Titelbild Datenschutz in Videokonferenzen

Datenschutz in Videokonferenzen

Arbeitszeiten Datenschutzkonform erfassen.
Ratgeber

Möglichkeiten für den Einsatz von Videokonferenzen

Es werden in der Orientierungshilfe der DSK drei Möglichkeiten aufgezeigt, ein Videokonferenzsystem im Unternehmen zu implementieren:

Der Betrieb durch einen externen IT-Dienstleister

Ein selbst betriebener Dienst

Die Nutzung eines Online-Dienstes

Videokonferenzen mit IT-Dienstleister

Möchte man ein solches System nicht selbst betreiben bzw. eine Online-Lösung verwenden, kann man einen externen Dienstleister damit beauftragen.

Hat der Dienstleister kein Eigeninteresse an den Daten und sein Auftrag besteht darin ein Videokonferenzsystem bereitzustellen und zu Warten, ist ein Auftragsverarbeitungsvertrag abzuschließen. Hierbei ist wichtig zu prüfen, ob die durch den Dienstleister eingesetzte Softwaredaten an den Hersteller oder an Dritte weitergibt.

Selbst betriebene Videokonferenz

Betreibt man ein Videokonferenzsystem selbst, besteht der Vorteil vor allem darin, dass die Datenerhebung und alle Datenflüsse selbst kontrolliert werden können. So ist recht leicht sicherzustellen, dass Daten nur so verarbeitet werden, wie vorgesehen.

Außerdem fällt die Überlegung von Anfang an weg, ob der Abschluss eines Auftragsverarbeitungsvertrags bzw. einer Vereinbarung zur gemeinsamen Verantwortlichkeit notwendig sind.

Nutzung von Online-Videokonferenz-Tools

Die meisten Unternehmen bedienen sich aufgrund des schnellen und komfortablen Einsatzes jedoch eines SaaS-Tools (Software as a Service). Das bedeutet, dass der Dienst über das Internet angeboten wird.

Wie des Öfteren haben jedoch gerade die größten und bekanntesten Tools ihren Sitz in den USA und verarbeiten die Daten dort. Nach Entscheidungen des EuGHs und Wegfall des Eu-U.S Privacy Shields kann das problematisch sein.

Datenschutzrechtliche Aspekte bei Videokonferenzen

Das Arbeiten im Homeoffice hat im Arbeitsalltag von vielen Menschen eine wesentliche Rolle eingenommen und auch die Online-Kommunikation hat zuletzt stark an Bedeutung gewonnen. Sucht man also nach einem geeigneten Konferenztool für die Arbeit und die eigene Firma, merkt man schnell, die Auswahl ist groß.

Der Großteil der Anbieter wirbt mit zahlreichen Funktionen und einer schnellen und unkomplizierten Einrichtung. Doch bei der Auswahl gibt es noch mehr zu beachten. Besonders die datenschutzrechtlichen Aspekte dürfen nicht außen vor gelassen werden.

Bevor Sie sich also für ein bestimmtes Konferenztool entscheiden, sollten Sie folgende Fragen klären:

Werden Daten vom Anbieter für eigene Zwecke erhoben?

Es muss geklärt werden, welche Daten dies sind und ob Sie beispielsweise eine Einwilligung der Teilnehmer einholen müssen.

Welche Daten mit Personenbezug werden ermittelt und auf welcher Grundlage geschieht dies?

Hierüber sind die Teilnehmer ausreichen aufzuklären.

Liegt eine Auftragsverarbeitung vor?

Ist das der Fall, ist es notwendig, einen Vertrag hierüber abzuschließen.

Wie erfolgt die hausinterne Dokumentation?

Es wird eine Lösung benötigt, um die genannten Punkte angemessen dokumentieren und anschließend abrufen zu können.

Datenschutz bei Videokonferenz-Lösungen

Die unumgehbaren Regelungen der DSGVO gelten seit dem Inkrafttreten am 25. Mai 2018 für jedes Unternehmen, welches in der Europäischen Union ansässig ist oder tätig wird. Dazu kommen die nationalen Regelungen, welche beispielsweise die Verschwiegenheit ergänzen. Rechtsanwälte sind z. B. zur Verschwiegenheit gem. § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) verpflichtet, um das Vertrauensverhältnis zum Mandanten zu wahren.

In der Regel werden bei dem Einsatz von Videokonferenz-Lösungen besondere Kategorien von personenbezogenen Daten verarbeitet. Daher müssen erhöhte Sicherheitsmaßnahmen getroffen werden, damit ein angemessenes Sicherheitsniveau gem. Art. 32 DSGVO gewahrt wird.

Außerdem relevant sind wegen der Verarbeitung dieser Daten auch sogenannte Datenschutz-Folgeabschätzungen (Risikoabschätzungen) gem. Art. 35 DSGVO. Die verantwortlichen Unternehmen müssen diese Maßnahmen in jedem Fall umsetzen. Die meisten Unternehmen entwickeln und betreiben keine eigenen Videokonferenz-Lösungen, daher ist der Rückgriff von Anbietern für Videokonferenzen höchst relevant.

Kommt ein solcher Anbieter zum Einsatz, wird häufig datenschutzrechtlich von einer Auftragsverarbeitung gem. Art. 4 Nr. 8 DSGVO gesprochen. Die weisungsgebundene Verarbeitung von personenbezogenen Daten (in diesem Fall die Videodaten der Videokonferenz-Anwendung als solche) sind hierfür maßgeblich. Im Ergebnis müssen für den Einsatz von diesen Anbietern sogenannte Auftragsverarbeitungs-Verträge gem. Art. 28 DSGVO vereinbart werden.

Dazu kommt, dass je nach Anbieter die gesetzlichen Anforderungen der Übermittlung personenbezogener Daten nach Art. 44 ff. DSGVO eingehalten werden müssen. Oft handelt es sich dabei um Anwendungen von US-Anbietern, deshalb sind sodann nach dem Schrems II-Urteil des EuGHs sogenannte Standarddatenschutzklauseln (SCC) sowie weitere zusätzliche Maßnahmen abzuschließen.

Im Übrigen müssen verantwortliche Unternehmen der Transparenzpflicht gem. Art. 5 Abs. 1 lit. a) DSGVO gerecht werden und ihre Informationspflicht erfüllen. Es müssen Maßnahmen ergriffen werden, welche eine präzise, transparente und leicht zugängliche Information über die Verarbeitung ermöglicht. Klassischerweise wird dafür von dem Datenschutzbeauftragten eine separate Datenschutzerklärung ausgearbeitet.

Datenschutz in Videokonferenzen Gericht Icon

Informationssicherheit bei Videokonferenzen

Wählt man eine Lösung für Videokonferenzen aus, sollte man die technischen Aspekte nicht aus dem Auge verlieren. Denn diese sollen sicherstellen, dass die Daten der Betroffenen keinen unnötigen Risiken ausgesetzt sind oder gar in falsche Hände geraten. Die folgenden Punkte sollten bei der Auswahl eines geeigneten Videokonferenz-Tools berücksichtigt werden.

Verschlüsselung

Die Videoverbindungen müssen einer Ende-zu-Ende-Verschlüsselung unterliegen.

Angemessene Konfigurationsmöglichkeiten

Das Tool muss unbedingt so konfigurierbar sein, dass es den datenschutzrechtlichen Anforderungen gerecht wird.

Kontrolle über Protokollierung

Nutzer sollten die Möglichkeit haben, Konferenzprotokolle (z. B. Chatverläufe) unmittelbar löschen zu können. Dabei sollte auch der Anbieter nach der Löschung keinen Zugriff mehr darauf haben.

Teilnahmekontrolle

Im besten Fall verfügt jeder Mitarbeiter/Teilnehmer über ein eigenes Nutzerkonto, damit er eindeutig identifizierbar ist. Der Zugang zu einer Konferenzverbindung sollte nur berechtigten Personen ermöglicht werden, beispielsweise via Einladung oder Passwortschutz.

Schulung der Mitarbeiter

Jeder einzelne Teilnehmer der Videokonferenz sollte im Voraus darüber unterrichtet worden sein, wie sie ein Tool einsetzen, damit keine Datenschutzverstöße begangen und andere Datenrisiken minimiert werden.

Vorheriger Beitrag
Datenschutz beim Erfassen der Arbeitszeiten
Nächster Beitrag
Mailchimp und DSGVO
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. - Fr.: 08:00 - 17:30 Uhr