Aus der ZKM

Online-Mediation, Datenschutz und die Wahl eines geeigneten Videokonferenzdienstes

von Dr. Annette Ehrnsperger LL.M., Rechtsanwältin und Mediatorin

Durch den technischen Fortschritt im Allgemeinen, aber insbesondere durch die sich seit dem Frühjahr 2020 weltweit ausbreitende COVID-19 Pandemie haben Videokonferenzen Eingang in den Alltag der Menschen und damit auch in die Konfliktbearbeitung gefunden. Die sog. Online-Mediation, bei der sich der Mediator und die Parteien nicht physisch, sondern nur virtuell am Bildschirm mit Ton- und Bildübertragung treffen, birgt gleichermaßen Chancen wie auch Risiken. Insbesondere bei der Auswahl geeigneter Videokonferenzdienste stellen sich Fragen des Datenschutzrechts, zu deren Klärung der vorliegende Aufsatz einen Beitrag leisten soll.

I. Einleitung

Das typische Format der videokonferenzbasierten Online-Mediation lässt sich wie folgt beschreiben:   Der Mediator   wählt einen Videokonferenzdienst aus, setzt einen Termin auf und schickt den Parteien die Einwahldaten. Die Beteiligten sind an ihrem Arbeitsplatz oder zu Hause und nutzen einen PC mit Webcamera oder ein Smartphone mit Internetanschluss. Auf den Endgeräten ist die erforderliche Konferenzanwendung installiert, oder die Teilnahme erfolgt direkt über den Webbrowser.   Der Mediator eröffnet die Konferenz zur vereinbarten Zeit, und die Beteiligten wählen sich ein und kommunizieren über die Audio- und Videoverbindung. Ggf. gibt es noch eine gemeinsame Präsentationsfläche zur Visualisierung. Wie ist nun aber ein geeignetes Tool auszuwählen, das auch datenschutzrechtlichen Anforderungen genügt?

Der Fokus des Beitrags liegt auf den datenschutzrechtlichen Fragen rund um Auswahl und Einsatz Internet-basierter Videokonferenzdienste, die auch als „Software-as-a-Service“ (SaaS) Angebot bezeichnet werden. Er beleuchtet Grundlagen des Datenschutzrechts und insbesondere die datenschutzrechtliche Stellung des Mediators als Verantwortlicher in Bezug auf die Verarbeitung personenbezogener Daten der Medianden (II.), geht dann auf spezifische Fragestellungen bei der Auswahl eines geeigneten Dienstanbieters ein (III.) und schließt nach einem Exkurs über mögliche Rechtsfolgen nicht-datenschutzkonformer Verarbeitung (IV.) mit abschließenden Betrachtungen (V.).

II. Grundlagen des Datenschutzrechts und Stellung des Mediators als Verantwortlicher

Zentraler Anknüpfungspunkt des Datenschutzrechts ist die Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 1 und Nr. 2 DSGVO.

Personenbezogene Daten sind alle Informationen, die einer natürlichen Person zugeordnet werden können. Im Rahmen der Mediation sind dies bspw. Namen, Anschrift, E-Mail-Adresse, Telefonnummer der Parteien,  aber auch alle im Rahmen des Mediationsgesprächs geäußerten Behauptungen oder Meinungen, sowie Informationen mit Bezug zu weiteren konfliktbeteiligten natürlichen Personen.

Der Begriff der Verarbeitung ist denkbar weit und umfasst sämtliche Tätigkeiten, die einen Umgang mit personenbezogenen Daten darstellen, von der Erhebung über das Speichern, Ordnen und Ändern, bis hin zum Offenlegen oder Löschen. Unsystematische manuelle Falldokumentation und Visualisierungen auf Flipcharts, sowie die Führung von Mediationsgesprächen vor Ort unterliegen zwar gem. §§ 1 Abs. 1, 4 MediationsG grundsätzlich der mediationsrechtlichen Vertraulichkeit und der Verschwiegenheitspflicht des Mediators, sind jedoch gem. Art. 2 Abs. 1 i.V.m. Art. 4 Nr. 6 DSGVO nicht einbezogen in den Geltungsbereich des Datenschutzrechts.

