Senior Privacy Expert & Product Owner
October 2, 2023
4 min
.svg)
Ein Auftragsverarbeitungsvertrag muss mit dem Anbieter des Videokonferenzsystems abgeschlossen werden, um die Grundlagen der Datenverarbeitung festzulegen.
Es ist wichtig zu prüfen, ob personenbezogene Daten außerhalb der EU/EWR verarbeitet werden und ob in diesen Drittländern ein angemessenes Datenschutzniveau vorhanden ist.
Der Anbieter muss geeignete Maßnahmen zur Datensicherheit ergreifen, dazu gehört etwa die Verschlüsselung von übertragenen und gespeicherten Daten.
Informationspflichten gegenüber Teilnehmern und die datenschutzgerechte Durchführung von Videokonferenzen sind einzuhalten.
In diesem Artikel lesen Sie:
Vor einigen Jahren war der Einsatz von Videokonferenzsystemen noch die Ausnahme. Inzwischen gehören Videokonferenzsysteme für viele Unternehmen zum unerlässlichen Bestandteil des Geschäftsalltags.
Da bei Videokonferenzen eine Verarbeitung zahlreicher personenbezogener Daten erfolgt, sind spezifische datenschutzrechtliche Anforderungen zu beachten. Dies findet in den meisten Unternehmen noch zu wenig Beachtung. Nachfolgend daher einige Tipps und Hinweise, die Sie bei der Auswahl eines Videokonferenzsystems und der Durchführung von Videokonferenzen berücksichtigen sollten. (Diese Aufzählung ist nicht abschließend.)
Viele Anbieter von Videokonferenzsystemen stellen ihren Dienst als Software-as-a-Service (Saas) zur Verfügung. Die entsprechenden Auftragsverarbeitungsverträge erhalten die Kunden online. Ein Auftragsverarbeitungsvertrag soll die Grundlagen der Datenverarbeitung, die der Videokonferenzsystemanbieter auf Weisung des verantwortlichen Unternehmens vornimmt, fixieren.
Anbieter, die Ihnen trotz Stellung als Auftragsverarbeiter i. S. v. Art. 28 DS-GVO keinen Auftragsverarbeitungsvertrag zur Verfügung stellen, sollten Sie nicht beauftragen. Unter Umständen kann alternativ auch der Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit erforderlich sein. Dies ist der Fall, wenn Sie und der Videokonferenzsystemanbieter gemeinsam über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheiden und demnach als gemeinsame Verantwortliche i. S. v. Art. 26 DS-GVO zu qualifizieren sind.
Weiterhin sollten Sie darauf achten, wo die konkrete Verarbeitung der personenbezogenen Daten stattfindet. Einige Videokonferenzsystemanbieter oder deren Konzernunternehmen und/oder Unterauftragsverarbeiter sitzen in den USA und verarbeiten daher personenbezogene Daten außerhalb der EU beziehungsweise dem EWR.
Informieren Sie sich stets im Vorfeld, ob in möglichen Drittstaaten ein angemessenes Datenschutzniveau entsprechend Art. 44 ff. DS-GVO vorliegt. Nachdem der EuGH den EU – U.S. Privacy Shield 2020 für unwirksam erklärt hat, ist dies für die USA jedenfalls kritisch zu sehen. Die meisten Videokonferenzsystemanbieter mit Bezug zu den USA bedienen sich mittlerweile der Standarddatenschutzklauseln.
Nach Ansicht des EuGH sind die Standarddatenschutzklauseln allein nicht ausreichend, um ein angemessenes Schutzniveau für Verarbeitungen mit EU/US-Bezug zu gewährleisten. Vielmehr sind dafür zusätzliche Sicherheitsmaßnahmen erforderlich, insbesondere mit Blick auf behördliche Zugriffsmöglichkeiten. Welche Maßnahmen konkret erforderlich sind, bedarf einer Einzelfallbetrachtung.
Bei der Auswahl des Videokonferenzsystemanbieters ist darauf zu achten, dass er geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung der personenbezogenen Daten ergreift. Die von der Verarbeitung betroffenen personenbezogenen Daten müssen entsprechend der gesetzlichen Anforderungen der DSGVO und ihres jeweiligen Schutzniveaus gesichert werden.
