In unserem ersten Beitrag zum Thema Videokonferenzsysteme haben wir datenschutzrechtliche Tipps und Empfehlungen bei der Auswahl des richtigen Tools gegeben. Welches das „richtige“ Tool ist, hängt neben den datenschutzrechtlichen Voraussetzungen an das System auch von den Bedürfnissen und dem Nutzungszweck jedes Einzelnen ab. In diesem Beitrag soll es nun darum gehen, wie Videokonferenzsysteme richtig genutzt bzw. Videokonferenzen datenschutzrechtlich zulässig geführt werden.
“Ist das Videokonferenzsystem ausgewählt, sollte technisch und organisatorisch sichergestellt werden, dass bei oder während der Durchführung der Videokonferenzen das Risiko einer Verletzung personenbezogener Daten auf ein Minimum reduziert wird.” – Eileen Binder
Wenn wir in diesem Beitrag von „richtig nutzen“ sprechen, dann ist damit der datenschutzrechtlich sichere Umgang mit Videokonferenzsystemen gemeint. Bis zur Videokonferenz und währenddessen gibt es neben technischen auch organisatorischen Maßnahmen, die das Risiko einer Verletzung personenbezogener Daten minimieren und wodurch Verantwortliche ihre datenschutzrechtliche Pflichten erfüllen können.
Auswahl des Videokonferenzsystems
Unseren ersten Beitrag haben wir mit dem Hinweis geschlossen, dass mit dem jeweiligen Anbieter ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden muss, alternativ die EU-Standardvertragsklauseln. Die Unterzeichnung muss vor der ersten Nutzung des Videokonferenzsystems erfolgen. Das stellt sicher, dass Verantwortliche bereits vor der ersten Datenübermittlung geprüft haben, ob der Vertragspartner alle datenschutzrechtlichen Anforderungen erfüllt werden, die personenbezogenen Daten technisch sicher verarbeitet werden und die Erfüllung und Durchsetzbarkeit der Betroffenenrechte aller Teilnehmer gewährleistet ist.
Durchführung der Videokonferenz
Ist das Videokonferenzsystem ausgewählt, ist technisch und organisatorisch sicherzustellen, dass bei oder während der Durchführung der Videokonferenzen das Risiko einer Verletzung personenbezogener Daten auf ein Minimum reduziert wird. Die Vornahme folgender (nicht abschließender) Konfigurationsmöglichkeiten sollte bereits bei der Auswahl des Systems beachtet worden sein. Verhaltensregeln während des Gesprächs runden die Datensicherheit ab.
Die Einladung zur Videokonferenz erfolgt in den meisten Fällen per E‑Mail, in der ein Link zum virtuellen Konferenzraum hinterlegt ist. Sofern Verantwortliche einladen, bietet sich hier eine gute Gelegenheit, die Informationen zum Datenschutz nach Art. 13 DSGVO an den Einladungsempfänger zu übermitteln. Führt der Zweck des Gesprächs zu einem Einwilligungstatbestand, kann in diesem Schritt auch die Einwilligung des Gegenübers eingeholt werden (z.B. Bewerbungsgespräche).
Empfehlenswert ist es, den Zugang zum virtuellen Konferenzraum mit einem Passwort zu verschlüsseln. So kann verhindert werden, dass unberechtigte Dritte still an der Konferenz teilnehmen. Die Teilnehmer gelangen nach der Passworteingabe zu einem Warteraum und werden von dort manuell vom Moderator zur Konferenz zugelassen. Beim Betreten der Konferenz sind Kamera und Mikrofon zunächst aus / stumm geschaltet und müssen durch den User manuell freigegeben werden.
Die Aufzeichnung von Sprache und Video sollte während der Konferenz deaktiviert werden, damit der Anbieter die Kopien nicht zu eigenen Zwecken auswerten und nutzen kann. Laufen die Software-Lösungen auf den unternehmenseigenen Servern („on premises“), können diese Audio‑, Meta- und Inhaltsdaten erst gar nicht an Dritte übermittelt werden. Diese Lösung wird von den Datenschutzbeauftragten aus Berlin und Baden-Württemberg empfohlen.
Ebenfalls deaktiviert werden sollte die Chat-Funktion, wenn sie für die Durchführung der Konferenz nicht erforderlich ist.
Soll während der Konferenz der Bildschirm geteilt werden, können unter Umständen nicht nur personenbezogene Daten der Mitarbeiter oder des Gegenübers, sondern (außerhalb des Datenschutzes) auch Betriebs- und Geschäftsgeheimnisse sichtbar werden. Hier ist darauf zu achten, dass keine (personenbezogenen) Daten auf dem Desktop sichtbar sind, die nicht mit der Konferenz in Zusammenhang stehen. E‑Mail- oder Messenger-Programme müssen während des Gesprächs geschlossen sein, damit keine unfreiwilligen Push-Nachrichten aufpoppen.
Was für den geteilten Bildschirm gilt, gilt auch für den Hintergrund des Zimmers, aus dem sich der Videokonferenz-Teilnehmer heraus meldet. Die in den meisten Videokonferenzsystemen integrierte „Blur“-Funktion, also das Verschwimmen des Hintergrunds, sollte während des Gesprächs aktiviert sein, wenn nicht ausgeschlossen werden kann, dass dort (personenbezogenen) Daten oder andere Personen sichtbar sind, die z.B. kurz in den Konferenzraum kommen.
Neben der Systemkonfiguration sind auch die Teilnehmer der Videokonferenzen zu sensibilisieren, was Gesprächsinhalte der Videokonferenz sein sollen und welche Themen / Inhalte nicht für einen digitalen Videoaustausch geeignet sind. So sollte es während der Konferenz vermieden werden, über sensible Daten zu sprechen oder diese auf dem geteilten Bildschirm aufzurufen. Sensible Daten sind z.B. Gesundheitsdaten oder religiöse oder politische Überzeugungen. Insbesondere Mitarbeitende in Personalabteilungen, Betriebsräte und pflegerisches / medizinisches Personal sollten darauf achten, welche Informationen während der Konferenz preis gegeben werden und selbst beurteilen, ob für die Übermittlung der Informationen nicht auch ein anderer, verschlüsselter Kommunikationskanal in Frage kommt.
Aufgrund der Vielzahl kleiner Verhaltensempfehlungen macht es Sinn, dass Verantwortliche diese in Richtlinien zusammenfassen und an die Beschäftigten ausgeben. In den Richtlinien sollten auch die Kontaktdaten von Personen aufgeführt werden, die in datenschutzrechtlichen Zweifelsfällen oder bei informationstechnischen Problemen Hilfestellung geben. Es sollte auch erläutert werden, wie vorzugehen ist, wenn eine Verletzung des Schutzes personenbezogener Daten vermutet wird.
Fazit
Nach der Auswahl des richtigen Videokonferenzsystems ist vor der ersten Nutzung. Während bei der Auswahl des Konferenzsystems Auswahlkriterien an die Anbieter zu stellen sind, ist bei der Durchführung der technische und organisatorische Rahmen maßgeblich. Bevor Verantwortliche oder deren Beschäftigte mit den Videokonferenzen starten, sollten Bedingungen festgelegt werden, unter denen virtuelle Videogespräche zu führen sind. Am besten lässt sich das anhand von Richtlinien erledigen, die die Beschäftigten bei der Durchführung der Videokonferenz datenschutzrechtlich möglichst sicher begleiten. Ansprechpartner für diese Richtlinien ist regelmäßig der betriebliche Datenschutzbeauftragte, da dieser den (zum Teil engen) rechtlichen Rahmen kennen und bei der Lösung der individuellen Problemfelder meist über die notwendige Erfahrung verfügen wird.
Artikel zum selben Thema:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]