Videokonferenzen und Datenschutz – Wenn die Orientierung schwerfällt …

Der Winter naht – die Corona-Pandemie ist wieder auf dem Vormarsch. Pünktlich zum zweiten Lockdown in Deutschland, der für viele die Reduzierung tatsächlicher Kontakte und Präsenztermine sowie ein Umstieg auf digitale Kommunikation bedeutet, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) eine „Orientierungshilfe Videokonferenzsysteme“ herausgegeben.

Wie ein Leuchtturm könnte ein solches Papier der nach Digitalisierung trachtenden Wirtschaft den richtigen Weg zu datenschutzkonformer digitaler Kommunikation weisen. Leider ist dies nicht der Fall. Die Orientierungshilfe stellt die richtigen Fragen – beantwortet sie aber nicht verbindlich. Wie bereits im Zusammenhang mit verschiedenen Stellungahmen deutscher Aufsichtsbehörden zum Urteil Schrems-II des Europäischen Gerichtshofs vom 16.07.2020 (FPS berichtete) werden Unternehmen mit einem erheblichen Umfang zu prüfender Punkte alleingelassen.

Zu dem für viele Unternehmen unverzichtbaren Einsatz von Softwarelösungen US-amerikanischer Dienstleister wird von der DSK lediglich festgehalten, dass man den Einsatz vor dem Hintergrund der Schrems-II-Entscheidung kritisch sehe und Unternehmen den Einsatz „sorgfältig zu prüfen haben“. Konkrete zusätzliche Maßnahmen zur Sicherstellung eines angemessenen Datenschutzniveaus beim Einsatz US-amerikanischer Lösungen enthält das Papier jedoch nicht.

Die Bezeichnung „Orientierungshilfe“ mag vor diesem Hintergrund für viele Leser deplatziert wirken. Auch wenn die Ausführungen juristisch überzeugen, verfehlt das Papier deshalb seine Zwecksetzung. Die DSK sollte nicht nur zu der im Konjunktiv geführten juristischen Debatte beitragen, sondern der Praxis umsetzbare Standpunkte der Aufsichtsbehörden verständlich vermitteln. Dazu ist der Mut erforderlich, konkrete Standpunkte zu etablieren und zu kommunizieren. Eine sicherlich schwierige – aber für einen der wichtigsten Player auf der Landkarte des Datenschutzes essentielle Aufgabe.

Genug des einleitenden Geplänkels. Was kann aus der Orientierungshilfe abgeleitet werden? 

1. Wer veranstaltet, ist verantwortlich?

Diese These scheint so simpel und ist doch so komplex. Nach Art. 4 Nr. 7 DSGVO ist datenschutzrechtlich verantwortlich, wer die Zwecke und Mittel der Datenverarbeitung festlegt. In der Regel sei dies laut DSK der „Veranstalter“ einer Videokonferenz. In der Praxis dürfte die Einordnung nicht immer einfach sein.

Ist „Veranstalter“,

  • wer die Konferenz vorschlägt,
  • wer zu ihr einlädt,
  • wer die Plattform zur Verfügung stellt,
  • oder auf wessen Veranlassung die Videokonferenz überhaupt stattfindet (z.B. weil einem Kunden oder Mandanten das Gespräch über „sein“ Anliegen via Videokonferenz angeboten wird)?

Die Bestimmung des Verantwortlichen ist keine triviale Frage, denn im Zuge einer Videokonferenz kann es zur Verarbeitung einer Vielzahl personenbezogener Daten kommen.

Beispielsweise:

  • Teilnehmerdaten (Name, E-Mail-Adresse),
  • inhaltliche Äußerungen (in Wort und Schrift z.B. via Chat),
  • die Übertragung von Ton und Bild (der Teilnehmer aber auch ihrer Umgebung),
  • Inhalte geteilter Bildschirme,
  • aber auch Metadaten (Arbeitszeiten, Arbeitsleistungen, berufliche Kontakte und sonstige Zusammenhänge).

2. Wer verantwortlich ist, informiert!

In jedem Fall sollte stets vorab klargestellt werden, wer der datenschutzrechtlich verantwortliche „Veranstalter“ ist. Denn für den Veranstalter gibt es einige wichtige Punkte zu berücksichtigen. Weitere Details hierzu finden Sie in unserem Blog-Beitrag zu Videokonferenzen und Homeoffice.

Nach unserer Erfahrung setzen viele Unternehmen insbesondere ihre Informationspflichten aus Art. 13 bzw. 14 DSGVO nicht oder nur unzureichend um. Dabei ist dieser Punkt vergleichsweise einfach abzuhaken. So kann beispielsweise eine Datenschutzerklärung erstellt werden, die man den Teilnehmern vor Durchführung der Konferenz (z.B. mit der Einladung) übermittelt. Wichtig ist bei der Erstellung der Datenschutzerklärung die Nutzung einfacher Formulierungen, die Vermeidung technischer und juristischer Fachbegriffe sowie das Voranstellen einer Gliederung, die es ermöglicht, per Click gezielt Informationen zu einen bestimmten Thema (Datenübermittlung an Dritte) zu erlangen.

3. Der verantwortliche Arbeitgeber

Führt ein Unternehmen ein Videokonferenztool zur Nutzung durch seine Beschäftigten ein, bietet es sich gerade in Zeiten zunehmender Remote- und Homeoffice-Tätigkeit zudem an, regelungsbedürftige Punkte in einer Betriebs- bzw. Dienstvereinbarung zu konsolidieren.

Darin können beispielsweise folgende Eckpunkte geregelt werden:

  • Information der Beschäftigten über die Datenverarbeitungen im Zusammenhang mit Videokonferenzen
  • Verhaltensregeln (z.B. Verbot der Kommunikation von Gesundheitsdaten)
  • Freiwilligkeit der Bildübertragung
  • Vorgaben zur Positionierung der Kamera bei Bildübertragung
  • Verpflichtung zur Nutzung vorgefertigter Hintergründe
  • Maßnahmen gegen die Aufzeichnung optischer oder akustischer Auftritte Dritter (Lebenspartner, Mitbewohner etc.)
  • Verbot heimlicher Mitschnitte und Belehrung über Folgen bei Verstößen
  • Besondere Bestimmungen für die Aufzeichnung von Videokonferenzen

4. Fazit

Die Implementierung eines Videokonferenztools ist für Unternehmen nicht mehr nur eine kommerzielle bzw. technische Frage, sondern auch ein (datenschutz-)rechtlicher Umsetzungs- und Balanceakt. Die Orientierungshilfe der DSK kann dabei als erste Übersicht der zu berücksichtigenden Punkte herangezogen werden. Insbesondere bei technischen und organisatorischen Sicherheitsanforderungen ist die Orientierungshilfe erfreulich konkret.

Begrüßenswert wäre gewesen, wenn die DSK auch eine ungefähre Einordnung der am Markt verfügbaren Lösungen vorgenommen hätte. Die Berliner Datenschutzaufsicht setzte sich bereits im Juli diesen Jahres mit den Auftragsverarbeitungsverträgen diverser Anbieter auseinander – das Ergebnis war verheerend. Auf diesem Papier hätte die DSK beispielsweise aufsetzen können, um (1.) offene Fragen zu beantworten und (2.) eine für das gesamte Bundesgebiet einheitlich vertretene Auffassung zu fixieren. Denn nur wenige Unternehmen haben die Möglichkeit, ein eigenes Videokonferenztool zu entwickeln und zu betreiben bzw. betreiben zu lassen. Viele – insbesondere kleinere und mittelständische Unternehmen – sind auf standardisierte Lösungen von Drittanbietern angewiesen. Diese Unternehmen werden mit einem umfangreichen Prüfungsschema und einem Berg offener (Rechts-)Fragen zurückgelassen. Das wirkt abschreckend und trägt nicht zu einer flächendeckenden Umsetzung datenschutzrechtlicher Vorgaben bei.

Bei allen rechtlichen Fragen rund um das Thema Corona-Virus helfen wir Ihnen gerne!

Besuchen Sie die Website: https://fps-law.de/corona-task-force/

Schreiben Sie uns: taskforce20@fps-law.de

Author