kann man grob sagen, ein Video-Konferenz-Tool ist auch nur in Form von einer Cloud. Es gibt aber ein paar Besonderheiten, deswegen gehe ich noch einmal gesondert darauf ein.
Was natürlich im Bereich Video-Konferenz-Tools der Dauerbrenner ist, was immer wieder kommt, ist die Frage, weil das einfach viel diskutiert wurde: Darf man Zoom nutzen oder nicht? Letztendlich ergeben sich die rechtlichen Fragen, die sich da ergeben, ganz ähnlich bei anderen Anbietern.
Aber warum auch immer ist das Thema Zoom irgendwie in der Presse viel diskutiert worden, und deswegen ist dann immer die Frage: Darf man Zoom jetzt wirklich nutzen oder nicht? Dieses Webinar heute ist ja über Zoom, insofern kann es nicht ganz falsch sein.
Die Frage, ob man Zoom jetzt wirklich nutzen darf oder nicht, ist leider nicht ganz einfach zu beantworten. Die Kurzfassung wäre, dass ich sagen würde, dass es bei Zoom mehr Unsicherheiten gibt als bei anderen Alternativen. Ich würde nicht sagen, dass es unzulässig oder zulässig ist.
Es gibt viele offene Fragen bei Zoom und viele Detailfragen, und deswegen muss man genauer drauf schauen. Deswegen jetzt die typische Juristenantwort: Es kommt darauf an. Zum einen bietet Zoom verschiedene Arten von Verträgen an. Je nach Vertrag haben Sie andere Möglichkeiten, beispielsweise einzustellen, welche Rechenzentrumsregion genutzt wird, also ob die Server garantiert in der EU stehen oder ob die woanders stehen können.
Dann kommt es darauf an, wie Sie das einstellen. Themen wie: Was passiert mit den Teilnehmerdaten? Was passiert mit den Chatverläufen? Wird aufgezeichnet? Aktivieren Sie die Ende-zu-Ende-Verschlüsselung? Das haben die eigentlichen Inhalte der Video-Konferenz.
Da gibt es ganz viele Details, da haben Sie selber auch einen Einfluss drauf, und die sind nicht ganz unwichtig. Eine weitere Frage ist, ob Sie Zoom in dieser Form einsetzen dürfen oder nicht. Deswegen kann man nicht pauschal sagen, dass es zulässig oder unzulässig ist, sondern das kommt eben auf diese Details an, wo Sie auch selber einen Einfluss darauf haben.
Dann kommt es auch auf den Kontext an, in dem man es einsetzen will. So ein Webinar wie heute, wo eigentlich nur ich als Referent sichtbar bin und meinen Input gebe, und Sie höchstens noch im Chat etwas schreiben, ist sicherlich anders zu bewerten als wenn eine Selbsthilfegruppe über Zoom durchgeführt wird.
Das kommt einfach auch darauf an, wofür man das nutzt und wie vertraulich das ist, was da passiert. Eine große Komponente ist das Thema der Datentransfers. Zoom ist ein amerikanisches Unternehmen. Im Gegensatz zu vielen anderen, wie Google, Microsoft oder Facebook, haben die keine Niederlassung in der EU.
Das heißt, die haben also wirklich nur die Server in den USA, und da spielt das Thema US-Datentransfers auf jeden Fall eine Rolle. Da gibt es einfach viele ungeklärte Fragen. Es gibt ja dieses Schrems-II-Urteil aus 2020, und Zoom hat darauf reagiert und einige Anpassungen vorgenommen.
Die Frage ist jetzt, sind diese Anpassungen gut genug, um adäquat auf dieses Gerichtsurteil zu reagieren, oder reicht das immer noch nicht aus? Da unterscheiden sich dann die Geister. Es ist schon ein Thema, für zwei Juristen gibt es drei Meinungen.
Und zuletzt geht es auch um weitere ungeklärte rechtliche Fragen. Da geht es beispielsweise um internationale Datentransfers ganz allgemein. Wie ist das, wenn die EU-Rechenzentren gewählt wurden? Die Daten bleiben eigentlich in der EU, aber das Unternehmen ist amerikanisch.
Da gibt es noch das Thema, dass Videokonferenzen eigentlich seit dem ersten Dezember letzten Jahres dem Fernmeldegeheimnis unterliegen, ähnlich wie Telefonie. Anbieter unterliegen deswegen noch einmal einer anderen Regelung. Da gibt es aber noch viele ungeklärte Fragen in diesen Bereichen.
Deswegen kann man leider keine wirklich abschließende, hundertprozentige Antwort darauf geben. Einige sind halt risikofreudig und sagen: "Na ja, das geht schon, passt schon, ich nehme es trotzdem," auch wenn nicht alles hundertprozentig geklärt ist. Andere sagen: "Das sollte man doch lieber lassen und etwas anderes nehmen."
