Geld oder Daten? Leitfaden für datenschutzkonforme Videokonferenzen in Unternehmen, Bildung und Verwaltung

Ein aktuelles Beispiel aus dem Medienbereich macht ein längst etabliertes Prinzip sichtbar: Beim Aufruf eines Premium-Artikels bietet eine Nachrichten-Website zwei Wege an. Entweder schließen Leserinnen und Leser ein günstiges Abonnement ab und erhalten unbegrenzten Zugriff ohne Werbetracking – oder sie wählen den kostenlosen Zugang und willigen in Werbung und umfangreiches Tracking ein, einschließlich der möglichen Übermittlung ihrer Daten in Drittländer außerhalb der EU. Die Botschaft ist unmissverständlich: Journalistische Inhalte kosten Geld; wer nicht zahlt, „bezahlt“ mit Daten.

Dieses „Geld-oder-Daten“-Modell ist nicht auf Medienangebote beschränkt. Es prägt weite Teile der digitalen Ökonomie – von sozialen Netzwerken über Cloudspeicher bis zu Videokonferenzdiensten. Für Organisationen in Unternehmen, Bildung und Verwaltung ist die Einsicht entscheidend: Daten sind ein Wert. Wer digitale Dienste beschafft, entscheidet mittelbar auch darüber, wie und wo personenbezogene Daten verarbeitet, verknüpft, monetarisiert oder weitergegeben werden. Datenschutz ist damit nicht nur ein Compliance-Thema, sondern eine strategische Frage der Datensouveränität – mit unmittelbaren Auswirkungen auf Vertrauen, Reputation und Rechtssicherheit.

Datenschutz und Compliance: Was bedeutet die „Datenzahlung“ rechtlich?

Die „Bezahlung mit Daten“ ist datenschutzrechtlich vor allem eine Frage der Rechtsgrundlage und der Transparenz:

• Einwilligung: Wird der kostenlose Zugang an Werbung und Tracking geknüpft, ist typischerweise eine informierte, freiwillige und spezifische Einwilligung nach DSGVO erforderlich. Sie muss widerruflich sein, darf nicht intransparent gebündelt werden und darf keinen unangemessenen Druck erzeugen. Praktisch heißt das: Klare Informationen, granulare Auswahl, jederzeitige Änderung der Präferenzen.
• Widerrufbarkeit und Nachweis: Einwilligungen müssen dokumentiert und jederzeit widerrufbar sein – ohne Nachteile für Betroffene jenseits des Entzugs des konkret „erkauften“ Vorteils.
• Transparenzpflichten: Verantwortliche müssen Zweck, Umfang, Empfänger und Speicherdauer der Datenverarbeitung offenlegen. Dazu gehören Informationen zu Kategorien Dritter, eingesetzten Technologien (z. B. Cookies, SDKs, Fingerprinting) und etwaigen Profilbildungen.

Besonders sensibel sind Drittlandübermittlungen. Spätestens seit den Schrems-II-Urteilen sind Übermittlungen in Staaten ohne angemessenes Datenschutzniveau nur zulässig, wenn geeignete Garantien bestehen (etwa Standardvertragsklauseln) und wirksame ergänzende Maßnahmen greifen. Organisationen müssen dabei prüfen, ob der tatsächliche Zugriff von Behörden im Empfängerland ausgeschlossen oder hinreichend abgesichert ist. Selbst mit vertraglichen Schutzinstrumenten bleibt die Verantwortlichkeit bestehen; sie lässt sich nicht „auslagern“.

Zentrale Prinzipien der DSGVO wie Datenminimierung, Zweckbindung und Speicherbegrenzung gelten unabhängig vom Geschäftsmodell. Wer Daten zweckentfremdet, zu lange speichert oder intransparente Drittdienste einbindet, erhöht das Risiko von:

• Tracking-Profilen, die über Kontextgrenzen hinweg zusammengeführt werden,
• Reputationsschäden durch Datenschutzvorfälle oder unklare Praktiken,
• rechtlichen Unsicherheiten bis hin zu Untersagungen und Bußgeldern.

