Eine Person sitzt vor einem Notebook, das mehrere Teilnehmer:innen einer Videokonferenz zeigt.
Telekommunikation

Videokonferenzen

Personenbezogene Daten spielen bei der Durchführung von Videokonferenzen auf zwei Weisen eine Rolle: Erstens kann das gesprochene Wort selbst Informationen über einzelne Personen enthalten. Zweitens fallen bei der Durchführung einer Videokonferenz auch Daten über alle Teilnehmer:innen an, das heißt deren Kontaktdaten, Namen sowie Angaben über Zeit und Ort der Teilnahme an der Konferenz.

Grundlegende Anforderungen

  • Videokonferenzen sollen über verschlüsselte Kanäle abgewickelt werden. Dies betrifft sowohl die Vermittlung der Verbindungen als auch die Übertragung der Ton- und Bilddaten.

  • Wenn Sie das Konferenzsystem nicht selbst sicher entwickeln und mit angemessenem Aufwand betreiben können – was vorzuziehen wäre, aber für Privatpersonen und kleinere Unternehmen oft nicht mit verhältnismäßigem Aufwand zu leisten –, können Sie einen zuverlässigen Konferenzdienst damit beauftragen. Voraussetzung dafür ist, dass Sie einen Auftragsverarbeitungsvertrag mit ihm schließen und die Betreibenden des Konferenzdiensts keine Angaben über die Teilnehmer:innen und deren Kommunikation oder die Nutzung der Software für eigene Zwecke verarbeiten oder an Dritte weitergeben.

  • Die Betreibenden der Konferenzdienste sollten die Daten in der Europäischen Union (EU), in einem Land des Europäischen Wirtschaftsraums (EWR) oder in einem als gleich sicher geltenden Land verarbeiten und auch dort ihren Sitz haben. Alternativ kann der Datenexport sich auf den Abschluss eines Vertrages stützen, dessen Text die von der EU-Kommission genehmigten Standardvertragsklauseln enthält. Die Anforderung gilt auch für alle Unterauftragnehmer:innen, die die Betreibenden der Dienste ihrerseits in Anspruch nehmen.

  • Soweit nicht durch Verschlüsselung ausgeschlossen ist, dass die übermittelten Audio- und Videodaten durch die Anbieter:innen der Dienste zur Kenntnis genommen werden können, wird empfohlen, nur Anbieter:innen aus der EU oder aus dem EWR zu verwenden, wenn innerhalb der Konferenz besonders schutzwürdige Informationen besprochen werden sollen. Träger:innen von Berufsgeheimnissen dürfen nur Dienstleister:innen einsetzen, die bei einem Vertraulichkeitsbruch strafrechtlich belangt werden können.

Risiken

  • Ein wesentliches Risiko besteht darin, dass bei der Videokonferenz unbefugt mitgehört oder die Inhalte aufgezeichnet und weiter ausgewertet werden können, möglicherweise zum Nachteil derjenigen Personen, die an der Konferenz teilnehmen oder über die gesprochen wird. Dies ist von besonderer Bedeutung, wenn während der Konferenz sensible Themen wie der Gesundheitszustand oder die politische Auffassung zur Sprache gebracht werden.

  • Dritte können versuchen, ein Gespräch auf dem Weg zwischen den Teilnehmer:innen und den Betreibenden des Diensts mitzuhören oder mitzuschneiden. Aber auch die Betreiber:innen selbst können ein Interesse haben oder behördlich dazu verpflichtet sein, einen Mitschnitt anzufertigen, sei es, um die Qualität der Übertragung zu beurteilen, sei es, weil der Mitschnitt im Auftrag Dritter für deren Zwecke erfolgt.

  • Videokonferenzsysteme sind in der Regel so angelegt, dass bei den Betreiber:innen die unverschlüsselten Töne und Bilder zusammenlaufen. Dadurch können diese den Strom der Daten steuern und die Daten an die Fähigkeiten der Geräte der Teilnehmenden anpassen. Es kann auch sein, dass die Durchführung von Mitschnitten einen Bestandteil des Diensts bildet. Daher ist es in der Regel unvermeidbar, dass bei den Diensten auch befugte oder unbefugte Mitschnitte durchgeführt werden könnten, ob mit dem Wissen der Teilnehmenden oder gegen ihren Willen. Nur Dienste, bei denen die Daten auf dem einen Endgerät verschlüsselt werden und nur auf der Gegenstelle wieder entschlüsselt werden können – sogenannte Ende-zu-Ende-Verschlüsselungen – stellen sicher, dass keine derartigen Mitschnitte bei den Betreiber:innen erfolgen können.

  • Ein weiteres Risiko besteht in der Bildung von Persönlichkeits- und Nutzungsprofilen der Konferenzteilnehmer:innen, die sich werblich oder politisch missbrauchen lassen. Um eine solche Profilbildung auszuschließen, muss den Anbieter:innen der Dienste eine derartige Auswertung untersagt werden. Viele Anbieter:innen behalten sich die Auswertung jedoch in ihren Allgemeinen Geschäftsbedingungen vor. In einem solchen Fall wären individuelle Nutzungsvereinbarungen nötig oder der Wechsel zu datenschutzgerechteren Anbieter:innen.

Empfehlungen

  • Als erstes sollte geprüft werden, ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Konferenzteilnahme herbeizuführen. Diese können sehr viel leichter datenschutzgerecht durchgeführt werden.

  • Sind Videokonferenzen nötig, ist es am besten, einen eigenen Dienst mit im Quelltext öffentlich verfügbarer Software (Open-Source-Software) bereitzustellen. Selbstverständlich ist auch der Einsatz kommerzieller Software möglich, solange gesichert ist, dass diese Software nicht ihrerseits Daten über die Konferenzteilnehmer:innen an die Hersteller:innen oder an Dritte für eigene Zwecke übermittelt. Leider ist es für Privatpersonen und kleinere Unternehmen kaum mit verhältnismäßigem Aufwand leistbar, eine gut funktionierende, eigene datenschutzgerechte Lösung zu betreiben oder betreiben zu lassen.

  • Auf der nächsten Stufe empfehlen wir zu prüfen, ob eine der Lösungen europäischer Anbieter:innen Ihren Bedürfnissen entspricht. Erfüllt eine Lösung die Anforderungen, dann ist zu prüfen, ob die Anbieter:innen erwarten lassen, dass die Daten nur im zulässigen Rahmen verarbeitet und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländische Behörden – weitergegeben werden, und dass ausreichende Datensicherheit – zum Beispiel durch Zertifizierung – nachgewiesen wird, welche die Verschlüsselung der Datenübertragung garantiert.

  • Die Anbieter:innen müssen auch darlegen, ob sie Dienstleister:innen außerhalb der EU bzw. des EWR zur Erbringung der Leistung hinzuziehen. Einige Anbieter:innen fungieren lediglich als Wiederverkäufer:innen von Leistungen US-amerikanischer Unternehmen. Andere lassen einen wesentlichen Teil der Dienstleistung von außereuropäischen Unternehmen der gleichen Unternehmensgruppe erbringen. In den beiden letztgenannten Fällen werden zwar vertragliche Ansprechpartner:innen aus Europa gewonnen, jedoch ist auch dadurch nicht sichergestellt, dass sich die Anbieter:innen im Konfliktfall an EU-Recht halten und nicht an deren lokales Recht.

Für eine detaillierte Bewertung verweisen wir auf unsere Checkliste für die Durchführung von Videokonferenzen. Beachten Sie auch unsere Empfehlungen für die Prüfung von Auftragsverarbeitungsverträgen von Anbieter:innen von Videokonferenzdiensten, die bestimmte, häufig zu beobachtende Mängel in Auftragsverarbeitungsverträgen auflisten.

zurück zur Seite: