Setzen Sie zunächst einen Filter und Sie erhalten maßgeschneiderte Informationen.

Lädt...

Datenschutz im Unternehmen

Videokonferenz und Datenschutz: Darauf kommt es an

Spätestens seit der Corona-Pandemie haben Unternehmen die Vorteile von Videokonferenzen erkannt. Immer mehr Meetings finden ohne ein persönliches Treffen der Beteiligten statt. Das spart Zeit und Reisekosten. Doch was gilt beim Thema Videokonferenz in Bezug auf den Datenschutz?

Datenschutz bei Videokonferenzen

Was haben Videokonferenzen mit Datenschutz zu tun?

Die einfache Antwort lautet: eine Menge. Zwar sind Meetings im Team oder Verhandlungen mit Kunden per Online-Videoschalte mittlerweile fest im Arbeitsalltag integriert und die Teilnehmer loggen sich freiwillig ein. Trotzdem werden an dieser Stelle personenbezogene Daten verarbeitet. Das betrifft nicht nur Bild und Ton, aus datenschutzrechtlicher Sicht sind auch die Metadaten wichtig. Damit Sie in Ihrem Unternehmen jede Videokonferenz datenschutzkonform durchführen, sind einige Aspekte essenziell. Das betrifft sowohl die Auswahl des Videoprogramms als auch die Durchführung der Konferenzschaltung selbst. Deshalb haben die Datenschutzaufsichtsbehörden der Länder in ihrer Datenschutzkonferenz eine Orientierungshilfe zu den Anforderungen an Videokonferenzsysteme erstellt. Wir haben hier die wichtigsten Hinweise dieser Videokonferenz-Datenschutz-Empfehlung aufbereitet und für Sie zusammengefasst, damit Sie die Datenschutz-Grundverordnung (DSGVO) jederzeit einhalten.

Möglichkeiten zur Integration von Videokonferenzen in den Arbeitsablauf

Die Datenschutzaufsichtsbehörden der Länder gehen auf drei verschiedene Arten von Videokonferenzsystemen ein, mit denen Sie diese Technik in Ihren Betriebsablauf integrieren können. Das sind:

  • ein selbst betriebener Videokonferenzdienst
  • ein durch einen externen IT-Dienstleister betriebener Videokonferenzdienst
  • ein Online-Videokonferenzdienst (z. B. Zoom, BigBlueButton, Microsoft Teams, wobei nicht alle eine Videokonferenz nach DSGVO-Grundsätzen ermöglichen)

Selbst betriebene Videokonferenzen

Der Datenschutz bei Videokonferenzen, die Sie selbst betreiben, ist besonders einfach sicherzustellen. Denn Sie kontrollieren selbst alle Datenflüsse und bestimmen darüber, welche Daten erhoben und wie diese möglicherweise verarbeitet oder gespeichert werden. Damit ist jederzeit sichergestellt, dass alle personenbezogenen oder Metadaten nur so verwendet werden, wie geplant und erlaubt. Weiterhin können Sie auf die Erteilung eines Auftragsverarbeitungsvertrags oder eine Erklärung zur gemeinsamen Verantwortlichkeit mit einem Drittanbieter verzichten.

Zu den Nachteilen des eigenen Systems gehören der hohe Aufwand für die Einrichtung und Pflege sowie die Integration verschiedenster Endgeräte (z. B. von Kunden oder Mandanten) und die hohen Kosten.

IT-Dienstleister mit der Einrichtung eines Videokonferenzsystems beauftragen

Für kleinere Unternehmen oder Kanzleien ohne eigene IT-Abteilung und IT-Expertise lohnt sich ein eigenes System nicht. Hier kann die Beauftragung eines externen Dienstleisters mit der Einrichtung, Wartung und Pflege eines Videokonferenzsystems die Alternative sein. Damit jede Videokonferenz den Datenschutz gewährleistet, prüfen Sie vor Auftragsvergabe und nach der Installation Folgendes:

  • Hat das IT-Unternehmen Interesse an den verarbeiteten Daten? Ist das nicht der Fall, reicht der Abschluss eines Auftragsverarbeitungsvertrags.
  • Hat der Anbieter dagegen Interesse an der Nutzung der gewonnenen Daten, legen Sie die Grenzen vertraglich genau fest und bestehen Sie auf einer Erklärung der gemeinsamen Verantwortlichkeit.
  • Überprüfen Sie, ob die vom Dienstleister genutzte Softwarelösung Daten an den Hersteller oder dritte Parteien weiterleitet.

Online-Videokonferenz DSGVO-konform abhalten

Besonders schnell und bequem sind SaaS-Lösungen (Software as a Service), die keine große Installation oder Integration benötigen und deren Services über das Internet angeboten werden. Insbesondere, als während der Corona-Pandemie plötzlich Millionen Kindergartenkinder und Schülerinnen und Schüler zu Hause bleiben mussten und die Betreuung durch die Eltern benötigten, boomte die Nutzung von Zoom oder Microsoft Teams. Nicht nur Unternehmen und Behörden stellten so den Betrieb sicher, auch der Unterricht wurde häufig so erteilt.