Kurz: Auch wenn „kostenlos“ attraktiv klingt, sind die Kosten in Form von Komplexität, Risikomanagement und Vertrauensverlust nicht zu unterschätzen.

Lehren für Videokonferenzen: Worauf Sie beim Anbietervergleich achten sollten

Videokonferenzen verarbeiten in der Regel besonders schutzwürdige Inhalte: interne Strategien, Forschung, personenbezogene Daten von Lernenden oder Patienten, vertrauliche Projekte. Entsprechend hoch sollte die Messlatte liegen. Vom Paywall-Beispiel lassen sich drei Lehren übertragen:

1) Datensouveränität als Standard, nicht als Zusatzoption
Wählen Sie Dienste, deren Geschäftsmodell nicht auf datengetriebener Refinanzierung beruht. Transparente, nutzerfinanzierte Tarife reduzieren Anreize für Tracking und Werbeprofile.

2) Datenlokalisierung und technische Sicherheit gezielt absichern
Bevorzugen Sie Anbieter mit Serverstandort in der EU sowie in zertifizierten Rechenzentren (z. B. ISO 27001). Achten Sie auf durchgängig verschlüsselte Übertragung, restriktive Standard-Einstellungen (Privacy by Default) und getrennte Rollen- und Berechtigungskonzepte.

3) Rechtliche Klarheit statt Graubereiche
Ein sauberer Auftragsverarbeitungsvertrag (AVV), dokumentierte Löschkonzepte, konfigurierbare Speicherfristen sowie sparsame Einbindung von Drittdiensten sind Pflicht. Für unvermeidbare Drittlandübermittlungen brauchen Sie belastbare Rechtsgrundlagen und Schutzmaßnahmen – idealerweise vermeiden Sie sie ganz.

Praxisnah bedeutet das: Funktionen wie Aufzeichnung, Screensharing und Whiteboard müssen präzise steuerbar sein. Wer darf aufzeichnen? Wo wird gespeichert? Wie lange? Wer sieht die Dateien? Gibt es ein Löschprotokoll? Sind Standardrollen so vorkonfiguriert, dass die Privatsphäre gewahrt bleibt?

Ein Beispiel für diesen Ansatz sind EU-gehostete Plattformen auf Basis von Open-Source-Technologie wie BigBlueButton. Bei bbbserver.de der invokable GmbH stehen die Server in Europa; das genutzte Rechenzentrum ist ISO 27001-zertifiziert. Die Plattform bietet qualitativ hochwertige Audio- und Videoübertragungen, ein interaktives Whiteboard, Screensharing und Aufzeichnungen – und lässt sich so einsetzen, dass Speicherfristen, Zugriffsrechte und Löschkonzepte zu Ihren Compliance-Vorgaben passen. Moderatoren- und Gästezugriffe werden zentral im Kundenkonto verwaltet; die Verbindung ist stabil und rund um die Uhr verfügbar. Für Organisationen sind flexible Pakete mit Up- und Downgrade-Optionen sowie Service-Level-Agreements für große Abonnements verfügbar – ein klarer, nutzerfinanzierter Rahmen, der Datensouveränität in den Mittelpunkt stellt.

Praxis: Checkliste für die Auswahl eines Dienstes

Die folgende Checkliste unterstützt Beschafferinnen und Beschaffer in Unternehmen, Bildung und Verwaltung bei der strukturierten Bewertung von Videokonferenzlösungen:

• Werden Daten in Drittländer übertragen?

  • Wo befinden sich die Server und Subdienstleister?
  • Gibt es eine aktuelle Liste von Unterauftragsverarbeitern inklusive Standorten?

• Welche Rechtsgrundlagen werden genutzt?

  • Liegt ein unterschriftsreifer Auftragsverarbeitungsvertrag (AVV) vor?
  • Bei Drittlandbezug: Welche Schutzinstrumente (z. B. Standardvertragsklauseln) und ergänzenden Maßnahmen sind implementiert und dokumentiert?

• Welche Speicherfristen gelten?

  • Sind Aufzeichnungen standardmäßig deaktiviert und nur mit Opt-in aktivierbar?
  • Können Speicherfristen pro Raum oder pro Kurs/Projekt gesetzt werden?
  • Gibt es automatisierte Löschläufe und ein nachvollziehbares Löschprotokoll?

• Welche Sicherheitszertifizierungen liegen vor?

  • Rechenzentrumszertifizierungen wie ISO/IEC 27001, physische Sicherheitsmaßnahmen, Redundanzkonzepte.
  • Technische Maßnahmen: Transportverschlüsselung, Härtung, Monitoring, Backup- und Recovery-Konzepte.

• Gibt es transparente, tracking-freie Tarife?

  • Ist das Preismodell verständlich, ohne Kopplung an Werbung oder reichweitenbasierte Vermarktung?
  • Stehen Tarife mit klar definierten Leistungsparametern (gleichzeitige Verbindungen, Speicher, SLAs) zur Verfügung?

• Wie werden Nutzer informiert und können Einwilligungen verwaltet werden?

  • Prägnante Datenschutzhinweise im Einladungsprozess und im Meeting.
  • Feingranulare Einstellungen für Aufzeichnung, Kamera/Mikrofon, Chat-Export, Whiteboard-Export.
  • Ein Widerrufs- und Widerspruchsmanagement, das ohne Hürden funktioniert.

• Werden unnötige Drittdienste vermieden?

  • Sind Analyse-, Marketing- oder CDN-Dienstleister eingebunden und warum?
  • Gibt es eine Option, kritische Integrationen zu deaktivieren oder durch EU-basierte Alternativen zu ersetzen?

• Entsprechen Default-Einstellungen dem „Privacy by Default“-Prinzip?

  • Kamera und Mikrofon standardmäßig aus, restriktive Rechte für Gäste, Wartebereich aktiviert.
  • Rollen- und Rechtekonzepte für Moderation, Co-Moderation und Teilnehmer.

• Ist die Lösung funktional ausreichend und didaktisch/praktisch durchdacht?

  • Aufzeichnung, Screensharing, Whiteboard, Breakout-Räume, Chat, Umfragen – jeweils mit klaren Zugriffs- und Speicherregeln.
  • Option „Konferenzmedien“: sicherer Upload, kontrollierter Zugriff und ausreichend Speicher – mit Möglichkeit zur Erweiterung bei Bedarf.

Viele dieser Punkte lassen sich mit Plattformen wie bbbserver.de adressieren: EU-Hosting, ISO 27001-Rechenzentrum, flexible Verbindungspakete, konfigurierbare Funktionen und – für anspruchsvolle Umgebungen – SLAs. Eine kostenlose Testphase hilft, technische und organisatorische Anforderungen im eigenen Kontext zu verifizieren, bevor ein Rollout erfolgt.

Fazit: Für sensible Kommunikation zählt Datensouveränität

Das Paywall-Beispiel zeigt plastisch, wie wertvoll personenbezogene Daten sind. „Kostenlos“ heißt im Zweifel: Die Refinanzierung erfolgt über Profile, Werbung und potenziell über Datenflüsse in Drittländer. Für sensible Kommunikation per Videokonferenz empfiehlt sich deshalb ein Modell, das Datensouveränität in den Mittelpunkt stellt – mit Hosting in der EU, zertifizierter Infrastruktur, klarer Auftragsverarbeitung und datenschutzfreundlichen Standard-Einstellungen. Open-Source-basierte Lösungen wie BigBlueButton, bereitgestellt über Anbieter mit hoher Datenschutzkompetenz, verbinden diese Prinzipien mit leistungsfähigen Funktionen für Lehre, Verwaltung und Wirtschaft. Wer heute bewusst wählt, reduziert Compliance-Risiken, stärkt Vertrauen – und schafft die Grundlage für digitale Zusammenarbeit ohne versteckte Kosten in Form personenbezogener Daten.