Videokonferenzen verarbeiten personenbezogene Daten – Bilder, Stimmen, Chat-Verläufe, Aufzeichnungen. Damit fallen sie voll unter die DSGVO. Seit Homeoffice und Remote-Arbeit zum Alltag gehören, läuft ein großer Teil der Kommunikation über Videocalls. Praktisch – aber dabei wird oft vergessen, wie sensibel die Daten sind, die da über den Bildschirm fließen. Genau hier kommt der Datenschutz ins Spiel.
Die Datenschutz-Grundverordnung (DSGVO) ist das EU-Regelwerk für den Schutz personenbezogener Daten. Sie gilt nicht nur für Firmen mit EU-Sitz, sondern überall, wo mit Daten von Menschen in der EU gearbeitet wird – egal ob du in Berlin oder Boston sitzt.
Auch Videokonferenzen fallen darunter. Heißt: Wenn du Zoom, Teams oder andere Tools nutzt, musst du sicherstellen, dass die Daten der Teilnehmenden geschützt sind. In diesem Guide 2026 zeigen wir, was die DSGVO konkret verlangt – und wie du DSGVO-konforme Videokonferenzen durchführst, ohne in Bürokratie zu ersticken.
Die DSGVO ist kein reines IT-Thema – sie betrifft jeden, der mit personenbezogenen Daten arbeitet. Und bei Videokonferenzen werden mehr Daten übertragen, als man denkt: Name, Stimme, Bild, Chatverläufe, geteilte Dateien, Aufzeichnungen. All das zählt als personenbezogene Daten – und unterliegt damit der DSGVO.
Verschlüsselung der Verbindung
Deine Videocalls sollten so verschlüsselt sein, dass Inhalte nicht im Klartext durchs Netz fließen. Standard ist TLS für die Übertragung; für besonders sensible Sessions ist End-to-End-Verschlüsselung (E2EE) verfügbar, bei der nicht einmal der Anbieter mitlesen kann. Ohne mindestens TLS ist sichere Kommunikation kaum möglich.
Transparente Datennutzung
Du darfst keine Infos über Teilnehmende heimlich speichern oder weitergeben. Alles muss klar kommuniziert und nachvollziehbar sein – besonders bei Aufzeichnungen. Klare Hinweise zu Aufnahme, Speicherort und Aufbewahrungsfristen sind Pflicht.
Keine Profilbildung ohne Einwilligung
Dein Anbieter darf keine Nutzungsprofile erstellen, um z. B. gezielt Werbung auszuspielen. Das ist ein klarer Punkt in der DSGVO: Daten ja, aber nur zweckgebunden für die Durchführung des Meetings.
Vorsicht bei Tools aus Nicht-EU-Ländern
Wenn du Tools nutzt, die außerhalb der EU gehostet sind (z. B. in den USA), prüfe, ob der Anbieter sich an Datenschutzstandards wie den EU-US Data Privacy Framework (gültig seit Juli 2023) hält. Andernfalls brauchst du zusätzliche vertragliche Schutzmaßnahmen wie Standardvertragsklauseln (SCCs). Mehr in unserer Antwort auf die Frage, ob die DSGVO EU-Hosting verlangt.
Kurz gesagt: Die DSGVO will, dass du mit sensiblen Daten so umgehst, wie du es dir auch für deine eigenen wünschen würdest. Fair, transparent und sicher.
Was du tun musst, um DSGVO-konform zu sein
Die DSGVO klingt nach Bürokratie, aber in der Praxis geht es vor allem darum, verantwortungsvoll mit Teilnehmer-Daten umzugehen. Gerade bei Videokonferenzen, wo viele sensible Informationen geteilt werden, solltest du folgende Punkte beachten:
1. Teilnehmer:innen transparent informieren
Bevor du eine Videokonferenz startest, kommuniziere klar: Welche Daten werden erhoben? Wird das Meeting aufgezeichnet? Werden Namen, E-Mail-Adressen oder IP-Adressen gespeichert? Wer bekommt später Zugriff auf die Aufzeichnung? Wenn du Daten speicherst, brauchst du in vielen Fällen die ausdrückliche Zustimmung der Teilnehmenden – am besten schriftlich oder per digitalem Opt-In.
2. Aufzeichnungen sicher speichern und Zugriffsrechte einschränken
Wenn du Meetings aufzeichnest, reicht es nicht, die Dateien einfach auf einem beliebigen Server abzulegen. Aufzeichnungen müssen verschlüsselt gespeichert und nur autorisierten Personen zugänglich sein. Wer Zugriff hat, sollte vorher klar definiert sein – Datenschutzbeauftragte:r, bestimmte Admins. Wichtig: Speicherung darf nicht unbegrenzt erfolgen. Klare Löschfristen müssen dokumentiert sein.
3. Vorsicht bei Anbietern außerhalb der EU
Wenn du eine Videokonferenzsoftware nutzt, die außerhalb der EU gehostet ist – z. B. in den USA – stelle sicher, dass der Anbieter sich an europäische Datenschutzstandards hält. Seit Juli 2023 gilt das EU-US Data Privacy Framework, das US-Anbietern Auflagen macht. Nur wenn dein Anbieter dort zertifiziert ist, darfst du personenbezogene Daten von EU-Bürger:innen überhaupt übertragen. Andernfalls brauchst du Standardvertragsklauseln (SCCs).
4. Keine Daten für eigene Zwecke verwenden
Ein oft übersehener Punkt: Weder du noch der Anbieter dürfen personenbezogene Daten aus der Videokonferenz für andere Zwecke verwenden – etwa Werbung, Profilerstellung oder Weitergabe an Dritte. Die DSGVO verlangt eindeutige Zweckbindung: Wenn die Daten für das Meeting erhoben wurden, dürfen sie nur dafür genutzt werden.
5. Dokumentation nicht vergessen
Auch wenn es lästig klingt: Dokumentiere, wie du mit Daten umgehst. Wer ist für die Verarbeitung verantwortlich? Welche Tools nutzt du? Welche Einwilligungen hast du eingeholt? Diese Nachweise sind wichtig bei Datenschutzprüfungen. Eine vollständige Schritt-für-Schritt-Anleitung findest du in unserer DSGVO-Checkliste in 10 Schritten.
Schnell-Check: Erfüllt deine Videokonferenz-Lösung die DSGVO-Anforderungen?
Beantworte 7 Ja/Nein-Fragen und finde heraus, wie konform dein aktuelles Videokonferenz-Setup ist:
Hake ab, was auf deine aktuelle Lösung zutrifft:
Klick auf den Button für deine Auswertung
Score:– von 7
Sicherheits-Tipps für datenschutzkonforme Videokonferenzen
Datenschutz ist nicht nur ein rechtliches Thema, sondern auch eine Vertrauensfrage. Wer in einer Videokonferenz spricht, will sicher sein, dass Inhalte nicht irgendwo landen, wo sie nichts verloren haben. Mit diesen bewährten Maßnahmen bist du auf der sicheren Seite:
1. Nutze Videokonferenzsoftware mit angemessener Verschlüsselung
Wähle ein Tool, das Gespräche und geteilte Inhalte während der Übertragung mit TLS verschlüsselt. Für besonders sensible Sessions sollte zusätzlich End-to-End-Verschlüsselung (E2EE) verfügbar sein. So gewährleistest du, dass Inhalte nicht im Klartext durchs Netz fließen.
2. Aktiviere Warteräume und Zugangskontrollen
Lass nicht jeden einfach in deine Meetings. Nutze Warteräume oder Zugangscodes, damit du kontrollieren kannst, wer wirklich teilnehmen darf. Besonders bei vertraulichen Gesprächen oder Team-Meetings ein einfacher, aber wirksamer Schutz.
3. Halte Software und Systeme aktuell
Sicherheitslücken entstehen oft durch veraltete Software. Installiere regelmäßig Updates – für deine Videoplattform genauso wie für Betriebssystem, Browser und Firewall. Viele Datenschutzpannen passieren nur, weil grundlegende Updates übersehen wurden.
4. Verzichte auf unnötige Aufzeichnungen
Nicht jedes Meeting muss aufgezeichnet werden. Frag dich vorher: Brauche ich die Aufzeichnung wirklich? Wenn ja, informiere alle Beteiligten transparent darüber und speichere die Datei sicher mit klaren Löschfristen.
5. Setze klare Rollen im Team
Nur bestimmte Personen sollten Rechte haben wie Meetings aufzuzeichnen, Daten zu exportieren oder Teilnehmende zu verwalten. Je weniger Leute Zugriff auf sensible Funktionen haben, desto geringer das Risiko von Fehlern oder Datenlecks.
6. Verwende starke Passwörter und Zwei-Faktor-Authentifizierung
Klingt banal, schützt aber zuverlässig: Sichere Konten mit starken Passwörtern und aktiviere Zwei-Faktor-Authentifizierung, wenn deine Lösung das anbietet. So verhinderst du, dass sich Unbefugte einloggen.
Wie Digital Samba deine Daten bei Videokonferenzen schützt
Digital Samba ist eine in der EU gehostete, DSGVO-konforme Videokonferenz-Plattform mit Fokus auf Datenschutz und Sicherheit. Als europäisches Unternehmen mit Serverstandorten in der EU sind diese Aspekte für uns nicht optional, sondern Architekturprinzip.
Konkret bedeutet das:
DSGVO-konform von Grund auf
Produktstruktur, Prozesse und vertragliche Rahmenbedingungen sind an die DSGVO-Anforderungen ausgerichtet. Digital Samba ist nicht „DSGVO-kompatibel gemacht" – die Plattform wurde von Anfang an für DSGVO-Anforderungen designt.
EU-Infrastruktur
Videokonferenz-Daten werden auf EU-Infrastruktur verarbeitet (Leaseweb NL, Scaleway). Übertragung mit TLS 1.3, Speicherung mit AES-256-GCM, Medien-Streams mit DTLS-SRTP gesichert.
Optional End-to-End-Verschlüsselung
Für besonders vertrauliche Sessions (Gerichts-Konsultationen, Therapie-Termine, sensible Verhandlungen) lässt sich E2EE aktivieren. Bei E2EE haben nicht einmal Server-Operatoren Zugang zu Inhalten – nur Sender und Empfänger.
Pseudonymisierte Identifikatoren
Wo möglich, werden Teilnehmer-Identifikatoren pseudonymisiert. Das reduziert die Re-Identifizierung über kombinierte Datenquellen.
Token-basierte Zugangskontrolle
Meeting-Zugang läuft über individuelle Zugangstokens mit konfigurierbarer Gültigkeitsdauer. Du bestimmst, wer Zugang hat und wie lange.
Auftragsverarbeitungsvertrag (AVV)
Digital Samba stellt einen vollständigen AVV bereit, der Transparenz und Rechenschaftspflicht regelt. Optionale Sub-Auftragsverarbeiter (z. B. für CRM-Integration) sind im AVV transparent gelistet und können für EU-B2B-Setups vertraglich ausgeschlossen werden.
Keine Werbe-Verarbeitung, kein Daten-Verkauf
Meeting-Inhalte werden nicht für Werbe-Profiling ausgewertet und nicht an Werbenetzwerke weitergegeben. Du behältst die Kontrolle über deine Daten und kannst sie auf Anfrage löschen lassen.
Konfigurierbare Datenaufbewahrung
Du bestimmst, ob und wie lange Meetings aufgezeichnet werden, wann Daten gelöscht werden und wer Zugriff hat. Default ist Datenminimierung, nicht Maximalspeicherung.
Zoom hat in den letzten Jahren erhebliche Anpassungen vorgenommen und bietet inzwischen Optionen für DSGVO-konforme Nutzung – einschließlich EU-Datenresidenz für Enterprise-Kund:innen und AVV. Trotzdem bleibt Zoom ein US-basiertes Unternehmen, das unter den CLOUD Act fällt. Für maximale Compliance-Sicherheit sind EU-native Anbieter die einfachere Wahl.
Brauche ich eine Einwilligung für jede Videokonferenz?
Nicht für jede einzelne, aber für die Datenverarbeitung an sich. Wenn du Meetings aufzeichnest, brauchst du in der Regel ausdrückliche Einwilligungen. Für reguläre Live-Meetings reicht es, wenn die Datenverarbeitung in der Datenschutzerklärung deines Unternehmens transparent dokumentiert ist.
Wie lange darf ich Aufzeichnungen speichern?
Nur so lange, wie der Zweck es erfordert (Grundsatz der Speicherbegrenzung). Konkrete Fristen ergeben sich aus dem Zweck und ggf. gesetzlichen Aufbewahrungspflichten. Definiere klare Löschfristen für jede Art von Aufzeichnung (Schulung, Vorstandsmeeting, Webinar) und automatisiere die Löschung wo möglich.
Was ist ein Auftragsverarbeitungsvertrag (AVV)?
Der AVV ist nach Art. 28 DSGVO Pflicht für jeden Dienstleister, der in deinem Auftrag personenbezogene Daten verarbeitet – inklusive Videokonferenz-Anbieter. Er regelt Pflichten, Sicherheitsmaßnahmen und Sub-Auftragsverarbeiter. Ohne AVV mit deinem Anbieter bist du nicht DSGVO-konform.
Muss mein Videokonferenz-Anbieter zwingend in der EU sitzen?
Nein, aber außerhalb der EU brauchst du zusätzliche Schutzmaßnahmen: Standardvertragsklauseln (SCCs), Transfer Impact Assessment (TIA), und bei US-Anbietern die Zertifizierung unter dem EU-US Data Privacy Framework. EU-native Anbieter sparen dir diese Compliance-Schritte. Mehr in Verlangt die DSGVO EU-Hosting?
Was sind die häufigsten DSGVO-Verstöße bei Videokonferenzen?
Aufzeichnung ohne Einwilligung, unbegrenzte Speicherdauer von Mitschnitten, fehlender AVV mit dem Anbieter, kein Hinweis auf Datentransfer in Drittländer und mangelnde Zugriffskontrolle bei Aufzeichnungen. Diese Punkte tauchen regelmäßig in DPA-Prüfungen auf.
Sind Browser-basierte Videokonferenzen sicherer als App-basierte?
Nicht zwangsläufig sicherer, aber sie ermöglichen Nutzung ohne Software-Installation und damit bessere Kontrolle über Endgeräte-Sicherheit. Was wirklich zählt, sind Verschlüsselung, Hosting-Standort und vertragliche Regelungen – nicht der Bereitstellungs-Modus.
Was passiert bei einer Datenpanne in einer Videokonferenz?
Nach Art. 33 DSGVO musst du die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren. Bei hohem Risiko für Betroffene müssen diese zusätzlich benachrichtigt werden. Dokumentiere alle Vorfälle in deinem Verarbeitungsverzeichnis.
