Meetings sowie andere Veranstaltungen im virtuellen Raum sind in der heutigen Zeit kaum mehr wegzudenken und gewinnen auch im Unternehmensalltag immer mehr an Bedeutung. Verschärft wurde diese Entwicklung durch die COVID-19-Pandemie und die daraus folgenden Einschränkungen und Maßnahmen zu deren Eindämmung. Bei Videokonferenzen gibt es aus Datenschutzsicht allerdings einige Punkte zu beachten – von der Wahl eines geeigneten Videokonferenz-Tools bis zur Durchführung des virtuellen Treffens. Dieser Beitrag vermittelt unter anderem auf Basis der Orientierungshilfe der Konferenz deutscher Aufsichtsbehörden (DSK) vom 23.10.2020 einen Überblick über die Datenschutzanforderungen bei Videokonferenzsystemen.

Die wichtigsten Datenschutzanforderungen

Im Rahmen von Videokonferenzen wird eine große Bandbreite an personenbezogenen Daten der Teilnehmer verarbeitet. Neben Anmelde- und Metadaten sind hier durch das virtuelle Meeting selbst verarbeitete Daten besonders kritisch. Hierzu zählen Bild- und Tonaufnahmen inklusive des Inhaltes von Äußerungen sowie ggf. Einblicke in das Privatleben der Teilnehmer, wenn sie vom heimischen Arbeitsplatz aus teilnehmen. Damit die Verarbeitung dieser Daten bei der Durchführung von Videokonferenzen im Einklang mit den Anforderungen der DS-GVO erfolgt, sind eine ganze Reihe von Aspekten zu beachten.

Um dem datenschutzrechtlichen Grundsatz der Datenminimierung gerecht zu werden, muss durch technische und organisatorische Maßnahmen sowie die genaue Prüfung einzelner Funktionen der Tools sichergestellt werden, dass nur im zwingend erforderlichen Maß personenbezogene Daten verarbeitet werden. Dieses Prinzip gilt es bereits bei der Auswahl eines Videokonferenzsystems zu beachten.

Möglichkeiten zum Betrieb eines Konferenzsystems

Grundsätzlich gibt es für den Betrieb eines Videokonferenzsystems drei verschiedene Möglichkeiten:

In der Theorie am datenschutzkonformsten ist der Betrieb eines eigenen Konferenzsystems, da die verantwortliche Stelle dadurch Kontrolle über die Datenverarbeitungsprozesse hat und keine Informationen an externe Stellen übermittelt werden. Allerdings ist dieses Modell mit einem großen personellen und technischen Aufwand in puncto Betrieb, Wartung und Sicherstellung der TOMs verbunden, weshalb es für den Großteil der Unternehmen nicht in Frage kommt.

Ebenfalls einen Einfluss auf die Software hinter dem Konferenzsystem haben verantwortliche Stellen bei der Beauftragung eines externen Dienstleisters, der für sie das System im Rahmen einer Auftragsverarbeitung (Art. 28 DS-GVO) betreibt. Hier muss allerdings darauf geachtet werden, dass Daten nur im zwingend erforderlichen Umfang an Dritte übermittelt werden, im besten Fall sollte dies vollständig vermieden werden.

Die in der Praxis einfachste, aber mit den meisten datenschutzrechtlichen Stolpersteinen behaftete Möglichkeit, ist die Nutzung eines Online-Dienstes. Der Anbieter des Dienstes ist in der Regel ebenfalls Auftragsverarbeiter, weshalb eine entsprechende Vereinbarung nach Art. 28 Abs. 3 DS-GVO abgeschlossen werden muss. Das Unternehmen bleibt für die Einhaltung des Datenschutzes verantwortlich und muss den Anbieter bzw. dessen angebotenen Dienst genau prüfen (z. B. Inhalte des AV-Vertrages, Nutzungsbedingungen, Datenschutzerklärung, Sicherheitshinweise). Besondere Vorsicht ist nach dem EuGH-Urteil zur Ungültigkeit des EU-US-Privacy-Shield-Abkommens (Schrems II) bei Anbietern aus den USA geboten. Die Standardvertragsklauseln, die grundsätzlich für eine Datenübermittlung in Drittländer herangezogen werden können, sind nach der EuGH-Entscheidung allein nicht ausreichend. Dementsprechend sollte nach Möglichkeit ein Anbieter aus der EU bzw. dem EWR gewählt werden.

Rechtmäßigkeit und Zweckbindung

Wie bei jeder Verarbeitung personenbezogener Daten ist auch für die Datenverarbeitung im Rahmen von Videokonferenzen eine Rechtsgrundlage nach Art. 6 DS-GVO erforderlich. In Betracht kommen hier grundsätzlich die Einwilligung des Betroffenen (Art. 6 Abs. 1 S. 1 lit a) DS-GVO), die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO) oder das überwiegende, berechtigte Interesse des Veranstalters als Verantwortlichen (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO).

Die Rechtsgrundlage muss auch im Hinblick auf den Zweck der Datenverarbeitung für jeden Vorgang einzeln geprüft werden. Dies gilt zum einen für Bilddaten, insbesondere allerdings für die Aufzeichnung von Konferenzen. Diese ist in der Regel nicht zwingend erforderlich und bedarf deshalb einer Einwilligung aller Teilnehmer der Videokonferenz. Da personenbezogene Daten grundsätzlich nur zu dem Zweck verarbeitet werden dürfen, für den sie erhoben wurden, muss der Zweck genau und eindeutig festgelegt werden.

Allgemeine Datenschutzpflichten

Unabhängig von Betriebsmodell und der Rechtsgrundlage müssen weitere allgemeine Datenschutzpflichten nach der DS-GVO erfüllt werden:

Es müssen die Betroffenenrechte nach Art. 15 – 21 DS-GVO gewährleistet werden und sichergestellt sein, dass diese auch umgesetzt werden können. Hierzu gehören insbesondere das Auskunfts- und Löschrecht. Parallel dazu müssen die Teilnehmer der Videokonferenz vor der (ersten) Konferenz umfassend über die Verarbeitung ihrer personenbezogenen Daten bei der Videokonferenz sowie die ihnen zustehenden Rechte informiert werden.

Wie jede andere Datenverarbeitung auch, muss die Verarbeitung personenbezogener Daten im Rahmen von Videokonferenzen in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen und genau dokumentiert werden.

Je nach Betriebsmodell und Ausgestaltung muss mit dem Dienstleister/Anbieter zudem eine Vereinbarung über die Auftragsverarbeitung gem. Art. 28 Abs. 3 DS-GVO abgeschlossen werden. Viele Online-Dienste haben den AV-Vertrag bereits in ihre Nutzungsbedingungen integriert, die Datenschutzkonformität muss der Auftraggeber allerdings dennoch prüfen. Eine Prüfung der Berliner Aufsichtsbehörde aus dem Sommer 2020 sowie Anfang 2021 ergab, dass nur wenige der begutachteten AV-Verträge die rechtlichen Anforderungen erfüllen.

Werden die personenbezogenen Daten in ein Drittland übermittelt, beispielsweise weil der Auftragsverarbeiter dort seinen Sitz hat, müssen darüber hinaus die Vorschriften der Art. 44 ff. DS-GVO berücksichtigt werden. Insbesondere Datenübertragungen in die USA sind problematisch, da dort kaum ein angemessenes Schutzniveau gewährleistet werden kann, welches für die Rechtmäßigkeit der Übermittlung allerdings zwingend erforderlich ist. Insgesamt sollten möglichst Anbieter und Dienstleister aus der EU bzw. dem EWR gewählt werden.

Neben den Zulässigkeitsanforderungen der Datenverarbeitung müssen auch geeignete technische und organisatorische Maßnahmen (TOM) umgesetzt werden, um die Sicherheit der Daten zu gewährleisten. Dementsprechend muss ein Tool gewählt werden, dass einige Mindest-Sicherheitsanforderungen erfüllt und es dem Administrator der Videokonferenz erlaubt, weitere Einstellungen vorzunehmen. Besonders wichtig sind die Verschlüsselung der Datenübertragung, ein spezifisches Rollen- & Berechtigungskonzepts sowie regelmäßige Updates.

Unter Umständen muss zusätzlich eine Datenschutzfolgenabschätzung (DSFA, Art. 35 DS-GVO) durchgeführt werden. Dies ist insbesondere dann der Fall, wenn regelmäßig besondere Kategorien von Daten gem. Art. 9 DS-GVO (z. B. Gesundheitsdaten, Religionszugehörigkeit) betroffen sind.

Sollte der Schutz personenbezogener Daten im Rahmen der Videokonferenzen durch den Verantwortlichen oder den Auftragsverarbeiter verletzt werden („Datenpanne“), müssen auch hier die Meldepflichten nach Art. 33, 34 DS-GVO beachtet und die Fristen eingehalten werden. Dies ist beispielsweise schon dann der Fall, wenn ein Teilnehmer seinen Bildschirm teilt und eine E-Mail in der Vorschau einfliegt. In diesem Moment erhalten die übrigen Teilnehmer Kentnis vom Absender, dem Betreff und einem Teil des Inhalts. Je nach Inhalt der Mail kann das für den Betroffenen schwerwiegende Folgen haben.