Datenschutz in Videokonferenzen
Möglichkeiten für den Einsatz von Videokonferenzen
Es werden in der Orientierungshilfe der DSK drei Möglichkeiten aufgezeigt, ein Videokonferenzsystem im Unternehmen zu implementieren:
- Der Betrieb durch einen externen IT-Dienstleister
- Ein selbst betriebener Dienst
- Die Nutzung eines Online-Dienstes
Videokonferenzen mit IT-Dienstleister
Möchte man ein solches System nicht selbst betreiben bzw. eine Online-Lösung verwenden, kann man einen externen Dienstleister damit beauftragen.
Hat der Dienstleister kein Eigeninteresse an den Daten und sein Auftrag besteht darin ein Videokonferenzsystem bereitzustellen und zu Warten, ist ein Auftragsverarbeitungsvertrag abzuschließen. Hierbei ist wichtig zu prüfen, ob die durch den Dienstleister eingesetzte Softwaredaten an den Hersteller oder an Dritte weitergibt.
Selbst betriebene Videokonferenz
Betreibt man ein Videokonferenzsystem selbst, besteht der Vorteil vor allem darin, dass die Datenerhebung und alle Datenflüsse selbst kontrolliert werden können. So ist recht leicht sicherzustellen, dass Daten nur so verarbeitet werden, wie vorgesehen.
Außerdem fällt die Überlegung von Anfang an weg, ob der Abschluss eines Auftragsverarbeitungsvertrags bzw. einer Vereinbarung zur gemeinsamen Verantwortlichkeit notwendig sind.
Nutzung von Online-Videokonferenz-Tools
Die meisten Unternehmen bedienen sich aufgrund des schnellen und komfortablen Einsatzes jedoch eines SaaS-Tools (Software as a Service). Das bedeutet, dass der Dienst über das Internet angeboten wird.
Wie des Öfteren haben jedoch gerade die größten und bekanntesten Tools ihren Sitz in den USA und verarbeiten die Daten dort. Nach Entscheidungen des EuGHs und Wegfall des Eu-U.S Privacy Shields kann das problematisch sein.
Möglichkeiten für den Einsatz von Videokonferenzen
Es werden in der Orientierungshilfe der DSK drei Möglichkeiten aufgezeigt, ein Videokonferenzsystem im Unternehmen zu implementieren:
Der Betrieb durch einen externen IT-Dienstleister
Ein selbst betriebener Dienst
Die Nutzung eines Online-Dienstes
Videokonferenzen mit IT-Dienstleister
Möchte man ein solches System nicht selbst betreiben bzw. eine Online-Lösung verwenden, kann man einen externen Dienstleister damit beauftragen.
Hat der Dienstleister kein Eigeninteresse an den Daten und sein Auftrag besteht darin ein Videokonferenzsystem bereitzustellen und zu Warten, ist ein Auftragsverarbeitungsvertrag abzuschließen. Hierbei ist wichtig zu prüfen, ob die durch den Dienstleister eingesetzte Softwaredaten an den Hersteller oder an Dritte weitergibt.
Selbst betriebene Videokonferenz
Betreibt man ein Videokonferenzsystem selbst, besteht der Vorteil vor allem darin, dass die Datenerhebung und alle Datenflüsse selbst kontrolliert werden können. So ist recht leicht sicherzustellen, dass Daten nur so verarbeitet werden, wie vorgesehen.
Außerdem fällt die Überlegung von Anfang an weg, ob der Abschluss eines Auftragsverarbeitungsvertrags bzw. einer Vereinbarung zur gemeinsamen Verantwortlichkeit notwendig sind.
Nutzung von Online-Videokonferenz-Tools
Die meisten Unternehmen bedienen sich aufgrund des schnellen und komfortablen Einsatzes jedoch eines SaaS-Tools (Software as a Service). Das bedeutet, dass der Dienst über das Internet angeboten wird.
Wie des Öfteren haben jedoch gerade die größten und bekanntesten Tools ihren Sitz in den USA und verarbeiten die Daten dort. Nach Entscheidungen des EuGHs und Wegfall des Eu-U.S Privacy Shields kann das problematisch sein.
- Werden Daten vom Anbieter für eigene Zwecke erhoben?
Es muss geklärt werden, welche Daten dies sind und ob Sie beispielsweise eine Einwilligung der Teilnehmer einholen müssen.
- Welche Daten mit Personenbezug werden ermittelt und auf welcher Grundlage geschieht dies?
Hierüber sind die Teilnehmer ausreichen aufzuklären.
- Liegt eine Auftragsverarbeitung vor?
Ist das der Fall, ist es notwendig, einen Vertrag hierüber abzuschließen.
