Datenschutzkonforme Verwendung von Videokonferenz-Tools

Zahlreiche Kriterien mit Einfluss auf die Wahl des Tools

[datensicherheit.de, 26.06.2020] Aufgrund der Corona-Pandemie sind Besprechungen nicht mehr im gewohnten Rahmen möglich. In Unternehmen hat sich bewährt, Besprechungen und Konferenzen stattdessen über Videotelefonie mit zwei oder mehr Teilnehmern durchzuführen. Den Unternehmen stehen dabei verschiedene Anwendungen wie Zoom, Skype, MS Teams, GoTo-Meeting, Teamviewer oder WebEx zur Auswahl. Bei allen Videotools stellt sich die Frage, wie personenbezogene Daten und Geschäftsgeheimnisse am besten geschützt werden und welche Risiken sich im Einzelnen ergeben können. Besonders, wenn Personal- und/oder Gesundheitsdaten geteilt werden, aber auch bei der Nutzung in Schulen bzw. mit und durch Minderjährige, muss auf den Schutz dieser sensiblen Daten geachtet werden. Gleiches gilt für wichtige Geschäftsgeheimnisse oder geschäftliche Daten, die durch unvorsichtiges Handeln nicht in die falschen Hände geraten sollen.

Eine Vielzahl an Kriterien beeinflusst die Wahl des Tools

Bei der Auswahl eines Videokonferenz-Tools stellen sich vorab viele Fragen. Zunächst muss geklärt werden, ob die Einführung eines eigenen Dienstes möglich ist, sprich: ein Unternehmen eine eigene oder eine Fremdsoftware auf der IT-Infrastruktur sicher und funktional betreiben kann. In diesem Fall werden die Daten nur auf Ihrem Server gespeichert und der Anbieter der Videokonferenzlösung erhält in der Regel keinen Zugriff auf die Videokonferenz-Daten. In diesem Fall obliegt es aber auch der Verantwortung des Betreibers, die IT-Infrastruktur hinreichend zu sichern und ausreichend Kapazitäten bereitzuhalten, die für die Durchführung der Videokonferenzen, möglicherweise sogar mehrere zur gleichen Zeit, erforderlich sind.

Entscheiden Sie sich gegen die Einrichtung eines eigenen Dienstes, so sollte ein Anbieter gewählt werden, der seinen Sitz in der EU bzw. im EWR hat. Alternativ kann ein Anbieter ausgesucht werden, der seinen Sitz in einem Staat mit angemessenem Datenschutzniveau hat (Liste der Staaten unter https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en ). Handelt es sich um ein Unternehmen aus den USA, so sollte es nach den EU-US-Privacy Shield zertifiziert sein. Diese Zertifizierung müssen die US-Unternehmen jährlich erneuern. In Folge müssen auch Sie als Nutzer die Zertifizierung jährlich überprüfen.

Nach dieser Vorauswahl ist entscheidend, ob durch Zertifizierungen oder Verschlüsselungen eine ausreichende Datensicherheit erreicht werden kann. Mit Blick auf die Verschlüsselung sollte mindestens eine Transportverschlüsselung vorliegen. Sollen ausnahmsweise auch sensible Daten bearbeitet werden, ist eine Ende-zu-Ende-Verschlüsselung geboten.

Dann ist mit dem ausgewählten Anbieter nur noch eine Vereinbarung zur Auftragsverarbeitung abzuschließen. Sofern es sich um ein nicht in der EU-/EWR-ansässiges Unternehmen handelt, muss zusätzlich überprüft werden, ob eine Privacy-Shield-Zertifizierung vorliegt oder die EU-Standardvertragsklauseln abgeschlossen werden können.

Aus rechtlicher Sicht ist bei der Auswahl und Einführung der Videotelefonie auf die Beteiligung, des Betriebs-/Personalrats sowie der Datenschutzbeauftragten zu achten.

Datenschutzkonforme Verwendung von Videotools

Nach Einführung des Videotools sind für die Nutzung verschiedene Sicherheitsmaßnahmen zu treffen.
Das Unternehmen muss durch organisatorische Maßnahmen sicherstellen, dass weder der Anbieter noch ein Teilnehmer unberechtigt Aufnahmen der Konferenz erstellt oder Nutzungsdaten an Dritte, wie z.B. Social-Media-Netzwerke, übermittelt werden. Auch Features zur Überprüfung der Aufmerksamkeit sollten in der Regel nicht verwendet werden. Etwas anderes kann beispielsweise dann gelten, wenn die Überprüfung der Aufmerksamkeit für die Teilnahme an einer Prüfung oder einem Seminar mit Teilnahmebescheinigung erforderlich ist, um festzustellen, ob die Teilnehmer keine anderen Programme auf ihren Geräten nutzen. Verschiedene Betreiber bieten die sinnvolle Möglichkeit, den Teilnehmern das Betreten der Konferenz nur mit einem Passwort zu gestatten oder die Identität der Teilnehmer durch den Moderator in einem Warteraum vor Zutritt zur Konferenz zu überprüfen.

