Wie Du Skype DSGVO konform nutzen kannst

10. April 2020
von Dr. Ronald Kandelhard
Kommentare 2

Erfahre hier, wie Du nach der DSGVO Skype for Business ohne Abmahnung, Bußgeld oder Schadensersatz verwenden kannst

von Rechtsanwalt Dr. Ronald Kandelhard, Fachanwalt für Handels- und Gesellschaftsrecht. 

Inhalt

  1. Kann ich Skype DSGVO konform verwenden?
  2. Kann ich Skype for Business DSGVO konform verwenden, obwohl es ein US Anbieter ist?
  3. Brauche ich einen Auftragsverarbeitungsvertrag, um Skype DSGVO konform zu verwenden?
  4. Muss Skype for Business nach der DSGVO in meiner Datenschutzerklärung angegeben werden?
  5. Muss ich die Videokonferenzen verschlüsseln?
  6. Muss ich weitere Einstellungen für Skype for Business Datenschutz vornehmen?
  7. Ergebnis zu Skype for Business und DSGVO

1. Kann ich Skype DSGVO konform verwenden?

Das normale Skype bietet keinen hinreichenden Datenschutz für Deine Videokonferenzen. Es sind einige Vorkehrungen und Einstellungen erforderlich, um Videokonferenzen DSGVO konform zu nutzen. Diese sind in dem kostenfreien Skype nicht enthalten. Damit kann Skype Datenschutz konform nicht verwendet werden.

2. Kann ich Skype for Business DSGVO konform verwenden, obwohl es ein US Anbieter ist?

Wenn Du Skype verwendest, werden immer auch Daten Deiner Kunden oder Mitarbeiter an Skype übertragen. Ein Datenexport ist nach der DSGVO aber nur erlaubt, wenn die Daten innerhalb der EU verbleiben oder von der EU für das Empfängerland ein gleichwertiger Datenschutz festgestellt wurde. Letzteres betrifft etwa die Schweiz, Kanada oder Neuseeland. Die USA gehören nicht ohne weiteres dazu. Hier war vielmehr erforderlich, dass der Anbieter bei privacy shield registriert ist. Seit dem Privacy Shield jedoch vom EuGH für unwirksam erklärt wurde, ist das keine taugliche Rechtsgrundlage mehr.

Wie viele andere US-Anbieter hat auch Microsoft die europäische Tochter in Irland zum Datenverarbeiter erhoben, so dass streng juristisch gesehen kein Datenexport aus der EU heraus mehr stattfindet. Dennoch werden von Microsoft auch Daten an die eigene Muttergesellschaft weiter gegeben. Dies erfolgt bei Microsoft auf der Basis der Standardvertragsklauseln der EU.

Achtung neue Rechtlslage: Seit der Executive Order des US Präsidenten vom 7.10.2002 sind US-Dienste wieder deutlich eher zulässig, näher dazu in unserem Blogpost hier.

3. Brauche ich einen Auftragsverarbeitungsvertrag, um Skype DSGVO konform zu verwenden?

Jede Weitergabe von Daten an Dritte erhöht die datenschutzrechtlichen Risiken. Daher ist nach der DSGVO eine Übertragung von personenbezogenen Daten an Dritte nur unter bestimmten Voraussetzungen erlaubt.

Dennoch sollen nach der DSGVO Subunternehmer und Dienstleister nicht verhindert werden. An solche kannst Du die Daten Deiner Kunden weitergeben, wenn Du mit dem Anbieter einen Auftragsverarbeitungsvertrag abschließt. Darin ist festgehalten, dass der Dritte Deinen Anweisungen bei der Verarbeitung der Daten folgt. Der Subunternehmer, Dienstleister oder Drittanbieter wird damit zu einer Art verlängertem Arm von Dir. Er muss dann aufgrund des Vertrages ausführen, was Du ihm für die Daten Deiner Kunden vorgibst, etwa bestimmte Daten berichtigen, löschen oder in sonstiger Form verarbeiten.

Du musst also mit Skype for Business einen Auftragsverarbeitungsvertrag abschließen, ehe Du damit Videokonferenzen abhalten kannst. Den Auftragsverarbeitungsvertrag für den Skype for Business Datenschutz kannst Du Dir hier runterladen. Du musst ihn gegenüber Skype for Business bestätigen.

 

4. Muss Skype for Business nach der DSGVO in meiner Datenschutzerklärung angegeben werden?

Ob Du Skype for Business nach der DSGVO in Deiner Datenschutzerklärung angeben must, entscheidet sich ein wenig danach, wie und wofür Du Skype for Business verwendest.

Klar ist auf jeden Fall, für jede Verwendung von Skype for Business brauchst Du eine Datenschutzerklärung. Immer werden Daten Deines Kunden, Mitarbeiters oder der sonstigen Gesprächsteilnehmer erfasst, wie IP- und Mail-Adresse, aber auch weitere Daten wie Aussehen bei einer Videokonferenz und auch die jeweils eigegebenen Daten und Gesprächsinhalte. 

Das einfachste ist auf jeden Fall, Du fügst Skype DSGVO konform in Deiner Datenschutzerklärung auf, dann kannst Du zum Start und bei der Verwendung jeweils darauf verweisen. Zwingend ist das, wenn Du die Möglichkeit bietest, Skype Calls direkt über Deine Website zu buchen oder zu starten, denn dann musst Du auf die Verwendung der Daten hinweisen.

