Online-Meetings und Datenschutz
Bei Online-Meetings und Telefonkonferenzen werden viele persönliche Daten genutzt. Deshalb ist es hier sehr wichtig, alle Richtlinien des Datenschutzes einzuhalten. Noch nutzen Unternehmen häufig unbedarft Konferenzlösungen, die nicht dem strengen deutschen Datenschutzniveau entsprechen. Bisher haben die Datenschutzbehörden häufig ein Auge zugedrückt, doch um auf der sicheren Seite zu sein, sollten alle Nutzer virtuelle Konferenzen datenschutzrechtlich wasserdicht machen. Und das nicht nur aus rechtlichen Gründen, sondern auch um das eigene Know-How zu schützen.
Online-Meeting-Angebote versus Datenschutz
Oft wurden die ersten Online-Meetings aus aktuellem Anlass mit wenig Vorlaufzeit geplant. Es musste schnell gehandelt werden, Geschäftsbedingungen wurden ohne genaue Prüfung akzeptiert. Die Folge sind dann Sicherheitslücken, gehackte Konferenzen, Beitritte von fremden Teilnehmern … wie sie auch durch die Medien gingen.
Manches System wurde schon vorschnell eingeführt, aufgebaut, genutzt und musste dann wegen erheblicher Datenschutz-Mängel wieder umgestellt werden. Wir zeigen Ihnen die grundlegenden Datenschutz-Voraussetzungen und erklären, worauf Sie besonders achten sollten.
Sitz des Anbieters
In der EU herrschen hohe Maßstäbe für den Datenschutz, nicht zuletzt in der DSGVO festgelegt. EU-Anbieter unterliegen diesen strengen Regeln und sind daher zu einem hohen Schutz Ihrer Daten verpflichtet. Mit der Wahl eines europäischen oder gar deutschen Anbieters (der zusätzlich noch den teils strengeren deutschen Vorgaben unterworfen ist), sind Sie garantiert auf der sicheren Seite.
Anders sieht dies bei Nicht-EU-Anbietern aus: diese unterliegen diesen Regeln prinzipiell nicht. Für manche Länder (z.B. die Schweiz, Kanada oder Japan) hat die EU das Datenschutzniveau als ähnlich hoch eingestuft und einen Angemessenheitsbeschluss herausgegeben – diese Dienste dürfen somit auch genutzt werden.
Viele Anbieter sitzen allerdings in den USA, für die kein Angemessenheitsbeschluss gilt. Nachdem das EU-US Privacy Shield gekippt wurde, ist die Datenübermittlung in Unternehmen in den USA zunächst einmal nicht zulässig. Für die Nutzung sind zusätzlich zum Auftragsdatenverarbeitungsvertrag Standardvertragsklauseln mit jedem einzelnen Anbieter nötig, um eine Zusammenarbeit rechtlich möglich zu machen. Bei sehr kritischen Daten sollte man sich trotzdem Gedanken machen, ob das Datenschutzniveau für den Einsatz ausreichend ist angesichts der Zugriffsrechte von US-Behörden - letztendlich geht es ja nicht nur darum, rechtliche Vorgaben auf dem Papier zu erfüllen, sondern den Datenzugriff Dritter komplett auszuschließen.
Übertragungstechnik
Achten Sie darauf, dass die Übertragung möglichst verschlüsselt erfolgt – vor allem natürlich beim Austausch sensibler Daten.
Technisch gesehen sollten außerdem Möglichkeiten bestehen, die Sichtbarkeit von Teilnehmerdaten so zu regulieren, dass diese privaten Daten ggf. nicht für alle anderen Teilnehmer sichtbar sind.
Berücksichtigen Sie bei Ihrer Prüfung, ob es sich um ein Produkt handelt, das für die geschäftliche Nutzung vorgesehen ist und die vorgegebenen technischen Ausstattungen auch genau für das Tool gelten, das Sie einsetzen. Datenschutz-Einstellungen können hier je nach genutzter Version variieren.
Organisation des Meetings
- Privatsphäre:
Planen Sie, wie die Privatsphäre der Teilnehmer geschützt werden soll / muss: dürfen beispielsweise die Namen der Teilnehmer für alle sichtbar sein, ist die Teilnahme per Videokonferenz mit für alle sichtbaren Teilnehmern nötig oder kann man darauf eventuell verzichten.
- Mitschnitte:
Sofern Mitschnitte angefertigt werden sollen, informieren Sie die Teilnehmer im Vorfeld darüber und lassen Sie sich deren Einverständnis im besten Fall bestätigen.
- Datensparsamkeit:
Achten Sie bei allem, was Sie tun, auf die Datensparsamkeit, bspw. beim Anlegen von Teilnehmern: hinterlegen und nutzen Sie nur die absolut notwendigen Daten und verzichten Sie auf alle übrigen.
- Zutrittsberechtigung:
Laden Sie nur Personen ein, die auch zutrittsberechtigt für das Online-Meeting sind und halten Sie keine offene Konferenz, zu der sich jeder einwählen kann.
- Zugangsbeschränkungen:
Errichten Sie Zugangsbeschränkungen wie einen Passwortschutz. Oder nutzen Sie einen vom Host verwalteten Warteraum, der alle Eintretenden checkt und erst dann in die Konferenz einlässt.
Voraussetzungen für den Datenschutz
- Auftragsverarbeitungsvertrag:
Schließen Sie mit dem Anbieter des Online-Konferenztools im Vorfeld einen Auftragsverarbeitungsvertrag ab.
- Datenschutzerklärung:
Da im Rahmen der Konferenz personenbezogene Daten verarbeitet werden, muss über Umfang, Zweck und Art deren Verarbeitung in der Datenschutzerklärung aufgeklärt werden. Jeder Teilnehmer sollte direkten Zugriff auf die Datenschutzerklärung haben.
- Verarbeitungsverzeichnis:
Das Konferenztool muss ins Verarbeitungsverzeichnis des Unternehmens aufgenommen werden.
Besonders heikel ist der Einsatz spezieller Tracking- oder Überwachungstools. Hierüber müssen ggf. die Teilnehmer sowie bei Mitarbeitermeetings der Betriebsrat informiert werden.
Fazit
Es ist wichtig, bei den Online-Konferenz-Tools genauer hinzuschauen und ggf. nachzujustieren, aber nicht nur, um rechtliche Bestimmungen zu erfüllen. Vor allem vermeiden Sie damit, dass im Rahmen der Konferenzen ausgetauschte sensible Daten in die falschen Hände geraten.
