Ein vollständiger Leitfaden zur DSGVO-Konformität bei Videokonferenzen
Die Datenschutz-Grundverordnung (DSGVO) gilt für Videokonferenzen immer dann, wenn personenbezogene Daten von Personen mit Wohnsitz im Europäischen Wirtschaftsraum verarbeitet werden. Dieser umfassende Leitfaden behandelt den Rechtsrahmen, Datenverarbeitungsvereinbarungen, Rechtsgrundlagen für die Verarbeitung, Rechte der betroffenen Personen, Mechanismen für die grenzüberschreitende Datenübermittlung sowie eine praktische Checkliste zur Einhaltung der DSGVO für Organisationen, die Videoplattformen wie DigitalMeet nutzen.
Wann die DSGVO für Videokonferenzen gilt
Territorialer Geltungsbereich
Die DSGVO (Verordnung (EU) 2016/679) gilt für die Verarbeitung personenbezogener Daten von Personen im EWR, unabhängig vom Sitz Ihres Unternehmens (Artikel 3). Im Kontext von Videokonferenzen umfassen personenbezogene Daten Folgendes:
- Namen der Teilnehmer, E-Mail-Adressen und IP-Adressen
- Audio- und Videoaufnahmen, die identifizierbare Personen enthalten
- Chatnachrichten und geteilte Dateien
- Meeting-Metadaten (Beitritts-/Austrittszeiten, Dauer, Geräteinformationen)
- KI-generierte Transkripte und Zusammenfassungen, die identifizierbare Sprachaufnahmen enthalten
Artikel 4 Absatz 1 der DSGVO: „‚Personenbezogene Daten‘ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ Videoaufnahmen, Sprachaufnahmen und Verhaltensmetadaten fallen alle darunter, wenn sie sich auf eine identifizierbare Person beziehen.
Wichtige Artikel zur DSGVO für Videokonferenzen
| Artikel | Thema | Relevanz für Videokonferenzen |
|---|---|---|
| Artikel 5 | Verarbeitungsprinzipien | Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht |
| Artikel 6 | Rechtsgrundlage für die Verarbeitung | Sie müssen für jede Verarbeitungstätigkeit eine Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse usw.) angeben. |
| Artikel 9 | Besondere Datenkategorien | Gesundheitsdaten in Telemedizin-Videos erfordern eine ausdrückliche Einwilligung oder eine andere Ausnahme nach Artikel 9. |
| Artikel 13/14 | Informationen für betroffene Personen | Stellen Sie vor oder zum Zeitpunkt der Datenerhebung (z. B. bei der Teilnahme an Besprechungen) klare Datenschutzhinweise bereit. |
| Artikel 15–22 | Rechte der betroffenen Person | Zugang, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, automatisierte Entscheidungsfindung |
| Artikel 25 | Datenschutz durch Technikgestaltung und Standardeinstellungen | Die Plattform muss datenschutzfreundliche Standardeinstellungen implementieren (z. B. standardmäßige Deaktivierung der Aufzeichnung, minimale Datenerfassung). |
| Artikel 28 | Pflichten des Auftragsverarbeiters | Ihr Videoanbieter (Auftragsverarbeiter) muss über eine Datenverarbeitungsvereinbarung verfügen, die Verarbeitungsanweisungen, Sicherheitsmaßnahmen, Unterauftragsverarbeiter und Prüfrechte festlegt. |
| Artikel 32 | Sicherheit der Verarbeitung | Verschlüsselung, Zugriffskontrollen, Ausfallsicherheit und regelmäßige, dem Risiko angemessene Tests. |
| Artikel 33/34 | Benachrichtigung über Datenschutzverletzung | Benachrichtigen Sie die Aufsichtsbehörde innerhalb von 72 Stunden; benachrichtigen Sie die betroffenen Personen, wenn ein hohes Risiko besteht. |
| Artikel 44–49 | Internationale Überweisungen | Für Datentransfers außerhalb des EWR sind angemessene Garantien erforderlich (Standardvertragsklauseln, Angemessenheitsbeschlüsse, BCRs). |
Datenverarbeitungsvereinbarungen
Anforderungen gemäß Artikel 28
Bei der Nutzung einer Videokonferenzplattform fungiert der Anbieter als Datenverarbeiter im Sinne der DSGVO. Artikel 28 erfordert einen schriftlichen Vertrag (AVV), der Folgendes festlegt:
- Gegenstand und Dauer der Bearbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten und Kategorien der betroffenen Personen
- Pflichten und Rechte des Verantwortlichen
- Sicherheitsmaßnahmen, die der Auftragsverarbeiter umsetzen muss (Artikel 32).
- Bedingungen für die Beauftragung von Unterauftragnehmern und Benachrichtigung
- Unterstützung bei der Wahrnehmung von Betroffenenrechten und Meldung von Datenschutzverletzungen
- Prüfrechte für den Verantwortlichen
- Datenrückgabe oder -löschung bei Vertragsbeendigung
DigitalMeet bietet DSGVO-konforme Auftragsverarbeitungsvereinbarungen (AVV), die Video, Aufzeichnung, Transkription, KI-Verarbeitung und Speicherung abdecken. Unsere AVV beinhaltet Listen von Unterauftragnehmern, Sicherheitszusagen und Prüfbestimmungen.
Rechtsgrundlage und Einwilligung
Jede Verarbeitungstätigkeit im Zusammenhang mit personenbezogenen Daten bedarf einer Rechtsgrundlage gemäß Artikel 6. Für Videokonferenzen sind dies üblicherweise folgende Rechtsgrundlagen:
- Vertrag (Artikel 6(1)(b)) — Verarbeitung, die zur Erfüllung eines Vertrags erforderlich ist (z. B. Bereitstellung einer Videokonferenz im Rahmen eines Dienstleistungsvertrags)
- Berechtigtes Interesse (Artikel 6 Absatz 1 Buchstabe f) — Verarbeitung, die zur Wahrung eines berechtigten Interesses erforderlich ist, das nicht durch die Rechte der betroffenen Person eingeschränkt wird (z. B. interne Geschäftstreffen).
- Einwilligung (Artikel 6(1)(a)) — Freiwillig, spezifisch, informiert und unmissverständlich erteilte Einwilligung (oft erforderlich für die Aufzeichnung und KI-Verarbeitung)
Für die Aufzeichnung und Transkription ist die Einwilligung die gängigste Grundlage, da diese Tätigkeiten über das für die eigentliche Sitzung Notwendige hinausgehen. Die Einwilligung muss vor Beginn der Aufzeichnung eingeholt werden, und die Teilnehmenden müssen die Möglichkeit haben, ihre Einwilligung ohne Nachteile zu widerrufen.
Rechte der betroffenen Person
Die DSGVO gewährt Einzelpersonen umfassende Rechte in Bezug auf ihre personenbezogenen Daten. Ihre Organisation und Ihre Videoplattform müssen diese Rechte unterstützen.
| Rechts | Artikel der DSGVO | Videokonferenz-Anwendung | Antwortfrist |
|---|---|---|---|
| Zugangsrecht | Artikel 15 | Bitte stellen Sie Kopien der Aufzeichnungen, Transkripte und Metadaten zur Verfügung, die die betroffene Person betreffen. | 1 Monat (verlängerbar um 2 Monate) |
| Recht auf Berichtigung | Artikel 16 | Korrigieren Sie unrichtige personenbezogene Daten in Besprechungsprotokollen oder Teilnehmerprofilen. | 1 Monat |
| Recht auf Löschung („Recht auf Vergessenwerden“) | Artikel 17 | Aufnahmen, Transkripte und Metadaten werden auf berechtigten Antrag hin gelöscht. | 1 Monat |
| Recht auf Beschränkung | Artikel 18 | Die Verarbeitung ist einzuschränken, solange die Richtigkeit oder Rechtmäßigkeit angezweifelt wird. | 1 Monat |
| Recht auf Datenübertragbarkeit | Artikel 20 | Exportieren Sie Besprechungsdaten in einem strukturierten, maschinenlesbaren Format. | 1 Monat |
| Widerspruchsrecht | Artikel 21 | Widerspruch gegen die Verarbeitung aufgrund berechtigter Interessen; die Verarbeitung muss eingestellt werden, es sei denn, es liegen zwingende Gründe vor | Ohne ungebührliche Verzögerung |
| Rechte im Zusammenhang mit automatisierten Entscheidungen | Artikel 22 | Wenn KI-Funktionen automatisierte Entscheidungen mit rechtlichen oder erheblichen Auswirkungen treffen, sollte eine Option zur menschlichen Überprüfung bereitgestellt werden. | 1 Monat |
DigitalMeet unterstützt den Datenexport, die Datenlöschung (einschließlich Workflows im Rahmen des Rechts auf Vergessenwerden) und die Erstellung von Prüfprotokollen, die die Einhaltung der Anfragen betroffener Personen dokumentieren.
Grenzüberschreitende Datentransfers
Transfermechanismen gemäß den Artikeln 44–49
Die Übermittlung personenbezogener Daten außerhalb des EWR ist gemäß Artikel 44–49 der DSGVO eingeschränkt. Zulässige Übermittlungsmechanismen sind unter anderem:
| Transfermechanismus | Artikel der DSGVO | Beschreibung | Überlegungen |
|---|---|---|---|
| Angemessenheitsentscheidung | Artikel 45 | Die Europäische Kommission stellt fest, dass das Empfängerland einen angemessenen Schutz gewährleistet. | Derzeit sind darunter Großbritannien, Japan, Südkorea und weitere Länder; der EU-US-Datenschutzrahmen gilt für zertifizierte US-Organisationen. |
| Standardvertragsklauseln (SCCs) | Artikel 46(2)(c) | Vorab genehmigte Vertragsbedingungen zwischen Datenexporteur und -importeur | Es muss eine Transferfolgenabschätzung (TIA) durchgeführt werden; gegebenenfalls sind technische Maßnahmen hinzuzufügen. |
| Verbindliche Unternehmensregeln (BCRs) | Artikel 47 | Von den Aufsichtsbehörden genehmigte Richtlinien für den konzerninternen Datentransfer | Komplex und zeitaufwändig einzurichten; geeignet für große multinationale Unternehmen |
| Ausnahmen (Einwilligung, Vertragserfordernis) | Artikel 49 | Begrenzte Ausnahmen für bestimmte Situationen | Nicht geeignet für systematische, großflächige Überführungen |
Die konfigurierbare Datenresidenz von DigitalMeet ermöglicht es Ihnen, EWR-Daten vollständig innerhalb des EWR zu speichern und so grenzüberschreitende Übermittlungsmechanismen zu vermeiden. Wo Übermittlungen erforderlich sind, unterstützt DigitalMeet Standardvertragsklauseln (SCCs) und beteiligt sich an entsprechenden Rahmenwerken. Informationen zur Architektur der Datenresidenz finden Sie unter Datenresidenz und Compliance .
