Security

DSGVO-Datenpannen in der Videokonferenz: Risiken und Tipps für Compliance

Nina Benkotic
by Nina Benkotic
8 min read
November 11, 2025

Videokonferenzen sind heute das Rückgrat moderner Zusammenarbeit.
Ob Vorstandsmeetings, Bewerbungsgespräche, Therapiesitzungen oder Online-Unterricht – Unternehmen und Organisationen tauschen täglich sensible Informationen über virtuelle Kanäle aus.
Doch mit dieser Bequemlichkeit kommt auch Verantwortung – und genau die kann manchmal zur Herausforderung werden.

Wenn in einer Videokonferenz personenbezogene Daten geteilt, angezeigt oder gespeichert werden, gilt automatisch die Datenschutz-Grundverordnung (DSGVO).
Wer diese Daten nicht ausreichend schützt, riskiert ernsthafte Konsequenzen – bis hin zu Bußgeldern und Sanktionen.
Die Lage rund um DSGVO-Datenpannen entwickelt sich rasant, und Videokonferenzplattformen stehen zunehmend im Fokus der Aufsichtsbehörden.

Viele gehen davon aus, dass die DSGVO nur dann greift, wenn ein Hacker in ein System eindringt oder eine offensichtliche Sicherheitsverletzung vorliegt.
In Wahrheit kann ein DSGVO-Verstoß auch ganz ohne Angriff passieren – etwa durch eine falsch adressierte Einladung, eine öffentlich gewordene Aufzeichnung oder eine unbefugte Teilnahme.
All das kann bereits Melde- und Handlungspflichten auslösen.

Ein klares Verständnis dieser Risiken ist entscheidend – insbesondere für Datenschutz- und Compliance-Beauftragte, IT-Verantwortliche und Teams, die in digitalen Meetings oder Online-Kursen mit personenbezogenen Daten arbeiten.

Inhaltsverzeichnis

  1. Was gilt als DSGVO-Verstoß?
  2. Meldepflichten & Pflichten bei Datenschutzverletzungen
  3. Bußgelder, Entschädigungen & Risiken
  4. Wie du DSGVO-Verstöße in Videokonferenzen vermeidest
  5. Wie Digital Samba Organisationen bei der Compliance unterstützt
  6. Fazit
  7. Häufige Fragen (FAQ)

Was gilt als DSGVO-Verstoß?

In Artikel 4, Absatz 1 der DSGVO wird eine „Verletzung des Schutzes personenbezogener Daten“ definiert als:

„eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt.“

Diese Definition umfasst drei zentrale Dimensionen:

  • Vertraulichkeitsverletzung (Confidentiality Breach) – wenn Unbefugte Zugriff auf Daten erhalten oder wenn personenbezogene Daten versehentlich oder ohne Berechtigung offengelegt werden.

  • Integritätsverletzung (Integrity Breach) – wenn personenbezogene Daten unbefugt oder versehentlich verändert werden.

  • Verfügbarkeitsverletzung (Availability Breach) – wenn personenbezogene Daten unbefugt oder versehentlich gelöscht werden oder der Zugriff darauf verloren geht.

Beispiele im Kontext von Videokonferenzen

In virtuellen Meetings können solche Verstöße schnell passieren:

  • Falsch adressierte Einladung: Wird ein Einladungslink an die falsche Person geschickt, kann vertraulicher Meeting-Inhalt an Unbefugte gelangen. Selbst eine einzelne fehlgeleitete Einladung kann laut DSGVO bereits eine unbefugte Offenlegung darstellen – besonders, wenn es um sensible oder personenbezogene Daten geht.

  • Fehlende Zugriffsbeschränkung bei Aufzeichnungen: Wenn eine Videokonferenz aufgezeichnet und anschließend in der Cloud gespeichert oder geteilt wird – etwa mit personenbezogenen Details von Mitarbeitenden, Patientinnen oder Studierenden – entsteht ein erhebliches Datenschutzrisiko. Sobald eine Aufnahme außerhalb des vorgesehenen Personenkreises zugänglich ist, drohen dauerhafte Reputationsschäden und rechtliche Folgen.

  • Unverschlüsselte Übertragung: Wird eine Plattform ohne Ende-zu-Ende-Verschlüsselung genutzt, können Nachrichten oder Dateien auf dem Übertragungsweg abgefangen werden. Dadurch wird die Vertraulichkeit und Integrität der Kommunikation verletzt.

  • Fehlende Steuerung beim Screen-Sharing: Wenn Bildschirmfreigaben nicht eingeschränkt sind, kann es leicht passieren, dass vertrauliche Informationen unbeabsichtigt gezeigt werden. Das verstößt gegen das DSGVO-Prinzip der Datenminimierung.

  • Systemausfall oder Datenverlust: Ein technischer Ausfall, bei dem wichtige Daten oder Aufzeichnungen verloren gehen, gilt als Verfügbarkeitsverletzung. Der Verlust des Zugriffs auf kritische Informationen kann den Geschäftsbetrieb stören und gegen die DSGVO-Anforderung zur ständigen Verfügbarkeit und Belastbarkeit von Systemen verstoßen.

Jedes dieser Beispiele stellt eine personenbezogene Datenschutzverletzung nach DSGVO dar – selbst dann, wenn die Daten die EU nie verlassen oder kein externer Angriff stattgefunden hat.

Meldepflichten & Pflichten bei DSGVO-Verstößen

Nicht jede Datenschutzverletzung muss gemeldet werden – aber jede Organisation ist verpflichtet, jeden Vorfall sorgfältig zu bewerten und seinen Schweregrad sowie mögliche Folgen einzuschätzen.
Der entscheidende Maßstab ist das Risiko für die Rechte und Freiheiten der betroffenen Personen.

Die 72-Stunden-Meldepflicht

Wenn ein Verstoß voraussichtlich ein Risiko für Betroffene darstellt – etwa finanzielle Verluste, Identitätsdiebstahl, emotionalen Stress oder andere Schäden – muss der Verantwortliche (Controller) den Vorfall innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde melden.

Beispiele für zuständige Behörden sind:

  • das Information Commissioner’s Office (ICO) im Vereinigten Königreich

  • die Agencia Española de Protección de Datos (AEPD) in Spanien

  • der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Deutschland

Diese Regel bildet den Kern der DSGVO-Meldepflicht.

Der Bericht muss Folgendes enthalten:

  • Art des Verstoßes und betroffene Datenkategorien:
    Eine klare Beschreibung, was passiert ist, wie der Vorfall entdeckt wurde und welche Arten personenbezogener Daten betroffen sind – z. B. Namen, Kontaktdaten oder Gesundheitsinformationen.

  • Kontaktdaten der oder des Datenschutzbeauftragten (DPO):
    Eine Ansprechperson ermöglicht der Aufsichtsbehörde Rückfragen und sorgt für transparente Kommunikation während der Untersuchung.

  • Mögliche oder erwartete Folgen:
    Einschätzung der potenziellen Auswirkungen auf die Betroffenen – etwa finanzielle Schäden, emotionale Belastung, Reputationsverlust oder Missbrauch personenbezogener Daten.

  • Ergriffene Maßnahmen zur Schadensbegrenzung:
    Dazu zählen Sofortmaßnahmen (z. B. Deaktivierung von Zugriffslinks, Information der Betroffenen) sowie langfristige Verbesserungen, um ähnliche Vorfälle künftig zu vermeiden.

Wenn die Meldung nicht innerhalb von 72 Stunden erfolgt, muss die Organisation den Grund für die Verzögerung begründen.

Information der betroffenen Personen

Besteht ein hohes Risiko für die Rechte und Freiheiten Einzelner, müssen auch die Betroffenen „unverzüglich“ informiert werden.
Diese Mitteilung sollte in klarer, verständlicher Sprache erklären:

  • was passiert ist,
  • welche Folgen drohen,
  • und welche Schritte die Betroffenen selbst unternehmen können, um sich zu schützen.

Verantwortliche vs. Auftragsverarbeiter

Zu verstehen, wer wofür verantwortlich ist, ist entscheidend:

  • Verantwortliche (Controller) bestimmen den Zweck und die Mittel der Datenverarbeitung und tragen somit die Hauptverantwortung für Meldung und Abhilfe.

  • Auftragsverarbeiter (Processors) – etwa Drittanbieter-Videoplattformen – müssen den Verantwortlichen unverzüglich informieren, sobald sie von einer Datenschutzverletzung erfahren.

Diese geteilte Verantwortung bedeutet:
Organisationen sollten nur mit Partnern zusammenarbeiten, die sowohl technisch sicher als auch vertraglich DSGVO-konform aufgestellt sind.

Bußgelder, Entschädigungen & Risiken

Ein Verstoß gegen die DSGVO-Pflichten kann teuer werden.
Das maximale Bußgeld bei Datenschutzverletzungen liegt bei bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Bei schwerwiegenden Sicherheitslücken oder verspäteten Meldungen an die Behörden können diese Strafen schnell ansteigen.

Entschädigungen & Schadensersatz

Nach der DSGVO können betroffene Personen Schadensersatz verlangen – sowohl für finanzielle als auch für immaterielle Schäden, etwa Stress, Rufschädigung oder Kontrollverlust über persönliche Daten.
Solche Ansprüche werden immer häufiger geltend gemacht, und Datenschutz-Anwältinnen und -Anwälte bieten inzwischen gezielt Unterstützung für Betroffene an – insbesondere bei geleakten Gesundheits- oder Personaldaten.

Beispiele für DSGVO-Verstöße in Videokonferenzen

Zwei reale Fälle zeigen, wie leicht Videokonferenzen Organisationen in datenschutzrechtliche Schwierigkeiten bringen können:

  • Zoom (2020):
    Der US-Anbieter Zoom Video Communications geriet international unter Druck, nachdem bekannt wurde, dass die beworbene Ende-zu-Ende-Verschlüsselung dem Unternehmen selbst weiterhin Zugriff auf Meeting-Inhalte erlaubte, da es die kryptografischen Schlüssel behielt.
    Außerdem waren Meeting-IDs und URLs nicht ausreichend zufällig, was sogenannte Zoombombing-Vorfälle ermöglichte – also unbefugte Teilnahmen an privaten Sitzungen.
    Diese Probleme führten zu regulatorischem Druck und einer Einigung mit der US-Federal Trade Commission (FTC), in der Zoom verpflichtet wurde, seine Sicherheitsmaßnahmen zu verbessern und Verschlüsselungsangaben klarzustellen.

  • Fall der irischen Datenschutzbehörde (DPC):
    In einem dokumentierten Fall führte eine falsch konfigurierte öffentliche Anhörung dazu, dass Unbefugte an einer vertraulichen Online-Sitzung teilnehmen und Inhalte einsehen konnten.
    Dies stellte eine Verletzung der Vertraulichkeit dar und verdeutlicht, wie wichtig Zugriffsbeschränkungen und Rollenmanagement in virtuellen Umgebungen sind.

Diese Beispiele zeigen, dass DSGVO-Verstöße in Videokonferenzen nicht immer durch Hackerangriffe entstehen – oft sind falsche Einstellungen oder unklare Sicherheitsversprechen die Ursache.
Sie unterstreichen die Notwendigkeit von Privacy-by-Design-Plattformen und diszipliniertem Meeting-Management, um unbefugten Zugriff und Datenlecks zu verhindern.

Wie du DSGVO-Verstöße in Videokonferenzen vermeidest

1. Sicherheit durch Design

Wähle eine Plattform, die Datenschutz von Anfang an integriert – also Privacy by Design umsetzt – und es dir ermöglicht, sie sofort sicher zu nutzen, ohne komplizierte Zusatzkonfigurationen.
Funktionen wie Warteräume, rollenbasierter Zugriff, Ende-zu-Ende-Verschlüsselung (E2EE) und tokenbasierte Authentifizierung reduzieren das Risiko unbefugter Zugriffe und schützen Nutzerdaten standardmäßig.

2. Datenminimierung

Erhebe und teile nur, was für einen reibungslosen Ablauf der Videokonferenz unbedingt notwendig ist.
Deaktiviere unnötige Aufnahmefunktionen, beschränke Dateiübertragungen und achte darauf, dass Aufbewahrungsrichtlinien für gespeicherte Daten eingehalten werden.
Eine sichere und vollständige Löschung sollte Standard sein.

3. Kontrollierte Aufzeichnungen

Wenn Aufzeichnungen erforderlich sind (z. B. zu Compliance- oder Schulungszwecken), speichere sie verschlüsselt auf Servern innerhalb der EU.
Fordere dazu vom Anbieter eine Datenverarbeitungsvereinbarung (DPA) an, um sicherzugehen, dass alle Standards erfüllt sind.
Vermeide Cloud-Dienste außerhalb der DSGVO-Jurisdiktion, es sei denn, sie unterliegen gültigen Schutzmechanismen wie den Standardvertragsklauseln (SCCs).

4. Regelmäßige Risikoanalysen

Führe Datenschutz-Folgenabschätzungen (DPIAs) durch, wenn du neue Videosysteme einsetzt oder bestehende änderst.
So bekommst du einen Überblick über mögliche Risiken und kannst Probleme erkennen, bevor sie zu Datenschutzverletzungen führen.

5. Schulung & Sensibilisierung

Der häufigste Auslöser für Datenschutzverletzungen ist und bleibt der menschliche Fehler.
Schule dein Team regelmäßig zu Datenschutzgrundlagen, korrekter Meeting-Einrichtung und Meldeprozessen bei Vorfällen.
So reduzierst du das Risiko von Pannen und stärkst die Datenschutzkultur in deinem Unternehmen.

Wie Digital Samba Organisationen bei der DSGVO-Compliance unterstützt

Digital Samba wurde in Europa für Europa entwickelt – eine Plattform, die auf Datenschutz, Sicherheit und digitale Souveränität ausgerichtet ist.
Im Gegensatz zu US-basierten Anbietern, die unter extraterritoriale Gesetze wie den CLOUD Act fallen, stellt Digital Samba sicher, dass alle personenbezogenen Daten nach DSGVO-Standards geschützt bleiben – durch den ausschließlichen Einsatz europäischer Sub-Prozessoren.

Datenschutz nach dem Prinzip „Compliance by Design“

  • EU-only Hosting:
    Sämtliche Daten – einschließlich Aufzeichnungen und Metadaten – werden ausschließlich in europäischen Rechenzentren gespeichert, die sich im Besitz europäischer Unternehmen befinden.

  • Verschlüsselung:
    Alle Kommunikationsdaten sind sowohl bei der Übertragung als auch im Ruhezustand verschlüsselt, sodass selbst Administratorinnen und Administratoren keinen Zugriff auf Meeting-Inhalte haben.

  • Anonymisierte Benutzerkennungen:
    Durch ein tokenbasiertes Identifikationssystem werden Teilnehmeridentitäten geschützt und die Datenexposition auf ein Minimum reduziert.

Tools zur Vermeidung menschlicher Fehler

  • Warteräume & Zugriffskontrolle:
    Nur freigegebene Teilnehmende können dem Meeting beitreten – das reduziert das Risiko unbeabsichtigter Datenoffenlegung.

  • Rollenverwaltung & tokenbasierte Authentifizierung:
    Nur autorisierte Personen dürfen Meetings starten, aufzeichnen oder Inhalte teilen.

  • Keine Tracking- oder Analyse-Cookies:
    Datenschutz gilt bei Digital Samba auch über das Meeting hinaus – es gibt keine versteckten Tracker oder Datenanalysen.

Aufzeichnungen & Datenverwaltung

Aufzeichnungen, Chat-Protokolle und geteilte Dateien werden nach den besten DSGVO-Standards verarbeitet.
Du behältst die volle Kontrolle über Aufbewahrungsdauer und Löschung, sodass keine Daten länger gespeichert werden, als unbedingt erforderlich.

Durch die Integration von Digital Samba können Organisationen die häufigsten Ursachen für DSGVO-Verstöße effektiv vermeiden – und schaffen damit Sicherheit und Gelassenheit für Datenschutzbeauftragte und IT-Verantwortliche gleichermaßen.

Fazit

Videokonferenzen haben die moderne Arbeitswelt verändert – doch mit dieser Entwicklung wächst auch die Verantwortung für Datenschutz und Sicherheit.
Schon ein falsch konfiguriertes Meeting oder eine fehlplatzierte Datei kann laut DSGVO als Datenschutzverletzung gelten – mit finanziellen, rechtlichen und reputationsbezogenen Folgen.

Wenn du die Grundprinzipien der Vertraulichkeit, Integrität und Verfügbarkeit verstehst und auf datenschutzfreundliche Plattformen wie Digital Samba setzt, kannst du das Risiko von Verstößen deutlich reduzieren.

Kontaktiere uns, um zu erfahren, wie du DSGVO-konform, sicher und datenschutzfreundlich arbeitest – und wie du mit Digital Samba deine Meetings zuverlässig schützt.

 

FAQ – Häufig gestellte Fragen

Was ist ein DSGVO-Verstoß?

Ein DSGVO-Verstoß liegt vor, wenn personenbezogene Daten versehentlich oder unrechtmäßig offengelegt, verändert, gelöscht, verloren oder unbefugt abgerufen werden – also wenn ihre Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigt ist.

Was gilt als Verletzung personenbezogener Daten nach der DSGVO?

Jeder Vorfall, der die Sicherheit personenbezogener Daten beeinträchtigt – z. B. E-Mails an falsche Empfänger, geleakte Aufzeichnungen oder unbefugter Zugriff – gilt als Datenschutzverletzung nach der DSGVO.

Was ist eine Integritätsverletzung im Sinne der DSGVO?

Eine Integritätsverletzung tritt auf, wenn personenbezogene Daten verändert, verfälscht oder manipuliert werden, sodass ihre Richtigkeit oder Zuverlässigkeit beeinträchtigt ist.

Was ist eine Verfügbarkeitsverletzung nach der DSGVO?

Eine Verfügbarkeitsverletzung liegt vor, wenn autorisierte Personen keinen Zugriff mehr auf Daten haben – etwa durch Verlust, Löschung oder einen Systemausfall.

Wie hoch ist das maximale Bußgeld bei einem DSGVO-Verstoß?

Das maximale Bußgeld kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen – je nachdem, welcher Betrag höher ist.

Was passiert, wenn du versehentlich gegen die DSGVO verstößt?

Du musst das Risiko bewerten, den Vorfall dokumentieren und – falls erforderlich – innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren.

Wer ist für die Durchsetzung der DSGVO verantwortlich?

Jeder EU-Mitgliedstaat hat eine eigene Datenschutzaufsichtsbehörde, die die DSGVO durchsetzt und Meldungen entgegennimmt – etwa die CNIL in Frankreich oder den BfDI in Deutschland.

Ist das Teilen einer E-Mail-Adresse ein DSGVO-Verstoß?

Ja – wenn dadurch personenbezogene Informationen ohne rechtliche Grundlage oder Einwilligung offengelegt werden, kann das als Verstoß gegen die DSGVO gelten.

Wie meldet man einen DSGVO-Verstoß?

Melde den Vorfall über das Online-Formular deiner Aufsichtsbehörde innerhalb von 72 Stunden und beschreibe alle relevanten Details und ergriffenen Maßnahmen.

Wie hoch kann die Entschädigung bei einem DSGVO-Verstoß sein?

Die Höhe der Entschädigung hängt von der Schwere des Schadens, der Art der betroffenen Daten und dem Ausmaß der Offenlegung ab.
Bei gravierenden Fällen empfiehlt sich rechtliche Beratung durch Datenschutzexpertinnen oder -experten.

Was passiert, wenn du am Arbeitsplatz gegen die DSGVO verstößt?

Dein Arbeitgeber muss den Vorfall ggf. melden, Mitarbeitende nachschulen oder disziplinarische Maßnahmen ergreifen.
Bei systematischen Verstößen kann die Aufsichtsbehörde Bußgelder verhängen und eine Untersuchung einleiten.

 

Referenzen

  1. Information Commissioner’s Office. (2024). Personal data breaches: a guide.
  2. Linklaters LLP. (2023). Data breaches under the GDPR: Five key questions.
  3. Medical Defence Union (MDU). (2024). GDPR data breaches: guidance and advice.
  4. European Union. (2016). General Data Protection Regulation (EU) 2016/679. Official Journal of the European Union. Retrieved from https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
  5. European Union. GDPR, Chapter 1, Article 4 Definitions. Retrieved from https://gdpr.eu/article-4-definitions/ 
  6. Cloud Security Alliance. (2022, March 13). An analysis of the 2020 Zoom breach.
  7. Data Protection Commission. (2022). Risks posed to users by video conferencing platforms – case study.
  8. Federal Trade Commission. (2020, November 9). FTC requires Zoom to enhance its security practices as part of settlement.
  9. Goodwin Law Firm. (2020, November 18). FTC and Zoom reach settlement over alleged misleading security practices.
  10. SecurityWeek. (2020, April 2). Zoom’s security and privacy woes violated GDPR, expert says.
Previous story
← Immobilien online präsentieren: Virtuelle Rundgänge für Maklerinnen und Makler
Navigieren durch HIPAA und DSGVO
HIPAA-konforme Videokonferenzen für Therapeuten - Digital Samba
Security

Navigieren durch HIPAA und DSGVO

April 22, 2025 8 min read
KI und Datenschutz: Herausforderungen, Risiken und DSGVO-konforme Lösungen
AI and Data Privacy - Digital Samba
Video Conferencing

KI und Datenschutz: Herausforderungen, Risiken und DSGVO-konforme Lösungen

Oktober 31, 2025 13 min read
Top-Datenschutz-Trends 2025: Was sich ändert – und wie du compliant bleibst
Data Privacy in 2025 Innovations, Regulations, and Best Practices - Digital Samba
Security

Top-Datenschutz-Trends 2025: Was sich ändert – und wie du compliant bleibst

November 4, 2025 12 min read