Videokonferenzen und Datenschutz – was ist zu beachten?

19.11.2020

Die Covid19-Pandemie und damit einhergehende Kontaktbeschränkungen haben die Bedeutung von Videokonferenzen in verschiedenen Kontexten immens erhöht. Nicht nur Unternehmen nutzen Videokonferenzen zur internen und kundenseitigen Abstimmung, auch für die Aufrechterhaltung des Schulbetriebs oder im öffentlichen Bereich stellen sie mittlerweile ein unverzichtbares Kommunikations-Tool dar. Gerade weil Videokonferenzen in diesen Zeiten so wichtig sind, ist sich auch mit den hiermit einhergehenden Risiken auseinanderzusetzen.

So werden je nach genutztem Funktionsumfang im Rahmen von Videokonferenzen umfangreich personenbezogene Daten generiert und verarbeitet. Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bunds und der Länder, „DSK) hat aus diesem Grund am 23.10.2020 eine hilfreiche Orientierungshilfe veröffentlicht. Wir stellen hier die wesentlichen Inhalte dar und erläutern diese. In Ergänzung hierzu findet sich auf der Webseite des Landesbeauftragten für Datenschutz und Informationsfreiheit NRW eine zusammenfassende Checkliste sämtlicher Anforderungen.

Datenverarbeitung durch Videokonferenzen

Im Rahmen von Videokonferenzen werden eine Vielzahl unterschiedlicher personenbezogener Daten verarbeitet. Der Umfang erschöpft sich dabei nicht nur in den eigentlichen Inhaltsdaten wie übertragenen Ton- und Bilddaten der teilnehmenden Personen sowie der Umgebung wie die jeweilige Wohnung, der Arbeitsplatz oder sonstige Aufenthaltsorts. Je nach Funktionsumfang sind zusätzlich auch Chatnachrichten oder die Übertragung des eigenen Bildschirms möglich. Weiterhin ist es ebenso denkbar, dass aus diesen Informationen auch weitere Schlüsse gezogen werden wie die Art der Kommunikation, berufliche Kontakte, Arbeitszeiten sowie die Arbeitsleistung.

Anwendbarkeit der Datenschutz-Grundverordnung

Eine häufige Fehlvorstellung im Zusammenhang mit der Datenverarbeitung durch Videokonferenzen betrifft die Frage der Anwendbarkeit der Datenschutz-Grundverordnung („DS-GVO“). Der Umstand, dass eine Vielzahl der marktbeherrschenden Videokonferenzsysteme außerhalb Europas gehostet werden, führt nicht zur Unanwendbarkeit der DS-GVO. Vielmehr wurde mit Art. 3 Abs. 2 DS-GVO das sogenannte Marktortprinzip etabliert, welches die Anwendbarkeit der DS-GVO auch für außerhalb der EU niedergelassene Anbieter regelt.

Auftragsverarbeitung?

Die Inanspruchnahme von Videokonferenz-Diensten kann den Abschluss eines Vertrages zur Auftragsverarbeitung nach Art. 28 DS-GVO erforderlich machen. Grundsätzlich sind entsprechende Verträge abzuschließen, wenn personenbezogene Daten im Auftrag eines Verantwortlichen durch einen Dritten verarbeitet werden. So verhält es sich auch häufig in diesem Zusammenhang. Die DSK stellt klar, dass die Unternehmen, die entsprechende Videokonferenzdienste nutzen, für die Datenverarbeitung verantwortlich sind, da sie maßgeblich die diesbezüglichen Zwecke bestimmen. Sofern eine Konferenzplattform nicht ausnahmsweise selbst betrieben wird, werden häufig die Dienste Dritter in Anspruch genommen.

Da die Datenverarbeitung des Dienstleisters hier eng an die auftragsbezogenen Weisungen des Unternehmens gekoppelt ist, liegt nach Ansicht der DSK in der Regel auch eine Auftragsverarbeitung vor. Das Datenschutzrecht fordert in diesem Zusammenhang den Abschluss eines Vertrages zur Auftragsverarbeitung, der die Inhalte des Art. 28 Abs. 3 DS-GVO umfassen muss.

Gemeinsame Verantwortlichkeit?

Die DSK hebt hervor, dass unter Umständen auch eine sogenannte gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO vorliegen könnte, wenn der Betreiber der Videokonferenzplattform die Daten auch zu eigenen Zwecken nutzt. Eine ähnliche Wertung hat die DSK auch im Zusammenhang mit Google Analytics mit der Begründung vorgenommen, dass bei einer zusätzlichen Verarbeitung der Daten zu eigenen (Werbe-)Zwecken die Datenverarbeitung nicht mehr nur im Auftrag erfolge. Die einzelnen Aspekte der Datenverarbeitung durch Google Analytics können dann auch nicht isoliert betrachtet und bewertet werden, da sie einen „einheitlichen Lebenssachverhalt“ betreffen würden. Die Konsequenz einer solchen Betrachtungsweise ist, dass das Unternehmen und der Dienstleister einen Vertrag nach Art. 26 DS-GVO zur gemeinsamen Verantwortlichkeit abzuschließen hätte. Ob dieses jedoch tatsächlich der Fall ist, muss immer anhand des Einzelfalles geprüft werden.

Zulässigkeit der Datenverarbeitung

Jede Verarbeitung personenbezogener Daten ist durch eine Rechtsgrundlage zu rechtfertigen. Die DSK stellt in diesem Zusammenhang fest, dass die Zulässigkeit der Datenverarbeitung bei Videokonferenzplattformen in der Regel gegeben ist, die einschlägige Rechtsgrundlage jedoch wiederum am Einzelfall zu identifizieren ist. Je nach Kontext der Verarbeitungssituation kann diese in Art. 6 Abs. 1 lit. a, b, e, f DS-GVO oder in Beschäftigungsverhältnissen auch in § 26 Abs. 1 BDSG zu sehen sein.

Von einer Einwilligung ist jedoch gerade im beruflichen oder im schulischen Kontext abzuraten. Die Nutzung von Videokonferenzen in diesen Verarbeitungssituationen liegt wegen fehlender Freiwilligkeit gerade nicht in der alleinigen Entscheidungsbefugnis der betroffenen Personen, sondern ist in der Regel verpflichtender und erforderlicher Bestandteil zur Erfüllung der Arbeitspflichten oder Schulpflicht.

Eine Weiterverarbeitung zu anderen Zwecken durch den Anbieter oder Dritte erfordert eine neue Rechtsgrundlage, die zudem an den engen Voraussetzungen der Zweckbindung nach Art. 5 Abs. 1 lit. b, Art. 6 Abs. 4 DS-GVO zu messen ist.

Übermittlung in Drittländer?

Eine zusätzliche datenschutzrechtliche Rechtfertigung ist erforderlich, wenn die Daten in Drittländer, also in Länder außerhalb der EU oder des Europäischen Wirtschaftsraums übermittelt werden. Dann sind auch die besonderen Bedingungen der Art. 44 ff. DS-GVO einzuhalten. Wichtig ist in diesem Zusammenhang, dass mit dem Urteil C-311/18 (Schrems II) der Beschluss der EU-Kommission zum sogenannten EU-U.S. Privacy Shield für ungültig erklärt wurde, was wiederum für sämtliche in den US gehosteten Konferenzsysteme von Bedeutung sein kann. Alternativ ließe sich der Datentransfer auch durch die Standarddatenschutzklauseln der EU-Kommission rechtfertigen, die der Verantwortliche mit dem Anbieter abzuschließen hätte. Allerdings sind nach dem Meinungsbild des Europäischen Datenschutzausschusses vom 10. November 2020 auch diese Klauseln durch zusätzliche Garantien, die der Datenempfänger im Drittland abzugeben hat, anzupassen. Unsere Einschätzung zur Stellungnahme des Europäischen Datenschutzausschusses vom 10. November 2020 finden Sie hier.

Die Europäische Kommission hat am 12. November 2020 einen Vorschlag für neue Standarddatenschutzklauseln veröffentlicht. Sollte dieser Entwurf angenommen werden, sind bestehende Standarddatenschutzklauseln innerhalb eines Jahres zu überarbeiten und auf den dann neuen Stand zu bringen. Unsere diesbezügliche Einschätzung find Sie hier.

Gesundheitsdaten

Eine besondere Situation liegt vor, wenn im Rahmen von Videokonferenzen sogenannte besondere Kategorien personenbezogener Daten nach Art. 9 DS-GVO wie etwa Religions- oder Gesundheitsdaten verarbeitet werden. Dieses sei bereits dann der Fall, wenn in einer Videokonferenz Themen mit entsprechenden Bezügen bestehen, etwa im Religionsunterricht oder Theologiestudium. Da die Zulässigkeitsvoraussetzungen der Datenverarbeitung nach Art. 9 DS-GVO sehr viel enger formuliert sind als in Art. 6 Abs. 1 DS-GVO, kann sich insbesondere für Gesundheits- und Religionsdaten eher das Erfordernis einer expliziten Einwilligung nach Art. 9 Abs. 2 lit. a DS-GVO ergeben. Problematisch ist allerdings auch in diesem Zusammenhang die Freiwilligkeit der Einwilligung, die jedoch von der DSK für solche Fälle nicht weiter thematisiert wird.

