Als Ausgangspunkt für die Planung, Umsetzung und Einführung eines neuen Videokonferenzsystems (VKS) sowie für die Überprüfung eines bereits eingesetzten VKS sollte aus datenschutzrechtlicher Perspektive der geplante Einsatzzweck dienen. Verantwortliche gemäß Art. 4 Abs. 7 Datenschutz-Grundverordnung (DS-GVO) müssen zunächst das konkrete Einsatzszenario und die damit verbundenen Zwecke der Verarbeitung festlegen.
Rechtliche Grundlagen
Für die geplanten Verarbeitungen personenbezogener Daten muss jeweils eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO vorliegen. Dies kann für die Zusammenarbeit im Unternehmen der Arbeitsvertrag gemäß Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO sein. Für die Kommunikation mit bestehenden oder zukünftigen Vertrags- oder sonstigen Kommunikationspartnern dürfte die Rechtsgrundlage in Art. 6 Abs. 1 UAbs. 1 lit. b oder f DS-GVO zu finden sein. Wird das VKS eingesetzt, damit Behörden oder sonstige öffentliche Stellen ihre gesetzlichen Aufgaben erfüllen können, ergibt sich die Rechtsgrundlage aus Art. 6 Abs. 1 UAbs. 1 lit. e in Verbindung mit Art. 6 Abs. 3 DS-GVO, § 3 Abs. 1 HDSIG und dem jeweiligen Fachgesetz. Zusätzlich muss sichergestellt sein, dass im Sinne des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DS-GVO kein milderes Mittel zur Zweckerreichung eingesetzt werden kann, etwa die alternative Durchführung von Telefonkonferenzen.
Allgemeine Anforderungen
Sind die rechtlichen Voraussetzungen erfüllt, müssen konkrete Anforderungen an das einzusetzende VKS erarbeitet werden. Aus fachlicher Sicht zählen hierzu insbesondere benötigte Funktionalitäten und erforderliche Eigenschaften des Systems. Aus datenschutzrechtlicher Perspektive sind bei der Auswahl eines VKS insbesondere die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO umzusetzen. Hinzu kommt die dauerhafte Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO. Für beide Artikel gilt, dass Risiken für Rechte und Freiheiten betroffener Personen bei der Auswahl und der Umsetzung technischer und organisatorischer Maßnahmen zu berücksichtigen sind. Eine entsprechende Risikobetrachtung ist demzufolge bereits frühzeitig durchzuführen.
Grundsätzlich sollten Verantwortliche die Einhaltung der DS-GVO bei der Festlegung der Anforderungen an das zukünftig eingesetzte VKS umfassend und differenziert berücksichtigen. Nur so können sie ihrer Verpflichtung gemäß Art. 24 Abs. 1 DS-GVO zur Sicherstellung der datenschutzrechtskonformen Verarbeitung bereits in frühen Phasen eines Projektes zur Bereitstellung eines VKS nachkommen. Eine spätere Berücksichtigung kann demgegenüber zu erheblich erhöhten Aufwänden, Verzögerungen oder sogar Projektabbrüchen führen.
Unterschiedliche Betriebsmodelle
Für Bereitstellung, Betrieb und Wartung eines VKS stehen Verantwortlichen grundsätzlich drei unterschiedliche Betriebsmodelle zur Verfügung.
- Beim Selbstbetrieb eines VKS beschaffen Verantwortliche die zugrundeliegende Software sowie ggf. ergänzende Services und Dienstleistungen. Installation, Konfiguration, Betrieb und Wartung erfolgen vollständig durch den Verantwortlichen und auf Basis seiner eigenen IT-Systeme.
- Beim Betrieb eines VKS durch einen externen Dienstleister wird auf dessen Ressourcen und Expertise zurückgegriffen. Art, Umfang und Ausgestaltung der übernommenen Aufgaben können von Fall zu Fall stark variieren. Mit einem solchen Auftragsverarbeiter gemäß Art. 4 Abs. 8 DS-GVO muss ein Verantwortlicher einen entsprechenden Vertrag gemäß Art. 28 Abs. 3 DS-GVO abschließen. In diesem Vertrag muss u.a. festgelegt werden, wie die oben genannten Anforderungen umgesetzt werden. Auch muss sich der Verantwortliche Rechte auf Kontrolle und Weisung des Auftragsnehmers vorbehalten und später auch ausüben.
- Schließlich kann zur Durchführung von Videokonferenzen auf einen Online-Dienst zurückgegriffen werden. Hierbei handelt es sich in der Regel um ein standardisiertes Angebot eines Dienstleisters. Ein einzelner Dienstleister stellt seinen Kunden häufig alternative Angebote zur Verfügung. Diese können hinsichtlich der zur Verfügung gestellten Volumina, z.B. maximale Teilnehmerzahl für eine einzelne Videokonferenz, sowie hinsichtlich bereitgestellter Funktionalitäten und Konfigurationsmöglichkeiten variieren. Auch bei solchen Dienstleistern handelt es sich um Auftragsverarbeiter im Sinne der DS-GVO, so dass auch mit diesen ein Vertrag gemäß Art. 28 Abs. 3 DS-GVO geschlossen werden muss. In diesem Fall müssen die gleiche Inhalte vereinbart werden wie im vorherigen Betriebsmodell. Diese sind gegenüber einem Online-Dienste-Anbieter jedoch schwerer durchzusetzen, weil dieser selten bereit und in der Lage ist, auf individuelle Anforderungen des Auftraggebers einzugehen. Dennoch bleibt letzterer für die Datenschutzkonformität seines VKS verantwortlich.
Die Entscheidung für eines der vorangegangenen Betriebsmodelle hat weitreichende Auswirkungen. So dürfte der Selbstbetrieb im Vergleich zu den beiden anderen Betriebsmodellen das höchste Maß an Freiheit hinsichtlich der konkreten Ausgestaltung eines VKS bieten. Auch dürften Verantwortliche hier die größtmögliche Kontrolle über das eingesetzte VKS haben. Gleichzeitig wird die Abhängigkeit von externen Dienstleistern hinsichtlich der Bereitstellung des VKS auf das Nötigste reduziert. Wird auf Open Source-Software zurückgegriffen, so hat der Verantwortliche darüber hinaus die Möglichkeit, tiefgehende Einblicke in die zugrundeliegende Implementierung zu erhalten. Für den Selbstbetrieb müssen Verantwortliche in ausreichendem Umfang über Ressourcen und Expertise verfügen und diese auch bereitstellen. Andernfalls können sie ihren datenschutzrechtlichen Verpflichtungen nicht angemessen nachkommen. Weiterführende Informationen zu den Betriebsmodellen finden sich in der unten angegebenen Orientierungshilfe Videokonferenzsysteme der DSKÖffnet sich in einem neuen Fenster.
Datenübermittlung in Drittstaaten
Die Entscheidung darüber, welche Anwendung genutzt werden soll, muss u.a. unter Berücksichtigung der Entscheidung des Europäischen Gerichtshofs (EuGH) zur Übermittlung personenbezogener Daten in Drittländer vom 16. Juli 2020 (Rs. C-311/18 – sog. Schrems II)Öffnet sich in einem neuen Fenster getroffen werden. Der EuGH hat in dieser Entscheidung klargestellt, dass Standarddatenschutzklauseln im Sinne von Art. 46 Abs. 2 Buchst. c oder d DS-GVO oder auch andere vertragliche Garantien im Sinne von Art. 46 DS-GVO, z.B. sog. Binding Corporate Rules, für sich gesehen in einer Reihe von Fällen keine ausreichende datenschutzrechtliche Grundlage für die Übermittlung personenbezogener Daten in Drittländer sind. Dies gilt laut EuGH konkret für Übermittlungen in die USA, bei denen die Daten Zugriffen der US-Nachrichtendienste auf Basis der US-Regelungen bzw. -Gesetze „FISA Section 702“ und/oder „Executive Order 12.333“ ausgesetzt sein könnten. Dies deshalb, weil die Zugriffsmöglichkeiten der US-Behörden nach den o.g. US-Gesetzen das nach EU-Recht akzeptable Maß übersteigen, und daher die Daten nach den Maßstäben geltenden europäischen Rechts nicht hinreichend geschützt wären.
Die Schrems II-Entscheidung des EuGH betrifft insbesondere auch US-amerikanische VKS, die als „electronic communication service provider“ unter „FISA Section 702“ fallen, soweit im Rahmen ihrer Nutzung personenbezogene Daten (z.B. Inhalts-, Wartungs-, Telemetrie- oder Abrechnungsdaten) in die USA übermittelt werden.
Eine rechtlich insoweit unbedenkliche Alternative ergibt sich aus der Nutzung von Anwendungen, deren Betreiber ihre Rechenzenten im Wirkungsbereich der DS-GVO haben und keine personenbezogenen Daten in die USA oder andere Drittländer übermitteln.
Auswahl des VKS
Durch die Auswahl einer Videokonferenz-Software und des zugehörigen Betriebsmodells legen Verantwortliche den wesentlichen Rahmen für die konkrete Ausgestaltung und Umsetzung eines VKS fest. Nachfolgende Aktivitäten hinsichtlich Installation, Konfiguration, Betrieb und Wartung können nur noch in diesem Rahmen erfolgen. Gleiches gilt auch für die Nutzenden des VKS, etwa hinsichtlich verfügbarer Funktionalitäten. Insgesamt haben diese Entscheidungen somit maßgebliche Auswirkungen, nicht zuletzt auch auf die Möglichkeit, die datenschutzrechtlichen Anforderungen einzuhalten.
Zentrale Konfiguration des VKS
Bevor mit dem VKS Videokonferenzen durchgeführt werden, muss nach Art. 25 Abs. 2 DS-GVO das VKS allgemein so konfiguriert werden, dass „durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden“. Hierfür sind u.a. folgende Voreinstellungen vorzunehmen:
- Individuelle Entscheidung der teilnehmenden Person über Kamera und Mikrofon,
- Deaktivierung automatischer Aufzeichnung (Aktivierung nur nach Information der Teilnehmer),
- Deaktivierung von Tracking- und Beobachtungsfunktionen,
- Deaktivierung von Statistikdaten und automatische Fehlermeldungen,
- Deaktivierung automatischen Screen-Sharing, Screen-Sharing nur durch teilnehmende Person,
- Möglichkeiten für künstliche Hintergründe,
- Authentifizierung des Veranstalters,
- Zugangsbeschränkungen der Teilnehmer und
- Löschmöglichkeiten für alle Daten.
Diese Voreinstellungen muss der Verantwortliche je nach Betriebsmodell von dem Dienstleister oder dem Online-Anbieter im Auftragsvertrag einfordern.
Weiterführend Hinweise
Diese Ausführungen vermitteln einen ersten und allgemeinen Eindruck von den datenschutzrechtlichen Aufgaben, Verpflichtungen und Entscheidungen, mit denen sich Verantwortliche im Rahmen der Beschaffung oder Überprüfung von VKS konfrontiert sehen. Als Unterstützung für Verantwortliche hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) auf ihrer Website eine detailliertere Orientierungshilfe mit zugehöriger Checkliste zum Download bereitgestellt. Außerdem hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit eine ausführliche rechtliche und technische Überprüfung verschiedener VKS durchgeführt und nach einem Ampelsystem bewertet.
Stand: 21.06.2021