17.06.2021

Aufzeichnung von Videokonferenzen datenschutzkonform gestalten

Hintergrund

Videokonferenzsysteme ermöglichen oft durch einen Klick, Bild und Ton der Konferenz aufzuzeichnen. Diese Funktion bietet in praktischer Hinsicht viele Vorteile, zum Beispiel ein Seminar für alle im Intranet zur Verfügung zu stellen oder auf eine händische Protokollierung einer Konferenz zu verzichten. Datenschutzrechtlich sollte die Aufzeichnungsfunktion jedoch nur sparsam und mit den richtigen Vorkehrungen angewendet werden.

Rechtliche Grenzen prüfen

Die Aufzeichnung von Gesprächen betrifft rechtlich sensible Bereiche. Die Verletzung der Vertraulichkeit des Wortes erfüllt sogar einen Straftatbestand. Schon allein aus diesem Grund verbietet es sich, die Aufzeichnungsfunktion als Standard bei Videokonferenzen einzustellen. Es sollte im Einzelfall überprüft werden, ob eine Aufzeichnung erforderlich ist, oder ob nicht auch beispielsweise eine Mitschrift ausreicht.

Im Regelfall ist datenschutzrechtlich eine Einwilligung der Teilnehmer konkret für die jeweilige Aufzeichnung notwendig. Ausnahmen vom Einwilligungserfordernis sind nur in sehr beschränktem Rahmen zulässig. Die Datenschutzkonferenz nennt in ihrer Orientierungshilfe für Videokonferenzsysteme beispielhaft hierfür offene Veranstaltungen und offene Vorträge, bei denen ein berechtigtes Interesse für eine Aufzeichnung bestehen kann. Ein solches berechtigtes Interesse für eine Aufzeichnung muss im Einzelfall geprüft und gut begründet werden. Zudem empfiehlt es sich die Begründung zu dokumentieren.

Auch die Teilnehmer einer Konferenz könnten neben dem Gastgeber Mitschnitte anfertigen. Um hierüber die Kontrolle zu behalten, empfiehlt es sich, die Aufzeichnungsfunktion für Teilnehmer grundsätzlich auszuschalten. Darüber hinaus kann es sinnvoll sein, die Teilnehmer zuvor darüber aufzuklären, dass das heimliche Mitschneiden von Videokonferenzen strafbar sein kann.

Information und Einwilligung

Der Gastgeber einer Videokonferenz hat sich entschieden, dass eine Aufzeichnung der Konferenz erforderlich ist. Was ist nun konkret zu tun?

In jedem Fall sind die Teilnehmer vor der Konferenz über die geplante Aufzeichnung zu informieren. Dies kann zum Beispiel in der Einladung erfolgen. Darin sollten der Zweck der Aufzeichnung, die datenschutzrechtliche Rechtsgrundlage und die Dauer der Speicherung genannt sein. Weitere datenschutzrechtlich notwendige allgemeine Informationen können auch durch Verlinken einer für das verwendete Videokonferenzsystem erstellten Datenschutzerklärung erfolgen. Während der Videokonferenz sollte für die Teilnehmer klar erkennbar sein, dass eine Aufzeichnung erfolgt. Bei den meisten Videokonferenzsystemen wird dies automatisch eingeblendet, zum Beispiel durch einen roten „Record“-Button.

Die im Regelfall notwendige Einwilligung kann ebenfalls in der Einladung eingeholt werden. Die Einwilligung muss freiwillig erteilt werden, das bedeutet es ist grundsätzlich nicht möglich, eine Person wegen fehlender Einwilligung in die Aufzeichnung von einer Konferenz auszuschließen. Es empfiehlt sich, die Einwilligung zu dokumentieren – z. B. über einen Abfragebutton in einer E-Mail – und so lange aufzubewahren wie die Aufzeichnung selbst.

