DS-GVO – Datenschutz für die Durchführung von datenschutzgerechten virtuellen Konferenzen empfiehlt die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Unternehmen, Behörden und anderen Organisationen, wie folgt vorzugehen:
Datenschutz Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen Für die Durchführung von datenschutzgerechten virtuellen Konferenzen empfehlen wir Unternehmen, Behörden und anderen Organisationen, wie folgt vorzugehen.
Prüfen Sie Ihren Datenschutz,
1. ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen. Diese können sehr viel leichter datenschutzgerecht durchgeführt werden.
2. ob es Ihnen mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst mit öffentlich verfügbarer oder kommerziell erhältlicher Software bereitzustellen. Stellen Sie dabei sicher, dass die eingesetzte Software keine Daten über Ihre Beschäftigten oder deren Kommunikationspartner/-innen an den Hersteller für dessen Zwecke übermittelt.
3. ob eine der Lösungen eines Anbieters mit Sitz und Verarbeitungsort, insbesondere Server-Standort, im Europäischen Wirtschaftsraum (EWR) oder aus einem Land mit gleichwertigem Datenschutzniveau (https://ec.europa.eu/info/law/law-topic/data-protection/internationaldimension-data-protection/adequacy-decisions_en) Ihren Bedürfnissen entspricht. Der Deutsche Industrie- und Handelskammertag (DIHK) e. V. hat eine kurze Liste von Anbietern, die in Frage kommen könnten, erstellt, die über den DIHK angefordert werden kann.
Die Vertragsgestaltungen der dort genannten Anbieter konnten wir bisher allerdings noch nicht überprüfen. Prüfen Sie des Weiteren, ob der Anbieter
a) erwarten lässt, dass er die Daten nur im zulässigen Rahmen verarbeitet und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländische Behörden – weitergibt,
b) ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen kann und
c) Ihnen die Verschlüsselung der Datenübertragung garantiert.
Fällt die Prüfung positiv aus, dann
d) schließen Sie einen ordnungsgemäßen Auftragsverarbeitungsvertrag mit dem Anbieter, und stellen Sie sicher, dass der Betreiber keine Angaben über Ihre Beschäftigten und deren Kommunikation oder über die Nutzung der Software für eigene Zwecke oder Zwecke Dritter verarbeitet sowie
f) Unterauftragnehmer mit Verarbeitungsort, insbesondere Server-Standort, außerhalb der EU/des EWR für die Bereitstellung des Videokonferenzdiensts nur einsetzt, wenn der Datenexport die Anforderungen des Kapitels V der Datenschutz-Grundverordnung erfüllt. Bitte beachten Sie, dass der Beschluss der EU-Kommission zur Gleichwertigkeit des Datenschutzniveaus in den USA sich ausschließlich auf Organisationen erstreckt, die sich durch Selbstzertifizierung beim US-Handelsministerium zur Einhaltung der Grundsätze des Privacy Shields verpflichtet haben.
Die Zertifizierung muss sich auch auf Personaldaten (HR) erstrecken. Sie überprüfen dies durch Einsicht in die Liste des US-Handelsministeriums unter https://www.privacyshield.gov/list.
4. Wenn Sie einen Anbieter mit Verarbeitungsort außerhalb von EU/EWR oder einem Land mit gleichwertigem Datenschutzniveau bzw. einen nicht im Rahmen des Privacy Shields für die Verarbeitung von Personaldaten zertifizierten Anbieter in den USA beauftragen wollen, dann erfüllen Sie die Bedingungen unter Ziff. 3. a) – c) und e) und schließen mit ihm zur Erfüllung der Bedingung in Ziff. 3. d) einen Vertrag gemäß den von der EU-Kommission genehmigten Standardvertragsklauseln (https://eur-lex.europa.eu/legalcontent/DE/TXT/?uri=CELEX%3A32010D0087). Eine Einschränkung der Wirkung dieser Klauseln durch anderweitige Vereinbarungen ist nicht zulässig.
Dies gilt für jede Art von zusätzlichen Bedingungen und Einschränkungen für die Pflichten und Rechte aus den Standardvertragsklauseln. Die Erfüllung der Ziff. 3. a) bis 3. f) sowie ggf. Ziff. 4. bzw. im Fall von selbst betriebenen Lösungen Ziff. 2 Satz 2 ist in der Regel zwingende Voraussetzung für die Rechtmäßigkeit der Nutzung der jeweiligen Lösung.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit weisen darauf hin, dass einige verbreitet eingesetzte Anbieter zu Redaktionsschluss (22. Mai 2020) nicht alle Rechtmäßigkeitsvoraussetzungen erfüllen, darunter gängige Produkte von Microsoft, Skype Communications und Zoom Video Communications.
Nicht datenschutzgerechte Lösungen, die aufgrund der Einführung der Kontaktbeschränkungen von Ihrer Institution kurzfristig eingesetzt wurden, sollten so bald wie möglich abgelöst bzw. so nachgebessert werden, dass sie den datenschutzrechtlichen Anforderungen entsprechen. Hinweis: Wir planen, für unserer Aufsicht unterliegende Verantwortliche in Kürze eine ausführlichere Übersicht mit detaillierteren Angaben zu verschiedenen gängigen Anbietern von Videokonferenz-Diensten zu erstellen.
Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit