Videokonferenzen und die DSGVO
- "Geschrieben von Matthias Pufke"

Das aktuelle Nutzungsverhalten zum einen und die gesetzlichen Regelungen zum anderen lassen sich bei Videokonferenzen oft nur schwer vereinbaren.
Auch in Krisenzeiten gilt die DSGVO und daher müssen personenbezogene Daten von Mitarbeitern, Kunden und Geschäftspartnern geschützt werden. Dies wurde im November 2020 auch auf der Konferenz der unabhängigen Datenschutzbehörden von Bund und Länder noch einmal deutlich gemacht.
Daher ist es wirklich wichtig, hier eine konforme Lösung zu finden und es nicht zu verdrängen.
Die deutschen Datenschutzbehörden sehen lediglich in den kommerziellen Diensten
- BigBlueButton
- Jitsi Meet
- RocketChat
- Nextcloud Talk
- sowie in Matrix
eine datenschutzfreundliche Umsetzung als gegeben an. Wir haben übrigens mit PASCOM noch eine kleine, sicher und konforme Lösung!
Grundlegend sollte man sich folgende Frage stellen:
Wird die Software lediglich für die Kommunikation zwischen Beschäftigten eingesetzt oder sollen darüber auch Gespräche und Videokonferenzen mit externen Dritten wie Kunden, Lieferanten oder Geschäftspartnern geführt werden?
Weiterhin gilt es zu beachten:
Verschlüsselung - hier ist eine Ende-zu-Ende Verschlüsselung besser als eine reine Transport-Verschlüsselung
Freigaben - sind Bildschirmübertragung und Aufzeichnung erforderlich, so ist die vorherige Einwilligung der Teilnehmer einzuholen
Metadaten - Der Anbieter sollte weder Metadaten noch Inhaltsdaten für eigene Zwecke auswerten oder weitergeben
Server-Standort - EU-Dienste sind vorzuziehen
Syncronisation - es sollte keine automatisierte Syncronisation von Adressbuch und Outlook vorgenommen werden
AVV, TOM und GVV
Anbieter von Video- und Onlinekonferenz-Tools sind meist Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 der DSGVO. Das bedeutet im Klartext, das ein Auftragsverarbeitungsvertrag (AVV) vorliegen und erfüllt werden muss.
Art. 28 Abs. 1 der DSGVO schreibt vor, das nur Dienstleister beauftragt werden dürfen, die hinreichende Garantien bieten, das geeignete technische und organisatorische Maßnahmen (TOM) ergriffen wurden.
Bietet ein Anbieter eine Kommunikationsplattform, aber haben diese keine vollständige Kontrolle über die Daten und werten diese aus, so ist dem AVV wohl eher eine Vereinbarung zur gemeinsamen Verantwortlichkeit (GVV) vorzuziehen.
Datenübermittlung ins Ausland
Werden personenbezogene Daten in Länder außerhalb der EU, bzw. des EWR übermittelt, so muss ein angemessenes Datenschutzniveau sichergestellt werden - was bekanntlich sehr schwierig ist.
Hinweis zur Entscheidungsfindung
Binden Sie Ihren Datenschutzbeauftragten und/oder Betriebs-, bzw. Personalrat mit in die Dienstsuche mit ein.