Wie Unternehmen bei Videokonferenzen den Datenschutz sicherstellen

Hybride Meetings gehören für viele Unternehmen und ihre Angestellten längst zum Alltag. Kein Wunder, denn immer mehr Menschen sind hybrid tätig – also mal im Büro in der Firma, mal daheim im Homeoffice und mal unterwegs auf einer Dienstreise. 65 Prozent der Beschäftigten arbeiten hybrid, im Vergleich zu 51 Prozent im Jahr 2023, so die Studie von Owl Labs „State of Hybrid Work“.

Hybrides Arbeiten ermöglicht eine höhere Flexibilität, auch bei der Zusammenarbeit. Diese erfolgt mithilfe digitaler Werkzeuge, beispielsweise zur Kommutation. Bei virtuellen Meetings können sich Mitarbeiter im Büro der Firma und im Homeoffice unkompliziert austauschen und besprechen.

Doch die für hybriden Meetings genutzte Software verarbeitet immer Daten – darunter auch sensible Informationen. Die Gewährleistung des Datenschutzes ist darum unbedingt notwendig. Bei der Speicherung und Verarbeitung der Daten gelten die strengen Vorgaben der Datenschutz-Grundverordnung der EU (DSGVO). Unternehmen sind dafür verantwortlich, dass diese eingehalten wird – nicht der Anbieter.

Datenschutz: Pflichten des Software-Anbieters und des Unternehmens

Für virtuelle Meetings nutzen die meisten Unternehmen Software wie Zoom oder Microsoft Teams. Das bedeutet, dass Daten auf den Servern dieser externen Anbieter verarbeitet werden. Dazu gehören unter anderem Bild- und Tonsignale, Chat-Nachrichten und geteilte Bildschirminhalte. Darüber hinaus entstehen weitere Daten wie die IP-Adresse, verwendete Geräte und Start- und Endzeitpunkt des Meetings.

Die Software verarbeitet all diese Daten im Auftrag eines Unternehmens. Sie muss gewährleisten, dass diese sicher verarbeitet werden, etwa mit einer Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass nur die am virtuellen Meeting teilnehmenden Personen Informationen im Klartext sehen und hören können, nicht der Anbieter.

Jedes Unternehmen muss einen Auftrag zur Datenverarbeitung mit dem entsprechenden Dienst abschließen. In dem sogenannten Auftragsverarbeitungsvertrag (AVV) wird die Datenverarbeitung geregelt. Festgelegt werden beispielsweise Art und Zweck sowie Gegenstand und Dauer der Datenverarbeitung. Außerdem muss darin stehen, was mit den Daten passiert, wenn der Vertrag endet.

Achten Sie bei der Auswahl eines Anbieters ebenso darauf, wo dessen Server stehen. Befinden diese sich innerhalb der EU, muss der Dienst die Auflagen der DSGVO erfüllen. Wenn nicht, kann es passieren, dass ausländische Behörden unter bestimmten Bedingungen auf die sensiblen Informationen zugreifen können. Der umstrittene „Cloud Act“ verpflichtet US-Anbieter, den eigenen Behörden Zugriff auf gespeicherte Daten zu erlauben.

Microsoft Teams, Zoom und andere Dienste bieten an, die Daten europäischer Kunden in EU-Rechenzentren zu verarbeiten.

Interne Regelungen für hybride Meetings

Darüber hinaus sollte jede Firma klare interne Regelungen für virtuelle Meetings treffen, um sowohl rechtssicher als auch transparent zu handeln. Das sollte in den Richtlinien festgelegt werden:

• Zweck und Anlass: Wann dürfen hybride Meetings abgehalten werden – zum Beispiel intern oder auch für Kundengespräche und Schulungen?
• Verwendete Programme: Welche Software darf eingesetzt werden?
• Verhaltensregeln: Muss die Kamera aktiviert bleiben oder soll sie aus sein? Wer darf den Bildschirm teilen? Hier sollte auch festgehalten werden, dass Meetings nur mit Einwilligung aufgezeichnet werden dürfen.
• Löschfristen: Wie lange werden Video- und Tonaufzeichnungen sowie Chat-Protokolle oder Teilnehmerlisten gespeichert? Wer darf darauf zugreifen? Nach welchen Fristen werden sie automatisch gelöscht?
• Interne Richtlinien formulieren: Welche Meetings dürfen wie aufgezeichnet werden, wo werden Daten gespeichert und wer kann sie einsehen?

Damit die sichere Datenverarbeitung in hybriden Meetings gewährleistet ist, sollten Sie folgende technischen Maßnahmen ergreifen:

• Aktivieren Sie in jedem Fall die Ende-zu-Ende-Verschlüsselung in der Videokonferenz-Software.
• Halten Sie Meetings passwort-geschützt ab und nutzen Sie die Warteraum-Funktion, damit keine Unbefugten teilnehmen können.
• Aktualisieren Sie die Software regelmäßig und halten Sie sie auf dem neuesten Stand.

KI-Tools in hybriden Meetings: Das müssen Sie zusätzlich beachten

Falls Ihr Unternehmen in hybriden Meetings Software einsetzt, die mit künstlicher Intelligenz arbeitet, kommen möglicherweise Stolpersteine hinzu. Manche Videokonferenz-Programme können beispielsweise automatische Transkripte erstellen, Untertitel einblenden oder Inhalte automatisch übersetzen.

Doch all diese Texte enthalten vertrauliche Informationen und personenbezogene Daten, etwa Namen, Standortdaten, Gesprächsinhalte sowie Informationen zu Personalentscheidungen oder Strategien.

Auf diese Punkte müssen Sie beim KI-Einsatz zusätzlich achten:

• Information und Einwilligung: Alle Teilnehmer müssen vorab über den Einsatz von KI-Tools informiert werden. Sie müssen ausdrücklich einwilligen, dass KI-Lösungen genutzt werden.
• Speicherung und Verarbeitung: Manche KI-Tools speichern Transkripte in der Cloud. Dann sollten sie unbedingt verschlüsselt sein. Bei Anbietern außerhalb der EU ist aber auch hierbei oft unklar, wer Zugriff hat (siehe oben).

Fazit: Stellen Sie den Datenschutz in hybriden Meetings sichern

Videokonferenzen erleichtern die Zusammenarbeit hybrider Teams deutlich. Unternehmen müssen aber unbedingt sicherstellen, dass sie dabei grundlegende Datenschutzregeln beachten und Richtlinien formulieren. Wenn bei den Meetings Software mit KI-Tools zum Einsatz kommt, gelten zusätzliche Regelungen.