Bild-Quelle:
Aufgrund der eingeschränkten Kontaktmöglichkeiten erfreuen sich Videokonferenz-Systeme weiterhin großer Beliebtheit. Besonders im Unternehmensalltag finden Konferenzen, Weiterbildungen und Meetings online via Zoom, Microsoft Teams, Google Meet, Skype u.ä. statt. Da hierbei auch personenbezogene Daten in Gestalt von Bild, Ton und Metadaten verarbeitet werden, sollte das eingesetzte Konferenztool auch den Datenschutz ausreichend berücksichtigen.
Hinweis für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten
Bereits im Juli vergangenen Jahres hat die Berliner Beauftragte für Datenschutz und Informationssicherheit ein Informationspapier zu den gängigen Videokonferenzsystemen mit einem ernüchternden Urteil herausgegeben. Im Ergebnis war zu erkennen, dass europäische Anbieter hierbei zwar am besten abgeschnitten haben, gleichwohl hat dennoch keiner der getesteten Anbieter grünes Licht bekommen.
Dies wurde durch eine erneute Prüfung im Februar dieses Jahres etwas revidiert. Zwar bescheinigt die Übersicht weiterhin den meisten Anbietern keinen ausreichenden Datenschutz, allerdings gibt es inzwischen auch genügend Dienste, die rechtskonform genutzt werden können. Zu diesen gehören unter anderem A-Confi, alfaview, mailbox.org, meetzi sowie BigBlueButton.
Weiterhin als bedenklich und damit durchgefallen sind nach Ansicht der Berliner Datenschutzbeauftragen Zoom, Google Meet, Cisco Webex und GoToMeeting.
Kriterien für die Auswahl eines Videokonferenz-Tools
Bei der Auswahl des richtigen Videokonferenz-Systems sollten Sie einige zentrale Aspekte berücksichtigen.
- Als erste Anlaufstelle bei der Auswahl dienen die entsprechenden Datenschutzhinweise des Videokonferenz-Anbieters.
- Entscheidend ist zudem, wo der jeweilige Anbieter seinen Sitz hat. Hier gilt ganz klar, dass Anbieter mit Sitz in der EU im Europäischen Wirtschaftsraum (EU+ Island, Liechtenstein und Norwegen) zu bevorzugen sind.
- Zudem bieten einige Anbieter ihren Nutzern die Möglichkeit das Rechenzentrum zu wählen. Sollte Sie sich für einen Anbieter außerhalb der EU bzw. des Europäischen Wirtschaftsraums entscheiden empfehlen wir – soweit möglich – einen europäischen Serverstandort zu wählen.
- Wichtig ist es zudem, darauf zu achten, ob die Daten (Audio- und Videodaten, Metadaten sowie Screen-Sharing) bei dem jeweiligen Anbieter verschlüsselt
- Achten Sie zudem darauf, dass das Einwählen in eine Konferenz über das ausgewählte Tool nicht ohne weiteres möglich ist. Nur autorisierten Personen sollte es möglich sein, auf die Videokonferenz sowie die übertragenen Daten zuzugreifen.
Zur zusätzlichen Orientierung dienen auch die Orientierungshilfe Videokonferenzsysteme sowie die dazugehörige Checkliste der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK).
Ebenfalls ist es sinnvoll, bei der Auswahl zu berücksichtigen, auf welchem Server die Videokonferenz-Software läuft. Hier wäre es ideal, wenn auch mit erheblichem Aufwand verbunden, die Anwendung auf dem Unternehmensserver und nicht auf dem Server des Konferenzsystem-Anbieters läuft (On-Premise-Lösung / self-hosted). Dies wird jedoch ehrlicherweise von den wenigstens Diensten angeboten und kann zudem von den wenigsten Unternehmen geleistet werden. Hier bedarf es insbesondere vertiefter IT-Kenntnisse und zudem muss in besonderem Maße die IT-Sicherheit mittels umfangreicher technischer und organisatorischer Maßnahmen gewährleitet sein.
Auftragsverarbeitungsvertrag und die Informationspflicht nicht vergessen
Mit dem jeweiligen Anbieter des eingesetzten Videokonferenz-Tools muss zudem ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Auf diesen kann nur in den Fällen verzichtet werden, in denen das genutzte Tool auf dem eigenen Unternehmensserver läuft (z.B. bei Jitsi Meet). Beim Abschluss eines solchen AVVs ist insbesondere darauf zu achten, dass der jeweilige Anbieter die entsprechenden personenbezogenen Daten Ihrer Mitarbeiter, Kunden usw. nicht zu eigenen Zwecken verwendet. Zudem muss bei Videokonferenz-Anbietern mit Sitz in den USA darauf geachtet werden, dass sog. Standardvertragsklauseln abgeschlossen werden.
Sollten Sie sich nach genauer Prüfung für einen Anbieter mit Sitz außerhalb der EU entschieden haben, ist es zudem wichtig, dass Sie genau dokumentieren, warum Sie sich für diesen entschieden haben. Zudem ist es essenziel, dass ihre Mitarbeiter, Kunden u.ä. in die Nutzung des Videokonferenz-Systems eingewilligt haben, damit eine klare Rechtfertigung für eine Datenübermittlung ins Ausland gegeben ist. Auch hier gilt für eine wirksame Einwilligung, dass diese in informierter Weise und freiwillig erfolgen muss. Es muss daher eine tatsächliche Wahlmöglichkeit bezüglich der Teilnahme an Videokonferenzen geben und in diesem Zuge muss sichergestellt werden, dass eine Verweigerung der Einwilligung keine negativen Konsequenzen nach sich ziehen.
Der Einsatz eines Videokonferenz-Tools im geschäftlichen Kontext muss zudem in der Datenschutzerklärung erklärt werden. Hier muss benannt werden, um welches Tools es sich handelt, welche Daten zu welchem Zweck im Hinblick auf die Nutzung verarbeitet werden sowie die jeweilige Rechtsgrundlage, auf welche die Verarbeitung gestützt werden kann. Ebenfalls ist darüber zu informieren, wie lange die entsprechenden Daten gespeichert werden.
Von Tamina Wiatr, 28.03.2021
