Videokonferenz vs. Datenschutz: Eine kurze Bestandsaufnahme

Videokonferenzen anstelle klassischer Präsenz-Meetings gewannen in den letzten Jahren an zunehmender Beliebtheit. Aufgrund der Corona-bedingten Notwendigkeit von Homeoffice und Homeschooling sowie der steigenden Beliebtheit im privaten Bereich erlebt die Zahl der Anwendungen und Anbieter derzeit ein historisches Hoch.

Zu unterscheiden sind drei Betriebsmodelle, die jeweils ihre Vor- und Nachteile mit sich bringen:

  • Große Unternehmen und Behörden verwenden oftmals einen selbst betriebenen Dienst, den sie selbst gestalten und warten können.
  • Manche Unternehmen und Behörden greifen auf einen externen Dienstleister zurück, welcher die Videokonferenzsysteme an die konkreten Bedürfnisse des Unternehmens oder der Behörde anpasst und die Wartung und Pflege für sie übernimmt.
  • Die Mehrzahl der kleinen und mittleren Unternehmen bedient sich eines Online-Dienstes. Online-Dienste bieten unterschiedliche Lösungen zu Videokonferenzsystemen an. Hier ist es jedoch nötig, genau zu prüfen, welche Anforderungen im konkreten Fall an die Software, an die Hardware und an die zu erreichenden Teilnehmer gestellt werden (können) und welche datenschutzrechtlichen Aspekte beachtet werden müssen.

Aus datenschutzrechtlicher Perspektive sind Videokonferenzen relevant, da eine große Menge – teilweise sehr sensibler – Daten geteilt wird wird. Nicht nur Ton und Bild der teilnehmenden Personen sondern auch das private Umfeld, die Lebensumstände, Unbeteiligte oder deren Gesundheitszustände werden erkennbar. Daneben werden auch Chats, Bildschirmanzeigen, ggf. Aufzeichnungen, Dokumenteninhalte sowie Metadaten (z.B. berufliche Kontakte, Arbeitszeiten oder Arbeitsleistung) in einem Videocall generiert.

Wenn Sie – egal ob als Privatperson, Unternehmen oder Behörde – eine Videokonferenz durchführen, sind Sie nach Art. 4 Nr. 7 DSGVO der oder die Verantwortliche und somit zur Einhaltung der grundsätzlichen Erfordernisse an die Datenverarbeitung verpflichtet. Das bedeutet nebst dem Treffen der notwendigen technischen und organisatorischen Maßnahmen und Klärung aller Verantwortlichkeiten u.a. auch die Ausgestaltung und Bereitstellung von Nutzungsbedingungen, einer Datenschutzerklärung, ggf. einer Datenschutzfolgeabschätzung sowie Sicherheitsnachweisen.

Prüfen Sie außerdem, auf welcher Rechtsgrundlage nach Art. 6 Abs. 1 Ihre Datenverarbeitung erfolgt. Häufig kommen dabei v.a. Art. 6 Abs. 1 litt. b oder f DSGVO (Vertragserfüllung, berechtigte Interessen) in Betracht. Da von einer freiwilligen Einwilligung in die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kaum ausgegangen werden kann, könnte § 26 BDSG herangezogen werden. Anspruchsvoll wird es, wenn Daten nach Art. 9 DSGVO verarbeitet werden oder der Videocall aus Privatwohnungen geführt wird. Hier ist immer sicherzustellen, dass das Schutzniveau personenbezogener Daten sehr hoch angesetzt wird.

Besonders hervorgehoben werden sollte zudem, dass die Videokonferenzteilnehmer nach Art. 13 oder Art. 14 DSGVO umfangreich und leicht verständlich u. a. über den Namen, die Kontaktdaten des Verantwortlichen und die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, informiert werden müssen. Hier sollte bereits darauf hingewiesen werden, ob und welche kryptografischen Verfahren angewendet werden, welche Privatsphäre-Einstellungen genutzt werden können (z.B. Pseudonym oder virtueller Hintergrund) und ob Aufzeichnungen der Videokonferenzen vorgenommen werden.

Schaffen Sie für sich selbst und für die Betroffenen eine größtmögliche Sicherheit und Transparenz bei der Übertragung und Nutzung von Daten, die vor, während und nach einer Videokonferenz anfallen. MKM Datenschutz sensibilisiert Ihre Mitarbeitenden im Umgang mit personenbezogenen Daten und berät Sie gern zu allen Datenschutzfragen im Zusammenhang mit Videokonferenzsystemen und darüber hinaus.

 

Autor: Matthias Voigt – Data Privacy Consultant