BRAK-Magazin 4/2020

16 BRAK MAGAZIN 04/2020 VIDEOKONFERENZEN IM KANZLEIALLTAG Rechtsanwalt Sebastian Aurich, LL.M., BRAK, Berlin Mandantenberatungen, Kanzleibesprechungen und Gerichtsverhandlungen (vgl. § 128a ZPO) fin- den seit Ausbruch der Corona-Pandemie vermehrt kontaktlos statt. Eine Ausweitung des Einsatzes von Videokonferenztechnik in Arbeits- und Sozial- gerichtsverfahren wurde kürzlich mit dem Sozial- schutzpaket II beschlossen. Ein Referentenentwurf zur Schaffung weiterer Möglichkeiten, Gerichts- verfahren und Anhörungen in Betreuungs-, Unter- bringungs- und Freiheitsentziehungssachen per Vi- deokonferenz durchzuführen, ist im Umlauf (Stand 15.7.2020). Anwältinnen und Anwälte sollten also auf den Einsatz von Videokonferenzen eingestellt sein. Dieser Beitrag beleuchtet die grundlegenden rechtlichen und technischen Anforderungen an die Durchführung von Videokonferenzen. BERUFSRECHT Die berufsrechtliche Zulässigkeit des Einsatzes von Videokonferenztechnik beurteilt sich nach § 43a II BRAO und § 2 BORA. Soll, wie zumeist, ein Dienstleister eingeschaltet werden, ist § 43e BRAO zu beachten. Auch § 203 III 2 StGB ermög- licht unter gewissen Voraussetzungen die Ausla- gerung an Dienstleister. DATENSCHUTZRECHT Sofern die Kanzlei die Videokonferenz i.S.v. Art. 4 Nr. 7 DSGVO verantwortet, muss sie sich auf eine Rechtsgrundlage i.S.d. Art. 6 DSGVO berufen kön- nen. In Betracht kommen insb. die Erfüllung des Mandatsvertrags (Art. 6 I lit. b DSGVO) sowie, ggf. zusätzlich, Art. 9 II lit. f DSGVO. Die Aufzeichnung einer Videokonferenz ist regelmäßig nur auf eine Einwilligung gem. Art. 6 I lit. a DSGVO zu stützen. Die Datenverarbeitung darf nur in dem Um- fang erfolgen, der zur Erreichung des in der Rechtsgrundlage bzw. der Einwilligung angeleg- ten Zwecks erforderlich ist, Art. 5 I lit. b und c, Art. 6 I DSGVO. Dies ist durch datensparsame Einstellungen sicherzustellen. Leider lässt sich insbesondere die Nutzung von Meta-, Telemetrie-, Geräte- und Diagnoseda- ten durch den Anbieter des Konferenztools nicht immer zuverlässig abstellen. Vorzugswürdig sind Produkte, die eine pseudonyme Teilnahme ermög- lichen und keine Registrierung der Teilnehmerin- nen und Teilnehmer erfordern. Jedoch kann die – oft gebotene – Ende-zu-Ende-Verschlüsselung eine Registrierung nötig machen. TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMASSNAHMEN Im Rahmen der zu treffenden technisch-organisa- torischen Maßnahmen (Art. 24 I DSGVO) erweist sich die angemessene Verschlüsselung als Her- ausforderung: Jedenfalls für sensible Inhalte soll- te eine Ende-zu-Ende-Verschlüsselung angestrebt werden. Jedoch bieten viele Videochat-Portale – teils trotz entgegenstehender Beteuerungen – keine vollständige Ende-zu-Ende-Verschlüsselung an. Sie kann begehrten Zusatzfunktionen wie z.B. Aufzeichnungen oder einer Audiobridge technisch entgegenstehen. Diese erfordern, dass die Inhal- te auf dem Server des Anbieters vorübergehend entschlüsselt werden. Es muss sichergestellt sein, dass der Anbieter gleichwohl keine Kenntnis vom Gesprächsinhalt nehmen kann. Der Zugang zur Konferenz sollte – möglichst durch Passwörter – geschützt sein. Viele Vi- deochat-Portale bieten diese Funktion an. Leider wird das Passwort häufig vom Anbieter generiert und bei diesem hinterlegt. Sicherer sind vom An- wender generierte und verwaltete Passwörter. Denn nur diese schützen vor einem Zugriff durch den Anbieter. Am ehesten lässt sich ein Datenzugriff aus- schließen, wenn das Konferenzprogramm mit ent- sprechenden Sicherheitsvorkehrungen auf einem eigenen Server betrieben wird. Open Source-Pro- gramme bieten in der Regel die höchste Sicher- heit und Transparenz. Wer nicht über die hierzu erforderlichen Kapazitäten verfügt, muss auf eine vertrauenswürdige Onlineplattform oder einen geeigneten Dienstleister zum Hosten eines selbst- betriebenen Programms zurückgreifen. In beiden Fällen ist, je nach konkreter Ausgestaltung, ent- weder ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) oder eine Joint-Control-Vereinbarung (Art. 26 DSGVO) zu schließen. Die meisten On- line-Anbieter halten Mustervertragstexte bereit (s. Übersicht in Anlage II der Praxishilfe XVI der GDD ). Auch selbstbetriebene Programme senden bis- weilen unnötigerweise personenbezogene Daten (i.d.R. Analyse-, Telemetrie- und Diagnosedaten)