Videokonferenzen datenschutzkonform durchführen (Anleitung)

Drei Möglichkeiten für den Einsatz von Videokonferenzsystemen

In der Orientierungshilfe der DSK werden drei Möglichkeiten aufgezeigt, ein Videokonferenzsystem im Unternehmen zu implementieren:

• ein selbstbetriebener Dienst
• der Betrieb durch einen externen IT-Dienstleister
• die Nutzung eines Online-Dienstes

Selbstbetriebene Videokonferenzen

Der Vorteil eines selbstbetriebenen Videokonferenzsystems besteht vor allem darin, dass die Datenerhebung und alle Datenflüsse selbst kontrolliert werden können. So ist sicherzustellen, dass Daten nur so verarbeitet werden, wie vorgesehen. Zudem erübrigt sich die Frage darüber, ob der Abschluss eines Auftragsverarbeitungsvertrages bzw. einer Vereinbarung zur gemeinsamen Verantwortlichkeit notwendig sind.

Videokonferenz mit IT-Dienstleister

Wer ein solches System nicht selbst betreiben möchte, kann einen externen Dienstleister damit beauftragen. Besteht dessen Auftrag in der Bereitstellung und Wartung des Videokonferenzsystems und hat der Dienstleister kein eigenes Interesse an den Daten, ist ein Auftragsverarbeitungsvertrag abzuschließen. Wichtig ist hier zu prüfen, ob die durch den Dienstleister eingesetzte Software Daten an den Hersteller oder andere Dritte weitergibt.

Nutzung von Online-Videokonferenz-Tools

Aufgrund des schnellen und komfortablen Einsatzes bedienen sich viele Unternehmen eines SaaS-Tools (Software as a Service), was bedeutet, dass der Dienst über das Internet angeboten wird. Doch gerade die größten und bekanntesten Tools haben ihren Sitz in den USA und verarbeiten die Daten dort. Nach der jüngsten Entscheidung des EuGHs und dem Wegfall des EU-U.S. Privacy Shields kann das problematisch sein.

Zunächst ist mit dem Dienstleister ein Auftragsverarbeitungsvertrag abzuschließen. Ein entscheidendes Auswahlkriterium sind die vom Dienstleister ergriffenen technischen und organisatorischen Maßnahmen, welche vorab dahingehend zu prüfen sind, ob der eingesetzte Dienstleister einen ausreichenden Schutz bietet. Grundsätzlich sind Anbieter, die ihren Sitz in Europäischen Union (EU) bzw. dem Europäischen Wirtschaftsraum (EWR) haben, zu bevorzugen. Da aber gerade die großen Anbieter von Videokonferenzsystemen ihren Sitz in den USA haben, ist seit dem Wegfall des EU-U.S. Privacy Shields darauf zu achten, dass der entsprechende Anbieter zusätzliche Garantien für die Sicherheit der Datenverarbeitung in den USA bietet.

Die DSK weist explizit darauf hin, dass bei „der Verwendung von Standardvertragsklauseln und anderen vertraglichen Garantien als Grundlage für Übermittlungen personenbezogener Daten in die USA […] nach der Entscheidung des Europäischen Gerichtshofs (EuGH) zusätzliche Maßnahmen zu ergreifen [sind], die sicherstellen, dass für diese Daten auch bei und nach ihrer Übermittlung ein im Wesentlichen gleichwertiges Schutzniveau wie das in der EU gewährleistet wird“.

