DSGVO und Videokonferenzen: In der derzeitigen Corona-Krise müssen viele Prozesse neu definiert werden, um die Bevölkerung zu schützen und wirtschaftliche Abläufe gleichzeitig aufrecht zu erhalten. Viele Unternehmen sind auf digitalen Betrieb umgestiegen, verzichten auf Termine und Meetings und schicken ihre Mitarbeiter weitestgehend ins Homeoffice. Sofern es möglich ist, werden die physischen sozialen Kontakte auf ein Minimum beschränkt. Videokonferenzen und Onlinemeetings sorgen dafür, dass die Kommunikation weiter stattfindet. Sie sind eine willkommene Lösung für echte, nah wirkende Meetings auf Abstand.

Die veränderte Situation setzt allerdings nicht die gesetzlich geregelte Datenschutzgrundverordnung (DSGVO) außer Kraft. Wie also können Arbeitgeber gewährleisten, dass die Privatsphäre der Mitarbeiter und deren Daten sowie die Daten Ihres Unternehmens geschützt werden? Ist es möglich, bei Videokonferenzen US-amerikanische Anbieter zu benutzen oder widersprechen den Richtlinien der DSGVO?

Die Datenschutzgrundverordnung und Corona-Pandemie

Die DSGVO wurde geschaffen, um das Grundrecht auf Datenschutz (§8 Grundrechte-Charta der EU) in einer digitalisierten Welt in die Praxis umzusetzen. Zum einen geht es darum, personenbezogene Daten zu schützen, zum anderen verpflichtet es datensammelnde Unternehmen, die Einwilligung der Betroffenen zur Verarbeitung ihrer Daten einzuholen.

Der Ausbruch der Corona-Pandemie trifft viele Unternehmen, ohne dass diese Vorbereitungen treffen konnten, oder ihre Mitarbeiter ins Homeoffice geschickt haben und und viele Besprechungen mit Mitarbeitern und Kunden über Videokonferenzen abwickeln müssen. Umgehend meldeten Datenschützer ihre Bedenken an.

Rechtliche Grundlagen für DSGVO-konforme Videokonferenzen

Worauf gilt es also zu achten, damit Sie die Bestimmungen der DSGVO in ihren Videokonferenzen erfüllen?

Zunächst einmal sind Sie dazu verpflichtet, die Teilnehmer ihrer Videokonferenz über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Konferenzen zu informieren und ihre Einwilligung einzuholen. Es empfiehlt sich, diese Informationen in Ihre Datenschutzerklärung einzubinden.

Im Rahmen der DSGVO gilt das sogenannte Erforderlichkeitsprinzip. Das besagt, dass die Speicherung von Daten nur dann erlaubt ist, wenn die zu erfüllende Aufgabe anderweitig nur unter erheblichem Mehraufwand zu bewerkstelligen wäre.

Die Aufzeichnung einer Videokonferenz ist unter bestimmten Umständen erlaubt, wenn Texte aus einem Meeting beispielsweise im Nachhinein wortgetreu wiedergegeben werden sollen. Wenn Sie die Videokonferenz nur aufzeichnen wollten, um sich im Nachhinein besser zu erinnern, wäre dies nicht zulässig. Es stellt keinen unzumutbaren Mehraufwand dar, sich während einer Videokonferenz Notizen zu machen.

Die Nutzung privater Endgeräte

Ein heikles Thema ist und bleibt die Nutzung von privaten Endgeräten Ihrer Mitarbeiter zu Geschäftszwecken.

Sie als Unternehmer sind verpflichtet, die Datenschutzgesetze gegenüber Kunden und Drittpersonen einzuhalten. Daten, die womöglich der Geheimhaltung unterliegen, gehören nicht auf private Endgeräte. Eine Lösung hierfür wäre, Ihre Mitarbeiter aus einer Auswahl mobiler Endgeräte, die das Unternehmen zur Verfügung stellt, wählen zu lassen.

