Videokonferenzen – in vielen Ländern seit fast 10 Jahren ein Standard-Kommunikationsmittel – sind endlich auch in Deutschland angekommen.

Zugegeben, diese Aussage ist überspitzt. Aber seien wir ehrlich: Wer hätte vor 2 Jahren gedacht, dass wir in Deutschland in sehr kurzer Zeit in der Lage sein werden, 80% der administrativen und der Wissensarbeit grundsätzlich ortsunabhängig zu erledigen? Oder dass es vollkommen normal ist, dass Familien sich über Videochat austauschen? Viele (ich auch) haben gehofft, dass wir endlich diesen Schritt in Richtung „Digitale Normalität“ gehen. So richtig daran geglaubt, dass wir hier schnelle Fortschritte erleben, haben die wenigsten.

Denn nicht nur in der klassischen Büroarbeit haben Videokonferenzen an Bedeutung gewonnen. Gerade auch im Bildungsbereich und in sozialen Organisationen sind sie nicht mehr wegzudenken. So stellt sich beispielsweise für die Schulen seit nunmehr fast einem Jahr immer wieder das gleiche Problem: Wenn die Schüler nicht in die Schulen gehen können, wie bekommen wir dann die Schule zu ihnen nach Hause?

Die Antwort ist auch hier: Videokonferenzsysteme. Doch gerade bei der Arbeit mit sensiblen personenbezogenen Daten gilt es aus datenschutzrechtlicher Sicht Einiges zu beachten. Nicht nur Kinder und Jugendliche, sondern durchaus auch Erwachsene, die sich einfach nicht ständig mit dem Thema befassen, tun sich oft schwer, das Ausmaß der Datenverarbeitung und der sich daraus ergebenden Risiken richtig einzuschätzen.

In diesem Artikel:

  • Welche Rahmenbedingungen sind beim Einsatz von Videokonferenzen zu beachten?
  • Welche Fragen helfen bei der Auswahl?
  • Welche technischen und organisatorischen Maßnahmen sind zu treffen?
  • Welche Systeme sind zu empfehlen?

Datenschutz-Hürden für Videokonferenzen 

Bei der Einführung von Videokonferenzen in die Kommunikationsplanung stellen sich immer wieder ähnliche Fragen:

  • Wie sicher sind meine Daten?
  • Sind meine Informationen verschlüsselt und wenn ja, dann nur auf dem Transportweg oder tatsächlich so, dass sie für Dritte nicht verwertbar sind (Ende-zu-Ende-Verschlüsselung)?
  • Können nur autorisierte Personen auf die Videokonferenz und die übertragenen Daten zugreifen?
  • Welche technischen Möglichkeiten haben Konferenzteilnehmer und welche möchte man als Moderator den Teilnehmern besser nicht geben?
  • Ist es möglich, Rollen zu definieren und so Teilnehmer Administrations-, Moderations- oder Präsentationsrechte zu geben?
  • Können Aufzeichnungen der Videokonferenzen technisch unterbunden werden? Und wenn Aufzeichnungen angefertigt werden, wie sind diese geschützt?
  • Bleiben unsere Daten in Deutschland oder wenigstens innerhalb der EU (also im Geltungsbereich der DSGVO)? Oder wird ein Anbieter in einem Drittland (bspw. USA) genutzt und werden dabei Telemetrie- und Nutzungsdaten außerhalb des europäischen Wirtschaftsraumes übertragen?

Angesichts der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) aus dem Juli 2020 muss jegliche Übermittlung personenbezogener Daten in Länder wie die USA neu auf den Prüfstand gestellt werden. Die bis dato gültige Privacy Shield Vereinbarung kann seitdem nichtmehr als Rechtsgrundlage für die Datenübermittlung in die USA herangezogen werden. Grundsätzlich möglich ist die Übermiltlung weiterhin bei Vereinbarung auf Basis von EU-Standardvertragsklauseln und soweit erforderlich entsprechenden flankierenden Ergänzungen. Die Standardvertragsklauseln (Standard Contractual Clauses – SCC) liegen aktuell in einer gültigen Version von 20101 vor und sind daher in wesentlichen Punkten überarbeitungsbedürftig. Am 12.11.2020 veröffentlichte die EU-Kommission den Entwurf der neuen SCC nach Art. 46 Abs. 2 lit. c DSGVO. Zum Zeitpunkt der Erstellung dieses Dokuments lag die finale Fassung der SCC noch nicht vor. Es ist aber festzuhalten, dass die SCC für alle Unternehmen, die Datentransfers in Drittländer vornehmen, von Relevanz sind.

Neben der„Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz aus dem Oktober 2020 hat auch der Europäische Datenschutzausschuss im November 2020 entsprechende Empfehlungen veröffentlicht, die Anhaltspunkte zur Bewertung dieser Datentransfers und zu erforderlichen Verhaltensweisen geben.

Nachdem die Berliner Beauftragte für Datenschutz und Informationsfreiheit Ende letzten Jahres mit der Verwarnung einer Schule für den Einsatz von Microsoft Teams eine bundesweite Debatte anstieß, hat sich nun eine „Task Force“ unter der Führung der Datenschutz-Aufsichtsbehörden aus Berlin und Hamburg gebildet, die Unternehmen, „bei denen Grund zur Annahme besteht, dass sie Dienstleister aus Drittstaaten verwenden“, verschärften Kontrollen unterziehen wollen.

Technische und organisatorische Maßnahmen

Im Folgenden haben wir einige grundlegende Prüfpunkte im Sinne technischer und organisatorischer Maßnahmen zusammengestellt, die vor der Entscheidung zum Einsatz eines Videokonferenzsystems Berücksichtigung finden sollten:

  1. Bietet das Unternehmen den Abschluss eines Auftragsverarbeitungsvertrags an? Bereite hier müssen manche sonst durchaus empfehlenswerte Anbieter leider passen. Aber da Sie gem. Art. 28 DSGVO verpflichtend eine vertragliche Grundlage brauchen, ist das leider ein K.O.-Kriterium.
  2. Werden Daten verschlüsselt übertragen (Transportverschlüsselung)? Falls nein: Finden Sie bitte ein anders Produkt 🙂
  3. Gibt es eine Ende-zu-Ende-Verschlüsselung? Sofern Sie mit sensiblen Daten arbeiten, ist eine E2E-Verschlüsselung immer empfehlenswert. Nur so können Sie gewährleisten, dass Ihre Daten auf fremden Servern von neugierigen Blicken sicher sind. Die Anforderung hängt also genaz wesentlich von der Art der verarbeiteteten Daten ab.
  4. Gibt es Zugangsbeschränkungen und wie sind diese umgesetzt? Idealer Weise sollte zumindest ein Warteraum vorhanden sein, in dem jeder Teilnehmer warten muss, biss ein Moderator ihn/sie in die Konferenz einlässt. Zudem ist es empfehlenswert, Die Konferenz mit einem Passwort zu schützen.
  5. Es ist zu bevorzugen, wenn Teilnehmer für die Nutzung des Konferenzdienstes keinen Account beim Konferenzanbieter benötigen.
  6. Welchen Anforderungen genügt die Sicherheit der Chat- und Datenaustauschfunktionen? Im Normalfall sollte es hierbei keine Aufzeichnungen geben, die über die Sitzung hinausgehen.
  7. Es sollte möglich sein, Video- und Audio-Aufzeichnungen komplett abzuschalten. Idealerweise sollte dies die Standardeinstellung sein, die nur bei Bedarf aktiv aktiviert werden kann. Bitte beachten Sie, dass hierbei in jedem Fall die Einwilligung der Teilnehmer erforderlich ist. Sorgen Sie für die Nachweisbarkeit dieser Einwilligung!
  8. Gerade wenn Menschen im HomeOffice, also im privaten Umfeld an Videokonferenzen teilnehmen, ist eine Möglichkeit zur Ausblendung des Hintergrunds (durch Bilder oder das „Blurring“, also die Unschärfe des Hintergrunds) dringend zu empfehlen.

Die Datenschutzerklärung

Wenn Videokonferenz-Tools im geschäftlichen Kontext genutzt werden, müssen die verwendeten Tools in der Datenschutzerklärung erläutert werden. Dabei sind unter anderem folgende Punkte darzustellen:

  • Welches Tool wird genutzt?
  • Welche Nutzerdaten werden zu welchen Zwecken verarbeitet?
  • Die Rechtsgrundlage der Verarbeitung nach DSGVO
  • Die Speicherdauer der Daten
  • Wie lautet die Anschrift des Anbieters?
  • Informationen zum Auftragsverarbeitung?

Auch in der Einladung zu einer Videokonferenz oder zu Beginn derselben, müssen die Teilnehmer über Datenschutzfragen informiert werden. Dies kann beispielsweise durch einen Linkauf Ihre Datenschutzerklärung auf der Anmeldeseite der Videokonferenz oder in der Einladungsmail geschehen.

Welche Produkte sind empfehlenswert?

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat 17 Videokonferenzdienste unter die Lupe genommen und nahezu keinen der großen kommerziellen Anbieter als regelkonform eingestuft. Ich persönlich bin nicht mit jeder Bewertung aus dieser Liste einverstanden. Einfach aufgrund der Tatsache, dass diese Bewertung aus meiner Sicht vielfach zu pauschal ausfällt. Beispielsweise sehe ich Zoom als durchaus benutzbaren Service an, so lange ein paar Grundregeln bzgl. des Schutzes der personenbezogenen Daten angewandt werden (keine privaten Mailadressen, kein Zwang, einen Account anzulegen, usw.). Denn grundsätzlich muss die verantwortliche Stelle ihre Entscheidung für oder gegen den Einsatz eines Dienstes immer auf eine Abwägung der schutzwürdigen Interessen der betroffenen Personen und der berechtigten Interessen des Unternehmens/der Organisation sowie die Möglichkeiten zur Anwendung technischer und organisatorischer Maßnahmen zur Gewährleistung des Datenschutzes stützen.

Update 18.02.2021: Gerade heute hat die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit ihre Hinweise in einer überarbeiteten Fassung veröffentlicht. Die grundsätzliche Aussage bleibt unverändert, jedoch wurde die Liste der Dienste ergänzt und die Einschätzungen fallen deutlicher in ihrer Abgrenzung aus.

Hier nun meine Empfehlungen für Produkte und Dienste, die ich selbst benutze oder zumindest kenne und die definitiv datenschutzkonform nutzbar sind. Die Empfehlungsliste ist also nicht vollständig; die Reihenfolge stellt keine Wertung dar.

Jitsi Meet / Big Blue Button

Die Open Source-Softwareprodukte Jitsi Meet und Big Blue Button können auf eigenen Servern betrieben werden. Sofern der Betreiber über die erforderliche Sachkenntnis verfügt, ist dies eine der sichersten Möglichkeiten, Videoconferencing zu betreiben. Mittlerweile haben gibt es eine Vielzahl von Anbietern, die Jitsi oder BBB-basierte Konferenzen als Dienstleistung anbieten. Hierbei immer zu berücksichtigen ist aber die Zuverlässigkeit des Anbieters und die Vereinbarung zur Auftragsverarbeitung.

mailbox.org

Der Dienst mailbox.org der Berliner Heinlein Support GmbH gilt als einer der sichersten E-Mail Provider überhaupt. Wir selbst nutzen die Dienste der Firma für unsere E-Mail-Infrastruktur. Seit Kurzem bietet mailbox.org nun auch Videokonferenzdiensta auf der technischen Basis von Jitsi Meet an.

Sichere Videokonferenz

Unter der Adresse sichere-videokonferenz.de bietet die Horizon44 GmbH einen kostenfreien Dienst auf Basis von Jitsi Meet an. Fokus auf Datenminimierung, keine Benutzerverwaltung, keine Aufzeichnungen, Auftragsverarbeitungsvertrag.

BBB

Werk21 bietet eine Big Blue Button-Installation ab 29 EUR/Monat und einen DSGVO-konfomen Auftragsverarbeitungsvertrag. Auch andere Dienste basieren auf Big Blue Button, sind allerdings aktuell noch nicht in der Lage, DSGVO-konforme Auftragsverarbeitung anzubieten. Besonders hervorzuheben ist hier Senfcall, ein Projekt des Computerwerk Darmstadt e.V., das eine sehr stabile und performante Umgebung bereitstellt, leider jedoch aktuell noch keinen AVV bietet.

Wire

Für kleine interne Meetings sehr zu empfehlen ist Wire. Interessant dabei ist, dass die Grundfunktion von Wire ein sicherer Messenger ist, was den Client zu einer Empfehlung insb. für interne Kommunikation macht.

Signal

Nicht zu vergessen ist auch Signal. Der Messenger-Dienst hat in jüngster Zeit wohlverdient einen deutlichen Zuwachs erfahren. Signal bietet neben dem klassischen Chat auch Videofunktionalität an. Für strukturierte Meetings und als Haupt-Vidoekonferenzlösung erscheint Signal (mir) jedoch funktional zu eng.

Verpassen Sie keinen Artikel

Mit Update!, unserem Datenschutz-Brief bleiben Sie auf dem Laufenden und erhalten weitere wertvolle Informationen sowie Tipps & Tricks. 

Sprechen wir miteinander!

Haben Sie Fragen zu Digitalisierung oder Datenschutz für Ihr Unternehmen? Sind Sie Projektverantwortlicher oder betrieblicher Datenschutzbeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.

Der Autor

Falk Schmidt ist Projektberater für digitale Geschäftsprozesse sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor. Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studenten.

Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.