Online-Meetings und Datenschutz
Datenschutzbeauftragte und -behörden werden mit dem Abebben der Pandemie in den nächsten Wochen und Monaten Konferenz-Lösungen verstärkt unter die Lupe nehmen. Denn vieles, was in den letzten Krisenmonaten eingesetzt wurde, entspricht nicht dem strengen deutschen Datenschutzniveau. In der Corona-Zeit wurde häufig ein Auge zugedrückt. Aber die Schonfrist ist vorbei. Spätestens jetzt ist es für Unternehmen an der Zeit, alles rund um virtuelle Konferenzen datenschutzrechtlich wasserdicht zu machen. Und das nicht nur aus rechtlichen Gründen, sondern auch um das eigene Know-How zu schützen.
Online-Meeting-Angebote versus Datenschutz
Wenn es schnell gehen muss, werden manchmal Geschäftsbedingungen ohne genaue Prüfung akzeptiert. Die Folge sind dann häufig Sicherheitslücken, gehackte Konferenzen, Beitritte von fremden Teilnehmern … wie sie auch schon durch die Medien gingen.
Manches System wurde sehr kurzfristig eingeführt, aufgebaut, genutzt und muss dann wegen erheblicher Datenschutz-Mängeln wieder umgestellt werden. Wir zeigen Ihnen die grundlegenden Datenschutz-Voraussetzungen und erklären, worauf Sie besonders achten sollten.
Sitz des Anbieters
In der EU herrschen hohe Maßstäbe für den Datenschutz, nicht zuletzt in der DSGVO festgelegt. EU-Anbieter unterliegen diesen strengen Regeln und sind daher zu einem hohen Schutz Ihrer Daten verpflichtet. Mit der Wahl eines europäischen oder gar deutschen Anbieters (der zusätzlich noch den teils strengeren deutschen Vorgaben unterworfen ist), sind Sie garantiert auf der sicheren Seite.
Anders sieht dies bei Nicht EU-Anbietern aus: diese unterliegen diesen Regeln prinzipiell nicht. Für manche Länder (z.B. die Schweiz, Kanada oder Japan) hat die EU das Datenschutzniveau als ähnlich hoch eingestuft und einen Angemessenheitsbeschluss herausgegeben – diese Dienste dürfen somit auch genutzt werden.
Viele Anbieter sitzen allerdings in den USA, für die kein Angemessenheitsbeschluss gilt. Nachdem das EU-US Privacy Shield gekippt wurde, ist die Datenübermittlung in Unternehmen in den USA zunächst einmal nicht zulässig. Um die Nutzung rechtlich möglich zu machen, sind zusätzlich zum Auftragsdatenverarbeitungsvertrag Standardvertragsklauseln mit jedem einzelnen Anbieter nötig, um Zusammenarbeit rechtlich möglich zu machen. Bei sehr kritischen Daten sollte man sich trotzdem Gedanken machen, ob das Datenschutzniveau für den Einsatz ausreichend ist angesichts der Zugriffsrechte von US-Behörden - letztendlich geht es ja nicht nur darum, rechtliche Vorgaben auf dem Papier zu erfüllen, sondern den Datenzugriff Dritter komplett auszuschließen.
Übertragungstechnik
Achten Sie darauf, dass die Übertragung möglichst verschlüsselt erfolgt – vor allem natürlich beim Austausch sensibler Daten.
Technisch gesehen sollten außerdem Möglichkeiten bestehen, die Sichtbarkeit von Teilnehmerdaten so zu regulieren, dass diese privaten Daten ggf. nicht für alle anderen Teilnehmer sichtbar sind.
Berücksichtigen Sie bei Ihrer Prüfung, ob es sich um ein Produkt handelt, das für die geschäftliche Nutzung vorgesehen ist und die vorgegebenen technischen Ausstattungen auch genau für das Tool gelten, das Sie einsetzen. Datenschutz-Einstellungen können hier je nach genutzter Version variieren.
Organisation des Meetings
- Privatsphäre:
Planen Sie, wie die Privatsphäre der Teilnehmer geschützt werden soll / muss: dürfen beispielsweise die Namen der Teilnehmer für alle sichtbar sein, ist die Teilnahme per Videokonferenz mit für alle sichtbaren Teilnehmern nötig oder kann man darauf eventuell verzichten.
- Mitschnitte:
Sofern Mitschnitte angefertigt werden sollen, informieren Sie die Teilnehmer im Vorfeld darüber und lassen Sie sich deren Einverständnis im besten Fall bestätigen.
- Datensparsamkeit:
Achten Sie bei allem, was Sie tun, auf die Datensparsamkeit, bspw. beim Anlegen von Teilnehmern: hinterlegen und nutzen Sie nur die absolut notwendigen Daten und verzichten Sie auf alle übrigen.
- Zutrittsberechtigung:
Laden Sie nur Personen ein, die auch zutrittsberechtigt für das Online-Meeting sind und halten Sie keine offene Konferenz, zu der sich jeder einwählen kann.
- Zugangsbeschränkungen:
Errichten Sie Zugangsbeschränkungen wie einen Passwortschutz. Oder nutzen Sie einen vom Host verwalteten Warteraum, der alle Eintretenden checkt und erst dann in die Konferenz einlässt.
Voraussetzungen für den Datenschutz
- Auftragsverarbeitungsvertrag:
Sie benötigen mit dem Anbieter des Online-Konferenztools im Vorfeld einen Auftragsverarbeitungsvertrag.
- Datenschutzerklärung:
Da im Rahmen der Konferenz personenbezogene Daten verarbeitet werden, muss über deren Umfang, Zweck und Art deren Verarbeitung in der Datenschutzerklärung aufgeklärt werden. Jeder Teilnehmer der Konferenz sollte direkten Zugriff auf die Datenschutzerklärung haben.
- Verarbeitungsverzeichnis:
Das Konferenztool muss ins Verarbeitungsverzeichnis des Unternehmens aufgenommen werden.
Besonders heikel ist der Einsatz spezieller Tracking- oder gar Überwachungstools. Hierüber müssen ggf. die
Teilnehmer sowie auch bei Mitarbeitermeetings der Betriebsrat informiert werden.
Fazit
Gerade wird es aus pandemischer Sicht ruhiger. Deshalb ist es wichtig, bei den Online-Konferenz-Tools genauer hinzuschauen und ggf. nachzujustieren, aber nicht nur, um rechtliche Bestimmungen zu erfüllen. Vor allem vermeiden Sie damit, dass im Rahmen der Konferenzen ausgetauschte sensible Daten in die falschen Hände geraten.
