Die deutsche Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichte am 23. Oktober 2020 ihre Orientierungshilfe für Videokonferenzsysteme.
Darin erläutert die DSK „datenschutzrechtliche Anforderungen an die Durchführung von Videokonferenzen durch Unternehmen, Behörden und andere Organisationen“ aus der Sicht der EU Datenschutz-Grundverordnung (DSGVO) sowie der strengen deutschen Behörden- und Gerichtspraxis.
Die DSK unterscheidet dabei zwischen drei Modellen, wie ihrer Meinung nach ein Videokonferenzsystem betrieben werden könne: (i) interner Dienst, (ii) externer IT-Dienstleister und (iii) (externer) Online-Dienst (Software as a Service). Dabei geht die DSK offensichtlich davon aus, dass eine individuelle Anpassung der Videokonferenzsysteme und -services an die Bedürfnisse der datenschutzrechtlichen Verantwortlichen möglich sei.
In diesem Zusammenhang geht die DSK auf die unterschiedlichen Rollen der beteiligten Akteure, die Rechtsgrundlagen sowie die (nicht rechtlichen) Anforderungen an technische und/oder organisatorische Massnahmen (TOM) für Videokonferenzsystem ein.
Hinsichtlich der Rechtsgrundlagen als Voraussetzung für die Verarbeitung personenbezogener Daten im Rahmen von Videokonferenzsystemen ist die DSK der Auffassung, dass entweder auf eine Einwilligung, Vertragserfüllung oder berechtigte Interessen abgestützt werden könne.
Zur Einwilligung hält die DSK folgende, strenge Sicht fest: Von einer freiwilligen Einwilligung „ist nur auszugehen, wenn eine echte Wahlmöglichkeit hinsichtlich der Teilnahme an der Videokonferenz besteht. (…) In solchen Fällen kommt eine wirksame Einwilligung nur in Betracht, wenn die Freiwilligkeit durch zusätzliche Maßnahmen sichergestellt wird, etwa indem denjenigen, die nicht an Videokonferenzen teilnehmen wollen, das relevante Wissen in gleichwertiger Form auch auf anderem Wege bereitgestellt wird bzw. andere Wege der Kommunikation angeboten werden (z. B. eine Teilnahme an der Konferenz per Telefon)“.
Für die Teilnahme an Videokonferenzen aus dem Home-Office formuliert die DSK unter anderem folgende Empfehlungen: „[Es] stellt sich das Problem, dass andere Teilnehmende ohne Einwilligung der Beschäftigten keine Einblicke in deren Privatsphäre durch Bild oder Ton erhalten dürfen. Der Arbeitgeber muss daher mit technischen und organisatorischen Maßnahmen (Art. 25 Abs. 1 DS-GVO) sicherstellen, dass derartige Einblicke nicht möglich sind, etwa durch Ausrichtung der Kamera oder Bereitstellung eines Paravents oder (…) durch Einblendung eines virtuellen Hintergrunds.“
Zu den Auswirkungen des Urteils des EuGH in der Rechtssache „Schrems II“ (C-311/18) und zur Frage, welche technischen/organisatorischen Massnahmen (TOM) eingesetzt werden sollen, um insbesondere übermässige Zugriffe ausländischer Behörden zu vermeiden, hält die DSK folgendes fest: „Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkretere Aussagen dahingehend treffen zu können, ob und unter welchen zusätzlichen Schutzvorkehrungen personenbezogene Daten in die USA oder an US-Anbieter übermittelt werden können. Aus diesem Grund empfiehlt die DSK derzeit die Nutzung von Videokonferenzprodukten US-amerikanischer Anbieter sorgfältig zu prüfen. Dies gilt auch, wenn Vertragspartner eine europäische Tochtergesellschaft ist. Das gleiche gilt für europäische Anbieter, sofern sie ihrerseits personenbezogene Daten in die USA übermitteln.“
Michal Cichocki