Zurück zur Übersicht
05.04.2022

Videokonferenzsysteme

Empfehlungen zum Einsatz von Videokonferenzsystemen

Aufgrund der Corona-Pandemie und der durch die Bundes- und Landesregierungen beschlossenen Einschränkungen, insbesondere hinsichtlich direkter persönlicher Kontakte, entstand bei vielen Verantwortlichen die Notwendigkeit, virtuelle Treffen durchzuführen. Unternehmen und Behörden, Schulen und Hochschulen, Vereine und Privatpersonen setzten in großem Umfang Videokonferenzen ein – oder planten es zumindest, da oftmals die technischen Voraussetzungen noch geschaffen werden mussten. Hierzu gehört auch die Auswahl eines geeigneten, datenschutzgerecht zu betreibenden Videokonferenzsystems. Insofern erhielt die Landesbeauftragte im Berichtszeitraum sehr viele Anfragen und Beratungsersuchen zu diesem Thema. Weiterhin beschwerten sich auch immer wieder Teilnehmerinnen und Teilnehmer von Videokonferenzen, dass ein konkretes Produkt, ein Videokonferenzbetreiber oder ein genutzter Dienstleister eben nicht die datenschutzrechtlichen Anforderungen eingehalten hatte.

Die Landesbeauftragte führte keine eigenständige datenschutzrechtliche Prüfung von Produkten zur Durchführung von Videokonferenzsystemen oder von Anbietern entsprechender Dienstleistungen durch. Sie beteiligte sich dagegen an der Erarbeitung der „Orientierungshilfe Videokonferenzsysteme“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die im September 2020 auch in unserem Internetangebot veröffentlicht wurde. Die Orientierungshilfe wird ergänzt durch eine Checkliste, in der die datenschutzrechtlichen Anforderungen in komprimierter Form zusammengefasst sind.

In der Orientierungshilfe wird insbesondere der Einsatz von Videokonferenzsystemen in Form einer sogenannten On-Premises-Lösung empfohlen, d. h. eines auf der eigenen IT-Infrastruktur laufenden Systems. Nur in diesem Fall hat der Betreiber der Videokonferenz auch alle datenschutzrechtlichen und technischen Angelegenheiten in seiner Hand und kann die Umsetzung der gesetzlichen Anforderungen eigenständig gewährleisten. Lässt sich eine solche Lösung nicht umsetzen, kann auch ein Dienstleister mit dem Betrieb des Videokonferenzsystems beauftragt werden. Dabei sind die Regelungen zur Auftragsverarbeitung (insbesondere zur Kontrolle des Dienstleisters) einzuhalten. Grundsätzlich sollten Dienstleister mit Sitz in Europa bevorzugt werden. Die Verwendung der anfallenden Daten für eigene Zwecke des Dienstleisters ohne rechtliche Grundlage ist genauso auszuschließen wie Datenabflüsse an den Hersteller des Videokonferenzsystems oder an Dritte. Aus den zuletzt genannten Gründen sind im Internet einfach zugängliche Online-Dienste für Videokonferenzen oftmals aus datenschutzrechtlicher Sicht kritisch zu bewerten.

Die Orientierungshilfe weist außerdem sehr deutlich auf die Beachtung der entsprechenden Rechtsgrundlagen hin. In Frage kommen grundsätzlich eine freiwillige, informierte Einwilligung der an der Videokonferenz Teilnehmenden, die Erforderlichkeit für die Erfüllung eines Vertrages oder zur Wahrnehmung einer öffentlichen Aufgabe oder zur Wahrung berechtigter Interessen des Verantwortlichen. Videokonferenzen im Beschäftigungskontext können auf § 26 Bundesdatenschutzgesetz bzw. § 26 Brandenburgisches Datenschutzgesetz gestützt werden. Die Erforderlichkeit der Übertragung von Bilddaten sollte dabei stets überprüft werden. Auch Kollektivvereinbarungen mit dem Betriebs- oder Personalrat können Videokonferenzen legitimieren. Nehmen Beschäftigte vom heimischen Arbeitsplatz aus an Videokonferenzen teil, sind Einblicke in ihre Privatsphäre oder das Erscheinen von Familienmitgliedern o. ä. zu verhindern. Sollen mit einer Videokonferenz auch besondere Kategorien personenbezogener Daten verarbeitet werden, ist die rechtliche Zulässigkeit gesondert zu prüfen.

Weitere Pflichten für den Betreiber einer Videokonferenz und damit Verantwortlichen nach der Datenschutz-Grundverordnung (DSGVO) ergeben sich beispielsweise aus den Artikel 13 DSGVO (Information über die Datenverarbeitung zur Gewährleistung der Transparenz), Artikel 25 DSGVO (datenschutzfreundliche Voreinstellungen), Artikel 28 DSGVO (Abschluss eines Auftragsdatenverarbeitungsvertrags), Artikel 30 DSGVO (Führen einesVerzeichnisses der Verarbeitungstätigkeiten) und Artikel 32 DSGVO (Umsetzung von technischen und organisatorischen Maßnahmen). Auch für Letzteres enthält die Orientierungshilfe viele Hinweise und Empfehlungen, z. B. hinsichtlich der Sicherheit der Übertragung durch Verschlüsselung, der Authentisierung der Teilnehmerinnen und Teilnehmer einer Videokonferenz oder das Erstellen eines entsprechenden Berechtigungskonzepts.

Werden im Zuge einer Videokonferenz personenbezogene Daten in Drittländer übertragen (z. B. zum Hersteller oder Anbieter des Systems), sind zusätzlich die Regelungen der Datenschutz-Grundverordnung für entsprechende Datentransfers einzuhalten. Hierbei ist auch das Schrems II-Urteil2 des Europäischen Gerichtshofs vom 16. Juli 2020 zu beachten.

Quelle: Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks