Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bun- des und der Länder Orientierungshilfe Videokonferenz- systeme Stand 23.10.2020

Orientierungshilfe Videokonferenzsysteme                                                                              Stand: 23.10.2020 Inhalt 1     Einleitung ........................................................................................................................... 4 2     Betriebsmodelle .................................................................................................................. 5 2.1     Selbst betriebener Dienst ............................................................................................. 5 2.2     Betrieb durch einen externen IT-Dienstleister............................................................. 6 2.3     Online-Dienst............................................................................................................... 6 3     Rechtliche Anforderungen ................................................................................................. 8 3.1     Selbst betriebener Dienst ............................................................................................. 8 3.2     Betrieb durch einen externen IT-Dienstleister............................................................. 8 3.3     Online-Dienst............................................................................................................... 9 3.4     Rechtsgrundlage für den Verantwortlichen und Zweckbindung ................................. 9 3.4.1     Zur Struktur der Rechtsgrundlagen .................................................................... 10 3.4.2     Einwilligung ....................................................................................................... 10 3.4.3     Arbeitgeber als Verantwortliche ........................................................................ 11 3.4.4     Verarbeitung besonderer Kategorien personenbezogener Daten ....................... 11 3.4.5     Teilnahme aus Privatwohnungen ....................................................................... 11 3.4.6     Verarbeitungen durch Anbieter zu eigenen Zwecken ........................................ 12 3.4.7     Verarbeitung von Daten Dritter .......................................................................... 12 3.4.8     Transparenz, Aufzeichnungen von Videokonferenzen ...................................... 13 3.5     Pflichten des Verantwortlichen ................................................................................. 13 3.5.1     Informationspflichten und Betroffenenrechte .................................................... 13 3.5.2     Auftragsverarbeitungsvertrag ............................................................................. 15 3.5.3     Verarbeitungsverzeichnis ................................................................................... 16 3.5.4     Meldepflicht bei Datenpannen ........................................................................... 16 3.5.5     Datenschutz-Folgenabschätzung ........................................................................ 16 3.5.6     Besonderheiten bei Übermittlungen an Drittländer............................................ 16 4     Technische und organisatorische Anforderungen ............................................................ 18 4.1     Sicherheit der Übertragung ........................................................................................ 18 4.2     Nutzerauthentifizierung ............................................................................................. 20 4.2.1     Normale Risiken ................................................................................................. 20 4.2.2     Hohe Risiken ...................................................................................................... 20 4.2.3     Authentifizierungsdienst .................................................................................... 20 4.2.4     Gastteilnahme ..................................................................................................... 21 4.3     Installation und Softwareaktualisierung .................................................................... 21 4.4     Rollentrennung .......................................................................................................... 22 4.5     Datensparsamkeit....................................................................................................... 23 2

Orientierungshilfe Videokonferenzsysteme                                                                          Stand: 23.10.2020 4.6     Transparenz ............................................................................................................... 24 4.7     Aufzeichnungen ......................................................................................................... 24 4.8     Intervenierbarkeit....................................................................................................... 25 3

Orientierungshilfe Videokonferenzsysteme                                          Stand: 23.10.2020 1 Einleitung In Situationen wie der Corona-Krise können Videokonferenzdienste eine zentrale Bedeutung für unsere Kommunikation erlangen. Mit diesen Diensten kann neben Videoanrufen auch eine Gruppenkommunikation ermöglicht werden. Die vorliegende Orientierungshilfe erläutert da- tenschutzrechtliche Anforderungen an die Durchführung von Videokonferenzen durch Unter- nehmen, Behörden und andere Organisationen. Im Rahmen von Videokonferenzen werden personenbezogene Daten der teilnehmenden Perso- nen verarbeitet. Aufgrund der schon hohen und noch wachsenden Funktionsvielfalt heutiger Videokonferenzlösungen und der Vielzahl weiterer IT-Dienste, die als sogenannte Umsysteme an die Videokonferenzsysteme angebunden sind, ist die Bandbreite der zu berücksichtigenden personenbezogenen Daten groß. Betroffen sind inhaltliche Äußerungen und die Übertragung von Ton und Bild der teilnehmen- den Personen und ggf. ihres Umfeldes, wie etwa ihrer Wohnung, ihres Arbeitsplatzes oder sons- tigen Aufenthaltsorts (Inhaltsdaten). Bild und Ton der Teilnehmenden enthalten auch genügend Information, um diese anhand ihrer Stimme oder ihrer Gesichtsmerkmale identifizieren zu kön- nen. Je nach Art des Dienstes sind aber daneben auch Äußerungen in Form von grafischen oder textlichen Chatnachrichten oder die Anzeige des eigenen Bildschirms für einzelne oder alle Teilnehmer möglich; die Zuordnung dieser Nachrichten oder Anzeigevorgänge zu den teilneh- menden Personen, die sie geäußert, präsentiert oder rezipiert haben, ist als personenbezogen zu betrachten. Weiterhin können Metadaten über die Durchführung der Kommunikation, Daten über die be- ruflichen Kontakte, über Arbeitszeiten und über die Arbeitsleistung anhand der Daten einer oder mehrerer Videokonferenzen verarbeitet werden (Rahmendaten). Ferner können personenbezogene Daten in Text-Beiträgen der teilnehmenden Personen und den im Rahmen von Videokonferenzen erörterten und sichtbar gemachten Dokumenten enthal- ten sein. Diese Daten können sich auf die Konferenzteilnehmenden selbst, aber auch auf nicht teilnehmende Personen innerhalb und außerhalb der Institutionen beziehen. Zudem können auch personenbezogene Daten von Personen aus dem Umfeld der teilnehmen- den Personen betroffen sein, deren Bild oder Ton unter Umständen von dem Konferenzsystem mitverarbeitet wird. Beispiel: eine Person aus dem Haushalt des Konferenzteilnehmers läuft durch das Bild oder spricht im Hintergrund. 4

