sepy - stock.adobe.com
Videokonferenzen: Die Anforderungen an den Datenschutz
Die deutschen Aufsichtsbehörden für den Datenschutz haben Anforderungen an Videokonferenzsysteme formuliert, die Unternehmen bei der Auswahl und Nutzung beachten sollten.
Die vermehrte Tätigkeit im Home-Office hat auch die Nutzung von Videokonferenzsystemen, die als Cloud-Dienst über das Internet angeboten werden, deutlich ansteigen lassen. Zahlreiche Umfragen zeigen, dass sich die Entwicklung hin zu Remote Work nicht vollständig umkehren wird, sondern dass es längerfristig Online-Videokonferenzen geben wird, als Alternative zu persönlichen Treffen oder als Teil hybrider Events.
Auch wenn eine nur temporäre Nutzung schon die Frage nach dem Datenschutz bei Online-Videokonferenzsystemen berechtigt, macht die Aussicht, dass auf lange Sicht hin zahlreiche Videokonferenzen über das Internet stattfinden werden, den Blick auf den Datenschutz noch wichtiger.
Die Datenschutzkonferenz (DSK), bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, hat sich der Fragen nach dem Datenschutz bei Videokonferenzsystemen angenommen. Unternehmen erhalten eine Orientierungshilfe, worauf sie bei der Auswahl, aber auch bei der Nutzung von Videokonferenzsystemen und -Diensten achten sollten, damit die Vorgaben der Datenschutz-Grundverordnung (DSGVO) umfassend erfüllt werden.
Orientierungshilfe Videokonferenzsysteme
Die Orientierungshilfe Videokonferenzsysteme der DSK beschreibt, welche technischen und organisatorischen Maßnahmen von Unternehmen, Behörden und andere Organisationen umzusetzen sind. Angesprochen sind sowohl Verantwortliche, die einen Videokonferenzdienst selbst betreiben oder von Dienstleistern betreiben lassen, als auch Nutzer von Videokonferenzsystemen, die als Online-Dienst angeboten werden. Die Orientierungshilfe wird ergänzt durch eine Checkliste, die die rechtlichen und technischen Anforderungen an Videokonferenzsysteme zusammenfasst.
Anlass für die Erstellung der Orientierungshilfe und die dazugehörige Checkliste waren zunehmend Unsicherheiten bei den Anwendern und Verantwortlichen im Zusammenhang mit dem Einsatz von Videokonferenzsystemen, wie zum Beispiel die Landesbeauftragte für den Datenschutz Niedersachsen erklärt.
Die Landesdatenschützer beantworten auch die Frage, warum denn der Datenschutz bei Videokonferenzen berührt wird: Bei der Nutzung von Videokonferenzsystemen werden personenbezogene Daten der teilnehmenden Personen sowie gegebenenfalls von Dritten verarbeitet, unter anderem deren Äußerungen in Ton und Bild. Für diese Datenverarbeitung benötigt der für die Durchführung der Videokonferenz Verantwortliche eine Rechtsgrundlage.
Ein weiterer Punkt ist zu beachten, wenn eine Videokonferenz als Dienstleistung, also insbesondere als Cloud-Dienst genutzt wird, was gerade in Home-Offices und zur Ermöglichung von Remote Work in großem Umfang geschieht.
Wird ein Videokonferenzdienst-Provider genutzt, der personenbezogene Daten auch für eigene Zwecke oder Zwecke Dritter nutzen will, ist eine Rechtsgrundlage für die damit verbundene Offenlegung der Daten regelmäßig schwierig zu begründen, so die Aufsichtsbehörden.
Gegenüber einem Auftragsverarbeiter ist daher im Auftragsverarbeitungsvertrag sicherzustellen, dass dieser die personenbezogenen Daten der teilnehmenden Personen nur auf Weisung des Verantwortlichen und nicht für eigene Zwecke verarbeitet.
Zudem sind die Verantwortlichen zur Datenminimierung nach DSGVO verpflichtet. Es dürfen nur die personenbezogenen Daten verarbeitet werden, die zur Zweckerreichung erforderlich sind. Dieser Grundsatz ist bereits bei der Auswahl sowie bei Einrichtung und Betrieb eines Videokonferenzsystems zu beachten, betonen die Aufsichtsbehörden.
Datenschutz bei Online-Videokonferenzen
Ergänzend weist der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern auf folgendes hin: Die Bereitstellung von Videokonferenz-Diensten erfolgt häufig im Rahmen einer Auftragsverarbeitung nach Artikel 28 DSGVO.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte im Juli 2020 Ergebnisse einer Kurzprüfung von Videokonferenzdiensten veröffentlicht. Schwerpunkt der Kurzprüfung betraf die Rechtskonformität der von den Anbietern angebotenen Auftragsverarbeitungsverträge. Die Bewertung erstreckte sich ausschließlich auf Dienste, die Videokonferenzen als Software-as-a-Service (SaaS) anbieten.
Die Untersuchung zeigte, dass sich jedenfalls zum damaligen Zeitpunkt viele der Anbieter die Verarbeitung von Auftragsdaten für eigene Zwecke vorbehalten haben. Hier ist also Vorsicht angezeigt.
Neben den rechtlichen Fragen gilt es, für die notwendige technische und organisatorische Sicherheit zu sorgen. Bereiche, in denen Maßnahmen getroffen werden sollten, umfassen die Sicherheit der Übertragung, die Authentifizierung der Nutzer (abhängig von dem Risiko beziehungsweise Schutzbedarf der Daten), die gegebenenfalls notwendige Installation und Aktualisierung (die auch Browser-Erweiterungen betrifft, die oft für Online-Videokonferenzen heruntergeladen werden), die Rollentrennung, die Datenminimierung, die Transparenz, die Aufzeichnung von Inhalten und die Intervenierbarkeit, sprich: Teilnehmende müssen die technische Möglichkeit haben, zumindest zeitweise an Konferenzen lediglich empfangend, aber nicht sendend teilzunehmen, das heißt Kamera und Mikrofon auszuschalten, wobei getrennte Deaktivierungsmöglichkeiten für Audio-und Videoübertragung vorzusehen sind.
Datenschutzprüfungen richtig angehen
Unternehmen sollten nun die Nutzung von Videokonferenzsystemen und -diensten genau hinterfragen, damit der Datenschutz gewährleistet werden kann. Hierzu erklärt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Professor Dieter Kugelmann: „Aus Sicht der Datenschützer sollte sorgfältig geprüft werden, welche Systeme in welcher Form rechtskonform zu betreiben sind. Dabei kommt es insbesondere darauf an, dass für die erhobenen personenbezogenen Daten eine Rechtsgrundlage vorliegt und die Prinzipien der Datensparsamkeit, der Transparenz und der Verschlüsselung nach dem Stand der Technik eingehalten werden.“
Sehr hilfreich ist sicherlich die Checkliste, die die Aufsichtsbehörden veröffentlicht haben. Diese kann beispielsweise beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit heruntergeladen (RTF-Datei) werden.
Zusätzlich sei das Kompendium Videokonferenzsysteme (PDF) des BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlen. Es richtet sich an Entscheider, Planer, Beschaffer, Betreiber, Administratoren, Auditoren und auch Endnutzer, die über Videokonferenz Inhalte beziehungsweise Informationen mit normalem und erhöhtem Schutzbedarf austauschen.