Datenschutz bei Video- und Telefonkonferenzen
Hinweise zum Datenschutz bei Video- und Telefonkonferenzen, insb. durch externe Dienstleister
Aktuell 23.4.2020:
Das Katholische Datenschutzzentrum in Frankfurt hat eine Orientierungshilfe für Online-Meeting-Tools veröffentlicht, die Datei können Sie weiter unten downloaden.
1. Verarbeitung von personenbezogenen Daten bei Video- und Telefonkonferenzen
Auch im Rahmen einer Video- oder Telefonkonferenz werden vom Veranstalter personenbezogene Daten verarbeitet. Es handelt sich zum einen um die Daten derjenigen Personen des Veranstalters, die die Konferenz durchführen. Das können z.B. Namensdaten, E-Mail-Adresse und sonstige Kontaktdaten sein. Manchmal wird auch ein Foto der zuständigen Personen z.B. auf der Veranstaltungswebsite veröffentlicht. Handelt es sich hier um Beschäftigte gilt der Arbeitnehmerdatenschutz nach § 53 KDG. Zum anderen werden personenbezogene Daten der Teilnehmer verarbeitet, z.B. Namensdaten, E-Mail-Adresse und sonstige Kontaktdaten. Daneben werden aber durch die Video- und Audioübertragung selbst personenbezogenen Daten aller Teilnehmer verarbeitet. Hierzu gehören die videografische Abbildung jedes Teilnehmers, die Stimme/das Stimmbild, sowie auch das inhaltlich Gesagte der Teilnehmer, aus dem sich persönliche Meinungen, Überzeugungen etc. einzelnen Personen zuordnen lassen. Bei einer solchen Gelegenheit können also „einfache“ personenbezogene Daten nach § 4 Nr. 1 KDG, aber auch besondere Kategorien personenbezogener Daten nach § 4 Nr. 2 KDG anfallen. Bei manchen Konferenzen werden, je nach geplantem Inhalt, womöglich nur die o.g. „einfachen“ Daten verarbeitet, bei anderen Konferenzen, wird man sich vom Personenkreis und vom möglichen Inhalt her auch mit sehr sensiblen Daten oder Geschäftsgeheimnissen beschäftigen.
2. Voraussetzungen der Verarbeitung personenbezogener Daten
Datenverarbeitung ist grundsätzlich untersagt und bedarf zu ihrer Rechtmäßigkeit, dass diverse Voraussetzungen nach dem KDG erfüllt sind. Trifft dies nicht zu, ist die Datenverarbeitung schlicht und einfach rechtswidrig. Voraussetzung ist u.a. das Vorliegen eines legitimen Zwecks und eine Rechtsgrundlage für die Verarbeitung, vgl. §§ 6 (Rechtsgrundlagen), 7 (Datenschutzgrundsätze) KDG. Für Mitarbeitende kann die Rechtsgrundlage häufig in § 53 KDG liegen („erforderlich für die Durchführung des Beschäftigungsverhältnisses“), bei Teilnehmern, die keine Mitarbeitenden sind, kann Rechtsgrundlage deren Einwilligung oder auch ein Vertrag sein, vgl. § 6 KDG. Eine geeignete Rechtsgrundlage für die beabsichtigte Konferenz zu finden ist also nicht das Problem
3. Durchführung der Konferenz und Ermittlung des Schutzniveaus für die Datenverarbeitung
Der Veranstalter kann für die Durchführung einer Konferenz natürlich eigene IT-Mittel auf eigenen IT-Geräten einsetzen. Dadurch hätte er bei ausreichender personeller und technischer Ausstattung die beste Kontrolle über die Datenverarbeitung. Das ist aber wohl die Ausnahme. Viel häufiger bedient man sich hierzu externer Dienstleister. Das bedeutet, dass die unter Ziff. 1 geschilderte Datenverarbeitung auf fremden IT-Geräten stattfindet. Der Veranstalter bedient sich dabei der Dienstleistung eines Dritten, um eigene Aufgaben zu erfüllen oder Leistungen anzubieten.
Unabhängig auf welche Weise die Konferenz technisch erfolgt, hat der Veranstalter bzw. der Verantwortliche nach der KDG-DVO, nämlich nach § 9 Abs. 1 KDG-DVO, die voraussichtlich verarbeiteten Daten nach einer Risikoanalyse einer von drei Datenschutzklassen zuzuordnen (§§ 11 bis 13 KDG-DVO). Einen nochmals höheren Stellenwert haben dabei Daten, die das Beicht- und Seelsorgegeheimnis betreffen, § 14 KDG-DVO. Nach der Einordnung in die jeweilige Datenschutzklasse richtet sich dann das einzuhaltende technische und organisatorische Schutzniveau für die Daten.
Bei Video- und Telefonkonferenzen ist ferner § 25 Abs. 3 KDG-DVO zu beachten. Die Vorschrift besagt in etwa folgendes:
Die Übermittlung von Video- und Sprachdaten insbesondere im Zusammenhang mit Video- und Telefonkonferenzen, die personenbezogene Daten der Datenschutzklasse II oder III enthalten, dürfen unter Berücksichtigung des aktuellen Standes der Technik ausschließlich im Rahmen eines geschlossenen und gesicherten Netzwerks oder in verschlüsselter Form mit geeignetem Verschlüsselungsverfahren übermittelt werden.
Der Verantwortliche muss also entweder das Konferenzsystem mit eigener Technik betreiben und alle Teilnehmer zu einem geschlossenen und gesicherten Netzwerk gehören oder die Konferenz muss bei Nutzung eines Dienstleisterssystems in verschlüsselter Form stattfinden.
4. Einsatz von Dienstleistern und Auftragsverarbeitung
Setzt der Veranstalter der Konferenz zur technischen Durchführung einen externen Dienstleister ein, handelt es sich regelmäßig um eine Auftragsverarbeitung der Daten nach § 29 KDG:
㤠29 Verarbeitung personenbezogener Daten im Auftrag
(1) Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieses Gesetzes erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Der eigentliche Dienstleistungsvertrag wird dabei um einen sog. Auftragsverarbeitungsvertrag ergänzt, der nach § 29 Abs. 3 KDG gewisse Mindest-Regelungsinhalte aufweisen muss.
§ 10 Abs. 2 KDG-DVO konstituiert ferner eine besondere Prüfpflicht bei Auftragsverarbeitung:
„(2) Erfolgt die Verarbeitung durch einen Auftragsverarbeiter, ist der Verantwortliche verpflichtet, sich in geeigneter Weise, insbesondere durch persönliche Überprüfung oder Vorlage von Nachweisen, von dem Bestehen des der jeweiligen Datenschutzklasse entsprechenden Schutzniveaus zu überzeugen.“
Weitere Konkretisierungen sind in der KDG-DVO geregelt, z.B. § 21 KDG-DVO, wonach grundsätzlich neben der Anwendung der EU- Datenschutzgrundverordnung die Anwendung des KDG zu vereinbaren ist. Eine solche Vereinbarung könnte wie folgt lauten:
"Vereinbarung über die Anwendung des KDG gem. § 21 Abs. 1 S. 2 KDG-DVO
Für den Auftraggeber sind nicht die Bestimmungen der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), sondern nur die Bestimmungen des Gesetzes über den Kirchlichen Datenschutz (KDG) vom 6.2.2018 (Amtsblatt Bistum Limburg Nr. 4 2018, S. 351) in Bezug auf diesen Auftragsverarbeitungsvertrag maßgebend. Das KDG ist entsprechend Art. 91 DSGVO weitgehend inhaltsgleich mit der DSGVO. Der Auftragnehmer ist als nicht kirchliche Organisation an die Vorgaben der weltlichen Datenschutzgesetze, insbesondere die DSGVO, gebunden. Jedoch leiten sich vorliegend die datenschutzrechtlichen Rechte und Pflichten vom Auftraggeber ab (siehe § 3 Abs. 2 KDG: „Dieses Gesetz findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten eines Verantwortlichen oder eines Auftragsverarbeiters erfolgt, unabhängig davon, wo die Verarbeitung stattfindet, wenn diese im Rahmen oder im Auftrag einer kirchlichen Stelle erfolgt“). Der Auftragnehmer unterliegt daher in diesem Vertragsverhältnis ebenfalls dem KDG. Info: KDG-DVO ist die Durchführungsverordnung zum KDG vom 25.1.2019, Amtsblatt Bistum Limburg Nr. 3 2019, S. 555, Fundstelle: bdsb-kigem.bistumlimburg.de."