Technische und organisatorische Maßnahmen

Ein weiteres wichtiges Thema betrifft die Sicherheit der Datenverarbeitung nach Art. 32 DS-GVO durch Implementierung technischer und organisatorischer Maßnahmen. Als wesentliche Maßnahmen identifiziert die DSK für Videokonferenzen eine wirksame Verschlüsselung, Authentifizierungsmechanismen, Softwareaktualisierungen sowie die Zuweisung von Rollen innerhalb der Videokonferenzsysteme.

Erforderlich sei nach der DSK zuvorderst die Implementierung einer Verschlüsselung nach dem Stand der Technik, die sich an den diesbezüglichen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) orientieren sollte. Die DS-GVO schreibt dabei keine konkrete technische Lösung oder Schutzstandard fest. Vielmehr ist die Wirksamkeit der technischen Lösung nach dem risikobasierten Ansatz zu bestimmen. Je sensitiver die verarbeiteten Daten sind, desto wirksamere Verschlüsselungsmethoden sind zu wählen. Zu beachten ist, dass bei einzelnen Videokonferenz-Anbietern die Verschlüsselung nicht voreingestellt ist, sondern explizit durch den Nutzer einzustellen ist.

Weiterhin sollen nach der DSK nur berechtigte Personen auf die Videokonferenzen und die hierbei verarbeiteten Daten zugreifen können. Auch in diesem Zusammenhang hängt die Mindeststärke der Authentisierung von der Schwere der Risiken für die betroffenen Personen ab, die sich bei Bruch der Vertraulichkeit oder Integrität ergeben können. Wert gelegt werden sollte durch den Verantwortlichen dabei auf eine konsistente Verwaltung der Nutzungsberechtigungen. Die DSK schlägt in diesem Zusammenhang die Abstufung nach Admins, moderierende Personen, präsentierende Personen sowie einfache Teilnehmer und die Festlegung korrespondierender Berechtigungen vor.

Heimliches Mitschneiden

Unbedingt ist das heimliche Mitschneiden von Videokonferenzen zu unterlassen, da dieses eine Straftat darstellt, worüber sämtliche Nutzer wiederum belehrt werden sollten. Soweit möglich, sollte nach der DSK die Möglichkeit der Aufzeichnung durch bloß teilnehmende Personen technisch unterbunden werden. Die ausnahmsweise Aufzeichnung dürfe nur durch besonders privilegierte Nutzer wie Moderatoren durchgeführt werden. Unbedingt erforderlich sei auch ein expliziter Hinweis an alle anwesenden Teilnehmer über den Umstand der Aufzeichnung.

Informationspflichten

Als datenschutzrechtliche Grundpflicht kann die Gewährleistung von Transparenz durch die Erfüllung von Informationspflichten nach Art. 13, 14 DS-GVO gesehen werden. Die DSK weist darauf hin, dass alle Teilnehmer Zugang zu diesen Informationen haben müssen. Hierzu zählen insbesondere Informationen über die Zwecke und die Rechtsgrundlage der Datenverarbeitung, Art der verarbeiteten personenbezogenen Daten, Anbieter des Videokonferenzdienstes sowie Speicherfristen und geplante Übermittlungen in sogenannte Drittländer. Hierbei sollten zu komplexe Formulierungen und technische oder juristische Fachbegriffe vermieden werden.

Weitere datenschutzrechtliche Pflichten

Weitere datenschutzrechtliche Erfordernisse sind die Aktualisierung des Verarbeitungsverzeichnisses nach Art. 30 DS-GVO, die Erfüllung von Meldepflichten nach Art. 33, 34 DS-GVO sowie die Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO, sofern diese erforderlich ist.

Fazit und Ausblick

Die Orientierungshilfe der DSK stellt einen guten Überblick über die relevanten datenschutzrechtlichen Pflichten bei der Nutzung von Videokonferenzsystemen dar. Da entsprechende Anbieter sich überwiegend in den USA befinden, sollten insbesondere die Vorgaben zum Drittlandtransfer geprüft werden. Da sich die pandemisch bedingten (technischen) Veränderungen für Beschäftigte und Unternehmen voraussichtlich längerfristig nicht ändern werden, sollte die Erfüllung der datenschutzrechtlichen Vorgaben als notwendige Investition für Zukunft verstanden werden.