DSK: Big Brother – oder doch nur Videokonferenzen? [Update 18.11.2020]

Am 23.10.2020 ist die „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz („DSK“) veröffentlicht worden (Update 18.11.2020: Link auf Website der Datenschutzkonferenz aktualisiert).Die Orientierungshilfe erweckt durch weiche Formulierungen („sollte“) stellenweise den Anschein, als wäre die DSK sich selbst nicht sicher, welche zwingenden Verpflichtungen sich für Videokonferenzen aus der DSGVO ergeben und wo die Aufsichtsbehörden lediglich unverbindliche Empfehlungen zum Ausdruck bringen wollen. Das darf jedoch nicht darüber hinwegtäuschen, dass sich in der Orientierungshilfe zwar viel Richtiges findet, aber eben auch manches Überraschendes und mehrere Aussagen, denen widersprochen werden muss.

Kernaussagen der Orientierungshilfe

Die Orientierungshilfe unterscheidet zwei Modelle des Betriebs von Videokonferenzsystemen: den Betrieb durch den Verantwortlichen, entweder durch diesen selbst auf eigener Hardware („On Premises“) oder für den Verantwortlichen durch einen Auftragsverarbeiter, sowie dem Betrieb durch einen Dritten als „Online-Dienst“ aus der Cloud („Software as a Service“).

Viele Aussagen in der Orientierungshilfe sind nicht neu und Selbstverständlichkeiten:

  • Der Verantwortliche hat den Datenschutz zu beachten (Grundsätze nach Art. 5 DSGVO, insb. Rechtmäßigkeit, Transparenz und Datenminimierung; im Beschäftigungsverhältnis bestehen Besonderheiten wegen der Freiwilligkeit der Einwilligung; es sind angemessene technische und organisatorische Maßnahmen zu treffen; im Falle der Auftragsverarbeitung sind entsprechende Verträge abzuschließen, u.a.).
  • Bildübertragung ist invasiver als Audioübertragung.
  • Findet die Videokonferenz aus Privatwohnungen statt, ist sicherzustellen, dass die Privatsphäre nicht verletzt wird (Freiwilligkeit; virtuelle oder weichgezeichnete Hintergründe; keine Dritten im Bild, u.a.).
  • Die betroffenen Personen, also die Konferenzteilnehmer, sind über die mit der Videokonferenz einhergehende Verarbeitung ihrer personenbezogenen Daten zu informieren.

Hieraus ergeben sich für Verantwortliche auf den ersten Blick keine anderen Anforderungen als bei der Einführung anderer Prozesse auch: Auswahl eines geeigneten Angebots, Prüfung der Datenschutzkonformität nach der DSGVO (unter Beachtung der Rechtsprechung des EuGH, insbesondere in Sachen „Schrems II“, s. dazu unsere Bewertung des Urteils und die Handlungsmöglichkeiten für die Praxis), transparente Kommunikation der Auswirkungen auf die betroffenen Personen und regelmäßige Prüfung, ob sich an der Bewertung aus tatsächlichen oder rechtlichen Gründen etwas geändert hat.

Kritik an der Orientierungshilfe

Die Orientierungshilfe enthält verschiedene Aussagen, die aufhorchen lassen oder denen klar widersprochen werden muss. Das betrifft insbesondere folgende Punkte:

Verarbeitung biometrischer Daten

DSK: „Bild und Ton der Teilnehmenden enthalten auch genügend Information, um diese anhand ihrer Stimme oder ihrer Gesichtsmerkmale identifizieren zu können.“ (Ziff. 1)

Hiermit deutet die DSK an, dass bei Videokonferenzen die engen Vorgaben des Art. 9 DSGVO zu beachten sein könnten, weil Kameras inzwischen so gute Bilder liefern, dass die Videos die Qualität biometrischer Aufnahmen erreichen. Die Qualität eines bloßen Videostreams, der nicht weiter aufbereitet oder in andere Systeme, die der Identifikation betroffener Personen dienen, überführt wird, reicht jedoch nicht aus, um die Anforderungen der DSGVO an ein biometrisches Datum zu erfüllen (Erwägungsgrund (EG) 51, S. 3: „da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen“).

Verantwortlichkeiten und Auftragsverarbeitung

Die DSK weist verschiedentlich (Ziff. 3.3, 3.4.6) darauf hin, dass eine Offenlegung von (Meta‑)Daten an Dritte (Dienstleister/Online-Dienste) einer Rechtsgrundlage bedürfe, an der es aber meistens fehle. Hier muss unterschieden werden: Bestehen – was  häufig so ist –  zwischen dem Endnutzer und dem Anbieter des Videokonferenzsystems (auch) eigene Nutzungsverträge (z.B. Cisco Webex), kann die Übermittlung von Daten zur Identität des Teilnehmers einer Sitzung zur Erfüllung dieser Nutzungsverträge erforderlich sein; sie wären dann gerade nicht als Offenlegung durch den Veranstalter der Videokonferenz zu sehen.

In solchen Konstellationen stellt sich dann vielmehr die Frage, ob – etwa arbeitsrechtlich – die Verpflichtung eines Beschäftigten zur Nutzung eines Videokonferenzsystems zulässig ist, für das der vorherige Abschluss eines Nutzungsvertrags durch den Beschäftigten mit einem Dritten erforderlich ist, der wiederum weitläufige Datenauswertungen zum Nutzungsverhalten zur Folge haben kann. Zudem wird aus Datenschutzsicht mit Blick auf Art. 24, 25, 32 DSGVO zu prüfen sein, ob diese Folgeverarbeitungen ggf. das Verarbeitungsmittel als ungeeignet oder schlichtweg nicht datenschutzkonform erscheinen lassen.

Freiwilligkeit der Einwilligung (im Beschäftigungskontext)

DSK: „Gerade im beruflichen oder im schulischen Kontext ist die Freiwilligkeit oftmals zweifelhaft, insbesondere dann, wenn Informationen, die für die Durchführung der beruflichen Tätigkeit oder für den Schulunterricht unverzichtbar sind, ausschließlich im Rahmen einer Videokonferenz mitgeteilt werden.“ und „Ist der datenschutzrechtlich Verantwortliche zugleich auch Arbeitgeber, der seine Beschäftigten zur Nutzung des Videokonferenzsystems zum Zweck der Erfüllung ihrer arbeitsvertraglichen Aufgaben veranlasst, … ist allerdings stets die Erforderlichkeit der Übertragung auch von Bilddaten zu prüfen.“ (Ziff. 3.4.2)

Korrekt ist, dass die Freiwilligkeit einer Einwilligung zweifelhaft sein kann, wenn bei deren Nichterteilung Nachteile (z.B. fehlender Zugang zu Lerninhalten) drohen. Aber:

  • Bereits die Wahl der Einwilligung als Rechtsgrundlage ist nicht zwingend, gerade – was aber auch die DSK sieht – im Beschäftigungskontext kommt § 26 Abs. 1 Satz 1 BDSG in Betracht.
  • 26 Abs. 1 Satz 1 BDSG ist – anders als die Formulierung der DSK es nahelegt in Ziff. 3.4.6 – nach der ganz überwiegenden Auffassung in der Rechtswissenschaft nicht nur auf Arbeitgeber anwendbar, sondern auch auf Dritte, die Daten im Zusammenhang mit dem Beschäftigungsverhältnis verarbeiten, z.B. externe Dienstleister. Hier gilt nichts anderes als für die Auslegung von Art. 6 Abs. 1 Buchst. b DSGVO: Er legitimiert erforderliche Verarbeitungen auch dann, wenn der Verantwortliche nicht der Vertragspartner der betroffenen Person ist.
  • Auf die Erforderlichkeit der Bildübertragung mag es bei einzelnen Verarbeitungszwecken ankommen (z.B. Anwesenheitsprüfung bei schulischer Nutzung oder in Fortbildungen). Auf den bloßen Umstand, dass nicht alle Teilnehmer ihr Video übertragen müssen, kommt es bei der Zulässigkeit von Videokonferenzen im Allgemeinen jedoch nicht an. Denn auch wenn die Teilnehmer kein Video senden, können sie dennoch Video empfangen (B. Demonstrationen des Ausbilders, geteilte Bildschirme) oder an Dateifreigaben teilnehmen – insoweit haben Videokonferenzsysteme einen Mehrwert, der über eine Audiokonferenz hinausgeht.

Verarbeitung besonderer Kategorien personenbezogener Daten

DSK: „Sofern besondere Kategorien personenbezogener Daten, wie Gesundheitsdaten, in der Videokonferenz thematisiert werden, muss diese Datenverarbeitung auch nach Art. 9 Abs. 2 DS-GVO, ggf. in Verbindung mit einem nationalen Gesetz, zulässig sein. Ähnliches gilt, wenn schon der Anlass der Videokonferenz Bezug zu Daten im Sinne des Art. 9 DS-GVO hat, etwa im Religionsunterricht oder Theologiestudium.“ (Ziff. 3.4.4)

Richtig ist, dass die Verarbeitung (auch besonderer Kategorien) personenbezogener Daten stets einer Rechtsgrundlage bedarf. Am Beispiel des Theologiestudiums: Teilnehmer eines theologischen Präsenz-Seminars werden ihre Religionszugehörigkeit und ihre Weltanschauung regelmäßig durch die Teilnahme oder ihre Äußerungen öffentlich machen (Art. 9 Abs. 2 Buchst. e DSGVO) – hieran ändert sich nichts dadurch, dass die Veranstaltung über eine Videokonferenz abgehalten wird. Es ist daher stets danach zu fragen, ob sich an der Verarbeitung personenbezogener Daten in einer Videokonferenz Umstände ändern, die Auswirkungen auf die Rechtsgrundlage der originären Verarbeitung haben, statt eine neue Rechtsgrundlage für die Videokonferenz zu suchen.

Verzeichnis von Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung

Der hier unter Ziff. 0 genannte Punkt zieht sich durch das Papier der DSK. So geht die DSK davon aus, dass der Einsatz von Videokonferenzsystemen durch den Verantwortlichen in sein Verzeichnis von Verarbeitungstätigkeiten (VVT) aufzunehmen (Ziff. 3.5.3) und ggf. eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen sei (Ziff. 3.5.5).

Beide Erwägungen basieren auf der Fehlannahme der DSK, dass die Verwendung eines Videokonferenzsystems eine eigenständige Verarbeitungstätigkeit sei. Wenn dies korrekt wäre, müssten auch „Verwendung von Smartphones mit SMS-Speicher“ oder „Verwendung von E-Mails“ als eigene Verarbeitungstätigkeiten aufgeführt werden – was aus gutem Grund nicht der Fall ist. Auch der Blick in Art. 30 Abs. 1 DSGVO (anzugeben sind z.B. die Zwecke und die von der Verarbeitung betroffenen Personen) zeigt, dass die Verarbeitungstätigkeiten, nicht die Verarbeitungsmittel, anzugeben sind. Es wären daher die Einträge z.B. zu „Mitarbeiterschulungen“, „Einstellungsverfahren“ oder „Vertrieb“ im VVT zu aktualisieren, soweit sich hier durch die Verwendung von Videokonferenzsystemen Änderungen ergeben. Eine anwendungsbezogene Dokumentation war schon unter dem BDSG a.F. nicht datenschutzkonform und ist es nach dem eindeutigen Wortlaut der DSGVO erst recht nicht.

Entsprechendes gilt für die Durchführung einer DSFA: Da es sich bei der Nutzung von Videokonferenzsystemen nicht um eine eigene Verarbeitungstätigkeit handelt, kann für diese auch keine DSFA erforderlich sein. Es ist aber für die bestehendenVerarbeitungstätigkeiten, die unter Verwendung von Videokonferenzen durchgeführt werden sollen, zu prüfen ob sich hierdurch ein hohes Risiko ergibt, das eine DSFA erforderlich macht. Das wird regelmäßig aber nicht der Fall sein (die Bewertung nach Art. 35 Abs. 2 DSGVO ändert sich nicht und eine relevante Erhöhung des Risikos nach Art. 35 Abs. 1 DSGVO wird jedenfalls bei sicheren, insbesondere Ende-zu-Ende-verschlüsselten, Videokonferenzen ohne Drittlandübermittlungen kaum zu begründen sein).

Informationspflichten nach der DSGVO

DSK: „Verarbeitet der Anbieter des Dienstes – soweit das überhaupt zulässig ist (siehe Abschnitt 3.4.6) – Daten zu eigenen Zwecken, treffen die Informationspflichten grundsätzlich (auch) den Anbieter selbst. Der Veranstalter der Videokonferenz muss die teilnehmenden Personen im Rahmen des Art. 13 Abs. 3 DS-GVO grundsätzlich auch selbst über solche Verarbeitungsvorgänge informieren und kann nicht lediglich auf die Datenschutzbestimmungen des eingesetzten Dienstes verweisen.“ (Ziff. 3.5.1, Hervorhebung nur hier)

Soweit die DSK auf Art. 13 Abs. 3 DSGVO verweist, scheint sie davon auszugehen, dass Daten (Nutzerdaten, Metadaten) von den Veranstaltern einer Videokonferenz an die Anbieter weitergeleitet werden, damit diese sie auswerten können. Dies würde eine zweckändernde Verarbeitung darstellen, über die der Veranstalter in der Tat in dem sich aus Art. 13 DSGVO ergebenden Umfang zu informieren hätte. Handelt es sich hierbei jedoch um Daten, die der Anbieter direkt beim Endnutzer erhebt (ggf. auf eigener vertraglicher Grundlage, siehe oben), handelt es sich um eine Direkterhebung durch den Anbieter – die keine Informationspflichten des Veranstalters auslöst.

Handlungsempfehlungen

Was bedeutet die Orientierungshilfe für Ihre Nutzung von Videokonferenzen und was ist zu tun? Zunächst einmal sind dieselben Schritte zu beachten, die bei der Einführung neuer Prozesse stets zu beachten sind:

  • Vornahme datenschutzfreundlicher Einstellungen: Aktivierung mindestens der Transportverschlüsselung, sofern möglich der Ende-zu-Ende-Verschlüsselung; soweit vermeidbar Verzicht auf die Aufzeichnung von Videokonferenzen und Funktionen, die nicht erforderliche Datenverarbeitungen verursachen (z.B. „Live Untertitel“ oder Übersetzungen in Echtzeit); wenn nicht zwingend erforderlich kein Aktivitätenmonitoring.
  • Bereitstellung der erforderlichen Datenschutzinformationen an die Endnutzer sowie zusätzlich einer Anleitung, die auf weitere Möglichkeiten zum Datenschutz hinweist (z.B. Verwendung virtueller Hintergründe, Aufstellung der Kamera mit Blickwinkel nur auf Unbedenkliches, insb. im Home Office und beim mobilen Arbeiten)
  • Anpassung des VVT (an den passenden Stellen! – z.B. verarbeitete Datenkategorien, ggf. Empfänger)
  • (Neu-)Bewertung der Erforderlichkeit einer DSFA.

Nur falls Sie einen Dritten (mit den Worten der DSK: IT-Dienstleister oder Online-Dienst) einsetzen ergeben sich zusätzliche Prüfschritte:

  • Abschluss eines Auftragsverarbeitungsvertrags, der den Vorgaben des Art. 28 DSGVO entspricht
  • Prüfen, ob Teile des Diensts als gemeinsam Verantwortliche mit dem Anbieter erbracht werden (insb. bei Verbindung mit Tracking-Maßnahmen oder wenn Auswertungen über das Nutzerverhalten erstellt werden denkbar): in diesem Fall Abschluss einer Vereinbarung als gemeinsam Verantwortliche gemäß Art. 26 DSGVO
  • Sofern es sich um einen Anbieter handelt, der a) seinen Sitz in den USA oder in einem anderen unsicheren Drittland hat, b) Teil eines Konzerns ist, der eine Niederlassung in einem dieser Länder hat, oder c) sich Subunternehmer in einem dieser Länder bedient (B. auch für Support-Zugriffe auf Server innerhalb von EU/ EWR) sind zudem die strengen Anforderungen des EuGH und des Europäischen Datenschutzausschusses aus dem „Schrems II“-Urteil zu beachten (über dessen Empfehlungen vom 10.11.2020 informieren wir separat).

Mit Blick auf die Entscheidung des EuGH in Sachen „Schrems II“ stellt die DSK fest, „[e]s bedarf noch weiterer Analysen, um … konkretere Aussagen dahingehend treffen zu können, ob und unter welchen zusätzlichen Schutzvorkehrungen personenbezogene Daten in die USA oder an US-Anbieter übermittelt werden können.“ – mit anderen Worten, es bleibt die zwischenzeitlich vorliegende Stellungnahme des Europäischen Datenschutzausschusses zu dieser Frage abzuwarten (siehe separate Mandanteninformation dazu).

[Update 18.11.2020: Die Datenschutzkonferenz hat ergänzend zur Orientierungshilfe eine „Checkliste Datenschutz in Videokonferenzsystemen“ (Stand 11.11.2020) als Word-Dokument (Download) zur Verfügung gestellt, die für die eigene Prüfung als Orientierung herangezogen werden kann.]

Bei Fragen sprechen Sie uns bitte an.

Wer sind Ihre Ansprechpartner?

Wenn Sie von uns im Datenschutz bereits beraten werden wenden Sie sich bitte an die/den Sie betreuende/n Rechtsanwältin/Rechtsanwalt – zu unserem Team hier entlang. Nehmen Sie anderenfalls jederzeit gerne Kontakt zu einer/einem der folgenden Ansprechpartner/innen auf:

Alle Ansprechpartner/innen erreichen Sie unter 0221/27141874 und persönlich in der Brückenstraße 21, 50667 Köln (Innenstadt).

Wer sind KREMER RECHTSANWÄLTE?

KREMER RECHTSANWÄLTE ist eine auf Digitalisierungsberatung spezialisierte Sozietät und berät ihre Mandanten und Auftraggeber hochspezialisiert und international an der Schnittstelle zwischen Technik und Recht. Zu unseren Mandanten und Auftraggebern gehören DAX-Konzerne, KMU, Kreditinstitute und Finanzdienstleister jeglicher Größe, kirchliche Einrichtungen und Startups.

Die Rechtsanwältinnen, Rechtsanwälte, Wirtschaftsjuristinnen und Wirtschaftsjuristen veröffentlichen regelmäßig Fachbeiträge, Muster und Bücher zum Datenschutz und sind in der Aus- und Weiterbildung von Datenschutzbeauftragten, Personalverantwortlichen, Unternehmensleitungen, Juristinnen und Juristen sowie Referendar/inn/en und Studierenden tätig.

KREMER RECHTSANWÄLTE ist von der WirtschaftsWoche 2019 als TOP Kanzlei im Datenschutzrecht ausgezeichnet worden. Außerdem wird die Sozietät im kanzleimonitor.de 2018/2019 und 2020/2021 als von Unternehmensjuristinnen und -juristen empfohlene Kanzlei im IT-Recht und Datenschutzrecht geführt.

Von Sascha Kremer

Rechtsanwalt, Datenschutzbeauftragter, Unternehmer, Vater.