Web basierte Lösungen für Videokonferenzen erfreuen sich nicht nur durch die Corona-Krise immer größerer Beliebtheit. WebEx, GoToMeeting, Zoom, MS Teams. Skype for Business u.v.a. Dienste erlauben neben Telefon- bzw. Videokonferenzen auch die Möglichkeit zum Austausch von Daten bzw., zur Kollaboration. Was ist hier aus Sicht des Datenschutzes zu beachten?
Virtuelle Besprechungen als Software as a Service (Saas)
Die o. a. Lösungen erlauben es sehr einfach und komfortabel virtuelle Besprechungen dezentral einzuberufen und durchzuführen, Voraussetzung hierfür sind
- Rechner mit Kamera (beim Laptop Standard), Headset, Webbrowser
- eine Kommunikationsverbindung ins Internet und
- einen Account mit einem der Anbieter derartiger Web basierter virtuellen Videokonferenzlösungen
Der Verbindungsaufbau ist einfach und erfordert keine Spezialkenntnisse. Die Mitglieder der Konferenz können vom Initiator per E-Mail eingeladen werden und benötigen keinen speziellen Account. Und schon kann das Meeting beginnen.
Datenschutzrechtliche Grundlage für den Einsatz im Unternehmen
Als Rechtsgrundlage für die Nutzung dieser Systeme und der damit verbundenen Verarbeitung personenbezogener Daten sind allgemein Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) und im Falle von Mitarbeiterdaten zusätzlich § 26 BDSG. Die in beiden Fällen notwendige Abwägung darf nicht zu Lasten der Betroffenen führen. So wäre etwa Mitarbeiterüberwachung in Form von Arbeitszeitkontrolle nicht zulässig.
Hinweis:
Kein Datenschutzthema aber ebenso zu beachten ist die Rolle des Betriebsrates, dem hier Mitbestimmungsrecht zusteht (§ 87 Abs. 1 BetrVG).
Auftragsverarbeitungs-Vertrag (AV-V)
Unternehmen die entsprechende Videokonferenzlösungen einsetzen müssen mit den mit dem Anbietern ein Auftragsverarbeitungs-Vertrag (Art. 28,DSG-VO) abschließen. Das Unternehmen ist aber auch nach Abschluss eines AV-V für die Verarbeitung der personenbezogenen Daten verantwortlich. Dies bedeutet, dass nach Art. 28 Abs. 1 DS-GVO sicherzustellen ist, dass Auftragsverarbeiter „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt.“ (vgl. Art. 22, 32 DS-GVO). Dies wird durch entsprechende technische und organisatorische Maßnahmen des Auftragsverarbeiters sichergestellt, die vom Auftraggeber auf Angemessenheit hin bewertet werden muss.
Falls die Verarbeitung der personenbezogenen Daten außerhalb der EU bzw. EWR stattfindet, so sind Garantien für ein angemessenen Datenschutzniveau im Drittland erforderlich. Dies trifft für die Verarbeitung durch den Auftragsverarbeiter bzw. dessen Subunternehmer gleichermaßen zu. Das beauftragende Unternehmen ist für diese Klärung bzw. für die entsprechenden Garantien verantwortlich.