Orientierungshilfe Videokonferenzsysteme                                        Stand: 23.10.2020 Der für die Durchführung der Videokonferenz Verantwortliche ist verpflichtet zu prüfen, in- wieweit er zur Verarbeitung befugt ist. Dabei hat er insbesondere den Grundsatz der Datenspar- samkeit zu beachten. Deshalb muss er prüfen, inwieweit die mit dem konkreten Einsatz des Konferenzsystems verbundene Datenverarbeitung durch die Auswahl der eingesetzten Systeme sowie durch technische und organisatorische Maßnahmen auf das zur Zweckerreichung Erfor- derliche begrenzt werden kann. Soweit er Tools eines Anbieters verwendet, muss er die daten- schutzrechtliche Beziehung zu diesem klären. Er hat auch dann darauf zu achten, dass die zum Schutz der jeweiligen Daten erforderlichen technischen und organisatorischen Maßnahmen er- griffen werden. Ferner hat er über die Datenverarbeitung in der gebotenen Form zu informieren. Diese Handreichung soll den Verantwortlichen hierzu eine Hilfestellung bieten. 2 Betriebsmodelle Der Verantwortliche hat grundsätzlich drei Möglichkeiten ein Videokonferenzsystem zu betrei- ben: Entweder nutzt er einen Online-Dienst (Software as a Service), betreibt das System selbst oder lässt das System bei einem externen IT-Dienstleister betreiben. 2.1 Selbst betriebener Dienst Eine Institution (Unternehmen, Behörde o. ä.), die einen Videokonferenzdienst selbst betreiben will, kann sich hierfür freier (Open Source) oder anderer Software bedienen und hat damit selbst in der Hand, welche Software zum Einsatz kommt und zu welchen Datenverarbeitungen dies führt. Die Software selbst zu betreiben hat den Vorteil, dass sich Fragen nach der Notwendigkeit des 1 Abschlusses eines Auftragsverarbeitungsvertrags (Art. 28 DS-GVO) oder einer Vereinbarung 2 zur gemeinsamen Verantwortung (Art. 26 DS-GVO) ebenso wenig stellen, wie die nach einer evtl. gemeinsamen Haftung. Zugleich wird auf diese Weise sichergestellt, dass Daten genauso verarbeitet werden, wie ge- wünscht. Der Betrieb von Videokonferenzsystemen auf einer selbst betriebenen Infrastruktur hat den Vorteil, dass nur dem Verantwortlichen eine Analyse und Kontrolle der Inhalts- und Rahmendaten der Systeme ermöglicht wird, da nur er auf die hierfür erforderlichen Daten zu- greifen kann. 1 https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf 2 https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_16.pdf 5

Orientierungshilfe Videokonferenzsysteme                                         Stand: 23.10.2020 Verantwortliche müssen dann freilich für Betrieb und Wartung über ausreichende technische und personelle Kapazitäten verfügen und geeignete technische und organisatorische Maßnah- men zum Schutz der Daten ergreifen. Das ist von großen und leistungsfähigen Institutionen zu erwarten, kann bei kleineren Verantwortlichen aber eine personelle und technische Herausfor- derung darstellen. Daher kommt auch eine Beauftragung von Dienstleistern in Betracht. 2.2 Betrieb durch einen externen IT-Dienstleister Wer eine Software präferiert, sie aber nicht selbst betreiben kann, kann hierfür einen Dienst- leister beauftragen. Bleibt die Datenverarbeitung beim Dienstleister auf die Erfüllung dieses Auftrags beschränkt, so liegt Auftragsverarbeitung vor. Hierfür ist ein Vertrag zur Auftragsver- arbeitung nach Art. 28 Abs. 3 DS-GVO abzuschließen. Die Datenschutz-Aufsichtsbehörden empfehlen insbesondere der öffentlichen Verwaltung, der- artige Systeme selbst zu betreiben oder zentral (landesweit bzw. bundesweit) einen oder meh- rere Videokonferenzdienste bereitzustellen. Durch die jeweiligen von den Ländern bzw. vom Bund verpflichteten Dienstleister können Systeme ggf. auf die Bedürfnisse der jeweiligen Sek- toren und Einsatzzwecke, insbesondere des Schulsystems angepasst werden. Dabei ist zu beachten, dass die eingesetzte oder Teilnehmern angebotene Software auf Daten- abflüsse an den Hersteller und dritte Stellen zu untersuchen ist. Dies schließt Diagnose- und Telemetriedaten oder sonstige Datenabflüsse ein. Entsprechende Datenabflüsse müssen unterbunden werden, soweit nicht eine Rechtsgrundlage hierfür besteht. 2.3 Online-Dienst Anstatt das Videokonferenzsystem selbst zu betreiben oder von einem Dienstleister nach eige- nen Vorstellungen betreiben zu lassen, gibt es auch die Möglichkeit, bestehende Online-Dienste zu verwenden. Für die Entscheidung für einen Online-Dienst spricht zunächst die einfache Bereitstellung des angebotenen Videokonferenzsystems. Der Verantwortliche schließt in diesem Fall einen Ver- trag mit dem Anbieter. In Abhängigkeit von der konkreten Ausgestaltung des Online-Dienstes sind im Anschluss zentrale Konfigurationsoptionen (z. B. Datenabflüsse, Zugriffsrechte) zu prüfen und ggf. anzupassen. Danach melden bei Bedarf die dafür autorisierten Personen eine 6

Orientierungshilfe Videokonferenzsysteme                                       Stand: 23.10.2020 Videokonferenz beim Anbieter an und laden die teilnehmenden Personen ein. Der Verantwort- liche muss zumindest einen Auftragsverarbeitungsvertrag schließen (siehe Abschnitt 3.5.2). Der Verantwortliche muss die Einhaltung der Datenschutzgrundsätze durch Auswahl eines ge- eigneten Anbieters sicherstellen (vgl. hierzu die Anforderungen des Art. 28 Abs. 1 DS-GVO) sowie entsprechende Anweisungen an den Diensteanbieter erteilen und eigene Vorkehrungen treffen. Dazu hat der Verantwortliche die vom Auftragsverarbeiter vorgelegten Auftragsverarbeitungs- verträge, Nutzungsbedingungen und Sicherheitsnachweise und auch dessen Datenschutzerklä- rung zu prüfen. Ganz grundsätzlich ist bei der Auswahlentscheidung für einen Anbieter darauf zu achten, dass dieser geeignete technische und organisatorische Maßnahmen ergreift, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und der Anbieter hierfür hinreichende Garantien bietet. Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz allerdings in den USA und verarbeiten dort die Daten. Bei Datenübermittlun- gen in die USA oder andere Drittstaaten sind die Anforderungen des Kapitels V der DS-GVO einzuhalten (siehe den folgenden Absatz sowie Abschnitt 3.5.6). Bei der Verwendung von Stan- dardvertragsklauseln als Instrument zur Rechtfertigung des Datenexports ist unter anderem zu beachten, dass der Verantwortliche vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren muss. Bei Defiziten sind zusätzliche Maßnahmen erforderlich; ggf. muss der Da- tenexport unterbleiben. Durch das Urteil des EuGH in der Rechtssache Schrems II vom 16.07.2020 (C-311/18) wurde der Angemessenheitsbeschluss zum EU-U.S. Privacy Shield für ungültig erklärt. Das Privacy Shield steht daher als Instrument für die Sicherstellung eines angemessenen Schutzes in die USA übermittelter Daten nicht mehr zur Verfügung. Bei der Verwendung von Standardver- tragsklauseln und anderen vertraglichen Garantien als Grundlage für Übermittlungen personen- bezogener Daten in die USA sind nach der Entscheidung des EuGH zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass für diese Daten auch bei und nach ihrer Übermittlung ein im Wesentlichen gleichwertiges Schutzniveau wie das in der EU gewährleistet wird. Es bedarf noch weiterer Analysen, um im Lichte dieser vom EuGH klargestellten Anforderungen konkre- tere Aussagen dahingehend treffen zu können, ob und unter welchen zusätzlichen Schutzvor- kehrungen personenbezogene Daten in die USA oder an US-Anbieter übermittelt werden kön- nen. Aus diesem Grund empfiehlt die DSK derzeit die Nutzung von Videokonferenzprodukten 7

