Beitrag teilen
HOME
/
blog
/
Videokonferenz-Datenschutz – 5 DSGVO-To-Dos für Calls!

Videokonferenz-Datenschutz – 5 DSGVO-To-Dos für Calls!

Daniel Lösch

Senior Privacy Expert & Product Owner

October 2, 2023

4 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Ein Auftragsverarbeitungsvertrag muss mit dem Anbieter des Videokonferenzsystems abgeschlossen werden, um die Grundlagen der Datenverarbeitung festzulegen.

Es ist wichtig zu prüfen, ob personenbezogene Daten außerhalb der EU/EWR verarbeitet werden und ob in diesen Drittländern ein angemessenes Datenschutzniveau vorhanden ist.

Der Anbieter muss geeignete Maßnahmen zur Datensicherheit ergreifen, dazu gehört etwa die Verschlüsselung von übertragenen und gespeicherten Daten.

Informationspflichten gegenüber Teilnehmern und die datenschutzgerechte Durchführung von Videokonferenzen sind einzuhalten.

Videokonferenzen: Datenschutz rückt auch hier in den Fokus

In diesem Artikel lesen Sie:

  • warum Datenschutz auch bei Videocalls nicht zu vernachlässigen ist
  • welche 5 Aspekte Sie bei Videocalls im Auge behalten sollten
  • warum Aufzeichnungen in Videocalls zu vermeiden sind

Vor einigen Jahren war der Einsatz von Videokonferenzsystemen noch die Ausnahme. Inzwischen gehören Videokonferenzsysteme für viele Unternehmen zum unerlässlichen Bestandteil des Geschäftsalltags.

Da bei Videokonferenzen eine Verarbeitung zahlreicher personenbezogener Daten erfolgt, sind spezifische datenschutzrechtliche Anforderungen zu beachten. Dies findet in den meisten Unternehmen noch zu wenig Beachtung. Nachfolgend daher einige Tipps und Hinweise, die Sie bei der Auswahl eines Videokonferenzsystems und der Durchführung von Videokonferenzen berücksichtigen sollten. (Diese Aufzählung ist nicht abschließend.)

5 Datenschutz-To-Dos für Ihre Videokonferenz

1. Vertragliche Absicherung


Viele Anbieter von Videokonferenzsystemen stellen ihren Dienst als Software-as-a-Service (Saas) zur Verfügung. Die entsprechenden Auftragsverarbeitungsverträge erhalten die Kunden online. Ein Auftragsverarbeitungsvertrag soll die Grundlagen der Datenverarbeitung, die der Videokonferenzsystemanbieter auf Weisung des verantwortlichen Unternehmens vornimmt, fixieren.

Anbieter, die Ihnen trotz Stellung als Auftragsverarbeiter i. S. v. Art. 28 DS-GVO keinen Auftragsverarbeitungsvertrag zur Verfügung stellen, sollten Sie nicht beauftragen. Unter Umständen kann alternativ auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit erforderlich sein. Dies ist der Fall, wenn Sie und der Videokonferenzsystemanbieter gemeinsam über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheiden und demnach als gemeinsame Verantwortliche i. S. v. Art. 26 DS-GVO zu qualifizieren sind.

2. Drittlandübermittlung


Weiterhin sollten Sie darauf achten, wo die konkrete Verarbeitung der personenbezogenen Daten stattfindet. Einige Videokonferenzsystemanbieter oder deren Konzernunternehmen und/oder Unterauftragsverarbeiter sitzen in den USA und verarbeiten daher personenbezogene Daten außerhalb der EU beziehungsweise dem EWR.

Informieren Sie sich stets im Vorfeld, ob in möglichen Drittstaaten ein angemessenes Datenschutzniveau entsprechend Art. 44 ff. DS-GVO vorliegt. Nachdem der EuGH den EU – U.S. Privacy Shield 2020 für unwirksam erklärt hat, ist dies für die USA jedenfalls kritisch zu sehen. Die meisten Videokonferenzsystemanbieter mit Bezug zu den USA bedienen sich mittlerweile der Standarddatenschutzklauseln.

Nach Ansicht des EuGH sind die Standarddatenschutzklauseln allein nicht ausreichend, um ein angemessenes Schutzniveau für Verarbeitungen mit EU/US-Bezug zu gewährleisten. Vielmehr sind dafür zusätzliche Sicherheitsmaßnahmen erforderlich, insbesondere mit Blick auf behördliche Zugriffsmöglichkeiten. Welche Maßnahmen konkret erforderlich sind, bedarf einer Einzelfallbetrachtung.

3. TOMs


Bei der Auswahl des Videokonferenzsystemanbieters ist darauf zu achten, dass er geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung der personenbezogenen Daten ergreift. Die von der Verarbeitung betroffenen personenbezogenen Daten müssen entsprechend der gesetzlichen Anforderungen der DSGVO und ihres jeweiligen Schutzniveaus gesichert werden.

