Über die Autoren

Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV
Marketing Experte & Geschäftsführer der Frame for Business GmbH

Florian Decker
Angestellter Rechtsanwalt
Kanzlei RAe Dr. Schultheiß

Marketing Experte & Geschäftsführer der Frame for Business GmbH

Max Frings
Co-Founder
VE Virtual Entity GmbH

Videoask ermöglicht eine Kommunikation mit Kunden und Interessenten durch den Einsatz von Videos und Animationen. Klassische Kontaktformulare werden damit überflüssig. Der User kann wahlweise per Video, Audio oder in Textform antworten.

Das Tool des spanischen Unternehmens TYPEFORM, S.L. (nachfolgend „Typeform“ genannt) erfreut sich einer immer größer werdenden Beliebtheit. Gerade in Zeiten von Corona hat die visuelle Kommunikation mit Kunden oder Interessenten trotz räumlicher Trennung erheblich an Bedeutung gewonnen.

Kann ich Videoask DSGVO-konform nutzen?

Mit genau dieser Frage hat sich unser Kooperationspartner Max von Virtual Entity bei uns gemeldet. Gemeinsam haben wir das Tool getestet und uns dessen Rechtssicherheit mal genauer angeschaut.

Im ersten Moment hört sich alles prima an: Ein europäisches Unternehmen mit Sitz in Barcelona, eine eigens erstellte Unterseite, die eine DSGVO-Konformität signalisiert, also alles perfekt….leider nicht ganz, aber dazu gleich mehr.

Videoask-Account erstellen

Bei Erstellung eines Videoask-Accounts schließt man ein Data Processing Agreement (DPA) mit dem Unternehmen Typeform ab. Dies ist obligatorisch, denn ohne entsprechenden Abschluss des DPA kann man keinen Account erstellen:

Die Wenigsten (vielleicht 1 % aller Nutzer) werden sich das Data Processing Agreement durchlesen. Wir haben das komplette Dokument gelesen. Erkenntnis: Daten werden in die USA und somit in ein aus DSGVO-Sicht „unsicheres Drittland“ übertragen.

Insbesondere „ANNEX III“ des DPA weist darauf hin, dass auch Daten zum US-amerikanischen Tochterunternehmen TYPEFORM US LLC übertragen werden:

Des Weiteren haben wir bei Typeform nachgefragt, wo sich die Server des spanischen Unternehmens befinden, die Antwort: Virginia (USA).

Unsere rechtliche Bewertung:
Der Einsatz ist aus datenschutzrechtlicher Sicht – insbesondere nach dem  EuGH-Urteil vom 16.07.2020 „Schrems II“ – problematisch, da eine Verbindung zu US-Servern besteht, wodurch eine Übermittlung von Daten in die USA vorliegt, was unter Umständen weitreichende Konsequenzen haben kann, z.B. Ordnungswidrigkeitenverfahren durch eine Datenschutz-Behörde, eine strafrechtliche Verantwortung nach BDSG i.V.m. der DSGVO. Auch eine wettbewerbsrechtliche Abmahnung durch Konkurrenten und ein damit verbundener Schadensersatzanspruch ist denkbar.

Zwischenfazit:
Bereits an dieser Stelle ist klar: Um Videoask einsetzen zu können, bedarf es einer ergänzenden Rechtfertigung für den stattfindenden Drittlandsdatentransfer, die sich aus Art. 44 ff. DSGVO ergeben muss.  Nach unserer, auch in ähnlichen Konstellationen mit US-Berührung vertretenen, Auffassung bedarf es hier also einer informierten Einwilligung des Nutzers, die vor dem Einsatz von Videoask eingeholt wird.

Videoask auf der Website einbinden

Videoask kann sowohl als iFrame als auch als Widget auf der Website eingebunden werden. Nachfolgend unser Test als iFrame:

Hierbei fällt zunächst auf, dass durch den Dienst, Cookies gesetzt und der Local Storage beschrieben wird. Dieser kann eine unbegrenzte „Lebenszeit“ haben und nur durch Löschen des Browser-Cache oder durch JavaScript „gereinigt“ werden.

Neben den Cookies fällt der Local Storage ebenfalls in den Anwendungsbereich des § 25 TTDSG. Auch hierfür ist eine Einwilligung des Nutzers notwendig.

Bei der Einbindung als iFrame bestehen zudem, neben den Verbindungen zu Videoask selbst (videoask.com und typeform.com), eine Verbindung zu folgender Website:

launchdarkly.com
Catamorphic, Co 325 9th Street San Francisco, CA 94103, USA

Bei Launchdarkly handelt es sich um ein Feature-Flagging-Tool des US-Unternehmens Catamorphic, Co 325 9th Street San Francisco, CA 94103, welches ausgewählte Funktionen während der Laufzeit ein- und ausschaltet. Auch hierbei ist eine Datenübertragung in die USA und somit in ein unsicheres Drittland sehr wahrscheinlich.

In der Videoask-„Library“ gibt es zudem die Möglichkeit Stock-Videos von Videoask selbst, sowie des Anbieters Pexels zu nutzen. Auch kann man zur Darstellung von animierten GIF-Dateien den Dienst Giphy verwenden:

Nutzt man in der „Library“ die Stock-Videos von Pexels, kommen weitere Verbindungen zu US-Unternehmen hinzu (diese werden über IHRE Seite geladen)

akamaized.net:
Akamai Technologies, Inc. 145 Broadway, Cambridge, Massachusetts 02142, USA

vimeo.com
Vimeo Inc., 555 West 18th Street, New York, New York 10011, USA

Gerade die Verbindung zu dem Unternehmen Akamai Technologies Inc. ist insbesondere auf Grund des erst kürzlich ergangenen Beschlusses des VG Wiesbaden (siehe hierzu unseren Blog-Artikel) sehr problematisch. Die Verbindung zu akamaized.net kommt indirekt durch Videoask zu Stande, da dies auf Grund des Einsatzes von Vimeo nachgeladen wird.

Nutzt man zur Darstellung von animierten GIF-Dateien den Dienst Giphy, kommt eine weitere Verbindung zu einem US-Unternehmen (welche ebenfalls über IHRE Seite geladen werden) hinzu. Dabei handelt es sich um das Unternehmen Meta Platforms, Inc. (ehemals Facebook Inc.), da Giphy im Jahr 2020 von Facebook aufgekauft wurde.

Diese Umstände müssen SIE entsprechend innerhalb der Einwilligung sowie der Datenschutzerklärung abbilden.

Fazit – Beschreiben Sie transparent, was passiert!

Wollen Sie Videoask auf Ihrer Website einbinden, benötigen Sie nicht nur eine allgemeine datenschutzrechtliche Rechtfertigung nach Art. 6 DSGVO sondern auch eine zusätzliche Rechtfertigung nach Art. 44 ff. DSGVO wegen des damit verbundenen Datentransfers in ein sog. „unsicheres Drittland“ (hier: USA). Nach unserer Auffassung lässt sich beides zusammen wohl nur mit einer ausdrücklichen, informierten Einwilligung abbilden; wobei die Rechtslage hier noch „im Fluss“ ist und insbesondere die Folgen der Schrems-II-Entscheidung des EuGH in dieser und vielen anderen Konstellationen noch nicht abschließend geklärt sind.

Geht man unserer Auffassung folgend vor, dann bedeutet dies, das Tool und die damit zusammenhängenden Verbindungen, Cookies, sowie das Beschreiben des Local Storage müssen so lange geblockt werden, bis der Nutzer seine Einwilligung erteilt hat. Eine entsprechende technische Lösung durch ein Overlay, das das Blocken übernimmt und den notwendigen Text für die Information und Einholung einer Einwilligung anzeigen sowie diese Einwilligung auch technisch „einholen“ kann, hat unser Kooperationspartner Max mit seinem Team von Virtual Entity entwickelt. Sprechen Sie Max gerne hierzu an.

Wie weit Videoask am Ende DSGVO-konform ist, hängt nach unserer Auffassung stark davon ab, ob Sie rechtlich sauber beschreiben, wie Sie Videoask auf Ihrer Website konkret verwenden. Hierbei kommt es also auf die konkrete Formulierung Ihrer Datenschutzerklärung und Ihres Einwilligungstextes an. Die Einwilligung muss so formuliert sein, dass auch wirklich eine informierte Einwilligung vorliegt. Hier gilt es zahlreiche rechtliche Vorgaben zu beachten.

Gerne unterstützen wir Sie bei der Umsetzung und kümmern uns für Sie um Alles. Schreiben Sie uns einfach über das Kontaktformular an.

Fragen oder Hilfe?

Gerne helfen wir Ihnen dabei Ihre Website abmahnsicher zu machen.

Senden Sie uns Ihre Fragen einfach über das Kontaktformular oder per E-Mail an info@frame-for-business.de. Wir freuen uns auf Ihre Nachricht.

Datenschutzrechtlicher Hinweis* (Pflichtfeld)