Spätestens seit Ausbruch der COVID-19-Pandemie durchdringen Videokonferenzsysteme (VKS) immer weitere Teile unseres Alltags. Direkte persönliche Kontakte werden auf das Nötigste reduziert, wo immer dies möglich ist. Berufliche Abstimmungen und Sitzungen finden als Videokonferenzen statt, häufig aus dem Homeoffice. Schülerinnen und Schüler werden mittels Videokonferenzen unterrichtet, sofern die erforderliche Ausstattung und Infrastruktur verfügbar sind. Auch Kontakte im privaten Bereich erfolgen immer häufiger virtuell. Und dies sind nur einige Beispiele für das breite Spektrum möglicher Anwendungsgebiete von VKS.
Öffentliche und nichtöffentliche Organisationen müssen als Verantwortliche gemäß Art. 4 Abs. 7 Datenschutz-Grundverordnung (DS-GVO) über die gesamte Nutzungsdauer eines VKS hinweg datenschutzrechtliche Anforderungen erfüllen. Hierzu zählen insbesondere auch die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO sowie die Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DS-GVO. Zusätzliche Anforderungen und Aufgaben ergeben sich bspw. im Zusammenhang mit der Umsetzung der Betroffenenrechte gemäß der Art. 12 ff. DS-GVO.
Wer als Angehörige oder Angehöriger eines Unternehmens, einer Behörde oder einer sonstigen verantwortlichen Stelle eine Videokonferenz für einen der vorgesehenen Zwecke ausrichtet, muss eine datenschutzrechtskonforme Durchführung sicherstellen. Der Verantwortliche muss hierbei durch entsprechende Maßnahmen unterstützen. Die wesentliche Basis bildet hierbei das eingesetzte VKS und insbesondere die eingesetzte Software, das gewählte Betriebsmodell sowie die Einbettung in die IT-Landschaft des Verantwortlichen. Hierauf aufbauend wird durch die Konfiguration des VKS der Rahmen für die Ausgestaltung einer konkreten Videokonferenz festgelegt. Im Idealfall steht mittels einer vordefinierten Standardkonfiguration bereits eine möglichst datenschutzfreundliche Vorlage für die Ausrichtung einer Videokonferenz zur Verfügung.
Für eine datenschutzrechtskonforme Durchführung einer Videokonferenz ist als Ausgangspunkt zunächst eine entsprechende Konfiguration der Videokonferenz vorzunehmen. Hierzu zählen, in Abhängigkeit vom konkreten Kontext, unter anderem die Erstellung eines neuen Konferenzraums, die Vergabe eines Konferenzpassworts, die Festlegung der Rollen der einzelnen Teilnehmenden und die Deaktivierung nicht benötigter Funktionalitäten. Hierauf aufbauend müssen die teilnehmenden Personen im Vorfeld der geplanten Videokonferenz mit ausreichenden Informationen versorgt werden. Dies gilt vor allem falls Teilnehmende zum ersten Mal über das VKS an einer Videokonferenz teilnehmen und noch nicht angemessen informiert sind. Auch sind ausreichende Informationen eine notwendige Bedingung für die Wirksamkeit einer etwaigen Einwilligung in die Verarbeitung personenbezogener Daten. Zu den bereitzustellenden Informationen zählen insbesondere solche über alternative Möglichkeiten zur Teilnahme an einer Videokonferenz, etwa die Bereitstellung einer Telefoneinwahl. Informationen zu den einzelnen Funktionalitäten des VKS und zu deren Kontrolle sollten ebenfalls bereitgestellt werden, bspw. hinsichtlich der Möglichkeiten zur Deaktivierung und Reaktivierung der Übertragung der eigenen Audio- und Videodaten.
Schließlich muss datenschutzrechtlichen Informationspflichten nachgekommen werden. Für alle diese Fälle sollten Veranstalter vom Verantwortlichen entsprechendes Informationsmaterial bereitgestellt werden. Hierdurch kann nicht zuletzt auch eine einheitliche Informationsversorgung der Teilnehmenden gefördert werden.
Während einer laufenden Videokonferenz muss ein Veranstalter die datenschutzrechtskonforme Durchführung sicherstellen. Hierzu zählt z.B. das Unterbinden einer Teilnahme durch unberechtigte Personen oder das Entfernen dieser aus einer Videokonferenz.
Im Falle der Teilnahme an einer extern organisierten Videokonferenz sollten sich Teilnehmende im Vorfeld umfassend informieren und im Bedarfsfall entsprechende Maßnahmen ergreifen. Wird bspw. aus dem Homeoffice an einer Videokonferenz teilgenommen und stehen seitens des VKS keine Funktionalitäten zum Ausblenden oder Verwischen des Hintergrunds zur Verfügung, so könnte bei Bedarf ein Paravent aufgestellt werden. Hierdurch könnten weitere Angehörige des Haushalts vor einer unbeabsichtigten Bildübertragung geschützt werden.
Die obigen Ausführungen vermitteln einen ersten und allgemeinen Eindruck von den datenschutzrechtlichen Aufgaben und Pflichten mit denen sich Veranstalter oder Teilnehmende an Videokonferenzen konfrontiert sehen. Als Unterstützung hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) auf ihrer Website eine detailliertere Orientierungshilfe mit zugehöriger Checkliste zum Download bereitgestellt.
Stand: 21.06.2021