Telefon- und Videokonferenzen gehören seit kurzem bei vielen von uns zum Alltag im Homeoffice.
Was vor nicht allzu langer Zeit noch von vielen Unternehmen aus verschiedensten Gründen einfach noch „gar nicht funktioniert“ hat und einfach unpraktisch war, ist heute total normal.
Mit einigen Anforderungen, die, wenn man sie beachtet, die Unternehmen nicht mehr sorgenvoll die Mitarbeiter*innen ins Homeoffice schicken müssen, ist es möglich, datenschutzkonform zu kommunizieren.
Daher ist es besonders wichtig ein Videokonferenz-Tool implementiert zu haben und doch den Schutz von personenbezogenen Daten und auch den von Unternehmensgeheimnissen nicht aus dem Auge zu verlieren.
Datenschutzrechtliche Grundlage und vertragliche Vorkehrungen
Als Rechtsgrundlage für den Einsatz im Unternehmen ist die Notwendigkeit einer Einbindung des Betriebsrats, sowie eines Abschlusses einer Vereinbarung über die Auftragsverarbeitung bei SaaS (Software as a Service) erforderlich.
Anforderungen an Video-Tools
Nicht zwangsläufig müssen Videokonferenzen für Unternehmen ein Sicherheitsrisiko darstellen. Allerdings sind für Videokonferenzen im Business eingesetzte Tools diversen Anforderungen entsprechen. Bei der Auswahl sollten folgende Punkte berücksichtigt werden bzw. folgende Fragen beantwortet werden:
- Eigen-Fremdlösung: Entscheidung zwischen unternehmenseigene Videochat-Tool oder einer Saas-Lösung (Software as a Service)
- Spezielle Versionen: Ist ggf. eine Business Version (und damit einhergehend höhere Sicherheitsstandards) des Tools verfügbar?
- Hosting: Wo erfolgt das Hosting? Wenn möglich Video-Programme aus Deutschland / EU einsetzen (unterliegen der DSGVO und bieten ein angemessenes Schutzniveaus
- Übermittlung der Daten: Anbieter außerhalb der EU oder Europäischen Wirtschaftsraums?
- Werden bei dessen Nutzung in diese sogenannte „Drittländer“ übermittelt, muss VORAB geklärt werden, ob das jeweilige Land oder der Anbieter ein angemessenes Schutzniveau bietet (Angemessenheitsbeschluss der EU,Privacy Shield-Zertifizierungen von US-Unternehmen) oder ob andere geeignete Garantien des Anbieters bestehen (Abschluss von Standarddatenschutzklauseln, Binding Corporate Rules)
- Auftragsverarbeitungsvertrag abschließen: Grundsätzlich ist mit einem Saas-Anbieter ein Auftragsverarbeitungsvertrag abzuschließen (Art. 28, DSGVO
Datensicherheit durch technische und organisatorische Maßnahmen
Ist die Entscheidung auf ein Tool auf den nach oben genannten Kriterien gefallen, müssen weitere technisch-organisatorische Maßnahmen zur Datensicherheit beachtet werden:
- Verschlüsselung: Dabei gilt es im Einzelfall zu bestimmen welche Art von Verschlüsselung benötigt wird, dies hängt letztlich von der Art der Daten ab die verarbeitet werden soll.
- Business-Version: Für die Verwendung im Unternehmen eignen sich nicht Tools, die für den privaten Einsatz gedacht sind. Zum Beispiel sind Apps wie WhatsApp oder FaceTime grundsätzlich ungeeignet.
- Beschränkung von Logfiles: Logfiles sollten nur soweit diese erforderlich sind erstellt werden. Diese können auch für die Fehlerbehebung durch den Dienstleister notwendig sein. Es kommt jedoch darauf an, dass die Daten dann nur zu diesem Zweck verwendet werden und nach Wegfall des Zwecks wieder gelöscht werden.
- Chatverläufe und Dateiaustausch: Auch hier ist sicherzustellen, dass diese nur für den benötigten Zeitraum zur Verfügung stehen und danach automatisch gelöscht werden. Beim Chat dürfte dies nach Ende der Videokonferenz der Fall sein. Bei Dateiaustausch kann z.B. ein Zeitraum von wenigen Stunden oder einem Tag gewählt werden, innerhalb dessen die Mitarbeiter Zeit haben die Daten herunterzuladen und anderweitig abzulegen. Ergänzend sollte als organisatorische Maßnahme geregelt werden welche Arten von Dokumenten (nicht) über das Tool geteilt werden dürfen. Dies kann sowohl als Black- oder als Whitelist ausgestaltet werden.
- Möglichkeit, Aufnahmen der Videokonferenz zu regulieren: Viele Tools bieten mittlerweile die Möglichkeit die Videokonferenz aufzunehmen. Dies dürfte in den meisten Fällen jedoch nur mit einer Einwilligung aller Teilnehmer zulässig sein. Daher sollte das Tool so eingestellt werden können, dass vor Start der Aufnahme bei allen Teilnehmern eine Nachricht mit den nötigen Informationen erscheint, sowie die Option, zuzustimmen oder abzulehnen. Mit Ihrem DSB können Sie dazu abstimmen, ob und wie dabei die Anforderungen der DSGVO an eine Einwilligung erfüllt werden können. Zudem wird eine Aufzeichnung wohl stets den Ton umfassen und wird damit bei fehlender Zustimmung sogar regelmäßig wegen der Verletzung der Vertraulichkeit des Wortes nach § 201 Abs. 1 StGB strafbar sein.
- Einsatz bei Bewerbungsverfahren: Auch wenn Bewerbungsverfahren wohl vermehrt nicht mehr aktiv betrieben werden, um eine Verbreitung des Virus zu vermeiden. Sollten Bewerbungsgespräche via Videokonferenz durchgeführt werden, so sollten Sie dies im Voraus sorgfältig prüfen.
- Blurr-Möglichkeit: Zudem bieten Videokonferenz-Tools teilweise die Möglichkeit, den Hintergrund vollständig auszugrauen.
- Einrichtung von Zugangsbeschränkungen (wie Login, oder bei Gästen nur mit Zustimmung des Organisators)*
*Auszüge aus Fachbeitrag “Videokonferenz-Tools: Tipps zur Auswahl und Verwendung”, 18.03.2020
Übersicht gängiger Videokonferenztool-Anbieter
| Name | Land (Serverstandorte) |
Sicherheitsstellung Datenschutzniveau im Drittland (Privacy Shield Standardschutzklauseln (SCC) ) |
AV-Vertrag/Data Processing Agreement (DPA) | Datenschutz-erklärung |
| Arkadin
|
Deutschland | Entfällt | Auf Anfrage | Link |
| AnyMeeting
|
USA | Privacy Shield | Auf Anfrage | Link |
| Cisco WebEx | USA | Privacy Shield | In SCC enthalten | Link |
| ClickMeeting | Polen | – | Im Kundenkonto | Link |
| Fastviewer
|
Deutschland | Entfällt | Link | Link |
| GoToMeeting
|
USA | Privacy Shield | Link | Link |
| Meetgreen
|
Deutschland | Entfällt | Auf Anfrage | Link |
| Meetyou
|
Deutschland | Entfällt | Auf Anfrage | Link |
| Microsoft Teams | USA | Privacy Shield | Link | Link, Link |
| Skype for Business | USA | Privacy Shield | Link | Link, Link |
| Teamviewer
|
USA | Nicht angeboten | Auf Anfrage | Link |
| Zoom | USA | Privacy Shield
|
In SCC enthalten | Link |
Quelle: DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste) von Dr. Thomas Schwenke/24. März 2020
Hinweis: Nicht alle Datenschutzhinweise und Verträge wurden en detail geprüft.
Des Weiteren ist die Liste nicht abschließend – Orientierung erfolgt über die von den Nutzern und Kunden eingesetzten Tools.
Videokonferenznetiquette
1. Sorgen Sie für eine ruhige Umgebung
2. Halten Sie entsprechende Unterlagen, wie Agenda bereit
3. Wählen Sie sich zum vereinbarten Termin zur Konferenz ein
4. Nennen Sie vor jedem Redebeitrag ihren Namen damit die anderen Teilnehmern sie identifizieren können
5. Reden Sie deutlich und machen Sie Sprechpausen, um den Teilnehmern das Verstehen zu vereinfachen
Mitarbeitersensibilisierung und Mitarbeiterschulungen helfen, das Bewusstsein für diese Formate der Kommunikation zu schärfen.
Im Zweifelsfall sollte jedes Tool vor der Nutzung von einem Datenschutzbeauftragten überprüft werden.
So würden Videokonferenzen im realen Leben aussehen
Photo by Annie Spratt on Unsplash
Quellen: PC-Welt, Computerwoche
Hinweis: Alle gemachten Angaben sind ohne rechtliche Gewähr und nur auf Basis der im Internet zugänglichen Informationen sowie Informationen der Softwarehersteller/ Dienstanbieter basierend. Die angegebenen Informationen stellen lediglich eine Momentaufnahme dar. Im Zweifelsfall muss immer eine eigene Recherche erfolgen.
