Kriterien und Maßnahmen zur Auswahl und Inbetriebnahme eines Online-Meeting-Tools

Video- und Telefonkonferenzen rücken im Arbeitsalltag mehr und mehr in den Vordergrund. Aus diesem Grund ist es notwendig sich vor Einsatz einer Online-Meeting-Software ausreichend zu informieren und diese zu prüfen, da einige datenschutzrelevante Themen zu beachten sind.

Im Folgenden gehen wir kurz auf die einzelnen Kriterien innerhalb der online Datenschutz-Orientierungshilfe „Beurteilungskriterien zur Auswahl eines Online- Meeting-Tools und Hinweise auf die zu berücksichtigenden technischen und organisatorischen Maßnahmen“ des Katholischen Datenschutzzentrums Frankfurt am Main ein und geben auszugsweise den Inhalt zusammengefasst wieder. An dieser Stelle möchten wir den ausdrücklichen Hinweis geben, dass es sich lediglich um eine Zusammenfassung von Kriterien und Maßnahmen handelt und keine Gegenüberstellung oder Empfehlung von Tools erfolgt.

Kriterien zur Auswahl eines Online-Meeting-Tools

Ist ein Online-Meeting notwendig oder kann auch eine Telefonkonferenz abgehalten werden?

  • Im Sinne der in den Grundsätzen der Datenverarbeitung festgehaltenen Datensparsamkeit sollte das Unternehmen zunächst überprüfen, ob auch eine Telefonkonferenz zum gewünschten Ziel führt.

Ist ein eigenes Videotelefonie-Tool im Unternehmen bereits vorhanden, sodass kein Drittanbieter-Tool verwendet werden muss?

In welchem Land befindet sich der Serverstandort des Tools?

  • Deutschland oder EU bzw. EWR: Diese unterliegen direkt der Europäischen Datenschutzgrundverordnung (DS-GVO) (bzw. dem Gesetz über den Kirchlichen Datenschutz), daher sollte ein angemessenes Schutzniveau gewährleistet sein.
  • Drittland
    • mit Angemessenheitsbeschluss: Diese Drittländer wurden durch die Europäische Kommission geprüft und weisen ein mit der DS-GVO vergleichbares Datenschutzniveau vor.
    • ohne Angemessenheitsbeschluss, mit rechtsverbindlichem Instrument mit geeigneten Garantien: Die ausreichenden technischen und organisatorischen Maßnahmen des Tools werden in einem Vertrag festgehalten und können daher ebenfalls ein angemessenes Datenschutzniveau darstellen.
    • ohne die oben genannten Voraussetzungen: Unter den Voraussetzungen des Art. 49 DS-GVO/§ 41 KDG kann eine Datenverarbeitung durch den Anbieter in einem Drittland möglich sein.

Wurde ein Auftragsverarbeitungsvertrag mit dem Dienstleister abgeschlossen?

    • Da es sich bei Anbietern von Video- und Online-Konferenzen um Auftragsverarbeiter handelt, müssen dementsprechend die Vorgaben des Art. 28 DS-GVO/§ 29 KDG Beachtung finden.

Erfolgt die Datenübertragung verschlüsselt?

  • Im Zuge der ausführlichen Prüfung der technisch- organisatorischen Maßnahmen des Tools muss insbesondere die Übertragung der Daten überprüft werden. Daher sollte eine Verschlüsselung immer standardmäßig eingestellt sein und nicht optional zubuchbar sein. Welche Art der Verschlüsselung notwendig ist, hängt von den zu übertragenden Daten ab und muss daher im Einzelfall bestimmt werden. Hierzu kann auch der Blogbeitrag zum Thema Verschlüsselung herangezogen werden.

Wie ist die Löschung der übermittelten Daten (wie Mittschnitte, Fotos, Dateien etc.) geregelt und werden weitere Daten versendet?

  • Eine Löschung der Daten muss immer nach Erfüllung des Zwecks erfolgen, soweit keine andere Norm eine weitere Speicherung zulässig macht (z. B. Aufbewahrungsfristen gem. AO). Unternehmen s0llten im Falle der Online-Meeting- Tools daher darauf achten, dass alle Inhalte und Verbindungsdaten der Kommunikation schnellstmöglich (systemseitig) gelöscht werden.
  • Ein häufiges Problem stellt die Übermittlung von Adress- und Kontaktdaten der User dar. Daher sollte ein Unternehmen überprüfen, ob das Tool z. B. die komplette Kontaktliste der Personen an den Provider übermittelt. So erhält der Anwender die Verantwortung eine derartige Datenverarbeitung zu verhindern. Das regelmäßige Ausspähen der Adress- und Kontaktdaten des Telefonbuchs durch das Tool verstößt demnach gegen die DS-GVO und das KDG.

Muss eine Business-Version verwendet werden oder reicht eine private Lizenz aus?

  • Private Lizenzen sind, wie es der Name schon vermuten lässt, für den privaten Gebrauch vorgesehen. Vereinzelte Tools geben die Nutzung für gemeinnützige Organisationen frei. Hier müssen Unternehmen unbedingt überprüfen welche datenschutzrechtlichen Zusicherungen für welche Version gelten. Bedingungen der Lizenzvergabe können meist in den AGBs nachgelesen werden. In diesen ist auch das Mindestalter der Teilnehmenden geregelt, sowie weitere wichtige Bedingungen zur Nutzung.

Werden Logfiles (Protokolldateien) im Rahmen der Nutzung erstellt?

  • Logfiles dienen für Dienstleister meist zum Zweck der Fehlerbehebung. Daher ist es notwendig, dass diese nach Wegfall des Zwecks unverzüglich gelöscht werden.

Welche Aufbewahrungsfristen gelten für die verarbeiteten Daten in Online-Tools?

  • Personenbezogene Daten sind nur bis zur Erfüllung des Zwecks zu speichern und müssen danach gelöscht werden, soweit keine andere Rechtsgrundlage eine Speicherung vorschreibt. Somit hat der Anbieter die Pflicht, in seinen technisch organisatorischem Maßnahmen zu erläutern, welche Daten wie lange gespeichert werden.

Findet Profiling der Teilnehmenden statt?

  • Sollte eine Funktion des Tools die Erstellung von Verhaltensprofilen beinhalten, so ist diese abzuschalten.

Haben Sie sich nun für einen Anbieter entschieden, müssen Sie nun noch die für das Online-Meeting-Tool anzuwendenden technischen und organisatorischen Maßnahmen erfassen. Einige für diese Tools relevante Maßnahmen wurden unterhalb zusammengefasst:

  • Korrekte Konfiguration der Datenschutzeinstellungen in Hinblick auf die Datensparsamkeit;
  • Beschreibung welche Personen eingeladen werden und welche Zugangsbeschränkungen zur Teilnahme möglich sind;
  • Vorgaben beim Screen-Sharing und zum Weichzeichnen des Hintergrunds
  • Beschränkung der Weitergabe der Zugangsdaten an Dritte
  • Regeln zur Aufzeichnung von Konferenzen
  • Maßnahmen zur Vorbeugung von Datenverstößen

Fragen zum Thema Videokonferenzen?

Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei deren Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog