Welche datenschutzrechtlichen Grundlagen Sie jetzt beachten sollten.
Aktuell arbeiten mehr Arbeitnehmer als je zuvor aus dem Homeoffice. Infektions-Schutz hin oder her, die Kommunikation untereinander, als auch mit den Kunden oder Geschäftspartnern muss aufrechterhalten werden. Videokonferenzsysteme halten in diesen Zeiten Arbeitsprozesse am Laufen. Doch welches Tool entspricht den Anforderungen der DSGVO und berücksichtigt die wichtigsten Datenschutz-Standards?
Vorüberlegung und Auswahl der Dienstleister
Auch wenn in Pandemiezeiten Vieles wichtiger ist als die DSGVO, müssen Sie sich als Unternehmen oder Organisation dennoch an die
gesetzlichen Vorgaben halten.
Haben Sie sich für einen SaaS-Dienstleister (Software as a Service, wobei die Daten vom Anbieter der Software gehostet werden)
entschieden, gilt vorab zu prüfen, ob der Auftragsverarbeiter “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” (Art. 25 DSGVO) erfüllt. Für eine datenschutzkonforme Verarbeitung nach Art. 28 Abs. 1 DSGVO, sollten Sie deshalb
auf Dienste mit folgenden datenschutzfreundlichen Verfahrens- und Einstellungsmöglichkeiten zurückgreifen:
Informationspflichten beachten
Unter Umständen sind Sie dazu verpflichtet, die Konferenzteilnehmer über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Aufzeichnung zu informieren (Art. 12, 13 DSGVO).
Folgende organisatorische Maßnahmen sollten Sie außerdem beachten:
- Schließen Sie einen Auftragsverarbeitungsvertrag ab. Grundsätzlich ist mit einem Saas-Anbieter ein Auftragsverarbeitungsvertrag abzuschließen. (Art. 28 DSGVO)
- Informieren Sie den Personal- oder den Betriebsrat, da jene dem Einsatz der Konferenzdienste vorher zustimmen müssen (§ 87 Abs. 1 Nr. 6 BetrVG).
- Involvieren Sie Ihren Datenschutzbeauftragten bereits bei der Auswahl des passenden Dienstes. Im Zweifelsfall sollte dieser das Tool, bereits vor der Nutzung,
auf ein angemessenes Schutzniveau prüfen. - Sensibilisieren und informieren Sie Ihre Mitarbeiter, welche Daten (nicht) über das Tool geteilt werden dürfen. Verwenden Sie hierzu bspw. Black-/Whitelists.
Da Sie sowohl Ihre Mitarbeiter als auch Ihre Geschäftspartner und Kunden belehren müssen, empfehlen wir Ihnen, diese Informationen in Ihrer regulären Datenschutzerklärung aufzunehmen. Auf die Inhalte der Datenschutzerklärung können Sie dann problemlos via Link in der Einladung
zum Onlinemeeting oder bei Passwort-Eingabe hinweisen.
EU-Dienste vorziehen?
Prinzipiell werden Dienste aus Deutschland oder dem Europäischem Wirtschaftsraum (EWR) bevorzugt, da bei Anbietern aus einem sog.
Drittland ferner zu prüfen ist ob ein angemessenes Schutzniveau nach den Anforderungen der DSGVO (Art. 44 bis 49 DSGVO) besteht.
Kennzeichen, die eine für die Praxis hinreichende Verlässlichkeit des Datenschutzniveaus bieten:
Kritik und Einzelfallprüfung
Bei der Auswahl des geeigneten Anbieters muss eine individuelle Einschätzung über benötigte Funktionen, Teilnehmerzahl, Qualität der Verbindung und Sicherheitsanforderungen getroffen werden. Dabei gilt es zu beachten wie sensibel die Daten sind, die über das Videokonferenz-System geteilt werden sollen. Im Einzelfall ist das jeweilige Tool zu betrachten und auf das Unternehmen und die dort verarbeiteten Daten anzupassen.
Dabei helfen wir Ihnen natürlich gern!
Weitere Tipps für die Auswahl von Videokonferenz-Tools finden Sie z.B. in
- den Empfehlungen und der Checkliste für Videokonferenzdienste der Berliner Beauftragten für Datenschutz und Informationsfreiheit
- im Kompendium Videokonferenzsysteme des BSI,
- sowie in der Praxishilfe Videokonferenzen und Datenschutz der Gesellschaft für Datenschutz und Datensicherheit