11.1.22
Lesezeit 7 Minuten
Face–to–Face über Videokonferenz

Vor einigen Jahren war der Einsatz von Videokonferenzsystemen noch die Ausnahme. Inzwischen gehören Videokonferenzsysteme für viele Unternehmen zum unerlässlichen Bestandteil des Geschäftsalltags. Da bei Videokonferenzen eine Verarbeitung zahlreicher personenbezogener Daten erfolgt, sind spezifische datenschutzrechtliche Anforderungen zu beachten. Dies findet in den meisten Unternehmen noch zu wenig Beachtung. Nachfolgend daher einige Tipps und Hinweise, die Sie bei der Auswahl eines Videokonferenzsystems und der Durchführung von Videokonferenzen berücksichtigen sollten. (Diese Aufzählung ist nicht abschließend.)

  • Vertragliche Absicherung.
    Viele Anbieter von Videokonferenzsystemen stellen ihren Dienst als Software as a Service (Saas) zur Verfügung. Die entsprechenden Auftragsverarbeitungsverträge erhalten die Kunden online. Ein Auftragsverarbeitungsvertrag soll die Grundlagen der Datenverarbeitung, die der Videokonferenzsystemanbieter auf Weisung des verantwortlichen Unternehmens vornimmt, fixieren. Anbieter, die Ihnen trotz Stellung als Auftragsverarbeiter i. S. v. Art. 28 DS-GVO keinen Auftragsverarbeitungsvertrag zur Verfügung stellen, sollten Sie nicht beauftragen. Unter Umständen kann alternativ auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit erforderlich sein. Dies ist der Fall, wenn Sie und der Videokonferenzsystemanbieter gemeinsam über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheiden und demnach als gemeinsame Verantwortliche i. S. v. Art. 26 DS-GVO zu qualifizieren sind.
  • Drittlandübermittlung.
    Weiterhin sollten Sie darauf achten, wo die konkrete Verarbeitung der personenbezogenen Daten stattfindet. Einige Videokonferenzsystemanbieter bzw. deren Konzernunternehmen und/oder Unterauftragsverarbeiter sitzen in den USA und verarbeiten daher personenbezogene Daten außerhalb der EU bzw. dem EWR. Informieren Sie sich stets im Vorfeld, ob in möglichen Drittstaaten ein angemessenes Datenschutzniveau entsprechend Art. 44 ff. DS-GVO vorliegt. Nachdem der EuGH den EU – U.S. Privacy Shield 2020 für un-wirksam erklärt hat, ist dies für die USA jedenfalls kritisch zu sehen. Die meisten Videokonferenzsystemanbieter mit Bezug zu den USA bedienen sich mittlerweile der Standarddatenschutzklauseln. Nach Ansicht des EuGH sind die Standarddatenschutzklauseln allein nicht ausreichend, um ein angemessenes Schutzniveau für Verarbeitungen mit EU/US-Bezug zu gewährleisten. Vielmehr sind dafür zusätzliche Sicherheitsmaßnahmen erforderlich, insbeson-dere mit Blick auf behördliche Zugriffsmöglichkeiten. Welche Maßnahmen konkret erforderlich sind, bedarf einer Einzelfallbetrachtung.
  • TOMs.
    Bei der Auswahl des Videokonferenzsystemanbieters ist darauf zu achten, dass er geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung der personenbezogenen Daten ergreift. Die von der Verarbeitung betroffenen personenbezogenen Daten müssen entsprechend der gesetzlichen Anforderungen der DS-GVO und ihres jeweiligen Schutzniveaus gesichert werden. Hier sollte man sich einen detaillierten Überblick über die getroffenen Maßnahmen verschaffen. Wichtig ist u.a. die Verschlüsselung bei der Übertragung und Speicherung, um die Daten vor dem unbefugten Zugriff Dritter zu schützen.
  • Informationspflichten.
    Sie müssen als Initiator und Verantwortlicher der Videokonferenz gem. Art. 13 ff. DS-GVO die Teilnehmer über die Verarbeitung ihrer personenbezogenen Daten aufklären. Neben den allgemeinen Angaben zum Verantwortlichen, der Rechtsgrundlage und dem Zweck der Verarbeitung, sind die Betroffenen auch über die Speicherdauer und wei-tere der Videokonferenz immanente Fragestellungen zu informieren. Hinweis: Aufzeichnungen der Videokonferenz sollten Sie generell vermeiden. Wenn die Anfertigung von Aufzeichnungen jedoch auf Grund des konkreten Zwecks der Videokonferenz erforderlich ist, dann sollten Sie die Betroffenen rechtzeitig hierüber informieren. Im Zweifel benötigen Sie hierfür die Einwilligung der Teilnehmer.
  • Durchführung.
    Bei der Durchführung von Videokonferenzen sind weitere datenschutzrechtli-che Anforderungen zu beachten. Häufig ist während Videokonferenzen der private Lebensbereich der Teilnehmer erkennbar. Hier empfiehlt es sich, entweder generell von einer Videoübertragung abzusehen oder sich vor einem neutralen Hintergrund zu platzieren. Zahlreiche Anbieter bieten alternativ auch die Einblendung digitaler neutraler Hintergründe an. Auch das Teilen von Dokumenten oder des Bildschirms sollten Verantwortliche im Unternehmen einheitlich festlegen und die Mitarbeiter entsprechend unterrichten. Das Teilen des Bildschirms erhöht grundsätzlich das Risiko der unbefugten Kenntnisnahme personenbezogener Daten durch Dritte.

Neben den oben aufgeführten Punkten finden Sie weitere nützliche Informationen in der „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz vom 23.10.2020.

Für eine individuelle Beratung kontaktieren Sie gerne das Team der secjur GmbH.

Previous Article
Next Article

Face–to–Face über Videokonferenz

Vor einigen Jahren war der Einsatz von Videokonferenzsystemen noch die Ausnahme. Inzwischen gehören Videokonferenzsysteme für viele Unternehmen zum unerlässlichen Bestandteil des Geschäftsalltags. Da bei Videokonferenzen eine Verarbeitung zahlreicher personenbezogener Daten erfolgt, sind spezifische datenschutzrechtliche Anforderungen zu beachten. Dies findet in den meisten Unternehmen noch zu wenig Beachtung. Nachfolgend daher einige Tipps und Hinweise, die Sie bei der Auswahl eines Videokonferenzsystems und der Durchführung von Videokonferenzen berücksichtigen sollten. (Diese Aufzählung ist nicht abschließend.)

  • Vertragliche Absicherung.
    Viele Anbieter von Videokonferenzsystemen stellen ihren Dienst als Software as a Service (Saas) zur Verfügung. Die entsprechenden Auftragsverarbeitungsverträge erhalten die Kunden online. Ein Auftragsverarbeitungsvertrag soll die Grundlagen der Datenverarbeitung, die der Videokonferenzsystemanbieter auf Weisung des verantwortlichen Unternehmens vornimmt, fixieren. Anbieter, die Ihnen trotz Stellung als Auftragsverarbeiter i. S. v. Art. 28 DS-GVO keinen Auftragsverarbeitungsvertrag zur Verfügung stellen, sollten Sie nicht beauftragen. Unter Umständen kann alternativ auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit erforderlich sein. Dies ist der Fall, wenn Sie und der Videokonferenzsystemanbieter gemeinsam über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheiden und demnach als gemeinsame Verantwortliche i. S. v. Art. 26 DS-GVO zu qualifizieren sind.
  • Drittlandübermittlung.
    Weiterhin sollten Sie darauf achten, wo die konkrete Verarbeitung der personenbezogenen Daten stattfindet. Einige Videokonferenzsystemanbieter bzw. deren Konzernunternehmen und/oder Unterauftragsverarbeiter sitzen in den USA und verarbeiten daher personenbezogene Daten außerhalb der EU bzw. dem EWR. Informieren Sie sich stets im Vorfeld, ob in möglichen Drittstaaten ein angemessenes Datenschutzniveau entsprechend Art. 44 ff. DS-GVO vorliegt. Nachdem der EuGH den EU – U.S. Privacy Shield 2020 für un-wirksam erklärt hat, ist dies für die USA jedenfalls kritisch zu sehen. Die meisten Videokonferenzsystemanbieter mit Bezug zu den USA bedienen sich mittlerweile der Standarddatenschutzklauseln. Nach Ansicht des EuGH sind die Standarddatenschutzklauseln allein nicht ausreichend, um ein angemessenes Schutzniveau für Verarbeitungen mit EU/US-Bezug zu gewährleisten. Vielmehr sind dafür zusätzliche Sicherheitsmaßnahmen erforderlich, insbeson-dere mit Blick auf behördliche Zugriffsmöglichkeiten. Welche Maßnahmen konkret erforderlich sind, bedarf einer Einzelfallbetrachtung.
  • TOMs.
    Bei der Auswahl des Videokonferenzsystemanbieters ist darauf zu achten, dass er geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung der personenbezogenen Daten ergreift. Die von der Verarbeitung betroffenen personenbezogenen Daten müssen entsprechend der gesetzlichen Anforderungen der DS-GVO und ihres jeweiligen Schutzniveaus gesichert werden. Hier sollte man sich einen detaillierten Überblick über die getroffenen Maßnahmen verschaffen. Wichtig ist u.a. die Verschlüsselung bei der Übertragung und Speicherung, um die Daten vor dem unbefugten Zugriff Dritter zu schützen.
  • Informationspflichten.
    Sie müssen als Initiator und Verantwortlicher der Videokonferenz gem. Art. 13 ff. DS-GVO die Teilnehmer über die Verarbeitung ihrer personenbezogenen Daten aufklären. Neben den allgemeinen Angaben zum Verantwortlichen, der Rechtsgrundlage und dem Zweck der Verarbeitung, sind die Betroffenen auch über die Speicherdauer und wei-tere der Videokonferenz immanente Fragestellungen zu informieren. Hinweis: Aufzeichnungen der Videokonferenz sollten Sie generell vermeiden. Wenn die Anfertigung von Aufzeichnungen jedoch auf Grund des konkreten Zwecks der Videokonferenz erforderlich ist, dann sollten Sie die Betroffenen rechtzeitig hierüber informieren. Im Zweifel benötigen Sie hierfür die Einwilligung der Teilnehmer.
  • Durchführung.
    Bei der Durchführung von Videokonferenzen sind weitere datenschutzrechtli-che Anforderungen zu beachten. Häufig ist während Videokonferenzen der private Lebensbereich der Teilnehmer erkennbar. Hier empfiehlt es sich, entweder generell von einer Videoübertragung abzusehen oder sich vor einem neutralen Hintergrund zu platzieren. Zahlreiche Anbieter bieten alternativ auch die Einblendung digitaler neutraler Hintergründe an. Auch das Teilen von Dokumenten oder des Bildschirms sollten Verantwortliche im Unternehmen einheitlich festlegen und die Mitarbeiter entsprechend unterrichten. Das Teilen des Bildschirms erhöht grundsätzlich das Risiko der unbefugten Kenntnisnahme personenbezogener Daten durch Dritte.

Neben den oben aufgeführten Punkten finden Sie weitere nützliche Informationen in der „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz vom 23.10.2020.

Für eine individuelle Beratung kontaktieren Sie gerne das Team der secjur GmbH.