Videokonferenzen und Datenschutz – Orientierungshilfe der DSK
Videokonferenzen werden seit Beginn der Corona-Pandemie immer bedeutsamer. Was gilt es beim Datenschutz zu beachten? Durch die Fülle an Informationen, die beim Einsatz von Videokonferenzsystemen verarbeitet werden, ist die Beantwortung dieser Frage komplex. Wie gestaltet man also datenschutzkonforme Videokonferenzen?
Aus diesem Grund hat die Datenschutzkonferenz (DSK) eine Hilfe zum datenschutzkonformen Einsatz von Videokonferenzsystemen herausgegeben. Diese ist hier zu finden. Darin sind Hilfestellungen zum rechtlich konformen Einsatze von Videokonferenzsystem dargestellt. Die wichtigsten Punkte möchten wir im Folgenden für Sie zusammenfassen.
Wie wird ein Videokonferenzsystem bereitgestellt?
Die Bereitstellung von Videokonferenzsystemen kann durch ein Unternehmen auf unterschiedlichen Wegen erfolgen. Hier führt die DSK 3 Möglichkeiten auf und erklärt die Besonderheiten dieser.
- eigener Dienst: Ein Unternehmen kann einen eigenen Dienst betreiben, um Videokonferenzen zu ermöglichen. Dann ist das Unternehmen als Betreiber gemäß der DS-GVO Verantwortlicher.
- Betrieb durch externen Dienstleister: Ein Unternehmen kann einen externen Dienstleister damit beauftragen, einen eigenen Videokonferenzdienst für das Unternehmen zu betreiben. Wenn dieser kein eigenes Interesse an den personenbezogenen Daten hat, dann ist ein Vertrag zur Auftragsverarbeitung gem. Art. 28 Abs. 3 der DS-GVO abzuschließen.
- Nutzung eines Online-Dienstes: Als dritte Option kann ein Unternehmen auch bestehende Dienste nutzen. Hierbei muss das Unternehmen die Datenschutzgrundsätze durch die Auswahl eines geeigneten Anbieters gewährleisten. Hierbei ist insbesondere auf die, durch den Anbieter getroffenen, technischen und organisatorischen Maßnahmen zu achten. Die Schwierigkeiten bei der Auswahl von Anbietern mit Sitz in Drittländern, insbesondere in den USA, haben wir in diesen Blogartikeln zum Urteil Schrems II hier und hier näher betrachtet. Ein bestehender Online-Dienst hat ein eigenes Interesse an den verarbeiteten Daten. Beispiele hierfür sind der Einsatz von Analysetools oder die Verarbeitung von Daten zum Nutzerverhalten. Hierdurch ist zu prüfen, ob eine gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO vorliegt. Für diesen Umstand müssen vertragliche Regelungen festgelegt werden.
Was gilt es datenschutzrechtlich zu beachten?
Einwilligung: Wird als Rechtsgrundlage für die Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Personen verwendet, muss ein Gesichtspunkt dieser besonders beachtet werden. Nach Art. 4 Nr.11 ist eine Einwilligung nur zulässig, wenn sie in informierter Weise sowie freiwillig abgegeben wurde. Das bedeutet, dass auch eine echte Wahlmöglichkeit für die Betroffenen gegeben sein muss. Personen, die dem nicht zustimmen, müssen alle relevanten Informationen auf eine andere Weise erhalten können; zum Beispiel durch eine Teilnahme am Telefon.
Verarbeitung besonderer Kategorien von Daten: Es kann dazu kommen, dass besondere Kategorien von Daten wie beispielsweise Gesundheitsdaten in einer Videokonferenz verarbeitet werden. In diesem Fall kann nach Art. 9 Abs. 2 lit. a DS-GVO eine ausdrückliche gesonderte Einwilligung nötig sein.
Teilnahme in Privatwohnungen: Anderen Teilnehmern darf ohne Einwilligung der Betroffenen kein Einblick in deren Privatsphäre in Bild und Ton gewährt werden. Der Arbeitgeber muss hierzu geeignete technische und organisatorische Maßnahmen bereitstellen, damit solche Einblicke nicht möglich sind. Dies könnte beispielsweise Blurring oder die Zurverfügungstellung eines Sichtschutzes sein. Auch kann eine Einwilligung der Betroffenen unter Beachtung der zuvor genannten Aspekte erfolgen.
Aufzeichnungen: Besteht kein besonderes Dokumentationserfordernis, ist für eine Aufzeichnung eine gesonderte Einwilligung der Teilnehmenden der Videokonferenz einzuholen. Die Audio- und Videodaten sowie die Rahmendaten der Konferenz dürfen nur soweit verarbeitet werden wie es unbedingt erforderlich ist. Eine über die Konferenz hinausgehende Speicherung ist regelmäßig weder erforderlich noch mit dem Erhebungszweck vereinbar (Art. 5 Abs. 1 lit. b, Art. 6 Abs. 4 DS-GVO). Die Aufzeichnungsfunktion sollte daher deaktiviert sein.
Quelle: pixabay.com
Welche Pflichten hat der Verantwortliche?
Informationspflichten: Die Teilnehmer müssen vor der Videokonferenz klare und eindeutige Informationen über die damit verbundene Datenverarbeitung gem. Art. 13 DS-GVO erhalten.
Weitere Pflichten, wie die Aufnahme in das Verarbeitungsverzeichnis oder die Meldepflicht bei Datenpannen bestehen natürlich auch weiterhin.
Welche technischen und organisatorischen Maßnahmen sind zu treffen?
Sicherheit der Übertragung: Der Verantwortliche muss die Verschlüsselung der Konferenzdaten gewährleisten. Ebenso ist die Nutzung von bestimmten Funktionalitäten abzuwägen und ggf. zu unterbinden. Zu diesen Funktionalitäten gehören beispielsweise private Chats, Screensharing oder die Bereitstellung von Dokumenten in einem für alle Teilnehmenden offenstehenden Arbeitsbereich.
Nutzerauthentifizierung: Nur berechtigte Personen dürfen auf die Videokonferenzsitzung und deren Daten zugreifen können. Hierzu sind dem Risiko angemessene Maßnahmen zu treffen. Dies kann z.B. durch einen individuellen Nutzernamen mit Passwort oder bei einem hohen Risiko für die Betroffenen durch eine Zwei-Faktor-Authentifizierung geschehen. Unter bestimmten Bedingungen ist auch eine Gastteilnahme an Videokonferenzen möglich. Die Einwahldaten dürfen hierbei nicht unbefugt weitergegeben werden.
Aktualisierung: Um technische Schwachstellen und sonstige Sicherheitslücken in den Videokonferenzsystemen zu vermeiden, sollte immer die aktuelle Version verwendet werden.
Intervenierbarkeit: Teilnehmende müssen technisch die Möglichkeit haben jederzeit lediglich empfangend teilzunehmen. Das bedeutet, dass es möglich sein muss die Video- und die Audioübertragung des Teilnehmenden zu unterbrechen.
Kontaktieren Sie uns!
Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.
Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.
Nehmen Sie gerne jederzeit Kontakt zu uns auf.