Schutz der personenbezogenen Daten - Videokonferenzen (Teil 2)

Im zweiten Teil zum Thema Videokonferenzen wird der datenschutzrechtliche Aspekt thematisiert. Die zunehmende Nutzung in Organisationen von Videokonferenz Tools betrifft nämlich nicht nur die technische Implementierung, sondern auch den datenschutzrechtlichen Teil.

Die Datenschutzkonferenz (DSK) hat hierzu eine Orientierungshilfe für Videokonferenzsysteme veröffentlicht. Denn: Während Videokonferenzen werden personenbezogene Daten der Teilnehmenden verwendet, welche bei der wachsenden Funktionsvielfalt von Videokonferenzlösungen stetig mehr werden. Das können Daten über Arbeitszeiten, berufliche Kontakte oder auch Personen aus dem Umfeld sein (z.B. Während der Videokonferenz im Hintergrund auftretende Personen).

Die Orientierungshilfe der DSK zeigt drei Möglichkeiten auf, eine Videokonferenzsystemlösung in der Organisation einzuführen:

  • Als selbst betriebener Dienst
  • Nutzung der Lösung durch einen externen IT-Dienstleister
  • Verwendung eines Online-Dienstes (Software as a Service)

 

Ein selbst betriebener Dienst

Organisationen entscheiden sich für eine Videokonferenzlösung, um diese selbst zu betreiben und entscheiden zudem, wie diese gehostet wird (On-Premise-Lösung oder Open-Source-Lösung). Der Vorteil dabei: Die Organisationen treffen die Entscheidung selbst, welche Software verwendet wird und übernehmen somit die Kontrolle über die Datenverarbeitung ihrer Videokonferenzen. Dabei sind Kenntnisse in diesem Bereich vorausgesetzt, über welche Verantwortliche der Organisationen verfügen sollten.

 

Die Nutzung eines externen IT-Dienstleister

Entscheidet sich eine Organisation für einen nicht eigenständigen Betrieb einer Videokonferenzlösung oder fehlt möglicherweise die interne Expertise hierfür, kann ein externer Dienstleister in Anspruch genommen werden. Dabei sollte eine Überprüfung durchgeführt werden, welche Daten an den Hersteller der Software sowie an Dritte weitergeleitet werden. Dies sollte vertraglich vereinbart und festgehalten werden.

 

Der Online-Dienst (Software as a Service)

Die dritte Möglichkeit, Videokonferenzen in einer Organisation zu implementieren, sind Online-Dienste. Hierbei wird ein Vertrag mit einem entsprechenden Anbieter vereinbart. Grundsätzlich sollte zumindest ein Auftragsverarbeitungsvertrag vereinbart werden. Dabei sind sogenannte „zentrale Konfigurationsoptionen“ (z. B. Datenabflüsse, Zugriffsrechte) zu prüfen und unter Umständen anzupassen. Es empfiehlt sich, einen Dienstleister auszuwählen, der sowohl technische als auch DSGVO konforme Kriterien erfüllt.

Einige Anbieter von Videokonferenzplattformen stammen aus den USA, wo schließlich auch die Daten verarbeitet werden. Da der Europäische Gerichtshof das Privacy Shield Abkommen zwischen der EU und den USA für unzulässig erklärte, greifen einige Organisationen auf Standardklauseln zurück. Hierbei ist es ratsam, zusätzlich vertragliche Garantien für die Übermittlung und Verarbeitung von personenbezogenen Daten zu vereinbaren.

 

mceclip0 - 2021-05-17 09h22m54s

Foto von mohamed hassan abrufbar unter: PxHere

 

Was es zu beachten gilt

Die Berliner Beauftragte für Datenschutz und Informationssicherheit empfiehlt:

  • Bei der Durchführung von Videokonferenzen verschlüsselte Kanäle wählen.
  • Die Verarbeitung von personenbezogenen Daten in Videokonferenzen ist grundsätzlich auf den Zweck der Videokonferenz zu beschränken, sogenannter „Grundsatz der Datensparsamkeit“.
  • Werden Videokonferenzlösungen eines Dienstleisters in Betracht gezogen, empfiehlt es sich, Anbieter der Europäischen Union zu wählen. Befürwortet werden ebenso Anbieter, die die Datenverarbeitung in der EU gewährleisten sowie die Verschlüsselung der Datenübertragung sicherstellen.
  • Prüfen Sie bei Verwendung von Online Diensten ob der Anbieter Dienstleister hinzuzieht, die außerhalb des Europäischen Wirtschaftsraums Leistungen erbringen, da einige Anbieter oftmals auch als Wiederverkäufer von Leistungen US-amerikanischer Unternehmen agieren. In diesen Fällen werden zwar europäische vertragliche Ansprechpartner gewonnen, jedoch ist dadurch nicht gewährleistet, dass der Anbieter sich im Falle eines Konflikts an das EU-Recht hält.
  • Mit Web Services Jitsi und BigBlueButton stehen beispielweise Videokonferenzlösungen bereit, die die datenschutzrechtlichen Anforderungen erfüllen.

 

Was wir bieten

Jalios bietet Open-Source Lösungen wie Jitsi und Bigbluebotton an, aber auch Lösungen wie Teams und geht auf den Bedarf Ihrer Organisation ein. 

 

Bei Fragen und Anregungen zögern Sie nicht uns zu kontaktieren!

von Michelle Stiefel, den 17. Mai 2021, in der Kategorie : Best practices


Siehe auch:

29. April 2021 / Blog
Austausch auf Distanz - Videokonferenzen (Teil 1)
Lesen Sie mehr
Mehr Blog-Einträge anzeigen