Video- und Telefonkonferenzen - Datenschutz
In Zeiten von Corona und Kontaktsperren, aber auch jetzt noch nutzen viele Unternehmen die Möglichkeiten videogestützter Kommunikation. Was hierbei aus datenschutzrechtlicher Sicht zu beachten ist, haben wir in einem Merkblatt zusammengefasst.
Grundlegendes
Bei der Auswahl eines Anbieters sollten Unternehmen zunächst überlegen, was das Tool bieten soll, also wünschenswerte Leistungen und welche Funktionen absolut erforderlich sind. Inwieweit z. B. eine Aufnahmemöglichkeit der Videokonferenz oder etwaiger Chatverläufe notwendig sind, muss individuell geprüft werden. Insoweit unterscheiden sich die angebotenen Lösungen erheblich. Die Unternehmen sollten bei der Auswahl und Nutzung von Videokonferenzen eng mit der IT, dem IT-Sicherheitsbeauftragten und mit dem Datenschutzbeauftragten zusammenarbeiten. Aus datenschutzrechtlicher Sicht sollte ebenfalls der Sitz des Anbieters, bzw. der Standort des Servers berücksichtigt werden. Grundsätzlich unterliegen Anbieter mit Sitz in Europa den Bestimmungen der EU Datenschutz-Grundverordnung.
Datenschutzrechtliche Anforderungen
- Grundsätze
Datenschutzrechtlich müssen die Grundsätze der Datenverarbeitung nach der DSGVO berücksichtigt werden:
- Datenminimierungsprinzip, Art. 5 Abs. 1 lit c DSGVO
Hier muss anhand der eingesetzten Software und dem im Einzelfall verfolgten Zweck eine Beurteilung der Zulässigkeit erfolgen. Nicht jede Konferenz muss beispielsweise als Videokonferenz abgehalten werden. Auch eine Aufzeichnung der Video- oder Telefonkonferenz dürfte in den wenigsten Fällen notwendig sein.
- Privacy by Default / Privacy by Design, Art. 25 DSGVO
Bei der Auswahl eines Anbieters sollte weiter darauf geachtet werden, dass den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Rechnung getragen wird. Neben einer verschlüsselten Übertragung sollten Profiling, Tracking-, Screen-Sharing, Aufzeichnungsfunktionen oder auch die Verarbeitung für Marktforschungszwecke entweder ausgeschlossen sein oder zumindest deaktiviert werden können.
Grundsätzlich bietet sich immer eine Zweckprüfung für den Einzelfall nach folgendem Schema an:
- Zweck: Für welchen Zweck wird eine bestimmte Funktion benötigt?
- Geeignetheit der Funktion: Ist die Funktion für den Zweck geeignet?
- Datenschutzfreundlichere Voreinstellung: Gibt es eine datenschutzrechtlich weniger einschneidende Maßnahme, die zum gleichen Erfolg führt?
- Schutzmaßnahmen: Bei zwingender Aufzeichnung (Bild oder Ton) bzw. bei Bildschirmübertragungen sollte die Zustimmung der Teilnehmer/Mitarbeiter vorab eingeholt werden.
- Datenschutzfolgenabschätzung, Art. 35 DSGVO
Vor Einführung eines Videokonferenzsystems ist zu prüfen, ob der Einsatz und die Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Hierbei sind Aspekte, wie z. B. auf welchen Geräten (privat oder dienstlich) kommt das Videokonferenzsystem zum Einsatz oder auch der Einsatzort zu berücksichtigen.
- Vereinbarung über die Auftragsdatenverarbeitung, Art. 28 DSGVO
Darüber hinaus muss geprüft werden, ob mit dem Anbieter des Videokonferenzsystems eine Vereinbarung über die Auftragsdatenverarbeitung abgeschlossen werden muss. Soweit die Verarbeitung personenbezogener Daten im Auftrag des Unternehmens erfolgt, muss ein Vertrag über die Auftragsdatenverarbeitung geschlossen werden.
Nähere Informationen zur Auftragsdatenverarbeitung und ein Muster eines solchen Vertrages finden Sie hier.
- Transparente Information, Art. 12 ff. DSGVO
Als Verantwortlicher der Video- und Telefonkonferenz müssen Sie die Teilnehmer vorab über die Verarbeitung der personenbezogenen Daten informieren, Art. 13 und 14 DSGVO informieren. Dies kann beispielsweise bereits in der E-Mail Einladung zu der Video- oder Telefonkonferenz erfolgen, spätestens aber bevor die Teilnehmer die virtuellen Räume betreten.
Ein allgemeines Muster der Informationspflichten bei Erhebung personenbezogener Daten finden Sie hier.
- Sitz des Anbieters in Drittländern, Art. 44 ff. DSGVO
Soweit der Anbieter des Videokonferenzsystems seinen Sitz außerhalb der EU hat, muss sichergestellt werden, dass trotzdem das Datenschutzniveau der EU-DSGVO eingehalten wird. Dies kann z. B. durch Angemessenheitsbeschlüsse der EU-Kommission oder durch den Abschluss sogenannter Standardvertragsklauseln mit dem Anbieter erfolgen.
- Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO
Der Einsatz des Videokonferenzsystems muss zusätzlich in das Verzeichnis der Verarbeitungstätigkeiten des Unternehmens eingetragen werden.
Ein Muster für ein Verarbeitungsverzeichnis finden Sie z. B. auf den Seiten des hessischen Beauftragten für Datenschutz und Informationsfreiheit.
- Richtlinien und Sicherheitshinweise zum Umgang mit den Konferenzsystemen
Richtlinien können Vorgaben enthalten, welche Daten die Mitarbeiter über welchen Kanal teilen und speichern dürfen, ggf. über sogenannte Black- oder Whitelists. Auch der Umgang mit eigenen Geräten kann in einer solchen Richtlinie geregelt werden. Wichtig ist, die Mitarbeiter für den Umgang mit den Konferenzsystemen zu sensibilisieren. So sollten die Mitarbeiter z. B. bei Videokonferenzen darauf achten, dass ihr Videobild keine vertraulichen Daten, beispielsweise im Hintergrund enthält.
Die Einführung von Video- und Konferenzsystemen und die entsprechende Schulung der Mitarbeiter sollte dokumentiert werden.
Anbieter
Eine aktuelle Liste verschiedener Anbieter, unter Hinweis auf datenschutzrechtliche Aspekte finden Sie z. B. auf den Seiten der Gesellschaft für Datenschutz und Datensicherheit e.V..
Ein umfassendes Dokument zu Videokonferenzsystemen finden Sie zusätzlich auf den Seiten des Bundesamt für Sicherheit in der Informationstechnik.