Die Nutzung von Videokonferenzen nimmt vor allem während der aktuell laufenden Kontaktbeschränkungen zu. Besonders dem Privatanwender bekannte Systeme stehen in der öffentlichen Kritik, keinen sensiblen Umgang mit benutzerbezogenen Daten zu ermöglichen. Um Schnellschüsse bei der Auswahl des Tools und in der Handhabung zu vermeiden, die die Sicherheit Ihres Unternehmens und Ihrer Mitarbeiter im Homeoffice potentiell gefährden, empfehlen wir im deutschsprachigen Raum die Einhaltung der Vorgaben der geltenden Datenschutz-Grundverordnung (DSGVO). Die folgende Checkliste hilft Ihnen bei der Einhaltung gesetzlicher Vorgaben und einer komfortablen Umsetzung, technischer und organisatorischer Maßnahmen für mobiles und flexibles Arbeiten.
- EU-Dienste bevorzugen – Bei der Auswahl eines Videokonferenz Dienstes aus den USA und ein gleichwertiger Dienst aus der EU zur Auswahl stehen, wählen Sie bevorzugt den Dienst mit Auftragsdatenverarbeitung in der EU.
- Dienste mit datenschutzfreundlichsten Einstellungen wählen (Art. 25 DSGVO) – Dienste mit den „datenschutzfreundlichsten“ Verfahrens- und Einstellungsmöglichkeiten auswählen, u.a.:
Verschlüsselung – Übertragungen von Bild und Ton sollten verschlüsselt erfolgen.
Geschäftsnutzung – Die geschäftliche Nutzung sollte erlaubt sein. Meist bieten nur sog. Business Versionen diesen Faktor.
Freigaben – Bildschirmübertragung oder Aufzeichnung der Tätigkeiten im Konferenz Tool sollte eine ausdrückliche Zustimmung des Benutzers voraussetzen.
Protokolle und Aufzeichnungen – Gesprächsverläufe und Aufzeichnungen sollten nach dem Termin automatisiert gelöscht werden.
Profiling – Es sollten keine Verhaltens- und Bewegungsprofile der Teilnehmer gebildet werden oder diese Funktion sollte generell abgeschaltet werden können. (Smartphone App Funktionen überprüfen) - Einbindung des Betriebsrates – Dem Betriebsrat steht gemäß § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung technischer Systeme zu. Außerdem ist es ratsam, den Datenschutzbeauftragten frühstmöglich einzubinden.
- Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen – Angemessenes Datenschutzniveau (z. B. Schweiz, Israel, Kanada, Neuseeland) / Privacy-Shield-Zertifizierung eines US-Dienstes prüfen / Abschluss von “EU Model Contract Clauses” (Standardschutzklauseln).
- Technische Maßnahmen sicherstellen – Die DSGVO nimmt Unternehmen auch in technischer Hinsicht in die Pflicht: Sie sind durch die Grundsätze „Privacy by Design“ und „Privacy by Default“ (Art. 25 DSGVO) zum Einsatz einer datenschutzfreundlichen Technik und zu datenschutzfreundlichen Voreinstellungen verpflichtet. Hierzu gehören z.B.:
- Übertragungen sollten verschlüsselt erfolgen.
- Die Teilnahme an der Konferenz darf ausschließlich über eine Log-in Maske, oder auf Einladung des Organisators erfolgen.
- Logfiles sollten nur zum Zweck von Support Tätigkeiten erstellt werden. Eine datenschutzkonforme Löschung muss sichergestellt sein.
- Chatverläufe müssen nach definierten Zeiträumen automatisch gelöscht werden können.
- Ausgetauschte Dokumente dürfen nur für geringe Zeiträume lokal zwischengespeichert werden. Eine automatisierte Löschung im Cache sollte automatisiert stattfinden.
- Eine Aufnahme der Videokonferenz darf ausschließlich mit Einwilligung aller Teilnehmer möglich sein.
- Awareness zu Ihrer geltenden Datenschutzerklärung herstellen z.B. via Link zu Datenschutzerklärung auf Loginseiten oder in Einladungen zu Onlinemeetings einbinden.
Wenn Sie direkte Unterstützung bei der Auswahl der richtigen Technik und bei der Erstellung notwendiger Prozesse benötigen, konsultieren Sie uns gerne über folgende Kontaktmöglichkeiten: ? info@agilimo.de ?+49 (0) 6028-94013-0
Weiterführende Links: Berliner Datenschutzbeauftragte zur Durchführung von Video- konferenzen während der Kontaktbeschränkungen
