Aus der neuesten Handreichung der Datenschutzkonferenz, der Orientierungshilfe Videokonferenzsysteme vom 30.10.2020, lassen sich neue praktische Hinweise für die rechtssichere Durchführung von Videokonferenzen und Onlinesprechstunden ableiten.
Eine Institution (Unternehmen, Behörde o. ä.), die einen Videokonferenzdienst selbst betreiben will, kann sich hierfür freier (Open Source) oder anderer Software (z. B. Skype for Business) bedienen und hat damit selbst in der Hand, welche Software zum Einsatz kommt und zu welchen Datenverarbeitungen dies führt.
Wenn der Eigenbetrieb eines derartigen Dienstes aus technischen, finanziellen Gründen oder auch aus Sicherheitserwägungen heraus nicht gewünscht ist, bedient man sich in der Regel eines der üblichen Dienstleister wie z. B. Zoom oder Microsoft Teams oder einer der üblichen Sy-steme für Video-Sprechstunden im medizinischen Bereich. Diese Art von Dienstleistung ist spätestens seit der letzten Orientierungshilfe der Datenschutzkonferenz vom 30.10.2020 eindeutig als ein Dienst anzusehen, für den ein Vertrag zur Auftragsverarbeitung mit diesem Dienstleister geschlossen werden muss, auch wenn dies durch viele dieser Dienstleister für überflüssig gehalten oder gar abgelehnt wird. Oft mit der simplen Begründung, dass es sich nicht um Auftragsverarbeitung handele, da ja keine Daten gespeichert würden.
Bei vielen Dienstleistern besteht zudem noch das Problem, dass die eingesetzten Server außerhalb der EU laufen oder die Betreiber ihren Sitz außerhalb der EU haben und von dort aus ohne Hindernisse auf Server innerhalb der EU zugreifen können. Sehr oft haben diese Betreiber ihren Sitz auch in den USA, die bekanntermaßen auch von der EU nicht als sicheres Drittland eingestuft werden. In vielen Fällen ist es für ein hierzulande ansässiges Unternehmen auch nicht möglich, einen Vertrag zur Auftragsverarbeitung abzuschließen, geschweigedenn überprüfbar, wie die Datenströme im Rahmen einer Videokonferenz genau aussehen und ob hier auch lückenlos end-to-end verschlüsselt wird und alle Datenschutzvorschriften eingehalten werden.
Wenn ein Vertrag zur Auftragsverarbeitung als Rechtsgrundlage für eine Verarbeitung der Ton- und Bilddaten nicht möglich ist oder kein transparentes und sicheres Instrument scheint, kann man nur noch auf eine persönliche Einwilligung der Teilnehmenden als Rechtsgrundlage bauen. Nun ist es technisch und organisatorisch relativ einfach, in eine Einladung zur Videokonferenz einen entsprechenden Einwilligungstext zu integrieren. Doch hierbei sind insbesondere folgende Aspekte zu berücksichtigen:
Teilnehmende an der Videokonferenz fühlen sich oft zeitlich oder aus anderen Gründen gezwungen, eine Einladung zur Videokonferenz anzunehmen. Allein dadurch kann berechtigt bezweifelt werden, ob es sich tatsächlich, wie vorgeschrieben, um eine freiwillige Einverständniserklärung handelt. Dies sollte jedenfalls umgangen werden, indem mindest eine Wahl besteht, an der Konferenz auch „nur“ telefonisch teilzunehmen.
Das Unternehmen, dass hier das Instrument Videokonferenz als hilfreiches Kommunikationsmedium einführt, schuldet den Teilnehmenden auch eine hierauf abgestimmte Datenschutzerklärung mit der entsprechenden rechtlichen Aufklärung. Diese rechtliche Aufklärung ist insbesondere deshalb sehr gründlich zu formulieren, da ein Widerspruch zur Einwilligung eigentlich nur noch dadurch abgegeben werden kann, dass man sich aus der Videkonferenz verabschiedet. Auf diese Datenschutzerklärung könnte dann über einen Link in der Einwilligungserklärung in der Einladung zur Videokonferenz verwiesen werden. Da auch oft Externe in Videokonferenzen einbezogen werden, wäre es sinnvoll, diese Datenschutzerklärung öffentlich zu platzieren, z. B. in einem eigenen Kapitel in den Datenschutzbedingungen der Website.