01. April 2020

Videokonferenzen und Datenschutz - Eine Übersicht

  • Artikel
  • Legal
  • Daten / Technologie / IP

Um den Kontakt zu Kunden und Kollegen aus dem Homeoffice heraus halten zu können, wird verstärkt mit Videokonferenztools gearbeitet. Auch bei der Auswahl dieser Anwendungen darf der Schutz personenbezogener Daten nicht unberücksichtigt bleiben.

Um den Kontakt zu Kunden und Kollegen aus dem Homeoffice heraus halten zu können, wird verstärkt mit Videokonferenztools gearbeitet. Auch bei der Auswahl dieser Anwendungen darf der Schutz personenbezogener Daten nicht unberücksichtigt bleiben.

On-Premise-Varianten - also Software, die auf den eigenen Servern gehostet wird - ist immer die sicherste Variante. Kleinere Firmen, die diese Möglichkeiten nicht haben, nutzten häufig SaaS-Lösungen. Hier gilt es sicherzustellen, dass der entsprechende Dienstleister eine datenschutzkonforme Verarbeitung der Daten sicherstellt (Art. 10a DSG; Art. 28 Abs. 1 DSGVO). Um dies zu gewährleisten, sollte die Datenschutzerklärung des Anbieters vor der ersten Verwendung aufmerksam durchgelesen und insbesondere auf die folgenden zwei Punkte hin überprüft werden:

  • Bietet der Anbieter den Abschluss eines Auftragsverarbeitungsvertrags an?
  • Werden die Personendaten ausserhalb der Schweiz verarbeitet?

Diese beiden Fragen und die damit zusammenhängenden rechtlichen Überlegungen sollen in diesem Beitrag kurz erläutert werden.

 

Abschluss Auftragsverarbeitungsvertrag

Anbieter von Videokonferenztools haben in der Regel zumindest im Rahmen der Systemwartung Zugriff auf Personendaten, die bei der Nutzung des Tools erhoben werden. Dazu gehören beispielsweise die Vornamen, Nachnamen, E-Mail-Adressen und Zeitzonen der Teilnehmer. Die meisten Aufsichtsbehörden vertreten aus diesem Grund die Auffassung, dass Anbieter von Videokonferenztools als Auftragsverarbeiter zu qualifizieren sind. Der Abschluss eines Auftragsverarbeitungsvertrag (AVV) ist aus diesem Grund dringend empfohlen und im Falle einer Anwendbarkeit der DSGVO gar gesetzlich vorgeschrieben.

Der AVV soll sicherstellen, dass der Anbieter des Videokonferenztools (Auftragsverarbeiter) die von Ihnen übermittelten Personendaten nur zu den Zwecken verarbeitet, für die sie erhoben worden sind. Dieser Zweck dürfte in diesem Fall in der Durchführung der Telefonkonferenz liegen. Zusätzlich wird der Anbieter durch den AVV verpflichtet, die ihm anvertrauten Personendaten in angemessener Weise zu schützen. Hierzu wird im AVV detailliert festgelegt, welche technischen und organisatorischen Massnahmen der Auftragsverarbeiter zum Schutze der Personendaten umgesetzt hat.

Die meisten Anbieter von Videokonferenztools bieten auf ihrer Webseite einen AVV an, der entweder in elektronischer Form abgeschlossen oder nach manueller Unterzeichnung an den Anbieter verschickt werden kann. Falls der Anbieter keinen AVV anbietet, so sollte der Anbieter darauf angesprochen werden. Weigert sich der Anbieter, einen AVV abzuschliessen, so ist von einer Verwendung der angebotenen Dienstleistung dringend abzuraten.

 

Übertragung von Personendaten ins Ausland

Die meisten Anbieter von Videokonferenztools weisen in ihrer Datenschutzerklärung weiter darauf hin, dass die erhobenen Daten auf Server im Ausland transferiert und dort verarbeitet werden. Dabei ist zu beachten, dass eine Übertragung von Personendaten von der Schweiz ins Ausland nur zulässig ist, wenn eine der folgenden drei Situationen zutrifft:

Die Gesetzgebung im Land des Empfängers gewährleistet nach Ansicht des Eidgenössischen Datenschutzbeauftragten (EDÖB) einen angemessenen Schutz von Personendaten. In diesem Fall dürfen die Daten ohne besondere Vorkehrungen an den Empfänger transferiert werden. Die Liste der Staaten, die über eine angemessene Datenschutzgesetzgebung verfügen, wird vom EDÖB in unregelmässigen Abständen aktualisiert und kann online abgerufen werden. Falls sich der Anbieter von Videokonferenztools in den USA befindet, so muss dieser zusätzlich dem Swiss-U.S. Privacy Shield beitreten und auf der Liste des U.S. Departement of Commerce (DOC) verzeichnet sein. Ist dies nicht der Fall, so muss eine der folgenden Situationen gegeben sein.

Der Anbieter von Videokonferenztools hat geeignete Garantien vorgesehen, die einen angemessenen Schutz von Personendaten gewährleisten. Dazu gehört insbesondere die Verwendung von Standarddatenschutzklauseln, die vom EDÖB oder von der EU-Kommission genehmigt worden sind. Die Standarddatenschutzklauseln sollten dabei nicht verändert werden, da sie sonst ihren privilegierten Status verlieren und vom EDÖB separat genehmigt werden müssen.

Der Anbieter von Videokonferenztools begründet in der Datenschutzerklärung, dass der Transfer von Daten in sein Herkunftsland unter einen gesetzlichen Ausnahmetatbestand fällt. In diesem Fall wird dringend empfohlen, die Begründung des Anbieters von einer Fachperson überprüfen zu lassen.

 

Anpassung der Einstellungen sowie der Datenschutzerklärung

Für die richtige Auswahl der entsprechenden Software haftet letztlich der Organisator der Videokonferenz und muss dabei die Themen Verschlüsselung, Beschränkung von Logfiles, Löschung von Chatverläufen und Regelungen zum Dateiaustausch, den Umgang mit Aufnahmen von Konferenzen, etc. beachten. Diese Themenbereiche können in den Einstellung des Videokonferenztools bearbeitet werden. Während gewisse Videokonferenztools über datenschutzfreundliche Voreinstellungen verfügen, muss bei anderen nachjustiert werden. Es lohnt sich in jedem Fall, hier genau hinzuschauen und sicherzustellen, dass Funktionen wie «Aufmerksamkeits-Tracking», «Aufzeichnung von Videos» und «Speicherung von Chatnachrichten» nur aktiviert sind, wenn dies für die Durchführung der Videokonferenz tatsächlich notwendig ist.

Zu guter Letzt sollten Sie Ihre eigene Datenschutzerklärung vor der erstmaligen Verwendung des Videokonferenztools aktualisieren und einen entsprechenden Datenschutz-Hinweis in Ihre Einladung aufnehmen. Nur so kann sichergestellt werden, dass die Teilnehmer an der Videokonferenz über die Verarbeitung ihrer Personendaten im Zusammenhang mit der Verwendung des Videokonferenztools auch tatsächlich informiert sind.

Wir bei MME Legal Tax Compliance haben unsere Arbeitsplätze seit mehreren Jahren entsprechend eingerichtet und werden so in den nächsten Wochen wie gewohnt für unsere Klienten da sein, um Ihnen bei allen Fragestellungen rund um Ihre Homeoffice Lösung zu helfen!