Orientierungshilfe
der DSK zu Videokonferenzsystemen
Mit Stand 23.10.2020 veröffentlichte die Datenschutzkonferenz in Deutschland ein Dokument zu Videokonferenzsystemen. Hier die „key-learnings“ daraus.
Allgemeines
Die DSK verweist auf „drei Betriebsmodelle“, nämlich
- selbst betriebener Dienst
- Betrieb durch einen externen IT-Dienstleister
- Onlinedienst
Für die meisten Verantwortlichen wird wohl ein „Online-Dienst“ zB Eyeson, Teams, Zoom … in Frage kommen, da die anderen Varianten mit einem weitaus größerem technischen Aufwand verbunden sind, und einige Videokonferenzdienste mit „Standard-Software-Paketen“, die im Alltag verwendet werden, bereits „mitgeliefert“ werden. Unsere Darstellung beschränkt sich daher auch auf diesen Bereich.
Der „Online-Dienst“ verarbeitet uU die Daten, die im Zuge der Nutzung anfallen, nicht nur für die Zwecke des Verantwortlichen, der den Dienst nutzt, sondern auch für eigene Zwecke. Zu beachten ist, dass für diese Zwecke der Verarbeitung von personenbezogenen Daten eine eigene Rechtsgrundlage benötigt wird.
„Eine Rechtsgrundlage für die Offenlegung personenbezogener Daten an den Anbieter des Dienstes ist allerdings regelmäßig schwierig zu begründen (siehe dazu Abschnitt 3.4.6).“
Es kann sich daraus auch eine Situation ergeben, in der eine „gemeinsame Verantwortlichkeit nach Art 26 DSGVO“ vorliegt; dann ist eine eigene Vereinbarung dazu nötig.
Rechtsgrundlage der Verarbeitung der personenbezogenen Daten durch den Verantwortlichen
Nach Ansicht der DSK kommen die Einwilligung (Art 6 Abs 1 lit a DSGVO), die Vertragserfüllung (Art 6 Abs 1 lit b DSGVO) und berechtigte Interessen des Verantwortlichen oder eines Dritten (Art 6 Abs 1 lit f DSGVO: effiziente und kostensparende Kommunikation) in Betracht.
Da die „Einwilligung“ jederzeit widerruflich ist, sollte versucht werden, diese als Rechtsgrundlage nur für kurzfristige Verarbeitungen zu wählen, da diese mE die fragilste Rechtsgrundlage darstellt, die von den betroffenen Personen jederzeit – ohne Angabe von Gründen – entzogen werden kann. Im beruflichen Kontext scheidet diese Rechtsgrundlage meistens aus, da die „Freiwilligkeit“ der Einwilligung nur dann gegeben ist, wenn es für die betroffenen Personen eine Alternative gibt, und die Nutzung des Videokonferenzsystems ohne Sanktionen oder sonstige Konsequenzen verweigert werden kann.
Die Teilnahme aus Privaträumlichkeiten.
Es besteht bei der Übertragung von Ton- und Bild aus Privaträumlichkeiten der betroffenen Personen zB im Arbeitsalltag die Problematik, dass Dienstgeber nicht berechtigt sind, Informationen dieser Art aus dem privaten Umfeld der beschäftigten Personen zu verarbeiten.
Dies kann – im Hinblick auf die Bildübertragung – dadurch verhindert werden, dass Systeme eingesetzt werden, die es den Nutzern erlauben, den Hintergrund zu verändern oder auszublenden. Ist diese Möglichkeit (zB aufgrund des verwendeten Systems oder der technischen Voraussetzungen der verwendeten Hard- oder Software) nicht gegeben, dann kann zB ein Paravent verwendet werden, oder die Kamera so ausgerichtet werden, dass zB nur eine Wand im Hintergrund erscheint.
Dies sind dann „technische und organisatorische Maßnahmen“, die im Rahmen der Angemessenheit zu treffen sind.
Es ist auf jeden Fall sinnvoll und auch geboten, dass der Verantwortliche die teilnehmenden Personen auf diese Risken aufmerksam macht, damit „Übertragungspannen“ (zB auch die Übertragung von anderen Personen in Bild oder Ton) minimiert werden.
Transparenz und Aufzeichnung von Videokonferenzen
Art und Zweck der Verarbeitung sind klar zu definieren. Die Verarbeitung ist auf den Zweck der Videokonferenz zu beschränken. Nur wenn eine Aufzeichnung, aus definierten Gründen notwendig ist, ist diese zulässig, und bedarf einer eigenen Rechtsgrundlage (siehe 3.4.8.).
„Gibt es kein besonderes Dokumentationserfordernis, ist daher regelmäßig eine (ggf. weitere, unabhängig von der Einwilligung in die mit der Teilnahme an der Videokonferenz verbundene Datenverarbeitung zu erteilende) Einwilligung in die Aufzeichnung und die weitere Verarbeitung erforderlich.“
In zeitlicher Hinsicht dürfen Aufzeichnungen nur so lange gespeichert werden, wie dies zur Zweckerreichung (Dokumentation) erforderlich ist; dies aus Gründen der Datensparsamkeit (Art 6 Abs 1 lit c DSGVO).
Meines Erachtens kann eine Aufzeichnung und Speicherung für einen bestimmten Zeitraum erfolgen, wenn dies zB für die Übertragung in ein Protokoll einer Sitzung oder die Dokumentation von Beschlüssen, die gefasst wurden, notwendig ist. Die „generelle“ Aufzeichnung von Videokonferenzen, an denen beschäftigte Personen teilnehmen, um zB im Arbeitsalltag einen Workshop oder „Besprechungen“ abzuhalten, ist mE nicht zulässig.
Informationspflichten und Rechte der betroffenen Personen
Wie bei jeder Verarbeitung von personenbezogenen Daten ist den betroffenen Personen vor Erhebung der Daten eine Datenschutzinformation gem. Art 13 DSGVO bzw. gegebenenfalls Art 14 DSGVO zur Kenntnis zu bringen. Dies kann zB mit der Einladung zur Videokonferenz erfolgen.
Zu beachten ist, dass die betroffenen Personen zB wenn die Verarbeitung auf eine Einwilligung gestützt wird, auch über das Widerrufsrecht oder bei der Rechtsgrundlage des berechtigten Interesses (welches konkret zu nennen ist) auch auf das Widerspruchsrecht gem. Art 21 Abs 4 DSGVO hinzuweisen sind.
Werden vom System-Anbieter die personenbezogenen Daten auch für eigene Zwecke verarbeitet, dann hat auch dieser die Verpflichtung, die betroffenen Personen zu informieren. Diese Pflicht trifft aber auch den Verantwortlichen, der das System einsetzt, wobei es nach Ansicht der DSK nicht ausreicht auf die Datenschutzinformation des Anbieters zu verweisen (siehe 3.5.1. Seite 12 oben).
Ergänzend zu den notwendigen Angaben nach Art 13 DSGVO sollte der Verantwortliche u Privatsphäre-Einstellungen (Nutzung eines Pseudonyms statt des eigenen Namens, Einstellung eines Hintergrundes) und auch über die Modalitäten und Konsequenzen von Aufzeichnungen informieren.
Drittlandübermittlung (insbes. USA)
Nach der Schrems-II-Entscheidung (16.7.2020, C-311/18) des EuGH ist die Datenübermittlung in die USA auf eine andere Basis als „EU-US-Privacy-Shield“ zu stellen. Es verbleiben die Standardvertrag(datenschutz)klauseln (Standard Contract Clauses), wobei diesbezüglich „weitere Maßnahmen“ („supplementary meassures“) notwendig sind, um die betroffenen Personen „zu schützen“ und das Niveau des Datenschutzes im Empfängerland anzuheben.
Schlussfolgerungen
-
Eine vertragliche Vereinbarung (Auftragsverarbeitung) in dokumentierter Form (Art 28 Abs 3 DSGVO) ist nötig; eventuell kann auch eine gemeinsame Verantwortlichkeit iSd Art 26
DSGVO gegeben sein, wenn der Anbieter die erhobenen Daten für eigene Zwecke verarbeitet.
-
Die Informationspflichten iSd Art 13 und
14 DSGVO sind umfassend zu erfüllen.
-
Das Videokonferenzsystem (als Verarbeitungstätigkeit) ist in das Verzeichnis der
Verarbeitungstätigkeiten aufzunehmen.
-
Eine Aufzeichnung ist nur in bestimmten, definieren Fällen zulässig, und sollte nur sehr
eingeschränkt verwendet werden, zB bis zur Übertragung / Freigabe des Protokolls einer Sitzung, oder zur Dokumentation von Beschlüssen.
-
Wird die „Einwilligung“ als Rechtsgrundlage verwendet, dann ist darauf zu achten, dass es eine
Alternative gibt, um die Freiwilligkeit zu gewährleisten.
-
Es sollte ein System verwendet
werden, bei dem die erhobenen Daten vom Anbieter nicht für eigene Zwecke verarbeitet werden, da ansonsten eine gemeinsame Verantwortlichkeit vorliegt.
2.11.2020, Autor
Michael Schweiger, zert DSBA
Kommentar schreiben