In unserer heutigen Kommunikation sind Videokonferenzen nicht mehr wegzudenken. Deren Bedeutung hat sich durch die Corona-Krise noch weiter vergrößert. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat aus diesem Grund im Oktober 2020 eine Orientierungshilfe veröffentlicht, in der sie die datenschutzrechtlichen Anforderungen an die Durchführung von Videokonferenzen erläutert. Die wichtigsten Punkte werden im Folgenden zusammengefasst.
Der Verantwortliche hat verschiedene Möglichkeiten ein Videokonferenzsystem zu betreiben. Er kann das Videokonferenzsystem selbst betreiben, durch einen externen IT-Dienstleister betreiben lassen oder einen Online-Dienst nutzen.
Selbst betriebener Dienst
Aus datenschutzrechtlicher Sicht ist es am vorteilhaftesten das Videokonferenzsystem selbst zu betreiben, da der Verantwortliche dadurch selbst entscheiden kann, welche Software verwendet wird und welche Daten verarbeitet werden. Auch muss dann kein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen werden. Allerdings liegt es in diesem Fall am Verantwortlichen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen und das Videokonferenzsystem zu betreiben und zu warten, d.h. der Verantwortliche muss dazu sowohl in technischer als auch in personeller Sicht in der Lage sein.
Externer Dienstleister
Der Verantwortliche kann einen externen IT-Dienstleister zum Betrieb der Software beauftragen und mit diesem einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO schließen. Der Auftragsverarbeiter ist unter besonderer Berücksichtigung seiner Zuverlässigkeit und der Geeignetheit, der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Hinsichtlich der Software ist zu prüfen, ob Datenabflüsse an den Hersteller oder Dritte erfolgen. Für die Datenabflüsse muss entweder eine Rechtsgrundlage bestehen oder sie müssen unterbunden werden.
Online Dienst
Der Verantwortliche kann schließlich auch bereits bestehende Online-Dienste nutzen. Auch in diesem Fall muss er einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen. Bei der Auswahl des Anbieters muss der Verantwortliche insbesondere darauf achten, dass die Anforderungen der DSGVO eingehalten werden und geeignete technische und organisatorische Maßnahmen vorhanden sind.
Da viele Anbieter von Videokonferenzsystem die Daten in den USA verarbeiten, sind zusätzlich die Anforderungen der Art. 44 ff. DSGVO zu beachten. Eine Datenübermittlung in die USA kann seit der Ungültigkeitserklärung des Privacy Shield durch den EuGH nicht mehr auf dieses gestützt werden. Denkbar ist aber eine Verwendung von Standardvertragsklauseln und anderen vertraglichen Garantien, es müssen jedoch zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können. Es ist deshalb eine sorgfältige Prüfung vorzunehmen! Im Zweifel muss der Datenexport unterbleiben.
Außerdem muss der Verantwortliche die Software prüfen, z.B. auf Datenabflüsse und Zugriffsrechte, und ggf. Anpassungen vornehmen. Sollte der Anbieter Daten auch zu eigenen Zwecken oder Zwecken Dritter (z.B. zum Nutzerverhalten oder Tracking zu Werbezwecken) verarbeiten, ist für jede Offenlegung von personenbezogenen Daten eine Rechtsgrundlage erforderlich. Für diesen Fall ist außerdem eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu prüfen und ggf. eine entsprechende Vereinbarung abzuschließen.
Pflichten des Verantwortlichen
Der Verantwortliche hat bei der Nutzung von Videokonferenzsystem verschiedene Pflichten. Er muss insbesondere:
- seine Informationspflichten aus Art. 13, 14 DSGVO erfüllen und die Teilnehmer klar und eindeutig über die mit der Nutzung des Dienstes verbundenen Datenverarbeitungen informieren.
- Die Datenverarbeitungen nur bei Vorliegen einer Rechtsgrundlage vorzunehmen.
- die Betroffenenrechte gemäß Art. 15 bis 21 DSGVO gewährleisten.
- Auftragsverarbeitungsverträge nach Art. 28 DSGVO abschließen.
- die Veranstaltung der Videokonferenz in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) aufnehmen.
- sorgfältig prüfen, ob Daten in Drittländer (insbesondere die USA) übermittelt werden dürfen. Hierbei müssen zusätzliche Maßnahmen ergriffen werden, um das gleiche Datenschutzniveau wie in den EU-Mitgliedsstaaten gewährleisten zu können.
Fazit
Prüfen Sie vor der Einführung eines Videokonferenzsystems daher sorgfältig, ob es datenschutzkonform ist und welche weiteren Anforderungen beachtet werden müssen.
Es ist außerdem empfehlenswert eine Richtlinie zur Durchführung von Videokonferenzen im Unternehmen zu implementieren, um einen reibungslosen Ablauf zu gewährleisten und die Mitarbeiter darin gleichzeitig aufzuklären und zu sensibilisieren.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Datenschutzbehörde in Baden-Württemberg erließ heute ein Bußgeld gegen die AOK Baden-Württemberg in Höhe von 1,24 Mio Euro wegen rechtswidriger Datenverarbeitung beim Direktmarketing und unzureichender technischer und organisatorischer Maßnahmen.
Die AOK Baden-Württemberg veranstaltete u.a. mehrere Online-Gewinnspiele und erhob dabei personenbezogene Daten der Gewinnspielteilnehmer sowie deren aktuelle Krankenkassenzugehörigkeit. Dabei wurden Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.
Dabei stellte die Datenschutzaufsichtsbehörde klar, dass sowohl die aktuelle Situation als auch die umfangreichen internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Zusammenarbeit mit der Aufsichtsbehörde bei der Festsetzung des Bußgeldes positiv ins Gewicht fielen.
Man darf aber auch in Zeiten von Corona nicht vergessen, dass der Datenschutzbeauftragte im Unternehmen eine wichtige Stellung einnimmt, die gerade in Zeiten des dezentralen Arbeitens nicht vernachlässigt werden darf. Auch darauf wies die Aufsichtsbehörde noch einmal explizit hin.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Online-Kommunikationstools werden angesichts neuer Formen der überörtlichen Zusammenarbeit immer wichtiger. Sie helfen, gewohnte Arbeitsabläufe während der angeordneten Kontaktsperren aufrechtzuerhalten.
Die ENISA (European Union Agency for Cybersecurity) hat hierzu einige Empfehlungen veröffentlicht. Es folgt eine kurze Zusammenfassung der Empfehlungen auf Deutsch:
- Verschlüsselte Kommunikation sollte unbedingt unterstützt werden.
- Die zentralisierte Verwaltung sollte unterstützt werden. Dies bedeutet, dass ein Administrator die Einstellungen für alle Teilnehmer vornehmen kann. So können Berechtigungen, Passwortpolicy, und virtuelle Meetingräume gemanagt und unbefugtes Mithören verhindert werden.
- Eine starke Benutzerauthentifizierung (Mehrfaktor-Authentifizierung) ist zu empfehlen.
- Die Konfigurationsoptionen geben Aufschluss über eine mögliche lokale Nutzung von Diensten/Tools. Lokales Hosting auf einem eigenen Server ist gegenüber externer Datenverarbeitung (in einer Cloud) vorzugswürdig.
- Die Datenschutzhinweise sollten genau und kritisch gelesen werden. Wichtige Punkte sind: Erhobene Datenarten, Ort(e) der Datenverarbeitung, mögliche Drittlandtransfers, Speicherdauer sowie Voreinstellungen bzgl. Datenschutz. Ein Teilen der erhobenen Daten mit sozialen Netzwerken sollte grundsätzlich vermieden werden. Ziehen Sie für eine genauere Einschätzung den Datenschutzbeauftragten zu Rate!
- Private Endgeräte dürfen nicht für Videokonferenzen o.Ä. genutzt werden. Bei Verwendung mobiler Endgeräte (Smartphones, Tablets) müssen vor der Nutzung die Berechtigungen der jeweiligen App überprüft und ggf. angepasst werden.
- Genutzt werden sollte immer nur die aus sicheren Quellen stammende, letzte Version einer Software mit aktuellen Sicherheitspatches.
- Alle Meetings, Gruppen und Räume sollten passwortgeschützt sein. Links zu Konferenzräumen dürfen nicht außerhalb der Teilnehmergruppe geteilt werden.
- Bei der Einrichtung sind privatsphärefreundliche Voreinstellungen zu wählen (Kamera standardmäßig inaktiv, keine Aufnahme/Mitschnitt des Meetings oder von versandten Kurznachrichten). Sollte dennoch eine Aufzeichnung erforderlich sein, müssen vorab alle Teilnehmer informiert werden und müssen der Aufzeichnung zustimmen.
- Chat-, Audio- und Bildschirmteilungsfunktionen sollten mit Bedacht eingesetzt werden, damit keinerlei Informationen unbeabsichtigt geteilt werden. Es können i.d.R. auch nur einzelne Fenster freigegeben werden. Der Hintergrund bei Videokonferenzen sollte neutral gewählt werden, um keine personenbezogenen oder vertraulichen Informationen preiszugeben.
Insgesamt ist also beim Einsatz von Online-Kommunikationstools Einiges zu beachten, um für den geschäftlichen Einsatz sicher unterwegs zu sein. Eine solche Absicherung sollte immer sowohl in technischer, als auch in organisatorischer Weise vorgenommen werden. Wie schon in Punkt 5. erwähnt, hilft die frühzeitige Einbindung des Datenschutzbeauftragten dabei, Fehler zu vermeiden.
Florian S.
Justiziar | M.A.
Consultant für Datenschutz