Zunehmend erreichen den BfD EKD Anfragen zum Einsatz von Videokonferenzsystemen in Kirche und Diakonie. Nachfolgend wird erörtert, was bei der Auswahl einer Lösung für Videokonferenzen beachtet werden sollte, damit ein datenschutzkonformer Einsatz möglich ist.

Bei der Auswahl einer Videokonferenz-Software stellt sich zunächst die Frage nach dem Betriebsmodell, ob eine On-Premises-Variante (auf eigenen Servern gehostete Software) in Frage kommt oder aus unterschiedlichen Gründen (z.B. fehlendes Know-how oder fehlende Kapazität der IT) eine Software eines Dienstleisters eingesetzt werden soll. Wählt man die zweite Variante, muss zwischen dem Dienstleister und der verantwortlichen Stelle ein Auftragsverarbeitungsvertrag nach § 30 EKD-Datenschutzgesetz (DSG-EKD) abgeschlossen werden. Bei der Wahl des Betriebsmodells und der eingesetzten Software sollte folgende Reihenfolge eingehalten werden:

  1. Selbst entwickelte Software oder Open Source Software (in beiden Fällen entweder auf eigenen Servern betrieben oder Hosting/Housing bei deutschen oder europäischen Anbietern)
  2. Deutscher oder europäischer Anbieter von Videokonferenz-Diensten (in beiden Fällen entweder auf eigenen Servern betrieben oder Hosting/Housing bei deutschen oder europäischen Anbietern)
  3. Deutscher oder europäischer Anbieter von Videokonferenz-Diensten, der zum Betrieb der Software zur Online-Kommunikation Serverdienstleistungen von Anbietern aus Drittländern einsetzt
  4. Anbieter aus Drittländern, besondere Voraussetzungen nach § 10 DSG-EKD

Je nach Betriebsmodell muss die verantwortliche Stelle oder der Dienstleister für die Verarbeitung geeignete technische und organisatorische Maßnahmen umsetzen. Grundsätzlich ist der Betrieb auf eigenen Servern bzw. auf Servern in Europa anzustreben. Soweit eine Datenübermittlung in Drittländer stattfindet, müssen die Vorgaben nach § 10 DSG-EKD eingehalten werden.

Weiter ist zu beachten, dass nach § 34 DSG-EKD vor dem Einsatz von neuen Technologien eine Risikobewertung durchgeführt werden muss, um zu beurteilen, ob eine Datenschutz-Folgenabschätzung notwendig ist. Aus unserer Sicht handelt es sich bei Videokonferenzsystemen um eine solche neue Technologie, wodurch eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Bis vor einiger Zeit gab es keine großen kirchlichen und diakonischen Einrichtungen, die Videokonferenzsysteme eingesetzt haben. Bei der Risikobeurteilung ist entscheidend, in welchem Bereich die Lösung eingesetzt werden soll. So kann z.B. ein hohes Risiko für die Rechte natürlicher Personen bestehen, wenn Mitarbeitende einer Personalabteilung ein Videokonferenzsystem für die regelmäßige Absprache laufender Arbeitsvorgänge nutzen oder aber Beratungsgespräche per Videokonferenz erfolgen sollen.

Aus unserer Sicht dürfte häufig der Einsatz eines Videokonferenzsystems nicht erforderlich sein und könnte durch eine Telefonkonferenz ersetzt werden. Wenn sich die verantwortliche Stelle dennoch dazu entscheidet, eine Videokonferenzlösung einzusetzen, sollte vor dem Einsatz einer bestimmten Lösung geprüft werden, ob nicht datenschutzfreundlichere Lösungen existieren, die die an ein Videokonferenzsystem gestellten Anforderungen ebenso erfüllt. Diese sind zu bevorzugen.

Abschließend weisen wir daraufhin, dass vor dem Einsatz eines Videokonferenzsystems die Mitarbeitervertretung zu beteiligen ist, da beim Betrieb von Videokonferenzsystemen viele Daten anfallen, die zur Leistungskontrolle herangezogen werden können. Hier müssen rechtzeitig Regelungen getroffen werden.

Edit 07.07.2020: Liste der Betriebsmodi sprachlich angepasst und präzisiert