DSGVO-Konformität
Dank Open-Source-Lösung
Videokonferenzen sind im Unternehmens-Alltag nicht mehr wegzudenken und unverzichtbar geworden.
Die derzeit meistgenutzten softwarebasierten Videokonferenz-Systeme stammen von Unternehmen mit Sitz in den USA: Microsoft Teams, Google Hangout, Zoom, GoToMeeting, Cisco Webex Meeting und Skype.
Bei der Nutzung eines softwarebasierten Videokonferenz-Systems fallen personenbezogene Daten von allen Beteiligten - Moderatoren und Teilnehmern - an, welche vom Software-Anbieter gespeichert und teilweise auch verwertet werden. Diese umfassen bspw. die IP-Adresse, den Nutzernamen, die E-Mail-Adresse, Chat-Protokolle und sogar den eigentlichen Video-Stream.
Die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten regelt seit dem 25.05.2018 die Datenschutz-Grundverordnung (DSGVO).
Die DSGVO ist für europäische Unternehmen bindend und hat Auswirkung auf von europäischen Unternehmen genutzte Software, welche aus den USA oder anderen Territorien außerhalb der Europäischen Union stammt.
Das EU-US Privacy Shield regelte bisher den Schutz personenbezogener Daten, die aus einem EU-Mitgliedsstaat in die USA übertragen werden.
Dieses „Privacy Shield“ war die rechtliche Grundlage für alle US-Unternehmen, die Software innerhalb der EU angeboten haben und personenbezogene Daten erheben, speichern und/oder verarbeiten.
Der Europäische Gerichtshof (EuGH) hat mit seinem Beschluss 2016/1250 die Wirksamkeit des Privacy Shields aufgehoben.
Die Tragweite dieses Beschlusses betrifft auch die Nutzung von Videokonferenz-Anbietern mit Sitz in den USA:
Auch, wenn einige der Anbieter über Tochtergesellschaften innerhalb der EU verfügen, unterliegen auch diese dem US-Recht und sind auf Anforderung der Behörden verpflichtet, auch personenbezogene Daten ihrer Kunden und Nutzer herauszugeben. Somit ist die Verwendung von Videokonferenz-Software unzulässig und muss unverzüglich eingestellt werden.
Die Luxemburger Richter betonten ausdrücklich, dass die Aufsichtsbehörden verpflichtet seien, nach den neu aufgestellten Maßstäben "unzulässige Datenexporte zu verbieten".
Der im Falle der Zuwiderhandlung zu leistende Ausgleich dürfte dabei "insbesondere den immateriellen Schaden ('Schmerzensgeld') umfassen und muss nach europäischem Recht eine abschreckende Höhe aufweisen".
Die Datenschutzbeauftragten der Länder fordern bereits ernsthafte und rasche Konsequenzen von den deutschen Unternehmen.
Wie können Sie dieses Dilemma für Ihr Unternehmen lösen?
Eine von den Datenschutzbeauftragten der Länder Berlin und Baden-Württemberg empfohlene Konsequenz ist beispielsweise, Videokonferenz-Systeme auf Basis von verfügbaren Open-Source-Quellen selbst zu installieren und gemäß DSGVO-Anforderungen selbst zu betreiben, mit einem Serverstandort innerhalb der EU von einem EU-ansässigen Anbieter oder im eigenen Rechenzentrum.
Das vicos2 Videokonferenz-System ist für Sie eine rechtskonforme Lösung.