Aber es gibt einige Regeln zu beachten, um Videokonferenzen datenschutzkonform durchzuführen. Wir geben einen kurzen Überblick, worauf Sie und Ihr Unternehmen achten sollten:
Auswahl des richtigen Anbieters: Bei Cloud-basierten Anwendungen sollte nach Möglichkeit darauf geachtet werden, dass der Cloud-Server und die vorgenommene Datenverarbeitung in der EU bzw. im EWR stattfindet. Gehen Sie den sichersten Weg: Wenn ein Dienst aus den USA und ein gleichwertiger Dienst aus der EU zur Auswahl stehen, wählen Sie lieber den Dienst aus der EU. Daneben sollte bei der Anbieterauswahl auf die Datenschutzfreundlichkeit bei den Einstellungen (u.a. Verschlüsselung, Profiling, Protokolle und Aufzeichnungen) geachtet werden.
Abschluss eines Auftragsverarbeitungsvertrags: Mit Auftragsverarbeitern müssen Sie Auftragsverarbeitungsverträge nach Maßgabe des Art. 28 DSGVO abschließen. Die meisten Anbieter bieten derartige Vereinbarungen an. „Diesen sollten Sie dann durch Ihren Datenschutzbeauftragten prüfen lassen. Die Erfahrung zeigt, dass gerade US-Anbieter gerne das Maximum (und ein bisschen mehr) des Spielraums der DSGVO herausholen wollen.“ mahnt Dr. Voßbein. „Doch gerade bei diesen muss aber auch auf die Sicherstellung eines angemessenen Datenschutzniveaus geachtet werden.“
Informationspflichten: Weil solche Videokonferenzen/Webinare eine Datenverarbeitung darstellen, müssen die Informationen vor Beginn der Veranstaltung zur Einsicht bereitgehalten werden. Die Bestätigung dieser Informationen im Rahmen des Anmeldeverfahrens bietet sich an.
Interne Regeln: Zu empfehlen ist für die Mitarbeiter die Erstellung eines Merkblatts/Leitfadens, wie sie sich bei Videokonferenzen zu verhalten haben und was zu beachten ist. Es sollte darauf geachtet werden, dass über das Webinar bzw. über die Videokonferenz keine zusätzlichen personenbezogenen Daten ausgetauscht werden, wenn diese aufgezeichnet wird. Müssen trotzdem Daten ausgetauscht werden, so sollte dies separat durchgeführt werden. Auch sollten klare Regeln aufgestellt werden, wie sich Teilnehmer in die Konferenz einloggen können (frei zugänglich, Passwortschutz, Freigabe durch Veranstalter), um bspw. das sog. "Zoom-Bombing" zu verhindern.
Des Weiteren ist auf die richtige Umgebung im Home-Office zu achten, schließlich bleiben der Hintergrund und auch Nebengeräusche den Videokonferenzteilnehmern nicht verborgen. Daher sollte auf eine „neutrale“ Gestaltung geachtet und Familienmitglieder bzw. Mitbewohner über die Videokonferenz in Kenntnis gesetzt werden.
Aufzeichnungen nur mit Einwilligung: Sollen die Webinare aufgezeichnet werden, um sie später auch anderen Interessenten bereitzustellen, so ist dies einwilligungspflichtig. Eine Einwilligung seitens des Referenten als Mitarbeiter der Webinar-Anbieters sollte schriftlich eingeholt werden, wobei die typischen Problemstellungen der Einwilligung im Arbeitsverhältnis bleiben. Auf Mitschnitte von externen Teilnehmern sollte man daher auch verzichten.
„Videokonferenzen und Webinare werden in diesen Corona-Krisenzeiten vielen Menschen vertrauter und auch noch nach der Krise weiter intensiv genutzt werden. Deshalb muss ein Bewusstsein entstehen, dass auch Videokonferenzen und Webinare gewissen Vorgaben unterworfen sind“, betont Dr. Voßbein. „Auch wenn durch die besondere Situation der Datenschutz mancherorts etwas freier interpretiert werden kann, so ist gerade bei Aktivitäten, die bis in die Post-Corona-Zeit hineinreichen können, darauf zu achten, diese klar zu regeln. Hierzu gehören u. a. Home-Office und Videokonferenzsysteme.“ Seine Firma UIMC steht bereit, um dieses Bewusstsein wachsen zu lassen und dafür zu sorgen, dass Videokonferenzen und Webinare datenschutzkonform durchgeführt werden.