Der Datenschutz und die Videokonferenzen

Bei einer Videokonferenz gibt es neben den offensichtlichen Risiken, wie dass beispielsweise der Ehepartner oder Kinder ins Bild laufen und der Mitarbeiter so unfreiwillig Privates preisgibt, einige relevante Faktoren, denen Sie als Arbeitgeber Beachtung schenken sollten:

• Schließen Sie einen Auftragsdatenverarbeitungsvertrag mit dem Anbieter der Videokonferenz-Software ab.
• Beteiligen Sie den Betriebsrat und, falls vorhanden, den Datenschutzbeauftragten an der Entscheidung.
• Wählen sie datenschutzfreundliche Voreinstellungen aus und prüfen Sie, ob die Speicherung von Daten (beispielsweise in Logfiles) erforderlich ist, falls nein, verzichten Sie darauf.
• Die Teilnahme an Videokonferenzen darf ausschließlich über ein Login oder eine Einladung des Administrators möglich sein. Nutzen Sie ggf. die Passwortfunktionen.
• Achten Sie darauf, dass beim Screensharing ausschließlich für das Meeting per Video relevante Informationen zu sehen sind und bringen Sie das auch Ihren Mitarbeitern gegenüber zur Sprache.
• Der Anbieter sollte die Daten verschlüsselt übertragen und eine Übermittlung der Daten an Social-Media-Plattformen sollte ausgeschlossen sein.
• Entscheiden Sie sich, sofern möglich, für europäische Anbieter, da diese automatisch der DSGVO unterliegen. Wollen Sie Anbieter aus Drittländern wählen, achten Sie auf ein angemessenes Datenschutz-Niveau oder eine Privacy-Shield-Zertifizierung bei US-Diensten.
• Wählen Sie keine Aufzeichnung von Videokonferenzen bei gleich geeigneten, aber datenschutzfreundlicheren Alternativen. Sie können zum Beispiel die Präsentation im Anschluss einfach als pdf-Datei zugänglich machen. Sollten Sie vorhaben, Teile einer Videokonferenz aufzuzeichnen, holen Sie sich in jedem Falle die Einwilligung Ihrer Mitarbeiter ein und wählen Sie einen sicheren Speicherort.
• Berücksichtigen Sie das Videokonferenz-Tool in den Datenschutzhinweisen für Ihre Mitarbeiter.

Weitere Tipps für Ihre Videokonferenzen:

Achten Sie darauf, dass Ihre Konferenzen nicht zu lange werden. Ein Meeting von über 90 Minuten Dauer ist in der Regel weniger effizient.

Legen Sie Gesprächsregeln fest und achten Sie darauf, dass die Teilnehmer sich daran halten (z.B. Mithörende schalten sich stumm; klare Vorgaben, wie sich Teilnehmer zu Wort melden; der Konferenzleiter fragt bisweilen nach, ob alles richtig verstanden wurde etc.).

Begrenzen Sie Ihre Teilnehmerzahl, um ein effizientes Meeting zu gewährleisten.

Bestimmen Sie eine Tagesordnung und setzen Sie diese zu Beginn der Konferenz in den Chat oder auf die Präsentation.

Überlegen Sie gezielt, in welchen Fällen Sie das Medium Videokonferenz einsetzen wollen. In vielen Fällen sind Einzelgespräche sinnvoller und verlangen Ihren Mitarbeitern weniger ab.

Effiziente Meetings per Videoübertragung

Wenn Sie die vorgenannten Hinweise beachten, können Sie Videokonferenzen DSGVO-konform nutzen.

Einige gängige Anbieter für Videokonferenzen:

Zoom: US-Anbieter, Privacy-Shield zertifiziert, nach derzeitigem Stand DSGVO konform, Auftragsverarbeitungsvertrag: empfohlen

Microsoft Teams und Skype: US-Anbieter, DSGVO konform, da Geschäftsdaten in Deutschland gespeichert werden

Adobe Connect: Irischer Anbieter, DSGVO konform, zwei Varianten: Adobe Connect Meetings oder Webinars

Alfaview: Deutscher Anbieter, DSGVO konform

Circuit: Deutscher Anbieter, DSGVO konform

Aus Gründen des Datenschutzes erscheint es nichtsdestotrotz sinnvoll, Telefonkonferenzen Videokonferenzen vorzuziehen, sofern dies möglich ist. Auch im Falle von instabilen Datennetzen haben Telefon-Meetings einen klaren Vorteil.