Eine aktuelle Entscheidung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat die Frage des datenschutzkonformen Einsatzes von Videokonferenz-Tools (konkret ging es um „zoom“) nochmal auf die Tagesordnung vieler Unternehmen gerufen. Führen Sie manchmal Videotelefonate, statt persönliche Meetings abzuhalten? Dann zeigen wir Ihnen kompakt, worauf Sie u. a. bei der Auswahl des Tools aus datenschutzrechtlicher Sicht achten sollten. Denn Sie sollten den Schutz von Unternehmensgeheimnissen und personenbezogenen Daten im Blick behalten.
Abschluss eines Vertrages zur Auftragsverarbeitung ist wichtig
Im Regelfall werden Sie das Tool nicht auf Ihrem eigenen Server hosten. Stattdessen greifen Sie sicher auf eine SaaS-Lösung zurück, bei der die Software extern gehostet wird. In diesem Fall sollten Sie mit dem Anbieter des Video-Tools unbedingt einen Vertrag zur Auftragsverarbeitung abschließen. Nur so, der hinreichende Garantien für die Sicherheit Ihrer Daten bietet. Sie sollten diesen AV-Vertrag von Ihrem Datenschutzbeauftragten auf Herz und Nieren überprüfen lassen. Hier auch unser Blogbeitrag zu diesem Thema.
Keine Drittlandübermittlung und hohe Sicherheitsstandards erforderlich
Suchen Sie zudem gezielt nach einem Anbieter, dessen Server in Deutschland oder der EU stehen. Der HmbBfDI warnte zuletzt die Senatskanzlei der Stadt Hamburg vor dem Einsatz von „zoom“ in der sog. „on-demand-Variante“. Herbei erfolge eine Übermittlung von personenbezogenen Daten in die USA, obwohl dabei kein ausreichender Schutz für diese Daten bestehe. Nutzen Sie dennoch ein Tool, bei dem Daten in einem Drittland verarbeitet werden? Prüfen Sie dies vorher unbedingt gemeinsam mit Ihrem Datenschutzbeauftragten umfassend.
Als Unternehmen bleiben Sie „Verantwortlicher“ für die Verarbeitung der Daten und deshalb sollten Sie auf sichere technische und organisatorische Maßnahmen beim Anbieter des Video-Tools achten. Ein Hinweis auf einen guten Anbieter ist, wenn die vorprogrammierten Datenschutzeinstellungen möglichst restriktiv sind. Es sollte jedoch stets möglich sein, diese Einstellungen manuell zu „verschärfen“. Entscheidend für ein gutes Tool ist weiterhin, dass es eine durchgehende Verschlüsselung aufweist. Wir empfehlen Ihnen auch von typischerweise privat zur Kommunikation genutzten Tools abzusehen und stattdessen Business-Versionen zu bevorzugen. Achten Sie zudem darauf, dass das Tool keine Videoaufnahmen des Meetings machen kann oder jedenfalls zuvor jedem Teilnehmer ein Warnhinweis angezeigt wird. Denn Sie benötigen für die Aufzeichnung eine freiwillige Einwilligung. Diese müssten Sie vorher in nachweisbarer Form einholen. Des Weiteren sollte das Tool die Teilnahme an den Videokonferenzen nur mit Zugangsbeschränkungen wie Login bzw. bei Gästen nur mit Zustimmung des Organisators ermöglichen.
Regeln für Mitarbeiter im Umgang mit Videokonferenz-Tools
Sie sollten nicht zuletzt Ihre Mitarbeiter im Umgang mit dem Tool sensibilisieren. Sie könnten mittels einer internen Liste regeln, welche Dateien nicht über das Video-Tool ausgetauscht werden dürfen, angepasst an die Sensibilität der Daten. Und klären Sie über die Grundregeln des Desktop-Sharing auf. So sollte der Desktop nur ohne Dateisymbole gezeigt werden und es sollten keine Pop-Up-Nachrichten über eingehende E-Mails angezeigt werden.
Haben Sie weitergehende Fragen zum Thema Datenschutz? Schreiben Sie uns einfach eine E-Mail unter: info@sidit.de
Kein Kommentar