Das ist allerdings bei einer Videokonferenz hinsichtlich des Datenschutzes problematisch. Genau diese so bekannten und beliebten Anbieter unterhalten ihren Sitz in den USA und führen dort die Datenverarbeitung durch. Denn der Wegfall des EU-U.S. Privacy Shields und die Entscheidung des Europäischen Gerichtshofs (EuGH) zum Beschäftigtendatenschutz besitzen erhebliche Sprengkraft.

Sie schließen mit Ihrem bevorzugten Anbieter einen Auftragsverarbeitungsvertrag ab. Prüfen Sie vorher genau, ob die technischen und organisatorischen Maßnahmen der möglichen Vertragspartner bei einer Videokonferenz den Datenschutz wahren. Dabei gilt:

  • Bevorzugen Sie einen Videokonferenzanbieter, der seinen Sitz innerhalb der Europäischen Union (EU) hat, so ist der Datenschutz für Videokonferenzen leichter sicherzustellen.
  • Fällt Ihre Entscheidung auf einen der bekannten Top-Anbieter aus den USA, stellen Sie sicher, dass Sie zusätzliche Garantien für die Sicherheit bei der Datenverarbeitung in den USA erhalten.

In ihrer gemeinsamen Orientierungshilfe weisen die Datenaufsichtsbehörden der Länder explizit darauf hin, dass Standardklausen und andere standardisierte Vertragsgarantien in puncto Videokonferenz und Datenschutz nicht ausreichend sind.

Nach der Entscheidung des EuGH sind Sie verpflichtet, weitere Vorkehrungen zu treffen, um sicherzustellen, dass die hohen datenschutzrechtlichen Standards der EU auch bei einer Datenverarbeitung in den Vereinigten Staaten eingehalten werden.

Merke:

Es wird bei einer Videokonferenz der Datenschutz gewahrt, wenn bei einer Datenverarbeitung außerhalb der EU deren hohe Vorgaben eingehalten oder übertroffen werden.

Rechtliche Anforderungen an den Datenschutz bei Videokonferenzen

Damit bei einer Videokonferenz der Datenschutz für alle Betroffenen gewährt wird, sind viele Regeln zu beachten.

Bestimmen Sie die Verantwortlichen

Untersuchen und definieren Sie die datenschutzrechtlichen Verantwortlichkeiten genau, bevor Sie ein Videokonferenzsystem nutzen. Vermeiden Sie, dass der gewählte Dienst Teilnehmerdaten zu eigenen Zwecken verarbeitet oder an Dritte (z. B. Werbung, Tracking) weitergibt. Denn andernfalls entsteht eine gemeinsame Verantwortlichkeit und der Anbieter benötigt eine eigene Rechtsgrundlage zur Datenerhebung. Das macht eine Videokonferenz, die datenschutzkonform gestaltet ist, nahezu unmöglich.

Schließen Sie die Datennutzung durch den Anbieter aus und treffen Sie einen Auftragsverarbeitungsvertrag.

Rechtsgrundlage festlegen

Jede Verarbeitung der Daten von Mitarbeitern muss auf einer Rechtsgrundlage erfolgen. Das gilt nicht nur für Teilnehmer an der Videokonferenz: Der Datenschutz gilt auch für Autoren von in der Konferenz vorgestellten oder verschickten Dokumenten. Viele Unternehmen umgehen das Problem der Rechtsgrundlage und holen stattdessen die Einwilligung der Teilnehmer zur Datenverarbeitung ein.

Dabei stellt sich folgendes Problem:

  • Die Einwilligung muss freiwillig erfolgen.
  • Hat ein Angestellter keine andere Wahl, als an der Videokonferenz teilzunehmen, weil er sonst essenzielle Informationen nicht erhält, ist eine Freiwilligkeit nicht gegeben.

Daher ist es wichtig, Alternativen zur Videokonferenz anzubieten.

Achten Sie auch darauf, ob das von Ihnen gewählte Videokonferenztool die Überwachung von Mitarbeitern ermöglicht, also beispielsweise Anwesenheit und Abwesenheit erfasst. In diesem Fall könnten die schutzwürdigen Interessen der Mitarbeiter überwiegen. Außerdem müsste der Betriebsrat einer Nutzung zustimmen.

Häufig dienen Videokonferenzen dazu, den Kontakt zu Kollegen und Kolleginnen im Homeoffice zu halten. Das stellt hohe Anforderungen an den Datenschutz während der Videokonferenz. Denn den Einblicken in die private Wohnung haben die Mitarbeiter in der Regel nicht zugestimmt.

Die Datenschützer empfehlen folgendes Vorgehen:

  • Weisen Sie Ihre Angestellten an, den Hintergrund unscharf zu stellen.
  • Alternativ ordnen Sie die Nutzung eines virtuellen Hintergrundes an, der die Wohnsituation komplett überdeckt. Solche Tools gehören bei vielen Anbietern mittlerweile zur Grundausstattung.

