Aufzeichnung von Videokonferenzen - eine praktische Funktion aber auch DSGVO-Konform?

Für viele Personen gehören sie inzwischen zum Unternehmensalltag: Videokonferenzen. Ein praktisches Feature ist dabei die Aufnahmefunktion. So kann Besprochenes unproblematisch nachgeschaut oder Nicht-Anwesende abgeholt werden. Wie bei allem, was mit der Verarbeitung personenbezogener Daten und Metadaten zu tun hat, müssen aber auch hier einige Regelungen der DSGVO beachtet werden. Doch welche sind das genau?

Zweck der Datenverarbeitung

Bevor eine Aufzeichnung stattfindet, ist der Zweck und die Art der Datenverarbeitung klar zu definieren. Dabei ist zu beachten, dass der Zweck der Aufzeichnung nicht unbedingt derselbe wie der Zweck der Videokonferenz ist. Jede Verarbeitung muss getrennt geprüft werden.

Rechtsgrundlage der Datenverarbeitung?

Im Datenschutzrecht gilt das Rechtsprinzip des „Verbots mit Erlaubnisvorbehalt“: Eine Verarbeitung von personenbezogenen Daten ist nur rechtmäßig, wenn eine Rechtsgrundlage nach Art. 6 DSGVO diese Verarbeitung legitimiert.

Obwohl eine Verarbeitung auf der Grundlage eines berechtigten Interesses in Betracht kommt, um die Aufzeichnung zu legitimieren, wird dies durch eine Interessenabwägung verneint: Eine Aufzeichnung ist nämlich ein großer Eingriff in die Persönlichkeitssphäre aller Beteiligten. Aus diesem Grund ist die Einholung einer Einwilligung die geeignete Rechtsgrundlage für die Legitimierung.

Außerdem ist in Beschäftigungsverhältnissen § 26 BDSG zu beachten, der besondere Anforderungen für die Verarbeitung von Beschäftigtendaten stellt.

Einwilligung

Die Datenschutzgrundverordnung stellt hohe Anforderungen an die Wirksamkeit einer Einwilligung:

Informationspflicht

Die Teilnehmer sind über die Datenverarbeitung und über ihre Betroffenenrechte zu informieren. Das BDSG sieht vor, dass Beschäftigte über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform informiert werden müssen (vgl. § 26 Abs. 2 S. 4 BDSG).

Was muss der Verantwortliche noch beachten?

Eine Schwierigkeit der Nutzung von Videokonferenzdiensten liegt in Datenübermittlungen in die USA. Daher sind auch die DSGVO-Anforderungen für die Übermittlung von personenbezogenen Daten an Drittstaaten zu erfüllen.

Um korrekt über alle Verarbeitungen aufzuklären, ist das Event „Videokonferenz“ in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufzunehmen. Außerdem ist es eine Pflicht der Verantwortlichen, zu prüfen, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchgeführt werden muss.

Ein Hinweis zum Schluss

Ein Punkt, der bei der Verarbeitung von Daten nahezu immer gilt, ist das Prinzip der Datenminimierung. Nur Themen, die notwendig für die Konferenz sind, sollen innerhalb des Calls besprochen werden.

Ihr persönlicher Kontakt

Matthias SchulzSenior Sales Manager

Diese Artikel könnten Sie ebenfalls interessieren

fallback-it-sicherheit
IT-Sicherheit: Die Hacker werden immer aggressiver
Mehr erfahren
fallback-password-security
Strenge Vorgaben für „Finanzunternehmen“
Mehr erfahren