Meetings sind längst nicht mehr nur ein Gespräch im Sitzungszimmer. Heute laufen Besprechungen über Videokonferenz-Plattformen, hybride Sitzungsräume und mobile Geräte. Dabei werden gleichzeitig Ton, Bild, Chatnachrichten, Dateien, Namen der Teilnehmenden, Protokolle und Metadaten wie Zeitpunkt und Dauer des Meetings bearbeitet. Diese Austauschmöglichkeiten steigern die Effizienz digitaler Meetings, vergrössern aber auch die Risiken für Datenschutz, Vertraulichkeit und Informationssicherheit.
Bei der Auswahl einer geeigneten Konferenzlösung ist deshalb nicht nur ihre Benutzerfreundlichkeit entscheidend. Ebenso wichtig ist der Schutz von Personendaten und vertraulichen Unternehmensinformationen über den gesamten Lebenszyklus eines digitalen Meetings hinweg, von der Planung über die Durchführung bis zur Löschung der anfallenden Inhalte.
Hosting in der Schweiz oder im Ausland
Bei der Wahl einer Konferenzlösung fällt der Blick oft zuerst auf Funktionen, Integrationen und Preis. Mindestens ebenso relevant ist jedoch der Hosting-Standort. Viele Anbieter arbeiten mit globalen Cloud-Infrastrukturen. Je nach Auslastung und Zusatzfunktionen können Inhaltsdaten deshalb in mehreren Ländern gespeichert, bearbeitet oder weitergeleitet werden.
Für Schweizer Unternehmen sind dabei insbesondere drei Fragen zentral:
1. Wo werden Inhaltsdaten wie Audio, Video, Chatnachrichten, Dateien, Protokolle oder Transkripte gespeichert?
2. Von welchen Ländern aus erfolgen Support- oder Administrationszugriffe?
3. Setzt die Anbieterin Unterauftragsbearbeiter ein?
Das Hosting in der Schweiz kann zwar Risiken im Zusammenhang mit Auslandsbekanntgaben reduzieren, ersetzt aber keine sorgfältige datenschutzrechtliche Prüfung. Entscheidend ist vielmehr, wie diese Fragen beantwortet werden. Bei einem Hosting in der Schweiz stehen vor allem die vertraglichen Regelungen zur Auftragsbearbeitung im Vordergrund. Ebenso zu berücksichtigen sind die getroffenen technischen und organisatorischen Massnahmen, wie Zugriffsberechtigungen, Verschlüsselung, Protokollierung, Aufbewahrungsfristen sowie die Trennung administrativer und operativer Berechtigungen.
Beim Hosting im Ausland kommt zusätzlich hinzu, dass für die betroffenen Staaten ein angemessener Schutz bestehen muss oder geeignete Garantien vorgesehen sein müssen. Gerade Schweizer KMU unterschätzen dabei häufig, dass Auslandbekanntgaben nicht nur über den Standort des Rechenzentrums, sondern auch über Supportzugriffe, Unterauftragsbearbeiter oder Zusatzfunktionen ausgelöst werden können.
Konferenzlösungen sollten deshalb nicht als blosse Standardsoftware betrachtet werden. Ihr Einsatz muss bewusst geregelt werden, das heisst Standardkonfigurationen sollten nicht ungeprüft übernommen werden.
Rechtliche Leitplanken für Schweizer Unternehmen
Unternehmen müssen festlegen, welche Personendaten in Meetings zu welchem Zweck bearbeitet werden und welche Funktionen dafür erforderlich sind. Ob ein Meeting nur live stattfindet oder zusätzlich aufgezeichnet, transkribiert oder archiviert wird, ist dabei wesentlich. Daraus folgen insbesondere Anforderungen an Transparenz, Aufbewahrung und Schutzmassnahmen:
Auftragsbearbeitung: Unternehmen, die eine Konferenzlösung von einem Dienstleister beziehen, bleiben für die Bearbeitung verantwortlich. Der Auftragsbearbeitungsvertrag mit der Anbieterin muss sicherstellen, dass Personendaten ausschliesslich gemäss den Weisungen des Unternehmens bearbeitet werden und die erforderlichen technischen und organisatorischen Massnahmen getroffen sind. Standardverträge grosser Plattformanbieter sind meist auf deren eigene Interessen ausgerichtet und sollten deshalb vor Unterzeichnung auf Übereinstimmung mit den eigenen Anforderungen geprüft werden, insbesondere in Bezug auf eingesetzte Unterauftragsbearbeiter, Zugriffsrechte und Aufbewahrungsfristen.
Auslandbekanntgaben: Werden Personendaten ins Ausland bekanntgegeben, muss sichergestellt werden, dass im Empfängerstaat ein angemessener Datenschutz besteht oder geeignete Garantien vereinbart sind. Als Garantie kommen häufig EU-Standardvertragsklauseln zum Einsatz, die jedoch für den Schweizer Kontext angepasst werden müssen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat dazu konkrete Anforderungen formuliert.
Informationspflichten: Mitarbeitende und externe Teilnehmende müssen darüber informiert werden, welche Personendaten im Rahmen von Meetings zu welchem Zweck bearbeitet werden und an welche Empfänger diese gegebenenfalls bekanntgegeben werden. Diese Information erfolgt in der Regel über Datenschutzerklärungen. Sollen Meetings aufgezeichnet werden, ist explizit darüber zu informieren. Da eine solche Aufzeichnung typischerweise eine Persönlichkeitsverletzung darstellt, bedarf sie einer Rechtfertigung. In der Praxis bedeutet das, dass vor Beginn der Aufzeichnung von allen Teilnehmenden eine Einwilligung eingeholt werden muss. Wird die Einwilligung nicht erteilt, darf das Meeting nicht aufgezeichnet werden.
Datensicherheit und Löschfristen: Unternehmen sind verpflichtet, Personendaten durch angemessene technische und organisatorische Massnahmen zu schützen. Dazu gehören unter anderem die Verschlüsselung von Übertragungen und gespeicherten Inhalten sowie klare Regelungen dazu, wer auf gespeicherte Meeting-Inhalte zugreifen darf. Ebenso müssen Personendaten gelöscht werden, sobald sie für den Bearbeitungszweck nicht mehr erforderlich sind. Gerade bei Aufzeichnungen, Transkripten und Chatverläufen fehlen in der Praxis häufig klare Aufbewahrungsfristen und automatisierte Löschmechanismen. Beides sollte unternehmensintern geregelt und technisch durchgesetzt werden.
KI-gestützte Funktionen: Immer mehr Konferenzlösungen bieten KI-gestützte Funktionen wie automatische Transkriptionen, Sprechererkennung, Zusammenfassungen oder Aufgabenlisten. Während die Transkription festhält, was gesagt wurde, identifiziert die Sprechererkennung wer es gesagt hat. Werden dabei Stimmmuster zur eindeutigen Identifikation einer Person verwendet, handelt es sich dabei um biometrische Daten und damit um besonders schützenswerte Personendaten, was entsprechend erhöhte Sicherheitsanforderungen auslöset. Diese Funktionen steigern zwar die Effizienz, schaffen aber zugleich neue Datenbestände und neue Risiken. Gesprochene Inhalte werden durchsuchbar, leichter weiterleitbar und können in strukturierte Informationen wie Aufgaben, Bewertungen oder Verhaltensmuster überführt werden. Unternehmen sollten deshalb die Vertragsbedingungen des Anbieters sorgfältig prüfen und sicherstellen, dass Meeting-Inhalte, Transkripte oder Metadaten nicht für eigene Zwecke des Anbieters wie Produktverbesserungen, Analysen oder Modelltraining verwendet werden.