Rechtliche Anforderungen an die Nutzung von Videokonferenzen

Verantwortliche ermitteln

Vor der Nutzung eines Videokonferenzsystems sind die datenschutzrechtlichen Verantwortlichkeiten klar festzulegen, da sich je nach Konstellation die jeweiligen Pflichten ergeben. Gerade bei der Nutzung von Online-Diensten ist diesbezüglich genau zu prüfen, ob der Anbieter die personenbezogenen Daten der Teilnehmer auch zu eigenen Zwecken verarbeitet oder Daten z. B. im Rahmen von Analyse und Tracking zu Werbezwecken an Dritte weitergibt. Liegt eine Verarbeitung des Anbieters auch zu eigenen Zwecken vor, kommt die Konstellation einer gemeinsamen Verantwortlichkeit zwischen Anbieter und Verantwortlichem in Betracht, welche eine Vereinbarung im Sinne des Art. 26 DSGVO erfordert. Zudem kann sich der Anbieter nicht auf die gleiche Rechtsgrundlage stützen wie der Verantwortliche, sondern benötigt selbst eine Rechtsgrundlage. Um diese Problematik zu verhindern, empfiehlt die DSK, im Auftragsverarbeitungsvertrag festzuhalten, dass der Anbieter die personenbezogenen Daten der Teilnehmer nur auf Weisung des Verantwortlichen und nicht für eigene Zwecke verarbeiten darf.

Rechtsgrundlage bestimmen

Für die Verarbeitung der Daten im Rahmen der Videokonferenz ist – wie bei jeder Verarbeitung – eine entsprechende Rechtsgrundlage erforderlich. Achtung: Auch für die Verarbeitung personenbezogener Daten von betroffenen Personen, die nicht Teilnehmer einer Videokonferenz sind (z. B. bei Autoren von präsentierten oder verschickten Dokumenten), bedarf es einer Rechtsgrundlage. Diese ist ggf. separat von der Rechtsgrundlage für die Verarbeitung der Teilnehmerdaten zu ermitteln.

Sofern sich für die Verarbeitung auf die Einwilligung der betroffenen Personen gestützt werden soll, sind einige Punkte zu beachten:

Voraussetzung für eine wirksame Einwilligung ist, dass diese in informierter Weise und freiwillig abgegeben wurde. Freiwillig bedeutet, dass die betroffene Person eine tatsächliche Wahlmöglichkeit in Bezug auf die Teilnahme an der Videokonferenz hat. Gerade im beruflichen oder schulischen Kontext ist das Bestehen dieser wesentlichen Voraussetzung diskutabel. Aufgrund der in einem solchen Verhältnis bestehenden Drucksituation muss man eventuell davon ausgehen, dass die Einwilligung nicht mehr freiwillig erfolgt, was insbesondere dann der Fall sein kann, wenn es den betroffenen Personen nicht möglich ist, ohne die Teilnahme an einer Videokonferenz an wichtige Informationen zu kommen. Daher ist darauf zu achten, dass Maßnahmen ergriffen werden, um stets eine Alternative zur Videokonferenz anzubieten. Ansonsten kann sich der Verantwortliche nicht auf die Rechtsgrundlage der Einwilligung stützen.

Die Erhebung und Nutzung von Mitarbeiterdaten zur Durchführung einer Videokonferenz ist auf § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG) oder – falls dies nicht für die Durchführung des Beschäftigungsverhältnisses erforderlich ist – auf Art. 6 Abs. 1 lit. f DSGVO zu stützen. Im Beschäftigungskontext ist insbesondere darauf zu achten, dass § 26 Abs. 1 BDSG stets die Erforderlichkeit der Verarbeitung fordert, d. h. es muss eine Interessenabwägung durchgeführt werden. Eine Interessenabwägung kann vor allem dann zugunsten der Mitarbeiter ausfallen, wenn das Videokonferenztool auch der Mitarbeiterüberwachung dient, z. B. durch Kontrolle der An- und Abwesenheiten. Ist dies der Fall, ist darüber hinaus nach § 87 Abs. 1 Nr. 6 BetrVG auch die Zustimmung des Betriebsrates einzuholen, wenn ein solcher vorhanden ist. Wird das Tool allein zur erleichterten Kommunikation eingesetzt, stehen in der Regel keine schutzwürdigen Interessen der Mitarbeiter entgegen.

Achtung: Gerade wenn sich Mitarbeiter im Home-Office befinden, wird auf die Nutzung von Videokonferenztools zurückgegriffen, um trotz der Distanz einen persönlichen Kontakt zu wahren. Die DSK problematisiert jedoch, dass andere Teilnehmer Einblicke in die Privatwohnung des Mitarbeiters erhalten können, dies aber ohne Einwilligung des Betroffenen nicht datenschutzkonform ist. Um dies zu verhindern, hat der Arbeitgeber dafür zu sorgen, dass derartige Einblick nicht möglich sind. Dies kann etwa dadurch erfolgen, dass Mitarbeiter angewiesen werden, den Hintergrund unscharf zu stellen oder auch einen virtuellen Hintergrund einblenden zu lassen, was mittlerweile bei vielen Anbietern von Videokonferenzsystemen angeboten wird.

Informationspflichten des Verantwortlichen

Ein weiterer wichtiger Punkt, den das Papier erwähnt, ist die Pflicht des Verantwortlichen, Betroffene über die mit der Nutzung des Dienstes verbundene Datenverarbeitung gem. Art. 13, 14 DSGVO zu informieren. Damit die Teilnehmer erfahren, an wen sie sich wenden können, ist der Verantwortliche der Durchführung der Videokonferenz unter Nennung seiner Kontaktdaten und ggf. der seines Datenschutzbeauftragten aufzuführen. Art und Zweck der Verarbeitung müssen genau definiert werden und beschränken sich bei Videokonferenzen auf die Durchführung dieser. Insbesondere die Anfertigung von Aufzeichnungen ist von diesem Zweck nicht umfasst, weshalb eine eigene Rechtsgrundlage hierfür vorliegen und die Aufzeichnungsmöglichkeit in den Informationen aufgezählt sein muss. In der Regel werden vor Beginn der Aufzeichnung entsprechende Einwilligungen der Teilnehmenden einzuholen sein.

Neben Art und Zweck ist auch die Rechtsgrundlage der Verarbeitung anzugeben und, soweit die Verarbeitung auf Art. 6 lit. f DSGVO gestützt wird, die einschlägigen berechtigten Interessen des Verantwortlichen. Was die Dauer der Speicherung personenbezogener Daten betrifft, geht diese grundsätzlich nicht über die Dauer der Konferenz hinaus, da die Videodaten lediglich für die Durchführung der Videokonferenz erforderlich sind. Wird ein Dienstleister herangezogen, ist dieser als Empfänger der Daten anzugeben.

Technische Anforderungen an Videokonferenzen

Bei der Prüfung der technischen und organisatorischen Maßnahmen des jeweiligen Videokonferenz-Anbieters sind laut DSK vor allem folgende Punkte wichtig:

Sicherheit der Verarbeitung

Um die Sicherheit der Daten auf dem Transportweg zu gewährleisten, ist mindestens eine Transportverschlüsselung entsprechend den einschlägigen technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) erforderlich. Sollte es sich um eine Verarbeitung sensibler Daten im Rahmen der Videokonferenz handeln, die mit einem hohen Risiko für die betroffenen Personen verbunden sind (z.B. Gesundheitsdaten), sollte zudem eine Ende-zu-Ende-Verschlüsselung und eine Verschlüsselung gespeicherter Daten vorhanden sein.

Um die Sicherheit zu erhöhen, empfiehlt die DSK bei vorhandenen Zusatzfunktionen wie privaten Chats, Screensharing und der Bereitstellung von Dokumenten in einem allen Teilnehmern offenstehenden Arbeitsbereich stets das Risiko im Hinterkopf zu behalten und die Funktionen ggf. zu unterbinden.

Nutzerauthentifizierung

Es ist darauf zu achten, dass nur der Personenkreis Zugriff auf Videokonferenzsitzungen und deren Daten haben, der dazu berechtigt ist. Um dies zu gewährleisten, sollte eine Nutzerauthentifizierung erfolgen. Die gebotene Stärke der Authentifizierung bemisst sich nach dem Risiko für die betroffenen Personen, das sich bei einem Bruch der Vertraulichkeit oder Integrität der Inhaltsdaten ergeben könnte. Bei normalen Risiken genügt eine Authentifizierung mit Nutzername und geeignetem Passwort, wohingegen bei einem hohen Risiko mindestens eine Zwei-Faktor-Authentifizierung erforderlich ist.

Externen Personen kann ein Gastzugang angeboten werden, der keine vorherige Nutzerauthentifizierung benötigt. Dieser kann z. B. über einen Einladungslink bereitgestellt werden. Die DSK hat folgende Bedingung für das Anbieten eines Gastzugangs aufgestellt:

• Der Gastzugang ist für jeweiligen Anwendungsfall erforderlich.
• Die Risiken für die Betroffenen, die durch eine nicht autorisierte Teilnahme entstehen, sind gering.
• Es ist gewährleistet, dass nur Personen teilnehmen, die untereinander bekannt sind.
• Nicht autorisierte Personen werden erkannt und können aktiv ausgeschlossen werden, noch bevor sie aktiv an der Videokonferenz teilnehmen können.

Installation und Softwareaktualisierung

Die DSK weist darauf hin, dass der Veranstalter der Videokonferenz auch dafür verantwortlich, ist, dass das System auf dem neuesten Stand ist und alle bekannt gewordenen Sicherheitslücken beseitigt wurden.

Rollentrennung

Bei der Auswahl des jeweiligen Tools, sollte darauf geachtet werden, dass mindestens folgende Rollen eingerichtet werden können:

• Administrierende Person: verfügt über Berechtigungen zur Festlegung von Parametern und zur Zuweisung der Moderationsrolle.
• Moderierende Person: verfügt über die Berechtigung, Videokonferenzen anzuberaumen, Personen einzuladen oder auszuschließen, Zutritt zu eröffnen und zu schließen und die Präsentationsrolle zuzuweisen.
• Präsentierende Person: verfügt über die Berechtigung, Medien und Dokumente für die anderen Teilnehmer bereitzustellen und Wortemeldungen zu steuern.
• Teilnehmende Person: verfügt ausschließlich über die Berechtigung, die eigenen Aufzeichnungs- und Wiedergabegeräte zu steuern.

Wichtig ist auch, dass jede Person ihre Kamera und ihr Mikrofon jederzeit deaktivieren kann.

Datensparsamkeit

Es dürfen nur die zur Bereitstellung des Dienstes zwingend erforderlichen technischen und sonstigen Informationen verarbeitet werden. „Analysen des Nutzungsverhaltens und die Verarbeitung personenbezogener Diagnose- und Telemetriedaten durch den Anbieter des eingesetzten Dienstes zu eigenen Zwecken widersprechen dem Grundsatz der Datensparsamkeit, sofern sie nicht für die Diensterbringung erforderlich sind und eine eigene Rechtsgrundlage haben“, so die DSK. Die Datenschützer nennen als Beispiel den Vorgang, wenn ein Nutzer an mehreren Konferenzen verschiedener Veranstalter gleichzeitig teilnimmt und damit eine Verkettung stattfindet.

Fazit: Videokonferenzsysteme nicht einfach mal nutzen

Die Orientierungshilfe der DSK zeigt deutlich auf, dass Videokonferenzen nicht einfach mal so eingesetzt werden sollten. Zu Beginn der Corona-Pandemie mussten viele Unternehmen plötzlich Meetings aus dem Home-Office ermöglichen und griffen dabei meist auf das am besten passende Videokonferenztools zurück. Doch mittlerweile ist ausreichend Zeit vergangen, um sich auch mit den datenschutzrechtlichen Aspekten von Videokonferenzen auseinanderzusetzen. Es ist durchaus wahrscheinlich, dass die Aufsichtsbehörden dies zukünftig kontrollieren und ggfs. sanktionieren.

Unternehmen sollten also – soweit noch nicht geschehen – zügig daran gehen, eingesetzte Tools für Videokonferenzen (möglichst) datenschutzkonform zu betreiben und notfalls auf andere Anbieter zurückzugreifen (siehe unser Vergleich). Hilfreich ist dafür auch die kurze Checkliste zum Datenschutz in Videokonferenzsystemen, die die DSK zusätzlich zur hier besprochenen Orientierungshilfe veröffentlicht hat.