Videokonferenzen und datenschutzrechtliche Voraussetzungen

Dr. Roland Weinrauch

Dr. Roland Weinrauch

Das Abhalten von unternehmensinternen Konferenzen sowie Besprechungen mit Kunden ist auch Zeiten der Coronakrise erforderlich. Im Home Office haben viele Unternehmen auf den Einsatz von Videokonferenzen gesetzt. Durch die Vermeidung des physischen Kontakts wird zum einen das Ansteckungsrisiko vermieden. Darüber hinaus bietet das Abhalten von Konferenzen über elektronischen Weg auch ökonomische Anreize, welche sich insbesondere durch den Wegfall von Reisekosten und –zeit äußern. Aus diesen Gründen ist davon auszugehen, dass Unternehmen auch weiterhin von dem Angebot der Dienste für Online- und Videokonferenzen Gebrauch machen werden. Dabei sind auch rechtliche Voraussetzung zu beachten, wobei nachstehend ein Überblick zu den wesentlichen datenschutzrechtlichen Problemstellungen gegeben werden soll.

Zunächst stellt sich die Frage der Auswahl eines Diensteanbieters, wie zB Skype, Zoom oder Microsoft Teams. Aus datenschutzrechtlicher Sicht liegt zwischen dem Unternehmen, welches Verantwortlicher für die Datenverarbeitung iSd DSGVO ist, und dem Diensteanbieter in der Regel ein Auftragsverarbeitungsverhältnis (Art 28 DSGVO) vor. Der Diensteanbieter (Auftragsverarbeiter) verarbeitet personenbezogene Daten der Mitarbeiter und Kunden des Unternehmens ausschließlich auf dessen Anweisung. Dieses Verhältnis macht den Abschluss einer Auftragsverarbeitungsvereinbarung erforderlich, in welcher die Rechte und Pflichten zwischen dem Verantwortlichen und dem Auftragsverarbeiter näher geregelt werden und welche inhaltlich den Anforderungen des § 28 DSGVO entsprechen muss. In der Praxis werden häufig Dienste von Anbietern aus einem EU-Drittstaat in Anspruch genommen. Werden Daten in einen Staat außerhalb der EU übermittelt, hat der Verantwortliche sicherzustellen, dass ein entsprechendes Datenschutzniveau in diesem Staat gewährleistet ist (Art 44-50 DSGVO). Die DSGVO sieht hier verschiedene Nachweismöglichkeiten vor, wobei in der Praxis häufig mit dem Vorliegen eines Angemessenheitsbeschlusses der EU-Kommission oder einer Privacy-Shield-Zertifizierung (bei US-Anbietern) diesen Anforderungen entsprochen wird. Bei der Auswahl eines Diensteanbieters innerhalb der EU kann auf diese zusätzliche Prüfung grundsätzlich verzichtet werden. Zusätzlich ist darauf zu achten, dass dem Gebot des Datenschutzes durch Technikgestaltung und datenschutzfreundlicher Voreinstellung Rechnung getragen wird (Art 25 DSGVO). Hierfür ist es notwendig, eine vergleichsweise Betrachtung der technischen Einstellungen (insbesondere Datenverschlüsselung, Löschung etc) vorzunehmen und in der Auswahl des Diensteanbieters zu berücksichtigen. Da der Einsatz von Videokonferenzen für die meisten Unternehmen gleichzeitig eine neue Form der Datenverarbeitung bedeutet, sind die betroffenen Personen (Mitarbeiter, Kunden) zudem entsprechend zu informieren (Art 12, 13 DSGVO). In der Regel wird daher eine Anpassung der Datenschutzinformation erforderlich sein. Ebenso ist der Verarbeitungsvorgang gegebenenfalls in das Verarbeitungsverzeichnis aufzunehmen, um dieses aktuell zu halten.