Kapitel in der Orientierungshilfe | Anforderung erfüllt? [ja/nein/nicht zutreffend] | Referenz |
---|
3 Rechtliche Anforderungen- Rollen und Verantwortlichkeiten der Beteiligten sind klar verteilt und eindeutig festgelegt (Art. 4 Nr. 7 DS-GVO i.V.m. Art. 28 Abs. 3 und/oder Art. 26 DS-GVO).
| - ja
| - Verantwortlicher ist der DARC e.V.
Ausführend ist das AJW Referat
|
3.1 Selbst betriebener Dienst- Der Betreiber des Videokonferenzsystems ist sich seiner Verantwortlichkeit im Sinne der DS-GVO bewusst, da er oder sie im Rahmen des Einsatzes dieses Systems über die Zwecke und Mittel der Verarbeitung bestimmt.
- Es bestehen jeweils die erforderlichen Rechtsgrundlagen für die unterschiedlichen Verarbeitungen personenbezogener Daten durch den selbst betriebenen Dienst.
- Der Verantwortliche setzt für Betrieb und Wartung ausreichende technische und personelle Kapazitäten ein.
- Der Verantwortliche ergreift geeignete technische und organisatorische Maßnahmen zum Schutz der Daten.
| - ja
- ja
- ja
- ja
| Der Dienst ist selbst betrieben |
3.2 Betrieb durch einen externen IT-Dienstleister- Der Verantwortliche (im Folgenden auch: der Veranstalter) hat einen wirksamen Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO mit dem IT-Dienstleister abgeschlossen.
- Der Auftragsverarbeiter (im Folgenden auch: der Anbieter) bietet hinreichende Garantien zu den erforderlichen technischen und organisatorischen Maßnahmen (Art. 28 Abs. 1 DS-GVO).
- Die eingesetzte oder Teilnehmenden angebotene Software wurde auf Datenabflüsse überprüft. Dies schließt Diagnose- und Telemetriedaten oder sonstige Datenabflüsse z.B. an Hersteller ein.
- Entsprechende Datenabflüsse wurden unterbunden, soweit nicht eine Rechtsgrundlage hierfür besteht.
| nicht zutreffend |
|
3.3 Online-Dienst- Im Falle einer Verarbeitung zu eigenen Zwecken durch den Anbieter verfügt der Veranstalter für jede Offenlegung personenbezogener Daten an den Anbieter über eine Rechtsgrundlage.
- Der Anbieter verfügt für jede Verarbeitung personenbezogener Daten in eigener Verantwortlichkeit über eine Rechtsgrundlage.
- Die Notwendigkeit einer Vereinbarung zur gemeinsamen Verantwortlichkeit von Anbieter und Verantwortlichem nach Art. 26 Abs. 1 DS-GVO wurde geprüft.
- Der Verantwortliche hat die vom Auftragsverarbeiter vorgelegten Auftragsverarbeitungsverträge, Nutzungsbedingungen und Sicherheitsnachweise sowie dessen Datenschutzerklärung geprüft.
- Der Verantwortliche hat bei der Auswahlentscheidung für einen Anbieter darauf geachtet, dass dieser geeignete technische und organisatorische Maßnahmen ergreift, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und der Anbieter hierfür hinreichende Garantien bietet.
- Die Konfigurationsoptionen des eingesetzten Dienstes wurden hinsichtlich da-tenschutzrechtlicher Aspekte geprüft und bei Bedarf angepasst.
- Gegenüber den betroffenen Personen wird transparent gemacht, wer in welcher Rolle personenbezogene Daten verarbeitet.
- Die Kontaktdaten des Verantwortlichen und – falls im jeweiligen Nutzungsszenario anwendbar – des Anbieters sind klar für den Nutzer auffindbar.
| nicht zutreffend |
|
3.4 Rechtsgrundlage und Zweckbindung- Für die Veranstaltung einer Videokonferenz liegt eine Rechtsgrundlage des Veranstalters und, soweit er Daten nicht alleine im Rahmen der Auftragsverarbeitung empfängt, des Anbieters gemäß Art. 6 DS-GVO vor.
| - ja
| DSGVO Art. 6 Abs 1 lit a mit Mitgliedschaft und Nutzung von Diensten |
3.4.1 Zur Struktur der Rechtsgrundlagen- Eine einschlägige Befugnisnorm nach Art. 6 Abs. 1 lit a, b, e, f DS-GVO, gegebenenfalls auch in Verbindung mit dem nationalen Recht, ist vorhanden.
| - ja
| Einwilligung |
3.4.2 Einwilligung- Sollte die Verarbeitung personenbezogener Daten in einer Videokonferenz auf Basis von Einwilligungen legitimiert werden, so sind diese in informierter Weise und freiwillig abgegeben worden (Art. 4 Nr. 11 DS-GVO und Art. 6 Abs. 1 lit. a i.V.m. Art. 7 DS-GVO).
- Ausreichende Datenschutzinformationen wurden erteilt, damit die Einwilligung informiert abgegeben werden kann.
- Es besteht eine echte Wahlmöglichkeit hinsichtlich der Teilnahme an der Videokonferenz.
| - ja
- nein
- ja
| - Login bzw. Betreten des Raums
- unklar, ob Verlinkung im Footer ausreichend
- nur per Audio teilnehmen
|
3.4.3 Arbeitgeber als Verantwortliche- Die Erforderlichkeit der Übertragung auch von Bilddaten wurde überprüft, insbesondere, wenn die Rechtsgrundlage für die Datenverarbeitung auf § 26 Abs. 1 Satz 1 BDSG oder entsprechenden landesrechtlichen Vorschriften im öffentlichen Bereich beruht.
| - nicht zutreffend, solange nicht für Geschäftsstelle eingesetzt wird
|
|
3.4.4 Verarbeitung besonderer Kategorien personenbezogener Daten- Sofern bei der Videokonferenz besondere Kategorien personenbezogener Daten thematisiert werden, ist diese Datenverarbeitung auch nach Art. 9 Abs. 2 DS-GVO, ggf. in Verbindung mit einem nationalen Gesetz, zulässig.
- Soweit bei der Videokonferenz besondere Kategorien personenbezogener Daten verarbeitet werden, kann nach Art. 9 Abs. 2 lit. a DS-GVO eine ausdrückliche gesonderte Einwilligung erforderlich sein. Diese Einwilligung wurde ausdrücklich, informiert, freiwillig, vorherig, aktiv, für den konkreten Einzelfall und separat erklärt und ist jederzeit zumutbar widerruflich.
| - ja
- nein
| - bei Videobild nicht vermeidbar
- ist zu klären, wie dieses umgesetzt werden kann
|
3.4.5 Teilnahme aus Privatwohnungen- Soweit Beschäftigte aus ihrem Home-Office teilnehmen, hat der Arbeitgeber durch technische und organisatorische Maßnahmen sichergestellt, dass Einblicke in deren Privatsphäre durch Bild und Ton nicht möglich sind.
- Unter Sicherstellung der Freiwilligkeit ist eine gesonderte Einwilligung in diese Einblicke denkbar. Die Freiwilligkeit wird in diesem Falle zugesichert und die betroffenen Beschäftigten wurden vom Verantwortlichen über die diesbezüglichen Risiken informiert.
| - nicht zutreffend, solange nicht für Geschäftsstelle eingesetzt wird
- nein
| - sollte dennoch informiert werden
- wird dann mit 1. abgedeckt
|
3.4.6 Verarbeitungen durch Anbieter zu eigenen Zwecken- Sofern ein Anbieter personenbezogene Daten zu eigenen Zwecken verarbeitet hat dieser selbst – als Verantwortlicher im datenschutzrechtlichen Sinne (Art. 4 Nr. 7 DS-GVO) – eine Rechtsgrundlage.
- Gegenüber einem Auftragsverarbeiter wird im Auftragsverarbeitungsvertrag sichergestellt, dass dieser die personenbezogenen Daten der teilnehmenden Personen nur auf Weisung des Verantwortlichen und nicht für eigene Zwecke verarbeitet (Art. 28 Abs. 3 DS-GVO).
| - nicht zutreffend
- nicht zutreffend
| - es werden keine peronenbezogenen Daten zu eigenen Zwecken verarbeitet
- es gibt keinen AVA
|
3.4.7 Verarbeitung von Daten Dritter- Für die Verarbeitung personenbezogener Daten Dritter, die nicht an der Videokonferenz teilnehmen, werden die allgemeinen Rechtsgrundlagen herangezogen.
| - nicht zutreffend
| - es fallen keine Daten Dritter, die nicht an der Videokonferenz teilnehmen, an
|
3.4.8 Transparenz, Aufzeichnungen von Videokonferenzen- Art und Zweck der Verarbeitung personenbezogener Daten sind klar definiert.
- Die Verarbeitung ist auf den Zweck der Videokonferenz beschränkt.
- Die Rechtsgrundlage für Aufzeichnungen wurde erfolgreich geprüft.
- Wirksame Einwilligungen in die Aufzeichnung und die weitere Verarbeitung liegen vor.
- Aufzeichnungsmöglichkeiten werden bei der Erfüllung der Informationspflichten erwähnt.
- Bestehende Aufzeichnungsfunktionen wurden in der Voreinstellung deaktiviert.
- Die Nutzer werden darüber belehrt, dass das (gerade auch heimliche) Mitschneiden von Video- und/oder Audiodaten, das Speichern und das Verbreiten solcher Aufnahmen strafbar sein kann.
- Audio- und Videodaten werden nur solange und soweit verarbeitet, wie es für die Übermittlung der Nachrichten durch einen Dienstleister oder im Rahmen einer notwendigen Dokumentation erforderlich ist.
| - ja
- nein
- ja
- nein
- ja
- ja
- nein
- nein
| - im Dokument zur Datenverarbeitung
- Aufzeichnung, Veröffentlichung
- Vereinssatzung zu Aus- und Weiterbildung
- muss ergänzt werden, insbesondere Rücknahme
- beim Betreten des Raums
- derzeit komplett, ansonsten als Default bei einem Raum
- muss deutlicher hervorgehoben werden
- technisch nicht ganz möglich, aber es ist kein AVA dazwischen bzw. sie stehen als Vortrag bereit
|
3.5 Pflichten des Verantwortlichen |
|
|
- Den an der Konferenz teilnehmenden Personen werden klare und eindeutige Informationen über die mit der Nutzung des Dienstes verbundene Datenverarbeitung zur Verfügung gestellt (Art. 13 und 14 DS-GVO).
- Die Informationen werden so dargestellt, dass sie für einen durchschnittlichen Nutzer des Dienstes ohne übermäßigen Aufwand verständlich sind (Art. 12 und Art. 5 Abs. 1 lit. a DS-GVO).
- Werden die Daten auf Grund eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DS-GVO) verarbeitet, so werden diese Interessen konkret benannt und die wesentlichen Gesichtspunkte der Abwägung mit den Interessen und Grundrechten der Betroffenen dargestellt.
- Die teilnehmenden Personen werden über die Zwecke und die Rechtsgrundlagen der einzelnen Verarbeitungsvorgänge informiert (Art. 13, 14 DS-GVO).
- Die teilnehmenden Personen werden ggf. auf ihr Widerspruchsrecht hingewiesen (Art. 21 Abs. 4 DS-GVO).
- Der Veranstalter der Videokonferenz informiert die teilnehmenden Personen über Verarbeitungstätigkeiten des Anbieters des Dienstes, die dieser – soweit das überhaupt zulässig ist – zu eigenen Zwecken vornimmt.
- Der Veranstalter informiert die teilnehmenden Personen darüber, welche Möglichkeiten für sie bestehen, im Rahmen der Privatsphäre-Einstellungen des Dienstes selbst auf den Schutz ihrer personenbezogenen Daten hinzuwirken (z. B. Nutzung eines Synonyms, Einstellen eines künstlichen Hintergrunds).
- Die Betroffenenrechte aus Art. 15 bis 21 DS-GVO sind gewährleistet.
- Die Löschung der Inhalts- und Rahmendaten der beendeten Konferenz erfolgt auch unabhängig von einem Antrag der betroffenen Personen nach Art. 17 DS-GVO regelmäßig unverzüglich nach dem Abschluss der Videokonferenz.
|
|
|
3.5.2 Auftragsverarbeitungsvertrag- Wenn das Videokonferenzsystem durch den Anbieter betrieben wird oder dieser die Möglichkeit hat, auf personenbezogene Daten zuzugreifen, wurde mit ihm ein gültiger Auftragsverarbeitungsvertrag abgeschlossen (Art. 28 DS-GVO).
|
|
|
3.5.3 Verarbeitungsverzeichnis- Die Veranstaltung der Videokonferenz(en) wurde in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO aufgenommen.
|
|
|
3.5.4 Meldepflichten bei Datenpannen- Im Fall einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Videokonferenz werden die Pflichten aus Art. 33 und 34 DS-GVO eingehalten.
|
|
|
3.5.5 Datenschutz-Folgenabschätzung- Der Verantwortliche hat überprüft, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO durchzuführen ist und diese bei Bedarf durchgeführt.
|
|
|
3.5.6 Besonderheiten bei Übermittlungen an Drittländer- Werden Videokonferenzsysteme von Anbietern ausgewählt, die zu Datenübermittlungen in Drittländer führen, so hält die Übermittlung besondere Bedingungen (vgl. Kapitel V, Art. 44 ff. DS-GVO, siehe dazu auch Kurzpapier Nr. 4 der Datenschutzkonferenz sowie Veröffentlichungen des EDSA) ein.
|
|
|
4 Technische und organisatorische Anforderungen |
|
|
4.1 Sicherheit der ÜbertragungFür die Übertragung der Videokonferenzdaten werden mindestens Transportverschlüsselungen nach dem Stand der Technik, entsprechend den einschlägigen Technischen Richtlinien des BSI, genutzt. Sollte ein hohes Risiko bestehen, werden geeignete technische und organisatorische Maßnahmen zur Sicherstellung der Vertraulichkeit der Inhaltsdaten ergriffen (bspw. über Ende-zu-Ende-Verschlüsselung oder über TLS-Verbindungen mit zusätzlichen technischen und organisatorischen Maßnahmen). Die einzelnen Funktionalitäten des eingesetzten Videokonferenzsystems wurden separat betrachtet, insbesondere hinsichtlich der Risiken ihres Einsatzes für Rechte und Freiheiten der betroffenen Personen. Es wurden Funktionalitäten des Dienstes unterbunden, für die ein unbefugter Abfluss personenbezogener Daten zu befürchten ist. Über die Protokollierung der Inanspruchnahme von Funktionalitäten wird für die teilnehmenden Personen Transparenz gewahrt. Es wird sichergestellt, dass der Hersteller und andere Dritte keinen Zugriff auf die verarbeiteten Daten, wie bspw. Nutzungsdaten, erhalten. |
|
|
4.2 NutzerauthentifizierungEs wird sichergestellt, dass nur berechtigte Personen auf eine Videokonferenzsitzung und deren Daten zugreifen können. |
|
|
4.2.1 Normale RisikenDie Nutzer werden mittels Nutzername und Passwort authentisiert oder mittels eines stärkeren Verfahrens, beispielsweise Zwei-Faktor-Authentisierung. Die Authentisierung mittels Nutzername und geeignetem Passwort ist so ausgestaltet, dass Passwörter weder übertragen noch bei dem Dienstleister gespeichert werden. Dem Stand der Technik entsprechende Authentifizierungsverfahren verhindern, dass aus dem Passwort abgeleitete Daten, die im Zuge eines Authentifizierungsvorgangs übertragen wurden, für einen zweiten Authentifizierungsvorgang verwendet werden können. |
|
|
4.2.2 Hohe RisikenBei hohem Risiko wird eine Zwei-Faktor-Authentisierung nach dem Stand der Technik eingesetzt. Dafür kommen je nach Höhe des Risikos insbesondere Softwaretoken bzw. Hardwaretoken in Frage. |
|
|
4.2.3 AuthentifizierungsdienstDie Nutzerauthentifizierung wird nach erfolgter Risikoabwägung auf ein Ver-fahren gestützt, das bereits für andere Verfahren genutzt wird. Der Identity Provider gewährleistet die Integrität des Authentifizierungsvorgangs und die Nichtverkettung verschiedener Nutzungsvorgänge. Bei Anwendungsfällen, die eine vorherige Identifikation der Nutzer erfordern, werden geeignete Verfahren implementiert, um die Authentizität der Nutzer im Nachhinein nachvollziehen zu können. |
|
|
4.2.4 GastteilnahmeDer Gastzugang ist für den Anwendungsfall erforderlich. Die Risiken für betroffene Personen, die durch eine nicht autorisierte Teilnahme entstehen, sind geringfügig. Es ist gewährleistet, dass nur Personen teilnehmen, die untereinander bekannt sind. Nicht autorisierte Personen werden erkannt und können aktiv ausgeschlossen werden, noch bevor sie aktiv an der Videokonferenz teilnehmen können. Die Empfänger eines Einladungslinks werden auf die Folgen einer nicht autorisierten Weitergabe des Links hingewiesen. Die Übergabe des Links wahrt die Vertraulichkeit auf angemessenem Niveau. |
|
|
4.3 Installation und SoftwareaktualisierungTechnische Schwachstellen und sonstige Sicherheitslücken in Videokonferenzsystemen werden in einem angemessenen Zeitraum behoben. Alle Komponenten, die für die Teilnahme an einer Videokonferenz auf einem Client installiert werden, können einfach und vollständig deinstalliert werden. Auch bei einer nur einmaligen Nutzung eines nativen Clients ist sichergestellt, dass keine ungewartete Software auf dem System verbleibt. Sofern webbasierte Videokonferenzsysteme genutzt werden, wird für einen sicheren Betrieb stets eine aktuelle Webbrowser-Version eingesetzt. Dasselbe gilt für ggf. erforderliche Browser-Erweiterungen. |
|
|
4.4 RollentrennungDas Videokonferenzsystem ermöglicht die Einrichtung administrierender, moderierender, präsentierender und teilnehmenden Personen bzw. andere Zuschnitte, soweit die Verantwortung für die Steuerung der implizit vorgenommenen Verarbeitung von personenbezogenen Daten klar zugewiesen bleibt. Die teilnehmenden Personen können ihr Mikrofon und ihre Kamera jederzeit deaktivieren. Ohne die Zustimmung der teilnehmenden Person kann deren Mikrofon und deren Kamera nicht aktiviert werden. Bei Anwendungen mit hohem Risiko ist eine Nutzerverwaltung vorgesehen, die die Autorisierung der teilnehmenden Personen zur Übernahme einer der o.g. Rollen sicherstellt. |
|
|
4.5 DatensparsamkeitEs werden für die Bereitstellung des Dienstes nur die zwingend erforderlichen technischen und sonstigen Informationen verarbeitet. Die Protokolldaten werden nur für den Zweck der Konferenz verarbeitet. Das Videokonferenzsystem erfüllt die Grundsätze Datenschutz durch Technikgestaltung sowie datenschutzfreundlicher Voreinstellungen. Vor Eintritt in die Konferenz sind Funktionen von Kamera, Mikrofon und das Teilen des Bildschirms deaktiviert und müssen erst von der teilnehmenden Person aktiviert werden. |
|
|
4.6 TransparenzDer Hersteller des Videokonferenzsystems stellt, zusätzlich zu den rechtlich gebotenen Hinweisen in den Datenschutzbestimmungen, Informationen zur technischen Implementierung, den eingesetzten Standards, genutzten Software-Bibliotheken und Lizenzen bereit. Es ist teilnehmenden Personen leicht möglich und an prominenter Stelle erkennbar, ob und ggf. welche Datenverarbeitungsvorgänge über den eigentlichen Anwendungszweck der Videokonferenz hinaus erfolgen. Berichte zu Sicherheitsprüfungen werden frei zugänglich veröffentlicht. |
|
|
4.7 AufzeichnungenAufzeichnungen werden technisch unterbunden, sofern diese nicht aus sonstigen Gründen zulässig sind. Die notwendige Konfigurationseinstellung kann nur von einem Administrator zurückgenommen werden. Die an der Videokonferenz teilnehmenden Personen werden darauf hingewiesen, dass eine Aufzeichnung unzulässig ist. Im Falle einer zulässigen Aufzeichnung können ausschließlich besonders privilegierte Nutzer diese Funktion aktivieren. Alle teilnehmenden Personen werden durch einen expliziten und durch einen durch die teilnehmende Person zu bestätigenden Hinweis oder durch Kennzeichnung innerhalb der Benutzerschnittstelle darauf hingewiesen, dass die Videokonferenz ganz oder in Teilen aufgezeichnet wird. Aufzeichnungen von Videokonferenzen werden wenn möglich verschlüsselt gespeichert. Bei hohem Risiko ist dies zwingend vorgesehen. |
|
|
4.8 IntervenierbarkeitDie teilnehmenden Personen haben die technische Möglichkeit, zumindest zeitweise an Konferenzen lediglich passiv (empfangend), aber nicht aktiv (sendend) teilzunehmen. Dies beinhaltet auch das separate Abschalten von jeweils der Kamera und des Mikrofons durch die teilnehmende Person. |
|
|