Zur Übersicht Pflichten

Was müßen Unternehmen beim Einsatz von Videokonferenzsystemen beachten?

Art. 6Art. 28Art. 26Art. 32Art. 44 ff. DSGVO

Die DSK-Orientierungshilfe zu Videokonferenzsystemen (2020) legt konkrete Anforderungen fest.

Drei Betriebsmodelle

  1. Selbst betrieben: Verantwortlicher betreibt die Infrastruktur selbst - volle Kontrolle, aber technischer Aufwand.
  2. Externer IT-Dienstleister: Auftragsverarbeitung nach Art. 28 DSGVO - AVV erforderlich.
  3. Online-Dienst: Wenn der Anbieter Daten zu eigenen Zwecken verarbeitet (z.B. Produktverbesserung), liegt KEINE reine Auftragsverarbeitung vor. Es kann gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder eine eigene Verantwortlichkeit des Anbieters vorliegen.

Aufzeichnung

Die Aufzeichnung von Videokonferenzen ist nur mit Einwilligung ALLER Teilnehmenden zuläßig.

Drittlandtransfer

Bei US-basierten Anbietern (Zoom, Teams, Google Meet): Prüfen, ob der Anbieter unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Andernfalls SCCs und TIA erforderlich.

Datensparsamkeit

Privacy by Default beachten: Unschärfehintergründe nutzen, Kameras standardmäßig aus, keine automatische Aufzeichnung, Wartezimmerfunktion aktivieren.

Quellen

Art. 6, 26, 28, 32, 44 ff. DSGVODSK OH Videokonferenzsysteme (2020)

Verwandte Fragen

Pflichten

Was ist bei der Nutzung von Cloud-Diensten datenschutzrechtlich zu beachten?

 Rechtsgrundlagen

Wann liegt eine Auftragsverarbeitung vor und wann eine eigene Verantwortlichkeit?

 Pflichten

Auftragsverarbeitungsvertrag (AVV): Wann und was muss rein?