Umgang mit einer Aufzeichnung

Auch im Umgang mit der Aufzeichnung gibt es einige Aspekte zu beachten. Die erforderlichen Sicherheitsmaßnahmen bei der Aufbewahrung einer Aufzeichnung richten sich nach der Sensibilität der Inhalte. Mindestens sollte sie geschützt vor dem Zugriff Nichtberechtigter auf einem sicheren Server gespeichert werden. Bei hoher Sensibilität ist, nach Auffassung der Datenschutzkonferenz, darüber hinaus eine verschlüsselte Speicherung zwingend erforderlich. Eine hohe Sensibilität der Daten dürfte in jedem Fall gegeben sein, wenn besondere personenbezogene Daten nach Art. 9 DSGVO aufgezeichnet werden (z. B. Aussagen zu politischen, religiösen und weltanschaulichen Überzeugungen, zur Gewerkschaftszugehörigkeit oder auch zu Gesundheitsdaten). Daneben kommen insbesondere Daten in Betracht, die ein hohes Missbrauchsrisiko haben, wie z. B. Bankdaten oder unternehmensinterne vertrauliche Vorgänge. Dies ist jedoch stets einzelfallabhängig zu bewerten.

Die Aufzeichnung darf zudem nur für den zuvor gegenüber den Konferenzteilnehmern genannten Zweck verwendet werden, denn nur dieser ist von der Einwilligung gedeckt. Ein Beispiel: Die Teilnehmer wurden informiert, dass das aufgezeichnete Online-Seminar danach für andere Mitarbeiter im Intranet zur Verfügung stehen wird. Nach dem Seminar wird überlegt, ob Ausschnitte der Aufzeichnung im Internet frei verfügbar veröffentlicht werden. Dies wäre grundsätzlich nur mit einer erneuten, auf diesen neuen Zweck zugeschnittenen Einwilligung der Teilnehmer möglich.

Zudem ist zu berücksichtigen, dass die Teilnehmer eine einmal erteilte Einwilligung jederzeit widerrufen können. Ein solcher Widerruf gilt für die Zukunft und bedeutet, dass die Aufzeichnung gelöscht werden muss, soweit die jeweilige widerrufende Person nicht vollständig aus der Aufzeichnung entfernt werden kann. Auch wenn kein Widerruf erfolgt, ist die Aufzeichnung spätestens nach Erreichen des vorgesehenen Zwecks zu löschen.

Checkliste Videokonferenzaufzeichnung

Anhand dieser Checkliste können Gastgeber einer Videokonferenz prüfen, ob sie die wichtigsten To-Do‘s im Blick haben:

  • Notwendigkeit der Aufzeichnung geprüft
  • Konferenzteilnehmer informiert
  • Einwilligung für die beabsichtigten Zwecke eingeholt und dokumentiert (bzw. Ausnahme geprüft)
  • Aufzeichnung sicher aufbewahrt
  • Aufzeichnung nach Zweckerreichung/Ablauf der Aufbewahrungsfrist gelöscht
Praxishinweis

Die Anforderungen an eine datenschutzkonforme Videokonferenzaufzeichnung sind vielschichtig. In der Praxis ist es deshalb sinnvoll, diesen Themenkomplex im Unternehmen zentral zu regeln und einen Prozess zu entwickeln.

Für Unternehmen ist es empfehlenswert, ihre Mitarbeiter z.B. durch Leitlinien für Videokonferenzaufzeichnungen, spezifische Datenschutzhinweise für das verwendete Videokonferenzsystem sowie technische Hilfsmittel für die Abfrage von Einwilligungen zu unterstützen. Es bietet sich zudem an, unternehmensintern festzulegen, in welchen Fällen die oder der Datenschutzbeauftragte eingeschaltet werden muss. Auf diese Weise kann ein einheitlicher Umgang mit der Thematik im Unternehmen sichergestellt werden.

Weiterführende Informationen zum Datenschutz bei Videokonferenzsystemen:

Welche weiteren datenschutzrechtlichen Anforderungen beim Einsatz von Videokonferenz-Plattformen zu beachten sind, ist in diesem Blogbeitrag zusammengefasst. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit kategorisiert die Datenschutzfreundlichkeit verschiedener Videokonferenzdienste mit Ampeln in diesen Hinweisen.

Autor/in
Laura Hoffmann, LL.M. (Dresden/London)

Laura Hoffmann, LL.M. (Dresden/London)
Associate
Frankfurt a.M.
laura.hoffmann@luther-lawfirm.com
+49 69 27229 24684