DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste)

Zum Schutz vor Infektion durch das Corona-Virus, müssen viele Mitarbeiter*innen ihre Arbeit vom Home-Office aus verrichten.

Trotzdem muss die Kommunikation untereinander, als auch mit den Kunden oder Geschäftspartnern aufrechterhalten werden. Daher wird der Einsatz von Diensten für Video- und Onlinekonferenzen, -Meetings oder Webinaren, wie z. B. Zoom, Skype oder Slack häufig zwingend notwendig.

Bei deren Nutzung müssen jedoch, auch trotz Krisenzeiten, die Vorgaben der DSGVO eingehalten werden. Wie Sie die Vorgaben erfüllen können und warum Sie schon bei der Auswahl der Dienste an sie denken sollten, erfahren Sie im folgenden Beitrag. Am Ende des Beitrags erhalten Sie eine Übersicht der Anbieter sowie eine zusammenfassende Checkliste.

Vorüberlegungen und Auswahl der Dienstleister

Die DSGVO schreibt einen “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor (Art. 25 DSGVO). In der Praxis müssen Sie daher die folgenden zwei Punkte schon bei der Auswahl des passenden Konferenzdienstes beachten:

  • EU-Dienste vorziehen – Gehen Sie immer den sichersten Weg und wenn z. B. ein Dienst aus den USA und ein gleichwertiger Dienst aus der EU zur Auswahl stehen, wählen Sie lieber den Dienst aus der EU. Update 16.7.2020: Der EuGH hat das Privacy Shield für unwirksam erklärt und Datenübertragungen in die USA generell in Frage gestellt. Bitte lesen Sie dazu den Beitrag: EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen.
  • Dienste mit datenschutzfreundlichsten Einstellungen wählen – Sie sollten Dienste mit den datenschutzfreundlichsten Verfahrens- und Einstellungsmöglichkeiten auswählen, u.a.:
  • Verschlüsselung – Übertragungen sollten verschlüsselt erfolgen.
  • Geschäftsnutzung – Die geschäftliche Nutzung sollte erlaubt sein (da datenschutzrechtliche Zusicherungen auf Geschäftskunden beschränkt sein können). Unter Umständen bieten auch nur bezahlte Versionen die erforderlichen Datenschutzfunktionen.
  • Freigaben – Bildschirmübertragung oder Aufzeichnung sollte eine ausdrückliche Zustimmung voraussetzen.
  • Protokolle und Aufzeichnungen – Gesprächsverläufe und Aufzeichnungen sollten grundsätzlich nach Gesprächsende gelöscht werden.
  • Profiling – Es sollten keine Verhaltensprofile der Teilnehmer gebildet werden oder diese Funktion sollte abgeschaltet werden können.

Beteiligung Betriebs- oder Personalrat sowie Datenschutzbeauftragte

Datenschutzbeauftragte sollten schon bei der Auswahl des passenden Dienstes involviert werden.

Dasselbe gilt, soweit vorhanden, für den Betriebs- oder den Personalrat, da sie dem Einsatz der Dienste am Ende zustimmen müssen (s. § 87 Abs. 1 Nr. 6 BetrVG). Die Zustimmung ist gesetzlich vorgeschrieben, da die Konferenzdienste sich zur Überwachung der Mitarbeiter objektiv eignen (auch wenn tatsächlich keine Überwachung geplant ist).

Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen

Als Drittländer werden Länder außerhalb der EU bezeichnet. Wenn Sie Anbieter aus Drittländern einsetzen, müssen Sie sicherstellen, dass das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO).

Das können Sie zwar selten selbst überprüfen. Jedoch existieren formelle Verfahren, die eine für die Praxis hinreichende Verlässlichkeit des Datenschutzniveaus bieten:

  • EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Faröer Inseln, Guernsey, Japan, Kanada und Israel (z.T.)
  • Privacy-Shield-Zertifikat –  Ein angemessenes Datenschutzniveau können Sie bei Unternehmen aus den USA, die über ein Privacy-Shield-Zertifikat verfügen, annehmen.
  • Abschluss sog. „Standard Contractual Clauses (SCC)” – Diese vorgefertigten Standardschutzklauseln verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden).
  • Vertraglich erforderliche Datentransfers – Auch wenn es eher selten der Fall sein wird, kann die Nutzung einer bestimmten Software mit einem Vertragspartner auch vertraglich vereinbart werden (wobei sichergestellt werden muss, dass der Vertragspartner auch weiß, dass die Daten in einem Drittland verarbeitet werden).
  • Einwilligungen der Betroffenen – Es ist zwar möglich, dass Sie Einwilligungen der Teilnehmer, z. B. der Kunden und Mitarbeiter einholen. Allerdings sind Mitarbeiter besonders geschützt und deren Einwilligungen grundsätzlich nur dann wirksam, wenn keine datenschutzfreundlicheren Dienste in Frage kamen (§ 26 Abs. 2 BDSG). D.h. Sie werden daher nachweisen müssen, dass ein EU-Dienst oder ein Dienst mit einem Privacy-Shield-Zertifikat oder Standardschutzklauseln nicht in Frage kam. Das dürfte eher selten der Fall sein.

