Senior Privacy Expert & Product Owner
April 4, 2025
4 min
.svg)
Ein Auftragsverarbeitungsvertrag muss mit dem Anbieter des Videokonferenzsystems abgeschlossen werden, um die Grundlagen der Datenverarbeitung festzulegen.
Es ist wichtig zu prüfen, ob personenbezogene Daten außerhalb der EU/EWR verarbeitet werden und ob in diesen Drittländern ein angemessenes Datenschutzniveau vorhanden ist.
Der Anbieter muss geeignete Maßnahmen zur Datensicherheit ergreifen, dazu gehört etwa die Verschlüsselung von übertragenen und gespeicherten Daten.
Informationspflichten gegenüber Teilnehmern und die datenschutzgerechte Durchführung von Videokonferenzen sind einzuhalten.
In diesem Artikel lesen Sie:
Vor einigen Jahren war der Einsatz von Videokonferenzsystemen noch die Ausnahme. Inzwischen gehören Videokonferenzsysteme für viele Unternehmen zum unerlässlichen Bestandteil des Geschäftsalltags.
Da bei Videokonferenzen eine Verarbeitung zahlreicher personenbezogener Daten erfolgt, sind spezifische datenschutzrechtliche Anforderungen zu beachten. Dies findet in den meisten Unternehmen noch zu wenig Beachtung. Nachfolgend daher einige Tipps und Hinweise, die Sie bei der Auswahl eines Videokonferenzsystems und der Durchführung von Videokonferenzen berücksichtigen sollten. (Diese Aufzählung ist nicht abschließend.)
Viele Anbieter von Videokonferenzsystemen stellen ihren Dienst als Software-as-a-Service (Saas) zur Verfügung. Die entsprechenden Auftragsverarbeitungsverträge erhalten die Kunden online. Ein Auftragsverarbeitungsvertrag soll die Grundlagen der Datenverarbeitung, die der Videokonferenzsystemanbieter auf Weisung des verantwortlichen Unternehmens vornimmt, fixieren.
Anbieter, die Ihnen trotz Stellung als Auftragsverarbeiter i. S. v. Art. 28 DS-GVO keinen Auftragsverarbeitungsvertrag zur Verfügung stellen, sollten Sie nicht beauftragen. Unter Umständen kann alternativ auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit erforderlich sein. Dies ist der Fall, wenn Sie und der Videokonferenzsystemanbieter gemeinsam über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheiden und demnach als gemeinsame Verantwortliche i. S. v. Art. 26 DS-GVO zu qualifizieren sind.
Weiterhin sollten Sie darauf achten, wo die konkrete Verarbeitung der personenbezogenen Daten stattfindet. Einige Videokonferenzsystemanbieter oder deren Konzernunternehmen und/oder Unterauftragsverarbeiter sitzen in den USA und verarbeiten daher personenbezogene Daten außerhalb der EU beziehungsweise dem EWR.
Informieren Sie sich stets im Vorfeld, ob in möglichen Drittstaaten ein angemessenes Datenschutzniveau entsprechend Art. 44 ff. DS-GVO vorliegt. Nachdem der EuGH den EU – U.S. Privacy Shield 2020 für unwirksam erklärt hat, ist dies für die USA jedenfalls kritisch zu sehen. Die meisten Videokonferenzsystemanbieter mit Bezug zu den USA bedienen sich mittlerweile der Standarddatenschutzklauseln.
Nach Ansicht des EuGH sind die Standarddatenschutzklauseln allein nicht ausreichend, um ein angemessenes Schutzniveau für Verarbeitungen mit EU/US-Bezug zu gewährleisten. Vielmehr sind dafür zusätzliche Sicherheitsmaßnahmen erforderlich, insbesondere mit Blick auf behördliche Zugriffsmöglichkeiten. Welche Maßnahmen konkret erforderlich sind, bedarf einer Einzelfallbetrachtung.
Bei der Auswahl des Videokonferenzsystemanbieters ist darauf zu achten, dass er geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung der personenbezogenen Daten ergreift. Die von der Verarbeitung betroffenen personenbezogenen Daten müssen entsprechend der gesetzlichen Anforderungen der DSGVO und ihres jeweiligen Schutzniveaus gesichert werden.
Hier sollte man sich einen detaillierten Überblick über die getroffenen Maßnahmen verschaffen. Wichtig ist unter anderem die Verschlüsselung bei der Übertragung und Speicherung, um die Daten vor dem unbefugten Zugriff Dritter zu schützen.
Sie müssen als Initiator und Verantwortlicher der Videokonferenz gemäß Art. 13 ff. DS-GVO die Teilnehmer über die Verarbeitung ihrer personenbezogenen Daten aufklären. Neben den allgemeinen Angaben zum Verantwortlichen, der Rechtsgrundlage und dem Zweck der Verarbeitung sind die Betroffenen auch über die Speicherdauer und weitere der Videokonferenz immanente Fragestellungen zu informieren.
Hinweis: Aufzeichnungen der Videokonferenz sollten Sie generell vermeiden.
Wenn die Anfertigung von Aufzeichnungen jedoch aufgrund des konkreten Zwecks der Videokonferenz erforderlich ist, dann sollten Sie die Betroffenen rechtzeitig hierüber informieren. Im Zweifel benötigen Sie hierfür die Einwilligung der Teilnehmer.
Bei der Durchführung von Videokonferenzen sind weitere datenschutzrechtliche Anforderungen zu beachten. Häufig ist während Videokonferenzen der private Lebensbereich der Teilnehmer erkennbar. Hier empfiehlt es sich, entweder generell von einer Videoübertragung abzusehen oder sich vor einem neutralen Hintergrund zu platzieren.
Zahlreiche Anbieter bieten alternativ auch die Einblendung digitaler, neutraler Hintergründe an.
Auch das Teilen von Dokumenten oder des Bildschirms sollten Verantwortliche im Unternehmen einheitlich festlegen und die Mitarbeiter entsprechend unterrichten. Das Teilen des Bildschirms erhöht grundsätzlich das Risiko der unbefugten Kenntnisnahme personenbezogener Daten durch Dritte.
Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Die Organisation Noyb („My Privacy is None of Your Business“) unter dem Vorsitz von Max Schrems startete Anfang 2021 eine Abmahnwelle gegenüber Unternehmen wegen datenschutzwidriger Cookie-Banner. Doch wie soll ein rechtskonformes Cookie-Banner eigentlich aussehen? Lesen Sie mehr Tipps zur Gestaltung Ihres Banners.
Firmenevents sind eine großartige Möglichkeit, um das Team zu stärken und Beziehungen zu Kunden aufzubauen. Doch bei der Planung und Durchführung von Veranstaltungen müssen Unternehmen auch den Datenschutz im Blick behalten. In diesem Überblick haben wir die wichtigsten Aspekte zum Umgang mit personenbezogenen Daten bei Firmenevents zusammengetragen. Erfahren Sie, wie Sie Stolpersteine vermeiden und datenschutzrechtliche Anforderungen erfüllen können.
In den vergangenen zwei Jahren waren Verstöße gegen Datenschutzbestimmungen für nur 6 % der Befragten überhaupt relevant. Dies wird sich in den kommenden Jahren erheblich ändern. So sehen es zumindest die fast 200 befragten Entscheider aus Unternehmen ab 250 Mitarbeitern, die an der Studie „Crisis Management“ der Kanzlei Noerr teilnahmen.
.svg)
.svg)
.svg){kind=small}