Die Prüfung, ob es sich um Auftragsverarbeitung handelt muss natürlich nicht nur bei Video- oder Telefonkonferenzen durchgeführt werden, sondern generell immer dann, wenn für eigene Tätigkeiten externe Dienstleister eingebunden oder Aufgaben an sie übertragen werden.
Auftragsverarbeiter sind an die Weisungen des Auftraggebers gebunden und dürfen die Daten auch nur nach dessen Weisung „im Auftrag“ verarbeiten. Sie dürfen die Daten insbesondere nicht für eigene Zwecke verwenden.
5. Anforderungen an Dienstleister
Wenn man also einen Dienstleister auswählt, sind nach den kirchlichen datenschutzrechtlichen Vorschriften hohe Anforderungen an dessen Zuverlässigkeit und z.B. Kooperationsbereitschaft zu stellen. Der Dienstleister sollte ohne weiteres in der Lage und willens sein, alle Fragen zum technischen Ablauf der Datenverarbeitung zu beantworten: Wie sind die Datenflüsse? Wo werden die Daten verarbeitet? Sollen seitens des Dienstleisters eigene Auftragsverarbeiter eingesetzt werden? Werden die Daten nachvollziehbar verschlüsselt? Wie lange werden die inhaltlichen Konferenzdaten gespeichert bzw. wie schnell werden sie gelöscht? Wer hat seitens des Dienstleisters Zugriff auf die laufenden Daten? Können die Daten „gestohlen“ werden? Hat der Dienstleister technische Vorkehrungen gegen Missbrauch getroffen? Welche?
6. Auf die Einstellung kommt es an
Man kann nicht per se sagen, dieser oder jener Anbieter ist datenschutzkonform. Da es sich bei den Konferenztools oftmals um sehr mächtige Werkzeuge mit einer Vielzahl von Einstellungsmöglichkeiten handelt, kommt es für die Frage, ob denn der Einsatz jenes Anbieters datenschutzkonform möglich ist, auf die individuelle Einstellung im Adminbereich an. Diese Einstellungen liegen in der Verantwortung des Veranstalters ode Gastgebers, also letztlich des Verantwortlichen. Die Einstellungen sind unter Beachtung der Datenschutzgrundsätze nach § 5 Abs. 1 KDG und der Vorschriften der KDG-DVO vorzunehmen.
7. Informationspflichten des Verantwortlichen nach § 14, 15 KDG
Die Teilnehmer einer Konferenz sind über die Datenverarbeitung zu informieren, § 15 KDG. Es reicht m.E. aus, wenn dazu im Kontext mit einer Einladung zu einem Meeting per E-Mail dieser Hinweis aufgenommen wird:
„Zur Durchführung des Online-Meetings verwenden wir „ANBIETER“. Hinweise zur Datenverarbeitung finden Sie insoweit unter [Link einfügen].“
Hier sollte dann natürlich auch der passende Link auf die entsprechenden Datenschutzhinweise eingefügt werden, so dass die Datenschutzhinweise zur Konferenz abrufbar sind. Achtung: Das sind nicht die Datenschutzerklärung für Ihre Homepage, sondern das ist eine eigens für die Konferenz speziell formulierte Datenschutzerkläung.