- Wie erfolgt die hausinterne Dokumentation?
Es wird eine Lösung benötigt, um die genannten Punkte angemessen dokumentieren und anschließend abrufen zu können.
Datenschutz bei Videokonferenz-Lösungen
Die unumgehbaren Regelungen der DSGVO gelten seit dem Inkrafttreten am 25. Mai 2018 für jedes Unternehmen, welches in der Europäischen Union ansässig ist oder tätig wird. Dazu kommen die nationalen Regelungen, welche beispielsweise die Verschwiegenheit ergänzen. Rechtsanwälte sind z. B. zur Verschwiegenheit gem. § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) verpflichtet, um das Vertrauensverhältnis zum Mandanten zu wahren.
In der Regel werden bei dem Einsatz von Videokonferenz-Lösungen besondere Kategorien von personenbezogenen Daten verarbeitet. Daher müssen erhöhte Sicherheitsmaßnahmen getroffen werden, damit ein angemessenes Sicherheitsniveau gem. Art. 32 DSGVO gewahrt wird.
Außerdem relevant sind wegen der Verarbeitung dieser Daten auch sogenannte Datenschutz-Folgeabschätzungen (Risikoabschätzungen) gem. Art. 35 DSGVO. Die verantwortlichen Unternehmen müssen diese Maßnahmen in jedem Fall umsetzen. Die meisten Unternehmen entwickeln und betreiben keine eigenen Videokonferenz-Lösungen, daher ist der Rückgriff von Anbietern für Videokonferenzen höchst relevant.
Kommt ein solcher Anbieter zum Einsatz, wird häufig datenschutzrechtlich von einer Auftragsverarbeitung gem. Art. 4 Nr. 8 DSGVO gesprochen. Die weisungsgebundene Verarbeitung von personenbezogenen Daten (in diesem Fall die Videodaten der Videokonferenz-Anwendung als solche) sind hierfür maßgeblich. Im Ergebnis müssen für den Einsatz von diesen Anbietern sogenannte Auftragsverarbeitungs-Verträge gem. Art. 28 DSGVO vereinbart werden.
Dazu kommt, dass je nach Anbieter die gesetzlichen Anforderungen der Übermittlung personenbezogener Daten nach Art. 44 ff. DSGVO eingehalten werden müssen. Oft handelt es sich dabei um Anwendungen von US-Anbietern, deshalb sind sodann nach dem Schrems II-Urteil des EuGHs sogenannte Standarddatenschutzklauseln (SCC) sowie weitere zusätzliche Maßnahmen abzuschließen.
Im Übrigen müssen verantwortliche Unternehmen der Transparenzpflicht gem. Art. 5 Abs. 1 lit. a) DSGVO gerecht werden und ihre Informationspflicht erfüllen. Es müssen Maßnahmen ergriffen werden, welche eine präzise, transparente und leicht zugängliche Information über die Verarbeitung ermöglicht. Klassischerweise wird dafür von dem Datenschutzbeauftragten eine separate Datenschutzerklärung ausgearbeitet.
Informationssicherheit bei Videokonferenzen
Wählt man eine Lösung für Videokonferenzen aus, sollte man die technischen Aspekte nicht aus dem Auge verlieren. Denn diese sollen sicherstellen, dass die Daten der Betroffenen keinen unnötigen Risiken ausgesetzt sind oder gar in falsche Hände geraten. Die folgenden Punkte sollten bei der Auswahl eines geeigneten Videokonferenz-Tools berücksichtigt werden.
- Verschlüsselung
Die Videoverbindungen müssen einer Ende-zu-Ende-Verschlüsselung unterliegen.
- Angemessene Konfigurationsmöglichkeiten
Das Tool muss unbedingt so konfigurierbar sein, dass es den datenschutzrechtlichen Anforderungen gerecht wird.
- Kontrolle über Protokollierung
Nutzer sollten die Möglichkeit haben, Konferenzprotokolle (z. B. Chatverläufe) unmittelbar löschen zu können. Dabei sollte auch der Anbieter nach der Löschung keinen Zugriff mehr darauf haben.
- Teilnahmekontrolle
Im besten Fall verfügt jeder Mitarbeiter/Teilnehmer über ein eigenes Nutzerkonto, damit er eindeutig identifizierbar ist. Der Zugang zu einer Konferenzverbindung sollte nur berechtigten Personen ermöglicht werden, beispielsweise via Einladung oder Passwortschutz.
- Schulung der Mitarbeiter
Jeder einzelne Teilnehmer der Videokonferenz sollte im Voraus darüber unterrichtet worden sein, wie sie ein Tool einsetzen, damit keine Datenschutzverstöße begangen und andere Datenrisiken minimiert werden.