9.1 Videokonferenz Tools
Der Markt ist voll mit Angeboten für Videokonferenzsysteme. Hier den Überblick zu behalten und für das eigene Anliegen „die richtige technische Lösung“ zu finden, ist schwer. Die Überlegung, warum und aus welchem Anlass eine (digitale) Veranstaltung durchgeführt und welche Zielgruppe hierbei angesprochen wird, gilt es bei der Auswahl der technischen Lösung zu berücksichtigen.
Worauf sollte also aus technischer Perspektive im Vorfeld besonders geachtet werden? Das Betreiben eines Videokonferenzsystems geht mit der Erhebung und Verarbeitung personenbezogener Daten einher. Dies können Metadaten wie Informationen über den verwendeten Browser (Mozilla Firefox, Chrome), Textbeiträge und Bilder von Dritten sein. Es gibt drei Varianten, die näher ausgeführt werden müssen:
- 1.Online-Dienst: Software-as-a-Service (SaaS)
- 2.Externer IT-Dienstleister
- 3.System selbst betreiben
Die Nutzung und Inanspruchnahme eines Online-Dienstes (zum Beispiel Zoom, Cisco WebEx, GotoMeeting oder Microsoft Teams) ist mit dem geringsten Aufwand verbunden, jedoch gilt es sich mit den verschiedenen Lizenzmodellen und unterschiedlichen Funktionalitäten auseinanderzusetzen. Mit dem jeweiligen Anbieterprogramm wird nach Auswahl der geeigneten Software ein Vertrag über die zu erbringenden Leistungen geschlossen. Hierbei müssen die Anforderungen der Datenschutzgrundsätze eingehalten werden (Art. 28 Abs. 1 DSGVO). Konkret bedeutet dies, die Nutzungsbedingungen sowie die Datenschutzerklärung zu prüfen und zunächst auch den Auftragsverarbeitungsvertrag einer Prüfung zu unterwerfen, bevor dieser abgeschlossen wird. Die größten und bekanntesten Anbieter haben ihren Firmensitz in den USA und verarbeiten dort die Daten. Auch hierbei muss geprüft werden, ob die Anforderungen der Datenschutzgrundsätze eingehalten werden (Kapitel V DSGVO).
Werden seitens des Anbieters personenbezogene Daten, die im Rahmen der Nutzung des Videokonferenzdienstes anfallen, verarbeitet, ist eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO zu prüfen. Mit der Erklärung der Ungültigkeit des EU-U.S. Privacy Shields (Urteil des EuGH in der Rechtssache Schrems II vom 16.07.2020 (C-311/18)) steht dieses als Instrument zur Sicherstellung eines angemessenen Schutzes der in die USA übermittelten Daten nicht mehr zur Verfügung. Jedoch können Standardvertragsklauseln verwendet werden, bei denen sichergestellt werden muss, dass das Schutzniveau mit den Standards der EU einhergeht. Eine sorgfältige Prüfung von Videokonferenz-Softwarelösungen von Anbietern mit Firmensitz in den USA (auch wenn der Vertragspartner eine europäische Tochtergesellschaft hat) ist daher absolut empfehlenswert.
Die Beauftragung eines externen IT-Dienstleisters ist eine mögliche Alternative, wenn keine eigenen Ressourcen zum Betreiben der Software zur Verfügung stehen. Auch in diesem Fall ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO zu schließen und zu prüfen, welche Daten die Software an den Hersteller und an dritte Stellen übermittelt (zum Beispiel Diagnose- und Telemetriedaten). Bei der Auswahl ist daher zu beachten, dass der zu beauftragende IT-Dienstleister hinreichende Garantien zu den erforderlichen technischen und organisatorischen Maßnahmen bietet (was dies konkret bedeutet, wird später ausführlich beschrieben). Ferner sollte auf eine umfassende Regelung der Weisungsgebundenheit des Auftragsverarbeiters und auf das Einräumen hinreichender Kontrollbefugnisse des/der Verantwortlichen geachtet werden.
Ein selbst betriebener Dienst bietet viele Vorteile, da sich Fragen wie der Abschluss eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO) oder eine Vereinbarung zur gemeinsamen Verantwortung (Art. 26 DSGVO) nicht stellen. Zudem liegt die Datenhoheit beim Betreiber. Der Betrieb und die Wartung eines Videokonferenzsystems gehen jedoch mit einer selbst betriebenen Infrastruktur einher, die viele technische und personelle Kapazitäten benötigt und auch geeignete technische und organisatorische Maßnahmen zum Schutz der Daten erfordert. Aus diesem Grund greifen viele Institutionen und Einrichtungen auf eine der beiden zuvor beschriebenen Varianten zurück. Bei der Auswahl und Anschaffung einer Videokonferenz-Software sind zusammenfassend die folgenden Aspekte zu berücksichtigen bzw. zu beachten:
- Firmensitz(e) des Herstellers und Informationen zur technischen Infrastruktur (zum Beispiel Zertifizierungen, Gütesiegel, Server-Standort, Hosting, Drittländer, Datenschutz- und Datensicherheitskonzept)
- Funktionalitäten zur Einhaltung der Datenschutzgrundsätze (zum Beispiel zum Konfigurieren von Rollen und Zugriffsrechten sowie Datenabflüssen)
- Wahrnehmung der Betroffenenrechte
- Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO
- Vereinbarung zur gemeinsamen Verantwortung gem. Art. 26 DSGVO
- Technische und organisatorische Maßnahmen gem. Art. 32 DSGVO (siehe Teilkapitel 1.3)
- Innerbetriebliche Richtlinien zum Umgang mit Videokonferenzlösungen
- Schulungen der Mitarbeiterinnen und Mitarbeiter
- Dokumentation der Einführung und Umsetzung der aufgeführten Maßnahmen gem. Art. 30 DSGVO
Darüber hinaus müssen weitere Aspekte wie die Zweckbindung, die Rechtsgrundlage und Pflichten für den Verantwortlichen beachtet werden, die an dieser Stelle nicht vollständig aufgeführt werden können.