Videokonferenz und Datenschutz: Das sollten Sie beachten

web cam 796227 640Zu Zeiten der Corona Krise sind gerade die Videokonferenz- und Webtools stark gefragt. Dies erkennt man auch an den steigenden Nutzerzahlen der größten Dienstanbieter. So hat z.B. Zoom laut eigenen Angaben einen Zuwachs von 10 auf 200 Millionen täglichen Nutzern durchlaufen (https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/).

Aber auch die anderen Anbieter am Markt wie z.B. Microsoft Teams, Goto Meeting oder auch Webex haben einen massiven Anstieg der Nutzerzahlen zu verzeichnen. Dies liegt insbesondere auch darin begründet, dass viele Anbieter ihre kostenlosen Varianten mit einer Menge neuer Leistungen angereichert haben um neue Kunden zu locken.
Neben der Problematik des Datenschutz in Corona Zeiten  und der Umstellung auf das Home-Office stellen die Web- und Videokonferenztools den Verantwortlichen vor die meisten Probleme.

Auswahl des aus rechtlicher Sicht „richtigen“ Videokonferenz-Tools

Im Grundsatz gilt, dass alle Webkonferenzanbieter als Auftragsverarbeiter für den Verantwortlichen tätig werden, da diese personenbezogene Daten (wie z.B. die E-Mail Adresse des Empfängers) erhalten. Gemäß Artikel 28 Abs. 1 DSGVO muss der Auftragsverarbeiter

„hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“

Dies erfordert auch, dass der Verantwortliche bei seiner Wahl des Auftragsverarbeiters eine sorgfältige Auswahl vornehmen muss. Diese sorgfältige Auswahl bedeutet nicht, dass der Verantwortliche alles verstehen muss, was der Auftragsverarbeiter durchführt. Entscheidend ist, dass der Auftragsverarbeiter die im Datenschutz verankerten Grundbedingungen erfüllt. Diese können z.B. beim Bestehen von Binding Corporate Rules oder auch beim Bestehen eines EU-US Privacy Shield Eintrags erfüllt sein.
Hat der Verantwortliche mehrere gleichwertige Tools zur Auswahl, so sollte er das Tool wählen, dass die datenschutzfreundlichsten Einstellungen ermöglicht.
Entscheidend ist vor allem, dass sich der Verantwortliche zu den von Ihm eingesetzten und geplanten Tools Gedanken macht und seine Entscheidung und die damit verbundenen Gründe auch entsprechend dokumentiert.

Abschluss eines Auftragsverarbeitungsvertrages

Was oft vergessen wird ist, dass für die Übermittlung und Verarbeitung von personenbezogenen Daten durch die Videokonferenzen ein Auftragsverarbeitungsvertrag abzuschließen ist.
Gemäß Art. 28 Abs. 3 DSGVO ist eine Verarbeitung durch einen Auftragsverarbeiter nur auf Basis eines Vertrages möglich. Ein entsprechender Vertrag muss hierbei die Mindeststandards des Art. 28 Abs. 3 DSGVO erfüllen. Das bloße Registrieren bei den Anbietern reicht meistens nicht aus, um Rechtswirksam einen Auftragsverarbeitungsvertrag abzuschließen.
Je nach Anbieter liegen andere Voraussetzungen für den Abschluss eines Auftragsverarbeitungsvertrages vor. So ist z.B. bei Zoom ein unterschriebener und eingescannter Vertrag erforderlich. Bei Webex ist dieser Bestandteil der Vertragsklauseln.

Datenschutzfreundliche Voreinstellungen

Haben Sie sich für ein Videokonferenzanbieter entschieden und einen Auftragsverarbeitungsvertrag geschlossen, müssen Sie noch weitere Elemente beachten. Gemäß Art. 25 Abs. 2 DSGVO müssen Sie geeignete Maßnahmen treffen, dass durch Voreinstellung nur die Daten erhoben werden, die Sie tatsächlich auch benötigen.
Viele Tools lassen sich im Hinblick auf diese so genannte „datenschutzfreundlichen Voreinstellungen“ anpassen, sind leider aber von Haus aus nicht immer auf diese gesetzt.
Auch wenn die Einstellungen vielseitig sind und nicht immer klar ist, an welcher Stelle Sachen eingestellt werden können empfiehlt es sich trotz allem, sich alle Einstellungen der Software anzuschauen und ggf. auf die „datenschutzfreundlichste“ Einstellung anzupassen. Dies kann z.B. im deaktivieren automatischer Aufnahmen liegen. Auch sämtliche Analyse und Trackingelemente der Software sollten, sofern nicht ausdrücklich benötigt ausgeschaltet werden.

Brauche ich bei einer Videokonferenz eine Einwilligung?

Wir erhalten in letzter Zeit öfter die Frage, ob man denn eine Einwilligung für das Abhalten einer Videokonferenz benötigt. Die Frage ist jedoch leider nicht so einfach zu beantworten wie man vermuten möchte.
Im Hinblick auf die Tools sind nämlich mehrere Rechtsgrundlagen denkbar, von denen je nach Fall immer eine andere einschlägig sein kann.
 Nutzt man das Tool um seinen vertraglichen Verpflichtungen nachzukommen oder um einen (potentiellen) Vertrag anzubahnen, kann die Erhebung und Verarbeitung personenbezogener Daten auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Bietet man hingegen kostenlose offene Seminare oder Workouts an, liegt die Rechtsgrundlage im berechtigten Interesse des Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse liegt dann nämlich an der Durchführung und Teilnahme an den entsprechenden  Veranstaltungen. Gerade zu Zeiten von Corona kann erwartet werden, dass das berechtigte Interesse an der Teilnahme dem Interesse des Nutzers überwiegt nicht das Webtool nutzen zu müssen.
Diese beiden Rechtsgrundlagen finden aber dort ihr Ende, wo es darum geht über die „übliche“ Nutzung der Webkonferenztools hinweg weitergehende Funktionen wie z.B. die Aufnahme einer Konferenz und die damit verbundene Veröffentlichung im Intra- oder Internet oder das Aktivieren des Webtrackings zu nutzen. In diesen Fällen ist zwingend vor der Aktivierung eine Einwilligung des Nutzers gem. Art. 6 Abs. 1 lit. a DSGVO einzuholen.

Muss ich in meiner Datenschutzerklärung auf den Einsatz des Videokonferenz-Tools hinweisen?

Grundsätzlich spiegelt die Datenschutzerklärung auf der Internetseite nur die Informationspflicht der über die Internetseite erhobenen personenbezogenen Daten wieder. Weitergehende Datenschutzinformationen werden zumeist in individuellen Datenschutzerklärungen vorgehalten. Entscheidend ist, dass ich aber auch bei den Webkonferenzen eine entsprechende Datenschutzerklärung vorhalten muss bzw. eine Klausel in meine bestehende Datenschutzerklärung aufnehmen sollte.
Hier sollte der Nutzer z.B. im Rahmen der Einladungsmail auch auf die Datenschutzerklärung hingewiesen werden.
Im Hinblick auf die Aufnahme entsprechender Klauseln können wir den Website-Check Update-Service Kunden unserer Tochtergesellschaft der Website-Check GmbH gerne behilflich sein. Senden Sie uns einfach eine kurze E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.

Wir übersenden Ihnen dann eine entsprechend angepasste Datenschutzerklärung.

Fazit

In der aktuellen Situation sind Webkonferenztools nicht wegzudenken und bieten eine gute Gelegenheit weiterhin die eigenen Kunden kontaktieren zu können. Sie bieten viele Vorteile, da eine Bildübertragung meist persönlicher ist und zudem Bildschirme geteilt und Daten übermittelt werden können.
Insbesondere bei Terminen mit mehreren Beteiligten gibt es kaum sinnvolle Alternativen. Trotz allem sollten die datenschutzrechtlichen Aspekte nicht außen vor gelassen werden.
Im Hinblick auf die Konferenztools sollten Sie folgende Elemente beachten:

  • Sorgfältige Auswahl
  • Auftragsverarbeitungsvertrag abschließen
  • Datenschutzfreundliche Voreinstellungen vornehmen
  • Hinweis in der Datenschutzerklärung ergänzen oder eigene Datenschutzerklärung für die Tools aufnehmen und dem Kunden zugänglich machen
  • Keine Aufnahme und kein Tracking ohne vorherige Einwilligung des Nutzers
Benjamin Schmidt
Autor: Benjamin Schmidt
Diplomjurist & Business Development Manager
Über den Autor:
Herr Diplomjurist Benjamin Schmidt gehört dem Team von DURY LEGAL bereits seit Januar 2016 an. Er ist Leiter der Website-Check Abteilung und ist in dieser Funktion zuständig für deren technischen Systeme im Zusammenhang mit der rechtlichen Prüfung von Webseiten und Online-Shops. Seine Abteilung bildet die Schnittstelle zur Website-Check GmbH, die ebenfalls der DURY Gruppe angehört. Er unerstützt zudem das Dezernat von Rechtsanwalt Marcus Dury LL.M.im Bereich der Vertragsbearbeitung und rechtlichen Beratung in IT-Projekten.

*Wichtiger Hinweis:

Unsere Leistungen richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise. Ausgenommen hiervon sind die Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB.

Im Bereich der Entwicklung von LEGAL TECH Lösungen werden wir von der EU gefördert: EFRE KOM rgbneu

© 2020 DURY LEGAL Rechtsanwälte