Einsatz von Videokonferenzsystemen
Betroffene Daten
Im Rahmen von Videokonferenzen werden personenbezogene Daten der teilnehmenden Personen verarbeitet. Aufgrund der Funktionsvielfalt von Videokonferenzlösungen und der Vielzahl weiterer IT-Dienste, die als sogenannte Umsysteme an die Videokonferenzsysteme angebunden sind, ist die Bandbreite der zu berücksichtigenden personenbezogenen Daten groß.
Betroffen sind inhaltliche Äußerungen und die Übertragung von Ton und Bild der teilnehmenden Personen und ggf. ihres Umfeldes, wie etwa ihrer Wohnung, ihres Arbeitsplatzes oder sonstigen Aufenthaltsorts (Inhaltsdaten). Bild und Ton der Teilnehmenden enthalten auch genügend Information, um diese anhand ihrer Stimme oder ihrer Gesichtsmerkmale identifizieren zu können. Je nach Art des Dienstes sind aber daneben auch Äußerungen in Form von grafischen oder textlichen Chatnachrichten oder die Anzeige des eigenen Bildschirms für einzelne oder alle Teilnehmer möglich; die Zuordnung dieser Nachrichten oder Anzeigevorgänge zu den teilnehmenden Personen, die sie geäußert, präsentiert oder rezipiert haben, ist als personenbezogen zu betrachten.
Weiterhin können Metadaten über die Durchführung der Kommunikation, Daten über die beruflichen Kontakte, über Arbeitszeiten und über die Arbeitsleistung anhand der Daten einer oder mehrerer Videokonferenzen verarbeitet werden (Rahmendaten).
Ferner können personenbezogene Daten in Text-Beiträgen der teilnehmenden Personen und den im Rahmen von Videokonferenzen erörterten und sichtbar gemachten Dokumenten enthalten sein. Diese Daten können sich auf die Konferenzteilnehmenden selbst, aber auch auf nicht teilnehmende Personen innerhalb und außerhalb der Institutionen beziehen.
Zudem können auch personenbezogene Daten von Personen aus dem Umfeld der teilnehmenden Personen betroffen sein, deren Bild oder Ton unter Umständen von dem Konferenzsystem mitverarbeitet wird.
Pflichten der Verantwortlichen
Der für die Durchführung der Videokonferenz Verantwortliche ist verpflichtet zu prüfen, inwieweit er zur Verarbeitung befugt ist. Dabei hat er insbesondere den Grundsatz der Datensparsamkeit zu beachten. Deshalb muss er prüfen, inwieweit die mit dem konkreten Einsatz des Konferenzsystems verbundene Datenverarbeitung durch die Auswahl der eingesetzten Systeme sowie durch technische und organisatorische Maßnahmen auf das zur Zweckerreichung Erforderliche begrenzt werden kann.
Einbindung von Dienstleistern
Soweit er auf Dienstleister zurückgreift, muss er die datenschutzrechtliche Beziehung zu diesem klären und die Einhaltung der Datenschutzgrundsätze sicherstellen. Dazu hat der Verantwortliche die vom Auftragsverarbeiter vorgelegten Auftragsverarbeitungsverträge, Nutzungsbedingungen und Sicherheitsnachweise sowie dessen Datenschutzerklärung zu prüfen. Er hat auch darauf zu achten, dass die zum Schutz der jeweiligen Daten erforderlichen technischen und organisatorischen Maßnahmen ergriffen werden. Ferner hat er über die Datenverarbeitung in der gebotenen Form zu informieren.
Eine Reihe von Anbietern von Videokonferenzprodukten sitzt in den USA oder anderen Drittstaaten. Bei den damit verbundenen Datenübermittlungen sind die Anforderungen des Kapitels V der DS-GVO einzuhalten. Bei der Verwendung von Standardvertragsklauseln als Instrument zur Rechtfertigung des Datenexports ist unter anderem zu beachten, dass der Verantwortliche vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren muss. Bei Defiziten sind zusätzliche Maßnahmen erforderlich; ggf. muss der Datenexport unterbleiben.