Datenschutz in Videokonferenzen

Es werden in der Orientierungshilfe der DSK drei Möglichkeiten aufgezeigt, ein Videokonferenzsystem im Unternehmen zu implementieren:

• Der Betrieb durch einen externen IT-Dienstleister
• Ein selbst betriebener Dienst
• Die Nutzung eines Online-Dienstes

Möchte man ein solches System nicht selbst betreiben bzw. eine Online-Lösung verwenden, kann man einen externen Dienstleister damit beauftragen.

Hat der Dienstleister kein Eigeninteresse an den Daten und sein Auftrag besteht darin ein Videokonferenzsystem bereitzustellen und zu Warten, ist ein Auftragsverarbeitungsvertrag abzuschließen. Hierbei ist wichtig zu prüfen, ob die durch den Dienstleister eingesetzte Softwaredaten an den Hersteller oder an Dritte weitergibt.

Betreibt man ein Videokonferenzsystem selbst, besteht der Vorteil vor allem darin, dass die Datenerhebung und alle Datenflüsse selbst kontrolliert werden können. So ist recht leicht sicherzustellen, dass Daten nur so verarbeitet werden, wie vorgesehen.

Außerdem fällt die Überlegung von Anfang an weg, ob der Abschluss eines Auftragsverarbeitungsvertrags bzw. einer Vereinbarung zur gemeinsamen Verantwortlichkeit notwendig sind.

Die meisten Unternehmen bedienen sich aufgrund des schnellen und komfortablen Einsatzes jedoch eines SaaS-Tools (Software as a Service). Das bedeutet, dass der Dienst über das Internet angeboten wird.

Wie des Öfteren haben jedoch gerade die größten und bekanntesten Tools ihren Sitz in den USA und verarbeiten die Daten dort. Nach Entscheidungen des EuGHs und Wegfall des Eu-U.S Privacy Shields kann das problematisch sein.

Es werden in der Orientierungshilfe der DSK drei Möglichkeiten aufgezeigt, ein Videokonferenzsystem im Unternehmen zu implementieren:

Der Betrieb durch einen externen IT-Dienstleister

Ein selbst betriebener Dienst

Die Nutzung eines Online-Dienstes

Möchte man ein solches System nicht selbst betreiben bzw. eine Online-Lösung verwenden, kann man einen externen Dienstleister damit beauftragen.

Hat der Dienstleister kein Eigeninteresse an den Daten und sein Auftrag besteht darin ein Videokonferenzsystem bereitzustellen und zu Warten, ist ein Auftragsverarbeitungsvertrag abzuschließen. Hierbei ist wichtig zu prüfen, ob die durch den Dienstleister eingesetzte Softwaredaten an den Hersteller oder an Dritte weitergibt.

Betreibt man ein Videokonferenzsystem selbst, besteht der Vorteil vor allem darin, dass die Datenerhebung und alle Datenflüsse selbst kontrolliert werden können. So ist recht leicht sicherzustellen, dass Daten nur so verarbeitet werden, wie vorgesehen.

Außerdem fällt die Überlegung von Anfang an weg, ob der Abschluss eines Auftragsverarbeitungsvertrags bzw. einer Vereinbarung zur gemeinsamen Verantwortlichkeit notwendig sind.

Die meisten Unternehmen bedienen sich aufgrund des schnellen und komfortablen Einsatzes jedoch eines SaaS-Tools (Software as a Service). Das bedeutet, dass der Dienst über das Internet angeboten wird.

Wie des Öfteren haben jedoch gerade die größten und bekanntesten Tools ihren Sitz in den USA und verarbeiten die Daten dort. Nach Entscheidungen des EuGHs und Wegfall des Eu-U.S Privacy Shields kann das problematisch sein.

Die unumgehbaren Regelungen der DSGVO gelten seit dem Inkrafttreten am 25. Mai 2018 für jedes Unternehmen, welches in der Europäischen Union ansässig ist oder tätig wird. Dazu kommen die nationalen Regelungen, welche beispielsweise die Verschwiegenheit ergänzen. Rechtsanwälte sind z. B. zur Verschwiegenheit gem. § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) verpflichtet, um das Vertrauensverhältnis zum Mandanten zu wahren.

In der Regel werden bei dem Einsatz von Videokonferenz-Lösungen besondere Kategorien von personenbezogenen Daten verarbeitet. Daher müssen erhöhte Sicherheitsmaßnahmen getroffen werden, damit ein angemessenes Sicherheitsniveau gem. Art. 32 DSGVO gewahrt wird.

Außerdem relevant sind wegen der Verarbeitung dieser Daten auch sogenannte Datenschutz-Folgeabschätzungen (Risikoabschätzungen) gem. Art. 35 DSGVO. Die verantwortlichen Unternehmen müssen diese Maßnahmen in jedem Fall umsetzen. Die meisten Unternehmen entwickeln und betreiben keine eigenen Videokonferenz-Lösungen, daher ist der Rückgriff von Anbietern für Videokonferenzen höchst relevant.

Kommt ein solcher Anbieter zum Einsatz, wird häufig datenschutzrechtlich von einer Auftragsverarbeitung gem. Art. 4 Nr. 8 DSGVO gesprochen. Die weisungsgebundene Verarbeitung von personenbezogenen Daten (in diesem Fall die Videodaten der Videokonferenz-Anwendung als solche) sind hierfür maßgeblich. Im Ergebnis müssen für den Einsatz von diesen Anbietern sogenannte Auftragsverarbeitungs-Verträge gem. Art. 28 DSGVO vereinbart werden.

Dazu kommt, dass je nach Anbieter die gesetzlichen Anforderungen der Übermittlung personenbezogener Daten nach Art. 44 ff. DSGVO eingehalten werden müssen. Oft handelt es sich dabei um Anwendungen von US-Anbietern, deshalb sind sodann nach dem Schrems II-Urteil des EuGHs sogenannte Standarddatenschutzklauseln (SCC) sowie weitere zusätzliche Maßnahmen abzuschließen.

Im Übrigen müssen verantwortliche Unternehmen der Transparenzpflicht gem. Art. 5 Abs. 1 lit. a) DSGVO gerecht werden und ihre Informationspflicht erfüllen. Es müssen Maßnahmen ergriffen werden, welche eine präzise, transparente und leicht zugängliche Information über die Verarbeitung ermöglicht. Klassischerweise wird dafür von dem Datenschutzbeauftragten eine separate Datenschutzerklärung ausgearbeitet.

Wählt man eine Lösung für Videokonferenzen aus, sollte man die technischen Aspekte nicht aus dem Auge verlieren. Denn diese sollen sicherstellen, dass die Daten der Betroffenen keinen unnötigen Risiken ausgesetzt sind oder gar in falsche Hände geraten. Die folgenden Punkte sollten bei der Auswahl eines geeigneten Videokonferenz-Tools berücksichtigt werden.