Hier sollte man sich einen detaillierten Überblick über die getroffenen Maßnahmen verschaffen. Wichtig ist unter anderem die Verschlüsselung bei der Übertragung und Speicherung, um die Daten vor dem unbefugten Zugriff Dritter zu schützen.
Sie müssen als Initiator und Verantwortlicher der Videokonferenz gemäß Art. 13 ff. DS-GVO die Teilnehmer über die Verarbeitung ihrer personenbezogenen Daten aufklären. Neben den allgemeinen Angaben zum Verantwortlichen, der Rechtsgrundlage und dem Zweck der Verarbeitung sind die Betroffenen auch über die Speicherdauer und weitere der Videokonferenz immanente Fragestellungen zu informieren.
Hinweis: Aufzeichnungen der Videokonferenz sollten Sie generell vermeiden.
Wenn die Anfertigung von Aufzeichnungen jedoch aufgrund des konkreten Zwecks der Videokonferenz erforderlich ist, dann sollten Sie die Betroffenen rechtzeitig hierüber informieren. Im Zweifel benötigen Sie hierfür die Einwilligung der Teilnehmer.
Bei der Durchführung von Videokonferenzen sind weitere datenschutzrechtliche Anforderungen zu beachten. Häufig ist während Videokonferenzen der private Lebensbereich der Teilnehmer erkennbar. Hier empfiehlt es sich, entweder generell von einer Videoübertragung abzusehen oder sich vor einem neutralen Hintergrund zu platzieren.
Zahlreiche Anbieter bieten alternativ auch die Einblendung digitaler, neutraler Hintergründe an.
Auch das Teilen von Dokumenten oder des Bildschirms sollten Verantwortliche im Unternehmen einheitlich festlegen und die Mitarbeiter entsprechend unterrichten. Das Teilen des Bildschirms erhöht grundsätzlich das Risiko der unbefugten Kenntnisnahme personenbezogener Daten durch Dritte.
Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.
SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.
Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office
Everything you need to know about the product and billing.
Das Bundesamt für Sicherheit und Informationstechnik erhält durch die Umsetzung der NIS2 Richtlinie auf nationaler Ebene erweiterte Kompetenzen. So erhält das BSI mit der NIS2 Richtlinie die Befugnis, Mindestsicherheitsstandards für KRITIS-Betreiber festzulegen und IT-Sicherheitsvorfälle zu überwachen. Welche Auswirkungen dies auf Ihr Unternehmen und hat und welche Bedeutung das BSI für die deutsche Cybersicherheit einnimmt, lesen Sie in unserem Artikel zu dem Verhältnis zwischen dem BSI und der NIS2 Richtlinie.
Schauen Sie genauer hin, wie sich die EU-Cybersicherheitsrichtlinien von NIS1 zu NIS2 entwickelt haben und welchen Einfluss sie auf die Sicherheit digitaler Systeme in Europa ausüben. Unser Artikel hebt die markanten Unterschiede zwischen diesen Richtlinien hervor und beleuchtet, wie sie die digitale Sicherheit in Europa nachhaltig beeinflussen. Erfahren Sie, wie die Europäische Union intensivere Maßnahmen zur Absicherung kritischer Infrastrukturen und zur Bekämpfung von Cyberbedrohungen implementiert, um die digitale Landschaft in Europa sicherer zu gestalten und die Widerstandsfähigkeit gegenüber den wachsenden Herausforderungen zu stärken.
Erfahren Sie, warum die Cybersicherheit in Deutschland an Bedeutung gewinnt, welche Rolle das IT-Sicherheitsgesetz und NIS2 dabei spielen und wie Unternehmen von der NIS2 Umsetzung betroffen sind. Mit steigenden Cyberkriminalitätsfällen und der NIS2 Richtlinie vor der Tür, stehen deutsche Unternehmen vor neuen Herausforderungen. Die Bedrohung im Cyber-Raum erreicht einen Höchststand, und Ransomware bleibt eine ernsthafte Gefahr. Die NIS2 Umsetzung in Deutschland verspricht, die Cybersicherheit zu stärken, erfordert aber gründliche Prüfungen und Anpassungen seitens der Unternehmen. Informieren Sie sich über die aktuellen Entwicklungen und die Auswirkungen auf die deutsche Wirtschaft.
.svg)
.svg)
.svg){kind=small}