Informationspflichten im Sinne des Datenschutzes bei Videokonferenzen

Der Verantwortliche ist dazu verpflichtet, die Teilnehmer gemäß der Artikel 13 und 14 DSGVO über die mit der Nutzung des Videokonferenzsystems verbundene Datenverarbeitung zu informieren.

  • Die Kontaktdaten des Verantwortlichen und evtl. seines Datenschutzbeauftragten sind anzugeben.
  • Art und Zweck sowie die Rechtsgrundlage der Verarbeitung der Daten müssen genau ausgeführt werden.
  • Die Verarbeitung und Speicherung der Videokonferenz laut Datenschutz ist auf die Dauer derselben beschränkt.
  • Ohne explizite Zustimmung aller Betroffenen ist die Aufnahme einer Videokonferenz gemäß DSGVO unzulässig.

Technische Voraussetzungen für den Videokonferenz-Datenschutz

Die Technik muss ebenfalls gewisse Standards erfüllen, damit während einer Videokonferenz der Datenschutz sichergestellt ist.

Videokonferenz: Datenschutz bei der Verarbeitung

Bei Videokonferenzen werden persönliche Daten online versendet. Daher ist mindestens eine einfache Verschlüsselung erforderlich. Kommen bei der Besprechung besonders sensible Daten (z. B. die Gesundheit) zur Sprache, ist eine Ende-zu-Ende-Verschlüsselung unerlässlich. Die Datenschützer empfehlen wegen des zusätzlichen Risikos das Hochladen von Dokumenten, geteilte Screens und private Chats zu verbieten.

Datenschutz bei Videokonferenzen durch Zugangskontrolle

Sorgen Sie dafür, dass Sie den Zugang zu einer Konferenzschaltung kontrollieren. Wir raten zu folgenden Maßnahmen:

  • Für normale Videokonferenzen genügt ein Zugang über Nutzername und Passwort.
  • Sollen sensible Themen erörtert werden, ist eine Zwei-Faktor-Authentifizierung sicherer.
  • Über einen Gastzugang können Sie weitere Teilnehmer einladen.
  • Bevorzugen Sie Videokonferenzen mit Teilnehmern, die sich alle persönlich kennen. So sind Unbefugte leicht zu erkennen.
  • Sicherheitssysteme ermöglichen die Erkennung nicht Berechtigter und deren Ausschluss bereits, bevor sie in die Konferenz eingeschaltet werden.

Updates sichern den Videokonferenz-Datenschutz

Sorgen Sie für trenn- und klar zuweisbare Rollen, wenn Sie ein Videokonferenzsystem auswählen. Wichtig sind mindestens die folgenden Positionen:

  • Administrator: Diese Person ist verantwortlich für die Festsetzung der Parameter und weist die Moderatorenposition zu.
  • Moderator: In dieser Position ist es möglich, Videokonferenzen anzusetzen, Teilnehmer einzuladen und auszuschließen, Zugang zur Konferenz zu ge- oder verwehren und die Präsentationsposition zuzuteilen.
  • Präsentator: In dieser Funktion ist es erlaubt, Medien und Dokumente zu präsentieren und den Zuhörern das Wort zu erteilen.
  • Teilnehmer: In dieser Rolle ist lediglich die Steuerung der eigenen Geräte möglich. Achten Sie darauf, dass jeder Teilnehmer immer die Steuerung über seine Kamera und sein Mikro behält.

Datensparsamkeit ist der Grundsatz des Datenschutzes bei Videokonferenzen

Sie oder der von Ihnen beauftragte Dienstleiter dürfen nur die Daten verarbeiten, die zwingend für die Durchführung der Videokonferenz erforderlich sind und für die eine Rechtsgrundlage besteht. Weitere Erkenntnisse wie Telemetriedaten oder Daten über das Nutzerverhalten dürfen nur verarbeitet werden, wenn es unbedingt nötig ist. Das kann z. B. der Fall sein, wenn ein Teilnehmer in mehreren Konferenzen gleichzeitig präsent ist.

Bei Videokonferenzen an den Datenschutz denken!

Während der Corona-Pandemie versuchten die meisten Unternehmen und Behörden lediglich, zu funktionieren. Die Wahl der Tools erfolgte nach Verfügbarkeit und nach Erfahrungen aus dem privaten Rahmen. Bei einer Videokonferenz kam der Datenschutz kaum zur Sprache. Mittlerweile gibt es allerdings klare Regeln und Lösungen, die diesen berücksichtigen. Das heißt, spätestens nach diesem Text sollten Sie Ihr Videokonferenzsystem datenschutzrechtlich auf den aktuellen Stand bringen.

Und denken Sie daran, dass der Datenschutz die Aufzeichnung einer Videokonferenz ohne besondere Zustimmung nicht abdeckt, und verbieten Sie dem gesamten Teilnehmerkreis den Mitschnitt.

Benötigen Sie weitere Hilfe?

Kontaktieren Sie uns

Sie Verwenden einen veralteten Browser oder den IE11 im Kompatiblitätsmodus. Bitte deaktivieren Sie diesen Modus oder nutzen Sie einen anderen Browser!