Videokonferenzen und der Datenschutz - eine Frage der Verarbeitung

Wir als externe Datenschutzbeauftragte werden derzeit regelmäßig gefragt, ob der Einsatz einer Videokonferenzsoftware datenschutzkonform ist und welche Datenschutzerklärung es dafür braucht.

Grundsätzlich geht es aber beim Datenschutz nicht rein um die Software. Diese ist nur (technischer) Teil der Verarbeitung und kann nicht selbst Zweck der Verarbeitung sein.

Wir als externe Datenschutzbeauftragte werden derzeit regelmäßig gefragt, ob der Einsatz einer Videokonferenzsoftware datenschutzkonform ist und welche Datenschutzerklärung es dafür braucht.

Auch im Internet lassen sich die vielfältigsten Empfehlungen, Vorschlage und Warnungen finden.

Grundsätzlich geht es aber beim Datenschutz nicht rein um die Software. Diese ist nur (technischer) Teil der Verarbeitung und kann nicht selbst Zweck der Verarbeitung sein.

Der Zweck der Verarbeitung und die Rechtsgrundlage der Verarbeitung können dabei vielfältig sein. Häufig ändern sich diese auch je nach Konfiguration und weiterer Verarbeitung.

Die Zwecke der Verarbeitung können bspw. sein:

  • 2er Gespräch (mit Video oder Bildschirmteilenfunktion)
  • Interne Konferenz (mit Video oder Bildschirmteilenfunktion)
  • Offenes (anonymes) online Workshop in nur eine Richtung
  • online Workshops mit Anmeldung (kostenpflichtig) in nur eine Richtung
  • Bewerbungsgespräche
  • Beratungsgespräche (mit Verschwiegenheit) bspw. Arzt, Anwalt, Betriebsrat

 

Weitere zusätzliche Zwecke könnten die Aufzeichnung sein, die Auswertung der Teilnahme oder auch in den Sessions erstellte und exportiere Umfragen.

Hier liegt dann häufig eine Zweckänderung vor und es muss sehr genau geprüft werden, ob die ursprüngliche Rechtsgrundlage und Datenschutzinformation auch diese Zweckänderung abdeckt.

Insbesondere wenn es sich um Einwilligungen handelt ist zu prüfen, dass diese „…durch eine eindeutige bestätigende Handlung […], mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,…“ (Erwägungsgrund 32 DSGVO) erfolgt.

Bei einem Bewerbungsgespräch oder auch bei Mitarbeitenden kann die Freiwilligkeit häufig in Frage gestellt sein.

Bei der Auswahl und dem Einsatz von Videokonferenzsystemen ist also zu schauen, welches die eigentliche Verarbeitung und der Zweck sowie die Rechtsgrundlage dieser Verarbeitung sind.

Hieraus ergeben sich die Anforderungen an technische und organisatorische Maßnahmen.

Diese sind ausschlaggebend für die Auswahl der Softwarelösung als „OnPremise“ (selbst installiert/kontrolliert) oder als „SaaS – Software as a Service“.

Neben den technischen Anforderungen (wie bspw. Verschlüsselung, Hintergrundverschleierung, kein Video-Bombing etc.) sind auch organisatorische Maßnahmen (wie Zugangsdaten, Umfeldsicherung wie Hintergrund, Mithörer und Mitseher, Aufzeichnungen etc.) zu definieren und umzusetzen.

Bei SaaS Anbietern ist zudem in der Regel ein Vertrag zur Auftragsverarbeitung zu schließen und zu prüfen, dass keine eigene Verarbeitung durch den Anbieter, bspw. die Auswertung zu Marketingzwecken, erfolgt. Dies kann häufig bei kostenlosen Diensten der Fall sein.

Bei der Auswahl der Software spielt es eine Rolle, ob die Erfordernisse entsprechend den Anforderungen aufgrund des festgelegten Zweckes ausreichend sind. Bei einem neuen oder zusätzlichen Zweck sind die Anforderungen erneut zu prüfen.

Wenn das Marketing eine offene Produktpräsentation per online Workshop durchführt, kann die gleiche Lösung nicht unbedingt von der Personalabteilung für Bewerbungsgespräche genutzt werden.

Möglich sind viele Konferenzsysteme und oft reicht vielleicht auch nur ein Telefonat 😉
Wir freuen uns aber, wenn wir Sie demnächst bei einer unserer Videokonferenzen sehen können. 🙋 🙋‍♂️

Nachfolgend ein paar weiterführende Links zu den derzeitig häufig eigesetzten Lösungen: