Datenschutz: Plötzlich Videokonferenzen – und nun?

Durch die Corona-Pandemie hat sich seit 2020 vieles im Berufsalltag sehr schnell verändert. Dazu gehören auch Homeoffice und die Kommunikation über Videokonferenzen. Wer Videokonferenzen ausrichtet oder an selbigen teilnimmt, sollte folgende Regeln und Hinweise bezüglich des Umgangs mit personenbezogen Daten kennen und umsetzen.

Grundsätzlich sollte immer abgewogen werden, ob eine Videokonferenz vonnöten ist oder die Thematik auch telefonisch oder schriftlich geklärt werden kann. Wenn möglich, sollte auf Telefon oder Mail gesetzt werden.

Datenschutzprobleme identifizieren 

Videokonferenzen kommen in unterschiedlichen Situationen zum Einsatz, die wiederum differenzierte Anforderungen an den Datenschutz stellen, z. B. im Beruf, in Bildungseinrichtungen, in Ehrenämtern oder Vereinsaktivitäten oder in Familie und Freundeskreis. Eine Kurzbetrachtung von Einsatz-Szenarien und spezielle Hinweise findest du am Ende des Beitrags.

Mit der Übertragung von Bildern von Personen werden automatisch personenbezogene Daten übertragen – je nach Inhalt der Konferenz können noch sensiblere oder weitere Daten von Dritten hinzukommen. Im Folgenden eine Reihe genereller Regeln und Hinweise. Sie richten sich im Wesentlichen an zwei Gruppen:

  • Organisierende Personen, die eine Videokonferenz verwalten und einrichten: Du kannst bereits in der Vorbereitung technische und organisatorische Maßnahmen berücksichtigen, die dem Datenschutz aller dienen.

  • Teilnehmende Personen an einer Videokonferenz: Auch hier gilt es, einfache Regeln und Hinweise zu beachten, z. B. wenn über andere Personen gesprochen wird.

Für die organisierenden Personen einer Videokonferenz sind zunächst die Rahmenbedingungen zu klären. Im beruflichen Einsatz stehen manchmal andere Lösungen zur Verfügung als beispielsweise im ehrenamtlichen Verein, und ggf. muss man auch andere Vorgaben beachten. Ein Blick in die Einsatz-Szenarien im Anhang kann hilfreich sein, außerdem sollten übergeordnete Fragestellungen berücksichtigt werden wie z. B.:

  • Wenn du die Videokonferenzen beruflich einsetzen musst, dann hat dein Unternehmen bzw. deine Behörde die Wahl zwischen einem Online-Dienst (SaaS, Software as a Service) oder einer Lösung, die auf den eigenen Servern und im eigenen Netzwerk installiert ist (On-Premises-Lösung).

    • Wird eine Videokonferenzsoftware im eigenen Netz bereitgestellt, wurde in der Regel unternehmens- oder behördenintern eine Erforderlichkeits- und Risikobetrachtung durchgeführt und ein entsprechendes Konzept erstellt, wie beispielsweise mit Meta-, Protokoll- und Analysedaten umgegangen wird oder welche Funktionen für die Teilnehmenden verfügbar sind. Diese Lösung erlaubt dem Unternehmen oder der Behörde mehr Kontrolle über die Datenverarbeitung als bei einem Online-Dienst und ist daher meistens zu bevorzugen.

    • Wenn du keine Software im eigenen Netz nutzen kannst und die Videokonferenz über einen Online-Dienst realisierst, frag vorab in deinem Unternehmen bzw. in deiner Behörde nach, ob und welche Videokonferenz-Lösungen infrage kommen. Die Leitung deines Unternehmens oder deiner Behörde sollte bei dieser Entscheidung gemeinsam mit der IT-Administration und der oder dem Datenschutzbeauftragten allgemeine Fragestellungen – wie beispielsweise Datenverarbeitung im Geltungsbereich der DSGVO, Verwendung datenschutzfreundlicher Voreinstellungen, Einsatz von Verschlüsselung usw. – berücksichtigen und kann sich zusätzlich an den Maßnahmen in dieser Handreichung orientieren.

  • Außerhalb des professionellen Einsatzbereichs wirst du in der Regel einen Online-Dienst in Anspruch nehmen. Bevor du dich für eine Lösung entscheidest, setz dich mit den Datenschutz-Anforderungen für den Einsatzzweck auseinander z. B. anhand der Fragestellungen in dieser Handreichung. Vergleich auf dieser Grundlage mehr als einen Anbieter. Du solltest dich ebenfalls mit den teilnehmenden Personen absprechen, ob eine Videokonferenz für den Zweck der Datenverarbeitung angemessen ist. Auch bei der ehrenamtlichen Arbeit z. B. in einem Verein können sensible Daten von anderen Personen betroffen sein.

Voraussetzungen für Videokonferenzen klären

Wenn dein Unternehmen oder deine Behörde schon einen Videokonferenz-Dienst einsetzt, dann werden die Verwendung und die Verhaltensregeln üblicherweise in einer Richtlinie oder Dienstvereinbarung geklärt sein. Wenn du aus spontanem Anlass Videokonferenzen abhalten musst, kannst du die Empfehlungen dieser Handreichung verwenden.

Bereits bei der Organisation einer Videokonferenz sind einige Fragestellungen zu beachten, die für einen datenschutzkonformen Einsatz wichtig sind und die weitere Zusammenarbeit erleichtern können:

  • Wenn bei dem Einsatz vorgesehen ist, dass parallel zur Videokonferenz auch andere Möglichkeiten der Kommunikation (z. B. Messenger) oder der digitalen Zusammenarbeit (z. B. Cloud-Anwendungen) genutzt werden, muss auch dies datenschutzkonform erfolgen.

  • Mit der Auswahl der Software bzw. Technik für Videokonferenzen sowie bei der Festlegung der Einstellungen kannst du viele datenschutzrechtliche Probleme vermeiden. Die Details findest du im nächsten Abschnitt. Für die Auswahl der Software bzw. Technik ist oft auch entscheidend, ob die Kommunikation zwischen zwei Personen stattfindet (z. B. in einem Beratungsgespräch) oder in einer Gruppe.

  • Bereiten deine Videokonferenz vor, indem du auch den Datenschutz berücksichtigest, wenn du nicht sicher sein kannst, dass ein unbefugter Zugriff über den Dienst oder bei den Teilnehmenden ausgeschlossen ist:

    • Ist für die Teilnahme eine Registrierung bei einem Anbieter erforderlich, kann damit die Weitergabe von personenbezogenen Daten verbunden sein.

    • Soll im Rahmen der Konferenz mit Unterlagen (Dokumenten, Präsentationen) gearbeitet werden, kannst du diese z. B. vorab auf sicheren Wegen an die Teilnehmenden verteilen.

    • Soll beispielsweise eine Präsentation im Bild der Videokonferenz gezeigt werden, kannst du personenbezogene Daten in der Präsentation vorher entfernen.

    • Mithilfe von vorab verteilten Unterlagen kannst du bei Bedarf auch Pseudonyme nutzen, die du in den Unterlagen festgelegt hast.

  • Leg vorab Regeln für die Teilnahme fest und informiere die Teilnehmenden rechtzeitig. Dazu gehören insbesondere Moderationsfunktionen (Aufzeichnen, Aufmerksamkeitsanzeige, Stummschalten usw.) und Verhaltensregeln für die Teilnehmenden (z. B. Zulässigkeit von Screenshots oder Aufnahmen). Benenne für Fragen am besten eine Ansprechperson.

Alle Teilnehmenden einer Videokonferenz können mit einer guten Vorbereitung zum Gelingen der Konferenz und auch zum Einhalten der Datenschutzvorgaben beitragen:

  • Wähle und gestalte bewusst das Umfeld für deine Teilnahme an der Videokonferenz:

    • Achte darauf, dass im Hintergrund keine persönlichen oder vertraulichen Gegenstände zu sehen sind (z. B. Familienfotos, Arzneimittel, Ordnerrücken mit Klientendaten) und dass keine anderen Mitglieder des Haushalts bzw. Gäste aufgenommen werden.

    • Wähle besonders im Homeoffice einen Bereich, in dem du ungestört bist und die Videokonferenz nicht von anderen im Haushalt bzw. aus der Nachbarschaft mitverfolgt werden kann.

    • Achte darauf, dass Geräte mit Sprachsteuerung (z. B. Smartphones, digitale Assistenten) nicht den Ton der Videokonferenz aufnehmen können.

