In unse­rem ers­ten Bei­trag zum The­ma Video­kon­fe­renz­sys­te­me haben wir daten­schutz­recht­li­che Tipps und Emp­feh­lun­gen bei der Aus­wahl des rich­ti­gen Tools gege­ben. Wel­ches das „rich­ti­ge“ Tool ist, hängt neben den daten­schutz­recht­li­chen Vor­aus­set­zun­gen an das Sys­tem auch von den Bedürf­nis­sen und dem Nut­zungs­zweck jedes Ein­zel­nen ab. In die­sem Bei­trag soll es nun dar­um gehen, wie Video­kon­fe­renz­sys­te­me rich­tig genutzt bzw. Video­kon­fe­ren­zen daten­schutz­recht­lich zuläs­sig geführt wer­den.

Ist das Video­kon­fe­renz­sys­tem aus­ge­wählt, soll­te tech­nisch und orga­ni­sa­to­risch sicher­ge­stellt wer­den, dass bei oder wäh­rend der Durch­füh­rung der Video­kon­fe­ren­zen das Risi­ko einer Ver­let­zung per­so­nen­be­zo­ge­ner Daten auf ein Mini­mum redu­ziert wird.” – Eile­en Bin­der

Wenn wir in die­sem Bei­trag von „rich­tig nut­zen“ spre­chen, dann ist damit der daten­schutz­recht­lich siche­re Umgang mit Video­kon­fe­renz­sys­te­men gemeint. Bis zur Video­kon­fe­renz und wäh­rend­des­sen gibt es neben tech­ni­schen auch orga­ni­sa­to­ri­schen Maß­nah­men, die das Risi­ko einer Ver­let­zung per­so­nen­be­zo­ge­ner Daten mini­mie­ren und wodurch Ver­ant­wort­li­che ihre daten­schutz­recht­li­che Pflich­ten erfül­len kön­nen.

Aus­wahl des Video­kon­fe­renz­sys­tems

Unse­ren ers­ten Bei­trag haben wir mit dem Hin­weis geschlos­sen, dass mit dem jewei­li­gen Anbie­ter ein Ver­trag zur Auf­trags­ver­ar­bei­tung nach Art. 28 DSGVO abge­schlos­sen wer­den muss, alter­na­tiv die EU-Standardvertragsklauseln. Die Unter­zeich­nung muss vor der ers­ten Nut­zung des Video­kon­fe­renz­sys­tems erfol­gen. Das stellt sicher, dass Ver­ant­wort­li­che bereits vor der ers­ten Daten­über­mitt­lung geprüft haben, ob der Ver­trags­part­ner alle daten­schutz­recht­li­chen Anfor­de­run­gen erfüllt wer­den, die per­so­nen­be­zo­ge­nen Daten tech­nisch sicher ver­ar­bei­tet wer­den und die Erfül­lung und Durch­setz­bar­keit der Betrof­fe­nen­rech­te aller Teil­neh­mer gewähr­leis­tet ist. 

Durch­füh­rung der Video­kon­fe­renz

Ist das Video­kon­fe­renz­sys­tem aus­ge­wählt, ist tech­nisch und orga­ni­sa­to­risch sicher­zu­stel­len, dass bei oder wäh­rend der Durch­füh­rung der Video­kon­fe­ren­zen das Risi­ko einer Ver­let­zung per­so­nen­be­zo­ge­ner Daten auf ein Mini­mum redu­ziert wird. Die Vor­nah­me fol­gen­der (nicht abschlie­ßen­der) Kon­fi­gu­ra­ti­ons­mög­lich­kei­ten soll­te bereits bei der Aus­wahl des Sys­tems beach­tet wor­den sein. Ver­hal­tens­re­geln wäh­rend des Gesprächs run­den die Daten­si­cher­heit ab.

Die Ein­la­dung zur Video­kon­fe­renz erfolgt in den meis­ten Fäl­len per E‑Mail, in der ein Link zum vir­tu­el­len Kon­fe­renz­raum hin­ter­legt ist. Sofern Ver­ant­wort­li­che ein­la­den, bie­tet sich hier eine gute Gele­gen­heit, die Infor­ma­tio­nen zum Daten­schutz nach Art. 13 DSGVO an den Ein­la­dungs­emp­fän­ger zu über­mit­teln. Führt der Zweck des Gesprächs zu einem Ein­wil­li­gungs­tat­be­stand, kann in die­sem Schritt auch die Ein­wil­li­gung des Gegen­übers ein­ge­holt wer­den (z.B. Bewer­bungs­ge­sprä­che).

Emp­feh­lens­wert ist es, den Zugang zum vir­tu­el­len Kon­fe­renz­raum mit einem Pass­wort zu ver­schlüs­seln. So kann ver­hin­dert wer­den, dass unbe­rech­tig­te Drit­te still an der Kon­fe­renz teil­neh­men. Die Teil­neh­mer gelan­gen nach der Pass­wort­ein­ga­be zu einem War­te­raum und wer­den von dort manu­ell vom Mode­ra­tor zur Kon­fe­renz zuge­las­sen. Beim Betre­ten der Kon­fe­renz sind Kame­ra und Mikro­fon zunächst aus / stumm geschal­tet und müs­sen durch den User manu­ell frei­ge­ge­ben wer­den.

Die Auf­zeich­nung von Spra­che und Video soll­te wäh­rend der Kon­fe­renz deak­ti­viert wer­den, damit der Anbie­ter die Kopien nicht zu eige­nen Zwe­cken aus­wer­ten und nut­zen kann. Lau­fen die Software-Lösungen auf den unter­neh­mens­ei­ge­nen Ser­vern („on pre­mi­ses“), kön­nen die­se Audio‑, Meta- und Inhalts­da­ten erst gar nicht an Drit­te über­mit­telt wer­den. Die­se Lösung wird von den Daten­schutz­be­auf­trag­ten aus Ber­lin und Baden-Württemberg emp­foh­len.

Eben­falls deak­ti­viert wer­den soll­te die Chat-Funktion, wenn sie für die Durch­füh­rung der Kon­fe­renz nicht erfor­der­lich ist.

Soll wäh­rend der Kon­fe­renz der Bild­schirm geteilt wer­den, kön­nen unter Umstän­den nicht nur per­so­nen­be­zo­ge­ne Daten der Mit­ar­bei­ter oder des Gegen­übers, son­dern (außer­halb des Daten­schut­zes) auch Betriebs- und Geschäfts­ge­heim­nis­se sicht­bar wer­den. Hier ist dar­auf zu ach­ten, dass kei­ne (per­so­nen­be­zo­ge­nen) Daten auf dem Desk­top sicht­bar sind, die nicht mit der Kon­fe­renz in Zusam­men­hang ste­hen. E‑Mail- oder Messenger-Programme müs­sen wäh­rend des Gesprächs geschlos­sen sein, damit kei­ne unfrei­wil­li­gen Push-Nachrichten auf­pop­pen.

Was für den geteil­ten Bild­schirm gilt, gilt auch für den Hin­ter­grund des Zim­mers, aus dem sich der Videokonferenz-Teilnehmer her­aus mel­det. Die in den meis­ten Video­kon­fe­renz­sys­te­men inte­grier­te „Blur“-Funktion, also das Ver­schwim­men des Hin­ter­grunds, soll­te wäh­rend des Gesprächs akti­viert sein, wenn nicht aus­ge­schlos­sen wer­den kann, dass dort (per­so­nen­be­zo­ge­nen) Daten oder ande­re Per­so­nen sicht­bar sind, die z.B. kurz in den Kon­fe­renz­raum kom­men.

