Suche 
Spätestens seit der COVID-19-Pandemie sind moderne digitale Kommunikationssysteme aus dem Arbeitsalltag nicht mehr hinwegzudenken. Anwendungen wie Microsoft Teams, Zoom oder Cisco Webex erleichtern den Arbeitsalltag und die Kommunikation untereinander maßgeblich. Bei Nutzung dieser Systeme werden personenbezogene Daten der teilnehmenden Personen verarbeitet. Der Umfang der zu berücksichtigenden Daten ist groß. Infolgedessen rückt zwangsläufig das Thema Datenschutz in den Fokus.
Videokonferenzen umfassen regelmäßig inhaltliche Äußerungen und die Übertragung von Bild und Ton der teilnehmenden Personen. Darüber hinaus ist unter Umständen auch das Umfeld der Teilnehmer einsehbar, wie etwa ihre Wohnung, ihr Arbeitsplatz oder ihr sonstiger Aufenthaltsort. Daneben sind – je nach Art des Dienstes – auch grafische oder textliche Äußerungen möglich, die den Teilnehmern jeweils zugeordnet werden können. Diese Zuordnung gilt als personenbezogen. Zudem können Metadaten über die Durchführung der Kommunikation, Daten über berufliche Kontakte, über Arbeitszeiten und über Arbeitsleistung anhand der Daten der Videokonferenz verarbeitet werden. Verantwortlich im Sinne des Datenschutzes ist der Arbeitgeber. Dieser hat zu prüfen, inwieweit er zur Verarbeitung der personenbezogenen Daten befugt ist.
1. Rechtsgrundlagen
Zur Verarbeitung der personenbezogenen Daten benötigt der Arbeitgeber eine Rechtsgrundlage. Dafür kommen Art. 6 Abs. 1 lit. a, b, f DS-GVO, unter Umständen auch § 26 BDSG in Betracht. Demnach darf der Arbeitgeber personenbezogene Daten verarbeiten, wenn dies zur Durchführung des Arbeitsvertrages oder zur Wahrung seiner berechtigten Interessen erforderlich ist oder der Arbeitnehmer in die Verarbeitung eingewilligt hat.
a. Erste Ebene: Nutzung und Durchführung einer Videokonferenz
Im Beschäftigungsverhältnis kann sich der Arbeitgeber zur Durchführung einer Videokonferenz auf § 26 Abs. 1 S.1 BDSG und Art. 6 Abs. 1 lit. b DS-GVO berufen. Demnach darf der Arbeitgeber personenbezogene Daten von Beschäftigten verarbeiten, wenn dies für die Durchführung des Arbeitsverhältnisses erforderlich ist. Die Rechtmäßigkeit des § 26 Abs. 1 S.1 BDSG ist nach einem Urteil des EuGH zu einer parallel formulierten Norm im Hessischen Landesrecht (EuGH, Urt. v. 30. März 2023 – C-34/21) umstritten. Einstweilen ist die Norm aber in Kraft. Im Arbeitsverhältnis ist die Nutzung und Durchführung einer Videokonferenz regelmäßig erforderlich, wenn sie Teil der beruflichen Aufgaben des Arbeitnehmers ist. Das gilt z.B. für Kunden- oder Verkaufsberater, die von ihrem Gegenüber auch außerhalb von persönlichen Treffen visuell wahrgenommen werden sollen, aber auch für die meisten anderen Bürotätigkeiten. In vielen Unternehmen finden Besprechungen mittlerweile in erster Linie virtuell statt.
b. Zweite Ebene: Aufzeichnung und Verarbeitung der Videokonferenz
Die Aufzeichnung von Videokonferenzen ist grundsätzlich nicht verboten. Zwar handelt es sich hierbei regelmäßig um einen intensiveren Eingriff: Das gesprochene Wort wird auf längere Zeit reproduzierbar gespeichert. Jedoch kann auch dieser Eingriff gerechtfertigt sein. Bei der Aufzeichnung muss der jeweilige Zweck eindeutig bestimmt sein. An den Verarbeitungszweck sind hohe Anforderungen geknüpft. Es gilt der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DS-GVO.
Als Rechtsgrundlagen für Aufzeichnung und Verarbeitung kommen § 26 Abs. 1 S.1 BDSG und Art. 6 Abs. 1 lit. b DS-GVO in Betracht. Beide Normen verlangen, dass die jeweilige Erhebung zur Durchführung des Arbeitsverhältnisses auch „erforderlich“ ist. Davon ausgehend ist stets im Einzelfall zu prüfen, ob eine Aufzeichnung der Videokonferenz erforderlich ist. Dies ist der Fall, wenn eine Notwendigkeit zur Dokumentation vorliegt – etwa im Rahmen von internen Schulungen oder Seminaren oder bei Befragungen im Rahmen interner Ermittlungen.
Auch die Wahrung berechtigter Interessen des Arbeitgebers gemäß Art. 6 Abs. 1 lit. f DS-GVO kann eine Rechtsgrundlage sein. Ein solches Interesse kann insbesondere dann bestehen, wenn der Arbeitgeber ein weitergehendes Interesse an der Aufzeichnung hat. Rechtsprechung hierzu ist noch nicht ersichtlich, so dass zwischen den Interessen sorgfältig abzuwägen ist, und die Abwägung dokumentiert werden sollte.
Liegt kein Dokumentationserfordernis vor, dann ist eine Aufzeichnung regelmäßig nicht erforderlich. Als Rechtsgrundlage verbleibt dann nur die – im Arbeitsverhältnis unsichere und wenig praktikable – Einwilligung nach Art. 6 Abs. 1 lit. a DS-GVO.
Bei jeder Speicherung von Daten ist der in Art. 5 Abs. 1 lit. e DS-GVO verankerte Grundsatz der Speicherbegrenzung zu beachten. Demnach dürfen Daten nur so lange gespeichert werden, wie es der Zweck, zu dem sie verarbeitet werden, erfordert. Arbeitgeber sollten somit eine konkrete Löschfrist festlegen und diese auch intern dokumentieren. Zudem sollte die Speicherung auf sicheren Servern erfolgen und eine Zugriffsbeschränkung installiert werden. Sodann sollte jeder Zugriff protokolliert werden. Dies ist vor allem im Hinblick auf den Grundsatz der Integrität und Vertraulichkeit in Art. 5 Abs. 1 lit. f DS-GVO erforderlich.
Die Teilnehmer einer Videokonferenz sollten darüber belehrt werden, dass das heimliche Mitschneiden von Video- und/oder Audiodateien, das Speichern und das Verbreiten solcher Aufnahmen nach § 201 StGB strafbar sein kann. Darüber hinaus können den Arbeitnehmern bei Verstoß empfindliche arbeitsrechtliche Konsequenzen drohen, die bis hin zur außerordentlichen Kündigung reichen.
c. Sonderfall: KI-stütztes Transkribieren einer Videokonferenz
Die automatische Transkription von Videokonferenzen durch KI basierte Systeme wie z.B. Read.ai, Fireflies.ai oder Microsoft Copilot ist zunehmend üblich und gewinnt an Bedeutung im Arbeitsleben. Dabei werden gesprochene Inhalte in Echtzeit oder nachträglich in Text umgewandelt. Auch hier werden personenbezogene Daten verarbeitet. Somit ist eine Rechtsgrundlage erforderlich.
Die automatische Transkription einer Videokonferenz durch KI ist datenschutzrechtlich grundsätzlich wie eine Aufzeichnung zu bewerten. In beiden Fällen werden personenbezogene Daten verarbeitet und gespeichert. Auch hier kommt es darauf an, ob die Aufzeichnung erforderlich ist.
Nach unserer vorläufigen Einschätzung ist der Einsatz einer Transkriptionssoftware nicht als Hochrisiko-KI nach Abschnitt 2 der von der EU erlassenen KI-Verordnung zu bewerten. Zwar nennt Anhang 3 der KI-Verordnung auch HR-Systeme. Diese beziehen sich jedoch in erster Linie auf das Recruiting oder auf Leistungs- und Verhaltensbewertung der Mitarbeiter (siehe hierzu auch unseren Blogbeitrag vom 9. Oktober 2024, abrufbar unter: Künstliche Intelligenz im HR-Bereich: Chancen und Pflichten bei Hochrisikosystemen nach der KI-Verordnung – Kliemt.blog). Dies bedeutet, dass beim Einsatz der Transkriptionssoftware weniger strenge regulatorische Anforderungen gelten. Insbesondere entfallen die umfassenden Dokumentations- und Aufzeichnungspflichten gemäß den Artikeln 11 und 12 der KI-Verordnung.
2. Etwaige Mitbestimmung
Arbeitgeber sollten ein mögliches Mitbestimmungsrecht des Betriebsrats im Auge behalten und sich damit bereits im Vorhinein auseinandersetzen (siehe hierzu auch unseren Blogbeitrag vom 13. Januar 2022, abrufbar unter: Zoom, Teams & Co.: Videocalls auf dem Arbeitsrechtlichen Prüfstand (Video) – Kliemt.blog).
3. Fazit
Die zunehmende Nutzung von Videokonferenzen stellt den Arbeitgeber vor neue datenschutzrechtliche Herausforderungen. Gerade die Aufzeichnung und die Speicherung solcher Meetings ist datenschutzrechtlich sensibel. Als Arbeitgeber sollte man auf Transparenz sowie technische und arbeitsrechtliche Abstimmung setzten, um Konflikte mit der Belegschaft, dem Betriebsrat und der jeweiligen Datenschutzaufsicht zu vermeiden.
Dieser Beitrag ist mit freundlicher Unterstützung von Sebastian Müller, wissenschaftlicher Mitarbeiter im Berliner Büro, entstanden.