Und dadurch entsteht dieses Bild, was Sie sicherlich schon mitbekommen haben: Die einen sagen: "So darf man nicht arbeiten," und dann gibt es die anderen, die sagen: "Das funktioniert schon."
Das ist so am Beispiel Zoom herausgegriffen, als einer der US-Firmen. Aber was mir ganz wichtig ist, unabhängig von der Frage des konkreten Anbieters: Sie sollten ein Video-Konferenz-Tool ganz ähnlich wie Cloud-Tools allgemein behandeln.
Da hatte ich gerade schon etwas gesagt: Auftragsverarbeitungsvertrag abschließen und das Thema internationale Datentransfers prüfen. Aber das ganz, ganz Wichtigste ist, einen Anbieter auszuwählen, der in der Form zulässig nutzbar ist.
Das ist natürlich wichtig, das ist nur die halbe Miete. Es ist mir ganz wichtig, bei dieser Tool-Diskussion, gerade bei Videokonferenzen, dass oft wahnsinnig darauf abgestellt wird, ob man den einen oder anderen Anbieter nehmen kann. Darüber wird völlig vergessen, dass man noch einen eigenen Anteil auch bei der Nutzung steuern muss.
Der Anbieter nimmt nur teilweise Einfluss. Wenn es beispielsweise um die Veranstaltung geht, haben Sie selbst noch Einfluss darauf, wie Sie die Daten verarbeiten, wie Sie die Teilnehmerdaten verwalten, wie Sie das Video-Konferenz-Tool auf eine bestimmte Art und Weise einstellen und nutzen.
Das ist alles auch unglaublich wichtig. Deswegen ist die Wahl des Anbieters nur die halbe Miete. Zusätzlich ist es wichtig, dass Sie das selbst vernünftig einstellen, sodass nicht mehr Daten verarbeitet werden als notwendig sind.
Gerade bei Aufzeichnungen ist es ganz kritisch, wenn eine Aufzeichnung mitläuft, obwohl das gar nicht gewünscht ist. Das darf nicht passieren. Auch Fragen wie: Sollten sich die Teilnehmenden untereinander sehen können oder nicht? Da gibt es verschiedene Optionen, verschiedene gangbare Wege.
Wichtig ist, dass Sie sich darüber Gedanken machen und dann im Rahmen von Datenschutzhinweisen die Teilnehmenden in Ihrer Veranstaltung auch darüber informieren, auf welche Art Sie dieses Video-Konferenz-Tool nutzen.
Abschließend habe ich noch einen Punkt aufgeschrieben: Besonderheiten bei Mitgliederversammlungen beachten. Das hängt nur so halb mit Video-Konferenz-Tools zusammen, aber ich möchte es der Vollständigkeit halber erwähnen.
Der Link auf der Folie führt zu einem DSGVO-Rechtstipp zum Thema virtuelle Mitgliederversammlung. Da geht es um diese Themen und um Abstimmungen, wenn man die online durchführt. Die große Gefahr ist, dass die Abstimmungen, die Sie dadurch führen, leicht anfechtbar sind, wenn die Veranstaltung in Präsenz durchgeführt wird.
Deswegen gibt es einfach so ein paar Punkte zu beachten. Auch die Frage: Dürfen Sie das überhaupt, wenn es nicht explizit in der Satzung geregelt wurde? Wie gesagt, die DSGVO hat den Rechtstipp auf der Webseite verlinkt.
Das hat ein Stück weit etwas mit Video-Konferenz-Tools zu tun. Wenn ein Mitglied sagt, dass das Video-Konferenz-Tool, das genutzt wurde, gar nicht datenschutzkonform ist, dann könnte das ein Argument sein, zu sagen: "Ich wurde von der Versammlung ausgeschlossen, weil ich nicht an etwas teilnehmen möchte, was datenschutzrechtlich nicht geht."
Das war für mich der Grund, der Versammlung fernzubleiben, und deswegen konnte ich nicht abstimmen. Das ist vielleicht ein bisschen die Verbindung. Deswegen ist das Video-Konferenz-Tool bei virtuellen Mitgliederversammlungen noch einmal wichtiger als bei anderen Veranstaltungen.
Einfach damit Sie es mal gesehen haben: Ich kann ja sowieso keine vollständige Übersicht geben, aber einfach um einmal aufzuzeigen, weil viele Video-Konferenz-Tools von amerikanischen Anbietern sehr bekannt sind, habe ich auf der Folie einige gesammelt, die nicht aus dem amerikanischen Raum kommen, sondern in der EU sitzen.
Ich glaube, die allermeisten davon sogar in Deutschland. Es gibt eine ganze Menge, teils spendenbasiert, teils mit Accounts, teils auch kostenlos über andere Wege finanziert. Einfach, dass Sie mal ein paar Alternativen gesehen haben.
Schauen Sie da ruhig, finden Sie denn etwas, was Ihnen besser gefällt. Aber auch da ist es wieder, dass nicht bei allen so das deutsche System der Auftragsverarbeitung vernünftig geregelt ist.
Das müssen Sie also auch im Detail noch einmal anschauen. Das zum Thema Video-Konferenzen und Video-Konferenz-Tools.
Der letzte Punkt, den ich hier hatte, ist das Thema Fotos. Das ist, wie gesagt, ein Dauerbrenner, vor allem natürlich bei Präsenzveranstaltungen relevant, dass man Fotos macht. Beim Thema Fotos wird es nochmal ein bisschen komplizierter, weil es kein reines Datenschutzthema ist, sondern auch das allgemeine Persönlichkeitsrecht, was so ein bisschen rechtlich neben dem Datenschutz steht, mit reinspielt.
Deswegen erst einmal ganz kurz ein bisschen die Einordnung: In welchen Rechtsgebieten bewegen wir uns da eigentlich? Die Datenschutz-Grundverordnung ist im Bereich von Fotos, wie gesagt, ein Teil. Ansonsten sehr relevant im Bereich von Fotos ist das Kunsturhebergesetz, das übrigens schon seit 1907 existiert.
In diesem Kunsturhebergesetz ist geregelt, ob Sie Fotos machen dürfen, ohne die Personen um ihre Einwilligung zu bitten. Wenn Sie beispielsweise als Tourist in der Stadt unterwegs sind und ein Foto von einem Platz machen, da sind halt auch Leute mit drauf, aber Sie möchten den Platz als Ganzes aufnehmen, dann brauchen Sie dafür keine Einwilligung.
Das ist eine Ausnahme, die ich gleich noch einmal erläutern werde. Aber das ist eben nicht im Datenschutzrecht selber geregelt, sondern im Kunsturhebergesetz, was mehr mit dem allgemeinen Persönlichkeitsrecht zu tun hat. Deswegen muss man diese beiden Dinge zusammen betrachten.
Daneben gibt es auch noch das Urheberrecht. Das ist dann mehr die Situation, wenn jemand in Ihrem Verein aktiv ist und fotografiert. Diese Person ist der Urheber der Fotos. Dann ist die Frage, ob Sie diese Person namentlich nennen müssen, beispielsweise als Urheber der Fotos. Das hat dann aber mit dem Urheberrecht zu tun und nicht so sehr mit Persönlichkeitsrechten oder Datenschutz.
Deswegen klammern wir das an der Stelle mal aus. Aber das ist vor allem natürlich dann relevant, wenn Sie Fotos, die Sie online gefunden haben, nutzen möchten, wenn Sie die Person, die die Fotos macht, nicht so gut kennen und die nicht so aktiv bei Ihnen eingebunden ist.
Die datenschutzrechtliche Betrachtung von Fotos ist eine wichtige Frage. Vorab ist es relevant, ob es private Fotos sind. Das ist deshalb wichtig, weil die Datenschutz-Grundverordnung nicht für Privatpersonen gilt, wenn diese etwas für persönliche und familiäre Zwecke machen.
Das heißt, wenn man rein privat Fotos macht, dann gilt zwar das Kunsturhebergesetz, aber die Datenschutz-Grundverordnung gilt nicht. Da darf man quasi so viele Fotos machen, wie man will, solange man sie nicht verbreitet.
Wenn aber die Datenschutz-Grundverordnung gilt, was für Sie, wenn Sie im Vereinskontext etwas machen, immer der Fall sein wird, dann ist jetzt neben dem Verbreiten auch das Anfertigen von Fotos wichtig.
Deswegen muss man da so ein bisschen unterscheiden, ob Sie letztendlich wirklich in dem Verein sind, der eingetragen ist, in einer ganz fest organisierten Form, oder ob es sich um eine lose organisierte Gruppe handelt. Das ist bei der Betrachtung egal.
Es ist nicht mehr der Bereich persönlicher oder familiärer Zwecke. Das heißt, wenn Sie hier im typischen Vereins-Setting aus dem Kontext kommen, der Zielgruppe des Vereins, dann fallen Sie in diese Gruppe, für die die Datenschutz-Grundverordnung gilt.
Neben dem Kunsturhebergesetz gilt also auch die Datenschutz-Grundverordnung. Das heißt, dass Sie neben dem Kunsturhebergesetz auch die volle Programm der DSGVO beachten müssen. Das heißt, die Informationspflichten müssen erfüllt werden.
Ich hatte vorhin gesagt, dass Sie eine Einwilligung brauchen oder nicht. Beide Dinge müssen Sie immer bedenken. Bei Fotos müssen Sie die Informationspflichten erfüllen, und das wird dann je nach dem relativ unschön.
Das wird dann häufig gelöst, indem beispielsweise bei einer Veranstaltung ein Aufsteller am Eingang steht. Aber wichtig ist einfach, dass Sie sich bewusst sind, wenn Sie im Vereinskontext etwas machen, dass die Datenschutz-Grundverordnung auch für Fotos gilt.
Im Bereich der Rechtsgrundlagen ist die Frage: Brauchen Sie eine Einwilligung? Müssen Sie aktiv fragen, ob Sie das Foto machen dürfen? Das richtet sich dann wiederum nach dem Kunsturhebergesetz.
Es gibt eben schon diese Kategorien, bei denen Sie nicht fragen müssen, wenn Sie keine Einwilligung brauchen. In solchen Fällen können Sie dann argumentieren, dass Sie jetzt von den DSGVO-Rechtsgrundlagen her ein berechtigtes Interesse haben.
Wenn aber das Kunsturhebergesetz sagt, Sie müssen aktiv fragen und brauchen eine Einwilligung, dann ist das parallele eben auch in der Datenschutz-Grundverordnung. Dann brauchen Sie eben auch eine Einwilligung nach der DSGVO. So kann man das ganz grob zusammenfassen in diesem Zusammenhang zwischen den beiden Gesetzen.
Ich komme gleich noch drauf zurück. Fallen Sie in diese Ausnahmen vom Kunsturhebergesetz? Ansonsten müssen Sie nach der Einwilligung fragen. Wichtig ist aber, dass Sie auch informieren, dass Sie Fotos machen, auf welche Rechtsgrundlage Sie das tun, für welche Zwecke und wie Sie die Fotos verbreiten wollen.
Das können Sie am besten im Vergleich zu Veranstaltungen lösen. Am besten schon da, wo man sich anmeldet. Integrieren Sie das in den Anmeldeprozess. Beispielsweise, wenn das mit der Webseite geht, dann auch oder eigentlich in jedem Fall auf der Webseite integrieren, dass man Personen darüber informiert.
Aber eben auch im Rahmen des Anmeldeprozesses oder vielleicht schon bei der Einladung per E-Mail unten ein kleiner Hinweis: "Hier sind übrigens die Datenschutzhinweise für die Veranstaltung," und dann einen Link dahinter.
Zur Not wäre der letzte Weg dann auf gut sichtbare Aufsteller am Eingang zur Veranstaltung. Wenn Sie es beispielsweise über die Zeitung bewerben und nicht wissen, wer kommt, können Sie ja schlecht die Personen vorher kontaktieren.
Insofern kann dann auch ein Aufsteller am Eingang zum Veranstaltungsraum ein gangbarer Weg sein. Das ist vor allem dann relevant, wenn Sie unter dieser Ausnahme fallen, wo Sie nicht aktiv fragen müssen.
Das sind eben nach § 22 des Kunsturhebergesetzes Bildnisse der Zeitgeschichte, wo Personen nur als Beiwerk sind, Bilder von Versammlungen.
Das würde ich jetzt mal hier ausklammern in Ihrem Kontext. In diesen Fällen brauchen Sie eben keine Einwilligung, sofern nicht Persönlichkeitsrechte anderer Art verletzt werden.
Das könnte beispielsweise sein, wenn die Personen gerade beim Essen ganz komisch fotografiert wurden und deswegen eine peinliche Situation entsteht. Da gibt es, glaube ich, von selbst, aber das ist eben die Ausnahme von der Ausnahme.
Aber grob gesagt ist es vor allem in Ihrem Bereich relevant, dass Personen nur als Beiwerk und bei größeren Versammlungen in Überblicksaufnahmen fotografiert werden. Da brauchen Sie eben keine Einwilligung.
In diesen Fällen, wie gesagt, ist die Rechtsgrundlage das berechtigte Interesse. Das heißt, dann sollten Sie dann schon ein bisschen dokumentieren, dass Sie das eben so entschieden haben, warum Sie das tun.
Sie müssen das den Datenschutzhinweisen kommunizieren. Wichtig ist auch, dass beim berechtigten Interesse eine Widerspruchsmöglichkeit mit dran hängt. Das muss aber begründet werden.
Das heißt, Personen können zu Ihnen kommen und sagen: "Ich wurde auf dem Foto gemacht, in meiner Situation ist das war so und so, deshalb möchte ich das nicht." Dann müssen Sie das entsprechend berücksichtigen.
