Zum Inhalt springen Zur Navigation springen
Videokonferenz-Tools: Datenschutz bei Auswahl beachten

Videokonferenz-Tools: Datenschutz bei Auswahl beachten

Der Einsatz von Videokonferenz-Tools zur Zusammenarbeit im Unternehmen ist praktisch und erfreut sich immer größerer Beliebtheit. Wir zeigen auf, was Unternehmen hier datenschutzrechtlich zu beachten haben.

Bieten Videokonferenzanbieter Telekommunikationsdienste an?

Lange Zeit war rechtlich umstritten, ob over-the-top (OTT) Kommunikationsdienste, die Video- und Audioinhalten über das Internet übertragen, unter die Definition des Telekommunikationsdienstes fallen und somit deren Regelungen unterliegen. Am 01. Dezember 2021 ist eine Neufassung des Telekommunikationsgesetzes (TKG) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten, um den im Jahr 2018 verabschiedeten Europäischen Kodex für die elektronische Kommunikation und die 2009 erweiterte ePrivacy-Richtlinie der EU (ePrivacy-RL) in nationales Recht umzusetzen.

Eine Auswirkung der Gesetzesänderung und des neuen Gesetzes betrifft die Einordnung der Videokonferenzanbieter (Zoom, MS-Teams, etc.). Die Auslegung der entsprechenden Definitionen lässt darauf schließen, dass Videokonferenzen nun als Telekommunikation im Sinne des TKG und des TTDSG (§§ 3 bis 18) betrachtet werden können (§ 1 II TKG), da sie eine interpersonelle Kommunikation nach § 3 Nr. 24 TKG ermöglichen und somit unter die Definition des Telekommunikationsdienstes nach § 3 Nr. 61 TKG fallen.

Unklares Verhältnis zwischen e-Privacy Richtlinie und DSGVO

Die ePrivacy-Richtlinie diente als Ergänzung zur damals noch gültigen Datenschutzrichtlinie und hatte Vorrang vor deren Regelungen, da sie im speziellen Datenschutzfragen im Zusammenhang mit elektronischer Kommunikation behandelt.  Ursprünglich sollte eine Neufassung der ePrivacy-RL als Verordnung gleichzeitig mit der DSGVO in Kraft treten. Durch deren nicht erfolgte Novellierung besteht aktuell ein unklares Verhältnis zwischen den unmittelbar wirksamen Vorschriften der DSGVO und den speziellen Regelungen der ePrivacy-RL sowie welche Vorschriften vorranging anzuwenden sind.

Der Gesetzgeber regelte im Art. 95 DSGVO lediglich, dass die DSGVO natürlichen oder juristischen Personen

„in Bezug auf die Verarbeitung in Verbindung mit Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste in öffentlichen Kommunikationsnetzen keine zusätzlichen Pflichten“ auferlegen soll.

Es stellt sich jedoch die Frage, wie mit Situationen umzugehen ist, in denen die ePrivacy-RL (bewusst oder unbewusst) keine Pflichten auferlegt, jedoch solche nach der DSGVO bestehen würden. Sind die Vorschriften der DSGVO dann anwendbar? Ein Beispiel hierfür wären die Vorgaben zur Auftragsdatenverarbeitung (ADV) nach Art. 28 DSGVO. Die ePrivacy-RL kennt diese Rechtsfigur nicht und etabliert daher auch keine entsprechenden Vorgaben, etwa wie nach Art. 28 Abs. 3 DSGVO eine Vereinbarung zu treffen ist. Hierbei handelt es sich aber klar um eine Verpflichtung nach der DSGVO, die die Verantwortlichen trifft. Die Frage ist, ob in diesem Fall überhaupt eine „zusätzliche“ oder konkurrierende Pflicht existiert, wenn die ePrivacy-RL diese Pflicht doch gar nicht kennt.

Unterschiedliche Ansichten der Aufsichtsbehörden und mögliche Folgen

Einer Meinung nach bleiben die Bestimmungen der DSGVO neben den in der ePrivacy-RL ausdrücklich geregelten Fällen weiterhin in vollem Umfang anwendbar und werden strikt nach Wortlaut nur von spezifischeren Vorschriften im Wege des Lex-specialis-Grundsatzes verdrängt. So erklärte der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in seinem 51. Tätigkeitsbericht:

„Dieser Vorrang der ePrivacy-Richtlinie gilt nur, soweit die ePrivacy-RL die jeweiligen Rechtsfragen spezifisch regelt. Solche Regelungen enthält die ePrivacy-RL z. B. nicht für die Auftragsdatenverarbeitung (ADV) oder internationalen Datentransfer. Daher gelten auch für Telekommunikationsdienste Art. 28 und 44 ff. DSGVO.“

Einer anderen Meinung nach ist eine spezifischere Regelung auch eine bewusste, fehlende Regelung des Gesetzgebers. Ein Anhaltspunkt für eine solche Entscheidung wäre der Umstand, dass in der ePrivacy-RL Pflichten gegenüber dem Verantwortlichen fehlen, die in der damaligen und vorher verabschiedeten Datenschutzrichtlinie schon existieren. Auch in solchen Fällen sollen die zu den korrespondierenden DSGVO-Pflichten nach Art. 95 DSGVO nicht angewendet werden.

Dieser Auffassung scheint auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (S. 30) (LDI NRW) zu folgen. Demnach sollen Stellen, die Videokonferenzdienste einsetzen, keinen Auftragsverarbeitungsvertrag mehr mit den Videokonferenzanbietern abschließen müssen, da sie für die aufgrund der Übertragung des Videochats verarbeiteten personenbezogenen Daten nicht mehr verantwortlich sind.

Bei der Aussage der LDI NRW ist allerdings unklar, wie mit weiteren Funktionen wie z.B. der Speicherung der Aufnahmen umzugehen ist. Es bleibt unklar, ob diese im Rahmen eines Gesamtzusammenhangs auch Teil des Telekommunikationsdienstes sind oder ob diese Verarbeitung wiederum doch der DSGVO unterliegt.

Bis diese Rechtsfrage geklärt ist, empfehlen wir, dass für diesen Bereich der Datenverarbeitung von Videokonferenzdiensten sicherheitshalber immer noch ein Auftragsverarbeitungsvertrag abgeschlossen werden sollte.

Datenschutz bei Videokonferenz-Tools als Online-Dienst (SaaS)

Die Implementierungsvarianten der jeweiligen Anbieter von Videokonferenz-Tools können sich im Detail unterscheiden. Üblich ist der Einsatz als SaaS (Software as a Service) Modell, bei welchem der Anbieter von der Software bis zur Server-Infrastruktur alles Notwendige für die Nutzung des Webkonferenz-Tools bereitstellt. Oft wird noch nicht einmal mehr separate Software auf dem PC benötigt, da die Konferenzen direkt im Webbrowser laufen. Daher beschäftigen wir uns mit diesem Modell, weil es am häufigsten eingesetzt werden. Insbesondere bei der Auswahl einer Videokonferenz-Software sollten Unternehmen sich zunächst stets fragen, ob eine On-Premise-Variante (also auf den eigenen Servern gehostete Software) in Frage kommt.

Rechtsgrundlage für den Einsatz von Videokonferenz-Tools

Je nach Kontext der Verarbeitungssituation kann sich eine Befugnisnorm aus Art. 6 Abs. 1 lit. a, b, e, f DSGVO und § 26 BDSG ergeben.

Gerade im beruflichen oder im schulischen Kontext ist die Freiwilligkeit der Einwilligung oftmals zweifelhaft, insbesondere dann, wenn Informationen, die für die Durchführung der beruflichen Tätigkeit oder für den Schulunterricht unverzichtbar sind, ausschließlich im Rahmen einer Videokonferenz mitgeteilt werden. Dann wird regelmäßig die Freiwilligkeit der Teilnahme an der Videokonferenz nicht gegeben sein, sodass die Einwilligung der betroffenen Personen als Rechts-grundlage ausscheidet. In solchen Fällen kommt eine wirksame Einwilligung nur in Betracht, wenn die Freiwilligkeit durch zusätzliche Maßnahmen sichergestellt wird, etwa indem denjenigen, die nicht an Videokonferenzen teilnehmen wollen, das relevante Wissen in gleichwertiger Form auch auf anderem Wege bereitgestellt wird bzw. andere Wege der Kommunikation angeboten werden (z.B. eine Teilnahme an der Konferenz per Telefon).

Als Rechtsgrundlage für die Erhebung und Nutzung der Mitarbeiterdaten über die Konferenz-Tools wird regelmäßig § 26 Abs. 1 BDSG bzw. aufgrund dessen vermuteten Europarechtswidrigkeit allgemein Art. 6 Abs.1 lit. f) DSGVO in Betracht kommen. Im Rahmen der Interessenabwägung ist zu prüfen, ob der Einführung des Konferenztools entgegenstehende schutzwürdige Interessen des Mitarbeiters bestehen. Dies könnte z.B. der Fall sein, wenn das Tool auch zur Mitarbeiterüberwachung eingesetzt werden soll. Etwa wenn der Arbeitgeber auf die Idee kommt, die Anwesenheitsangaben (Anwesend / Beschäftigt / Abwesend) zur Arbeitszeitkontrolle einzuführen.

Dient das Tool jedoch ausschließlich der Erleichterung der unternehmensinternen Kommunikation, wovon im Regelfall auszugehen sein dürfte, sind schutzwürdige Interessen des Mitarbeiters, die einer Einführung entgegenstünden, regelmäßig nicht ersichtlich. Somit dürfte das Interesse des Arbeitgebers an der unternehmensweiten Nutzung überwiegen.

Allerdings können sich Behörden bei der Erfüllung ihrer Aufgaben nicht auf Art. 6 Abs. 1 lit. f) DSGVO berufen (Art. 6 Abs. 1 Satz 2 DSGVO). Im Falle von Behörden kommt jedoch als Rechtsgrundlage grundsätzlich Art. 6 Abs. 1 lit. e) DSGVO in Verbindung mit der jeweils einschlägigen Norm des deutschen Rechts, etwa aus dem Schulrecht, in Betracht.

Informationspflichten und Betroffenenrechte

Gemäß Art. 13 und 14 DSGVO müssen Verantwortliche klare und verständliche Informationen über die Datenverarbeitung im Zusammenhang mit der Nutzung des Videokonferenzdienstes bereitstellen. Sie sollten komplexe Ausdrücke und Fachjargon vermeiden und relevante Fachbegriffe klar erklären.

Die Informationspflicht umfasst insbesondere Angaben zu den Zwecken und rechtlichen Grundlagen der Datenverarbeitung, zur Kenntniserlangung des Diensteanbieters von diesen Daten, zur möglichen Speicherdauer der Daten nach Beendigung einer Konferenz und zur möglichen Übermittlung der Daten in ein Drittland. Zudem sollten sie über die Art der vom Tool eingesetzten Verschlüsselung informieren.

Mitbestimmungsrecht des Betriebsrats bei Videokonferenz-Tools

Auch ist im Auge zu behalten, dass dem Betriebsrat ein zwingendes Mitbestimmungsrecht zusteht. Gem. § 87 Abs. 1 Nr. 6 BetrVG hat steht dem Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Systeme zu, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter geeignet ist. Der Wortlaut des Gesetzes spricht zwar von „bestimmt“ und nicht von „geeignet“. Doch nach ständiger arbeitsgerichtlicher Rechtsprechung genügt es schon, dass die Maßnahme zur Überwachung geeignet ist. Dies dürfte bei Webkonferenz-Tools grundsätzlich der Fall sein, da hier Login-Daten erfasst werden und die Teilnahme und Anwesenheit der Mitarbeiter überprüft werden kann.

Eine Mitbestimmungspflicht des Betriebsrates kommt auch nach § 94 BetrVG in Betracht. Dies ist in den Fällen denkbar, in denen das Webkonferenz-Tool als technikbasierter Fragebogen genutzt wird, den die Mitarbeiter zu beantworten haben und deren Antworten ihnen zuordenbar und damit personenbezogen sind.

Auftragsverarbeitungsvertrag und Drittstaattransfer

Wie oben erwähnt, ist es zu empfehlen, dass mit dem Anbieter ein Auftragsverarbeitungsvertrag (AVV) gem. Art. 28, 29 DSGVO abzuschließen ist.

Die Anbieter verarbeiten hier als Plattformanbieter für ihre Kunden (die Unternehmen, die den Dienst zur Unternehmenskommunikation nutzen) personenbezogene Daten und haben auf diese – spätestens im Rahmen der Systemwartung – auch eine Zugriffsmöglichkeit.

Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz allerdings in den USA und verarbeiten dort die Daten. Bei Datenübermittlungen in die USA oder andere Drittstaaten sind die Anforderungen des Kapitels V der DSGVO einzuhalten. Falls kein Angemessenheitsbeschluss für den Drittstaat vorliegt oder der Anbieter nach dem EU-US Data Privacy Framework zertifiziert ist, können Standardvertragsklauseln eingesetzt werden. Bei deren Verwendung als Instrument zur Rechtfertigung des Datenexports ist unter anderem zu beachten, dass der Verantwortliche vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren muss. Bei Defiziten sind zusätzliche Maßnahmen erforderlich; ggf. muss der Datenexport unterbleiben.

