Datenschutz bei Videokonferenzen: Worauf Sie achten sollten

Videokonferenz

Einleitung

Die Nutzung von Videokonferenzsystemen ist insbesondere seit der Corona-Pandemie fester Bestandteil der modernen Arbeitswelt. Unternehmen, Behörden und Bildungseinrichtungen setzen vermehrt auf digitale Meetings, um flexibel und ortsunabhängig zu kommunizieren. Dabei werden jedoch oft erhebliche Datenschutzrisiken übersehen. Die Auswahl des richtigen Tools, die Einhaltung gesetzlicher Vorgaben und der bewusste Umgang mit personenbezogenen Daten sind essenziell, um Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) zu vermeiden. Als Experten für Datenschutz zeigt Ihnen die konicon GmbH in diesem Beitrag, worauf Sie achten sollten.

Inhaltsverzeichnis

Rechtliche Grundlagen für Videokonferenzen

Bei der Nutzung von Videokonferenzsystemen müssen Unternehmen und Organisationen sicherstellen, dass die geltenden Datenschutzvorschriften eingehalten werden. Verstöße können nicht nur hohe Bußgelder, sondern auch Vertrauensverluste bei Kunden und Partnern nach sich ziehen. Um so wichtiger ist es, sich auch mit den Kommunikationskanälen zu beschäftigen und zu prüfen, welche rechtlichen Rahmenbedingungen einzuhalten sind.

DSGVO-Anforderungen an Videokonferenzen

Die DSGVO legt fest, dass personenbezogene Daten nur mit einer klaren Rechtsgrundlage verarbeitet werden dürfen. Dazu zählen:

  • Einwilligung der betroffenen Personen: Teilnehmer können aktiv der Verarbeitung ihrer Daten zustimmen. Hierbei muss nicht gleich eine schriftliche Einwilligung bestehen oder aktiv Häkchen gesetzt werden. Die DSGVO lässt ausdrücklich konkludente Einwilligungen (durch eindeutige bestätigen Handlungen) zu. Wenn keine Zwangssituation zur Teilnahme an der Videokonferenz besteht und mit Einladung zur Videokonferenz über die Datenverarbeitung informiert wurde, bestätigt der Teilnehmer seine Zustimmung mit einer eindeutigen Handlung, wenn er sich an dem Online-Meeting anmeldet.
  • Vertragliche Notwendigkeit: Wenn eine Videokonferenz zur Vertragserfüllung erforderlich ist, kann dies ebenso eine rechtmäßige Grundlage sein.
  • Berechtigtes Interesse: Unternehmen dürfen Daten verarbeiten, wenn ein legitimes Interesse besteht und die Interessen der betroffenen Personen nicht überwiegen. Insbesondere das berechtigte Interesse wird regelmäßig im Beschäftigungsverhältnis als Rechtsgrundlage angewendet. Daher sollten die Rechte und Pflichten der Beschäftigten in der Interessenabwägung auch besonders berücksichtigt werden.

Zusätzlich müssen Unternehmen technische und organisatorische Maßnahmen ergreifen, um die Datensicherheit zu gewährleisten.

Auftragsverarbeitung und Anbieterwahl

Mit Einführung des TTDSG (Heute TDDDG) wurde der Bereich der Telekommunikationsanbieter erweitert und auch auf Videokonferenzanbieter und Instant-Messenger ausgeweitet. Nach Einschätzung der Aufsichtsbehörden (z.B. hier) ist für diese Anbieter nicht mehr zwingend ein Auftragsverarbeitungsvertrag (AVV) erforderlich.

Nutzen Unternehmen jedoch Dienste, die über die reine Datenübertragung für Videokonferenzen und Chat-Nachrichten hinausgehen, ist weiterhin der Abschluss eines AVV nach Art. 28 DSGVO anzuraten. Bspw. wenn Trackings der Aufzeichnungen der Konferenzen erfolgen oder wie bei Microsoft Teams auch Dokumentenverwaltungen eingebunden werden.

In den AVV muss der Anbieter zusichern, dass:

  • alle Daten nur für die vereinbarten Zwecke verarbeitet werden,
  • ausreichende Sicherheitsmaßnahmen getroffen sind,
  • die Daten nicht ohne Zustimmung an Dritte weitergegeben werden.

Bei Anbietern mit Serverstandorten außerhalb der EU müssen zusätzliche Sicherheitsmechanismen wie Standardvertragsklauseln oder Binding Corporate Rules (BCR) implementiert sein.

