DSGVO und Videokonferenzen: In der derzeitigen Corona-Krise müssen viele Prozesse neu definiert werden, um die Bevölkerung zu schützen und wirtschaftliche Abläufe gleichzeitig aufrecht zu erhalten. Viele Unternehmen sind auf digitalen Betrieb umgestiegen, verzichten auf Termine und Meetings und schicken ihre Mitarbeiter weitestgehend ins Homeoffice. Sofern es möglich ist, werden die physischen sozialen Kontakte auf ein Minimum beschränkt. Videokonferenzen und Onlinemeetings sorgen dafür, dass die Kommunikation weiter stattfindet. Sie sind eine willkommene Lösung für echte, nah wirkende Meetings auf Abstand.
Die veränderte Situation setzt allerdings nicht die gesetzlich geregelte Datenschutzgrundverordnung (DSGVO) außer Kraft. Wie also können Arbeitgeber gewährleisten, dass die Privatsphäre der Mitarbeiter und deren Daten sowie die Daten Ihres Unternehmens geschützt werden? Ist es möglich, bei Videokonferenzen US-amerikanische Anbieter zu benutzen oder widersprechen den Richtlinien der DSGVO?
Die DSGVO wurde geschaffen, um das Grundrecht auf Datenschutz (§8 Grundrechte-Charta der EU) in einer digitalisierten Welt in die Praxis umzusetzen. Zum einen geht es darum, personenbezogene Daten zu schützen, zum anderen verpflichtet es datensammelnde Unternehmen, die Einwilligung der Betroffenen zur Verarbeitung ihrer Daten einzuholen.
Der Ausbruch der Corona-Pandemie trifft viele Unternehmen, ohne dass diese Vorbereitungen treffen konnten, oder ihre Mitarbeiter ins Homeoffice geschickt haben und und viele Besprechungen mit Mitarbeitern und Kunden über Videokonferenzen abwickeln müssen. Umgehend meldeten Datenschützer ihre Bedenken an.
Worauf gilt es also zu achten, damit Sie die Bestimmungen der DSGVO in ihren Videokonferenzen erfüllen?
Zunächst einmal sind Sie dazu verpflichtet, die Teilnehmer ihrer Videokonferenz über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Konferenzen zu informieren und ihre Einwilligung einzuholen. Es empfiehlt sich, diese Informationen in Ihre Datenschutzerklärung einzubinden.
Im Rahmen der DSGVO gilt das sogenannte Erforderlichkeitsprinzip. Das besagt, dass die Speicherung von Daten nur dann erlaubt ist, wenn die zu erfüllende Aufgabe anderweitig nur unter erheblichem Mehraufwand zu bewerkstelligen wäre.
Die Aufzeichnung einer Videokonferenz ist unter bestimmten Umständen erlaubt, wenn Texte aus einem Meeting beispielsweise im Nachhinein wortgetreu wiedergegeben werden sollen. Wenn Sie die Videokonferenz nur aufzeichnen wollten, um sich im Nachhinein besser zu erinnern, wäre dies nicht zulässig. Es stellt keinen unzumutbaren Mehraufwand dar, sich während einer Videokonferenz Notizen zu machen.
Ein heikles Thema ist und bleibt die Nutzung von privaten Endgeräten Ihrer Mitarbeiter zu Geschäftszwecken.
Sie als Unternehmer sind verpflichtet, die Datenschutzgesetze gegenüber Kunden und Drittpersonen einzuhalten. Daten, die womöglich der Geheimhaltung unterliegen, gehören nicht auf private Endgeräte. Eine Lösung hierfür wäre, Ihre Mitarbeiter aus einer Auswahl mobiler Endgeräte, die das Unternehmen zur Verfügung stellt, wählen zu lassen.
Bei einer Videokonferenz gibt es neben den offensichtlichen Risiken, wie dass beispielsweise der Ehepartner oder Kinder ins Bild laufen und der Mitarbeiter so unfreiwillig Privates preisgibt, einige relevante Faktoren, denen Sie als Arbeitgeber Beachtung schenken sollten:
Achten Sie darauf, dass Ihre Konferenzen nicht zu lange werden. Ein Meeting von über 90 Minuten Dauer ist in der Regel weniger effizient.
Legen Sie Gesprächsregeln fest und achten Sie darauf, dass die Teilnehmer sich daran halten (z.B. Mithörende schalten sich stumm; klare Vorgaben, wie sich Teilnehmer zu Wort melden; der Konferenzleiter fragt bisweilen nach, ob alles richtig verstanden wurde etc.).
Begrenzen Sie Ihre Teilnehmerzahl, um ein effizientes Meeting zu gewährleisten.
Bestimmen Sie eine Tagesordnung und setzen Sie diese zu Beginn der Konferenz in den Chat oder auf die Präsentation.
Überlegen Sie gezielt, in welchen Fällen Sie das Medium Videokonferenz einsetzen wollen. In vielen Fällen sind Einzelgespräche sinnvoller und verlangen Ihren Mitarbeitern weniger ab.
Wenn Sie die vorgenannten Hinweise beachten, können Sie Videokonferenzen DSGVO-konform nutzen.
Einige gängige Anbieter für Videokonferenzen:
Zoom: US-Anbieter, Privacy-Shield zertifiziert, nach derzeitigem Stand DSGVO konform, Auftragsverarbeitungsvertrag: empfohlen
Microsoft Teams und Skype: US-Anbieter, DSGVO konform, da Geschäftsdaten in Deutschland gespeichert werden
Adobe Connect: Irischer Anbieter, DSGVO konform, zwei Varianten: Adobe Connect Meetings oder Webinars
Alfaview: Deutscher Anbieter, DSGVO konform
Circuit: Deutscher Anbieter, DSGVO konform
Aus Gründen des Datenschutzes erscheint es nichtsdestotrotz sinnvoll, Telefonkonferenzen Videokonferenzen vorzuziehen, sofern dies möglich ist. Auch im Falle von instabilen Datennetzen haben Telefon-Meetings einen klaren Vorteil.