Auf die TOM der Videokonferenzdienste achten

Der Verantwortliche wird die technischen und organisatorischen Maßnahmen anhand der geplanten Verarbeitung ausrichten müssen. Dabei gilt es zu beachten, wie sensibel die Daten sind, die über das Videokonferenz-Tool geteilt werden sollen.

Der Verantwortliche wird letztlich für die Auswahl des Tools und den damit erreichten Schutz haften. Die DSGVO hat zwar mit den Grundsätzen Privacy by Design und Privacy by Default Regelungen getroffen, die sich offenkundig an Hersteller richten sollten, adressiert diese jedoch nicht, sondern nimmt vor allem den Verantwortlichen bei der Auswahl in die Pflicht.

Insgesamt sollen die technischen und organisatorischen Maßnahmen die Grundsätze der Datensparsamkeit und der Transparenz wirksam umsetzen. Durch datenschutzfreundliche Voreinstellungen sowie der Verarbeitung nur zwingend notwendiger Daten kann diese Konformität sichergestellt werden. Letztlich sollten die Nutzer einen leicht erkennbaren Zugang zu den entsprechenden Informationen der Datenverarbeitung haben.

Technische Maßnahmen für Videokonferenzen

Die hier dargestellten technischen Maßnahmen und Einstellungserwägungen sind nicht abschließend, letztlich kommt es dabei (wie oben erläutert) immer auf den Einzelfall an.

Leider werden auch die Voreistellungen der Software nur selten dem Grundsatz Privacy by Default nachkommen, sondern die herstellereigene Vorstellung des Kundenwunsches umsetzen.

  • Verschlüsselung: Dabei gilt es im Einzelfall zu bestimmen, welche Art von Verschlüsselung benötigt wird. Dies hängt letztlich von der Art der Daten ab, die verarbeitet werden sollen. Hierzu liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Empfehlungen zu geeigneten kryptographischen Verfahren.
  • Business-Version: Für die Verwendung im Unternehmen eignen sich Tools, die für den privaten Einsatz gedacht sind, nicht. Zum Beispiel sind Apps wie WhatsApp oder FaceTime grundsätzlich ungeeignet.
  • Beschränkung von Logfiles: Logfiles sollten nur erstellt werden, soweit diese erforderlich sind. Diese können auch für die Fehlerbehebung durch den Dienstleister notwendig sein. Es kommt jedoch darauf an, dass die Daten dann nur zu diesem Zweck verwendet werden und nach Wegfall des Zwecks wieder gelöscht werden.
  • Chatverläufe und Dateiaustausch: Auch hier ist sicherzustellen, dass diese nur für den benötigten Zeitraum zur Verfügung stehen und danach automatisch gelöscht werden. Beim Chat dürfte dies nach Ende der Videokonferenz der Fall sein. Bei Dateiaustausch kann z.B. ein Zeitraum von wenigen Stunden oder einem Tag gewählt werden, innerhalb dessen die Mitarbeiter Zeit haben die Daten herunterzuladen und anderweitig abzulegen. Ergänzend sollte als organisatorische Maßnahme geregelt werden, welche Arten von Dokumenten (nicht) über das Tool geteilt werden dürfen. Dies kann sowohl als Black- oder als Whitelist ausgestaltet werden.
  • Möglichkeit, Aufnahmen der Videokonferenz zu regulieren: Viele Tools bieten mittlerweile die Möglichkeit die Videokonferenz aufzunehmen. Dies dürfte in den meisten Fällen jedoch nur mit einer Einwilligung aller Teilnehmer zulässig sein. Daher sollte das Tool so eingestellt werden können, dass vor Start der Aufnahme bei allen Teilnehmern eine Nachricht mit den nötigen Informationen erscheint, sowie die Option, zuzustimmen oder abzulehnen. Mit Ihrem DSB können Sie dazu abstimmen, ob und wie dabei die Anforderungen der DSGVO an eine Einwilligung erfüllt werden können. Zudem wird eine Aufzeichnung wohl stets den Ton umfassen und wird damit bei fehlender Zustimmung sogar regelmäßig wegen der Verletzung der Vertraulichkeit des Wortes nach § 201 Abs. 1 StGB strafbar sein.
  • Einsatz bei Bewerbungsverfahren: Sollte ein Unternehmen Bewerbungsgespräche via Videokonferenz durchführen wollen, sollten im Voraus sorgfältig geprüft werden, dass in die Privatsphäre der Bewerber nicht tiefer eingegriffen wird, als es der Zweck des Bewerbungsverfahrens erfordert.
  • Blurr-Möglichkeit: Zudem bieten Videokonferenz-Tools teilweise die Möglichkeit, den Hintergrund vollständig auszugrauen. Hier können Unternehmen mit technischen Mitteln für mehr Datenschutz und Privatsphäre sorgen.
  • Einrichtung von Zugangsbeschränkungen (wie Login, oder bei Gästen nur mit Zustimmung des Organisators): Vielleicht denken Sie jetzt, dass dies doch selbstverständlich ist und es niemanden gibt, der Videokonferenz-Tools ohne diese technische Maßnahme einsetzt. Aber währende der Pandemie nahm das Fachmagazin c’t aufgrund dieses Fauxpas an einer internen Sitzung zum Coronavirus mit Bayerns Innenminister teil. Nur berechtigte Personen sollten auf eine Videokonferenzsitzung und deren Daten zugreifen können. Hierzu müssen sich die teilnehmenden Personen gegenüber dem Videokonferenzdienst authentisieren.
  • Installation und Softwareaktualisierung: Technische Schwachstellen und sonstige Sicherheitslücken müssen in einem angemessenen Zeitraum behoben werden, bei hohen Risiken unverzüglich. Dies muss durch den Softwarehersteller bzw. den Anbieter des Dienstes erfolgen; Verantwortliche haben dies sicherzustellen. Alle Komponenten, die für die Teilnahme an einer Videokonferenz auf einem Client installiert werden, müssen ebenso einfach und vollständig wieder deinstalliert werden können.

Organisatorische Maßnahmen beim Einsatz von Videokonferenz-Tools

Auch die hier dargestellten organisatorischen Maßnahmen sind nicht abschließend, denn auch dabei kommt es (wie oben) auf den Einzelfall an.

Vor allem sind die Mitarbeiter entsprechend zu informieren und zu sensibilisieren, welche Daten über das Tool (vor allem auch mit Externen) geteilt werden dürfen. Hierzu kann, wie oben bereits erwähnt, auch mit Black- oder Whitelists gearbeitet werden, die der jeweiligen Tätigkeit des Unternehmens angepasst werden.

  • Desktop-Sharing: Eben eine solche Sensibilisierung gilt es für das Teilen des Desktops herzustellen. Hier sollte nur gezeigt werden, was auch für die Besprechung erforderlich ist. Daher sollte der Desktop ohne Dateisymbole gezeigt werden, solange diese für die Videokonferenz nicht erforderlich sind. Auch sollten keine Benachrichtigungen über neue Mails auf dem geteilten Bildschirm erscheinen. Entweder kann dies grundsätzlich oder für die jeweilige Konferenz unterbunden werden. Des Weiteren ist es möglich bei Verwendung von mehreren Monitoren nicht den als Hauptanzeige konfigurierten Bildschirm auszuwählen.
  • Digitale Führungen: Es kann vorkommen, dass geplante Werksführungen nunmehr digital stattfinden. Dabei gilt es, wie auch beim Desktop-Sharing zu beachten, dass nur notwendige Informationen geteilt werden. Legen Sie also Routen fest, welche Sie abgehen wollen und der Gesprächspartner auch vor Ort gesehen hätte. Informieren Sie in den betroffenen Bereichen auch andere Mitarbeiter über die geplante Führung und gewähren Sie bei Bedenken auch Abwesenheiten zu dieser Zeit.
  • Rollentrennung: Videokonferenzsysteme für größere Zahlen an Teilnehmenden sollten die Einrichtung mindestens folgender Rollen ermöglichen: administrierende Personen, moderierende Personen, präsentierende Personen und teilnehmende Personen. Die Rollen können ggf. auch anders zugeschnitten werden, soweit die Verantwortung für die Steuerung der implizit vorgenommenen Verarbeitung von personenbezogenen Daten klar zugewiesen bleibt.

Checkliste und Orientierungshilfe der DSK für Videokonferenzsysteme

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat mit Stand 23.10.2020 eine Orientierungshilfe zur Nutzung von Videokonferenzsystemen sowie eine dazugehörige Checkliste veröffentlicht. Besonders die Checkliste kann für Unternehmen oder sonstige Institutionen hilfreich sein, wenn überlegt werden muss, welche Anforderungen im Großen und Ganzen rechtlich und technisch an eine datenschutzkonforme Videokonferenz zu stellen sind. Darüber hinaus hat der LfDI Baden-Württemberg Ende August 2021 verschiedene Videokonferenzsysteme betrachtet. Allerdings sollte es beachtet werden, dass der Stand dieser Orientierungshilfe & Checkliste sowie der Betrachtung noch von vor Verabschiedung des TTDSG ist.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.