Orientierungshilfe Videokonferenzsysteme                                         Stand: 23.10.2020 US-amerikanischer Anbieter sorgfältig zu prüfen. Dies gilt auch, wenn Vertragspartner eine europäische Tochtergesellschaft ist. Das gleiche gilt für europäische Anbieter, sofern sie ihrer- seits personenbezogene Daten in die USA übermitteln. 3 Rechtliche Anforderungen Vor dem Betrieb oder der Nutzung eines Videokonferenzdienstes sind die Rollen und Verant- wortlichkeiten der Beteiligten klar zu verteilen und eindeutig festzulegen, um die Einhaltung der Regelungen der DS-GVO zu gewährleisten (siehe dazu auch Abschnitt 4.4). Verantwortli- cher ist nach Art. 4 Nr. 7 DS-GVO diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Verantwortlichkeit ist nicht gleichbedeu- tend mit dem Bestehen einer Befugnis zur Datenverarbeitung. Das Konzept der Verantwort- lichkeit stellt nur klar, dass die Stelle, die gemäß Art. 4 Nr. 7 DS-GVO über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, die aus der DS-GVO resultie- renden datenschutzrechtlichen Verpflichtungen des Verantwortlichen zu erfüllen hat. 3.1 Selbst betriebener Dienst Betreiben z. B. ein Arbeitgeber oder eine Schule ein Videokonferenzsystem, sind der Arbeit- geber oder die Schule als Veranstalter der Videokonferenz Verantwortliche im Sinne der DS-GVO, da er oder sie im Rahmen des Einsatzes dieses Systems über die Zwecke und Mittel der Verarbeitung bestimmen. Das gilt insbesondere für Daten, die unmittelbar im Rahmen der Nutzung des Videokonferenzsystems ausgetauscht werden (Inhaltsdaten, z. B. zentral auf dem Server gespeicherte Chats, geteilte Dokumente, Aufzeichnungen der Konferenz), aber auch für Rahmendaten, insbesondere Metadaten, die zur Aufrechterhaltung des Systems erforderlich sind. 3.2 Betrieb durch einen externen IT-Dienstleister Der Betreiber des Videokonferenzsystems kann als Auftragsverarbeiter im Auftrag des Verant- wortlichen personenbezogene Daten verarbeiten. Bedient sich der Verantwortliche etwa eines Dienstleisters, der die technische Infrastruktur stellt und kein eigenes Interesse an den perso- nenbezogenen Daten hat, ist mit diesem ein wirksamer Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO abzuschließen (siehe Abschnitt 3.5.2). Bei der Auswahl des Auftragsverar- beiters ist darauf zu achten, dass dieser hinreichende Garantien zu den erforderlichen techni- schen und organisatorischen Maßnahmen bietet. Da die entsprechenden Verträge in der Praxis häufig auf Musterverträgen der Dienstleister beruhen, sollte besonders darauf geachtet werden, 8

Orientierungshilfe Videokonferenzsysteme                                       Stand: 23.10.2020 dass die Weisungsgebundenheit des Auftragsverarbeiters umfassend geregelt wird und dass dem Verantwortlichen hinreichende Kontrollbefugnisse eingeräumt werden. 3.3 Online-Dienst Verarbeitet der Anbieter des eingesetzten Dienstes personenbezogene Daten der Teilnehmer auch zu eigenen Zwecken oder Zwecken Dritter (z. B. Verarbeitung von Daten zum Nutzerver- halten, Einsatz von Analysetools, Tracking zu Werbezwecken), so ist zu beachten, dass der Veranstalter für jede Offenlegung personenbezogener Daten an den Anbieter ebenso eine Rechtsgrundlage benötigt wie der Anbieter für jede Verarbeitung personenbezogener Daten in eigener – ggf. gemeinsamer – Verantwortlichkeit. Dies trifft häufig auf Online-Dienste zu. Eine Rechtsgrundlage für die Offenlegung personenbezogener Daten an den Anbieter des Dienstes ist allerdings regelmäßig schwierig zu begründen (siehe dazu Abschnitt 3.4.6). Verarbeitet der Anbieter personenbezogene Daten, die im Rahmen der Nutzung des Videokon- ferenzdienstes anfallen, auch zu eigenen Zwecken oder zu Zwecken Dritter, ist eine gemein- same Verantwortlichkeit nach Art. 26 DS-GVO zu prüfen. Liegt eine gemeinsame Verantwort- lichkeit vor, muss insbesondere eine entsprechende Vereinbarung geschlossen werden. Diese Vereinbarung ersetzt nicht die Rechtsgrundlage, die jeder der gemeinsam Verantwortlichen be- nötigt, sondern stellt eine zusätzliche Anforderung dar. Gegenüber den betroffenen Personen muss stets transparent gemacht werden, wer in welcher Rolle welche personenbezogenen Daten verarbeitet. Der Veranstalter muss als Verantwortli- cher mit Nennung der Kontaktdaten und ggf. des Datenschutzbeauftragten und seiner Kontakt- daten klar aus der Information über die Datenverarbeitung hervorgehen. Das gilt auch für den ggf. gemeinsam verantwortlichen Anbieter des Dienstes, wobei auch klar darüber informiert werden muss, welche Daten in gemeinsamer Verantwortlichkeit verarbeitet werden. Ist der An- bieter hingegen Auftragsverarbeiter, muss er nur bei den Empfängern der Daten genannt wer- den, nicht jedoch als Verantwortlicher. 3.4 Rechtsgrundlage für den Verantwortlichen und Zweckbin- dung Zur rechtmäßigen Verarbeitung der personenbezogenen Daten der an der Konferenz teilneh- menden Personen benötigt der Verantwortliche eine Rechtsgrundlage gemäß Art. 6 DS-GVO. 9

Orientierungshilfe Videokonferenzsysteme                                      Stand: 23.10.2020 3.4.1       Zur Struktur der Rechtsgrundlagen Je nach Kontext der Verarbeitungssituation kann sich eine Befugnisnorm aus Art. 6 Abs. 1 lit. a, b, e, f DS-GVO, gegebenenfalls auch in Verbindung mit dem nationalen Recht, ergeben. So kann die Datenverarbeitung auf eine wirksame, d. h. freiwillige und informierte Einwilli- gung gestützt werden. Außerdem kommt Art. 6 Abs. 1 lit. b DS-GVO (Vertragserfüllung) als Rechtsgrundlage in Betracht. Bestehen im Rahmen der Vertragserfüllung grundsätzlich Alter- nativen zur Videokonferenz oder nehmen Beschäftigte anderer Unternehmen und sonstige Per- sonen an einer Videokonferenz teil, können auch berechtigte Interessen nach Art. 6 Abs. 1 lit. f DS-GVO die Datenverarbeitung legitimieren, wobei zu beachten ist, dass der Verantwortliche in diesem Falle gemäß Art. 21 Abs. 4 DS-GVO auf das Widerspruchsrecht hinweisen muss. Allerdings können sich Behörden bei der Erfüllung ihrer Aufgaben nicht auf Art. 6 Abs. 1 lit. f DS-GVO berufen (Art. 6 Abs. 1 Satz 2 DS-GVO). Im Falle von Behörden kommt jedoch als Rechtsgrundlage grundsätzlich Art. 6 Abs. 1 lit. e DS-GVO in Verbindung mit der jeweils ein- schlägigen Norm des deutschen Rechts, etwa aus dem Schulrecht, in Betracht. 3.4.2       Einwilligung Sofern als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten Einwilligungen der betroffenen Personen verwendet werden sollen, ist auf Folgendes hinzuweisen: Eine Einwilligung ist nur wirksam, wenn sie in informierter Weise und freiwillig abgegeben wurde (vgl. Art. 4 Nr. 11 DS-GVO). Von einer Freiwilligkeit ist nur auszugehen, wenn eine echte Wahlmöglichkeit hinsichtlich der Teilnahme an der Videokonferenz besteht. Gerade im beruflichen oder im schulischen Kontext ist die Freiwilligkeit oftmals zweifelhaft, insbesondere dann, wenn Informationen, die für die Durchführung der beruflichen Tätigkeit oder für den Schulunterricht unverzichtbar sind, ausschließlich im Rahmen einer Videokonfe- renz mitgeteilt werden. Dann wird regelmäßig die Freiwilligkeit der Teilnahme an der Video- konferenz nicht gegeben sein, sodass die Einwilligung der betroffenen Personen als Rechts- grundlage ausscheidet. In solchen Fällen kommt eine wirksame Einwilligung nur in Betracht, wenn die Freiwilligkeit durch zusätzliche Maßnahmen sichergestellt wird, etwa indem denje- nigen, die nicht an Videokonferenzen teilnehmen wollen, das relevante Wissen in gleichwerti- ger Form auch auf anderem Wege bereitgestellt wird bzw. andere Wege der Kommunikation angeboten werden (z. B. eine Teilnahme an der Konferenz per Telefon). Sofern die Freiwilligkeit nicht durch solche Maßnahmen sichergestellt werden kann, kann der Einsatz der Videokonferenz nicht auf Einwilligungen als Rechtsgrundlage gestützt werden, so 10