Ein oft unterschätzter Punkt ist die Qualität der KI-Zusammenfassungen. Diese können unvollständig oder sachlich falsch sein. Wer sich auf automatisch erzeugte Inhalte stützt, ohne sie zu prüfen, riskiert Fehlentscheide und falsche Dokumentationen. KI-generierte Inhalte sollten deshalb stets als Entwurf behandelt und vor der Weiterverwendung geprüft werden.
Meeting-Sicherheit in regulierten Branchen
Für Unternehmen in regulierten Branchen gelten erhöhte Anforderungen an Datenschutz und Datensicherheit, insbesondere hinsichtlich der Vertraulichkeit. Werden über Konferenzlösungen besonders schützenswerte Personendaten bearbeitet, etwa im Rahmen telemedizinischer Leistungen, ist zu prüfen, ob die Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt und deshalb eine Datenschutz-Folgenabschätzung erforderlich ist. Sicherheitsanforderungen sind vertraglich zu verankern, und Weisungs- sowie Prüfrechte gegenüber dem Anbieter müssen sichergestellt sein.
Hinsichtlich des Datenstandorts empfiehlt sich, wenn immer möglich, eine Lösung mit Datenhaltung in der Schweiz, da dies den Zugriff durch ausländische Behörden auf der Grundlage ausländischen Rechts erschwert. Ergänzend ist zu prüfen, ob der Anbieter eine Verschlüsselung anbietet, bei der die Schlüssel ausschliesslich beim Unternehmen verbleiben und der Anbieter selbst keinen inhaltlichen Zugriff auf Meeting-Daten hat.
Typische Anforderungen an Konferenzlösungen in regulierten Branchen sind:
- Identitäts- und Zugriffsmanagement mit klaren Rollen, möglichst über Single Sign-on (SSO) und Mehrfaktor-Authentifizierung (MFA)
- Trennung von internen und externen Meetings, inklusive restriktiver Gastrechte
- Ende-zu-Ende-Verschlüsselung oder mindestens starke Transportverschlüsselung, wo technisch möglich
- Data Loss Prevention (DLP) und Klassifizierung: sensible Inhalte nicht per Chat oder unkontrolliertem Datei-Upload teilen
- Protokollierung: nachvollziehbare Administratoraktivitäten und Meeting-Logs
- Klare Vorgaben zu Aufbewahrung und Löschung für Aufzeichnungen, Transkripte und Chats
Dos und Don’ts rund um Aufnahmen und Dokumentation
Aufzeichnungen und KI-gestützte Transkription gehören heute bei vielen Konferenzplattformen dazu Sie erleichtern die Nachbearbeitung, bringen aber erhebliche Risiken mit sich, wenn sie ohne klare Regeln eingesetzt werden. Die Tabelle unten fasst die wichtigsten Empfehlungen zusammen.
Mehr als nur Standardeinstellungen
Meetings sind heute komplexe Datenbearbeitungsvorgänge. Wer sie sicher und datenschutzkonform gestalten will, muss deshalb nicht nur auf Komfort und Funktionalität achten, sondern auch auf Datenstandort, Zugriffe, Aufbewahrung, Auftragsbearbeitung und KI-Funktionen. Gerade in sensiblen oder regulierten Bereichen reichen Standardeinstellungen und AGBs oft nicht aus. Entscheidend ist eine Lösung, die technisch beherrscht, rechtlich geprüft und organisatorisch klar geregelt ist.
Der Autor
Oliver Känzig ist Managing Consultant bei
Swiss Infosec. Er berät Unternehmen in datenschutzrechtlichen und informationssicherheitsbezogenen Fragestellungen und unterstützt sie bei der Erstellung praxistauglicher Konzepte, Richtlinien und Weisungen. Dank seiner juristischen und technischen Perspektive begleitet er Kunden an der Schnittstelle von Datenschutz, Informationssicherheit und Digitalisierung.
