Videokonferenzen mit AV-Vertrag:
Die Absicherung für den Moderator
Mit US-Anbietern haben Sie den Datenschutz Ihrer Teilnehmer verletzt.
Als Veranstalter einer Videokonferenz müssen Sie jederzeit nachweisen können, dass das Schutzniveau auch von Ihren Dienstleistern eingehalten wird*.
- Kein Datenexport in Drittländer
- Kein Datenexport zu EU-Tochterfirmen von US-Konzernen
- Keine Verarbeitung zu eigenen Zwecken
- Keine Auftragsverarbeiter, die in Drittländer exportieren
- Keine Speicherung von Konferenzinhalten oder Metadaten
AV-Vertrag einfach herunterladen
AV-Vertrag ausfüllen und unterschreiben
Sie erhalten den unterschriebenen Vertrag per E-Mail zurück.
Worauf Sie beim Abschluss eines AV-Vertrags achten sollten
Für DSGVO-konforme Videokonferenzen ist es grundsätzlich wichtig einen AV-Vertrag abzuschließen. Doch wie so häufig kommt es auf die Inhalte an. Denn längst nicht jeder AV-Vertrag orientiert sich an dem Datenschutzniveau, das in Europa nicht zu unterschritten werden darf.
Unzulässiger Datenexport in Drittländer
Wir legen großen Wert darauf, dass die Daten unserer Kunden in Hamburg bzw. Europa gespeichert werden. Es werden keine Daten in Ländern außerhalb der EU in unserem Auftrag verarbeitet. Das ist wichtig. Doch dies alleine bietet keineswegs ausreichenden Schutz.
Denn wer betreibt diese Server? Bei dieser Frage trennt sich die Spreu von Weizen, auch wenn der Serverstandort Europa fest steht. Amerikanische Firmen sind verpflichtet, den US-Sicherheitsbehörden auf (nicht-richterliche Anfrage) Daten zur Verfügung zu stellen. Diese Verpflichtung gilt auch, wenn die Daten in der EU gespeichert werden.
Also achten Sie beim Abschluss Ihrer AV-Verträge darauf welche Unterauftragsverhältnisse oder Unterauftragsverarbeiter bei dem Vertag eingeschlossen sind.
Von boo.eu werden nur europäische Firmen zur Verarbeitung beauftragt.
Datenexport zu europäischen Firmen, die zu US-Konzernen gehören.
Es ist uns noch nicht ganz klar, ob es rechtlich relevant ist. Aber es gibt Hinweise, dass US-Sicherheitsbehörden über den Konzern Druck auf auch europäische Tochterfirmen ausüben, um an Daten zu gelangen.
„Hinweise darauf, dass insoweit nach europäischem Recht unzulässige Zugriffsbefugnisse bestehen könnten, gibt es zwischenzeitlich.“
„Auch bei einem Konzernverbund, bei dem der Mutterkonzern seinen Sitz in den USA hat, […] sind Zugriffe der US-Sicherheitsbehörden möglich.“
boo.eu prüft die Auftragsverarbeiter und beauftragt keine Firmen, die (offensichtlich) zu einem US-amerikanischen Konzernverbund gehören (wie zum Beispiel Google Ireland Limited).
Die Liste der von und beauftragten Verarbeiter ist dem AV-Vertrag für die Videokonferenz angefügt.
Lesern, die sich für eine Videokonferenz mit AV-Vertrag interessieren, helfen auch dieses Beträge
* siehe Art. 5 Abs. 2 DSGVO