Für Skype for Business findest Du in dem Datenschutz-Generator von easyRechtssicher.

Zum Komplett-Schutz

Damit kannst Du Skype for Business DSGVO konform auf Knopfdruck in Deine Datenschutzerklärung aufnehmen und wir halten Deine Datenschutzerklärung für eventuelle rechtliche Änderungen automatisch aktuell.

5. Muss ich die Videokonferenzen verschlüsseln?

Nach Art. 5 Abs. 1 lit. f DSGVO gilt für jede Website, auf der Nutzer personenbezogene Daten eingeben, dass sie zu verschlüsseln ist. Ganz allgemein ist ohnehin zu empfehlen, Deine Website zu verschlüsseln (https://). Das gilt auch für Deine Skype Konferenzen nach DSGVO. Auch dort werden vom Kunden regelmäßig personenbezogene Daten eingegeben. Du solltest also eine verschlüsselte Übertragung einstellen.

6. Muss ich weitere Einstellungen für Skype for Business Datenschutz vornehmen?

Die DSGVO betrifft auch die Videokonferenz selbst. Du musst Skype for Business DSGVO konform einstellen, ehe Du es verwendest.

Alle Einstellungen, die ein:

  • Tracking des Kundenverhaltens bei der Beratung (z.B. Klicks an bestimmten Stellen),
  • eine Beobachtung des Kundenverhaltens anlässlich der Beratung (z.B. Aktivität bei der Teilnahme) oder
  • eine Aufzeichnung (z.B. durch Aufnahme oder Screen-Sharing)

ermöglichen, solltest Du nur verwenden, wenn sie wirklich erforderlich sind: Das ist nur der Fall, wenn die Funktion

  • einem erlaubten Zweck dient (z.B. nicht einfach Überwachung)
  • geeignet ist, diesen Zweck zu erfüllen
  • erforderlich ist, diesen Zweck zu erfüllen (es gibt kein milderes Mittel für den Datenschutz)
  • soweit möglich, Schutzmaßnahmen ergriffen sind.

Geht es etwa um eine Videokonferenz, bei der später noch der genaue Inhalt relevant ist, kann eine Aufzeichnung erforderlich sein. Anders, wenn vielleicht nur ganz wenige Inhalte später noch relevant sind, weil man einzelne Punkte einfach (datenschutzfreundlicher) notieren könnte.

Auch musst Du bei der DSGVO konformen Verwendung von Skype for Business beachten, dass möglichst wenig Daten anfallen und diese möglichst kurzfristig gelöscht werden. Das betrifft die Aufzeichnung selbst, aber auch den davon getrennten Chatverlauf, die Anmeldedaten und weiteres mehr. Hier findest Du weitergehende Einstellungen, die Du möglichst vornehmen solltest.

7. Ergebnis zu Skype for Business und DSGVO

Videokonferenzen sind auf jeden Fall ein tolles Werkzeug für Dein Angebot und im Zuge von Corona wichtiger denn je. Beachtest Du die rechtlichen Vorgaben und nutzt die passenden Muster für Deine Datenschutzerklärung, kannst Du Skype for Business DSGVO konform ohne Angst vor einer Abmahnung oder einem Bußgeld verwenden. Dafür wünschen wir viel Erfolg.

Skype for Business wird von Microsoft demnächst auch von MS Teams abgelöst. Ob und wie Du Microsoft Teams Datenschutz konform verwenden kannst, findest Du hier.

Welche Vorkehrungen Du allgemein für Videokonferenzen treffen solltest, findest Du in unserem umfassenden Guide hierzu

Mehr Informationen zur DSGVO findest Du hier.

Rechtsfragen tragen nicht zu Deinem Kerngeschäft bei – löse sie einfach mit easyRechtssicher. Unser Komplett-Schutz bietet Dir:

  • Impressum
  • Datenschutzerklärung
  • Cookie Banner
  • automatisch immer aktuell
  • wenn Du abgemahnt wirst: Wir haften für unsere Texte und bieten Dir kostenlose Erstberatung
  • keine Recherchen, keine langen Einstellungen mehr
    buche einfach jetzt und lass Recht unsere Sorge sein
  • teste ohne Risiko, 1 Monat kostenlose Probemitgliedschaft
  • danach automatisch sicher, wir sagen Dir vor Ablauf des Probemonats Bescheid.
Zum Komplett-Schutz

PS: …trägt nicht zum Kerngeschäft bei…

 

Rechtsanwalt Dr. Ronald Kandelhard

Dr. Ronald Kandelhard, Rechtsanwalt und Mediator, Fachanwalt für Handels- und Gesellschaftsrecht. Ronald war lange Zeit an der Universität, in der Rechtsberatung von Staaten und als Rechtsanwalt tätig. Jetzt entwickelt er mit seinem Startup Paragraf7 automatisierte Lösungen für rechtliche Probleme von Unternehmen.

 

 

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

2 Kommentare

  1. Pingback: Mit Microsoft Teams Datenschutz konform Videokonferenzen abhalten!

  2. Pingback: Videokonferenz DSGVO ohne Abmahnung oder teures Bußgeld!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert