Nachdem wir bereits über datenschutzrechtliche Aspekte bei der Auswahl eines Dienstes für Videokonferenzen informiert haben (https://www.datarea.de/videokonferenzen-datenschutzrechtliche-aspekte-bei-der-auswahl-eines-dienstes/), hat die Datenschutzkonferenz (DSK) nun ihrerseits nachgelegt und das Thema ausführlich mit einer Orientierungshilfe samt zugehöriger Checkliste behandelt.

Vor allem die Checkliste bietet Hinweise darauf, welche Aspekte bei der Auswahl eines Dienstes aus Sicht der Aufsichtsbehörden beachtet werden sollten. Sie kann hier heruntergeladen werden: https://www.datenschutzkonferenz-online.de/orientierungshilfen.html.

I. Verschiedene Modelle für den Betrieb des Konferenztools

 Die Aufsichtsbehörden gehen zunächst davon aus, dass Videokonferenztools auf drei verschiedene Arten betrieben werden können:

1. Selbst betriebener Dienst:

Der Verantwortliche bestreibt den Dienst auf der eigenen Infrastruktur selbst und bestimmt über die Mittel und Zwecke der Verarbeitung. Eine Auftragsverarbeitungsvereinbarung mit einem Dienstleister ist in diesem Fall nicht notwendig.

2. Betrieb durch einen externen Dienstleister

Ein externer Dienstleister betreibt die entsprechende Software. Hier ist eine Auftragsverarbeitungsvereinbarung notwendig. Mögliche Datenübermittlungen an Dritte sind zu überprüfen.

3. Online-Dienst

Die Webkonferenzen werden über einen reinen Web-Dienst durchgeführt. Eine Auftragsverarbeitungsvereinbarung ist notwendig, wenn der Dienstanbieter Daten zudem für seine eigenen Zwecke nutzt ist gegebenenfalls auch eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO zu prüfen.

II. Rechtsgrundlage und Einwilligung

Für jede Datenverarbeitung sollte eine Rechtsgrundlage vorliegen. Beruht die Teilnahme an den Konferenzen auf einer Einwilligung, so sind die Einwilligungen transparent und informiert einzuholen.

III. Teilnahme aus Privatwohnungen

Die Aufsichtsbehörden legen hier auch Wert darauf, dass es Möglichkeiten gibt, die Privatsphäre der Teilnehmer zu schützen, sofern sie aus Privatwohnungen an Videokonferenzen teilnehmen. Dabei ist hier an die Möglichkeit zu denken, den Hintergrund auszublenden oder anderweitig unkenntlich zu machen. Einige Tools bieten diese Möglichkeiten an.

IV. Transparenz, Aufzeichnungen von Videokonferenzen

Bei Aufzeichnungen ist zu prüfen, ob eine Rechtsgrundlage hierfür vorliegt. In den meisten Fällen wird dies eine Einwilligung der Teilnehmer sein.

V. Informationspflichten, Betroffenenrechte und Auftragsverarbeitung

Die wichtigsten Dokumentations- und Transparenzpflichten sind natürlich auch beim Einsatz von Videokonferenztools zu beachten. Die Teilnehmer sind transparent über die Datenverarbeitung aufzuklären. Dies kann mithilfe von Datenschutzhinweisen erfolgen.

Eine Auftragsverarbeitungsvereinbarung muss gegebenenfalls mit den eingesetzten Dienstleistern geschlossen werden. Hier werden auch die Pflichten zur Wahrnehmung von Betroffenenrechten geklärt.

VI. Übermittlung in Drittstaaten

Werden Dienste von Anbietern aus Drittstaaten eingesetzt, ist darauf zu achten, dass eine mögliche Datenübermittlung zulässig ist. Die Daten sollten möglichst auf europäischen Servern gespeichert werden. Ansonsten sollten Standardvertragsklauseln mit den Anbietern abgeschlossen werden.

VII. Technische und organisatorische Maßnahmen

Natürlich legen die Aufsichtsbehörden auch Wert darauf, dass geeignete technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden. Diese sind insbesondere beim Dienstleister zu überprüfen, aber auch in der eigenen Organisation sollten entsprechende Maßnahmen etabliert werden.

Die DSK möchte vor allem, dass folgende Maßnahmen geprüft werden:

• Sicherheit der Übertragung
• Nutzerauthentifizierung
• Softwareaktualisierung
• Rollentrennung
• Datensparsamkeit

VIII. Fazit

Auch wenn die Checkliste häufig ziemlich unkonkret bleibt und keine klaren Vorgaben dazu macht, wann ein Dienst datenschutzkonform eingesetzt werden kann, gibt Sie einen guten Überblick, was allgemein zu beachten ist. Mit dem Abarbeiten der Checkliste lässt sich auf jeden Fall dokumentieren, dass eine Abwägung zum Einsatz eines Videokonferenztools stattgefunden hat. Klar ist aber sicherlich auch, dass nicht nur Tools eingesetzt werden können, die beim Abarbeiten der Checkliste ausschließlich positiv bewertet werden. Sämtliche Bedingungen wird kaum ein Konferenztool erfüllen können.