- 04.03.24
- Lesedauer: 3 Minuten
Aufzeichnung von Videokonferenzen - eine praktische Funktion aber auch DSGVO-Konform?
Für viele Personen gehören sie inzwischen zum Unternehmensalltag: Videokonferenzen. Ein praktisches Feature ist dabei die Aufnahmefunktion. So kann Besprochenes unproblematisch nachgeschaut oder Nicht-Anwesende abgeholt werden. Wie bei allem, was mit der Verarbeitung personenbezogener Daten und Metadaten zu tun hat, müssen aber auch hier einige Regelungen der DSGVO beachtet werden. Doch welche sind das genau?
Zweck der Datenverarbeitung
Bevor eine Aufzeichnung stattfindet, ist der Zweck und die Art der Datenverarbeitung klar zu definieren. Dabei ist zu beachten, dass der Zweck der Aufzeichnung nicht unbedingt derselbe wie der Zweck der Videokonferenz ist. Jede Verarbeitung muss getrennt geprüft werden.
Rechtsgrundlage der Datenverarbeitung?
Im Datenschutzrecht gilt das Rechtsprinzip des „Verbots mit Erlaubnisvorbehalt“: Eine Verarbeitung von personenbezogenen Daten ist nur rechtmäßig, wenn eine Rechtsgrundlage nach Art. 6 DSGVO diese Verarbeitung legitimiert.
Obwohl eine Verarbeitung auf der Grundlage eines berechtigten Interesses in Betracht kommt, um die Aufzeichnung zu legitimieren, wird dies durch eine Interessenabwägung verneint: Eine Aufzeichnung ist nämlich ein großer Eingriff in die Persönlichkeitssphäre aller Beteiligten. Aus diesem Grund ist die Einholung einer Einwilligung die geeignete Rechtsgrundlage für die Legitimierung.
Außerdem ist in Beschäftigungsverhältnissen § 26 BDSG zu beachten, der besondere Anforderungen für die Verarbeitung von Beschäftigtendaten stellt.
Einwilligung
Die Datenschutzgrundverordnung stellt hohe Anforderungen an die Wirksamkeit einer Einwilligung:
- Die Einwilligungserklärung soll klar und verständlich formuliert werden.
- Die Betroffenen sind darüber zu informieren, wer der Verantwortliche für die Datenverarbeitung ist, welche Daten für welchen Zweck verarbeitet werden und dass ein Widerrufsrecht besteht.
- Die Einwilligung ist freiwillig abzugeben. Das heißt, dass die betroffene Person eine echte Wahl hinsichtlich der Aufzeichnung haben muss. In beruflichen Kontexten kann diese Freiwilligkeit wegen der Abhängigkeit der beschäftigten Person zweifelhaft sein (vgl. § 26 Abs. 2 S. 1 BDSG). Daher ist es wichtig, den Beteiligten Alternativen anzubieten, falls sie mit der Aufzeichnung nicht einverstanden sind.
- Die DSGVO sieht keine bestimmte Form für die Einwilligung vor. Die verantwortliche Stelle ist aber dazu verpflichtet, die Einholung einer wirksamen Einwilligung nachweisen zu können.
Informationspflicht
Die Teilnehmer sind über die Datenverarbeitung und über ihre Betroffenenrechte zu informieren. Das BDSG sieht vor, dass Beschäftigte über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform informiert werden müssen (vgl. § 26 Abs. 2 S. 4 BDSG).
Was muss der Verantwortliche noch beachten?
Eine Schwierigkeit der Nutzung von Videokonferenzdiensten liegt in Datenübermittlungen in die USA. Daher sind auch die DSGVO-Anforderungen für die Übermittlung von personenbezogenen Daten an Drittstaaten zu erfüllen.
Um korrekt über alle Verarbeitungen aufzuklären, ist das Event „Videokonferenz“ in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufzunehmen. Außerdem ist es eine Pflicht der Verantwortlichen, zu prüfen, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt werden muss.
Ein Hinweis zum Schluss
Ein Punkt, der bei der Verarbeitung von Daten nahezu immer gilt, ist das Prinzip der Datenminimierung. Nur Themen, die notwendig für die Konferenz sind, sollen innerhalb des Calls besprochen werden.