Stellenangebote   Störung melden

News

Videokonferenzen und die DSGVO

  • "Geschrieben von Matthias Pufke"
Videokonferenzen und die DSGVO

Das aktuelle Nutzungsverhalten zum einen und die gesetzlichen Regelungen zum anderen lassen sich bei Videokonferenzen oft nur schwer vereinbaren.

Auch in Krisenzeiten gilt die DSGVO und daher müssen personenbezogene Daten von Mitarbeitern, Kunden und Geschäftspartnern geschützt werden. Dies wurde im November 2020 auch auf der Konferenz der unabhängigen Datenschutzbehörden von Bund und Länder noch einmal deutlich gemacht.

Daher ist es wirklich wichtig, hier eine konforme Lösung zu finden und es nicht zu verdrängen.

Die deutschen Datenschutzbehörden sehen lediglich in den kommerziellen Diensten

  • BigBlueButton
  • Jitsi Meet
  • RocketChat
  • Nextcloud Talk
  • sowie in Matrix

eine datenschutzfreundliche Umsetzung als gegeben an. Wir haben übrigens mit PASCOM noch eine kleine, sicher und konforme Lösung!

Grundlegend sollte man sich folgende Frage stellen:

Wird die Software lediglich für die Kommunikation zwischen Beschäftigten eingesetzt oder sollen darüber auch Gespräche und Videokonferenzen mit externen Dritten wie Kunden, Lieferanten oder Geschäftspartnern geführt werden?

Weiterhin gilt es zu beachten:

Verschlüsselung - hier ist eine Ende-zu-Ende Verschlüsselung besser als eine reine Transport-Verschlüsselung

Freigaben - sind Bildschirmübertragung und Aufzeichnung erforderlich, so ist die vorherige Einwilligung der Teilnehmer einzuholen

Metadaten - Der Anbieter sollte weder Metadaten noch Inhaltsdaten für eigene Zwecke auswerten oder weitergeben

Server-Standort - EU-Dienste sind vorzuziehen

Syncronisation - es sollte keine automatisierte Syncronisation von Adressbuch und Outlook vorgenommen werden

AVV, TOM und GVV

Anbieter von Video- und Onlinekonferenz-Tools sind meist Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 der DSGVO. Das bedeutet im Klartext, das ein Auftragsverarbeitungsvertrag (AVV) vorliegen und erfüllt werden muss.

Art. 28 Abs. 1 der DSGVO schreibt vor, das nur Dienstleister beauftragt werden dürfen, die hinreichende Garantien bieten, das geeignete technische und organisatorische Maßnahmen (TOM) ergriffen wurden.

Bietet ein Anbieter eine Kommunikationsplattform, aber haben diese keine vollständige Kontrolle über die Daten und werten diese aus, so ist dem AVV wohl eher eine Vereinbarung zur gemeinsamen Verantwortlichkeit (GVV) vorzuziehen.

 

Datenübermittlung ins Ausland

Werden personenbezogene Daten in Länder außerhalb der EU, bzw. des EWR übermittelt, so muss ein angemessenes Datenschutzniveau sichergestellt werden - was bekanntlich sehr schwierig ist.

 

Hinweis zur Entscheidungsfindung

Binden Sie Ihren Datenschutzbeauftragten und/oder Betriebs-, bzw. Personalrat mit in die Dienstsuche mit ein.

 

Alle News gibt es hier zu sehen, eine Suche lässt sich hier starten und zur Startseite geht es hier mit einem Klick!