Datenschutzanforderungen an Videokonferenzsysteme

Videokonferenzsystem und Datenschutz? Geht das überhaupt? Aufgrund der Corona-Pandemie haben Videokonferenzen und Onlinemeetings kurzfristig verstärkt Einzug in die Unternehmen gehalten. Jedoch werden viele verschiedene Programme zur Durchführung von Videokonferenzen genutzt und der Markt der angebotenen Systeme scheint grenzenlos. Es ist daher nicht einfach, aus der großen Auswahl ein Angebot zu wählen, welches den Anforderungen an die Benutzerfreundlichkeit und den Datenschutz gleichzeitig gerecht wird.

Im folgenden eine kurze Übersicht der gängigsten Videokonferenzsysteme aus Sicht des Datenschutzes. Was ist bei der Auswahl eines Systems in Bezug auf die Sicherheit personenbezogener Daten zu berücksichtigen.

Hersteller und Herkunftsland beachten

Hersteller von Meeting-Lösungen aus Deutschland bzw. der EU decken die Anforderungen der DSGVO in der Regel zuverlässig ab. Anbieter außerhalb der EU, beispielsweise aus den USA entsprechen häufig aufgrund des vereinbarten EU-Privacy-Shield dem europäischen Datenschutzniveau. Dennoch benötigen Sie einen Auftragsverarbeitungsvertrag (AVV), wenn personenbezogene Daten verarbeitet werden. Im AVV wird festgelegt

, welche Daten zu welchen Zwecken verarbeitet werden und mit welchen technischen und organisatorischen Schutzmaßnahmen die Datensicherheit gewährleistet wird. Es gilt hier Art. 28 DSGVO.

Vertreter in der EU?

Art. 27 der DSGVO fordert einen gesetzlichen Vertreter in der EU, bei nicht in der EU ansässigen Unternehmen, wenn datenschutzrechtlich relevante Geschäftsaktivitäten angeboten werden. Beliebte Videokonferenzsysteme von Google und Microsoft haben neben dem Headquarter in den USA, Töchter oder Niederlassungen in der EU. Bisher wird dieser Punkt offenbar noch nicht von den Behörden nachverfolgt, jedoch ist es sicherlich sinnvoll, bei der Auswahl eines Systems bereits jetzt darauf zu achten.

Videokonferenzsysteme und Datenschutz

Betriebsmodell on-premise oder saas

Bei der Frage nach dem Betriebsmodell ist nach on-premise-Lösungen (auf dem eigenen Server gehostete Software) oder nach saas-Lösungen (Software, die von einem Dienstleister bereitgestellt wird, software as a service) zu unterscheiden. Beide Varianten haben Vor- und Nachteile, die kurz dargestellt werden.

Software as a Service (saas)

Die einfache und komfortable Nutzung eines Videokonferenzsystems erfolgt in der Regel über einen Onlineanbieter wie Zoom, Google oder Microsoft. Der Anbieter übernimmt hierbei den technischen Betrieb und die Konfiguration. Diese Variante bietet sich an, wenn im Unternehmen keine personellen Ressourcen vorhanden sind, ein Videokonferenzsystem zu administrieren. Der Nachteil ist, dass das Unternehmen keinen Einfluss auf die Konfiguration selbst nehmen kann und dass alle Teilnehmer über den Service des Anbieters kommunizieren. Hierdurch werden verständlicherweise Daten übertragen: Gespräche, Personen, E-Mail-Adressen, ggf. Passwörter, Nutzungszeiten, Browserdaten, Standortdaten, geteilte Dateien, freigegebene Bildschirme, etc.

Eigentlich alle saas-Anbieter nutzen die Daten, die in den Webmeetings anfallen zur eigenen Verwertung, für Service und Support. Dies ist teilweise notwendig und berechtigt. Wenn das gesprochene Wort jedoch zur Fütterung von KI-Algorithmen verwendet wird oder zur Optimierung anderer Dienstleistungen, ist dies ohne Zustimmung nicht zulässig.

on-premise

Bei dieser Betriebsvariante wird der Service auf dem Server des eigenen Unternehmens ausgeführt. Wobei dies sowohl der Server im eigenen Haus, als auch ein angemieteter Server oder ein Cloud-Server sein kann, welcher Kapazitäten zur Verfügung stellt. Die Konfiguration der Sicherheitseinstellungen kann hausintern erfolgen. Ebenso findet der Datenaustausch auf dem eigenen Rechner statt. Die eingesetzte Software sollte den folgenden Kriterien entsprechen:

Privacy by Design und Privacy by Default

Das Videokonferenzsystem muss in seiner nativen Version die grundlegenden Datenschutzaspekte berücksichtigen. Weitere Konfigurationseinstellungen müssen durchführbar sein.

Verschlüsselte Kommunikation

Mithilfe einer Transportverschlüsselung muss bereits der Übertragungsweg der Kommunikation verschlüsselt abgebildet werden können. Die bekannten Systeme unterstützen diesen Punkt in der Regel.

Mithilfe einer Ende-zu-Ende-Verschlüsselung wird hingegen zudem gewährleistet, dass nur der Sender und der Empfänger die Inhalte auslesen und verarbeiten können. Fehlt eine solche end-to-end Verschlüsselung, kann es sein, dass der Softwareanbieter oder Hoster die Inhalte ebenfalls einsehen kann. Dies wird unter Umständen wiederum eine vertragliche Regelung nach sich ziehen.

Videokonferenzsystem und Datenschutz? Hinweise zur datenschutzsicheren Verwendung.

Wenn im Unternehmen bereits technisch qualifiziertes Personal vorhanden ist, und die Ressourcen bereits bestehen, sollte eine solche Inhouse-Variante in Betracht gezogen werden. Die Empfehlung des Beauftragten für den Datenschutz der EKD lautet:

„Bei der Wahl des Betriebsmodells und der eingesetzten Software sollte folgende Reihenfolge eingehalten werden:

1. Selbst entwickelte Software oder Open Source Software auf eigenen Servern oder deutschen oder europäischen Anbietern von Serverdienstleistungen.

2. Deutscher oder europäischer Anbieter (inkl. Schweiz) auf eigenen Servern oder deutschen oder europäischen Anbietern von Serverdienstleistungen.

3. Deutscher oder europäischer Anbieter (inkl. Schweiz)

, der zum Betrieb der Software zur Online-Kommunikation Serverdienstleistungen von Anbietern aus Drittländern (etwa USA) einsetzt.

4. Anbieter aus Drittländern“