Viele Veranstalter von Kongressen und Events, die lange daran festhielten, Veranstaltungen vor Ort stattzufinden zu lassen, wählen mittlerweile digitale oder hybride Modelle für die interne und externe Kommunikation. Was vielen Entscheider:innen dabei nicht bewusst ist: Viele Tools entsprechen nicht der DSGVO- bzw. GDPR-Norm und bergen demnach oft Sicherheitsrisiken.
Welche wichtigen Aspekte hier ins Gewicht fallen und wie Unternehmen die bestmögliche Lösung für das jeweilige Vorhaben finden, darauf geht Julius Thomas, CEO von 3Q, in diesem Gastbeitrag ein.
Warum sollte ich auf DSGVO bzw. GDPR achten?
Seit Mai 2018 wird die DSGVO stets zitiert. Dies geht nicht, jenes ist nicht konform und haben Sie eigentlich schon Ihre Website auf DSGVO geprüft? Manch schlauer Kopf fürchtete den Untergang des Internets, wie wir es bis vor der neuen Datenschutzverordnung kannten. Heute zeigt sich: Alles halb so schlimm! Ganz simpel zusammengefasst, haben die europäischen Regierungen an vielen Stellschrauben gedreht, um Unternehmen den Weiterverkauf bzw. den Missbrauch europäischer Datensätze zu erschweren. Die DSGVO, international auch GDPR genannt, stellt dabei eine deutschsprachige Grundlage und verpflichtende Richtlinie für den Datenschutz dar.
Alle Unternehmen innerhalb der EU sind dazu verpflichtet, die Datenschutzregeln zu befolgen. Das einzige Ziel dabei ist, dass Nutzer:innen ganz genau wissen sollen, was mit ihren Daten passiert – vor allem aber, mit wem die Daten geteilt werden. Die GDPR greift jedoch nur, wenn sich der Hauptsitz des Unternehmens in der EU befindet. Das bedeutet: Softwareanbieter, für die das nicht zutrifft, sind evtl. nicht GDPR-konform. Nun zur Frage, die gleichzeitig auch die Problematik aufzeigt: Welche Tools nutzen Sie in Ihrem Arbeitsalltag und welche Daten teilen Sie darüber?
“Heimische Qualität” gilt nicht nur für Lebensmittel
Sehen wir uns einmal das Beispiel einer Bank an, die eine Konferenz mit allen Abteilungsleitern veranstaltet. Hierzu müssen Materialien, Kundendaten und vielleicht sogar die ein oder andere Auswertung interner Zahlen präsentiert werden. Zusätzlich gibt es ein Schulungsvideo, in dem auch reale Kundendaten vorkommen. Nun stellen Sie sich vor, Sie seien der/die Planer:in der Konferenz und sollen ein Tool nennen, über das alles reibungslos funktioniert. Die Lösung des Problem-Szenarios lautet oft Microsoft Teams, Google Meet oder auch Zoom. Nicht unbedingt die beste Wahl, wenn Sie sicherstellen wollen, dass der Livestream und das Schulungsvideo auf EU-Servern bleiben.
Viele der Tools für Video-Meetings und Video-Streaming leiten die Daten an Server außerhalb der EU weiter. Sobald Ihr Content also die EU verlässt, gelten andere Regeln für jeden einzelnen Byte, der die Grenze überquert. Das stellt gerade Unternehmen mit vielen sensiblen Daten vor eine große Herausforderung. Schließlich möchten die Verantwortlichen sich während der Live-Präsentation nicht auch noch Gedanken darüber machen, ob in Sachen Datenschutz Fallstricke lauern könnten. Das Problem ist – zum Glück – nicht unbekannt: Manche Streaming-Anbieter haben sich genau darauf spezialisiert, Firmen mit sensiblen Daten, eine Alternative für sichere Video-Lösungen zu bieten.
Also muss man einfach auf den Firmensitz achten?
Da das Hauptkriterium für GDPR-Bindung der Firmensitz des jeweiligen Unternehmens ist, könnte man meinen, dass damit alles geklärt sei. Leider ist es nicht so einfach. Es kommt bei allen digitalen Lösungen auch darauf an, in welchem Land die Server stehen, über die Ihr Inhalt verbreitet wird. Diese Server werden nämlich oft nicht von der Firma selbst betrieben, sondern von externen Firmen gemietet. Ein Anbieter kann in Deutschland seinen Firmensitz haben und trotzdem alle Daten auf amerikanischen Servern speichern. Für Daten die solch ein Anbieter intern bearbeitet gilt die DSGVO, für Daten auf den Servern gibt es jedoch keine Regelung.
Achten Sie also vor allem auf Videotechnologie-Anbieter mit EU-Servern. Dazu kann es nie schaden, die jeweiligen Anbieter auch auf Seriosität zu prüfen, bspw. auf die Transparenz von Server-Strukturen und Content-Delivery-Netzwerken. Letztere kommen zum Einsatz, wenn sehr viele oder internationale Zuschauer:innen den Livestream ansehen. Videostreaming-Anbieter, die sich auf GDPR-Konformität spezialisiert haben, geben Ihnen diese Informationen gerne – und wer weiß? Jetzt wo Sie wissen, welche Kriterien für Ihre nächsten Events wichtig sind, übernehmen Sie sicherheitshalber vielleicht sogar freiwillig die Planung.