Ist Gather Town DSGVO konform und wie steht es um den Datenschutz?

Der Schutz von Nutzerdaten ist nicht nur im Onlinehandel, sondern auch in Sachen Videokonferenzen und digitalen Veranstaltungen quasi allgegenwärtig. Wie das Schwert des Damokles schwebt der Datenschutz über den Anbietern und Systemen – vor allem und insbesondere durch die Gesetzgebungen in der EU und Deutschland. Doch wie steht es um den Datenschutz und die DSGVO bei Gather. Town? Zunächst einmal – ihr ahnt es bereits: Gather.town sitzt in den USA, dies ist auch der Standort der Gather.town Server. Es gibt aber auch eine ganze Reihe beruhigende und gute Nachrichten für euch.

Wir haben mittlerweile mehr als 300 Veranstaltungen und digitale Events für Landes- und Bundesbehörden, öffentlich-rechtliche Institutionen und Ministerien, zahlreiche Dax-Unternehmen, Organisationen der Vereinten Nationen, Parteien, Verbände und viele weitere Kunden mit Gather realisieren dürfen. Und natürlich haben die meisten unserer Projektpartner das Thema Datenschutz als ersten und wichtigsten Schritt unter die Lupe genommen. Datenschutz-Audits und umfangreiche Erläuterungen mit Datenschutzbeauftragten gehören insofern auch zu unserem Alltag. Und bisher können wir ganz klar sagen: Wenn der Wille da ist, gibt es auch Wege – sofern einige Einstellungen und Vorgaben beachtet werden. Besonders angenehm ist die Tatsache, dass für die Nutzung von Gather Town gar keine Registrierung, keine Anmeldung und auch kein Download einer App erforderlich ist.

DSGVO bei Gather.town: Teilnahme ohne Registrierung

In Sachen Datenschutz bei Gather Town heißt das, dass für die Teilnahme an einem digitalen Event gar keine Klarnamen erforderlich sind. Es braucht nicht einmal die Eingabe einer Email-Adresse. Lediglich die eigene Eingabe eines Spitznamens oder Synonyms ist beim Öffnen einer Veranstaltung vorgesehen – und dies auch nur nach ausdrücklichem, aktiven Einverständnis mit den Nutzungsbedingungen. Zumindest setzen wir die Gather Spaces in Absprache mit unseren Kunden entsprechend auf. Insofern werden im Vergleich zu anderen Videokonferenz-System erst gar nicht unnötige Mengen an Personendaten erhoben oder gespeichert.

Gleichwohl werden wie bei quasi jeder Internetnutzung Informationen wie Cookie Daten, die Location oder auch das Nutzerverhalten erfasst (siehe Datenschutz Gather Town). Die Daten werden von Gather während der Übertragung und im Ruhezustand verschlüsselt. Empfangene Daten werden während der Übertragung mit https, TLS und DTLS 1.3/SRTP verschlüsselt. Daten werden im Ruhezustand mit AES256 verschlüsselt. Alle persistenten Daten werden im Ruhezustand gemäß den Richtlinien von Google Cloud Firestore und Google Cloud Storage verschlüsselt. Chats und Anrufe werden während der Übertragung verschlüsselt, und alle gespeicherten Daten werden im Ruhezustand verschlüsselt.

Neu ist, seit März 2024, dass Gather nun die SOC 2 Typ II-Konformität und Zertifizierung erhalten hat. Im Rahmen des SOC2 Typ II Berichtes müssen insbesondere hinreichende Schutzmechanismen für die Bereiche Datensicherheit, Verfügbarkeit, Vertraulichkeit, Verarbeitungsintegrität sowie Datenschutz nachgewiesen werden. Sie umfassen daher auch die Bestätigung eines angemessenen Schutzes etwaiger Userdaten vor unbefugtem Zugriff sowie die Gewährleistung der Erkennung von Anomalien und Sicherheitsvorfällen im gesamten Ökosystem von Gather. Alle von Gather erhobenen, verwendeten oder gespeicherten personenbezogenen Daten müssen zudem konform mit den Datenschutzgrundsätzen, Regularien und Hinweisen sein. Die SOC 2 Zertifizierung ist ein freiwilliger Compliance-Standard und unterstreicht die Ernsthaftigkeit von Gather in Sachen Datenschutz.

Gerade im Bereich von Events bedarf es bei virtuellen Formaten natürlich ähnlich wie bei analogen Veranstaltungen eines Einladungsmanagements. Dieses bilden wir nicht direkt über Gather ab. Solltet ihr für eine digitale Veranstaltung mit Gather ein datenschutzkonformes Teilnehmermanagement benötigen, so bieten wir bei Meetingland mit unseren Kooperationspartnern saubere DSGVO konforme Möglichkeiten für das Gäste- und Teilnehmermanagement. Das heißt die Registrierungsdaten werden dann auf Servern in Deutschland in einem nach Iso 27001 zertifizierten Rechenzentrum verarbeitet und es liegt ein Vertrag zur Auftragsdatenverarbeitung nach DSGVO vor. Gerne können hierfür aber auch die unternehmenseigenen Systeme genutzt werden, sodass alle Daten auch weiterhin geschützt bei euch liegen und Teilnehmende lediglich den Zugangslink sowie einige Informationen vorab erhalten.

SSO: Single Sign-On bei Gather möglich?

Immer häufiger fragten uns vor allem größere Organisationen nach einer Möglichkeit, Gather auch mit einer SSO Einmalanmeldung zugänglich gemacht werden kann. Schließlich bietet das Single Sign-on durchaus Vorteile, da durch das gewohnte unternehmenseigene Authentifizierungsverfahren ein erhöhtes Schutzniveau vorhanden ist und ein Sicherheitsgewinn einhergeht. Und tatsächlich: Wir können für Enterprise Kunden eine SSO Lösung bei Gather.town anbieten. Hierfür involvieren wir idealerweise eure IT, um eure Domain(s) zu verifizieren und das DNS Management über einen neuen TXT Record entsprechend anzupassen. Die SSO Konfiguration erfolgt über WorkOS, wobei das Gather SSO kompatibel mit jedem Indentity Provider ist, der entweder SAML 2.0 oder OIDC Protokolle unterstützt. Hierzu zählen z.B. auch Azure, OneLogin, Google oder Okta.

Wir möchten jedoch erwähnen, dass die SSO Enterprise Lösung bei Gather mit erheblich höheren Lizenzkosten einhergeht. Konkret liegt die monatliche Nutzergebühr etwa doppelt so hoch gegenüber der normalen Variante ohne Single Sign-on. Entsprechend selten entscheiden sich Kunden dann tatsächlich für die Implementierung, da wir bereits auf klassische Weise einen hohen Datenschutzstandard gewähren können. Übrigens schon gewusst? Wir speichern keinerlei unternehmenseigene Dokumente oder Informationen auf Gather Servern. Selbst bei Events mit interaktiven Medienobjekten liegen diese Objekte nicht bei Gather, sondern im gewohnten geschützten Umfeld eurer Organisation oder einer anderen Cloud Lösung. Medien (z.B. Videos, PDF Dateien, Dokumente) werden also nur per Embedding eingebettet in Gather, zu keinem Zeitpunkt auf Gather Servern gehostet.

Datenverarbeitung und Datenschutz bei Gather: Vertragswerk

Wenn euch bei einem Meetingland Event mit Gather.Town der Datenschutz am Herzen liegt, sind wir als offizieller Gather Partner gerne auch im Binnenverhältnis zwischen euch als Veranstalter und Gather Town als technische Plattform behilflich. Konkret erhaltet ihr über unsere Ansprechpartner ein unterzeichnetes Data Processing Agreement, das alle technischen und organisatorischen Maßnahmen zum Schutz der Daten aufführt und damit die Datenübertragung im Rahmen der Standardvertragsklauseln konform in die USA ermöglicht. Insbesondere können wir auf diese Weise gewährleisten, dass trotz Serverstandortes die Einhaltung der wesentlichsten gesetzlichen EU Vorgaben zugesichert werden.

Solltet ihr z.B. für die interne Freigabe von Gather durch eure IT Compliance oder gemeinsam mit den Datenschutzbeauftragten Unterstützung benötigen, holt uns gerne frühzeitig mit ins Boot. Gerne übernehmen wir auch das gesamte Lizenz-Handling, sodass eurerseits keinerlei Kreditkartenzahlungen vorab in die USA notwendig sind, sondern ihr im Nachgang von uns eine saubere deutsche Rechnung in EUR erhaltet, die bequem per Banküberweisung beglichen werden kann. Auf Wunsch beteiligen wir uns auch an entsprechenden Vergabeverfahren oder offiziellen Ausschreibungen mit einem Angebot.

Gather hat uns in Sachen Datenschutz weitere Details zur Verfügung gestellt. So gibt Gather zum Beispiel an, dass personenbezogene Daten nur so lange aufbewahrt werden, wie dies für die in der Datenschutzrichtlinie dargelegten rechtmäßigen Geschäftszwecke erforderlich ist. Auch in Bezug auf die DSGVO hat sich Gather bereits wie folgt selbstverpflichtet: Nutzerinnen und Nutzer mit Wohnsitz in der Europäischen Union (EU) und im Europäischen Wirtschaftsraum (EWR), werden beim Thema Datenschutz von Gather weitere umfangreiche Rechts eingeräumt. Diese umfassen folgende Rechte:

Das Recht,

• auf alle Informationen, die Gather über sie erfasst, zuzugreifen, sie zu löschen oder zu aktualisieren
• auf Berichtigung der erfassten Informationen, wenn diese Informationen unvollständig oder falsch sind
• der Verarbeitung ihrer Daten zu widersprechen
• zu verlangen, dass Gather.Town die Verarbeitung dieser Daten einschränkt
• eine Kopie ihrer personenbezogenen Daten in einem maschinenlesbaren und gängigen Format anzufordern
• ihre Einwilligung zur Verarbeitung jederzeit zu widerrufen

Empfehlung zu DSGVO bei Gather.Town

Ähnlich wie bei Discord und vielen anderen amerikanischen Tools oder Plattformen sind noch nicht alle Aspekte beim Datenschutz von Gather 100% konform mit den hohen Anforderungen der DSGVO. Da keine Nutzerdaten aus den Meetings selbst gespeichert werden und die Technik mit einer realitätsnahen Dynamik der Events absolut innovativ und einzigartig ist, entscheiden sich selbst Behörden, staatliche Einrichtungen und öffentlich-rechtliche Institutionen auch für öffentliche Großveranstaltungen für die Nutzung.

Wir sehen als wichtigstes Argument neben dem hohen Schutzstandard und der modernen Infrastruktur, dass eine Teilnahme an Gather Events komplett ohne Eingabe einer Email-Adresse oder eines Klarnamens möglich ist. Hinzu kommt, dass eine Vielzahl der aktuell führenden Videokonferenz-Systeme momentan allein durch den Serverstandort nicht vollends den EU Richtlinien entsprechen können. Sollte in der Gesamtabwägung eine Nutzung von Gather für eure Veranstaltung nicht in Frage kommen, beraten wir euch gerne bei der Wahl passender Alternativen. Sprecht uns einfach mal an!