Abschluss eines Auftragsverarbeitungsvertrages

Als Auftragsverarbeiter werden Dienstleister bezeichnet, die personenbezogene Daten Ihrer Kunden oder Mitarbeiter entsprechend Ihreren Weisungen nur für Sie verarbeiten.

Auch Anbieter von Video- und Onlinekonferenzdiensten sind grundsätzlich als Auftragsverarbeiter anzusehen, so dass Sie die folgenden Punkte beachten müssen:

  • Abschluss Auftragsverarbeitungsvertrag – Mit Auftragsverarbeitern müssen Sie Auftragsverarbeitungsverträge nach Maßgabe des Art. 28 DSGVO abschließen. Die meisten Anbieter bieten derartige Vereinbarungen, die Sie in der nachfolgenden Übersicht der Video- und Onlinekonferenzdienste finden, an.
  • Prüfung technischer und organisatorischer Maßnahmen sowie Subunternehmer  – Ferner müssen Sie die Angaben zu technischen und organisatorischen Maßnahmen (z. B. Pseudonymisierung, Backupverfahren, Verschlüsselungen, etc., Art. 32 DSGVO) sowie eingesetzten Subunternehmern prüfen (in der Praxis wird Ihnen an dieser Stelle sehr wahrscheinlich keine Unregelmäßigkeit auffallen, aber Sie sollten die Prüfung dennoch durchführen).

Datenschutzfreundliche Voreinstellungen

Wenn Sie die Dienste einsetzen, sollten Sie die Einstellungen möglichst datenschutzfreundlich auswählen (“Datenschutz durch datenschutzfreundliche Voreinstellungen“, Art. 25 Abs. 2 DSGVO).

Insbesondere sollten Sie sich bei jeglichen Tracking-, Beobachtungs-, Protokoll-, Screen-Sharing- und Aufzeichnungs-Funktionen immer fragen, ob diese Funktionen wirklich erforderlich sind. Dazu sollten Sie bei jeder Funktion eine sog. Erforderlichkeitsprüfung durchführen.

Beispiele: Erforderlichkeitsprüfung

Sie sollten in jedem Fall das folgende Prüfungsmuster anwenden und zu Nachweiszwecken wie in dem folgenden Beispiel protokollieren (d.h. niederschreiben).

Angenommen Sie möchten Gespräche mit einem Mitarbeiter als Gedächtnisstütze aufzeichnen:

  1. Zu welchem (zulässigen) Zweck benötigen wir diese Funktion? – Um sich bei eventuellen Fragen an das Gespräch erinnern zu können (Anm.: die meisten Zwecke werden zulässig sein, unzulässig wäre z .B. eine heimliche Totalüberwachung der Mitarbeiter).
  2. Ist die Funktion geeignet, um den Zweck zu erfüllen? – Ja, man kann zu Stellen des Gesprächs springen.
  3. Gibt es nicht datenschutzfreundlichere Wege, die zum gleichen Ziel führen? – Ja, man könnte sich das Wichtigste protokollieren und bei Fragen zurückrufen.
  4. Welche Schutzmaßnahmen sollten ergriffen werden? – Entfällt, da Aufzeichnung nicht erforderlich.

Zwar könnten Sie auch eine Einwilligung der Mitarbeiter in die Aufzeichnung einholen. Allerdings müsste auch die Einwilligung auf ihre Erforderlichkeit geprüft werden, womit Sie zum gleichen Ergebnis kämen.

Anders könnte es aussehen, wenn z. B. Texte in einer Konferenz diktiert und wortgetreu, z. B. in einem Schreiben oder einer Pressemitteilung wiedergegeben werden sollen:

  1. Zu welchem Zweck benötigen wir diese Funktion? – Um die diktierten Texte abtippen zu können.
  2. Ist die Funktion geeignet, um den Zweck zu erfüllen? – Ja, man kann so sicherstellen, das Gesagte genau erfasst zu haben.
  3. Gibt es nicht datenschutzfreundlichere Wege, die zum gleichen Ziel führen? – Nein, man könnte zwar alles protokollieren und zurückrufen. Allerdings wäre die Häufigkeit der möglichen Fehler bei einem genau wiederzugebenden Text zu hoch.
  4. Welche Schutzmaßnahmen sollten ergriffen werden? Aufzeichnung nur im Audioformat, d.h. ohne Bild, wenn technisch möglich, Hinweis auf die Aufzeichnung und Rückfrage ob Mitarbeiter einverstanden ist (Die Bestätigung sollte mitaufgezeichnet werden). Löschung sofort nach Niederschrift (bzw. falls erforderlich, nach Freigabe) der Texte.

D.h. Sie sehen, dass der Einsatz von Video- und Onlinekonferenzdiensten kann nicht einheitlich, sondern muss pro Funktion und Zweck ihrer Nutzung beurteilt werden.

Datenschutzhinweise

Sie sind dazu verpflichtet die Kommunikationsteilnehmer unter anderem über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Konferenzen oder Webinare zu informieren (Art. 12, 13 DSGVO).

Da Sie sowohl Ihre Mitarbeiter wie auch Ihre Kunden oder Geschäftspartner belehren müssen, empfiehlt sich diese Informationen in Ihrer regulären Datenschutzerklärung aufzunehmen. Auf die Datenschutzerklärung können Sie dann per Link z. B. auf Loginseiten oder in Einladungen zu einem Onlinemeeting hinweisen.

Wenn Sie eine Datenschutzerklärung mit unserem Datenschutzgenerator erstellen, können Sie die von Ihnen eingesetzten Dienste auswählen. Die Hinweise beinhalten Links zu den jeweiligen Datenschutzerklärungen und Bestätigungen des Datenschutzniveaus in Drittländern (z . B. Links zu den Privacy-Shield-Zertifikaten).
Wenn Sie eine Datenschutzerklärung mit unserem Datenschutz-Generator erstellen, können Sie die von Ihnen eingesetzten Dienste auswählen. Die Hinweise beinhalten Links zu den jeweiligen Datenschutzerklärungen und Bestätigungen des Datenschutzniveaus in Drittländern (z . B. Links zu den Privacy-Shield-Zertifikaten).

Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen sollten Sie ein Verzeichnis von Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Dort sollten Sie im Rahmen der aufgeführten Verarbeitungsprozesse auch den eingesetzten Konferenzdienst aufnehmen. Im Prinzip gehören dieselben Informationen hinein, wie in die Datenschutzerklärung.

Übersicht der Anbieter

Mit der folgenden Übersicht erhalten Sie die, für Ihre Prüfung der Nutzung der gewünschten Konferenzdienste erforderlichen Angaben:

 

Name Land Sicherstellung Datenschutzniveau im Drittland AV-Vertrag/DPA Datenschutzerklärung
Adobe Connect USA Privacy Shield Auf Anfrage Link
AnyMeeting USA Privacy Shield Auf Anfrage Link
Arkadin De Auf Anfrage Link
Cisco WebEx USA Standardschutzklauseln (SCC) Link Link
ClickMeeting Pl Im Kundenkonto Link
CITOmeeting (wolkesicher.de) De Angefragt Link
Discord USA Privacy Shield nicht angeboten Link
ecosero De Auf Anfrage Link
edudip De Im Kundenkonto Link
fastviewer De Link Link
Facebook Messenger Rooms IRL Standardvertragsklauseln nicht angeboten Link, Link
Google Hangouts / Meet IRL Privacy Shield (Bei Datentransfers in die USA) Link (automatisch mit AGB akzeptiert) Link
GoToMeeting USA Privacy Shield Link Link
Intercall Unified Meeting USA Privacy Shield Link Link
meetgreen De Auf Anfrage Link
meetyoo De Auf Anfrage Link
Microsoft Teams USA Privacy Shield Standardvertragsklauseln Link Link, Link
OnConsult De Im Kundenkonto Link
RED connect De Link Link
sichere-videokonferenz.de/ De Link Link
Skype for Business USA Privacy Shield Link Link, Link
Slack USA Privacy Shield Link Link
TeamViewer De Link (automatisch mit AGB akzeptiert) Link
Telekom – Conferencing & Collaboration DE Link Link
Twitch USA nicht angeboten Link
Whereby Nor – (EWR/DSGVO gilt auch in Norwegen) Link (automatisch mit AGB akzeptiert) Link
Wire Ch Anerkanntes Datenschutzniveau nicht angeboten Link
Zoom USA Privacy Shield und Standardschutzklauseln (SCC) In SCC enthalten Link

Checkliste

Die folgenden Prüfungsmaßnahmen müssen Sie vor dem Einsatz von Video- und Onlinekonferenzanbietern beachten:

  1. Vorüberlegungen und Auswahl der Dienstleister
    • EU-Dienste vorziehen.
    • Dienste mit datenschutzfreundlichsten Einstellungen wählen.
  2. Beteiligung Betriebs- oder Personalrat sowie Datenschutzbeauftragte
  3. Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen
    • Angemessenes Datenschutzniveau (z. B. Schweiz, Israel, Kanada, Neuseeland).
    • Privacy-Shield-Zertifizierung eines US-Dienstes.
    • Abschluss von “EU Model Contract Clauses” (Standardschutzklauseln).
    • Einwilligung (kommt selten in Frage).
  4. Abschluss eines Auftragsverarbeitungsvertrages
    • Prüfung, ob weisungsgebundene Auftragsverarbeitung vorliegt.
    • Prüfung technischer und organisatorischer Maßnahmen.
    • Prüfung Subunternehmer.
  5. Datenschutzfreundliche Voreinstellungen  und Erforderlichkeitsprüfung
    • Je Funktion und Zweck prüfen und protokollieren:
    • (Zulässiger) Zweck der Funktion.
    • Eignung der Funktion für den Zweck.
    • Keine gleich geeigneten, aber datenschutzfreundlicheren Alternativen.
    • Mögliche Schutzmaßnahmen.
  6. Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten
  7. Hinweise in der Datenschutzerklärung

Fazit

Auch wenn in Zeiten der Corona-Pandemie Vieles wichtiger ist als die DSGVO, so müssen Sie als Unternehmen oder Organisationen dennoch die gesetzlichen Vorgaben beachten.

Wenn Sie jedoch die Prüfung der Zulässigkeit der gewählten Dienste protokollieren, sofern erforderlich die Bestätigung der Mitarbeitervertretung einholen, Auftragsverarbeitungsverträge abschließen, die datenschutzfreundlichsten Einstellungen wählen und die Datenschutzerklärung ergänzen, wird der Einsatz der vorstehend genannten Konferenzdienste in der Praxis hinreichend sicher sein.

Kritik und Einzelfallprüfung

Allerdings müssen Sie mit Kritik seitens der Datenschützer rechnen, wenn Sie US-Dienste einsetzen, obwohl (aus deren Sicht gleichwertige) EU-Alternativen existieren. Daher sollten Sie genau begründen können, warum es gerade der US-Dienst sein soll.

Um im Einzelfall ganz sicher zu sein, sollten Sie die Prüfung daher am besten von einer Fachperson durchführen lassen (z. B. von Datenschutzbeauftragten oder spezialisierten Rechtsanwältinnen).

Update

  • 31.03.2020 – Hinweis auf das Verzeichnis von Verarbeitungstätigkeiten ergänzt. Neue Dienste “Adobe Connect” und “eudip”.
  • 04.04.2020 – Neue Dienste: “Telekom – Conferencing & Collaboration”.
  • 07.04.2020 – Neuer Link zum AV-Vertrag (DPA) von Zoom.
  • 16.04.2020 – Neuer Dienst Whereby.
  • 17.05.2020 – Teamviewer, Verweis auf AV-Vertrag in EULA; Link zum AV-Vertrag von Cisco Webex aktualisiert.
  • 27.05.2020 – ecosero und RED connect neu aufgenommen.
  • 08.06.2020 – SocialHub Meet neu aufgenommen.
  • 10.06.2020 – OnConsult, Facebook Messenger Rooms und Wire neu aufgenommen.
  • 16.07.2020 – Update nach Aufhebung des Privacy-Shields: Auch der Einsatz von Videokonferenztools ist betroffen, wenn diese Daten in den USA verbeiten. S. Beitrag EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen.
  • 03.02.2020 – sichere-videokonferenz.de und CITOmeeting wurden in der Anbieterübersicht neu aufgenommen.

Linktipps

Video mit FAQ zum Einsatz von Konferenztools

Facebook

Mit dem Laden des Beitrags akzeptieren Sie die Datenschutzerklärung von Facebook.
Mehr erfahren

Beitrag laden

Tipp für mehr Rechtssicherheit

Mit unserer DSGVO-Datenschutzerklärung können Sie Video- und Konferenztools generieren. Für den Nachweis über eine DSGVO-gerechte Unterrichtung der Mitarbeiter*innen über Datenschutzvorgaben, empfehlen wir eine “Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)” abzuschließen.
Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)