DSK-Checkliste zur Orientierungshilfe Videokonferenzsysteme

Fachbeitrag

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat Ende Oktober eine Orientierungshilfe zu Videokonferenzsystemen veröffentlicht, die kürzlich durch eine Checkliste ergänzt wurde. Was es demzufolge zu beachten gibt und wie eine weitestgehend datenschutzkonforme Nutzung nach Ansicht des DSK bei Videokonferenzen möglich ist, beleuchten wir im Folgenden näher.

Entwicklung der Orientierungshilfe der DSK

Die Corona-Krise lässt uns nach wie vor nicht zur Ruhe kommen und stellt uns immer wieder vor neue Herausforderungen. So führt auch im Arbeitsumfeld der neue Arbeitsplatz in den eigenen vier Wänden zu lebhaften Diskussion über die Ausgestaltung, wie beispielsweise der vermehrte Einsatz von Videokonferenzen zu Kommunikationszwecken.

Bereits im März stellten wir in einem Beitrag eigene Auswahlkriterien für Videokonferenz-Tools auf und ermittelten notwendige technische und organisatorische Maßnahmen für die Verwendung ebendieser.

Die DSK hat sich anlässlich der auftretenden Unsicherheit bei der Nutzung von Videokonferenzsystemen ebenfalls dieser Thematik gewidmet und Ende Oktober eine Orientierungshilfe veröffentlicht. Die wichtigsten Inhalte wurden am 11. November in einer Checkliste zusammengefasst und auf der Website der DSK zur Verfügung gestellt.

Möglichkeiten der Nutzung

Die DSK unterscheidet bei der Nutzung zwischen drei Arten:

  • Der Veranstalter betreibt das Videokonferenzsystem selbst auf der eigenen Infrastruktur.
    Auf diese Weise bleibt die Entscheidung über die Datenverarbeitung und der Zugriff bei dem Verantwortlichen. Somit stellt sich auch nicht die Frage, ob eine Vereinbarung zur Auftragsverarbeitung abgeschlossen werden muss oder eine gemeinsame Verantwortlichkeit vorliegt. Schwierigkeiten ergeben sich jedoch bei dem personellen und technischen Aufwand für den Betrieb und für die Wartung.
  • Der Veranstalter betreibt die Software über einen externen IT-Dienstleister.
    Erstreckt sich die Datenverarbeitung nur auf die Erfüllung des Auftrags und verarbeitet der Dienstleister keine Daten zu eigenen Zwecken, muss ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO abgeschlossen werden. Hier ist es erforderlich, die Software auf mögliche Datenübermittlungen an den Hersteller oder andere Dritte zu überprüfen.
  • Zuletzt kann ein Veranstalter sich eines bestehenden Online-Dienstes bedienen.
    Über die notwendigen Maßnahmen zur datenschutzkonformen Nutzung von Webkonferenz-Tools berichteten wir bereits. Besondere Vorsicht ist bei US-amerikanischen Anbietern infolge des Schrems II-Urteils geboten.

Rechtliche Anforderungen an die Nutzung

Die Orientierungshilfe greift einige unter Umständen bereits bekannte Maßnahmen wieder auf, liefert aber zudem auch neue Anhaltspunkte für die Beurteilung einer datenschutzkonformen Nutzung von Videokonferenzen. So sind beispielsweise folgende Maßnahmen zu treffen:

  • Verantwortlichkeiten und Rollen der Beteiligten sind klar definiert. Hier müssen sich die Beteiligten ihrer Rechte, wie die Festlegung von Mittel und Zweck der Datenverarbeitung sowie der Pflichten im Sinne der DSGVO bewusst sein.
  • Die Software muss auf Datenabflüsse überprüft werden, wobei es sich um Diagnose- und Telemetriedaten handeln kann. Liegt keine wirksame Rechtsgrundlage für diese vor, muss die Datenübermittlung beendet werden.
  • Entsprechende Konfigurationsoptionen müssen datenschutzrechtlich überprüft und angepasst werden.
  • Die Kontaktdaten des Verantwortlichen und des Dienstanbieters sind für die Nutzer schnell auffindbar.
  • Die Teilnahme aus Privatwohnungen ist mit dem Risiko der Einsicht in die Privatsphäre der Teilnehmenden verbunden. Über diese Risiken müssen die Betroffenen informiert werden und Abhilfe geschaffen werden mit Maßnahmen wie der Nutzung eines virtuellen Hintergrunds oder spezieller Kameraausrichtungen.
  • Der Veranstalter hat die Teilnehmenden über die möglichen Privatsphäre-Einstellungen zu informieren.
  • Nach Beendigung der Konferenz sollten Inhalts- und Rahmendaten unverzüglich gelöscht werden.

In jedem Fall gilt es, dass keine Datenübermittlung ohne eine geeignete Rechtsgrundlage erfolgen darf. Demnach muss auch für die Datenverarbeitung für eigene Zwecke durch den Anbieter der Videokonferenzsoftware einer angemessenen Rechtsgrundlage unterliegen.

Beruht diese auf einer Einwilligung, so ist sicherzustellen, dass es eine tatsächliche Wahlmöglichkeit für die Teilnahme gibt. Dieser Umstand wird im beruflichen oder schulischen Kontext eine besondere Herausforderung darstellen, wenn es den Nutzern nicht möglich ist, auf andere Weise an die benötigten Informationen zu gelangen. Somit wäre das Merkmal der Freiwilligkeit bei der Einwilligung nur gegeben, wenn die Informationen über einen alternativen Kommunikationskanal bereitgestellt werden können.

Zudem sind durch den Verantwortlichen die geeigneten technischen und organisatorischen Maßnahmen sicherzustellen, sei es im eigenen Betrieb der Videokonferenzsoftware oder bei dem Anbieter.

Technische und organisatorische Maßnahmen

Neben der Umsetzung der rechtlichen Anforderungen bietet die Orientierungshilfe auch Maßnahmen für eine technische und organisatorische Datenschutzkonformität.

  • Für eine sichere Übertragung der Daten sollten mindestens Transportverschlüsselungen verwendet werden. Wird ein hohes Risiko bezüglich Datenschutzlücken bei der Videokonferenzsoftware festgestellt, sollte diese Maßnahme entsprechend erweitert werden (z.B. Ende-zu-Ende-Verschlüsselung).
    Funktionen der Software, die einen unrechtmäßigen Datenabfluss ermöglichen, müssen ausgeschaltet werden. Darüber hinaus sollten der Hersteller sowie andere Dritte keine Möglichkeit des Zugriffs auf die Daten haben.
    Werden zudem Protokolldaten der Konferenz gespeichert, sollte in jeden Fall Transparenz gegenüber den Nutzern über die Verarbeitung gewahrt werden.
  • Im Rahmen der Nutzerauthentifizierung sollte es nur autorisierten Personen möglich sein, auf eine Videokonferenz und die Daten zuzugreifen. Der Zugang sollte dabei mindestens durch einen Nutzernamen und ein Passwort geschützt sein, wobei diese Daten weder übertragen noch bei dem Dienstleister gespeichert sein sollten.
    Soll einem Gast der Zugang zur Konferenz ermöglicht werden, sind besondere Voraussetzungen zu erfüllen, wie beispielsweise die Funktion eines schnellen Ausschlusses bei nicht autorisierten Personen oder der Umstand, dass die Teilnehmenden untereinander bekannt sind.
    Über Risiken und Folgen der Weitergabe von Teilnahmelinks sollten alle teilnehmenden Personen informiert werden. Die Orientierungshilfe stellt darüber hinaus Anforderungen an den zu verwendenden Authentifizierungsdienst.
  • Das verwendete Videokonferenzsystem sollte eine rollenbasierte Trennung ermöglichen.
    Auf diese Weise können administrierende, moderierende, präsentierende sowie teilnehmende Personen nur Zugriff auf die zwingend erforderlichen Funktionen und Daten haben. Beispielsweise sollte es den teilnehmenden Personen möglich sein, Kamera und Mikrofon jederzeit zu deaktivieren. Dementsprechend haben die Administratoren erweiterten Zugriff.
  • Aufzeichnungen der Videokonferenz sollten, sofern möglich, technisch unterbunden werden.
    Lediglich ausgewählte Personen sollten diese Funktion aktivieren können bei einer zulässigen Aufzeichnung. Allen anderen teilnehmenden Personen wird zu verstehen gegeben, dass Aufzeichnungen unzulässig sind, wobei sie jedoch ebenfalls bei einer zulässigen Aufzeichnungen vor Beitritt zur Konferenz informiert werden müssen.

Insgesamt sollen die technischen und organisatorischen Maßnahmen die Grundsätze der Datensparsamkeit und der Transparenz wirksam umsetzen. Durch datenschutzfreundliche Voreinstellungen sowie der Verarbeitung nur zwingend notwendiger Daten kann diese Konformität sichergestellt werden. Letztlich sollten die Nutzer einen leicht erkennbaren Zugang zu den entsprechenden Informationen der Datenverarbeitung haben. Dies sollte auch auf Seiten des Herstellers beachtet werden.

Umfangreicher Gesamtüberlick

Die Orientierungshilfe der DSK fasst einige der bisher diskutierten Maßnahmen zusammen oder greift diese auf. Jedoch ist auch dieser Leitfaden sehr allgemein gefasst und bedarf einer Präzisierung für die Nutzung von Videokonferenzsystemen. Insbesondere weitere praktische Beispiele wären hier von Vorteil gewesen, um auch datenschutzrechtlich unerfahrenen Personen eine angemessene Umsetzung zu ermöglichen. Dennoch bietet die Orientierungshilfe einen umfangreichen Gesamtüberlick, die im Einzelfall eine eingehendere Auseinandersetzung mit den jeweiligen Maßnahmen erfordert. Besonders die Checkliste kann für Unternehmen oder sonstige Institutionen hilfreich sein, wenn überlegt werden muss, welche Anforderungen im Großen und Ganzen rechtlich und technisch an eine datenschutzkonforme Videokonferenz zu stellen sind.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.