Neben der Sys­tem­kon­fi­gu­ra­ti­on sind auch die Teil­neh­mer der Video­kon­fe­ren­zen zu sen­si­bi­li­sie­ren, was Gesprächs­in­hal­te der Video­kon­fe­renz sein sol­len und wel­che The­men / Inhal­te nicht für einen digi­ta­len Video­aus­tausch geeig­net sind. So soll­te es wäh­rend der Kon­fe­renz ver­mie­den wer­den, über sen­si­ble Daten zu spre­chen oder die­se auf dem geteil­ten Bild­schirm auf­zu­ru­fen. Sen­si­ble Daten sind z.B. Gesund­heits­da­ten oder reli­giö­se oder poli­ti­sche Über­zeu­gun­gen. Ins­be­son­de­re Mit­ar­bei­ten­de in Per­so­nal­ab­tei­lun­gen, Betriebs­rä­te und pfle­ge­ri­sches / medi­zi­ni­sches Per­so­nal soll­ten dar­auf ach­ten, wel­che Infor­ma­tio­nen wäh­rend der Kon­fe­renz preis gege­ben wer­den und selbst beur­tei­len, ob für die Über­mitt­lung der Infor­ma­tio­nen nicht auch ein ande­rer, ver­schlüs­sel­ter Kom­mu­ni­ka­ti­ons­ka­nal in Fra­ge kommt.

Auf­grund der Viel­zahl klei­ner Ver­halt­ens­emp­feh­lun­gen macht es Sinn, dass Ver­ant­wort­li­che die­se in Richt­li­ni­en zusam­men­fas­sen und an die Beschäf­tig­ten aus­ge­ben. In den Richt­li­ni­en soll­ten auch die Kon­takt­da­ten von Per­so­nen auf­ge­führt wer­den, die in daten­schutz­recht­li­chen Zwei­fels­fäl­len oder bei infor­ma­ti­ons­tech­ni­schen Pro­ble­men Hil­fe­stel­lung geben. Es soll­te auch erläu­tert wer­den, wie vor­zu­ge­hen ist, wenn eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten ver­mu­tet wird.

Fazit

Nach der Aus­wahl des rich­ti­gen Video­kon­fe­renz­sys­tems ist vor der ers­ten Nut­zung. Wäh­rend bei der Aus­wahl des Kon­fe­renz­sys­tems Aus­wahl­kri­te­ri­en an die Anbie­ter zu stel­len sind, ist bei der Durch­füh­rung der tech­ni­sche und orga­ni­sa­to­ri­sche Rah­men maß­geb­lich. Bevor Ver­ant­wort­li­che oder deren Beschäf­tig­te mit den Video­kon­fe­ren­zen star­ten, soll­ten Bedin­gun­gen fest­ge­legt wer­den, unter denen vir­tu­el­le Video­ge­sprä­che zu füh­ren sind. Am bes­ten lässt sich das anhand von Richt­li­ni­en erle­di­gen, die die Beschäf­tig­ten bei der Durch­füh­rung der Video­kon­fe­renz daten­schutz­recht­lich mög­lichst sicher beglei­ten. Ansprech­part­ner für die­se Richt­li­ni­en ist regel­mä­ßig der betrieb­li­che Daten­schutz­be­auf­trag­te, da die­ser den (zum Teil engen) recht­li­chen Rah­men ken­nen und bei der Lösung der indi­vi­du­el­len Pro­blem­fel­der meist über die not­wen­di­ge Erfah­rung ver­fü­gen wird.

Artikel zum selben Thema:

Die Verweigerung der Auskunft nach Art. 15 DSGVO

29. Juni 2020|

Kein ande­res Betrof­fe­nen­recht erfreut sich solch kon­tro­ver­ser Dis­kus­sio­nen und unter­schied­li­cher Recht­spre­chun­gen wie das Aus­kunfts­recht nach Art. 15 DSGVO. Fast […]

Autorin des Arti­kels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN