Inhaltsverzeichnis
- Videokonferenz: ja oder nein?
- Welche Videokonferenz ist datenschutzkonform?
- Was fällt unter den Datenschutz?
- Einfache Datenschutz-Maßnahmen im Videocall
- DSGVO und Bundesdatenschutzgesetz (BDSG)
- Fazit: Datenschutz und Videokonferenz
Videokonferenz: ja oder nein?
Mit Beginn der Corona-Pandemie wurde auf dem Arbeitsmarkt sehr schnell klar: Unternehmen brauchen eine Alternative zum persönlichen Treffen, die auch aus dem Home-Office reibungslos funktioniert.
Sowohl Veranstalter als auch Teilnehmer sollten neben grundlegenden Datenschutzregeln auch auf jeweils eigene Probleme achten. So sollten im Vorfeld beide klären, ob eine Videokonferenz tatsächlich das richtige Kommunikationsmittel für die jetzige Situation ist, denn: Das ist nicht immer der Fall.
Manchen Kollegen ist es lieber, den Gegenüber auch zu sehen, um Mimik und Gestik einschätzen zu können. Andere empfinden es als Belastung, gerade im Home-Office stets für eine Videokonferenz bereit zu sein. Alternativ lassen sich beispielsweise durch eine rein schriftliche Kommunikation einige Risiken vermeiden. Jedoch droht hierbei die persönliche Note verloren zu gehen.
Wann ist die Videokonferenz das geeignete Mittel zum Zweck? Wie können Unternehmen diese datenschutzkonform veranstalten?
Welche Videokonferenz ist datenschutzkonform?
Größter Fehler ist es, wenn ein Unternehmen von jetzt auf gleich Videokonferenzen durchführt, ohne die eigene Infrastruktur überprüft und vorbereitet zu haben. Üblicherweise fertig der Datenschutzbeauftragte einen Fahrplan zur Nutzung digitaler Kommunikation an, der die geltende Datenschutzrichtlinie enthält und konkrete Verhaltensregeln festlegt.
Wie funktioniert eine Videokonferenz?
Welche Fragen kommen in der Vorbereitung auf die Umstellung zur digitalen Kommunikation vor? Hier folgen die wichtigsten:
- Werden zusätzlich zu Video- auch Messengerprogramme verwendet?
- Welche Software ist für den jeweiligen Betrieb am geeignetsten (Kommunikation in der Gruppe gegenüber Beratungsgespräch zu zweit)?
- Könnten Unbefugte Zugriff auf den Dienst bekommen (über das Netzwerk oder die Teilnehmenden)?
- Werden in der Videokonferenz Dokumente und Präsentationen verwendet?
- Sollen Pseudonyme verwendet werden?
- Wurde den Mitarbeitern ein Leitfaden ausgehändigt?
- Steht bei Komplikation ausreichend Support zu Verfügung?
Hat das Unternehmen diese Fragen ausreichend beantwortet, kommt der nächste Schritt nach der Planung: die Umsetzung.
Was fällt unter den Datenschutz?
Mit Beginn der Videoübertragung beginnt auch die Übertragung von personenbezogenen Daten (Bilder, Sprache, Nachrichten). Meistens steht die Behandlung von arbeitsspezifischen Themen auf dem Ablaufplan. Je nach Gehalt kann es sich um hochsensible Daten Dritter handeln, deren unerlaubte Nutzung zu schwerwiegenden Folgen führen kann. Auch jeder Angestellte hat ein Recht auf informationelle Selbstbestimmung und zu erfahren, was mit seinen Daten passiert.
Grundsätzlich sollte im Arbeitsalltag wenigstens die Regel gelten, alle „öffentlichen" Videokonferenzen mit Passwort zu schützen. Alternativ erfreut sich bereits seit Längerem das Prinzip des „Warteraums" großer Beliebtheit. Dabei ist die Einladung die erste Datenschutz-Schwelle der Videokonferenz. Glücklicherweise haben die Verantwortlichen meist selbst in der Hand, an wen sie die Zugangsdaten schicken.
In einem zweiten Schritt können bereits im Warteraum wartende Teilnehmer durch den Veranstalter zur Videokonferenz zugelassen werden. Das Prinzip erinnert an analoge Zeiten, bei denen die Teilnehmer vor der Türe warteten, bis der Zuständige sie hereinbat — ob einen nach dem anderen oder alle auf einmal, bleibt jedem selbst überlassen.
Was fällt unter den Datenschutz?
Für einen ausreichend ausgebauten Datenschutz sind insbesondere folgende Faktoren entscheidend:
- Personenbezogene Daten
- Daten von privaten Stellen (z. B. von Unternehmen)
- Daten aus Datenverarbeitungsanlagen oder in bzw. aus nicht automatisierten Dateien
All diese Aspekte lassen sich in einem entsprechenden Datenschutzkonzept zusammenfassen. So behalten Unternehmen stets den Überblick über ihre aktuellen Datenschutzmaßnahmen. Ein solches Konzept lässt sich in Zeiten der Pandemie (und darüber hinaus) auch auf Videokonferenzen übertragen.
Welche einfachen Datenschutzkonzepte können bei Videokonferenzen helfen?
Wichtig: Zu Beginn einer Videokonferenz sollten die Veranstalter sicherstellen, dass nur eingeladene Personen Teil der Videokonferenz sind. Dieser Punkt klingt trivial – bei hohen Teilnehmerzahlen ist es aber für die Administratoren nicht einfach, den Überblick zu behalten.
Der Schutz aller Videokonferenzen durch ein passwort-geschützes Opt-In-Verfahren ist bereits bei vielen großen Unternehmen gängig. Bei kleineren Gruppen – wie Abteilungsmeetings, Jour fixe etc. – stellt das aber eine Hürde dar. Meistens haben die Organisatoren bereits im Vorfeld die für den Datenschutz wichtigen Entscheidungen getroffen. Sie stellen die Zugangsbeschränkungen und Rechte der Teilnehmer ein und verlassen sich darauf, dass die verwendete Software grundsätzlich sicher ist.
Welches Programm für die Videokonferenz verwenden?
Als verwendete Systeme kommen Online-Dienste (Software-as-a-Service) oder servereigene Anwendungen (On-Premises-Lösung) in Frage. Wird eine Videokonferenzsoftware im Intranet eines Unternehmens bereitgestellt, wurde in der Regel bereits zuvor eine Erforderlichkeits- und Risikoanalyse durchgeführt.
Bei Verwendung von Online-Diensten müssen Verantwortliche stets die Unternehmensleitung, IT-Administration und den Datenschutzbeauftragten zu Rate ziehen. Die können bestenfalls darüber informieren, ob die Datenverarbeitung in den Geltungsbereich der DSGVO fällt. Werden datenschutzfreundliche Voreinstellungen verwendet? Wird ausreichend verschlüsselt?
Anbieter, die nur per VPN einen Zugriff erlauben, verhindern den Fremdzugriff auf sensible Daten und Inhalte. Basiert ein Dienst auf einer Cloudstruktur (Cloud-Dienst) und wird in der EU betrieben, unterliegt er der Datenschutz-Grundverordnung (DSGVO). Schwierig ist das hingegen bei Anbietern mit weltweit verteilten Rechenzentren. Zwar wird meist eine starke Verschlüsselung verwendet, die aber in der Standartkonfiguration keine Ende-zu-Ende-Verschlüsselung darstellt - dies kann nur optional gewählt werden.
Damit sich jeder Mitarbeiter bei jeder Videokonferenz in guten Händen weiß, wenn es um Datenschutz geht. sollten Arbeitgeber ein ausreichendes Datenschutzkonzept erstellen. |
Einfache Datenschutz-Maßnahmen bei Videokonferenzen
Für Unternehmen ist es hilfreich, wenn sie konkrete Beispielmaßnahmen für einen ausreichenden Datenschutz bei Videokonferenzen erhalten. Die nachfolgende Übersicht zeigt einige der wichtigsten Punkte auf:
Checkliste: Maßnahmen für Videokonferenzen bzgl. Datenschutz | |
✓ | Neues Meeting, neues Kennwort |
✓ | Kennwort für Sofort-Videokonferenzen |
✓ | Kennwort auch für Telefonteilnehmer |
✓ | Alle Videokonferenzen mit Persönlicher Meeting Identifikation (PMI) |
✓ | Nur autorisierte User können einem Meeting beitreten |
✓ | Warte- oder Ausbruchsraum |
Allerdings macht eine Checkliste alleine noch keinen Datenschutz aus. Wenig beachtet, aber ein wichtiger Faktor, ist das Verhalten der Teilnehmenden. Mit guter Vorbereitung und unter Beachtung einiger weniger Punkte, kann die professionelle Videokonferenz allen Beteiligten Freude bereiten und gleichzeitig wichtigen Datenschutz gewährleisten. Wie geht das? Ein paar Anregungen sind:
- Wahl des passenden Umfelds und Hintergrundes: keine persönlichen oder vertraulichen Gegenstände im Hintergrund (Private Fotos, Medikamente, Geschäftsordnung, White-Boards mit Kundendaten etc.)
- Wahl der geeigneten technischen Ausstattung: Kopfhörer und Headset verhindern das Eindringen von Umgebungsgesprächen und das Preisgeben („Leaken") von wichtigen Videokonferenzen
- Benutzung der Moderationsfunktionen
Um zu erreichen, dass sich möglichste viele Mitarbeiter an die wichtigsten Regeln des Datenschutzes bei Videokonferenzen halten, müssen Unternehmen ihre Beschäftigten entsprechend schulen. Basierend darauf sollten Datenschutzerklärungen unterschrieben werden, die der DSGVO entsprechen. Passende Vorlagen hierzu bietet das „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit". Damit kommen Arbeitgeber ihrer Pflicht zum Datenschutz am Arbeitsplatz und im Home-Office nach. Die praktische Unterschriftenliste im Merkblatt lässt sich heraustrennen, sodass Arbeitgeber die Dokumentation rechtssicher abwickeln können.
Produktempfehlung
Informieren Sie Sich jetzt über das „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit"!
DSGVO, Bundesdatenschutzgesetz (BDSG) und Datenschutz bei Videokonferenzen
Da die Nutzung von Videokonferenzen eine Verarbeitung von personenbezogenen Daten benötigt, fallen diese unter die DSGVO. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) empfiehlt für eine datenschutzkonforme Videokonferenz zwei Anbieter: Jitsi-Meet und Nextcloud-Talk. Der wesentliche Vorteil ist, dass es sich um On-Premise-Lösungen handelt.
Rechtliche Anforderung an Datenschutz in Videokonferenzen sind:
- Vor der Nutzung eines Videokonferenz-Systems sind die datenschutzrechtlichen Verantwortlichkeiten festzulegen.
- Bei der Nutzung von Online-Diensten muss genau geprüft werden, ob der Anbieter die Daten zu eigenen Zwecken verarbeitet (ist das der Fall, kommt es zur gemeinsamen Verantwortlichkeit zwischen Anbieter und Verantwortlichen, nach Art. 26 DSGVO).
- Im Auftragsverarbeitungsvertrag ist festzuhalten, dass der Anbieter die personenbezogenen Daten der Teilnehmer nur auf ausdrückliche Weisung für eigene Zwecke verarbeiten darf.
- Eine Verarbeitung, egal welchen Umfangs, benötigt eine Einwilligung der betroffenen Personen. So müssen Teilnehmer einer Videokonferenz die Wahl haben, teilzunehmen oder nicht. Rechtlich müsste stets eine Alternative zur Videokonferenz angeboten werden.
- Die Erhebung und Nutzung von Mitarbeiterdaten während einer Videokonferenz ist durch § 26 Abs. 1 BDSG und Art. 6 Abs. 1 DSGVO gestützt. Demzufolge sollte stets eine Erforderlichkeit zur Verarbeitung von Mitarbeiter-Daten gegeben sein, die einer steten Interessenabwägung unterliegt. In diesem Kontext liegt auch die Mitarbeiterüberwachung durch Videokonferenzen (Kontrolle von An- und Abwesenheiten).
- Ohne ausdrückliche Einwilligung des Mitarbeiters sind Einblicke in die Privaträume via Videokonferenz nicht datenschutzkonform. Durch Anweisungen des Arbeitgebers, den Hintergrund unscharf zu stellen oder einen künstlichen Hintergrund zu wählen, lassen sich Probleme diesbezüglich vermeiden.
- Allgemeine Informationspflicht des Verantwortlichen (Unternehmer): Die Teilnehmer der Videokonferenz müssen gem. Art. 13, 14 DSGVO über die Datennutzung oder -verarbeitung des Dienstes informiert werden.
Wenn Verantwortliche Aufzeichnungen der Videokonferenzen datenschutzkonform durchführen wollen, muss das Interesse des Verantwortlichen gegen das Interesse des Teilnehmers abgewogen werden.
Fazit: Datenschutz und Videokonferenz
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erarbeitete bereits Ende 2020 eine Orientierungshilfe für Datenschutz und Videokonferenzen. Darin steht unmittelbar, dass Videokonferenzen nicht plötzlich und ohne Planung durchgeführt werden sollten. Sei es zu Beginn der Corona-Pandemie noch verständlich gewesen, schnellstmöglich auf rein digitalen Umgang umzusteigen, so wäre es seit Ende 2020 bereits wichtig gewesen, konkrete Handlungsanleitungen zu erarbeiten. Unternehmen wird geraten, zeitnah eingesetzte Programme für Videokonferenzen nur noch datenschutzkonform zu betreiben. Das bringt, wenn nötig, einen Anbieterwechsel mit sich und verlangt nach einer Digitalisierung der betrieblichen Informationsstruktur.
Quellen: Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit, Universität Tübingen, datensicherheit.de, Unabhängiges Landeszentrum für Datenschutz (ULD), Datenschutz.org, Datenschutzkonferenz (DSK)