Videokonferenzen und Onlinemeetings

15.03.2020
Besprechungen werden abgesagt, Konferenzen verschoben - die Welt steht in Zeiten von Corona ein wenig still. Wie aber kann man sich trotzdem austauschen? Wie kann man schulen? Wie ein Bewerbungsgespräch führen? Videokonferenzen oder Onlinemeetings bieten eine einfache und effiziente Möglichkeit zum Austausch. Wir beleuchten die Auswirkungen auf den Datenschutz und stellen ein paar Tools vor. 

Newsletter

Mit unserem Datenschutz-Newsletter bleiben Sie immer auf dem Laufenden.

Zur Anmeldung ...

Nicht nur während der aktuellen Corona-Krise erleben Anbieter von Videokonferenzen-Tools derzeit einen Boom. Diese Tools können den Austausch untereinander erleichtern, ohne dass man Zeit und Geld für Anreise oder Übernachtung ausgeben muss. Neben der Übertragung von Ton und Bild bieten zahlreiche Dienstleister immer umfassendere Features wie Dateiaustausch, Chat, Umfragen oder eine Bildschirmfreigabe. Im Bezug auf einen sicheren und sauberen Einsatz unter Datenschutzaspekten sollten Unternehmen dabei folgende technische und organisatorische Dinge beachten:

Für Unternehmenseinsatz passende Software
Grundsätzlich darf nur für den Business-Einsatz lizenzierte Software eingesetzt werden. WhatsApp oder Facetime kommen aus den bereits allseits bekannten Gründen für den Unternemenseinsatz nicht in Frage.

Information der Betroffenen
Betroffene (meistens Mitarbeiter oder Partner) sollten darüber informiert werden, welche Software genutzt wird und welche Daten dabei an den Softwareanbieter übertragen werden. Es gelten die allgemeinen Informationspflichten gemäß Art. 13ff. DSGVO.

Einwilligung bei Aufnahmen (Bild und Ton!)
Bevor ein Onlinemeeting aufgezeichnet wird, muss jeder Betroffene in diese Aufnahme einwilligen. Dies gilt auch für reine Tonaufnahmen. Auch wenn die meisten Softwarelösungen eine Aufzeichnung auf dem Bildschirm kennzeichnen, gilt eine Aufzeichnung ohne vorherige Einwilligung als Eingriff in die Persönlichkeitsrechte. Gleiches gilt selbstverständlich auch für Bewerbungsgespräche.

Verschlüsselung der Übertragung
Es sollte vorab geprüft werden, ob und wie die Übertragung der Video-/Tondaten verschlüsselt wird. Insbesondere bei sehr sensiblen Themen sollte eine Verschlüsselung sichergestellt sein.

Dateiaustausch & Chat
Mitarbeiter sollten darüber informiert werden, welche Arten von Daten über eine Onlinemeetingplattform getauscht werden dürfen. Diese Daten werden i.d.R. automatisch auf den Server des Anbieters geladen. Auch sollte festgelegt werden, wie lange hochgeladene Dateien verfügbar sind und ob ein Zugriff durch Dritte ausgeschlossen werden kann. Ähnliches gilt für den Chat: es muss geregelt werden, was in einen Chat geschrieben werden darf.

Blurr-Möglichkeit für Hintergrund
Oftmals wird in einer Videokonferenz nicht nur der Teilnehmer, sondern seine Umgebung übertragen. Es sollte daher darauf geachtet werden sich in einer neutralen Umgebung zu befinden. Diverse Anbieter bieten eine "Blurr-Funktion" für den Hintergrund an, welche die Umgebung nur noch verschwommen darstellen lässt.

Bildschirmfreigabe
Beim Desktop-Sharing sollte der zu übertragene Inhalt möglichst auf einem zweiten Bildschirm dargestellt werden. Es muss verhindert werden, dass Inhalte, die nicht übertragen werden sollen (Desktop, Icons, Programme, Benachrichtungen bei neuen E-Mails), üer die Bildschirmfreigabe erscheinen. Grundsätzlich gilt: nur zeigen (teilen), was umbedingt notwendig ist. Es gibt dafür auch extra "Präsentations-Modi", die alle Benachrichtigungen unterdrücken und den Desktop "neutralisieren".

Moderation & Zugangsbeschränkungen
Zu Onlinemeetings und Videokonferenzen wird oftmals mittels eines Links eingeladen. Damit kann sich theoretisch jeder in ein Meeting einwählen. Um sicherzustellen, dass nur die Eingeladenen Personen teilnehmen, bieten Dienstleister zusätzlich zum Link mit der Meeting-ID auch Kennwörter oder die Möglichkeit eines "kontrollierten Einlasses" mittels eines virtuellen Warteraums durch einen Moderator an.

Virtuelle Rundgänge
Auch Rundgänge durch Betriebe können heute problemlos digital in einer Videokonferenz durchgeführt werden. Dabei muss darauf geachtet werden, dass nur die Bereiche gezeigt (gefilmt) werden, die auch für die Augen der Teilnehmer bestimmt sind. Insbesondere ist darauf zu achten, dass andere Personen bei aktiver Videoaufnahme nicht im Bild zu sehen sind, ohne dass sie explizit eingewilligt haben.

Auftragsverarbeitungsvereinbarung
Der Dienstleister einer Videokonferenzsoftware verarbeitet personenbezogene Daten (Bild, Ton, Teilnehmerdaten, etc.) im Auftrag. Daher muss mit dem Dienstleister ein Auftragsverarbeitungsvertrag geschlossen werden.

Angemessenes Datenschutzniveau bei Datenübertragung an Drittstaaten
Viele Anbieter sitzen beispielsweise in den USA. Auch wenn grundsätzlich ein Anbieter aus der EU/EWR bevorzugt werden sollte, stellt sich heraus, dass gerade Unternehmen wie Microsoft Teams oder Zoom "unseren" Anbietern in Funktionsumfang, Komfort und Stabilität voraus sind. Bevor ein Dienstleister aus einem "unsicheren Drittstaat" gewählt wird, muss daher das nötige Datenschutzniveau sichergestellt sein. Dies kann beispielsweise über EU-Standardvertragsklauseln oder eine EU-US Privacy Shield-Zertifizierung sichergestellt werden.

Verzeichnis von Verarbeitungstätigkeiten
Selbstverständlich muss ein Eintrag im Verzeichnis von Verarbeitungstätigkeiten mit den entsprechenden Informationen zu Zweck, Rechtsgrundlage, Speicherdauer, Kategorien von Daten, etc. erstellt werden.
 

Anbieter von Videokonferenz- und Onlinemeetings-Systemen

An dieser Stelle möchten wir betonen, dass wir keinerlei Werbung für den ein oder anderen Anbieter machen möchten. Wir stellen lediglich die aktuell gängigsten Anbieter vor. 

Microsoft Teams
Microsoft hat angekündigt, das Produkt Microsoft Teams für 6 Monate kostenfrei zur Verfügung zu stellen. Microsoft ist EU-US Privacy Shield zertifiziert. Eine Auftragsvereinbarung wird bei Microsoft über die "Online Service Terms", kurz OST, automatisch mit dem Hauptvertrag abgeschlossen. Bei Microsoft Teams können interne wie externe Personen eingeladen werden, der Bildschirm kann geteilt werden und ein Meeting kann aufgezeichnet werden.
Zur Website des Anbieters
Weitere Informationen zur 6-monatigen kostenfreien Version

Zoom
In der kostenfreien Variante können bis zu 100 Teilnehmer an einem Meeting teilnehmen. Werden mehr Teilnehmer benötigt, kann auf eine kostenpflichtige Version gewechselt werden. Wie Microsoft Teams ist zoom EU-US Privacy Shield zertifiziert. Die Auftragsverarbeitungsvereinbarung kann bei zoom angefordert und unterzeichnet werden. Zoom bietet laut eigenen Angaben eine sichere Ende-zu-Ende Verschlüsselung, stellt bis zu 16 Teilnehmer gleichzeitig auf einem Bildschirm da und verfügt über viele weitere sehr praktische Features wie Zugangsbeschränkung mittels Kennwort oder Warteraum oder Umfragen, die allen Teilnehmern durch den Moderator angezeigt werden können.
Zur Website des Anbieters

Wire
Wire ist ein Anbieter aus der Schweiz (sicheres Drittland) und bietet Videokonferenzen auf Servern in der EU an. Eine Auftragsverarbeitungsvereinbarung ist als Ergänzung zu den "Terms of Use", kurz ToU, enthalten. Wire bietet den Vorteil, dass der Quellcode Open Source ist und Wire auch vollständig auf den eigenen Unternehmensservern installiert und betrieben werden kann. Darüber hinaus gibt Wire an, dass alle Daten mit einer Ende-zu-Ende Verschlüsselung geschützt werden.
Zur Website des Anbieters

Neben den kurz vorgestellten Dienstleistern gibt eine weitere große Zahl von Anbietern, die sich im Umfang der Features wie auch in der Kostenstruktur unterscheiden. Am Ende müssen alle die Anforderungen an Datenschutz und Datensicherheit erfüllen.
 

Fazit

Onlinemeetings und Videokonferenzen können, wenn man ein paar Datenschutzaspekte berücksichtigt, ein Ersatz für ein Meeting vor Ort sein. Es bleibt die Frage, ob sich unser Verhalten wieder verändert, wenn "Normalität" eingekehrt ist oder ob wir zum "alten Muster" zurückkehren.

Kategorie: IT-Sicherheit

Schlagworte: TOM, Videokonferenzen

Newsletter

Mit unserem Datenschutz-Newsletter bleiben Sie immer auf dem Laufenden.

Zur Anmeldung ...
Über den Autor

Daniel Steffen, Geschäftsführer der Digitalagentur novinet und zertifizierter Datenschutzbeauftragter (DSB-TÜV) berät deutschlandweit Unternehmen sowie Vereine und Agenturen im Bereich des Datenschutzes.

Zu allen Beiträgen

Externer Datenschutzbeauftragter für Ihr Unternehmen

Telefon: 08456 / 300 98 80
E-Mail: datenschutzberatung@novinet.de

Jetzt kostenlos informieren