  • Bereite die geeignete technische Ausstattung vor und mach dich mit dieser vertraut. So können Kopfhörer bzw. ein Headset verhindern, dass Personen in der Umgebung von Inhalten der Konferenz erfahren.

  • Mach dich mit den Moderationsfunktionen (z. B. Aufzeichnen der Konferenz oder eine Aufmerksamkeitsüberwachung) und den Verhaltensregeln für Teilnehmende vertraut. Beispielsweise sollte geregelt sein, ob Screenshots der Konferenz angefertigt und ggf. sogar in sozialen Medien veröffentlicht werden dürfen – teile den Wunsch nach einer solchen Regelung ggf. der Ansprechperson mit.

Funktionen von Videokonferenzen einsetzen

Videokonferenz-Dienste bringen unterschiedliche Funktionen mit sich. Durch das gezielte Verwenden bzw. Nicht-Verwenden einer solchen Funktion kannst du den Schutz personenbezogener Daten erhöhen. Wird in deinem Unternehmen oder deiner Behörde eine On-Premises-Lösung eingesetzt, wurden ggf. einige Funktionen bereits auf Grundlage von Richtlinien konfiguriert. Du solltest als organisierende Person sowohl im beruflichen Einsatzbereich als auch außerhalb die Verwendung der angebotenen Funktionen daraufhin überprüfen, ob eine datenschutzfreundliche Voreinstellung möglich ist, z. B.:

  • Aufnahme/Speicherung einer Videokonferenz („Protokoll“, „Archivierung“)
    Videokonferenz-Lösungen können Aufnahmefunktionen anbieten, die den Verlauf der Videokonferenz in Ton und Bild aufzeichnen. Auch wenn dir diese Funktion verlockend erscheint: Es gibt in der Regel immer datenschutzfreundlichere Lösungen als eine umfangreiche Aufzeichnung von Wort und Bild inklusive Gestik und Mimik, z. B. schriftliche Protokolle, wie sie auch in nicht-elektronischen Meetings zum Einsatz kommen. Bei einer Speicherung/Archivierung müssen u. a. Zugriffsberechtigungen, Löschfristen und die Wahrung der Betroffenenrechte gewährleistet werden. Die Risiken im Zusammenhang mit der Speicherung und die möglichen technischen und organisatorischen Maßnahmen müssen im Vorfeld betrachtet und festgelegt werden.

  • Integration von sozialen Medien
    Videokonferenz-Lösungen können die Integration von sozialen Medien (Social Media) anbieten. Achte bei der Einbindung solcher Inhalte darauf, dass du dabei keine sensiblen Daten anderer Personen offenlegst. Achtung: Einige Videokonferenz-Dienste nehmen automatisch Kontakt zu Social-Media Plattformen auf – das ist jedoch in der Regel weder nötig noch gewollt.

  • Aufmerksamkeitsanzeige
    Einige Videokonferenz-Lösungen bieten Aufmerksamkeitsanzeigen, die es ermöglichen sollen, zu erkennen, ob Teilnehmende der Videokonferenz folgen. Diese Überwachung ist ein Eingriff in die Persönlichkeitsrechte der Teilnehmenden! Aktiviere die Funktion nur, wenn es zwingend notwendig ist, z. B. bei Online-Seminaren mit Teilnahmenachweis. Auf jeden Fall musst du die Teilnehmer darüber vorab informieren.

  • Passwortschutz/Anklopfen
    Wenn die Videokonferenz-Lösung die Möglichkeit bietet, einen Konferenzraum zu sperren und eine Teilnahme erst nach der Eingabe eines Passworts bzw. nach einem „Anklopfen“ (auch: Warteraum) und Freigabe der Teilnahme durch die Moderation zu erlauben, dann verwende bitte diese Funktion. Damit kannst du erreichen, dass nur berechtigte Personen an deiner Videokonferenz teilnehmen.

Um die Transparenz der Datenverarbeitung in deiner Videokonferenz zu gewährleisten bzw. die Teilnehmenden über die Verwendung ihrer Daten zu informieren, solltest du

  • den Teilnehmenden deiner Videokonferenz die Möglichkeit geben, deine Datenschutzerklärung oder Datenschutz-Kurzinformation einzusehen oder herunterzuladen, z. B. von deiner Webseite, oder

  • den Teilnehmenden deiner Videokonferenz die datenschutzfreundliche Verwendung der Funktionen vor Beginn der Videokonferenz zu erläutern oder die Chatfunktion zu benutzen, um die datenschutzrelevanten Informationen dort bereitzustellen. Dazu kannst du eine Textvorlage erstellen, die sich für jede Videokonferenz eines entsprechenden Anbieters verwenden lässt.

  • Solltest du Funktionen verwenden, mit denen ein erhöhtes Risiko verbunden ist (Aufnahme, Aufmerksamkeitsanzeige, kein Passwortschutz usw.), informiere darüber deutlich im Vorfeld.

  • Überlege, ob du die Identität der Teilnehmenden der Videokonferenz prüfen musst, um zu gewährleisten, dass keine Unbefugten teilnehmen. Bei der Verwendung eines komplexen Passworts beim Zugang kann dies schon sichergestellt sein.

Bereite dich auf mögliche Datenschutz-Probleme vor, die im Laufe der Videokonferenz auftreten können:

  • Überlegen dir deine Reaktion als Moderator*in, wenn einzelne Teilnehmende unerlaubt personenbezogene Daten verwenden oder veröffentlichen.

  • Bereite einen Plan B vor, falls technische Probleme auftauchen, beispielsweise eine Terminverschiebung oder das Ausweichen auf eine Telefonkonferenz.

  • Falls die Videokonferenz nicht durch ein Passwort o. ä. geschützt ist, solltest du schnell reagieren, falls eine unberechtigte Person an der Konferenz teilnimmt.

...für teilnehmende Personen:

  • Überprüfe bei Beginn der Videokonferenz, welche Funktionen die Videokonferenz-Software zur Verfügung stellt und ob Funktionen deaktiviert wurden, z. B. ausgegraut oder entsprechend markiert, oder ob bestimmte Voreinstellungen bei den Funktionen vorgenommen wurde, z. B. ausgeschaltete Kamera oder ausgeschaltetes Mikrofon.

  • Informiere dich im beruflichen Einsatzbereich bei der organisierenden Person, ob für die Datenverarbeitung im Zusammenhang mit der Videokonferenz eine Datenschutzerklärung oder eine Datenschutz-Kurzinformation bereitgestellt wird. Sollten diese Informationen nicht vorhanden sein, dann bitte bei Unklarheiten die organisierende Person, die Regelungen zur Verwendung der verschiedenen Funktionen zu erläutern.

  • Teste die Funktionen, mit denen du deine Privatsphäre schützen kannst, um sie während der Videokonferenz sicher verwenden zu können, z. B. Deaktivierung von Ton und/oder Bild. Solltest du Teile der Videokonferenz für die eigene Nachbereitung aufzeichnen oder z. B. Screenshots für die Veröffentlichung in sozialen Medien erstellen wollen, stelle unbedingt sicher, dass dies ausdrücklich erlaubt ist und die anderen Teilnehmer eingewilligt haben.

In Videokonferenzen datenschutzfreundlich verhalten

Wenn du an einer Videokonferenz teilnimmst, kannst du durch dein eigenes Verhalten vermeiden, dass sensible Informationen weitergegeben werden:

  • Sei dir bewusst, dass in einer Videokonferenz alle anderen Teilnehmenden zuhören, und gib keine sensiblen Informationen weiter.

  • Nutze beispielsweise externe oder auch integrierte Direkt-Chats, um mit einzelnen Personen Informationen austauschen zu können, die nicht an alle Teilnehmenden gerichtet sind.

  • Schalte dein Mikrofon stumm und ggf. die Kamera aus, z. B. wenn im Homeoffice andere Personen aus deinem Haushalt in den Aufnahmebereich des Mikrofons oder in das Sichtfeld der Kamera kommen. Ein Schild an der Tür im Homeoffice kann über laufende Konferenzen informieren, damit ein „Hineinplatzen“ vermieden wird.

  • Sei in der Videokonferenz aufmerksam und informiere die organisierende Person bzw. die anderen Teilnehmenden, wenn beispielsweise eine fremde Person den Konferenzraum betritt oder ohne Vorankündigung und Absprache eine Aufnahme der Videokonferenz gestartet wird.

Wenn es länger als „kurzzeitig“ dauert

Wenn du Videokonferenzen spontan einsetzen musstest, um mit Kollegen, Klienten, Mitgliedern usw. im Kontakt zu bleiben, und du noch keine konzeptionelle Grundlage für diese Verarbeitungstätigkeit hast, kannst du kurzzeitig die hier beschriebenen Hinweise verwenden, um wichtige Anforderungen an die Datenschutzkonformität bei Videokonferenzen umzusetzen. 

Generell ist es aber notwendig, eine der Datenverarbeitung angemessene Erforderlichkeits- und Risikobetrachtung durchzuführen, auf deren Basis eine geeignete Videokonferenz-Lösung auszuwählen ist und technische und organisatorische Maßnahmen zu Datenschutz und Datensicherheit festzulegen und zu dokumentieren sind.

Anhang: Beispiele für Einsatz-Szenarien

Videokonferenzen kommen in verschiedenen Szenarien zum Einsatz, die wiederum unterschiedliche Anforderungen an den Datenschutz stellen:

  • Berufliche Videokonferenzen innerhalb eines Unternehmens oder einer Behörde oder ggf. mit Mitarbeitenden aus anderen Unternehmen oder Behörden dienen als Ersatz für Besprechungen. Um den Beschäftigtendatenschutz zu gewährleisten, ist in der Regel eine Betriebs- oder Dienstvereinbarung erforderlich.

  • Video-Beratungen, die von einem Unternehmen oder einer Behörde für Privatpersonen angeboten werden, stellen nicht nur die genannten Anforderungen an den Beschäftigtendatenschutz, sondern es muss auch der Datenschutz der Beratenen berücksichtigt werden. Wichtig ist eine umfassende und verständliche Information der Beratenen über die Verarbeitung ihrer Daten und über ihre Rechte. Der Einsatz im Gesundheitswesen (z. B. im Rahmen von Telemedizin) und in anderen besonders sensiblen Bereichen unterliegt speziellen Anforderungen.

  • Videokonferenzen in Bildungseinrichtungen unterliegen speziellen Anforderungen, besonders im schulischen Bereich. Detaillierte Informationen und eine ständig aktualisierte Positivliste gibt es auf https://medienberatung.iqsh.de/corona2.html

  • Videokonferenzen im Ehrenamt (z. B. in Vereinen oder kommunalen Ehrenämtern) bedürfen der informierten Einwilligung der Beteiligten. Gegebenenfalls sind vorab auch Satzungsänderungen oder andere Beschlüsse notwendig, bei denen Interessenvertretungen einzubinden sind.

  • Rein private Videokonferenzen bspw. zwischen Familienangehörigen liegen zwar nicht im Anwendungsbereich der Datenschutz-Grundverordnung, doch können einige dieser Hinweise trotzdem von Interesse sein. 

In der Praxis treten die Szenarien teilweise kombiniert auf und weisen im Einzelfall noch komplexere Anforderungen auf.

Quellen und weiterführende Informationen

Nutzung von Videokonferenzdiensten
Information des Bundesbeauftragten für den Datenschutz und die
Informationsfreiheit

Leitfragen zur Beurteilung von Angeboten
Information des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit

Kompendium Videokonferenzsysteme
Kompendium des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Stand: April 2020, 173 Seiten, deutsch

Datenschutzfreundliche technische Möglichkeiten der Kommunikation
Artikel des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg
Stand: April 2020, deutsch

Praxishilfe „Videokonferenzen und Datenschutz“
Praxishilfe der Gesellschaft für Datenschutz und Datensicherheit e.V.
Stand: Juli 2020, 19 Seiten, deutsch

Einsatz von digitalen Angeboten während der Corona-Krise
Information des Instituts für Qualitätsentwicklung an Schulen Schleswig-Holstein (IQSH)
laufend aktualisiert, deutsch

COVID-19 : les conseils de la CNIL pour utiliser les outils de visioconférence
Information der Commission Nationale de l’Informatique et des Libertés (CNIL) aus Frankreich
Stand: April 2020, französisch

Informationspflichten mit dem „Datenschutz-Steckbrief“
Umsetzung der Informationspflichten nach Art. 13 und Art. 14 DSGVO
Stand: April 2020

Stay in the loop

Verpasse keine Einladung zu Events und weiteren Aktivitäten in der Community.