Datenschutz und Videokonferenzen

Datenschutz und Videokonferenzen

Inzwischen haben Videokonferenzen an vielen Arbeitsplätzen Einzug gehalten. Aufgrund von Covid-19 mussten schnelle Lösungen dafür gefunden werden, dass die tägliche Arbeit und Interaktion mit Kollegen, Geschäftspartnern usw. dennoch möglichst nahtlos fortgeführt werden kann, ohne dass sich die Personen aus den Augen verlieren. Videokonferenzen können dies im wahrsten Sinne des Wortes vermeiden. In diesem Beitrag erläutern wir näher, was es mit Datenschutz und Videokonferenzen auf sich hat.

Personenbezogene Daten bei einer Videokonferenz

Bei einer Videokonferenz wird eine Vielzahl an personenbezogenen Daten verarbeitet. Dies wird so mancher Person erst klar, wenn sie sich näher mit dieser Thematik beschäftigt. Schauen wir also mal genauer hin.

Organisation einer Videokonferenz

Während wir den meist verlangten Vorgang einer erstmaligen Registration zum Anlegen eines Nutzerkontos außer Acht lassen, so werden allerdings schon bei der Registration an sich personenbezogene Daten verarbeitet. Auf jeden Fall verarbeitet der Videokonferenzanbieter die Daten der Person, die die Online-Besprechung organisiert. Verschickt sie Einladungen zur Besprechung direkt aus der Anwendung (der Software, dem Browser etc.) so verarbeitet der Anbieter dabei auch schon die Daten der anderen Teilnehmer. Je nach den Voreinstellungen durch den Anbieter, welche Daten er als notwendig oder optional erachtet, sind also E-Mail-Adressen, Namen etc. bei diesem Schritt schon betroffen.

Teilnahme an einer Videokonferenz

Nimmt eine Person dann an der Videokonferenz teil, wird die Liste verarbeiteter personenbezogener Daten sehr viel länger. Hier werden weitere personenbezogene Daten verarbeitet wie

1)    individuelle Nutzeridentifikationsnummern,

2)    Browser-Einstellungen,

3)    IP-Adressen,

4)    die Art, in der eine Person zur Videokonferenz hinzukommt (Browser, App, telefonisch o. Ä.),

5)    MAC-Adressen,

6)    Bildschirmauflösung,

7)    Aktionen der einzelnen Teilnehmer,

8)    Hardware-Typ,

9)    Zeit der Teilnahme,

10)  Textnachrichten,

11)   Videodatenströme,

12)   übermittelter Bildschirminhalt,

13)   hochgeladene Dateien,

14)   Spracheinstellungen,

15)   Verkehrs-/Meta-Daten etc.

Diese Liste ist bei weitem nicht abschließend. Hier besteht die Möglichkeit, sich auf der Webseite bzw. beim jeweiligen Anbieter genauer darüber zu erkunden, welche Ihrer personenbezogenen Daten er verarbeitet.

Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten

Aufgrund des sich zuspitzenden Themas der Übermittlung personenbezogener Daten in ein unsicheres Drittland (Weitere Beiträge zu diesem Thema finden Interessierte hier.) sollte ein Verantwortlicher in einem der ersten Schritte einen Blick auf den Unternehmenshauptstandort werfen. Dabei hilft dann eventuell auch eine weiterführende Recherche über etwaige Server-Standorte. Es ist also die Frage zu beantworten, ob sich trotz des eventuellen Firmenhauptsitzes in einem unsicheren Drittland Server in einem EU-Staat bzw. sicherem Drittland befinden. Je nach den eingesetzten technischen und organisatorischen Maßnahmen, muss ein Verantwortlicher nun entscheiden, ob er den Einsatz eines bestimmten Videokonferenzanbieters verantworten kann und will. Dabei sollte ein Verantwortlicher auch beachten, dass es bei der Durchführung von Videokonferenzen auch zur Verarbeitung personenbezogener Daten besonderer Kategorien kommen kann.

Um den Schutz und die Sicherheit aller personenbezogenen Daten gewährleisten zu können, sollte ein Verantwortlicher folgende technischen und organisatorischen Maßnahmen in Betracht ziehen bzw. tatsächlich in seiner Einrichtung implementieren:

1)    (Ende-zu-Ende-)Verschlüsselung von jeglichen personenbezogenen Daten,

2)    Aufbewahrung des Entschlüsselungs-Schlüssels beim Verantwortlichen selbst oder bei einer sorgfältig geprüften Drittpartei, die sich in einem EU-Land oder sicherem Drittland befindet,

3)    Unterbindung jeglicher Aufzeichnung einer Videokonferenz, sofern keine rechtskonformen Einwilligungen der Teilnehmer vorliegen,

4)    Möglichkeit für Gesprächsteilnehmer der Verpixelung oder Änderung des Hintergrundes,

5)    Möglichkeit zum Betreiben der Videokonferenz auf Server des Verantwortlichen,

6)    Möglichkeit der Teilnahme ohne Installation einer Software, App usw.,

7)    Teilnahme ohne Erstellung eines Nutzerkontos,

8)    Möglichkeit zum Ausschalten des Tones und/oder Bildes,

9)    Möglichkeit des Löschens der Videokonferenzdaten,

10)   Kontrollmöglichkeit der Teilnehmerzahl (bspw. mithilfe von Passwörtern),

11)   Authentisierungsmöglichkeit für Teilnehmer,

12)   Unterbindung der Aufmerksamkeitskontrolle,

13)   Unterbindung der automatischen Transkription etc.

Auch hier gilt, dass weitere technische und organisatorische Maßnahmen existieren, die ein Verantwortlicher einrichten kann.

Datenschutzdokumentation

Wie auch bei allen anderen Vorgängen in einer Einrichtung, bei der der Verantwortliche personenbezogene Daten verarbeitet, darf die entsprechende Dokumentation nicht fehlen.

Betroffene Personen sind – wie hier bspw. die Videokonferenzteilnehmer – über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Das bedeutet, der Verantwortliche muss einen Datenschutzhinweis zur Verfügung stellen, bevor personenbezogene Daten durch ihn oder den Videokonferenzanbieter verarbeitet werden. Gegebenenfalls sind Einwilligungen der betroffenen Personen einzuholen. Des Weiteren ist der Vorgang der Verarbeitung personenbezogener Daten bei einer Videokonferenz zu dokumentieren. Folglich ist dies im Verzeichnis von Verarbeitungstätigkeiten entsprechend festzuhalten. Übrigens sollte ein Verantwortlicher auch genau betrachten, auf welcher Rechtsgrundlage er solch eine Verarbeitung personenbezogener Daten basiert. Falls nicht schon umgesetzt, ist es empfehlenswert, Vertraulichkeitsverpflichtungen abzuschließen oder zu aktualisieren. Befindet sich der Videokonferenzanbieter in einem unsicheren Drittland, sind Standarddatenschutzklauseln abzuschließen. Eventuell ist der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO vonnöten. Auch eine Richtlinie zur Durchführung von Videokonferenzen ist zu erstellen sowie das Lösch und das Berechtigungskonzept entsprechend zu ergänzen. Zusätzlich ist auch die Durchführung einer Datenschutz-Folgenabschätzung empfehlenswert.

Auftragsverarbeitungsvertrag?

Prä-01.12.2021 hätten wir festgestellt, dass bei Hinzuziehen eines Videokonferenzanbieters ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO abgeschlossen werden muss. Aufgrund des Inkrafttretens des TTDSG wird die Einrichtung, die sich einer Videokonferenz-Software/-App o. Ä. bedient, selbst als Verantwortlicher gesehen (§ 3 Abs. 2 TTDSG).

Fazit

Videokonferenzanbieter zu finden, ist leicht. Wie immer, gibt es umfangreiche Angebote aus den USA. Leider ist bei diesen Anbietern selten – wenn überhaupt – die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO gegeben. Aber auch die Anbieter, mithilfe derer eine Einrichtung Videokonferenzen datenschutzkonform durchführen kann, sind aufgetaucht. Idealerweise geben Einrichtungen in der EU diesen den Vorrang vor denen mit Sitz in einem unsicheren Drittland. Auch schon deswegen, da die Datenschutzaufsichtsbehörden Videokonferenzanbieter aus unsicheren Drittländern besonders im Blick haben. Egal, wo sich der Videokonferenzanbieter befindet, Verantwortliche, die sich derer bedienen, müssen geeignete und angemessene technische und organisatorische Maßnahmen zum Datenschutz und zur -sicherheit treffen. Die Anforderungen hierzu verschärfen sich noch, wenn sich dieser Videokonferenzanbieter in einem unsicheren Drittland wie der USA befindet. Bei Missachtung drohen dem Verantwortlichen Bußgelder, Abmahnungen und Schadenersatzansprüche.

Sie möchten Beratung hierzu und/oder allgemein zum Datenschutz in Ihrer Einrichtung? Kontaktieren Sie uns am besten gleich.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.