Die DS-GVO mit dem externen Datenschutzbeauftragten und Unternehmensrichtlinien umsetzen
Die Energiepreise steigen, Geschäftsreisen werden immer seltener, Unternehmen sparen CO2 und auch Corona ist weiterhin an vielen Orten ein Thema – alles in allem verändert sich die Arbeitswelt immer weiter. Aus ökologischen, ökonomischen oder eben auch aus anderen Gründen: immer öfter finden Konferenzen online statt.
Bei online Konferenzen werden auf unterschiedliche Weise auch personenbezogene Daten verarbeitet. Daher muss der Datenschutz, der in der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) festgelegt sind, auch dabei umgesetzt werden. Hier gilt es unterschiedliche Aspekte zu beachten.
Welche Daten werden bei Online-Konferenzen verarbeitet?
Um die Nutzung von Online-Konferenzen datenschutzkonform zu gestalten, sollten Verantwortliche zuerst einmal untersuchen, welche personenbezogene Daten verarbeitet werden. Dazu sollte jedem Verantwortlichen klar sein, was personenbezogene Daten sind.
Personenbezogene Daten im Datenschutz sind alle Daten, die es möglich machen eine natürliche Person zu identifizieren oder Rückschlüsse auf diese zulassen. Dazu gehören unterschiedliche Daten zum Beispiel Namen, Adressen, Telefonnummern (auch geschäftlich), E-Mail-Adressen, aber auch IP-Adressen, Kürzel usw.
Um festzustellen, ob personenbezogene Daten vorliegen, muss daher immer gefragt werden: Kann theoretisch ein Bezug zur Person aufgrund der gemachten Angaben hergestellt werden? Personenbezogene Daten sind auch Bilder und andere Aufzeichnungen. Personenbezogene Daten besonderer Kategorien sind zum Beispiel Gesundheitsdaten. Hier müssen besondere Grundlagen bei der Verarbeitung beachtet werden.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Wo werden personenbezogene Daten bei Online-Konferenzen verarbeitet?
Als nächstes ist es wichtig für den Datenschutz, dass geprüft wird, in welchem Prozess personenbezogene Daten verarbeitet werden. Daher sollte gemeinsam mit den Datenschutzbeauftragten genau analysiert werden, an welcher Stelle der Prozesse, möglicherweise personenbezogene Daten verarbeitet werden.
Dabei sollte auch geprüft werden, wie mögliche Anbieter von Datenräumen und Videokonferenz-Tools, personenbezogene Daten verarbeiten.
Richtlinien für Online-Konferenzen festlegen
Um die Vorgaben im Datenschutz umzusetzen, sollten (externer) Datenschutzbeauftragter und Verantwortlicher, Richtlinien für den Umgang mit personenbezogenen Daten festlegen. Dazu gehören auch Richtlinien für Online-Konferenzen.
Diese sollen den Umgang mit personenbezogenen Daten sicher machen und auch Datenpannen vorbeugen, aber auch für die Umsetzung der Datenschutzvorgaben beitragen.
Verantwortlichkeit, Zweck und Ziele der Richtlinie
Die Richtlinien sollten in den ersten Schritten den Gültigkeitsbereich definieren. Das bedeutet, es sollte unter Umständen je eine Richtlinie zur Einhaltung des Datenschutzes bei Online-Konferenzen geben. Diese können in die jeweilige Unternehmensrichtlinie eingebunden sein, oder diese ergänzen, sollten aber immer deutlich erkennbar sein.
In diesem Zusammenhang sollte auch die Verantwortlichkeit für diese Richtlinie festgelegt werden. Für die Umsetzung des Datenschutzes ist immer der Verantwortliche der Organisation zuständig. Der (externe) Datenschutzbeauftragte kann dabei auf die Einhaltung des Datenschutzes hinweisen und bei der Weiterentwicklung behilflich sein. In der Richtlinie sollten auch die Zwecke und Ziele der Umsetzung definiert werden.
Datenkategorien und Inhalte
Ebenso sollte die Richtlinie die Datenkategorien und die Inhalte enthalten, die geschützt werden müssen. Dies können zum Beispiel sein: gesprochenes Wort, Unterlagen die geteilt oder präsentiert werden, Bild- oder Videodaten, Kunden-, Lieferanten- und Geschäftspartnerdaten, Persönlichkeitsrechte der Teilnehmenden usw.
Außerdem werden in den Richtlinien auch die Systeme identifiziert, die bei der Online-Konferenz verwendet werden. Dabei muss auch beachtet werden, welche Systeme am Rande der Konferenz auf Daten zurückgreifen können.
Räumlichkeiten spielen im Datenschutz auch eine Rolle
Nicht zu vernachlässigen ist, wo die Online-Konferenzen stattfinden. Nicht jeder Teilnehmer kann in einem geschützten Raum eines Unternehmens sein Notebook aufstellen. Er muss also dafür Sorge tragen, dass der genutzte Raum den Ansprüchen des Datenschutzes entspricht. Dazu gehört, dass kein Unbefugter Details aus der Besprechung hören, lesen oder sehen kann und keinen Zugriff auf mögliche Aufzeichnungen erhält.
Smartspeaker und unter Umständen auch Telefone sollten entsprechend eingerichtet sein, dass keine Aufzeichnung oder Verarbeitung der Daten erfolgen kann. Im Zweifel sollten sie sich nicht im gleichen Raum befinden.
Die Übermittlung über sichere Verbindungen (z.B. VPN) und der Schutz durch entsprechenden Virenschutz und Firewalls, sollten gängiger Standard bei Online-Konferenzen sein.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – UNTERWEGS SICHER ARBEITEN
Standards und Sicherheitsvorgaben für Datenschutz und Datenverarbeitung festlegen
Um den Datenschutz in Form der DS-GVO umzusetzen, sollten entsprechende Standards und Sicherheitsvorgaben festgelegt werden. Diese hält man dann in entsprechenden Sicherheitsrichtlinien zu Online-Konferenzen fest. Sie sollten für alle betroffenen Mitarbeiter zugänglich sein, im besten Fall lässt man diese auch die Sicherheitsrichtlinien unterzeichnen.
Gegebenenfalls macht es auch Sinn, mögliche Sanktionen bei Nichteinhaltung festzulegen.
Anbieter prüfen
Online-Konferenzen finden in der Regel über Programme bzw. Apps statt, welche von unterschiedlichen Anbietern erstellt werden. Es ist dabei wichtig, den Anbieter und seine Richtlinien im Datenschutz zu prüfen. Außerdem muss in der Regel ein sogenannter AV-Vertrag (AV= Auftragsverarbeitung) abgeschlossen werden, da der Anbieter meist personenbezogene Daten im Rahmen der Online-Konferenz verarbeitet.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Achten Sie dabei auch darauf, wo mögliche Datenverarbeitung außerhalb des Unternehmens stattfindet. Gerade bei Anbietern aus Drittländern kann die Verarbeitung von personenbezogenen Daten Probleme mit sich bringen.
Externer Datenschutzbeauftragter für NRW
Um all diese komplexen Vorgaben im Datenschutz bei der sich wandelnden Arbeitswelt umzusetzen, muss gerade bei kleinen und mittelständigen Unternehmen ein Fachmann, wie der externe Datenschutzbeauftragte hinzugezogen werden.
In manchen Organisationen ist der Datenschutzbeauftragte Pflicht, was durch die DS-GVO festgelegt wird. Zu den Aufgaben des Datenschutzbeauftragten gehört, dass er den Verantwortlichen auf die Einhaltung des Datenschutzes hinweist und daraufhin unterstützt.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.