Stand: 26.01.2023
Online-Meetings sind in den letzten Jahren zu einem unverzichtbaren Element im Arbeitsalltag geworden. Allerdings gibt es bei Videokonferenzen aus Datenschutzsicht einige Punkte zu beachten – von der Wahl eines geeigneten Videokonferenz-Tools bis zur Durchführung des virtuellen Treffens. Dieser Beitrag vermittelt einen Überblick über die Datenschutzanforderungen bei Videokonferenzsystemen auch im Hinblick auf Neuerungen in Verbindung mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).
Die wichtigsten Datenschutzanforderungen
Im Rahmen von Videokonferenzen wird eine große Bandbreite an personenbezogenen Daten der Teilnehmer verarbeitet. Neben Anmelde- und Metadaten sind hier durch das virtuelle Meeting selbst verarbeitete Daten besonders kritisch. Hierzu zählen Bild- und Tonaufnahmen inklusive des Inhaltes von Äußerungen sowie ggf. Einblicke in das Privatleben der Teilnehmer, wenn sie vom heimischen Arbeitsplatz aus teilnehmen. Damit die Verarbeitung dieser Daten bei der Durchführung von Videokonferenzen im Einklang mit den Anforderungen der DS-GVO erfolgt, sind eine ganze Reihe von Aspekten zu beachten.
Datenschutzpflichten bei Videokonferenzen im Überblick
Die Aufsichtsbehörden empfehlen, die Notwendigkeit einer Videokonferenz immer im Einzelfall zu prüfen und ggf. auf andere gleich geeignete Kommunikationsmittel zu nutzen. Wenn Videokonferenzen nötig sind, müssen diese immer verschlüsselt abgehalten werden, Teilnehmer dürfen einerseits nicht gezwungen sein, die Kamera zu aktivieren und müssen andererseits auf den sparsamen Umgang mit Daten hingewiesen werden. Parallel dazu müssen folgende allgemeine Pflichten aus der DS-GVO beim Einsatz von Videokonferenzen beachtet werden:
- Beachtung des Grundsatzes der Datenminimierung & Wahl der geeigneten Rechtsgrundlage
- Dokumentation des Verfahrens im Verzeichnis der Verarbeitungstätigkeiten (VVT)
- Abschluss eines AV-Vertrags mit dem Tool-Anbieter nach Art. 28 DS-GVO
- Datenschutzkonforme Voreinstellung des Systems
- Sicherstellung der Datensicherheit durch geeignete technische und organisatorische Maßnahmen nach Art. 32 DS-GVO
- Erfüllung der Transparenz- und Informationspflichten nach Art. 12, 13 und 14 DS-GVO
Um dem datenschutzrechtlichen Grundsatz der Datenminimierung gerecht zu werden, muss durch technische und organisatorische Maßnahmen sowie die genaue Prüfung einzelner Funktionen der Tools sichergestellt werden, dass nur im zwingend erforderlichen Maß personenbezogene Daten verarbeitet werden. Dieses Prinzip gilt es bereits bei der Auswahl eines Videokonferenzsystems zu beachten.
Möglichkeiten zum Betrieb eines Konferenzsystems
Grundsätzlich gibt es für den Betrieb eines Videokonferenzsystems drei verschiedene Möglichkeiten:
In der Theorie am datenschutzkonformsten ist der Betrieb eines eigenen Konferenzsystems, da die verantwortliche Stelle dadurch Kontrolle über die Datenverarbeitungsprozesse hat und keine Informationen an externe Stellen übermittelt werden. Allerdings ist dieses Modell mit einem großen personellen und technischen Aufwand in puncto Betrieb, Wartung und Sicherstellung der TOMs verbunden, weshalb es für den Großteil der Unternehmen nicht in Frage kommt.
Ebenfalls einen Einfluss auf die Software hinter dem Konferenzsystem haben verantwortliche Stellen bei der Beauftragung eines externen Dienstleisters, der für sie das System im Rahmen einer Auftragsverarbeitung (Art. 28 DS-GVO) betreibt. Hier muss allerdings darauf geachtet werden, dass Daten nur im zwingend erforderlichen Umfang an Dritte übermittelt werden, im besten Fall sollte dies vollständig vermieden werden.
Die in der Praxis einfachste, aber mit den meisten datenschutzrechtlichen Stolpersteinen behaftete Möglichkeit, ist die Nutzung eines Online-Dienstes. Der Anbieter des Dienstes ist in der Regel ebenfalls Auftragsverarbeiter, weshalb eine entsprechende Vereinbarung nach Art. 28 Abs. 3 DS-GVO abgeschlossen werden muss. Das Unternehmen bleibt für die Einhaltung des Datenschutzes verantwortlich und muss den Anbieter bzw. dessen angebotenen Dienst genau prüfen (z. B. Inhalte des AV-Vertrages, Nutzungsbedingungen, Datenschutzerklärung, Sicherheitshinweise). Besondere Vorsicht ist nach dem EuGH-Urteil zur Ungültigkeit des EU-US-Privacy-Shield-Abkommens (Schrems II) bei Anbietern aus den USA geboten. Die Standardvertragsklauseln, die grundsätzlich für eine Datenübermittlung in Drittländer herangezogen werden können, sind nach der EuGH-Entscheidung allein nicht ausreichend. Dementsprechend sollte nach Möglichkeit ein Anbieter aus der EU bzw. dem EWR gewählt werden.
Änderungen durch das TTDSG
Vor in Kraft treten des Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) galt das Fernmeldegeheimnis nur für klassische Kommunikationsdienste wie Telefon, SMS oder Fax, nicht jedoch für internetbasierte Telekommunikationsdienste, z. B. Videokonferenzsysteme oder E-Mail. Seit dem 01.12.2021 ist das Fernmeldegeheimnis in § 3 TTDSG geregelt. Zeitgleich wurde das Telekommunikationsgesetz (TKG) überarbeitet, sodass jetzt jede Form der Telekommunikation geschützt ist – auch Videokonferenzsysteme. Das bedeutet, dass jetzt die Anbieter von Videokonferenzsystemen, wie Zoom oder Microsoft, die technischen Vorkehrungen und Schutzmaßnahmen zur Einhaltung des Fernmeldegeheimnisses treffen müssen.
Da bei der Nutzung von Zoom oder Microsoft persönliche Daten im Auftrag des Nutzers verarbeitet werden, muss in der Regel dennoch ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DS-GVO mit dem Anbieter des genutzten Programms abgeschlossen werden.
Rechtmäßigkeit und Zweckbindung
Wie bei jeder Verarbeitung personenbezogener Daten ist auch für die Datenverarbeitung im Rahmen von Videokonferenzen eine Rechtsgrundlage nach Art. 6 DS-GVO erforderlich. In Betracht kommen hier grundsätzlich die Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit a) DS-GVO), die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO) oder das überwiegende, berechtigte Interesse des Veranstalters als Verantwortlichen (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO).
Mögliche Rechtsgrundlagen im Überblick
Als Rechtsgrundlage kommen die Einwilligung, die Erfüllung des Arbeitsvertrags, die Anbahnung oder Durchführung eines Vertrags sowie das überwiegende berechtigte betriebliche Interesse in Betracht:
- Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO
Das Datenschutzrecht stellt hohe Anforderungen an eine wirksame Einwilligung des Betroffenen. Sie muss insbesondere aktiv sowie freiwillig erfolgen. Bei der Durchführung von Videokonferenzen ist dies im beruflichen Umfeld dahingehend problematisch, dass die Freiwilligkeit der Einwilligung bei Arbeitnehmern fraglich ist. Aufgrund des Abhängigkeitsverhältnisses zum Arbeitgeber und häufig fehlender Alternativen, hat der Arbeitnehmer faktisch keine andere Wahl, als seine Zustimmung zu geben. Damit ist die Einwilligung allerdings unwirksam und kann in diesem Fall nicht als Rechtsgrundlage herangezogen werden.
- Datenverarbeitung im Zusammenhang mit der Erfüllung des Arbeitsvertrags nach § 26 BDSG
Im Beschäftigungskontext kann dafür aber unter Umständen § 26 Abs. 1 S. 1 BDSG dienen, um die Datenverarbeitung zu legitimieren. Hier muss allerdings genau geprüft werden, welche Verarbeitung welcher Daten wirklich zur Erfüllung der arbeitsvertraglichen Aufgaben notwendig ist (z. B. Bilddaten). Wichtig ist, dass diese Rechtsgrundlage ausschließlich für die Datenverarbeitung durch den Veranstalter/Arbeitgeber herangezogen werden kann, nicht für die Verarbeitung des Anbieters zu eigenen Zwecken (z. B. Nutzeranalyse, Tracking zu Werbezwecken).
- Anbahnung oder Abschluss eines Vertrags nach Art. 6 Abs. 1 S. 1 lit. b) DS-GVO
Die Datenverarbeitung kann außerdem auf die Anbahnung oder Erfüllung eines Vertrags gestützt werden. Die Rechtsgrundlage ist abhängig von der genauen Vertragsgestaltung mit den Teilnehmern an der Konferenz (z. B. Buchung eines Online-Seminars). Sie ist nur dann einschlägig, wenn der Teilnehmer an der Konferenz selbst (potenzielle) Vertragspartei ist.
- Überwiegendes berechtigtes betriebliches Interesse, Art. 6 Abs. 1 S. 1 lit. f) DS-GVO
Zu guter Letzt kann auch das berechtigte Interesse des Veranstalters der Konferenz als Rechtsgrundlage dienen. Hier muss aber eine umfangreiche Interessenabwägung durchgeführt werden. Nur wenn die Schutzinteressen der Betroffenen den Interessen des Unternehmens als Verantwortlichen nicht überwiegen, ist die Verarbeitung auf Basis von Art. 6 Abs. 1 S. 1 lit. f) DS-GVO zulässig.
Die Rechtsgrundlage muss auch im Hinblick auf den Zweck der Datenverarbeitung für jeden Vorgang einzeln geprüft werden. Dies gilt zum einen für Bilddaten, insbesondere allerdings für die Aufzeichnung von Konferenzen. Diese ist in der Regel nicht zwingend erforderlich und bedarf deshalb einer Einwilligung aller Teilnehmer der Videokonferenz. Da personenbezogene Daten grundsätzlich nur zu dem Zweck verarbeitet werden dürfen, für den sie erhoben wurden, muss der Zweck genau und eindeutig festgelegt werden.
Zudem verwenden einige Anbieter von Videokonferenzsystemen die Daten auch zu eigenen Zwecken (z. B. Verarbeitung von personenbezogenen Daten zum Nutzerverhalten, Einsatz von Analysetools, Tracking zu Werbezwecken). Solche Datenverarbeitungen sind nicht Teil der Auftragsverarbeitung, sondern erfolgt in eigener Verantwortung des Anbieters. Dementsprechend ist für die Datenübermittlung eine gesonderte Rechtsgrundlage erforderlich, ggf. besteht auch eine gemeinsame Verantwortlichkeit zwischen dem Unternehmen, das das System verwendet und dem Anbieter des Tools.
Allgemeine Datenschutzpflichten
Unabhängig von Betriebsmodell und der Rechtsgrundlage müssen weitere allgemeine Datenschutzpflichten nach der DS-GVO erfüllt werden:
Es müssen die Betroffenenrechte nach Art. 15 – 21 DS-GVO gewährleistet werden und sichergestellt sein, dass diese auch umgesetzt werden können. Hierzu gehören insbesondere das Auskunfts- und Löschrecht. Parallel dazu müssen die Teilnehmer der Videokonferenz vor der (ersten) Konferenz umfassend über die Verarbeitung ihrer personenbezogenen Daten bei der Videokonferenz inkl. der Datenübermittlung an den Anbieter sowie die ihnen zustehenden Rechte informiert werden. Hierzu gehört gegebenenfalls auch die Information, ob und welche Daten im Rahmen einer gemeinsamen Verantwortung mit dem Anbieter verarbeitet werden.
Wie jede andere Datenverarbeitung auch, muss die Verarbeitung personenbezogener Daten im Rahmen von Videokonferenzen in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen und genau dokumentiert werden.
Je nach Betriebsmodell und Ausgestaltung muss mit dem Dienstleister/Anbieter zudem eine Vereinbarung über die Auftragsverarbeitung gem. Art. 28 Abs. 3 DS-GVO abgeschlossen werden. Viele Online-Dienste haben den AV-Vertrag bereits in ihre Nutzungsbedingungen integriert, die Datenschutzkonformität muss der Auftraggeber allerdings dennoch prüfen. Eine Prüfung der Berliner Aufsichtsbehörde aus dem Sommer 2020 sowie Anfang 2021 ergab, dass nur wenige der begutachteten AV-Verträge die rechtlichen Anforderungen erfüllen.
Werden die personenbezogenen Daten in ein Drittland übermittelt, beispielsweise weil der Auftragsverarbeiter dort seinen Sitz hat oder für bestimmte Dienste Subunternehmer aus einem Drittland eigesetzt werden, müssen darüber hinaus die Vorschriften der Art. 44 ff. DS-GVO berücksichtigt werden. Insbesondere Datenübertragungen in die USA sind problematisch, da dort kaum ein angemessenes Schutzniveau gewährleistet werden kann, welches für die Rechtmäßigkeit der Übermittlung allerdings zwingend erforderlich ist. Insgesamt sollten möglichst Anbieter und Dienstleister aus der EU bzw. dem EWR gewählt werden, auch keine Subunternehmer in einem Drittland einsetzen, die Zugriff auf die Daten haben könnten (z. B. Supportleistungen, Analysedienste).
Neben den Zulässigkeitsanforderungen der Datenverarbeitung müssen auch geeignete technische und organisatorische Maßnahmen (TOM) umgesetzt werden, um die Sicherheit der Daten zu gewährleisten. Dementsprechend muss ein Tool gewählt werden, das einige Mindest-Sicherheitsanforderungen erfüllt und es dem Administrator der Videokonferenz erlaubt, weitere Einstellungen vorzunehmen. Besonders wichtig sind die Verschlüsselung der Datenübertragung, ein spezifisches Rollen- & Berechtigungskonzepts sowie regelmäßige Updates.
Zusätzlich zu den Sicherheitsanforderungen an das verwendete Tool müssen auch organisatorische Maßnahmen getroffen werden, um insbesondere die Vertraulichkeit der Videokonferenz sicherzustellen. Alle Teilnehmer müssen darauf achten, dass unberechtigte Dritte keine Kenntnis von den Inhalten der Besprechung/Veranstaltung erhalten (z. B. Angehörige desselben Hausstandes, die sich mit im Raum befinden oder Mitreisende in Zügen etc.). Das gilt besonders dann, wenn sensible Themen besprochen werden. Gleichzeitig muss gewährleistet werden, dass andere Teilnehmer keine Informationen erhalten, die sie nicht erhalten sollten. Vorsicht ist vor allem beim Teilen von Bildschirmen geboten: Es sollten beispielsweise alle nicht für die Konferenz benötigten Fenster und Anwendungen geschlossen und die Anzeige der E-Mail-Vorschau deaktiviert werden.
Unter Umständen muss zusätzlich eine Datenschutzfolgenabschätzung (DSFA, Art. 35 DS-GVO) durchgeführt werden. Dies ist insbesondere dann der Fall, wenn regelmäßig besondere Kategorien von Daten gem. Art. 9 DS-GVO (z. B. Gesundheitsdaten, Religionszugehörigkeit) betroffen sind.
Sollte der Schutz personenbezogener Daten im Rahmen der Videokonferenzen durch den Verantwortlichen oder den Auftragsverarbeiter verletzt werden („Datenpanne“), müssen auch hier die Meldepflichten nach Art. 33, 34 DS-GVO beachtet und die Fristen eingehalten werden. Dies ist beispielsweise schon dann der Fall, wenn ein Teilnehmer seinen Bildschirm teilt und eine E-Mail in der Vorschau einfliegt. In diesem Moment erhalten die übrigen Teilnehmer Kenntnis vom Absender, dem Betreff und einem Teil des Inhalts. Je nach Inhalt der Mail kann das für den Betroffenen schwerwiegende Folgen haben.
Wichtige Regeln für Mitarbeiter bei der Teilnahme / Durchführung von Videokonferenzen
Die meisten der oben genannten Pflichten bzw. notwendigen Maßnahmen betreffen die Datenschutzverantwortlichen im Unternehmen. Allerdings gibt es auch für Mitarbeiter und andere Teilnehmer an Videokonferenzen einige wichtige Punkte zu beachten. Hierzu gehören insbesondere:
- Verwenden Sie nur Videokonferenz-Tools, die vom Arbeitgeber bereitgestellt werden und richten Sie nicht eigenständig Accounts ein. Anderenfalls kann nicht sichergestellt werden, dass die oben genannten Anforderungen eingehalten werden.
- Moderatoren/ Veranstalter sollten vor dem Versand der Einladungen prüfen, ob die Datenschutzeinstellung im System passen, das heißt insbesondere, ob Kamera und Mikrofon deaktiviert sind und bei Bedarf von den Teilnehmern freigeschaltet werden müssen. Bei reinen Vorträgen benötigen die Teilnehmer in der Regel nur einen Lautsprecher.
- Stellen Sie sicher, dass keine Unbeteiligten in die Videokonferenz eintreten können (z. B. Vorsicht beim Versand der Einladung per Mail, Beitritt nur nach Freigabe des Moderators, etc.).
- Achten Sie darauf, dass Sie während der Videokonferenz ungestört sind und unberechtigte Dritte keine Kenntnis von den Inhalten der Besprechung/Veranstaltung erhalten (z. B. Angehörige desselben Hausstandes, die sich mit im Raum befinden oder Mitreisende in Zügen etc.).
- Stellen Sie sicher, dass andere Teilnehmer keine Informationen erhalten, die sie nicht erhalten sollten. Vorsicht ist vor allem beim Teilen von Bildschirmen geboten: Schließen Sie beispielsweise alle nicht für die Konferenz benötigten Fenster und Anwendungen und deaktivieren Sie die Anzeige der E-Mail-Vorschau.
- Sollten Sie den Verdacht haben, dass es zu einer Datenschutzverletzung kam, wenden Sie sich umgehend an den zuständigen Ansprechpartner für Datenschutzfragen in Ihrem Unternehmen.
Veröffentlichung der Datenschutz-Aufsichtsbehörden
Verschiedene Aufsichtsbehörden der Länder haben Empfehlungen und Hinweise zu den Datenschutzanforderungen bei Videokonferenzen allgemein sowie zu ausgewählten Anbietern von Videokonferenzsystemen veröffentlicht. Ausführliche Hinweise finden Sie beispielsweise auf der Website des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, der Berliner Beauftragten für Datenschutz und Informationsfreiheit und der Landesbeauftragten für den Datenschutz Niedersachsen.
Wichtige Regeln im Homeoffice
Der Datenschutz bei Videokonferenzen ist besonders wichtig wenn Beschäftigte von Zuhause aus arbeiten. Was Mitarbeiter beachten müssen, um die Anforderungen der DS-GVO auch im Homeoffice zu erfüllen, können Sie in unserem Blogbeitrag „Datenschutz im Homeoffice“ nachlesen.