Kriterien und Maßnahmen zur Auswahl und Inbetriebnahme eines Online-Meeting-Tools

Video- und Telefonkonferenzen rücken im Arbeitsalltag mehr und mehr in den Vordergrund. Aus diesem Grund ist es notwendig sich vor Einsatz einer Online-Meeting-Software ausreichend zu informieren und diese zu prüfen, da einige datenschutzrelevante Themen zu beachten sind.

Im Folgenden gehen wir kurz auf die einzelnen Kriterien innerhalb der online Datenschutz-Orientierungshilfe „Beurteilungskriterien zur Auswahl eines Online- Meeting-Tools und Hinweise auf die zu berücksichtigenden technischen und organisatorischen Maßnahmen“ des Katholischen Datenschutzzentrums Frankfurt am Main ein und geben auszugsweise den Inhalt zusammengefasst wieder. An dieser Stelle möchten wir den ausdrücklichen Hinweis geben, dass es sich lediglich um eine Zusammenfassung von Kriterien und Maßnahmen handelt und keine Gegenüberstellung oder Empfehlung von Tools erfolgt.

Kriterien zur Auswahl eines Online-Meeting-Tools

Ist ein Online-Meeting notwendig oder kann auch eine Telefonkonferenz abgehalten werden?

  • Im Sinne der in den Grundsätzen der Datenverarbeitung festgehaltenen Datensparsamkeit sollte zunächst überprüft werden, ob auch eine Telefonkonferenz zum gewünschten Ziel führt.

Ist ein eigenes Videotelefonie-Tool im Unternehmen bereits vorhanden, sodass kein Drittanbieter-Tool verwendet werden muss?

In welchem Land befindet sich der Serverstandort des Tools?

  • Deutschland oder EU bzw. EWR: diese unterliegen direkt der Europäischen Datenschutzgrundverordnung (DS-GVO) (bzw. dem Gesetz über den Kirchlichen Datenschutz), daher sollte ein angemessenes Schutzniveau gewährleistet sein.
  • Drittland (mit Angemessenheitsbeschluss): Diese Drittländer wurden durch die Europäische Kommission geprüft und weisen ein mit der DS-GVO vergleichbares Datenschutzniveau vor.
  • Drittland (ohne Angemessenheitsbeschluss, mit rechtsverbindlichem Instrument mit geeigneten Garantien): Die ausreichenden technischen und organisatorischen Maßnahmen des Tools werden in einem Vertrag festgehalten und können daher ebenfalls ein angemessenes Datenschutzniveau darstellen.
  • Drittland (ohne die oben genannten Voraussetzungen): unter den Voraussetzungen des Art. 49 DS-GVO/§ 41 KDG kann eine Datenverarbeitung durch den Anbieter in einem Drittland möglich sein.

Wurde ein Auftragsverarbeitungsvertrag mit dem Dienstleister abgeschlossen?

    • Da es sich bei Anbietern von Video- und Online-Konferenzen um Auftragsverarbeiter handelt, müssen dementsprechend die Vorgaben des Art. 28 DS-GVO/§ 29 KDG beachtet werden.

Erfolgt die Datenübertragung verschlüsselt?

  • Im Zuge der ausführlichen Prüfung der technisch- organisatorischen Maßnahmen des Tools muss insbesondere die Übertragung der Daten überprüft werden. Daher sollte eine Verschlüsselung immer standardmäßig eingestellt sein und nicht optional zu buchbar sein. Welche Art der Verschlüsselung notwendig ist hängt von den zu übertragenden Daten ab und muss daher im Einzelfall bestimmt werden. Hierzu kann auch der Blogbeitrag zum Thema Verschlüsselungherangezogen werden.

Wie ist die Löschung der übermittelten Daten (wie Mittschnitte, Fotos, Dateien etc.) geregelt und werden weitere Daten versendet?

  • Eine Löschung der Daten muss immer nach Erfüllung des Zwecks erfolgen, soweit keine andere Norm eine weitere Speicherung zulässig macht (z. B. Aufbewahrungsfristen gem. AO). Im Falle der Online-Meeting-Tools sollte daher darauf geachtet werden, dass alle Inhalte und Verbindungsdaten der Kommunikation schnellstmöglich (systemseitig) gelöscht werden.
  • Ein häufiges Problem stellt die Übermittlung von Adress- und Kontaktdaten der User dar. Daher sollte überprüft werden ob das Tool z. B. die komplette Kontaktliste der Personen an den Provider übermittelt. So wird die Verantwortung, eine derartige Datenverarbeitung zu verhindern, ganz auf den Anwender übertragen. Das regelmäßige ausspähen der Adress- und Kontaktdaten des Telefonbuchs durch das Tool verstößt demnach gegen die DS-GVO und das KDG.

Muss eine Business-Version verwendet werden oder reicht eine private Lizenz aus?

  • Private Lizenzen sind, wie es der Name schon vermuten lässt, für den privaten Gebrauch vorgesehen. Vereinzelte Tools geben die Nutzung für gemeinnützige Organisationen frei. Hier muss unbedingt überprüft werden welche datenschutzrechtlichen Zusicherungen für welche Version gelten. Bedingungen der Lizenzvergabe können meist in den AGBs nachgelesen werden. In diesen ist auch das Mindestalter der Teilnehmenden geregelt, sowie weitere wichtige Bedingungen zur Nutzung.

Werden Logfiles (Protokolldateien) im Rahmen der Nutzung erstellt?

  • Logfiles dienen für Dienstleister meist zum Zweck der Fehlerbehebung. Daher ist es notwendig, dass diese nach Wegfall des Zwecks unverzüglich gelöscht werden.

Welche Aufbewahrungsfristen gelten für die verarbeiteten Daten in Online-Tools?

  • Hier gilt wiederum, personenbezogene Daten dürfen nur bis zur Erfüllung des Zwecks gespeichert werden und müssen danach gelöscht werden, soweit keine andere Rechtsgrundlage eine Speicherung vorschreibt. Der Anbieter sollte demnach in seinen technisch-organisatorischen Maßnahmen erläutern welche Daten wie lange gespeichert werden.

Findet Profiling der Teilnehmenden statt?

  • Sollte eine Funktion des Tools die Erstellung von Verhaltensprofilen beinhalten, so ist diese abzuschalten.

Haben Sie sich aufgrund der zuvor aufgeführten Kriterien nun für einen Anbieter entschieden, müssen nun noch die für das Online-Meeting-Tool anzuwendenden welche technischen und organisatorischen Maßnahmen erfasst werden. Einige für diese Tools relevante Maßnahmen wurden unterhalb zusammengefasst:

  • Korrekte Konfiguration der Datenschutzeinstellungen in Hinblick auf die Datensparsamkeit;
  • Beschreibung welche Personen eingeladen werden und welche Zugangsbeschränkungen zur Teilnahme möglich sind;
  • Vorgaben beim Screen-Sharing und zum Weichzeichnen des Hintergrunds
  • Beschränkung der Weitergabe der Zugangsdaten an Dritte
  • Regeln zur Aufzeichnung von Konferenzen
  • Maßnahmen zur Vorbeugung von Datenverstößen

Fragen zum Thema Videokonferenzen?

Sollten Sie zu diesem Thema oder weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung. Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes. Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog