Gerade in der aktuellen Situation arbeiten mehr Arbeitnehmer als bislang aus dem Homeoffice. Auch in den Unternehmen die, zum Beispiel aufgrund Ihrer Tätigkeit Bedeutung für unser Leben haben, wird der persönliche Kontakt auf ein notwendiges Minimum heruntergefahren. Daher ist es besonders wichtig ein Videokonferenz-Tool implementiert zu haben und doch den Schutz von personenbezogenen Daten und auch den von Unternehmensgeheimnissen nicht aus dem Auge zu verlieren.
Der Inhalt im Überblick
Datenschutzrechtliche Grundlage und vertragliche Vorkehrungen
Mit der Rechtsgrundlage für den Einsatz im Unternehmen, der Notwendigkeit einer Einbindung des Betriebsrats, sowie dem Erfordernis des Abschlusses einer Vereinbarung über die Auftragsverarbeitung bei SaaS (Software as a Service) – Tools beschäftigten wir uns bereits im letzten Jahr.
Letztlich sollten sich Unternehmen bei der Auswahl einer Software zunächst stets fragen, ob eine On-Premise-Variante (also auf den eigenen Servern gehostete Software) in Frage kommt oder aus unterschiedlichen Gründen (z.B. fehlendes Know-how oder fehlende Kapazität der IT, gerade bei kleineren Unternehmen) eine SaaS-Lösung eingesetzt werden soll.
Dabei ist natürlich immer vorab zu prüfen, ob der SaaS-Dienstleister – der als Auftragsverarbeiter eingesetzt werden soll – für die Verarbeitung geeignete technische und organisatorische Maßnahmen bietet, damit die Verarbeitung datenschutzkonform erfolgt. Dies ergibt sich bereits aus Art. 28 Abs. 1 DSGVO.
Grundsätzlich sollte ein Anbieter aus Deutschland oder dem EWR bevorzugt werden, da bei Auftragsverarbeitern aus einem sog. Drittland zusätzlich zu prüfen ist ob ein angemessenes Schutzniveau besteht.
Welche technischen Möglichkeiten sollte das Videokonferenz-Tool bieten?
Der Verantwortliche wird die technischen Maßnahmen anhand der geplanten Verarbeitung ausrichten müssen. Dabei gilt es zu beachten wie sensibel die Daten sind, die über das Videokonferenz-Tool geteilt werden sollen. Gerade in Zeiten von Corona kann es auch vorkommen, dass Videokonferenz-Tools für zuvor nicht geplante Zwecke verwendet werden und daher eine neue Bewertung der vorher gewählten Maßnahmen notwendig wird.
Der Verantwortliche wird letztlich für die Auswahl des Tools und den damit erreichten Schutz haften. Die DSGVO hat zwar mit den Grundsätzen Privacy by Design und Privacy by Default Regelungen getroffen, die sich offenkundig an Hersteller richten, adressiert diese jedoch nicht, sondern nimmt vor allem den Verantwortlichen in die Pflicht. So stellt auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, in seinen Ergebnissen der Anhörung zur Evaluierung der DSGVO, fest:
„Beim Begriff „Datenschutz durch Technikgestaltung“ (Privacy by Design), der im Artikel 25 Abs. 1 DSGVO für den Verantwortlichen vorgeschrieben ist, stellt sich in der Praxis der Adressatenkreis als nicht weitreichend genug heraus. Da Verantwortliche in der Regel nicht selbst Software entwickeln und in weiten Teilen Standard- und Anwendungssoftware von Herstellern bzw. Anbietern, zum Teil sogar von solchen mit globaler, nationaler oder regionaler Monopol- oder zumindest marktbeherrschender Stellung, beziehen und nutzen müssen, läuft diese Forderung häufig ins Leere.“
Die Ergebnisse der Anhörung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg vom 28. Juni 2019 bei der IHK Stuttgart zur Evaluierung der DSGVO finden Sie im Anhang des 35. Datenschutz-Tätigkeitsberichts ab Seite 125.
Technische Maßnahmen
Die hier dargestellten technischen Maßnahmen und Einstellungserwägungen sind nicht abschließend, letztlich kommt es dabei (wie oben erläutert) immer auf den Einzelfall an.
Leider werden auch die Voreistellungen der Software nur selten dem Grundsatz Privacy by Default nachkommen, sondern die herstellereigene Vorstellung des Kundenwunsches umsetzen.
- Verschlüsselung: Dabei gilt es im Einzelfall zu bestimmen welche Art von Verschlüsselung benötigt wird, dies hängt letztlich von der Art der Daten ab die verarbeitet werden soll.
- Business-Version: Für die Verwendung im Unternehmen eignen sich nicht Tools, die für den privaten Einsatz gedacht sind. Zum Beispiel sind Apps wie WhatsApp oder FaceTime grundsätzlich ungeeignet.
- Beschränkung von Logfiles: Logfiles sollten nur soweit diese erforderlich sind erstellt werden. Diese können auch für die Fehlerbehebung durch den Dienstleister notwendig sein. Es kommt jedoch darauf an, dass die Daten dann nur zu diesem Zweck verwendet werden und nach Wegfall des Zwecks wieder gelöscht werden.
- Chatverläufe und Dateiaustausch: Auch hier ist sicherzustellen, dass diese nur für den benötigten Zeitraum zur Verfügung stehen und danach automatisch gelöscht werden. Beim Chat dürfte dies nach Ende der Videokonferenz der Fall sein. Bei Dateiaustausch kann z.B. ein Zeitraum von wenigen Stunden oder einem Tag gewählt werden, innerhalb dessen die Mitarbeiter Zeit haben die Daten herunterzuladen und anderweitig abzulegen. Ergänzend sollte als organisatorische Maßnahme geregelt werden welche Arten von Dokumenten (nicht) über das Tool geteilt werden dürfen. Dies kann sowohl als Black- oder als Whitelist ausgestaltet werden.
- Möglichkeit, Aufnahmen der Videokonferenz zu regulieren: Viele Tools bieten mittlerweile die Möglichkeit die Videokonferenz aufzunehmen. Dies dürfte in den meisten Fällen jedoch nur mit einer Einwilligung aller Teilnehmer zulässig sein. Daher sollte das Tool so eingestellt werden können, dass vor Start der Aufnahme bei allen Teilnehmern eine Nachricht mit den nötigen Informationen erscheint, sowie die Option, zuzustimmen oder abzulehnen. Mit Ihrem DSB können Sie dazu abstimmen, ob und wie dabei die Anforderungen der DSGVO an eine Einwilligung erfüllt werden können. Zudem wird eine Aufzeichnung wohl stets den Ton umfassen und wird damit bei fehlender Zustimmung sogar regelmäßig wegen der Verletzung der Vertraulichkeit des Wortes nach § 201 Abs. 1 StGB strafbar sein.
- Einsatz bei Bewerbungsverfahren: Auch wenn Bewerbungsverfahren wohl vermehrt nicht mehr aktiv betrieben werden, um eine Verbreitung des Virus zu vermeiden. Sollte ein Unternehmen Bewerbungsgespräche nun via Videokonferenz durchführen wollen, so sollten sie dies im Voraus sorgfältig prüfen. Wir berichteten (wenn auch nach altem Recht).
- Blurr-Möglichkeit: Zudem bieten Videokonferenz-Tools teilweise die Möglichkeit, den Hintergrund vollständig auszugrauen. Dies hätte wohl auch Professor Robert Kelly geholfen, dessen Kinder während eines Liveinterviews mit BCC News, dass er aus dem Homeoffice führte, durchs Bild liefen. Dies ist bei geschlossenen Schulen und Kitas wohl auch aktuell in vielen Haushalten nicht ausgeschlossen, kann aber technisch verhindert werden. Hier können Unternehmen mit technischen Mitteln für mehr Datenschutz und Privatsphäre sorgen.
