Wie Sie Videokonferenzsysteme datenschutzkonform einsetzen
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellt hohe Anforderungen an Videokonferenz-Tools. Ihre „Orientierungshilfe Videokonferenzsysteme“ verspricht den Verantwortlichen Hilfestellung in Sachen Datenschutz.
Die Handreichung umfasst 25 Seiten, richtet sich an Unternehmen, Behörden und andere Organisationen. Die wichtigsten Empfehlungen haben wir für Sie zusammengestellt:
Open-Source-Software nutzen
Im ersten Kapitel geht es um die Wahl des richtigen Betriebsmodells. Die DSK empfiehlt auf Seite 5 der Orientierungshilfe, die Konferenzdienste selbst zu betreiben – zum Beispiel mit Open-Source-Software. Nur so habe es eine Institution „selbst in der Hand, welche Software zum Einsatz kommt und zu welchen Datenverarbeitungen dies führt“.
Der Betrieb von Videokonferenzsystemen auf einer selbst betriebenen Infrastruktur habe den Vorteil, „dass nur dem Verantwortlichen eine Analyse und Kontrolle der Inhalts- und Rahmendaten der Systeme ermöglicht wird, da nur er auf die hierfür erforderlichen Daten zugreifen kann.“
Externe Dienstleister kontrollieren
Da der Selbstbetrieb – auch nach Einschätzung der DSK – für kleine Institutionen eine große Herausforderung sein kann, ist der Einsatz eines externen Dienstleisters denkbar.
Dafür müssen die Unternehmen, Behörden und anderen Organisationen einen Vertrag zur Auftragsverarbeitung nach Artikel 28 Abs. 3 der Datenschutzgrundverordnung (DSGVO) abschließen. Und sie müssen die angebotene Software auf Datenabflüsse an den Hersteller und dritte Stellen untersuchen.
Vorsicht bei US-Produkten
Auch ein Vertrag mit bestehenden Online-Diensten wie Skype, Zoom oder Microsoft Teams ist möglich.
Da diese bekanntesten Videokonferenzdienste von US-Anbietern stammen, empfiehlt die DSK auf den Seiten 7 und 8 der Handreichung jedoch dringend „die Nutzung von Videokonferenzprodukten US-amerikanischer Anbieter sorgfältig zu prüfen“.
Ein angemessener Schutz der in die USA übermittelten Daten stehe nach dem sogenannten „Privacy Shield“-Urteil des Europäischen Gerichtshofs nicht mehr zur Verfügung.
Auch bei Verwendung der alternativen Standardvertragsklauseln müsse die Institutionen zusätzliche Maßnahmen ergreifen.
So sollen Verantwortliche sicherstellen, „dass für diese Daten auch bei und nach ihrer Übermittlung ein im Wesentlichen gleichwertiges Schutzniveau wie das in der EU gewährleistet wird.“
Verantwortlichkeiten klar verteilen und kritische Punkte klären
Im nächsten Kapitel „Rechtliche Anforderungen“ geht die Orientierungshilfe detailliert darauf ein, wie die Rollen und Verantwortlichkeiten der Beteiligten schon vor dem Betrieb des Videokonferenzdienstes klar verteilt und eindeutig festgelegt werden müssen, um die DSGVO einzuhalten. Zwei Punkte sieht die DSK bei den rechtlichen Anforderungen in der Praxis besonders kritisch:
Zweifelhafte Freiwilligkeit
Wer an einer Videokonferenz teilnimmt, sollte dies freiwillig tun. „Gerade im beruflichen oder im schulischen Kontext ist die Freiwilligkeit oftmals zweifelhaft“, heißt es dazu auf Seite 10 der Handreichung.
„Insbesondere dann, wenn Informationen, die für die Durchführung der beruflichen Tätigkeit oder für den Schulunterricht unverzichtbar sind, ausschließlich im Rahmen einer Videokonferenz mitgeteilt werden.“
Mangelhafte Privatsphäre im Homeoffice
Wer im Homeoffice an einer Videokonferenz teilnimmt, muss vor Einblicken in seine Privatsphäre geschützt werden.
Es „stellt sich das Problem, dass andere Teilnehmende ohne Einwilligung der Beschäftigten keine Einblicke in deren Privatsphäre durch Bild oder Ton erhalten dürfen,“ betont die DSK auf den Seiten 11 und 12 der Orientierungshilfe.
Das Gremium empfiehlt deshalb, dass Arbeitgeber neutrale virtuelle Hintergründe zur Verfügung stellen, damit es nicht zu einer „unvorteilhaften Kameraausrichtung“ kommt. Und auch die „Mitnahme der Geräte in ungeeignete oder von Dritten belegte Räume“ und „das unvorbereitete optische und/oder akustische Erscheinen Dritter in der Videokonferenz“ sei zu vermeiden.
Mehr Informationen:
- Orientierungshilfe Videokonferenzsysteme als PDF-Datei: https://www.tlfdi.de/mam/tlfdi/gesetze/orientierungshilfen/oh-videokonferenzsysteme_final.pdf
- Pressemitteilung des Thüringer LfDI als PDF-Datei: https://www.tlfdi.de/mam/tlfdi/presse/201030_pm_zu_oh_videokonferenzsysteme.pdf