Beitrag teilen
HOME
/
blog
/
Videokonferenz-Datenschutz – 5 DSGVO-To-Dos für Calls!

Videokonferenz-Datenschutz – 5 DSGVO-To-Dos für Calls!

Daniel Lösch

Senior Privacy Expert & Product Owner

June 5, 2023

4 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Ein Auftragsverarbeitungsvertrag muss mit dem Anbieter des Videokonferenzsystems abgeschlossen werden, um die Grundlagen der Datenverarbeitung festzulegen.

Es ist wichtig zu prüfen, ob personenbezogene Daten außerhalb der EU/EWR verarbeitet werden und ob in diesen Drittländern ein angemessenes Datenschutzniveau vorhanden ist.

Der Anbieter muss geeignete Maßnahmen zur Datensicherheit ergreifen, dazu gehört etwa die Verschlüsselung von übertragenen und gespeicherten Daten.

Informationspflichten gegenüber Teilnehmern und die datenschutzgerechte Durchführung von Videokonferenzen sind einzuhalten.

Videokonferenzen: Datenschutz rückt auch hier in den Fokus

In diesem Artikel lesen Sie:

  • warum Datenschutz auch bei Videocalls nicht zu vernachlässigen ist
  • welche 5 Aspekte Sie bei Videocalls im Auge behalten sollten
  • warum Aufzeichnungen in Videocalls zu vermeiden sind

Vor einigen Jahren war der Einsatz von Videokonferenzsystemen noch die Ausnahme. Inzwischen gehören Videokonferenzsysteme für viele Unternehmen zum unerlässlichen Bestandteil des Geschäftsalltags.

Da bei Videokonferenzen eine Verarbeitung zahlreicher personenbezogener Daten erfolgt, sind spezifische datenschutzrechtliche Anforderungen zu beachten. Dies findet in den meisten Unternehmen noch zu wenig Beachtung. Nachfolgend daher einige Tipps und Hinweise, die Sie bei der Auswahl eines Videokonferenzsystems und der Durchführung von Videokonferenzen berücksichtigen sollten. (Diese Aufzählung ist nicht abschließend.)

5 Datenschutz-To-Dos für Ihre Videokonferenz

1. Vertragliche Absicherung


Viele Anbieter von Videokonferenzsystemen stellen ihren Dienst als Software-as-a-Service (Saas) zur Verfügung. Die entsprechenden Auftragsverarbeitungsverträge erhalten die Kunden online. Ein Auftragsverarbeitungsvertrag soll die Grundlagen der Datenverarbeitung, die der Videokonferenzsystemanbieter auf Weisung des verantwortlichen Unternehmens vornimmt, fixieren.

Anbieter, die Ihnen trotz Stellung als Auftragsverarbeiter i. S. v. Art. 28 DS-GVO keinen Auftragsverarbeitungsvertrag zur Verfügung stellen, sollten Sie nicht beauftragen. Unter Umständen kann alternativ auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit erforderlich sein. Dies ist der Fall, wenn Sie und der Videokonferenzsystemanbieter gemeinsam über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheiden und demnach als gemeinsame Verantwortliche i. S. v. Art. 26 DS-GVO zu qualifizieren sind.

2. Drittlandübermittlung


Weiterhin sollten Sie darauf achten, wo die konkrete Verarbeitung der personenbezogenen Daten stattfindet. Einige Videokonferenzsystemanbieter oder deren Konzernunternehmen und/oder Unterauftragsverarbeiter sitzen in den USA und verarbeiten daher personenbezogene Daten außerhalb der EU beziehungsweise dem EWR.

Informieren Sie sich stets im Vorfeld, ob in möglichen Drittstaaten ein angemessenes Datenschutzniveau entsprechend Art. 44 ff. DS-GVO vorliegt. Nachdem der EuGH den EU – U.S. Privacy Shield 2020 für unwirksam erklärt hat, ist dies für die USA jedenfalls kritisch zu sehen. Die meisten Videokonferenzsystemanbieter mit Bezug zu den USA bedienen sich mittlerweile der Standarddatenschutzklauseln.

Nach Ansicht des EuGH sind die Standarddatenschutzklauseln allein nicht ausreichend, um ein angemessenes Schutzniveau für Verarbeitungen mit EU/US-Bezug zu gewährleisten. Vielmehr sind dafür zusätzliche Sicherheitsmaßnahmen erforderlich, insbesondere mit Blick auf behördliche Zugriffsmöglichkeiten. Welche Maßnahmen konkret erforderlich sind, bedarf einer Einzelfallbetrachtung.

3. TOMs


Bei der Auswahl des Videokonferenzsystemanbieters ist darauf zu achten, dass er geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung der personenbezogenen Daten ergreift. Die von der Verarbeitung betroffenen personenbezogenen Daten müssen entsprechend der gesetzlichen Anforderungen der DSGVO und ihres jeweiligen Schutzniveaus gesichert werden.

Hier sollte man sich einen detaillierten Überblick über die getroffenen Maßnahmen verschaffen. Wichtig ist unter anderem die Verschlüsselung bei der Übertragung und Speicherung, um die Daten vor dem unbefugten Zugriff Dritter zu schützen.

4. Informationspflichten

Sie müssen als Initiator und Verantwortlicher der Videokonferenz gemäß Art. 13 ff. DS-GVO die Teilnehmer über die Verarbeitung ihrer personenbezogenen Daten aufklären. Neben den allgemeinen Angaben zum Verantwortlichen, der Rechtsgrundlage und dem Zweck der Verarbeitung sind die Betroffenen auch über die Speicherdauer und weitere der Videokonferenz immanente Fragestellungen zu informieren.

Hinweis: Aufzeichnungen der Videokonferenz sollten Sie generell vermeiden.

Wenn die Anfertigung von Aufzeichnungen jedoch aufgrund des konkreten Zwecks der Videokonferenz erforderlich ist, dann sollten Sie die Betroffenen rechtzeitig hierüber informieren. Im Zweifel benötigen Sie hierfür die Einwilligung der Teilnehmer.

5. Durchführung

Bei der Durchführung von Videokonferenzen sind weitere datenschutzrechtliche Anforderungen zu beachten. Häufig ist während Videokonferenzen der private Lebensbereich der Teilnehmer erkennbar. Hier empfiehlt es sich, entweder generell von einer Videoübertragung abzusehen oder sich vor einem neutralen Hintergrund zu platzieren.

Zahlreiche Anbieter bieten alternativ auch die Einblendung digitaler, neutraler Hintergründe an.

Auch das Teilen von Dokumenten oder des Bildschirms sollten Verantwortliche im Unternehmen einheitlich festlegen und die Mitarbeiter entsprechend unterrichten. Das Teilen des Bildschirms erhöht grundsätzlich das Risiko der unbefugten Kenntnisnahme personenbezogener Daten durch Dritte.

SECJUR Experten-Fazit: Datenschutz bei Videocalls ist häufig übersehen, aber enorm wichtig

Die verstärkte Nutzung von Videokonferenzsystemen in Unternehmen bringt datenschutzrechtliche Anforderungen mit sich, die oft vernachlässigt werden. Um den Datenschutz in Videokonferenzen zu gewährleisten, sollten einige wichtige Aspekte berücksichtigt werden.

Dazu gehören vertragliche Absicherungen mit den Anbietern, die Überprüfung der Drittlandübermittlung, die Einhaltung geeigneter technischer und organisatorischer Maßnahmen, die Erfüllung von Informationspflichten und die Beachtung datenschutzrechtlicher Anforderungen während der Durchführung von Videokonferenzen.

Unternehmen sollten diese Datenschutz-To-Dos ernst nehmen, um sensible personenbezogene Daten zu schützen und den rechtlichen Anforderungen gerecht zu werden. Weitere hilfreiche Informationen finden sich in der „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz vom 23.10.2020.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 2, 2023
5 min
Datenschutzgrundverordnung: ihre Vorgeschichte, ihr Impact

Seit 2011 wurde mit dem Gedanken gespielt, das Datenschutzrecht auf europäischer Ebene neu zu evaluieren und gegebenenfalls auf neue Beine zu stellen. Unsere Experten zeigen, wie die Datenschutzgrundverordnung unser Verständnis vom Datenschutz verändert hat.

Lesen
October 11, 2023
7 min
Was bedeutet das NIS2 Umsetzungsgesetz für Unternehmen?

Cybersicherheit ist für die Europäische Union und ihre Mitgliedstaaten, einschließlich Deutschland, von wachsender Bedeutung, insbesondere aufgrund zunehmender Hackerangriffe auf Infrastrukturen. Die EU veröffentlicht und aktualisiert aktiv Rechtsvorschriften, darunter die neueste NIS2 Richtlinie, die zusätzliche Maßnahmen zur Gewährleistung eines hohen gemeinsamen Niveaus der Cybersicherheit in der Union enthält. In Deutschland liegt nun ein Entwurf für ein NIS2 Umsetzungsgesetz vor, um die Vorgaben der NIS2 Richtlinie umzusetzen.

Lesen
June 5, 2023
4 min
Cookie-Einwilligung: Wie holt man sie rechtskonform ein?

Seit dem Inkrafttreten der DSGVO im Mai 2018 ist es für den Benutzer im Web zum Alltag geworden: Beim Öffnen einer neuen Website wird man aufgefordert, seine Einwilligung zum Sammeln von Daten zu geben, sogenannte Cookies. Laut den ersten Informationen einer Studie der Ruhr-Uni Bochum sind diese Einwilligungen in den meisten Fällen nicht rechtskonform.‍ Wie soll man Cookie-Banner also gestalten? Unsere Experten verraten es.

Lesen
TO TOP