Verfügt das eingesetzte Tool über eine Aufnahme-Funktion, sollte diese nur in engen Ausnahmefällen genutzt werden. Ein Meeting kann nur dann aufgezeichnet werden, wenn alle Teilnehmer freiwillig und ausdrücklich darin eingewilligt haben. Soll die Aufzeichnung exemplarisch erfolgen, um im Anschluss die Erstellung eines Protokolls zu erleichtern, darf die Aufzeichnung auch nur zu diesem Zweck gespeichert und muss umgehend gelöscht werden, wenn das Protokoll angefertigt wurde. Die Teilnehmer müssen vom Unternehmen auch vorab ausführlich über den Datenschutz informiert werden. Die von der DSGVO geforderten Pflichtinformationen umfassen dabei unter anderem die Kontaktdaten des Unternehmens und des Datenschutzbeauftragten, die Zwecke und Rechtsgrundlage für die Verarbeitung, Angaben zur Speicherdauer und Hinweise auf die Betroffenenrechte.

Treten während der Konferenz Probleme auf, so hilft auch hier die gute Vorbereitung des Moderators. Beispielsweise müssen unberechtigte Personen entfernt werden können, die unerlaubte Veröffentlichung der Zugangsdaten zur Konferenz verhindert sowie spontane Terminverschiebungen wegen technischer Probleme eingeplant werden.

Aber auch die Teilnehmer sollten verschiedene Regeln beachten und Vorsichtsmaßnahmen treffen. Vor aktiver Nutzung des Tools muss überprüft werden, ob die Privatsphäre durch das Ausschalten von Mikrofon und/oder Kamera geschützt werden kann. Des Weiteren sollte der Teilnehmer darauf achten, im beruflichen Umfeld keine privaten Accounts zu verwenden.

Nutzung von Zoom

Der Anbieter Zoom Video Communications, Inc. („Zoom“) war zuletzt starker Kritik ausgesetzt; hier ist allerdings zu differenzieren. Zoom hat seinen Sitz in den USA und sich dem Privacy-Shield unterworfen. Allerdings gilt dies nicht für die besonders sensiblen Personaldaten. Diese, wie auch andere sensible Daten, sollten daher nicht über Zoom geteilt werden.

Weiter bietet der Dienst standardmäßig die Transportverschlüsselung an. Hingegen werden die Daten nicht Ende-zu-Ende verschlüsselt. Die Landesdatenschutzbeauftragte aus NRW fordert jedoch auch nur für sensible Daten eine Ende-zu-Ende-Verschlüsselung. Für die Übermittlung sensibler Daten oder von Geschäftsgeheimnissen ist der Dienst zur Zeit der Erstellung des Beitrages daher nicht geeignet, im Übrigen aber prinzipiell schon.

Weiterhin bietet das Programm die Möglichkeit, einzelne Sitzungen aufzunehmen oder sich die Aufmerksamkeit anzeigen zu lassen; konkret bekommt der Moderator bei aktivierter Aufmerksamkeitsanzeige einen Hinweis, wenn ein Teilnehmer das Programm nur im Hintergrund laufen lässt und eine andere Anwendung nutzt. Beide Möglichkeiten sind nicht per se datenschutzkonform und daher grundsätzlich zu deaktivieren. Insbesondere für die Aufnahme bedarf es die Einwilligung sämtlicher Teilnehmer.

Fazit

Die aufsichtsbehördlichen Einschätzungen zu den Videokonferenz-Tools sind noch im Fluss. Durch die Corona-Pandemie wurden teilweise auch Tools im Schnellverfahren eingeführt. Die jüngste Ankündigung des Thüringischen Landesdatenschutzbeauftragten, von Lehrern eingesetzte, nicht genehmigte Tools kritisch zu überprüfen, zeigt die Brisanz der Thematik.

Letztendlich stellen sich jedoch aus datenschutzrechtlicher Sicht die normalen Fragen, die sich immer bei der Einführung von neuer Software stellen. Daher empfehle ich Ihnen, die Einführung mit dem Datenschutzbeauftragten anhand der skizzierten Kriterien initial und dann regelmäßig zu überprüfen. Hier ist es wichtig, eine vertretbare Entscheidung zu treffen und diese zu dokumentieren.

Foto: dhpg

Dr. Christian Lenz ist Rechtsanwalt bei der dhpg. Der Fokus seiner Tätigkeit liegt in der IT- und datenschutzrechtlichen Beratung mittelständischer Unternehmen. Als zertifizierter Datenschutzbeauftragter (TÜV®) ist sein Know-how in vielen Unternehmen als externer Datenschutzbeauftragter gefragt. Ein Fachgebiet, das er als Referent mit einem breiten Angebot an Schulungen und Vorträgen begleitet. Daneben unterstützt er Unternehmen beim Schutz ihrer Betriebs- und Geschäftsgeheimnisse entsprechend des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG).

Weitere Informationen zum Thema:

datensicherheit.de, 08.05.2020
Zoom übernimmt Verschlüsselungsspezialisten Keybase

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 11.12.2019
Zum Schutz des Bewerbers: Datenschutz im Einstellungsverfahren

datensicherheit.de, 14.10.2019
GeschGehG: Das neue Geschäftsgeheimnisgesetz