Hier sollte man sich einen detaillierten Überblick über die getroffenen Maßnahmen verschaffen. Wichtig ist unter anderem die Verschlüsselung bei der Übertragung und Speicherung, um die Daten vor dem unbefugten Zugriff Dritter zu schützen.

4. Informationspflichten

Sie müssen als Initiator und Verantwortlicher der Videokonferenz gemäß Art. 13 ff. DS-GVO die Teilnehmer über die Verarbeitung ihrer personenbezogenen Daten aufklären. Neben den allgemeinen Angaben zum Verantwortlichen, der Rechtsgrundlage und dem Zweck der Verarbeitung sind die Betroffenen auch über die Speicherdauer und weitere der Videokonferenz immanente Fragestellungen zu informieren.

Hinweis: Aufzeichnungen der Videokonferenz sollten Sie generell vermeiden.

Wenn die Anfertigung von Aufzeichnungen jedoch aufgrund des konkreten Zwecks der Videokonferenz erforderlich ist, dann sollten Sie die Betroffenen rechtzeitig hierüber informieren. Im Zweifel benötigen Sie hierfür die Einwilligung der Teilnehmer.

5. Durchführung

Bei der Durchführung von Videokonferenzen sind weitere datenschutzrechtliche Anforderungen zu beachten. Häufig ist während Videokonferenzen der private Lebensbereich der Teilnehmer erkennbar. Hier empfiehlt es sich, entweder generell von einer Videoübertragung abzusehen oder sich vor einem neutralen Hintergrund zu platzieren.

Zahlreiche Anbieter bieten alternativ auch die Einblendung digitaler, neutraler Hintergründe an.

Auch das Teilen von Dokumenten oder des Bildschirms sollten Verantwortliche im Unternehmen einheitlich festlegen und die Mitarbeiter entsprechend unterrichten. Das Teilen des Bildschirms erhöht grundsätzlich das Risiko der unbefugten Kenntnisnahme personenbezogener Daten durch Dritte.

SECJUR Experten-Fazit: Datenschutz bei Videocalls ist häufig übersehen, aber enorm wichtig

Die verstärkte Nutzung von Videokonferenzsystemen in Unternehmen bringt datenschutzrechtliche Anforderungen mit sich, die oft vernachlässigt werden. Um den Datenschutz in Videokonferenzen zu gewährleisten, sollten einige wichtige Aspekte berücksichtigt werden.

Dazu gehören vertragliche Absicherungen mit den Anbietern, die Überprüfung der Drittlandübermittlung, die Einhaltung geeigneter technischer und organisatorischer Maßnahmen, die Erfüllung von Informationspflichten und die Beachtung datenschutzrechtlicher Anforderungen während der Durchführung von Videokonferenzen.

Unternehmen sollten diese Datenschutz-To-Dos ernst nehmen, um sensible personenbezogene Daten zu schützen und den rechtlichen Anforderungen gerecht zu werden. Weitere hilfreiche Informationen finden sich in der „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz vom 23.10.2020.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 5, 2023
4 min
Datenschutz bei Firmenevents: DSGVO beginnt bei der Einladung

Firmenevents sind eine großartige Möglichkeit, um das Team zu stärken und Beziehungen zu Kunden aufzubauen. Doch bei der Planung und Durchführung von Veranstaltungen müssen Unternehmen auch den Datenschutz im Blick behalten. In diesem Überblick haben wir die wichtigsten Aspekte zum Umgang mit personenbezogenen Daten bei Firmenevents zusammengetragen. Erfahren Sie, wie Sie Stolpersteine vermeiden und datenschutzrechtliche Anforderungen erfüllen können.

Lesen
June 2, 2023
10 min
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz.

Lesen
October 25, 2023
6 min
ISO 27001 Annex A.9 – Access Management leicht gemacht

Die Umsetzung von Access Management nach ISO 27001 Annex A.9 kann eine echte Herausforderung sein. Regulierung und Überwachung von Zugriffen sind unerlässlich, um Daten und Informationen zu schützen. In diesem Artikel erfahren Sie, wie die Partnerschaft zwischen SECJUR und Cakewalk Unternehmen dabei unterstützt, die Anforderungen dieses ISO-Annex effizient zu erfüllen. Entdecken Sie die Bedeutung von Annex A.9, seine Ziele und die verschiedenen Zugangskontrollmethoden. Erfahren Sie, wie Cakewalks intelligente Lösungen und SECJURs Expertise die nahtlose Integration der Zugriffsverwaltung in ein Informationssicherheitsmanagementsystem ermöglichen.

Lesen
TO TOP