Wird die Mediation nun IT-gestützt über Videokonferenz durchgeführt, gilt dagegen Folgendes: Da sowohl für die Metadaten der Kommunikation (bspw. IP-Adressen der Beteiligten) als auch für die Inhaltsdaten, die im Rahmen der Online-Mediation anfallen (bspw. Audio- und Videodaten, am Bildschirm geteilte Visualisierungen) Personenbezug gegeben ist,  liegen Verarbeitungen in allen Schritten der Kommunikation vor, insbesondere bei der Datenerhebung, (Zwischen-)Speicherung, Übermittlung an alle Teilnehmer zur Konferenzdurchführung sowie Löschung spätestens am Ende der Konferenz.

Der Mediator organisiert die Videokonferenz zur Durchführung des Mediationsverfahrens und bestimmt damit über Zwecke und Mittel der Verarbeitung. Er ist damit gem. Art. 4 Nr. 7 DSGVO der Verantwortliche im Sinne des Datenschutzrechts. Ihn treffen im ersten Schritt die datenschutzrechtlichen Pflichten.

Der von ihm eingesetzte Konferenzanbieter ist gem. Art. 4 Nr. 8 DSGVO der Auftragsverarbeiter, denn seine IT-gestützte Verarbeitung personenbezogener Daten im Rahmen der Videokonferenz erfolgt nicht für seine eigenen Zwecke, sondern im Auftrag des Mediators. Der folgende Teil III beleuchtet nun spezifische Fragen, die der Mediator bei der Auswahl eines geeigneten Videokonferenzdienstes zu beachten hat.

III. Datenschutzrecht bei der Auswahl eines Videokonferenzdienstes

Zur Frage der Zulässigkeit des Einsatzes unterschiedlicher Videokonferenztools gibt es im Internet eine Fülle von teils detaillierten Empfehlungen und Stellungnahmen.  Da sowohl die Technik, die Vertragsdokumente der Anbieter, aber auch rechtliche Anforderungen stetigem Wandel unterliegen, soll vorliegend eher auf Grundsätzliches eingegangen werden.

1. Grundlegende Anforderungen der Zulässigkeit der Verarbeitung

Als gesetzliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen der Videokonferenz kommt Art. 6 Abs. 1 lit. b DSGVO in Betracht, soweit die einzelnen Verarbeitungsschritte zur Durchführung der Mediation, also in Erfüllung des zwischen dem Mediator und den Parteien geschlossenen Mediationsvertrages, erforderlich sind.  Dabei sind insbesondere folgende Überlegungen maßgeblich:

Der Dienst selbst muss dem Grundsatz des Datenschutzes durch Voreinstellung („data protection by default“) gem. Art. 25 Abs. 2 DSGVO genügen, d.h. in den Standardeinstellungen die Verarbeitung auf das zur Zweckerreichung Erforderliche beschränken. Die Nutzung des Konferenzdienstes sollte nicht von vornherein von dem Anlegen eines Nutzerkontos durch die Medianden oder gar der Verknüpfung bspw. zu Facebook- oder Googlemail-Konten abhängen. Der vom Mediator ausgewählte Dienstanbieter sollte sich in seinen Datenschutzbedingungen weder umfangreiche Rechte zur Weitergabe von Daten an Dritte bspw. zu Werbungszwecken einräumen lassen noch den Einsatz von Analysetools solcher Dritter zur Nutzungsvoraussetzung machen.

Der Mediator muss als Verantwortlicher mit dem Dienstanbieter eine sog. Auftragsverarbeitungsvereinbarung („AVV“) schließen, die zweckmäßigerweise bei dem Dienstanbieter bereits auf der Webseite standardisiert vorhanden ist und die gem. Art. 28 Abs. 3 DSGVO vorgeschriebenen Inhalte aufweisen muss. 



Verlag Dr. Otto Schmidt vom 25.10.2021 11:53
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite