Durchführung von Videokonferenzen

Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen

Für die Durchführung von datenschutzgerechten virtuellen Konferenzen empfehlen wir Unternehmen, Behörden und anderen Organisationen, wie folgt vorzugehen. Prüfen Sie

  1. ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen. Diese können sehr viel leichter datenschutzgerecht durchgeführt werden.
  2. ob es Ihnen mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst im Quelltext mit öffentlich verfügbarer (Open-Source-) oder kommerziell erhältlicher Software bereitzustellen. Stellen Sie dabei sicher, dass die eingesetzte Software keine Daten über Ihre Beschäftigten oder deren Kommunikationspartner/-innen an den Hersteller für dessen Zwecke oder Zwecke Dritter übermittelt.
  3. ob eine der Lösungen eines Anbieters mit Sitz und Verarbeitungsort, insbesondere Server-Standort, im Europäischen Wirtschaftsraum (EWR) oder aus einem Land mit gleichwertigem Datenschutzniveau (https://ec.europa.eu/info/law/law-topic/dataprotection/international-dimension-data-protection/adequacy-decisions_en) Ihren Bedürfnissen entspricht.

Prüfen Sie des Weiteren, ob der Anbieter

  1. a) erwarten lässt, dass er die Daten nur im zulässigen Rahmen verarbeitet und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländische Behörden – weitergibt,
  2. b) ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen kann und
  3. c) Ihnen die Verschlüsselung der Datenübertragung garantiert. Fällt die Prüfung positiv aus, dann
  4. d) schließen Sie einen ordnungsgemäßen Auftragsverarbeitungsvertrag mit dem Anbieter, und stellen Sie sicher, dass der Betreiber
  5. e) keine Angaben über Ihre Beschäftigten und deren Kommunikation oder über die Nutzung der Software für eigene Zwecke oder Zwecke Dritter verarbeitet sowie
  6. f) Unterauftragnehmer mit Verarbeitungsort, insbesondere Server-Standort, außerhalb der EU/des EWR für die Bereitstellung des Videokonferenzdiensts nur einsetzt, wenn der Datenexport die Anforderungen des Kapitels V der Datenschutz-Grundverordnung erfüllt.

Bitte beachten Sie, dass der Beschluss der EU-Kommission zur Gleichwertigkeit des Datenschutzniveaus in den USA sich ausschließlich auf Organisationen erstreckt, die sich durch Selbstzertifizierung beim US-Handelsministerium zur Einhaltung der Grundsätze des Privacy Shields verpflichtet haben. Die Zertifizierung muss sich auch auf Personaldaten (HR) erstrecken. Sie überprüfen dies durch Einsicht in die Liste des US-Handelsministeriums unter https://www.privacyshield.gov/list .

  1. Wenn Sie einen Anbieter mit Verarbeitungsort außerhalb von EU/EWR oder einem Land mit gleichwertigem Datenschutzniveau bzw. einen nicht im Rahmen des Privacy Shields für die Verarbeitung von Personaldaten zertifizierten Anbieter in den USA beauftragen wollen, dann erfüllen Sie die Bedingungen unter Ziff. 3. a) – c) und e) und schließen mit ihm zur Erfüllung der Bedingung in Ziff. 3. d) einen Vertrag gemäß den von der EU-Kommission genehmigten Standardvertragsklauseln ( https://eur-lex.europa.eu/legalcontent/DE/TXT/?uri=CELEX%3A32010D0087 ). Eine Einschränkung der Wirkung dieser Klauseln durch anderweitige Vereinbarungen ist nicht zulässig. Dies gilt für jede Art von zusätzlichen Bedingungen und Einschränkungen für die Pflichten und Rechte aus den Standardvertragsklauseln.

Die Erfüllung der Ziff. 3. a) bis 3. f) sowie ggf. Ziff. 4. bzw. im Fall von selbst betriebenen Lösungen Ziff. 2 Satz 2 ist in der Regel zwingende Voraussetzung für die Rechtmäßigkeit der Nutzung der jeweiligen Lösung. Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter die Dienste Blizz, Cisco WebEx, Cisco WebEx über Telekom, Google Meet, GoToMeeting, Microsoft Teams, Skype, Skype for Business Online und zoom.

Mit NETWAYS Web Services Jitsi, sichere-videokonferenz.de, TixeoCloud, Werk21 BigBlueButton und Wire stehen allerdings Alternativen bereit, die die datenschutzrechtlichen Anforderungen erfüllen. Nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen von Ihrer Institution kurzfristig eingesetzt wurden, sollten so bald wie möglich abgelöst bzw. so nachgebessert werden, dass sie den datenschutzrechtlichen Anforderungen entsprechen.