- Einrichtung von Zugangsbeschränkungen (wie Login, oder bei Gästen nur mit Zustimmung des Organisators): Vielleicht denken Sie jetzt, dass dies doch selbstverständlich ist und es niemanden gibt der Videokonferenz-Tools ohne diese technische Maßnahme einsetzt. ABER vor gerade einer Woche meldete das Fachmagazin c’t: „Ein vom bayerischen Innenministerium genutztes Videokonferenzsystem stand ungeschützt im Netz. So konnte c’t an einer internen Sitzung zum Coronavirus mit Bayerns Innenminister Joachim Herrmann teilnehmen.“
Organisatorische Maßnahmen
Auch die hier dargestellten organisatorischen Maßnahmen sind nicht abschließend, denn auch dabei kommt es (wie oben) auf den Einzelfall an.
Vor allem sind die Mitarbeiter entsprechend zu informieren und zu sensibilisieren, welche Daten über das Tool (vor allem auch mit Externen) geteilt werden dürfen. Hierzu kann, wie oben bereits erwähnt, auch mit Black- oder Whitelists gearbeitet werden, die der jeweiligen Tätigkeit des Unternehmens angepasst werden.
- Desktop-Sharing: Eben eine solche Sensibilisierung gilt es für das Teilen des Desktops herzustellen. Hier sollte nur gezeigt werden was auch für die Besprechung erforderlich ist. Daher sollte der Desktop ohne Dateisymbole gezeigt werden, solange diese für die Videokonferenz nicht erforderlich sind. Auch sollten keine Benachrichtigungen über neue Mails auf dem geteilten Bildschirm erscheinen. Entweder kann dies grundsätzlich oder für die jeweilige Konferenz unterbunden werden. Des Weiteren ist es möglich bei Verwendung von mehreren Monitoren nicht den als Hauptanzeige konfigurierten Bildschirm auszuwählen.
- Digitale Führungen: Gerade durch die aktuellen Umstände wird es vorkommen, dass geplante Werksführungen nunmehr digital stattfinden. Dabei gilt es, wie auch beim Desktop-Sharing zu beachten, dass nur notwendige Informationen geteilt werden. Legen Sie also Routen fest, welche Sie abgehen wollen und der Gesprächspartner auch vor Ort gesehen hätte. Informieren Sie in den betroffenen Bereichen auch andere Mitarbeiter über die geplante Führung und gewähren Sie bei Bedenken auch Abwesenheiten zu dieser Zeit.
Gestaltung im Einzelfall
Im Einzelfall ist natürlich das jeweilige Tool zu betrachten und auf das Unternehmen und die dort verarbeiteten Daten anzupassen. Dabei helfen Ihnen sicherlich ihr IT-Sicherheits- und Ihr Datenschutzbeauftragter. Gut, wenn Sie solche haben.
Schade, dass ihr keine konkreten Angebote nennt! Wenn ich das richtig sehe, sind damit alle großen Anbieter raus: Teams, Zoom, usw.. Zudem müsste man vor der Nutzung eine Folgenabschätzung machen – um dann zu dem Ergebnis zu kommen, dass nichts geht.
Dazu einfach den Fachhandel der Videokonferenz Branche fragen, Sie können mich gerne kontaktieren Fahr und Partner.
„Zudem bieten Videokonferenz-Tools teilweise die Möglichkeit, den Hintergrund vollständig auszugrauen. Dies hätte wohl auch Professor Robert Kelly geholfen, dessen Kinder während eines Liveinterviews mit BCC News, dass er aus dem Homeoffice führte, durchs Bild liefen.“
Hallo,ich benutze so ein Tool, dass den Hintergrund durch ein anderes Bild ersetzt. Aber wenn sich hinter mir etwas bewegt, wie zum Beispiel Kinder, wird das nicht herausgerechnet. Welche Technologie kann das so machen, wie es im Artikel beschrieben ist? Ich bin für jeden Hinweis dankbar.
Viele Grüße und bleiben Sie gesund.
FraPo
Ich sehe dies ziemlich kritisch und bin verwundert, dass hier zu entsprechenden Tools geraten wird. Wenn eine Software eine Person im Bild so weit erfasst und verfolgt, dass der Hintergrund sauber ersetzt werden kann, ist man nur noch wenig davon entfernt das so aufbereitete Signal weiter zu verarbeiten, bspw. in dem man den Gemütszustand der im Bild befindlichen Person erfasst. Die entsprechenden Dienste bei AWS oder Microsoft mit einzubuchen ist ein sehr überschaubarer Aufwand. Ich bin sehr froh mit einer Lösung zu arbeiten, die dies explizit nicht bietet.
In Zeiten von Corona, sind einige Schulen dazu übergegangen, Videokonferenzen anzubieten. Worauf müssen Lehrer datenschutzrechtlich achten und gibt es vielleicht eine Liste für “unbedenkliche” Tools?
Auch bei dem Einsatz von Videokonferenz-Tools durch Schulen wird es letztlich (wie oben erläutert) auf den Einzelfall ankommen. Es werden je nach Landesdatenschutzgesetz und evtl. bestehenden Spezialregelungen technische und organisatorische Maßnahmen zu wählen sein, die hinsichtlich des Schutzbedarfs der Verarbeitung angemessen sind. Die oben dargestellten Maßnahmen und Einstellungserwägungen sind nicht abschließend, können Verantwortlichen jedoch eine Orientierung bieten.
Dabei ist immer eine Einzelfallentscheidung zu treffen. Leider dürfen wir im Rahmen des Blogs keine Rechtsberatung im Einzelfall durchführen. Sie können sich dazu an Ihren Datenschutzbeauftragten wenden.
Videokonferenz Lösungen, um die Arbeit aus dem Homeoffice zu ermöglichen, gibt es viele. Von kostenlos bis billig und von unsicher bis sicher. Viele Anbieter sagen ihre Lösung ist durch Ende-zu-Ende-Verschlüsselung geschützt. Das ist schon mal besser als gar nichts. Grundsicherung sozusagen. Was aber alle Anbieter verschweigen ist, wie sich ihre Lösung bei Mehrpunkt-Videokonferenzen verhält. In dem Sie also mit mehreren Teilnehmern gleichzeitig konferieren, ist dann allen Cyberattacken Tür und Tor geöffnet und nur die verschlüsselte Kommunikationsverbindung zwischen Client und Server nützt nichts mehr.
Nur Tixeo bietet die sicherste Videokonferenz-Technologie im Markt und ist von der CSPN (Nationale Cybersecurity Agentur Frankreich) und der ANSSI qualifiziert und zertifiziert. Kein anderer Anbieter hat vergleichbare Sicherheitsmechanismen, um ein bisher unerreichtes Vertraulichkeitsniveau für eine Multipoint-Kommunikation zu gewährleisten. Hier können Sie sich das Sicherheits-Whitepaper runterladen. Die Schwachstellen liegen bei anderen Lösungen trotz Verschlüsselung im Betrieb von Multipoint-Brücken, da dort die End-to-End-Verschlüsselung unterbrochen wird. Dies gilt ins besonders für ältere H.323 Lösungen, bzw. SIP basierten Videokonferenzsystemen. Tixeo’s einmalige SVC on Demand (Scalable Video Coding on Demand) Technology hat diese Schwachstelle nicht. Außerdem gibt es keine Notwendigkeit die Sicherheitsrichtlinien des Unternehmens zu ändern, da sich die Tixeo Lösung automatisch den vorhandenen Richtlinien anpasst. D.h., dass keine zusätzlichen Ports auf den Endgeräten (Windows oder MacOS) oder Netzwerkgeräten geöffnet werden müssen.
Mehr Information unter tixeo.com/sichere-videokonferenzen/
Videokonferenzen sind heutzutage sehr wichtig für das Berufsleben, weshalb diese möglichst reibungslos von statten gehen sollten. Ich muss momentan selbst sehr oft auf Videokonferenzen zurück greifen um mit meinen Kollegen in Kontakt zu bleiben. Ich bedanke mich ganz herzlich für den informativen Beitrag und werde diese auch in meiner nächsten Beitrag nutzen.