Marius Jost

Welche Webinar-Software ist für Trainer empfehlenswert und DSGVO-Konform?

Bewertung von Online-Plattformen für Trainer und Coaches

Worum geht's?

Dieser Artikel beantwortet die Frage, welche Webinar-Software (Videokonferenz-Plattformen) empfehlenswert sind. Dabei kann es sich um die eigene Wahl als Trainer handeln aber auch darum, welche Empfehlung wir unserem Kunden abgeben, wenn wir die Wahl haben.

Welche Bedeutung hat das für unseren Berufsstand?

Online-Training, E-Learning und Blended-Konzepte sind zentrale Themen in der Erwachsenenbildung, in Fach- und Businesstraining geworden. Eine kritische Auseinandersetzung mit aktuellen Marktentwicklungen und der Rechtslage ist für alle Trainer*innen und Coaches wertvoll.  
Zielgruppe
Professionals, Business-Trainer, Fach-Trainer, Selbständige, Coaches

Zielgruppe

Starter
Professionals
Senior Professionals

Autor

Marius Jost

Stand

20.06.2020

Lizenzen und Hinweise

Diese Publikation ist unter folgender Creative Commons-Lizenz veröffentlicht: CC BY 4.0 DE by Marius Jost, M.Sc. 

Welche Webinar-Software ist DSGVO konform?

Manchmal bekommen Trainer vom Kunden vorgegeben, welche Plattform wir zu nutzen haben. Was ich selbst und viel unserer Trainer*nnen in den Weiterbildungen erleben, reicht von guter Zusammenarbeit bis hin zu frustrierenden Situationen. Viele unserer Kunden setzen eine für Erwachsenenbildung sinnvolle Plattform ein, die wir im Training nutzen können. Manchmal stößt man als Trainerin aber auch nur auf gefährliches Halbwissen bei den Kunden. Verwundert hörte ich von kurzem einen potenziellen Kunden sagen: “Wir haben da keine Lizenz für die Webinarplattform, aber das ging auch immer so ganz gut. Kriegen Sie schon hin.” Wie gehen wir als Trainer mit diesen verschiedenen Situationen um?

1) „BITTE SCHULEN SIE AUF UNSERER UNGEEIGNETEN PLATTFORM“

Ein sinngemäßes Zitat einer Trainerin: „Mein Kunde zwingt mich, deren hauseigenes Webinarsystem zu nutzen. Sie hosten es auf einem eigenen Server. Es ist zu langsam. Der Ton ist immer wieder abgerissen, Break-Out-Rooms – Fehlanzeige. Ich hab‘ von den Teilnehmern jetzt ‘ne schlechte Bewertung bekommen.“

Weshalb passiert so etwas? Der Perspektive der Kunden sieht anders aus. So sagte ein IT-Leiter eines großen Konzerns kürzlich zu mir: „Wir haben zigtausend Dollar in unser System investiert. Wenn ein Trainer jetzt irgendwelche Break-Rooms will, dann hat er halt Pech gehabt.“

Kurz gesagt: Während wir Trainer am liebsten unsere eigene Webinarsoftware zu jedem Kunden mitnehmen würden, haben die meisten Kunden schon ein eigenes Videokonferenz-System. Dieses System wurde u. a. mit Blick auf Funktionsreichtum und Konformität mit geltenden Datensicherheits und -schutzegesetzen ausgewählt. Das eingesetzte Webinarsystem ist zwar möglicherweise kaum für die Erwachsenenbildung geeignet, weil es der Hersteller dafür nie konzipiert hatte. Das allerdings ist dem Kunden oft nicht klar.

Kundenunternehmen, insbesondere Konzerne, haben in einigen Fällen schon sechsstellige Summen in eine Unified Communications Lösung von Cisco oder Microsoft investiert. Diese Lösung deckt immerhin 90% der Kommunikationsbedürfnisse des Hauses ab. Dazu gehören unter anderem IP-Telefonie, Foren für Teamarbeit und Dateiaustausch, Videokonferenzen, Funktionen für werbliche Massenveranstaltungen und Sicherheitsmerkmale wie Kommunikations-Verschlüsselung. Für Ihren Kunden ist, außer diesen Faktoren dann noch der Datenschutz und die Datensicherheit wichtig.

Was bedeutet dies für Bildungsträger, Trainingsinstitute oder Einzeltrainer*innen? Meiner Meinung nach ergeben sich drei Konsequenzen:

1)    Früh ansprechen und testen:
Prüfen Sie bei neuen Kunden so früh wie möglich, welches System dort als Schulungsplattform, Webinarsystem oder LMS präferiert wird.
2)    Abwägen
Überlegen Sie sich bei wichtigen Neukunden zweimal, ob Sie Ihr Lieblingssystem als Gegenkandidaten aufstellen. Es zeigt sich inzwischen, dass es besser sein kann, das eigene Trainingsdesign so umzustellen, dass man auch mal ohne Break-Out-Rooms auskommt. Wenn Sie Glück haben, hat der Kunde ein Webinarsystem, das zwar keine Break-Out-Rooms bietet, das aber eine Art Nachbildung dieser zulässt, indem man z. B. mehrere zeitgleiche Konferenzen erstellt.
Vielen Kunden ist einfach nicht bewusst, wie hilfreich kleine Lerngruppen gerade bei Online-Trainings sein können. Sie werden einen unwissenden HR-Verantwortlichen allerdings nicht in zwei Sätzen darüber belehren können, dass das hauseigene Webinarsystem mehr als suboptimal ist. Meistens lösen Sie nur Irritation aus.
3)    “Jetzt sag ich endlich was”
Ich habe schon erlebt, dass Unternehmen die kostenfreie Version eines Webinarsystems einsetzen, die gar nicht für kommerzielle Zwecke freigegeben ist. Sie werden nun aufgefordert, irgendwie damit zu arbeiten. Hierdurch verletzt Ihr Kunde nicht nur die Vertragsbedingungen mit dem Softwarehersteller, sondern verstößt auch gegen eine Reihe von Datenschutzgesetzen. Das Datenschutzniveau von kostenfreien Versionen ist nämlich regelmäßig deutlich niedriger als für kommerzielle. ZOOM Communications bietet beispielsweise ganz bewusst in der kostenfreien Version keine Ende-zu-Ende-Verschlüsselung. In solch einer Situation müssen Sie erklären, warum Sie rechtliche Bedenken haben und am besten ein in Europa gehostetes Webinarsystem für die Seminardurchführung anbieten. Die Gebühr für die Nutzung trägt anteilig der Kunde.

2) ZU DIR ODER ZU MIR?

Auch wenn wir das uns unbekannte Webinarsystem oder LMS eines Kunden nur ungern nutzen, es gibt einige Vorteile dieser Variante. Die folgende Tabelle vergleicht die beiden Situationen am Beispiel eines Webinarsystems.

Sie nutzen das Webinarsystem des Kunden

Sie nutzen Ihr eigenes Webinarsystem

Wer muss Teilnehmer und Trainer*in einladen bzw. Rechte zur Nutzung als Host vergeben?

Das Unternehmen / HR-Abteilung / Abteilungsleitung

Sie selbst

Wer ist bei Pannen während der Schulung verantwortlich?

Das Unternehmen / HR-Abteilung / Abteilungsleitung

Sie selbst

Kosten für die Subskiption der /der Tools …

trägt das Unternehmen (Ihr Kunde), ohne, dass Sie hierüber diskutieren müssen.

Sie werden versuchen, diese Kosten anteilig in Rechnung zu stellen. Wer zahlt Ihnen jedoch die Tage im Monat, an denen Sie die Toolkosten niemand in Rechnung stellen können?

Wer benötigt einen Auftragsdatenverarbeitungsvertrag mit dem Tool-Hersteller und muss Datenschutzgesetze einhalten?

Das Unternehmen

Sie selbst

Wer wird im Zweifel für tool-bedingte Pannen während des Trainings eine schlechtere Evaluation erhalten? Beispiel dazu: Ein schlecht in-house gehostetes WebEx des Kunden kann ihnen das Training zu Hölle machen.

Sie selbst. Sie können den negativen Effekt ggf. abschwächen, wenn Sie Teilnehmern schon zu Beginn eines Live-Online-Trainings klarmachen, dass die Qualität der Verbindung und die Toolwahl nicht von Ihnen beeinflusst werden konnte.

Sie selbst

Wer muss das gesamte Trainingsdesign ggf. umstellen, weil Funktionen wie Break-Out-Rooms bei der vom Kunden gestellten Lösung nicht verfügbar sind?

Sie selbst. Sie können diese Frustration vermeiden, falls Sie schon vor Erstellung der Seminardramaturgie (des Ablaufplans) wissen, welches System eingesetzt wird.

Kein Umstellungs-Aufwand.

Wer muss den Teilnehmern eine Datenschutzerklärung zur Verfügung stellen?

Das Unternehmen

Sie selbst.

Wer muss gegen eine gefühlt „anonyme Masse“ Unterricht halten, weil der Kunde nur ein browserbasiertes Webinarsystem zur Verfügung stellt, dass so schwach gehostet ist, dass alle Teilnehmer die eigene Webcam abschalten müssen?

Sie. Das einzige, was Sie tun können, ist mit der HR-verantwortlichen und so vielen Test-Teilnehmern wie möglich das Webinarsystem zu testen. Sobald einige Webcams eingeschaltet sind, wird Ihre Auftraggeberin nur noch einen stotternden Ton hören. Ist ein solcher Vorabtest nicht möglich, bitten Sie die HR-Abteilung, zur Not unter einem Vorwand, im Training dabei zu sein. Spätestens nach einem Training wird dann vielen klar, wie ungeeignet bestimmte Systeme für Trainings sind.

Niemand.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Fazit bis hierher: Datenschutz und Datensicherheit sind Hauptgründe für viele Kompromisse, die wir als Trainer eingehen müssen. Für unsere Kunden sind die geltenden Gesetze in diesem Bereich teure Kopfschmerzverursacher. Egal wer nun die IT-Systeme für Ihr Training bereitstellt, je mehr Sie über die rechtlichen Hintergründe wissen, desto besser werden sie einerseits Entscheidungen von Behörden und Unternehmen nachvollziehen können und andererseits bei Diskussionen darüber als informierter Geschäftspartner auftreten.

3) Welche Anbieter sind denn nun DSGVO konform?

Wenn man sie fragt, sind sie praktisch alle DSGVO-konform. Insbesondere der Vertrieb und Marketingmaterialien von IT-Herstellern scheinen eindrucksvoll zu belegen, wie wunderbar die Situation doch ist.
Hier einige anonyme Zitate meinen Recherchen der letzten Tage, Stand Ende Juli 2020: Vertrieb eines sehr großen IT-Dienstleistungsanbieters: „Alles, was wir von Cisco anbieten, ist 100% Datenschutz-konform und nach deutschem Datenschutz sauber, ist alles in Europa gehostet.“ Die gleiche Person sagte eine Minute später zu mir: „Was meinen Sie mit US-EU-Privacy Schild?“ Ich sah mir das Angebot des Anbieters genauer an, nachdem ich endlich alle rechtlich relevanten Dokumente hatte. Da kamen mir viele Zweifel. Daten, die zwischen den USA und der EU hin- und herwandern und Vertragsklauseln, die ich teilweise nicht verstand. Ich rief meine Anwältin an, die einige Klauseln auch nicht verstand. Ich forschte weiter. Ein ranghoher Datenschützer*in einer vielbeachteten öffentlichen Stelle in Berlin sagte mir sinngemäß: „Wir werden in den nächsten Tagen unter anderem datenschutzrechtliche Beanstandungen zum Angebot von Microsoft TEAMS und Telekom (Cisco) schriftlich veröffentlichen“
Einzelheiten zum Thema Datenschutz finden Sie im letzten Abschnitt dieses Dokumentes zum Nachschlagen. Ganz pragmatisch lassen Sie mich bitte vorwegschicken: Bei Datenschutz und Datensicherheit befinden sich alle Anbieter in der Realität auf einem Kontinuum von relativ akzeptabel bis hin zu absolut haarstäubend. Das unglaubliche ist, dass es z. B. folgende Kombination gibt:
Sprach- und Videoqualität, geeignet für Online-Trainings: Exzellent
Legal in der EU einsetzbar: Ja
Vor dem Daten-Zugriff durch den Anbieter in den USA geschützt: Nein
Zugriff von staatlicher Stelle in den USA problemlos möglich: Ja
Generalschlüssel für angeblich verschlüsselte Kommunikation liegt bei US-amerikanischen Behörden vor: Ja
Das Profil oben beschreibt unter anderem, aber nicht nur, den Anbieter ZOOM Video Communications.

4) „Nimm einfach einen Anbieter, der in Europa hostet!“

Viele Experten empfehlen zu Recht, zuallererst Anbieter in die engere Auswahl zu nehmen, die ein Hosting ihrer Dienste in Europa (oft mit Aufpreis) anbieten. Die Tabelle unten bietet dazu einen Überblick.
Bevor Sie die Tabelle ansehen, beachten Sie, dass ein Hosting in der EU oder Deutschland den Daten-Zugriff des IT-Lösungsanbieters oder Drittunternehmen in der Praxis nicht notwendigerweise ausschließt. Viele Anbieter mit Sitz außerhalb der EU wie z. B. Microsoft bieten Hosting in Deutschland oder einem EU-Land an, trotzdem gibt es viele bedenkliche vertragliche Lücken.
Wie ist es mit Geheimdiensten? In USA verstoßen „elektronische Kommunikationsdienstleister“ gegen dort geltendes Recht, wenn sie der zuständigen staatlichen Stelle keine Softwareschnittstelle für einen Zugriff auf deren Daten freigeben. Dieses Faktum wurde im Rahmen des Urteils des Europäischen Gerichtshofs als Grund für die Beendigung der Safe Harbor Abkommens als Beweis aufgeführt. Der Beweis vor dem Europäischen Gerichtshof konnte nur geführt werden, weil Edward Snowdon zuvor entsprechende Dokumente veröffentlicht hatte, die das Abhörprogramm PRISM und Upstream detailliert beschreiben. 
Ursprünglich sollte durch den Safe Harbor Beschluss der EU-Kommission Unternehmen ermöglicht werden, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.) An die Stelle des aufgekündigten Safe Harbor Abkommens trat später das EU-US-Privacy Shield, nach dem viele in den USA ansässigen Anbieter in der EU operieren. Die Vertragstexte decken sich zu über 80 Prozent mit dem alten damals gekippten Save Harbor Abkommen. Derzeit liegt eine weitere Klage gegen die derzeitige Praxis des Datentransfers zwischen EU und den USA beim Europäischen Gerichtshof vor. Kläger ist der österreichische Jurist Max Schrems, der, völlig zu Recht, mit seiner damaligen Klage ein Scheitern des Save Harbor Abkommens erwirkt hat.  

All dies bedeutet für Sie, dass
•    Heute fast keine Lösung vor staatlichem Zugriff gesichert ist.
•    In zu vielen Fällen gelangt der IT-Anbieter oder Partner leicht an Ihre Daten, obwohl dies abgestritten wird. 
•    Die derzeitigen Nachforschungen von staatlichen Datenschutzstellen belegen, dass auch der Claim „DSGVO-konform“ ganz offensichtlich keine rechtliche Garantie darstellt.
•    Gleichzeitig machen Sie sich nicht strafbar, wenn Sie eine Plattform wie ZOOM, TEAMS oder AdobeConnect einsetzen, die in den USA und vielen anderen Ländern der Welt gehostet ist.
•    Faktisch am sichersten wäre es, einen ausschließlich in Deutschland gehosteten Betreiber zu wählen, der alle Datenströme und –bestände verschlüsselt und gleichzeitig selbst nicht die Schlüssel besitzt, um Ihre Unternehmenskommunikation zu entschlüsseln. Solch einen Anbieter gibt es allerdings in Deutschland nicht, dafür aber in der Schweiz. Die Schweiz ist allerdings kein EU-Land.   

Nur weil in Dienst in Deutschland gehostet ist, muss dieser nicht qualitativ gut sein. Das Gegenteil ist nicht selten der Fall. Auch die Sicherheit Ihrer Daten ist nicht notwendigerweise besser, nur weil wir von einem deutschen Unternehmen sprechen, dass alle (unterdimensionierten) Server in Deutschland betreibt.

5) „Rate deinem Kunden einfach, die Lösung selbst in-house zu hosten“

Auch diese Aussage habe ich schon gehört. Für Kundenunternehmen ist das interne Hosten eines Webinar-Systems meist keine gute Idee. Viele Unternehmen unterschätzen die den Bandbreitendurst einer Videoconferencing-Lösung derart, dass nach einigen Monaten die Mitarbeiter alles Zum Telefon greifen, um bei Videokonferenzen wenigstens einigermaßen klar verstehen zu können, was die Chefin sagt. Heute bestätigte mir ein IT-Spezialist meine eigenen Erfahrungen: „Die meisten Firmen tun sich mit dem Hosting im eigenen Haus keinen Gefallen. Sie bekommen die Sicherheit und Verfügbarkeit nicht mehr hin. Das ist inzwischen High-Tech.“

Hier nun die Liste mit allen derzeit marktrelevanten Anbietern:

Markenname des Produkts


Markttrend in Deutshcland: ↓↑°

Unternehmen

Break-Out-Rooms

Softwarebasiert (S) / Browserbasiert (B)

Hosting in der EU als Option, oft mit Aufpreis (EU) oder Hosting des Systems auf eigenem Server (inhouse)*

AdobeConnect ↓

Adobe Inc.

Ja

 

S (in Zukunft auch B)

EU: Ja 
Deutschland: Ja

bigBlueButton ↑↑

BigBlueButton Inc.

Ja

B

EU: Ja
Deutschland: Ja

BlueJeans Meetings ↓

Verizon Communications Inc.

Ja

S

EU: Ja

Clickmeeting
(Eher für Online-Marketing geeignet)

ClickMeeting Sp. z o.o.

Nein

B

EU: Ja

Edudip next ↑

edudip GmbH

Nein

B

Deutschland: Ja

FastViewer Instant Meeting

FastViewer GmbH

Nein

S und B

Deutschland: Ja

GoToMeeting ↑

LogMeIn Ireland Limited

Nein
(nur GoToTraining)

S und B

Sofern Standort von Host und Teilnehmer in Europa: Hosting in der EU.

Metyoo Business Meeting
Zweitmarke: Meetgreen

meetyoo conferencing GmbH

angefragt

B

EU: Ja

MVC Personal-Meeting-Room

MVC Mobile Video Communication

Nein

S

Deutschland: Ja

NTT Docomo (ehemals Arkadin Deutschland)

NTT Docomo Inc.

Wichtiger Wiederverkäufer und Service Partner und IT Support Partner für große Unternehmen. Vertrieben wird unter anderem die aufgekaufte Lösung Arkadin Anywhere, Cisco WebEx und inzwischen auch BlueJeans von Verizon. AdobeConnect ist derzeit noch auf der Webseite gelistet, seit Ende 2019 verkauft NTT Docomo in Deutschland das System nicht mehr aktiv.

socialhub.io

maloon GmbH

Ja

B

Deutschland: Ja

Spreed

STRUKTUR AG

Derzeit geplant

B (S ist geplant)

Deutschland: Ja

TEAMS ↑↑

Microsoft Inc.

Emulierbar

S und B

Deutschland: Ja

TeamViewer Blizz ↑

TeamViewer AG

Nein

B

Deutschland: Ja

Telekom Conferencing & Collaboration

Deutsche Telekom AG

Wichtiger Wiederverkäufer für Cisco und Microsoft. Hosting in der EU z. B. für Cisco Produkte möglich.

WebEx Meetings ↑

WebEx

Nein

S oder B

EU: Ja

Wire Pro

(Fokus auf Verschlüsselung & Sicherheit)

Wire Swiss GmbH

Nein

S

Schweiz oder Hosting auf eigenem Server; Offener Quellcode
„Im Gegensatz zu Wettbewerbern, wie Microsoft Teams oder Slack, besitzt Wire nicht die Schlüssel, um die Unternehmenskommunikation zu entschlüsseln.“

YuLinc ↑

netucate systems GmbH

Ja

B

Deutschland: Ja

ZOOM Meetings ↓

ZOOM Video Communications

Ja

S

Nein

Weitere Anbieter

Jitsi (Gemeinschaftsprojekt), Loopup (Loopup Ltd.), Matrix (New Vector Ltd.), Next Cloud Talk (Nextcloud GmbH), Rocket.Chat (RocketChat), Swyx (Swyx Solutions GmbH), Tixeo (Tixeo GmbH), Univado (the new economy group GmbH)

° Information zu Markttrends kommen von Bildungsanbieter, Kunden und insbesondere großen Software-Distributoren und IT-Dienstleistern.


Angaben zu den Markttrends:
•    Zu AdobeConnect berichten Diensteleister und Distributoren, dass Kundenbeschwerden und Sicherheitsbedenken den Vertrieb weniger interessant machen.

•    Zu bigBlueButton berichten mit Trainer, Diensteleister und Distributoren und private wie staatlich Bildungsanbieter, dass die Implementierung erfreulich leicht sei, das Marketing des Herstellers in Europa für den Vertrieb hilfreich und das Kundenfeedback sehr positiv sein.

•    Zu BlueJeans Meetings berichten Diensteleister und Distributoren, dass es sich um ein hervorragendes Produkt handeln, welches unter völlig unzureichender Kommunikation des neuen Mutterkonzerns, Verizon, leide.

•    Zu Edudip next berichten Trainer und Kunden, dass das Produkt erfreulich übersichtlich sein, ihnen jedoch Break-Out-Rooms fehlen und der Preis hoch sei. Das es sich um ein deutsches Unternehmen handelt, ist für viele ein großer Pluspunkt.

•    Zu GoToMeeting berichten IT-Dienstleister und Kunden, dass der Anbieter LogMeIn Ireland Limited durch geschickte Positioinierung und Marketing einen zunehmend sicheren Stand im Europäischen Markt erarbeitet hat. Der Sitz in der EU wird zumindest als positiv angesehen.

•    Zu TEAMS von Microsoft berichten Diensteleister und Distributoren, Trainer und Kunden, dass es sich um ein sehr solides, intuitiv einsetzbares Produkt handelt, das derzeit im Markt schnelle Verbreitung findet. Grund: Viele Unternehmen verwenden bereits Office Produkte aus der Cloud. Office365 ist das erfolgreichste Produkt in der Firmengeschichte Microsofts. So kann Microsoft wie fast kein anderes Unternehmen von Netzwerkeffekten profitieren. TEAMS wird derzeit wie der größte Gewinner im Markt unter allen gelisteten Lösungen. Nachteile: 1) Client-Anwendung auf MacOS noch nicht optimal, 2) Schwerwiegende Beanstandungen zum Datenschutz von Seiten des Berliner Beauftragte für Datenschutz und Informationsfreiheit vom Juli 2020.

•    Zu TeamViewer Blizz: Bei TeamViewer AG wurde bereits das Ende des Produktes diskutiert. Blizz war praktisch bedeutungslos im Markt. Mit dem Beginn der Corona-Krise konnte man den Umsatz mit dem Produkt kräftig ausbauen.  

•    Zu WebEx Meetings berichten IT-Dienstleister, dass die hohe Produktqualität und Funktionsvielfalt seit Jahren solide Verkaufszahlen ermöglicht. Zahllose Integrationsmöglichkeiten erleichtern die Verbreitung für Cisco. Es handelt sich um ein komplexes Produkt, das besonders für Großunternehmen interessant ist, die einen Unified Communications Ansatz (englisch für „vereinheitlichte Kommunikation“.) haben. 

•    Zu YuLinc ist mir aus mehrere Quellen bekannt, dass das Unternehmen bereits lange im Markt für Online-Marketing-Webinare und Lösungen für Bildungsanbieter agiert, ein Hosting und Firmensitz in Deutschland in Kombination mit attraktiven Funktionen wie Break-Out-Räumen verbinden kann und einen enormen Nachfrageschub verzeichnet.

•    Zu ZOOM Meetings berichten Kunden, Behörden und IT-Dienstleister, dass die zahlreichen Presseberichte über Sicherheitslücken abschreckend gewirkt haben. Insbesondere bei Behörden ist der Einsatz meist nicht mehr gestattet. Anwender, IT-Dienstleister, viele Wettbewerber und Seminarteilnehmer stimmen darin überein, dass die Übertragungsqualität von Ton und Sprache hervorragend und derzeit unübertroffen ist. IT-Experten erklären, dass sich fast alle Wettbewerber an dieser Qualität orientieren, diese jedoch nicht erreichen. Die gleichen Zielgruppen sagen mir auch, dass Zomm Cloud Communications das Thema Datenschutz sträflich vernachlässigt hat. 


6) Die wichtigsten Bestimmungen: Datenschutz in Online-Training und E-Learning

Die DSGVO ist eine EU- Verordnung, mit der Regeln zur Verarbeitung personenbezogener Daten durch Datenverarbeiter vereinheitlicht werden. Seit die DSGVO in den Medien thematisiert ist und in nationales Recht umgesetzt wird, ist das Bewusstsein der Teilnehmer*innen für Datensicherheit stark sensibilisiert. Genau deshalb können für Trainer*innen solide Kenntnisse in diesem Bereich zum Vertrauensbooster werden. Säulen der DSGVO (englisch: „GDPR“) sind die Prinzipien der Datenminimierung und Datensparsamkeit.

Praxis-Beispiel: Statt slack-Konten für Ihre neun Teilnehmer einer Weiterbildung smaßnahme anzulegen, sollten Sie von Ihrem eigenen slack-Konto aus Einladungslinks an die Teilnehmer senden. Jetzt kann jede/r selbst entscheiden, ob sie sich anmeldet und wie viele Daten angegeben werden.

a) Viele Plattformen für Online-Seminare wirken auf den ersten Blick sehr ähnlich. Welche drei Grundregeln sollte man beim Prüfen beachten?

1.     Schon bei der Datenschutzerklärung der Tool-Webseite wird deutlich, welche personenbezogenen Daten über die Webseite des Anbieters verarbeitet werden.

2.     Bei Nicht-EU-Anbietern prüfen Sie, ob eine Zertifizierung nach dem Abkommen EU-US Privacy Shield vorliegt. Privacy Shield ist wie oben angesprochen, eine Absprache auf dem Gebiet des Datenschutzrechts, die zwischen EU und den USA ausgehandelt wurde. Die US-amerikanischen Bundesregierung sichert hier einige Sicherheits-Eigenschaften (Vorgaben) zu. Die EU Kommission fasste 2016 einen Beschluss, dass diese Vorgaben dem Datenschutzniveau der Europäischen Union entsprechen. Wenn ein Unternehmen nach Privacy-Shield zertifiziert ist, können Sie dies grundsätzlich in der EU nutzen.

3.     Wie sehen die bei der von Ihnen favorisierten Plattform die Voreinstellungen im Bereich Datensicherheit aus? Sind diese leicht zu lokalisieren und kann man suboptimale Einstellungen verändern?

b) Auf welche Punkte muss ich besonders achten, wenn ich eine Plattform beurteile?

Datenschutzerklärungen finden sich im Lizenzvertrag und / oder auf der Webseite des (internationalen) Anbieters. Im Grunde nehmen Sie einen Papierbogen her und notieren Sie sich:

•    Wer verwendet           
•    welche (meiner) personenbezogenen Daten               
•    & gibt was davon ggf. an (genauer bezeichnete oder nicht genauer bestimmte) Dritte weiter?


Kommt es zu einem Kopf-an-Kopf-Rennen zweier Lösungen, dann fragen Sie sich:

1.     Wie ausführlich werden die Daten erhoben?

2.     Welche Daten muss vs. kann ich angeben, um die Anwendung nutzen zu können?

3.     Welche Berechtigungen muss ich auf meinem Rechner oder Smartphone freischalten?

4.     Erhalte ich überhaupt Informationen, an wen die Daten weitergegeben werden oder sagt der Anbieter nur, dass die Daten grundsätzlich an Dritte weitergegeben werden?

5.     Werden bei Kommunikationstools Daten von Ende-zu-Ende verschlüsselt übertragen? Hierunter fällt auch: Kann eine App (wie WhatsApp) sehen, wer wem wann geschrieben hat, obwohl der Inhalt selbst nicht einsehbar ist?

Generell ist es immer vorzuziehen, dass Ihre Teilnehmer bei der Übertragung von wichtigen Daten selbst aktiv zustimmen müssen.

Sie sind übrigens verpflichtet, die Kommunikationsteilnehmer über die Arten, den jeweiligen Zweck sowie den Umfang der Datenverarbeitung personenbezogener Daten im Rahmen eines Online-Trainings zu informieren (Grundlage: DSGVO).

Fassen Sie diese Informationen gegebenenfalls in einer Datenschutzerklärung zusammen, um Ihre Kunden,Teilnehmer, Partner und ggf. Angestellte hiermit zu belehren.

„Außereuropäische Anbieter verdienen generell Ihre besondere Aufmerksamkeit.“

Bei Plattformunternehmen oder Softwareunternehmen, die nicht in Europa sitzen, gilt die DSGVO nicht als lokales Gesetz. Grundsätzlich müssen sich ausländische Anbieter jedoch an die DSGVO halten, wenn sie in Europa tätig sein wollen. Viele Experten teilen nicht-europäische Länder nun in zwei Lager auf:

•    "Sichere Drittstaaten" sind alle, die ein Übereinkommen (Staatsvertrag) mit der EU abgeschlossen haben. Ein Beispiel ist hier das Privacy-Shield-Agreement, mit dem Maßnahmen ergriffen werden, um den Datenschutz-Standard mit dem in der EU vergleichbar zu machen.
•    Wenn ein Land einen solchen Staatsvertrag nicht geschlossen hat, kann das dort sitzende Unternehmen Standardvertragsklauseln anbieten. Hier gibt man Garantien und stellt dar, wie man Daten sicher behandelt. Oft geht es hier um den Server-Schutz oder darum, welche Personen Zugriff auf personenbezogene Daten haben. In vielen Ländern hat z. B. die Regierung einen deutlich leichteren Zugriff auf sensible Daten als in Europa.

Viele Anbieter wie unter anderem WebEx stellen Server im Europäischen Raum auf, um mit ihrem Know-how in Europa arbeiten zu können und europäischen Sicherheitsstandards so weit wie möglich zu entsprechen.

c) Wenn Sie Tools sicher einsetzen wollen, müssen Sie auch...
•    Hardware physisch schützen. (Das gestohlene Notebook mit den Teilnehmerdaten wäre ein Desaster, der verlorene USB-Stick oder die SD-Card mit solchen Daten genauso.)
•    Kennworte nutzen: …1234 ist kein Kennwort! Mischen Sie Groß- und Kleinschreibung und fügen Sie Sonderzeichen hinzu. Ansonsten können Angreifer mit „brutaler Gewalt“ versuchen, durch häufige Eingaben ihr zu kurzes Kennwort zu erraten.
•    Teilnehmer*innen instruieren: Schaffen Sie ein angemessenes Grundverständnis für Datensicherheit und gebieten Sie etwaiger Hysterie Einhalt. 

d) Auftragsdatenverarbeitungsvertrag
Ein Dienstleister wie z. B. ein Webinarplattform-Anbieter, der personenbezogene Daten Ihrer Kunden (Teilnehmer) für Sie verarbeitet, ist in der Juristensprache ein Auftragsdatenverarbeiter.
Mit Auftragsdatenverarbeitern müssen Sie als Auftraggeber (als Trainer*in) Auftragsver-arbeitungsverträge abschließen (Art. 28 DSGVO). Die Vereinbarungen können Sie bei Ihrem Onlinekonferenzdienst meist zum Download finden oder Sie fragen den Support danach. Sie benötigen nach der aktuellen Rechtsprechung diesen Vertrag nicht mehr schriftlich. Ein elektronisches Format des Vertrags ist ausreichend.

e) Datenschutzbeauftragte, Betriebs- & Personalrat einbeziehen
Datenschutzbeauftragte sollen bei der Auswahl des passenden Anbieters einbezogen werden. Prüfen Sie derzeit z. B. den Einsatz eines bestimmten Konferenztools? Wenn Sie im Kundenunternehmen einen Betriebs- oder Personalrat haben, müssen Sie sich laut Gesetz auch hier erkundigen, ob diese dem Tooleinsatz zustimmen. Der Grund: Konferenztools eignen sich grundsätzlich zur Überwachung von Mitarbeitern. (Mehr dazu: § 87 Abs. 1 BetrVG).

f) Fazit – Wie Sie darauf achten, dass niemand ohne Einladung zusieht…

Der Umgang mit den Werkzeugen muss genauso auf achtsame Art und Weise erfolgen, wie schon die Auswahl. Achten Sie darauf, nicht die folgenden Fehler zu machen.

1)    In der Praxis: Gleich zur Anmeldung zum Kurs informieren, welche Daten erhoben und verarbeitet oder weitergegeben werden. Diese Daten dürfen Sie auch nicht nachträglich für ein Lern-Erinnerungsmailing weiternutzen, wenn dies nicht angekündigt war.
2)    Nutzen Sie sichere oder komplett anonymisierte Lernumgebungen. Informieren Sie die Teilnehmer*innen, wie sie die Privatsphäre-Einstellungen optimieren können. Wenn möglich, sollten Datenübertragungen verschlüsselt funktionieren. Eine Aufzeichnung oder Bildschirmübertragung sollte eine ausdrückliche Zustimmung voraussetzen.
3)    Überlegen Sie sich eine Tool-Alternative insbesondere zu kritischen Tools, bei denen Sie schon von vornherein wissen, dass Diskussionen aufkommen werden. Hier kann die URL alternativeto.net helfen.
4)    Ihre gesetzliche Grundlage zur Verarbeitung personenbezogener Daten ruht auf drei Säulen: Sie dürfen solche Daten aufgrund eines Gesetzes verarbeiten (1). Sie dürfen diese Daten aufgrund eines Vertrags verarbeiten (2). Sie dürfen diese Daten aufgrund einer gegebenen Zustimmung Ihrer Teilnehmer für Ihren Lehrauftrag oder das Projekt verarbeiten (3).
5)    In manchen Fällen bieten nur bezahlte Versionen oder geschäftliche Versionen einer Software oder Plattform den nötigen Datenschutz. Ist eine geschäftliche Nutzung des Tools erlaubt?

Wenn Sie die Wahl haben, bevorzugen Sie diejenige Lösung, die keine Verhaltensprofile der Teilnehmer aufzeichnet. Positiv ist es, wenn diese Funktion nachweislich abgeschaltet werden kann. Leider erwirtschaften gerade hier viele große Anbieter ihre Gewinne.
Dieses Dokument kann Irrtümer beinhalten, nicht mehr dem aktuellen Rechtsstand entsprechen keine Rechtsberatung ersetzen.

Hilfreiche ergänzende Webseiten und Informationen

Fachgruppe Online-Training des BDVT
Marius Jost: IST.training

 zurück