Zum Schutz vor Infektion durch das Corona-Virus, müssen viele Mitarbeiter*innen ihre Arbeit vom Home-Office aus verrichten.

Trotzdem muss die Kommunikation untereinander, als auch mit den Kunden oder Geschäftspartnern aufrechterhalten werden. Daher wird der Einsatz von Diensten für Video- und Onlinekonferenzen, -Meetings oder Webinaren, wie z. B. Zoom, Skype oder Slack häufig zwingend notwendig.

Bei deren Nutzung müssen jedoch, auch trotz Krisenzeiten, die Vorgaben der DSGVO eingehalten werden. Wie Sie die Vorgaben erfüllen können und warum Sie schon bei der Auswahl der Dienste an sie denken sollten, erfahren Sie im folgenden Beitrag. Am Ende des Beitrags erhalten Sie eine Übersicht der Anbieter sowie eine zusammenfassende Checkliste.

Hinweis: Werden Video- und Konferenzdienste ausschließlich für persönliche und familiäre Zwecke eingesetzt (also nicht beruflich, amtlich, zu Vereinszwecken, etc.), dann kommt die DSGVO nicht zur Anwendung (Art. 2 Abs. 2 lit. c. DSGVO). Aus Gründen Ihrer Sicherheit und der von Teilnehmern, empfehlen wir dennoch die folgenden Hinweise entsprechend zu beachten.

Vorüberlegungen und Auswahl der Dienstleister

Die DSGVO schreibt einen “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor (Art. 25 DSGVO). In der Praxis müssen Sie daher die folgenden zwei Punkte schon bei der Auswahl des passenden Konferenzdienstes beachten:

• EU-Dienste vorziehen – Gehen Sie immer den sichersten Weg und wenn z. B. ein Dienst aus den USA und ein gleichwertiger Dienst aus der EU zur Auswahl stehen, wählen Sie lieber den Dienst aus der EU. Update 16.7.2020: Der EuGH hat das Privacy Shield für unwirksam erklärt und Datenübertragungen in die USA generell in Frage gestellt. Bitte lesen Sie dazu den Beitrag: EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen.
• Dienste mit datenschutzfreundlichsten Einstellungen wählen – Sie sollten Dienste mit den datenschutzfreundlichsten Verfahrens- und Einstellungsmöglichkeiten auswählen, u.a.:

• Verschlüsselung – Übertragungen sollten verschlüsselt erfolgen.
• Geschäftsnutzung – Die geschäftliche Nutzung sollte erlaubt sein (da datenschutzrechtliche Zusicherungen auf Geschäftskunden beschränkt sein können). Unter Umständen bieten auch nur bezahlte Versionen die erforderlichen Datenschutzfunktionen.
• Freigaben – Bildschirmübertragung oder Aufzeichnung sollte eine ausdrückliche Zustimmung voraussetzen.
• Protokolle und Aufzeichnungen – Gesprächsverläufe und Aufzeichnungen sollten grundsätzlich nach Gesprächsende gelöscht werden.
• Profiling – Es sollten keine Verhaltensprofile der Teilnehmer gebildet werden oder diese Funktion sollte abgeschaltet werden können.

Beteiligung Betriebs- oder Personalrat sowie Datenschutzbeauftragte

Datenschutzbeauftragte sollten schon bei der Auswahl des passenden Dienstes involviert werden.

Dasselbe gilt, soweit vorhanden, für den Betriebs- oder den Personalrat, da sie dem Einsatz der Dienste am Ende zustimmen müssen (s. § 87 Abs. 1 Nr. 6 BetrVG). Die Zustimmung ist gesetzlich vorgeschrieben, da die Konferenzdienste sich zur Überwachung der Mitarbeiter objektiv eignen (auch wenn tatsächlich keine Überwachung geplant ist).

Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen

Als Drittländer werden Länder außerhalb der EU bezeichnet. Wenn Sie Anbieter aus Drittländern einsetzen, müssen Sie sicherstellen, dass das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO).

Das können Sie zwar selten selbst überprüfen. Jedoch existieren formelle Verfahren, die eine für die Praxis hinreichende Verlässlichkeit des Datenschutzniveaus bieten:

• EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Faröer Inseln, Guernsey, Japan, Kanada und Israel (z.T.)
• Privacy-Shield-Zertifikat –  Ein angemessenes Datenschutzniveau können Sie bei Unternehmen aus den USA, die über ein Privacy-Shield-Zertifikat verfügen, annehmen.
• Abschluss sog. „Standard Contractual Clauses (SCC)” – Diese vorgefertigten Standardschutzklauseln verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden).
• Vertraglich erforderliche Datentransfers – Auch wenn es eher selten der Fall sein wird, kann die Nutzung einer bestimmten Software mit einem Vertragspartner auch vertraglich vereinbart werden (wobei sichergestellt werden muss, dass der Vertragspartner auch weiß, dass die Daten in einem Drittland verarbeitet werden).
• Einwilligungen der Betroffenen – Es ist zwar möglich, dass Sie Einwilligungen der Teilnehmer, z. B. der Kunden und Mitarbeiter einholen. Allerdings sind Mitarbeiter besonders geschützt und deren Einwilligungen grundsätzlich nur dann wirksam, wenn keine datenschutzfreundlicheren Dienste in Frage kamen (§ 26 Abs. 2 BDSG). D.h. Sie werden daher nachweisen müssen, dass ein EU-Dienst oder ein Dienst mit einem Privacy-Shield-Zertifikat oder Standardschutzklauseln nicht in Frage kam. Das dürfte eher selten der Fall sein.

Hinweis: Dieser Beitrag orientiert sich an pragmatischen Anforderungen. Datenschutzpolitische Diskussionen (z. B. zur Wirksamkeit des Privacy-Shields) können wir leider, ebenso wie die unterschiedlich strengen Ansichten im Datenschutz, nicht in ihrer vollen Bandbreite abbilden.

Abschluss eines Auftragsverarbeitungsvertrages

Als Auftragsverarbeiter werden Dienstleister bezeichnet, die personenbezogene Daten Ihrer Kunden oder Mitarbeiter entsprechend Ihreren Weisungen nur für Sie verarbeiten.

Auch Anbieter von Video- und Onlinekonferenzdiensten sind grundsätzlich als Auftragsverarbeiter anzusehen, so dass Sie die folgenden Punkte beachten müssen:

• Abschluss Auftragsverarbeitungsvertrag – Mit Auftragsverarbeitern müssen Sie Auftragsverarbeitungsverträge nach Maßgabe des Art. 28 DSGVO abschließen. Die meisten Anbieter bieten derartige Vereinbarungen, die Sie in der nachfolgenden Übersicht der Video- und Onlinekonferenzdienste finden, an.
• Prüfung technischer und organisatorischer Maßnahmen sowie Subunternehmer  – Ferner müssen Sie die Angaben zu technischen und organisatorischen Maßnahmen (z. B. Pseudonymisierung, Backupverfahren, Verschlüsselungen, etc., Art. 32 DSGVO) sowie eingesetzten Subunternehmern prüfen (in der Praxis wird Ihnen an dieser Stelle sehr wahrscheinlich keine Unregelmäßigkeit auffallen, aber Sie sollten die Prüfung dennoch durchführen).

Hinweis: Manche Anbieter bieten zwar eine Plattform an, aber keine Kontrolle über die Daten Ihrer Kommunikationspartner (z. B. Discord oder Twitch). In dem Fall liegt keine Auftragsverarbeitung vor und es müssen keine Auftragsverarbeitungsverträge geschlossen werden. Es könnte jedoch eine Vereinbarung über gemeinsame Verantwortlichkeit erforderlich sein (insbesondere wenn jedoch Nutzerstatistiken zur Verfügung gestellt werden), die jedoch unseres Wissens derzeit von keiner dieser Plattformen angeboten wird.

Datenschutzfreundliche Voreinstellungen

Wenn Sie die Dienste einsetzen, sollten Sie die Einstellungen möglichst datenschutzfreundlich auswählen (“Datenschutz durch datenschutzfreundliche Voreinstellungen“, Art. 25 Abs. 2 DSGVO).

Insbesondere sollten Sie sich bei jeglichen Tracking-, Beobachtungs-, Protokoll-, Screen-Sharing- und Aufzeichnungs-Funktionen immer fragen, ob diese Funktionen wirklich erforderlich sind. Dazu sollten Sie bei jeder Funktion eine sog. Erforderlichkeitsprüfung durchführen.

