In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
Videokonferenz-Datenschutz – 5 DSGVO-To-Dos für Calls!

Videokonferenz-Datenschutz – 5 DSGVO-To-Dos für Calls!

Daniel Lösch

Senior Privacy Expert & Product Owner

June 5, 2023

4 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Ein Auftragsverarbeitungsvertrag muss mit dem Anbieter des Videokonferenzsystems abgeschlossen werden, um die Grundlagen der Datenverarbeitung festzulegen.

Es ist wichtig zu prüfen, ob personenbezogene Daten außerhalb der EU/EWR verarbeitet werden und ob in diesen Drittländern ein angemessenes Datenschutzniveau vorhanden ist.

Der Anbieter muss geeignete Maßnahmen zur Datensicherheit ergreifen, dazu gehört etwa die Verschlüsselung von übertragenen und gespeicherten Daten.

Informationspflichten gegenüber Teilnehmern und die datenschutzgerechte Durchführung von Videokonferenzen sind einzuhalten.

Videokonferenzen: Datenschutz rückt auch hier in den Fokus

In diesem Artikel lesen Sie:

  • warum Datenschutz auch bei Videocalls nicht zu vernachlässigen ist
  • welche 5 Aspekte Sie bei Videocalls im Auge behalten sollten
  • warum Aufzeichnungen in Videocalls zu vermeiden sind

Vor einigen Jahren war der Einsatz von Videokonferenzsystemen noch die Ausnahme. Inzwischen gehören Videokonferenzsysteme für viele Unternehmen zum unerlässlichen Bestandteil des Geschäftsalltags.

Da bei Videokonferenzen eine Verarbeitung zahlreicher personenbezogener Daten erfolgt, sind spezifische datenschutzrechtliche Anforderungen zu beachten. Dies findet in den meisten Unternehmen noch zu wenig Beachtung. Nachfolgend daher einige Tipps und Hinweise, die Sie bei der Auswahl eines Videokonferenzsystems und der Durchführung von Videokonferenzen berücksichtigen sollten. (Diese Aufzählung ist nicht abschließend.)

5 Datenschutz-To-Dos für Ihre Videokonferenz

1. Vertragliche Absicherung


Viele Anbieter von Videokonferenzsystemen stellen ihren Dienst als Software-as-a-Service (Saas) zur Verfügung. Die entsprechenden Auftragsverarbeitungsverträge erhalten die Kunden online. Ein Auftragsverarbeitungsvertrag soll die Grundlagen der Datenverarbeitung, die der Videokonferenzsystemanbieter auf Weisung des verantwortlichen Unternehmens vornimmt, fixieren.

Anbieter, die Ihnen trotz Stellung als Auftragsverarbeiter i. S. v. Art. 28 DS-GVO keinen Auftragsverarbeitungsvertrag zur Verfügung stellen, sollten Sie nicht beauftragen. Unter Umständen kann alternativ auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit erforderlich sein. Dies ist der Fall, wenn Sie und der Videokonferenzsystemanbieter gemeinsam über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheiden und demnach als gemeinsame Verantwortliche i. S. v. Art. 26 DS-GVO zu qualifizieren sind.

2. Drittlandübermittlung


Weiterhin sollten Sie darauf achten, wo die konkrete Verarbeitung der personenbezogenen Daten stattfindet. Einige Videokonferenzsystemanbieter oder deren Konzernunternehmen und/oder Unterauftragsverarbeiter sitzen in den USA und verarbeiten daher personenbezogene Daten außerhalb der EU beziehungsweise dem EWR.

Informieren Sie sich stets im Vorfeld, ob in möglichen Drittstaaten ein angemessenes Datenschutzniveau entsprechend Art. 44 ff. DS-GVO vorliegt. Nachdem der EuGH den EU – U.S. Privacy Shield 2020 für unwirksam erklärt hat, ist dies für die USA jedenfalls kritisch zu sehen. Die meisten Videokonferenzsystemanbieter mit Bezug zu den USA bedienen sich mittlerweile der Standarddatenschutzklauseln.

Nach Ansicht des EuGH sind die Standarddatenschutzklauseln allein nicht ausreichend, um ein angemessenes Schutzniveau für Verarbeitungen mit EU/US-Bezug zu gewährleisten. Vielmehr sind dafür zusätzliche Sicherheitsmaßnahmen erforderlich, insbesondere mit Blick auf behördliche Zugriffsmöglichkeiten. Welche Maßnahmen konkret erforderlich sind, bedarf einer Einzelfallbetrachtung.

3. TOMs


Bei der Auswahl des Videokonferenzsystemanbieters ist darauf zu achten, dass er geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung der personenbezogenen Daten ergreift. Die von der Verarbeitung betroffenen personenbezogenen Daten müssen entsprechend der gesetzlichen Anforderungen der DSGVO und ihres jeweiligen Schutzniveaus gesichert werden.

Hier sollte man sich einen detaillierten Überblick über die getroffenen Maßnahmen verschaffen. Wichtig ist unter anderem die Verschlüsselung bei der Übertragung und Speicherung, um die Daten vor dem unbefugten Zugriff Dritter zu schützen.

4. Informationspflichten

Sie müssen als Initiator und Verantwortlicher der Videokonferenz gemäß Art. 13 ff. DS-GVO die Teilnehmer über die Verarbeitung ihrer personenbezogenen Daten aufklären. Neben den allgemeinen Angaben zum Verantwortlichen, der Rechtsgrundlage und dem Zweck der Verarbeitung sind die Betroffenen auch über die Speicherdauer und weitere der Videokonferenz immanente Fragestellungen zu informieren.

Hinweis: Aufzeichnungen der Videokonferenz sollten Sie generell vermeiden.

Wenn die Anfertigung von Aufzeichnungen jedoch aufgrund des konkreten Zwecks der Videokonferenz erforderlich ist, dann sollten Sie die Betroffenen rechtzeitig hierüber informieren. Im Zweifel benötigen Sie hierfür die Einwilligung der Teilnehmer.

5. Durchführung

Bei der Durchführung von Videokonferenzen sind weitere datenschutzrechtliche Anforderungen zu beachten. Häufig ist während Videokonferenzen der private Lebensbereich der Teilnehmer erkennbar. Hier empfiehlt es sich, entweder generell von einer Videoübertragung abzusehen oder sich vor einem neutralen Hintergrund zu platzieren.

Zahlreiche Anbieter bieten alternativ auch die Einblendung digitaler, neutraler Hintergründe an.

Auch das Teilen von Dokumenten oder des Bildschirms sollten Verantwortliche im Unternehmen einheitlich festlegen und die Mitarbeiter entsprechend unterrichten. Das Teilen des Bildschirms erhöht grundsätzlich das Risiko der unbefugten Kenntnisnahme personenbezogener Daten durch Dritte.

SECJUR Experten-Fazit: Datenschutz bei Videocalls ist häufig übersehen, aber enorm wichtig

Die verstärkte Nutzung von Videokonferenzsystemen in Unternehmen bringt datenschutzrechtliche Anforderungen mit sich, die oft vernachlässigt werden. Um den Datenschutz in Videokonferenzen zu gewährleisten, sollten einige wichtige Aspekte berücksichtigt werden.

Dazu gehören vertragliche Absicherungen mit den Anbietern, die Überprüfung der Drittlandübermittlung, die Einhaltung geeigneter technischer und organisatorischer Maßnahmen, die Erfüllung von Informationspflichten und die Beachtung datenschutzrechtlicher Anforderungen während der Durchführung von Videokonferenzen.

Unternehmen sollten diese Datenschutz-To-Dos ernst nehmen, um sensible personenbezogene Daten zu schützen und den rechtlichen Anforderungen gerecht zu werden. Weitere hilfreiche Informationen finden sich in der „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz vom 23.10.2020.

Mehr erfahren
Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 2, 2023
10 min
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz.

Lesen
June 2, 2023
5 min
Externer Datenschutzbeauftragter: Kann man auf ihn verzichten?

In vielen Fällen gilt der Datenschutzbeauftragte im Unternehmen als lähmender Bedenkenträger. Nur sehr guten Datenschutzbeauftragten gelingt es, sowohl auf die Einhaltung der datenschutzrechtlichen Regeln hinzuwirken und gleichzeitig das Business pragmatisch und unternehmerisch denkend zu unterstützen.

Lesen
November 23, 2023
5 min
NIS2 Compliance: Was Unternehmen dafür leisten müssen

Mit der Einführung der NIS2 Richtlinie ändert sich das Terrain der Cybersicherheit in Europa grundlegend. Unternehmen stehen vor der Herausforderung, sich anzupassen – aber wer ist betroffen und warum gestaltet sich die Umsetzung so anspruchsvoll? Erfahren Sie, wie die frühzeitige Umsetzung dieser Richtlinie Unternehmen nicht nur vor möglichen Strafen bewahrt, sondern auch ihre Widerstandsfähigkeit gegenüber Cyberbedrohungen stärkt und langfristige Wettbewerbsvorteile schafft.

Lesen
Related Resources
ISO 27001:2022 – Das ist der neue ISMS-Standard 2023
November 24, 2023
7 min
Datenschutz bei Firmenevents: DSGVO beginnt bei der Einladung
June 5, 2023
4 min
ISMS Tool: Schnell zum zertifizierbaren ISMS
November 15, 2023
10 min
Marketing Tips for Niche Industries
NIS 2 Definition: Was ist NIS 2?
July 7, 2023
7 min
Cookie-Einwilligung: Wie holt man sie rechtskonform ein?
June 5, 2023
4 min
Was ist die DSGVO? Der SECJUR-Guide zur Datenschutz-Grundverordnung
June 7, 2023
12 min
TO TOP