Im zweiten Teil zum Thema Videokonferenzen wird der datenschutzrechtliche Aspekt thematisiert. Die zunehmende Nutzung in Organisationen von Videokonferenz Tools betrifft nämlich nicht nur die technische Implementierung, sondern auch den datenschutzrechtlichen Teil.
Die Datenschutzkonferenz (DSK) hat hierzu eine Orientierungshilfe für Videokonferenzsysteme veröffentlicht. Denn: Während Videokonferenzen werden personenbezogene Daten der Teilnehmenden verwendet, welche bei der wachsenden Funktionsvielfalt von Videokonferenzlösungen stetig mehr werden. Das können Daten über Arbeitszeiten, berufliche Kontakte oder auch Personen aus dem Umfeld sein (z.B. Während der Videokonferenz im Hintergrund auftretende Personen).
Die Orientierungshilfe der DSK zeigt drei Möglichkeiten auf, eine Videokonferenzsystemlösung in der Organisation einzuführen:
Ein selbst betriebener Dienst
Organisationen entscheiden sich für eine Videokonferenzlösung, um diese selbst zu betreiben und entscheiden zudem, wie diese gehostet wird (On-Premise-Lösung oder Open-Source-Lösung). Der Vorteil dabei: Die Organisationen treffen die Entscheidung selbst, welche Software verwendet wird und übernehmen somit die Kontrolle über die Datenverarbeitung ihrer Videokonferenzen. Dabei sind Kenntnisse in diesem Bereich vorausgesetzt, über welche Verantwortliche der Organisationen verfügen sollten.
Die Nutzung eines externen IT-Dienstleister
Entscheidet sich eine Organisation für einen nicht eigenständigen Betrieb einer Videokonferenzlösung oder fehlt möglicherweise die interne Expertise hierfür, kann ein externer Dienstleister in Anspruch genommen werden. Dabei sollte eine Überprüfung durchgeführt werden, welche Daten an den Hersteller der Software sowie an Dritte weitergeleitet werden. Dies sollte vertraglich vereinbart und festgehalten werden.
Der Online-Dienst (Software as a Service)
Die dritte Möglichkeit, Videokonferenzen in einer Organisation zu implementieren, sind Online-Dienste. Hierbei wird ein Vertrag mit einem entsprechenden Anbieter vereinbart. Grundsätzlich sollte zumindest ein Auftragsverarbeitungsvertrag vereinbart werden. Dabei sind sogenannte „zentrale Konfigurationsoptionen“ (z. B. Datenabflüsse, Zugriffsrechte) zu prüfen und unter Umständen anzupassen. Es empfiehlt sich, einen Dienstleister auszuwählen, der sowohl technische als auch DSGVO konforme Kriterien erfüllt.
Einige Anbieter von Videokonferenzplattformen stammen aus den USA, wo schließlich auch die Daten verarbeitet werden. Da der Europäische Gerichtshof das Privacy Shield Abkommen zwischen der EU und den USA für unzulässig erklärte, greifen einige Organisationen auf Standardklauseln zurück. Hierbei ist es ratsam, zusätzlich vertragliche Garantien für die Übermittlung und Verarbeitung von personenbezogenen Daten zu vereinbaren.
Foto von mohamed hassan abrufbar unter: PxHere
Was es zu beachten gilt
Die Berliner Beauftragte für Datenschutz und Informationssicherheit empfiehlt:
Was wir bieten
Jalios bietet Open-Source Lösungen wie Jitsi und Bigbluebotton an, aber auch Lösungen wie Teams und geht auf den Bedarf Ihrer Organisation ein.
Bei Fragen und Anregungen zögern Sie nicht uns zu kontaktieren!