Beispiele: Erforderlichkeitsprüfung

Sie sollten in jedem Fall das folgende Prüfungsmuster anwenden und zu Nachweiszwecken wie in dem folgenden Beispiel protokollieren (d.h. niederschreiben).

Angenommen Sie möchten Gespräche mit einem Mitarbeiter als Gedächtnisstütze aufzeichnen:

1. Zu welchem (zulässigen) Zweck benötigen wir diese Funktion? – Um sich bei eventuellen Fragen an das Gespräch erinnern zu können (Anm.: die meisten Zwecke werden zulässig sein, unzulässig wäre z .B. eine heimliche Totalüberwachung der Mitarbeiter).
2. Ist die Funktion geeignet, um den Zweck zu erfüllen? – Ja, man kann zu Stellen des Gesprächs springen.
3. Gibt es nicht datenschutzfreundlichere Wege, die zum gleichen Ziel führen? – Ja, man könnte sich das Wichtigste protokollieren und bei Fragen zurückrufen.
4. Welche Schutzmaßnahmen sollten ergriffen werden? – Entfällt, da Aufzeichnung nicht erforderlich.

Zwar könnten Sie auch eine Einwilligung der Mitarbeiter in die Aufzeichnung einholen. Allerdings müsste auch die Einwilligung auf ihre Erforderlichkeit geprüft werden, womit Sie zum gleichen Ergebnis kämen.

Anders könnte es aussehen, wenn z. B. Texte in einer Konferenz diktiert und wortgetreu, z. B. in einem Schreiben oder einer Pressemitteilung wiedergegeben werden sollen:

1. Zu welchem Zweck benötigen wir diese Funktion? – Um die diktierten Texte abtippen zu können.
2. Ist die Funktion geeignet, um den Zweck zu erfüllen? – Ja, man kann so sicherstellen, das Gesagte genau erfasst zu haben.
3. Gibt es nicht datenschutzfreundlichere Wege, die zum gleichen Ziel führen? – Nein, man könnte zwar alles protokollieren und zurückrufen. Allerdings wäre die Häufigkeit der möglichen Fehler bei einem genau wiederzugebenden Text zu hoch.
4. Welche Schutzmaßnahmen sollten ergriffen werden? Aufzeichnung nur im Audioformat, d.h. ohne Bild, wenn technisch möglich, Hinweis auf die Aufzeichnung und Rückfrage ob Mitarbeiter einverstanden ist (Die Bestätigung sollte mitaufgezeichnet werden). Löschung sofort nach Niederschrift (bzw. falls erforderlich, nach Freigabe) der Texte.

D.h. Sie sehen, dass der Einsatz von Video- und Onlinekonferenzdiensten kann nicht einheitlich, sondern muss pro Funktion und Zweck ihrer Nutzung beurteilt werden.

Hinweis: Sie können Sie sich unseres Erachtens auf die Corona-Krise als Argument berufen, wenn Sie die Protokollierung der Zulässigkeitsprüfung Ihrer Video- und Onlinekonferenzsoftware erst nachholen, wenn die Umstrukturierungen dazu Zeit lassen. Da diese Maßnahmen ebenfalls dem Schutz der Rechte Ihrer Kunden, Geschäftspartner und Mitarbeiter dienen, dürfen Sie jedoch nicht ganz auf sie verzichten.

Datenschutzhinweise

Sie sind dazu verpflichtet die Kommunikationsteilnehmer unter anderem über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Konferenzen oder Webinare zu informieren (Art. 12, 13 DSGVO).

Da Sie sowohl Ihre Mitarbeiter wie auch Ihre Kunden oder Geschäftspartner belehren müssen, empfiehlt sich diese Informationen in Ihrer regulären Datenschutzerklärung aufzunehmen. Auf die Datenschutzerklärung können Sie dann per Link z. B. auf Loginseiten oder in Einladungen zu einem Onlinemeeting hinweisen.

Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen sollten Sie ein Verzeichnis von Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Dort sollten Sie im Rahmen der aufgeführten Verarbeitungsprozesse auch den eingesetzten Konferenzdienst aufnehmen. Im Prinzip gehören dieselben Informationen hinein, wie in die Datenschutzerklärung.

Übersicht der Anbieter

Mit der folgenden Übersicht erhalten Sie die, für Ihre Prüfung der Nutzung der gewünschten Konferenzdienste erforderlichen Angaben:

 

Name	Land	Sicherstellung Datenschutzniveau im Drittland	AV-Vertrag/DPA	Datenschutzerklärung
Adobe Connect	USA	Privacy Shield	Auf Anfrage	Link
AnyMeeting	USA	Privacy Shield	Auf Anfrage	Link
Arkadin	De	–	Auf Anfrage	Link
Cisco WebEx	USA	Standardschutzklauseln (SCC)	Link	Link
ClickMeeting	Pl	–	Im Kundenkonto	Link
CITOmeeting (wolkesicher.de)	De	–	Angefragt	Link
Discord	USA	Privacy Shield	nicht angeboten	Link
ecosero	De	–	Auf Anfrage	Link
edudip	De	–	Im Kundenkonto	Link
fastviewer	De	–	Link	Link
Facebook Messenger Rooms	IRL	Standardvertragsklauseln	nicht angeboten	Link, Link
Google Hangouts / Meet	IRL	Privacy Shield (Bei Datentransfers in die USA)	Link (automatisch mit AGB akzeptiert)	Link
GoToMeeting	USA	Privacy Shield	Link	Link
Intercall Unified Meeting	USA	Privacy Shield	Link	Link
meetgreen	De	–	Auf Anfrage	Link
meetyoo	De	–	Auf Anfrage	Link
Microsoft Teams	USA	Privacy Shield Standardvertragsklauseln	Link	Link, Link
OnConsult	De	–	Im Kundenkonto	Link
RED connect	De	–	Link	Link
sichere-videokonferenz.de/	De	–	Link	Link
Skype for Business	USA	Privacy Shield	Link	Link, Link
Slack	USA	Privacy Shield	Link	Link
TeamViewer	De	–	Link (automatisch mit AGB akzeptiert)	Link
Telekom – Conferencing & Collaboration	DE	–	Link	Link
Twitch	USA	–	nicht angeboten	Link
Whereby	Nor	– (EWR/DSGVO gilt auch in Norwegen)	Link (automatisch mit AGB akzeptiert)	Link
Wire	Ch	Anerkanntes Datenschutzniveau	nicht angeboten	Link
Zoom	USA	Privacy Shield und Standardschutzklauseln (SCC)	In SCC enthalten	Link

Checkliste

Die folgenden Prüfungsmaßnahmen müssen Sie vor dem Einsatz von Video- und Onlinekonferenzanbietern beachten:

1. Vorüberlegungen und Auswahl der Dienstleister
   • EU-Dienste vorziehen.
   • Dienste mit datenschutzfreundlichsten Einstellungen wählen.
2. Beteiligung Betriebs- oder Personalrat sowie Datenschutzbeauftragte
3. Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen
   • Angemessenes Datenschutzniveau (z. B. Schweiz, Israel, Kanada, Neuseeland).
   • Privacy-Shield-Zertifizierung eines US-Dienstes.
   • Abschluss von “EU Model Contract Clauses” (Standardschutzklauseln).
   • Einwilligung (kommt selten in Frage).
4. Abschluss eines Auftragsverarbeitungsvertrages
   • Prüfung, ob weisungsgebundene Auftragsverarbeitung vorliegt.
   • Prüfung technischer und organisatorischer Maßnahmen.
   • Prüfung Subunternehmer.
5. Datenschutzfreundliche Voreinstellungen  und Erforderlichkeitsprüfung
   • Je Funktion und Zweck prüfen und protokollieren:
   • (Zulässiger) Zweck der Funktion.
   • Eignung der Funktion für den Zweck.
   • Keine gleich geeigneten, aber datenschutzfreundlicheren Alternativen.
   • Mögliche Schutzmaßnahmen.
6. Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten
7. Hinweise in der Datenschutzerklärung

Hinweis: Bitte beachten Sie, dass die Checkliste Ihnen helfen soll, die Grundanforderungen zu erfüllen und häufig ausreichen wird. Allerdings empfehlen wir die Prüfung durch eine Fachperson, die auch die Umstände eines Einzelfalls berücksichtigen kann. Wir haben ferner nicht alle Datenschutzhinweise und Verträge geprüft.

Fazit

Auch wenn in Zeiten der Corona-Pandemie Vieles wichtiger ist als die DSGVO, so müssen Sie als Unternehmen oder Organisationen dennoch die gesetzlichen Vorgaben beachten.

Wenn Sie jedoch die Prüfung der Zulässigkeit der gewählten Dienste protokollieren, sofern erforderlich die Bestätigung der Mitarbeitervertretung einholen, Auftragsverarbeitungsverträge abschließen, die datenschutzfreundlichsten Einstellungen wählen und die Datenschutzerklärung ergänzen, wird der Einsatz der vorstehend genannten Konferenzdienste in der Praxis hinreichend sicher sein.

Kritik und Einzelfallprüfung

Allerdings müssen Sie mit Kritik seitens der Datenschützer rechnen, wenn Sie US-Dienste einsetzen, obwohl (aus deren Sicht gleichwertige) EU-Alternativen existieren. Daher sollten Sie genau begründen können, warum es gerade der US-Dienst sein soll.

Um im Einzelfall ganz sicher zu sein, sollten Sie die Prüfung daher am besten von einer Fachperson durchführen lassen (z. B. von Datenschutzbeauftragten oder spezialisierten Rechtsanwältinnen).

Update

• 31.03.2020 – Hinweis auf das Verzeichnis von Verarbeitungstätigkeiten ergänzt. Neue Dienste “Adobe Connect” und “eudip”.
• 04.04.2020 – Neue Dienste: “Telekom – Conferencing & Collaboration”.
• 07.04.2020 – Neuer Link zum AV-Vertrag (DPA) von Zoom.
• 16.04.2020 – Neuer Dienst Whereby.
• 17.05.2020 – Teamviewer, Verweis auf AV-Vertrag in EULA; Link zum AV-Vertrag von Cisco Webex aktualisiert.
• 27.05.2020 – ecosero und RED connect neu aufgenommen.
• 08.06.2020 – SocialHub Meet neu aufgenommen.
• 10.06.2020 – OnConsult, Facebook Messenger Rooms und Wire neu aufgenommen.
• 16.07.2020 – Update nach Aufhebung des Privacy-Shields: Auch der Einsatz von Videokonferenztools ist betroffen, wenn diese Daten in den USA verbeiten. S. Beitrag EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen.
• 03.02.2020 – sichere-videokonferenz.de und CITOmeeting wurden in der Anbieterübersicht neu aufgenommen.

Linktipps

• Videokonferenz-Tools: Tipps zur Auswahl und Verwendung – Vertiefende Hinweise, vor allem zur Prüfung von Sicherheitsmaßnahmen bei Datenschutz-Beauftragter.info.
• Covid-19 als „höhere Gewalt“ im Datenschutzrecht? Unternehmen sind nicht in der Haftung – bei RA Dr. Carlo Piltz.
• Hilfe…ist „zoom“ etwa eine Datenschleuder? – bei RA Stephan Hansen-Oest.
• Vernetzt bleiben trotz Corona – datensparsame Tools fürs Homeoffice – Datenschutzfreundliche Alternativen bei Digitalcourage e.V. (auch wenn häufig für betriebliche Nutzung, z. B. wegen Teilnehmereinschränkungen, weniger geeignet).
• GDD-Praxishilfe DS-GVO XVI – Videokonferenzen und Datenschutz.
• Kompendium Videokonferenzsysteme – Bundesamt für Sicherheit in der Informationstechnik (BSI).
• “Rechtssicher Videokonferieren” – Dr. Schwenke zu Gast in der Folge 11 des Podcasts “Auslegungssache” der C’t.

Video mit FAQ zum Einsatz von Konferenztools

Tipp für mehr Rechtssicherheit

Mit unserer DSGVO-Datenschutzerklärung können Sie Video- und Konferenztools generieren. Für den Nachweis über eine DSGVO-gerechte Unterrichtung der Mitarbeiter*innen über Datenschutzvorgaben, empfehlen wir eine “Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)” abzuschließen.

---