Checkliste für Compliance-Beauftragte
- ☐ Datenverarbeitungsvereinbarung mit dem Videoanbieter abgeschlossen (Artikel 28)
- ☐ Rechtsgrundlage für jede Verarbeitungstätigkeit ermittelt und dokumentiert (Artikel 6)
- ☐ Datenschutzhinweis aktualisiert und um die Verarbeitung von Videokonferenzdaten ergänzt (Artikel 13/14)
- ☐ Einwilligungsmechanismus für Aufzeichnung und Transkription implementiert (Artikel 6(1)(a))
- ☐ Verfahren zur Festlegung und Erprobung der Rechte betroffener Personen (Artikel 15–22)
- ☐ Datenresidenz so konfiguriert, dass EWR-Daten im EWR verbleiben (Artikel 44–49)
- ☐ Bewertung der Auswirkungen von Transfers auf Nicht-EWR-Länder wurde abgeschlossen
- ☐ Sicherheitsmaßnahmen geprüft: Verschlüsselung, Zugriffskontrollen, Audit-Protokollierung (Artikel 32)
- ☐ Verfahren zur Meldung von Datenschutzverletzungen gemäß der 72-Stunden-Frist (Artikel 33/34)
- ☐ Bei Verarbeitungen mit hohem Risiko wird eine Datenschutz-Folgenabschätzung durchgeführt (Artikel 35)
- ☐ Liste der Unterauftragnehmer geprüft und Überwachungsprozess eingerichtet
- ☐ Aufbewahrungsrichtlinien konfiguriert und automatische Löschung getestet
Häufig gestellte Fragen
Entspricht DigitalMeet der DSGVO?
Ja. DigitalMeet bietet DSGVO-konforme Datenverarbeitungsvereinbarungen, unterstützt alle Rechte der betroffenen Personen, bietet konfigurierbare Datenresidenz und implementiert die in Artikel 32 geforderten Sicherheitsmaßnahmen.
Können wir EU-Daten ausschließlich in der EU speichern?
Ja. Die mandantenspezifischen Datenresidenzkontrollen von DigitalMeet ermöglichen es Ihnen, alle Meetingdaten – Aufzeichnungen, Metadaten, Transkripte – auf EU-Rechenzentren zu beschränken.
Wie gehen wir mit Löschanträgen gemäß Artikel 17 um?
DigitalMeet unterstützt Löschprozesse für Aufzeichnungen, Transkripte und Teilnehmerdaten. Prüfprotokolle dokumentieren die Löschung zur Überprüfung der Einhaltung von Vorschriften.
Welche Rechtsgrundlage sollten wir für die Aufzeichnung von Sitzungen verwenden?
Die Einwilligung (Artikel 6 Absatz 1 Buchstabe a) ist die häufigste Grundlage für Aufzeichnungen. Es ist sicherzustellen, dass die Einwilligung vor Beginn der Aufzeichnung eingeholt wird und dass die Teilnehmenden ihre Einwilligung jederzeit widerrufen können.
Nutzt DigitalMeet Unterprozessoren?
Ja. Unsere Auftragsverarbeitungsvereinbarung enthält eine aktuelle Liste der Unterauftragsverarbeiter mit Benachrichtigungsvorschriften für Änderungen, wie in Artikel 28 Absatz 2 vorgeschrieben.
Benötigen wir eine Datenschutz-Folgenabschätzung (DSFA)?
Wenn Ihre Videokonferenzen risikoreiche Verarbeitungsprozesse beinhalten – wie z. B. groß angelegte Aufzeichnungen, KI-Analysen der Kommunikation oder die Verarbeitung von Daten besonderer Kategorien – ist wahrscheinlich eine Datenschutz-Folgenabschätzung gemäß Artikel 35 erforderlich.
Wie handhabt DigitalMeet die Meldung von Datenschutzverletzungen?
Unsere Datenschutzbeauftragte verpflichtet sich, Sie unverzüglich zu benachrichtigen, sobald eine Verletzung des Schutzes personenbezogener Daten festgestellt wird, damit Sie die in Artikel 33 festgelegte 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde einhalten können.
Und wie sieht es mit der ePrivacy-Richtlinie aus?
Die ePrivacy-Richtlinie (2002/58/EG) regelt die Vertraulichkeit elektronischer Kommunikation. Die Aufzeichnung von Gesprächen kann neben der DSGVO auch Verpflichtungen gemäß der ePrivacy-Richtlinie auslösen. Bitte informieren Sie sich über die Umsetzung in Ihrem Mitgliedstaat hinsichtlich spezifischer Anforderungen. Die jeweiligen Regelungen finden Sie unter „Gesetze zur Gesprächsaufzeichnung nach Ländern“ .