So gestalten Sie die Durchführung datenschutzkonform
Für viele Organisationen gehören Videokonferenzen mittlerweile zum Alltag. Die Vorteile dabei liegen auf der Hand. Sie können spontan durchgeführt werden, sind ressourcensparend und verbinden mehrere Menschen an unterschiedlichen Orten.
Daten und Präsentationen sind dabei auf Rechner übertragbar und eine gemeinsame Arbeit an einem Projekt auch über größere Distanzen möglich.
Achtung: viele Daten werden verarbeitet
Die Nutzung von Videokonferenzsystemen bedeutet im Umkehrschluss aber auch, dass besonders viele Daten verarbeitet werden. Darunter befinden sich meist auch große Mengen an personenbezogenen Daten. Diese entstehen zum Beispiel durch:
- die Übertragung von Bild und Ton
- das Umfeld des Teilnehmers
- den Datenaustausch Chatfunktion, Dateien usw.
- Zusätzliche Verarbeitung von Rahmendaten durch Anbieter – wer hat teilgenommen etc.
Daher sollten Arbeitgeber genau prüfen, wer verantwortlich für die Verarbeitung der personenbezogenen Daten bei der Videokonferenz ist. Wird die Videokonferenz im Beschäftigungsverhältnis genutzt, ist der Arbeitgeber der Verantwortliche lt. DS-GVO. Inwieweit der Verarbeitung ein rechtmäßiger Zweck zugrunde liegt, muss vor der Verwendung von Videokonferenzen geprüft werden.
Dabei gilt es auch zu prüfen, ob die Verarbeitung der personenbezogenen Daten eine Einwilligung des Betroffenen erfordert oder durch andere rechtliche Grundlagen gerechtfertigt ist.
Betroffenenrechte bei Videokonferenzen einhalten
Auch hier gilt: Wenn personenbezogene Daten verarbeitet werden, sollten so wenig Daten wie möglich erfasst werden. Die Datenminimierung gehört zu den Grundsätzen im Datenschutz und muss zwingend eingehalten werden. Zweck und Grundsätze des Datenschutzes muss der Verantwortliche in regelmäßigen Abständen aufs Neue prüfen.
Bei der Nutzung von Videokonferenzen muss der grundlegende Datenschutz genau wie bei allen anderen Vorgängen beachtet werden, bei denen personenbezogene Daten verarbeitet werden. Das bedeutet es müssen mindestens folgende Grundlagen erfüllt werden:
- Erfassen im Verzeichnis für Verarbeitungstätigkeiten (VVT)
- Schutz durch technische und organisatorische Maßnahmen (TOM)
- Einhaltung der Betroffenenrechte
- Prüfung, ob Verträge für die Auftragsverarbeitung (AV-Verträge) abgeschlossen werden müssen
- Prüfen ob eine Datenschutzfolgenabschätzung durchgeführt werden muss
Beim Einsatz von Videokonferenzen muss geprüft werden, wer zu den Betroffenen gehört, also von wem welche personenbezogenen Daten verarbeitet werden. Was sind personenbezogene Daten? Lesen Sie mehr dazu hier.
Für diese Betroffenen gelten die Betroffenenrechte. Welche Betroffenenrechte es gibt, können Sie in unserem Blog nachlesen. Darüber hinaus müssen die personenbezogenen Daten durch einen ausreichenden Schutz in Form von technischen und organisatorischen Maßnahmen vor Zugriffen durch Unbefugte geschützt werden.
Nutzung von Online-Diensten und Cloud-Lösungen im Datenschutz
Vor allem bei der Nutzung von Online-Diensten oder Cloud-Lösungen muss darauf geachtet werden, dass durch einen AV-Vertrag die Sicherheit im Datenschutz gesichert wird. Dabei sollte man auch beachten, dass vor allem bei der Nutzung von Diensten aus den USA mittlerweile neue Regelungen festgesetzt wurden. Mehr dazu lesen Sie in unserem Blog zum Thema Standardvertragsklauseln.
Datenverarbeitung bei Videokonferenzen prüfen
Die sich stetig wandelnde Welt der IT-Lösungen und damit auch die der Videokonferenzen, stellt den Verantwortlichen einer Organisation immer wieder vor neue Herausforderungen im Datenschutz und damit zusammenhängend auch der IT-Sicherheit.
Eine regelmäßige Prüfung im Datenschutz sollte daher zu den wichtigen Bestandteilen gehören.
Vor allem kleine und mittlere Organisationen sollten sich hier Unterstützung von einem Fachmann einholen. Dabei spielen IT-Spezialist und externer Datenschutzbeauftragter sicher die wichtigste Rolle.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.