Datenschutz bei virtuellen Meetings: Kriterien zur Auswahl DSGVO-konformer Konferenz-Tools
Bei der Arbeit im Home-Office, der Kommunikation mit Kund:innen und Partner:innen oder der Organisation von Konferenzen hat die Nutzung virtueller Konferenztechnologien an Bedeutung gewonnen. Die COVID-19-Pandemie und die daraus resultierenden Reisebeschränkungen sowie Social Distancing haben das Kommunikations- und Arbeitsverhalten nachhaltig verändert.
Allerdings sind bei der Auswahl von Konferenztechnologien Datenschutzrichtlinien besonders wichtig, da hier Risiken wie das Mithören durch Dritte, unberechtigte Aufzeichnungen und Datenschutzverstöße aufgrund der Übermittlung personenbezogener Daten bestehen. In diesem Blogbeitrag wird thematisiert, wie passende Konferenztechnologie für Arbeitsabläufe gefunden werden kann, um Meetings und Konferenzen in Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) zu gestalten.
Die Liste von Konferenz- und Kommunikationstools ist lang: Neben bekannten und etablierten Konferenztechnologien wie Zoom oder Cisco gibt es Live-Streaming-Plattformen wie YouTube Live oder Vimeo, interaktive Plattformen wie Slack, Microsoft Teams, Mural oder VR-Plattformen wie Gather.town, Workadventure oder SpatialChat. Bei der Implementierung dieser Tools müssen unterschiedliche Voraussetzungen und Einstellungen hinsichtlich des Datenschutzes erfüllt werden.
Standort und Anbieter des Tools
Ein erster Anhaltspunkt bei der Auswahl eines geeigneten Tools sind der Standort und der Anbieter. Grundsätzlich sind EU-basierte Dienste und Anbieter vorzuziehen, da diese direkt den Vorgaben der DSGVO unterliegen.
On-Premise-Lösungen
Empfehlenswert sind außerdem sogenannte On-Premise-Lösungen (auch ‚self-hosted‘ genannt), bei denen die Videokonferenz-Software auf eigenen Servern läuft. Diese Lösungen bieten den Vorteil, dass Sie die vollständige Kontrolle über die Daten haben und sicherstellen können, dass alle Datenschutzrichtlinien eingehalten werden.
Anbieter aus Drittländern
Wenn Sie Produkte von Anbietern aus Drittländern verwenden – beispielsweise aus den USA –, müssen Sie sicherstellen, dass das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO). Hierzu gibt es mehrere Ansätze:
- Angemessenheitsbeschlüsse der EU-Kommission: Für bestimmte Standorte hat die EU-Kommission ein ‚angemessenes‘ Datenschutzniveau festgehalten, zum Beispiel für die Schweiz, für Neuseeland, Andorra, Argentinien, Japan, Kanada und Israel. → mehr erfahren
- Standard Contractual Clauses (SCC): Existiert kein Angemessenheitsbeschluss, muss die Einhaltung eines gleichwertigen Datenschutzniveaus vertraglich vereinbart werden. Bei SCC handelt es sich um von der EU-Kommission vorgegebene Vertragsklauseln, die sicherstellen sollen, dass bei der Übermittlung personenbezogener Daten in Drittländern ein angemessenes Datenschutzniveau eingehalten wird. → mehr erfahren
Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO
Anbieter von Videokonferenz-Tools gelten in der Regel als Auftragsverarbeiter. Als solche werden Dienstleister bezeichnet, die personenbezogene Daten Ihrer Kund:innen oder Mitarbeiter:innen entsprechend Ihren Weisungen verarbeiten. Mit dem Anbieter Ihres Videokonferenz-Tools müssen Sie einen Auftragsverarbeitungsvertrag (AVV) (gem. Art. 28, 29 DSGVO) abschließen, da in diesem die personenbezogenen Daten der Teilnehmer:innen verarbeitet werden.
In einem AVV werden unter anderem die Standardvertragsklausel sowie geeignete technische und organisatorische Maßnahmen (TOMs) festgelegt. Bei TOMs handelt es sich um Maßnahmen, die sicherstellen sollen, dass personenbezogene Daten geschützt sind. Sie umfassen beispielsweise Verschlüsselung, Zugriffskontrollen und Backup-Verfahren.
Es ist unerlässlich, die Datenschutzbeauftragten Ihrer Einrichtung zu konsultieren, um sicherzustellen, dass alle Anforderungen erfüllt sind.
Beteiligung des Betriebsrats bei der Nutzung von Online-Konferenz-Tools
Falls ein Betriebsrat oder Personalrat vorhanden ist, muss er beteiligt werden, wenn durch das Online-Konferenz-Tool beispielsweise die Teilnahme oder die Login-Daten der Mitarbeiter:innen überwacht werden können. Dies ist gemäß § 87 Abs. 1 Nr. 6 BetrVG zwingend erforderlich.
Datenschutzhinweise
Sie sind verpflichtet, die Teilnehmer:innen umfassend über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten gemäß Art. 12, 13 DSGVO zu informieren. Es empfiehlt sich, diese Informationen in die reguläre Datenschutzerklärung zu integrieren und per Link auf den Login-Seiten oder in den Einladungen zu Online-Meetings zur Verfügung zu stellen.
In der Datenschutzerklärung sollten Sie über die Nutzung von Videokonferenzdiensten und die damit einhergehende Verarbeitung personenbezogener Daten informieren. Dazu gehören Informationen zu folgenden Punkten: Verwendete Tools, gegebenenfalls Kontaktdaten der Datenschutzbeauftragten, Zweck der Verarbeitung der Daten, Anschrift des Anbieters, Zeiraum der Speicherung von Daten, Informationen zu AVV mit dem Dienstleister usw.
Fazit
Richtig aufgesetzt und angewendet können Konferenz- oder Kommunikationstechnologien zur effizienten Arbeitsgestaltung beitragen, insbesondere in Zeiten, in denen Home-Office und virtuelle Zusammenarbeit zur Norm geworden sind. Die sorgfältige Auswahl und Implementierung dieser Tools unter Berücksichtigung von Datenschutzbestimmungen, wie der DSGVO, ist unerlässlich, um rechtliche Risiken zu minimieren und das Vertrauen der Teilnehmer:innen zu wahren.
Beratung und Unterstützung
Sie haben schon eine konkrete Veranstaltung in Planung und brauchen Unterstützung?
Gerne beraten wir Sie in einem persönlichen Gespräch zu allen Aspekten virtueller und hybrider Veranstaltungen – sei es für den allgemeinen Gedankenaustausch, die Entwicklung spezifischer Veranstaltungsformate oder die Lösung eines konkreten Problems. → Mehr erfahren
... arbeitet als wissenschaftliche Mitarbeiterin im Lab Nicht-Textuelle Materialien an der TIB. // ... works as Research Assistant in the Lab Non-Textual Materials at TIB.