Einleitung
In der jetzigen Zeit, in der wir gemeinsam die Corona-Krise (COVID-19) durchstehen, wandert das Arbeiten mit Videokonferenzen zunehmend in das Homeoffice.
Eine Form ist das Abhalten von Videokonferenzen, sowohl im privaten als auch im beruflichen. Was vorher gedacht war, um große Entfernungen zu überbrücken (z.B. das virtuelle Meeting zweier Zweigstellen zwischen Frankfurt und Berlin), wird nun genutzt, um auch mit dem Nachbarn in Verbindung zu bleiben.
Ob Zoom, GoTo-Meeting, Skype, Teams, Jitsy oder die Video-Anwendung in Slack: Es sind viele Tools im Einsatz, um Meetings oder auch bilaterale Telefonate über Video abzuhalten. Sie alle haben Vor- und Nachteile, sei es in ihrer Usability oder den Kosten. Doch alle eint die Frage nach dem Datenschutz. Insbesondere seit der Diskussion rund um Zoom, die auch in den Medien Niederschlag fand, fragen sich immer mehr Menschen, welchem Tool sie vertrauen können oder welches Tool sie nutzen dürfen, um z.B. mit ihren Kund/innen oder Mitarbeiter/innen im Home-Office zu kommunizieren. Die Begriffe Videokonferenzen & Datenschutz gehen eine Symbiose ein.
Der folgende Beitrag gibt einen Einblick in die Nutzbarkeit von Tools für Videokonferenzen und die Verbindung von Videokonferenzen & Datenschutz.
Videokonferenzen & Datenschutz: Datenverarbeitung bei Videokonferenzen
Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […]“ (Art. 4 Nr. 1 DSGVO). Hierunter sind auch die Daten zu verstehen, die bei der Nutzung von Tools für Videokonferenzen, verarbeitet werden.
Bei Nutzung dieser Tools sind das in der Regel die von den Teilnehmer/innen gewählten Nutzernamen, die E-Mail-Adressen (bzw. die Kontaktadresse, an die die Einladung versendet wird), die Videoübertragung an sich und auch technische Daten, die vom Dienst verarbeitet werden. Entsprechend werden auch bei allen Anwendungen personenbezogene Daten verarbeitet, welche die Erfüllung der datenschutzrechtlichen Anforderungen erforderlich macht.
Zulässigkeit von Videokonferenzen
Wie bei jeder Datenverarbeitung auch, muss auch die Datenverarbeitung im Rahmen von Videokonferenzen legitimiert sein. Grundsätzlich lässt sich festhalten, dass bei den genannten (und damit den in der Praxis üblicherweise genutzten Tools für Videokonferenzen) eine datenschutzrechtliche Zulässigkeit gegeben ist.
In Frage kommt eine Zulässigkeit u.a. aufgrund der Erfüllung (vor-)vertraglicher Verpflichtungen (Art. 6 Abs. 1 Buchstabe b DSGVO). Dies ist dann der Fall, wenn Sie z.B. Vertragsverhandlungen mit potenziellen Kunden führen und dies aufgrund der aktuellen Situation nur remote über eine Videokonferenz funktioniert. Bittet Sie der Kunde dann das Gespräch mittels Videokonferenz zu führen, wird diese Datenverarbeitung gerechtfertigt sein.
Weiterhin in Betracht kommt die Wahrung Ihres berechtigten Interesses (Art. 6 Abs. 1 Buchstabe f DSGVO). Dies ist z.B. der Fall, wenn Sie den Kontakt zu Ihren Mitarbeiter/innen halten möchten. Das tägliche Meeting als Videokonferenz, indem Sie z.B. die anstehenden Aufgaben besprechen, dient dem Erhalt des Geschäftsbetriebes und ist datenschutzrechtlich legitimiert. Im Gegenzug ist das Einholen einer Einwilligung nicht zu empfehlen. Die Anforderung an eine wirksame Einwilligung mögen in manchen Konstellationen erfüllbar sein, der Aufwand steht jedoch in negativem Verhältnis zum Nutzen. Außerdem stellen sich bei einer Einwilligung aufgrund ihrer Widerrufbarkeit Fragen zur Nachbehandlung im Falle eines Widerrufs (z.B. wie mit einer Person umgegangen werden soll, die ihre Einwilligung nicht erteilt oder widerrufen hat und der Geschäftsbetrieb jedoch in der Zeit des Home-Offices wesentlich vom gemeinsamen Austausch lebt).
Risiken gibt es überall
Beginnen wir mit der wohl ernüchternden und doch etwas banalen Erkenntnis: Risiken werden Sie nicht vermeiden können. Alle genannten und sonstigen am Markt bestehenden Tools für Videokonferenzen haben Risiken inne, die sich entweder aus ihrer Programmierung selbst oder aufgrund der Hersteller ergeben. Anwendungen wie Zoom oder Slack, aber auch Anwendungen von Microsoft oder Google, behalten sich (als Anwendung von US-amerikanischen Herstellern) z.B. die Übermittlung von Daten in Drittländer (z.B. die USA) vor. Außerdem haben bei den meisten dieser Tools die Gastgeber (Host) eines Meetings weitreichende Möglichkeiten der Datenverarbeitungen. Sie können die Videokonferenzen u.a. Aufzeichnen und Abspeichern, wobei das Speichern auch auf die Cloudspeicher der Dienste geschieht. Viele dieser Tools (u.a. Zoom, GoTo oder auch Jitsy) funktionieren, indem Links an die Teilnehmer/innen versendet werden. Schützt der Host das – im Zweifel vertrauliche – Meeting nicht mittels Zugangsbeschränkungen wie einem Passwort, ist es für unberechtigte Dritte durchaus möglich, sich in diese Videokonferenzen einzuwählen. Besitzen diese Videokonferenzen eine Vielzahl an Teilnehmer/innen kann dies unbemerkt bleiben.
Nicht zu unterschätzen sind die Möglichkeiten, Plugins von Drittanbietern in die Dienste zu implementieren. Zoom stand z.B. lange in der Kritik, weil über das implementierte Facebook-Plugin ohne Aktivierung Daten an Facebook übermittelt wurden.
Diese genannten Risiken klingen nun erst einmal kritisch. Sie sind allerdings in Relation zu den verbliebenen Möglichkeiten zu betrachten. In Zeiten der remote-Arbeit während der Corona-Krise (und als Modell der Zukunft wahrscheinlich noch lange darüber hinaus) ist die Videokonferenz als Werkzeug der Zusammenarbeit nicht mehr wegzudenken. Zwar kann auch das beste Tool die persönliche Begegnung nicht ersetzen, allerdings wird ein einfaches Telefonat, vielleicht sogar mit mehreren Teilnehmer/innen, nicht persönlicher sein. Zudem sind die bestehenden Funktionen bei reinen Telefonkonferenzen im Vergleich zu den in der Praxis eingesetzten Tools für Videokonferenzen begrenzt. Die Organisation einer Videokonferenz ist erheblich einfacher (oftmals reicht das Versenden eines Links). Zusätzlich ist die Bedeutung von Mimik und Gestik während eines Gesprächs hinreichend belegt und sollte ebenfalls nicht außer Acht gelassen werden (wohl wissend, dass nicht jede/r Teilnehmer/innen die Kamerafunktion bei einer Videokonferenz nutzen möchte). Kurzum: In der Praxis werden Sie zum einen kaum um die Nutzung dieser Dienste kommen und zum anderen lässt sich festhalten, dass zwar Risiken bestehen, diese jedoch händelbar sind.
Unsere Empfehlung: Videokonferenzen & Datenschutz sind möglich
Ganz grundsätzlich bedeutet dies, dass Sie gängige Tools wie Zoom, GoToMeeting, Teams, Meet etc. nutzen können. Sie sollten, um die genannten Risiken zu minimieren, die folgenden Punkte beachten:
- Informieren Sie die Teilnehmer/innen vor dem Einsatz des Tools (z.B. in der Einladungsmail), welches Tool Sie nutzen. Möchte ein Teilnehmer dies nicht, geben Sie so die Möglichkeit des Widerspruchs bzw. auf ein anderes Tool auszuweichen.
- Beachten Sie den Grundsatz der Datenminimierung und setzen Sie, sofern möglich, auf Freiwilligkeit. Möchte z.B. eine Kundin oder ein Mitarbeiter die Kamera nicht einschalten, werden Sie die Person hierzu kaum zwingen können.
- Trotz Verschlüsselung – bedenken Sie die Datenübermittlung in Drittstaaten, die durch die meisten Tools bzw. deren Anbieter durchgeführt wird. Vermeiden Sie es daher, zu sensible Daten über Videokonferenzen zu teilen. Gesellschafterversammlungen sind für Videokonferenzen nicht geeignet. Weichen Sie hier lieber auf eine telefonische Besprechung aus.
- Nutzen Sie nur eingeschränkt die Marketingangebote des Anbieters bzw. Herstellers und fokussieren Sie sich auf den Einsatz des Tools für Videokonferenzen. So vermeiden Sie unnötiges Tracking.
- Wenn Sie als Gastgeber eine Videokonferenz speichern möchten informieren Sie die Teilnehmer/innen in jedem Fall vorab darüber. Wenn einer oder mehrere Teilnehmer widersprechen, ist eine Aufzeichnung nicht zulässig. Wählen Sie als Speicherort einen Ort, den Sie kontrollieren können (im Zweifel also nicht die Cloud des jeweiligen Anbieters, z.B. die Zoom-Cloud)