Datenschutzfreundliche Auswahl eines Videokonferenz-Tools

Die Wahl des richtigen Videokonferenzanbieters ist ein entscheidender Faktor für den Datenschutz. Dabei sollten Unternehmen besonders auf Datensparsamkeit und Sicherheitsfunktionen achten.

Serverstandorte und Datenverarbeitung

Videokonferenzanbieter mit Servern außerhalb der EU können problematisch sein, da Daten in Drittländer wie die USA übermittelt werden, die kein angemessenes Datenschutzniveau bieten. Achten Sie darauf, dass:

  • der Anbieter Serverstandorte innerhalb der EU oder des EWR anbietet,
  • eine Verarbeitung außerhalb der EU nur unter Einhaltung der DSGVO erfolgt,
  • klar geregelt ist, wer Zugriff auf die Daten hat.

Ende-zu-Ende-Verschlüsselung und Sicherheitsstandards

Ein wesentliches Kriterium für ein sicheres Videokonferenzsystem ist die Ende-zu-Ende-Verschlüsselung. Nur so ist gewährleistet, dass niemand – auch nicht der Anbieter – auf die übermittelten Daten zugreifen kann. Weitere wichtige Sicherheitsmerkmale sind:

  • Verwendung von Zero-Knowledge-Architektur, damit selbst der Anbieter keine Daten einsehen kann,
  • Option zur dezentralen Speicherung der Daten auf firmeneigenen Servern,
  • Regelmäßige Sicherheitsupdates und Verschlüsselungsstandards wie TLS 1.2 oder höher.

Technische und organisatorische Maßnahmen

Um Datenschutzrisiken in Videokonferenzen zu minimieren, sollten Unternehmen klare technische und organisatorische Schutzmaßnahmen definieren.

Authentifizierung und Zugangskontrollen

Eine sichere Authentifizierung verhindert, dass unbefugte Personen an einer Videokonferenz teilnehmen. Empfehlenswert sind:

  • die Aktivierung von Zwei-Faktor-Authentifizierung (2FA) für die Organisatoren der Videokonferenz,
  • eine individuelle Einladung mit einmaligen Zugangscodes oder Einrichtung eines Wartebereichs mit aktiver Zulassung der Teilnehmer,
  • das Deaktivieren von öffentlichen Meeting-Links, die leicht erraten werden können und sich sich Unbefugte jederzeit zuschalten können.

Aufzeichnungsfunktionen und Datenschutz

Viele Videokonferenzsysteme bieten eine Aufzeichnungs- und Transkriptionsfunktion. Diese sollte nur nach folgenden Grundsätzen genutzt werden:

  • Einwilligungspflicht: Teilnehmer müssen der Aufzeichnung ausdrücklich zustimmen.
  • Minimierung: Es sollten nur relevante Inhalte gespeichert werden.
  • Speicherdauer: Aufzeichnungen müssen nach einem definierten Zeitraum gelöscht werden.

Minimierung der Datenerhebung

Eine datenschutzfreundliche Nutzung von Videokonferenzsystemen erfordert, dass so wenige Daten wie möglich erhoben werden. Maßnahmen dazu:

  • Verzicht auf die automatische Speicherung von Chatprotokollen und Nutzungsstatistiken,
  • Deaktivierung von Teilnehmer-Profilbildern,
  • Reduktion der Anmeldeinformationen auf das notwendige Minimum.

Verhaltensregeln für Teilnehmer

Auch die Teilnehmer selbst tragen Verantwortung für den Datenschutz. Klare Verhaltensregeln helfen, unbeabsichtigte Datenlecks zu vermeiden.

Sensible Inhalte und Bildschirmfreigabe

Besondere Vorsicht ist geboten, wenn Teilnehmer ihren Bildschirm teilen. Um Datenschutzverletzungen zu vermeiden, sollten folgende Maßnahmen getroffen werden:

  • Vor der Freigabe prüfen, ob sensible Informationen sichtbar sind,
  • die Bildschirmfreigabe nur auf einzelne Anwendungen beschränken,
  • automatische Benachrichtigungen deaktivieren, um unerwünschte Inhalte auszublenden.

Hintergründe, Kameranutzung und Audioeinstellungen

Die Verwendung von virtuellen Hintergründen schützt die Privatsphäre und verhindert, dass sensible Informationen ungewollt preisgegeben werden. Zudem ist zu beachten:

  • die Kamera nur zu aktivieren, wenn es notwendig ist,
  • das Mikrofon standardmäßig auf stumm zu schalten, um unbeabsichtigte Tonaufnahmen zu vermeiden,
  • den Raum auf akustische und visuelle Datenschutzrisiken zu prüfen (z.B. SmartHome, geteilte Büros etc.) .

Datenschutzfreundliche Nutzung mobiler Geräte

Viele Mitarbeiter und Selbstständige nutzen Videokonferenzsysteme auf mobilen Geräten, was zusätzliche Datenschutzrisiken mit sich bringt. Daher sind besondere Schutzmaßnahmen erforderlich.

Sicherheitsrisiken durch Apps und Betriebssysteme

Mobile Apps für Videokonferenzen können unerwartet viele Daten erfassen. Um den Datenschutz zu gewährleisten, sollten Unternehmen und Einzelpersonen folgende Maßnahmen ergreifen:

  • Videokonferenz-Apps nur von vertrauenswürdigen Quellen (z. B. offizielle App-Stores) herunterladen.
  • Die Berechtigungen der App regelmäßig überprüfen und unnötige Zugriffsrechte entziehen.
  • Das Betriebssystem sowie die App stets auf dem neuesten Stand halten, um Sicherheitslücken zu schließen.
  • Die Nutzung von privaten Geräten für geschäftliche Videokonferenzen vermeiden oder durch Mobile Device Management (MDM) reglementieren.

Öffentliche Netzwerke und VPN-Nutzung

Öffentliche WLANs sind oft unsicher und ermöglichen es Angreifern, den Datenverkehr abzufangen. Daher sollten folgende Maßnahmen beachtet werden:

  • Kein Zugang zu Videokonferenzen über ungesicherte öffentliche WLANs.
  • Falls eine öffentliche Verbindung unvermeidlich ist, sollte ein VPN (Virtual Private Network) verwendet werden.
  • Die Nutzung von unverschlüsselten Verbindungen und offenen Hotspots vermeiden.

Notfallmaßnahmen bei Datenschutzverletzungen

Trotz aller Vorkehrungen kann es zu Datenschutzverletzungen kommen. Unternehmen sollten deshalb klare Prozesse für den Umgang mit solchen Vorfällen definieren.

Reaktionsplan für Datenschutzvorfälle

Ein Notfallplan hilft, im Ernstfall schnell und effektiv zu reagieren. Dazu gehören:

  • Die sofortige Analyse des Vorfalls: Welche Daten sind betroffen? Wer hat Zugriff?
  • Das schnelle Ergreifen von Gegenmaßnahmen, z. B. Sperrung betroffener Konten oder Änderung von Zugangsdaten.
  • Die Dokumentation des Vorfalls, um mögliche Schwachstellen zu identifizieren und künftig zu vermeiden.

Informationspflichten und Meldepflichten

Falls eine Datenschutzverletzung ein hohes Risiko für die betroffenen Personen darstellt, besteht gemäß Art. 33 und 34 DSGVO eine Meldepflicht:

  • Die Datenschutzaufsichtsbehörde muss innerhalb von 72 Stunden informiert werden.
  • Betroffene Personen müssen unverzüglich über den Vorfall benachrichtigt werden, wenn ihre Rechte und Freiheiten gefährdet sind.
  • Interne Datenschutzrichtlinien sollten festlegen, wer für die Meldung verantwortlich ist und wie die Kommunikation mit den Behörden abläuft.

Fazit

Videokonferenzen sind ein essenzielles Kommunikationsmittel, doch sie bergen erhebliche Datenschutzrisiken. Unternehmen, Selbstständige und Organisationen sollten bei der Auswahl von Videokonferenztools auf Datenschutzfreundlichkeit, Sicherheitsmaßnahmen und Rechtskonformität achten. Die Experten der konicon GmbH unterstützen Sie bei der sicheren Implementierung datenschutzkonformer Lösungen und beraten Sie zu individuellen Maßnahmen, um DSGVO-Vorgaben bestmöglich umzusetzen. Mit den richtigen Vorkehrungen lassen sich Risiken minimieren und vertrauliche Daten effektiv schützen.

Haben Sie Fragen?

Sie haben Fragen zu unserem Artikel oder benötigen Unterstützung bei der Durchführung einer Interessenabwägung? Nehmen Sie einfach Kontakt mit uns auf. Wir helfen Ihnen gerne weiter.

Kontakt aufnehmen

Ihr Partner für Datenschutz!

Lassen Sie uns gemeinsam Ihre Datenschutzlösungen umsetzen – effizient, sicher und individuell. Kontaktieren Sie uns jetzt für Ihre erste Beratung!

Kontakt aufnehmen