Am 23. Oktober 2020 hat die Datenschutzkonferenz „DSK“ die „Orientierungshilfe Videokonferenzsysteme“  veröffentlicht, die kürzlich durch eine Checkliste ergänzt wurde. Die DSK gibt damit bekannt, was aus ihrer Sicht zu beachten ist, um eine weitestgehend datenschutzkonforme Nutzung von Videokonferenzen zu ermöglich.

Zur Orientierungshilfe im Allgemeinen

Die COVID-19 Pandemie und die damit häufig einhergehende Verlagerung der täglichen Arbeit ins „Home Office“ haben zu einer rasanten Steigerung der Nutzung von Videokonferenzen-Tools geführt. Zugleich geht mit dem bunten Blumenstrauß an Anbietern eine ausgeprägte Verunsicherung der Nutzer einher, da sich hierunter nicht zuletzt auch eine Vielzahl nicht europäischer Anbieter findet und nicht ohne Weiteres auf der Hand liegt, wie und welche Datenverarbeitungen erfolgen. Welches Tool ist geeignet zur datenschutzkonformen Videokonferenz?

Nun, mehrere Monate seit Beginn der COVID-19-Krise meldete sich die DSK mit der „Orientierungshilfe Videokonferenzsysteme“, deren wichtigste Inhalte am 11. November 2020 nochmals in einer Checkliste zusammengefasst wurden. Die Checkliste wird auf der Website der DSK als Word-Dokument (Download) zur Verfügung gestellt und kann für die eigene Prüfung als Orientierung herangezogen werden

Eckpunkte der Orientierungshilfe

Die DSK unterscheidet drei Modelle des Betriebs von Videokonferenzsystemen:

  • den Betrieb durch den Verantwortlichen auf eigener Hardware („On Premises“)
  • den Betrieb durch einen für den Verantwortlichen tätigen Auftragsverarbeiter sowie
  • dem Betrieb durch einen Dritten als „Online-Dienst“ aus der Cloud („Software as a Service“).

Sodann trifft die DSK Feststellungen sowohl zu den rechtlichen als auch den technisch organisatorischen Maßnahmen:

  • Allgemein gesagt: Der Verantwortliche hat den Datenschutz zu beachten, d.h. die Grundsätze nach Art. 5 DSGVO, insbesondere der Rechtmäßigkeit, Transparenz und Datenminimierung. Zudem sind angemessene technische und organisatorische Maßnahmen zu treffen. Im Falle der Auftragsverarbeitung sind entsprechende Verträge abzuschließen.
  • Im Beschäftigungsverhältnis bestehen Besonderheiten wegen der Freiwilligkeit der Einwilligung.
  • Eine Bildübertragung ist invasiver als Audioübertragung.
  • Findet die Videokonferenz aus Privatwohnungen statt, ist sicherzustellen, dass die Privatsphäre nicht verletzt wird (Freiwilligkeit; virtuelle oder weichgezeichnete Hintergründe; keine Dritten im Bild, u.a.).
  • Die betroffenen Personen, also die Konferenzteilnehmer, sind über die mit der Videokonferenz einhergehende Verarbeitung ihrer personenbezogenen Daten zu informieren.
  • Im Rahmen der technisch organisatorischen Maßnahmen werden im Besonderen die Sicherheit der Übertragung, die Nutzerauthentifizierung, die Installation und Pflege der Software, die Rollentrennung, die Datensparsamkeit, die Transparenz, die Möglichkeit zu Aufzeichnungen und der Intervenierbarkeit angesprochen.

Hieraus ergeben sich für Verantwortliche auf den ersten Blick keine anderen Anforderungen als bei der Einführung anderer Prozesse auch: Auswahl eines geeigneten Angebots, Prüfung der Datenschutzkonformität nach der DSGVO, transparente Kommunikation der Auswirkungen auf die betroffenen Personen und regelmäßige Prüfung, ob sich an der Bewertung aus tatsächlichen oder rechtlichen Gründen etwas geändert hat. Bei der Einbindung von Auftragsverarbeitern ist insbesondere infolge des EuGH-Urteils Schrems II-Urteils Vorsicht bei US-amerikanischen Anbietern (und auch Anbietern mit Sitz außerhalb der EU/des EWR) geboten.

Unsere Empfehlungen

Was bedeutet die Orientierungshilfe für Ihre Nutzung von Videokonferenzen und was ist zu tun? Dem Grunde nach sind dieselben Schritte zu beachten, wie bei der Einführung neuer Prozesse:

  • Vornahme datenschutzfreundlicher Einstellungen:
    • Aktivierung mindestens der Transportverschlüsselung, sofern möglich der Ende-zu-Ende-Verschlüsselung;
    • möglichst Verzicht auf die Aufzeichnung von Videokonferenzen und Funktionen, die nicht erforderliche Datenverarbeitungen verursachen (z.B. „Live Untertitel“ oder Übersetzungen in Echtzeit);
    • wenn nicht zwingend erforderlich, kein Aktivitätenmonitoring.
  • Bereitstellung der erforderlichen Datenschutzinformationen an die Endnutzer sowie zusätzlich einer Anleitung, die auf weitere Möglichkeiten zum Datenschutz hinweist (z.B. Verwendung virtueller Hintergründe, Aufstellung der Kamera mit Blickwinkel nur auf Unbedenkliches, insb. im Home Office und beim mobilen Arbeiten)
  • Anpassung des VVT (bitte beachten Sie hier, dass das Tool nicht zwingend eine eigene Verarbeitung darstellt!)
  • (Neu-)Bewertung der Erforderlichkeit einer DSFA.

Sollten Sie einen IT-Dienstleister oder einen Online-Dienst einsetzen, ergeben sich zusätzlich folgende Prüfschritte:

  • Abschluss einer Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO
  • Prüfung, ob Teile des Diensts als gemeinsam Verantwortliche mit dem Anbieter erbracht werden. In diesem Fall Abschluss einer Vereinbarung als gemeinsam Verantwortliche gemäß Art. 26 DSGVO erforderlich. Dies kann insbesondere bei Tracking-Maßnahmen oder bei Auswertungen über das Nutzerverhalten der Fall sein.
  • Sofern es sich um einen Anbieter handelt, der seinen Sitz in den USA oder in einem anderen unsicheren Drittland hat, Teil eines Konzerns ist, der eine Niederlassung in einem dieser Länder hat, oder sich Subunternehmer in einem dieser Länder bedient sind zudem die strengen Anforderungen des EuGH und des Europäischen Datenschutzausschusses aus dem „Schrems II“-Urteil vom 10. November 2020 zu beachten (hierüber informieren wir in einem weiteren Beitrag).

Fazit

Die Orientierungshilfe der DSK fasst einige der bisher in den einschlägigen Kreisen diskutierten Maßnahmen zusammen oder greift diese auf. Jedoch kann sie nicht als konkreter Leitfaden bewertet werden, hierzu ist sie zu allgemein gefasst. Eine Präzisierung für die Nutzung des jeweiligen Systems bleibt dem Verantwortlichen bzw. dessen Datenschutzbeauftragten überlassen. Insbesondere werden keine konkreten Beispiele aufgegriffen, welche es den Verantwortlichen vereinfachen würden, nachzuvollziehen, anhand welcher Kriterien sie „den“ richtigen Anbieter auswählen können.

Dennoch bietet die Orientierungshilfe einen guten Einstiegspunkt. Besonders die Checkliste kann für Unternehmen oder sonstige Institutionen hilfreich sein, wenn überlegt werden muss, welche Anforderungen im Großen und Ganzen rechtlich und technisch an eine datenschutzkonforme Videokonferenz zu stellen sind.

Inhaltlich erweckt die Orientierungshilfe durch weiche Formulierungen („sollte“) zum Teil den Anschein, als wäre man sich nicht ganz sicher, welche zwingenden Verpflichtungen sich für Videokonferenzen aus der DSGVO ergeben und wo die Aufsichtsbehörden lediglich unverbindliche Empfehlungen zum Ausdruck bringen wollen. Die Orientierungshilfe beinhaltet viel Richtiges, zum Teil aber auch Überraschendes und auch mehrere Aussagen, die nicht ohne weiteres widerspruchslos hingenommen werden müssen.

Es empfiehlt sich daher: stimmen Sie sich zum Einsatz eines Videokonferenzen-Tools mit Ihrem Datenschutzbeauftragten ab!

Autor: Yvonne Quad

Gern unterstützen wir Sie, bei der datenschutzkonformen Einführung eines Tools zur Durchführung von Videokonferenzen.