In Anbetracht der aktuellen Entwicklungen im Arbeitsumfeld ist ein Trend in den ersten Monaten des Jahres 2020 ganz besonders in den Fokus von Datenschutzbeauftragten gerückt: die zunehmende Nutzung von Tools wie Zoom, Skype Business oder Google Hangouts zur Durchführung von Videokonferenzen und Online Meetings.
Ende März 2020 wurde bekannt, dass der Anbieter Zoom mit einer Vielzahl von Sicherheitslücken zu kämpfen hat. Diese ermöglichten es Hackern, Sitzungen zu übernehmen und fragwürdige Inhalte einzuspielen. Auch der Fall des bayerischen Innenministeriums, das seine Online Meetings über das Tool Cisco Jabber abhält, hat für Aufsehen in den Medien gesorgt.
Wie das Fachmagazin c’t berichtete, war es den Journalisten möglich, nur durch Erraten der Meeting ID ungehindert Zugang zu einer Videokonferenz mit Bayerns Innenminister Joachim Herrmann zu erlangen.
In der Folge beschäftigt Unternehmen nun zunehmend die Frage, unter welchen Umständen Tools für Videokonferenzen und Online Meetings mit dem Datenschutz vereinbar sind.
Wir klären in diesem Beitrag über relevante Aspekte auf, die MitarbeiterInnen in Ihrem Unternehmen bei der Verwendung von Videokonferenz Tools berücksichtigen sollten und beantworten folgende Fragen:
Um diese Frage beantworten zu können, müssen vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) verschiedene Aspekte in die Bewertung miteinbezogen werden.
Egal, ob Cisco Webex, Google Hangouts, Skype oder Zoom – bei der Auswahl eines dieser Tools lohnt es sich für Unternehmen, Art. 25 der DSGVO in Erinnerung zu rufen:
“Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.” Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.”
Dieser Artikel reglementiert den Datenschutz durch Technikgestaltung sowie datenschutzrechtliche Voreinstellungen der genutzten Technik.
Im Kern enthält der Artikel folgende Handlungsempfehlungen, wenn es um die Wahl eines DSGVO-konformen Anbieters geht:
Diese Empfehlungen bedeuten natürlich nicht, dass ausschließlich Tools verwendet werden dürfen, die beide dieser Kriterien erfüllen.
Bei der Auswahl von Videokonferenzsystemen sollten Unternehmen den Umfang der integrierten Funktionen untersuchen. Es gilt zu prüfen, welche Funktionalitäten erforderlich für den alltäglichen Gebrauch sind.
Daher sollten Unternehmen sich im Klaren darüber sein, welche Funktionalitäten von Videokonferenz Tools den Datenschutz von MitarbeiterInnen und Geschäftspartnern einschränken können.
Beispiele solcher Funktionen umfassen unter anderem Aufzeichnungen von Videomeetings, die Nutzung von Zugangsbeschränkungen sowie den Umgang mit Trackingfunktionen.
Gemäß den Anforderungen hinsichtlich der Datenminimierung lautet der Rat an Unternehmen, grundsätzlich von Aufzeichnungen der Online Meetings abzusehen.
Für den Fall, dass eine Aufzeichnung unabdinglich sein sollte, lautet der Hinweis, Aufzeichnungen lediglich lokal, das heißt außerhalb des Videokonferenz-Tools, zu speichern und nach Zweckerreichung zu löschen. Vor dem Start der Aufzeichnung sollten Teilnehmende des Online Meetings über die anstehende Aufzeichnung aufgeklärt werden. Darüber hinaus sollte zu Beginn der Aufzeichnung eine mündliche Freigabe der betroffenen TeilnehmerInnen eingeholt werden.
Ein weiterer Mechanismus, der die Anforderungen der DSGVO in Bezug auf Videokonferenzen berücksichtigt, ist der standardmäßige Einsatz von Zugangsbeschränkungen.
Fast alle gängigen Tools für Videokonferenzen bieten mittlerweile die Möglichkeit, virtuelle Meetingräume mit einem Passwortschutz zu versehen. Alternativ bestehen Optionen dahingehend, einen “Warteraum” einzurichten, sodass TeilnehmerInnen dem Meeting lediglich nach Bestätigung des Hosts beitreten können.
Mit dieser Funktionalität kann verhindert werden, dass TeilnehmerInnen außerhalb der Organisation unerwünschten Zutritt zum Meeting erlangen, wie im Fall des bayerischen Innenministeriums geschehen. Nicht zuletzt vor dem Hintergrund des Geschäftsgeheimnisgesetzes bietet dieser Ansatz eine zusätzliche Schutzeinrichtung, die zwar nicht rechtlich vorgeschrieben, aber dringend zu empfehlen ist.
Viele Anbieter von Videokonferenzsystemen versuchen durch ein hohes Aufkommen an Funktionalitäten bei Arbeitgebern zu punkten. Eine dieser Funktionen ist die Möglichkeit des “Aufmerksamkeitstracking”.
Mit diesem Werkzeug sind Gastgeber eines Meetings dazu in der Lage, den Aktivitätsstatus der Teilnehmenden zu prüfen (aktiv/inaktiv/abwesend). Darüber hinaus bieten vereinzelte Dienstleister sogar Features, die es erlauben, die geöffneten Programme auf den Geräten der Zuhörer zu erkennen.
Für den Fall, dass Unternehmen auf eine solche Art des Trackings zurückgreifen wollen, ist eine Aufklärung der Betroffenen vor dem Start des Trackings unerlässlich, um einen erheblichen Eingriff in die Persönlichkeitsrechte der Teilnehmenden zu vermeiden. TeilnehmerInnen sollten im Meeting die Möglichkeit haben, ein derartiges Tracking abzulehnen.
Hier sollten Unternehmen Rücksprache mit ihren zuständigen Datenschutzbeauftragten halten, um im Einzelfall eine DSGVO-konforme Durchführung eines solchen Trackings zu gewährleisten.
Bei der Nutzung von Dienstleistern von Videokonferenzsystemen gibt es weitere notwendige Maßnahmen, die zur Erreichung eines DSGVO-konformen Umgangs mit personenbezogenen Daten erforderlich sind.
Im Folgenden werden wir wesentliche Maßnahmen beschreiben, die Unternehmen beim Umgang mit Videokonferenz Tools berücksichtigen sollten. Auch hier gilt kein Anspruch auf Vollständigkeit – Unternehmen sollten im individuellen Fall ihren Datenschutzbeauftragten konsultieren. In jedem Fall gilt: Datenschutz-Schulungen von Mitarbeitern sind laut DSGVO nicht nur notwendig, sondern auch förderlich.
Aufgrund der Tatsache, dass Anbieter von Videokonferenz Tools personenbezogene Daten in Form von Bild und Ton verarbeiten, gelten Anbieter als Auftragsverarbeiter. In der Folge ist der Abschluss eines entsprechenden Auftragsverarbeitungsvertrags nach Art. 28 DSGVO notwendig.
Dazu ist es erforderlich, dass Unternehmen die technischen und organisatorischen Maßnahmen (TOM) des Anbieters prüfen, damit ein korrekter Umgang mit dem Video-Tool sichergestellt werden kann. Zu diesen Maßnahmen gehören beispielsweise die Pseudonymisierung von Teilnehmern oder auch die Verschlüsselung des Datentransfers.
Für den Fall, dass der Dienstleister seinen Sitz außerhalb der EU hat, muss ein ausreichendes Datenschutzniveau im Sinne der DSGVO sichergestellt sein. Eine Vielzahl von Drittländern verfügt über Verfahren, die ein entsprechendes Datenschutzniveau implizieren.
In den USA etwa wird das Privacy-Shield-Zertifikat vergeben, das den Datenschutz von personenbezogenen Daten auf europäischem Niveau annehmen lässt.
Unternehmen sind bei der Nutzung von Konferenztools dazu verpflichtet, TeilnehmerInnen von Videokonferenzen und Online Meetings über den Umfang sowie den Zweck und die Art der Verarbeitung von personenbezogenen Daten zu informieren (Art. 12, 13 DSGVO).
Diese Anforderung trifft gegenüber MitarbeiterInnen sowie Geschäftspartnern in gleichem Maße zu. Aus diesem Grund empfiehlt sich eine Einbindung dieser Auskunft in die allgemeine Datenschutzerklärung Ihres Unternehmens. Ein Hinweis auf die unternehmenseigene Datenschutzerklärung sollte bereits bei der Einladung von TeilnehmerInnen erfolgen, um die nötige Transparenz zu schaffen.
Für eine korrekte Einbindung der Datenschutzhinweise sollte auch hier ein Datenschutzbeauftragter hinzugezogen werden.
Die Datenschutz-Grundverordnung sieht vor, dass jedes Unternehmen, das personenbezogene Daten verarbeitet, ein Verarbeitungsverzeichnis führt. Das Verzeichnis enthält eine Übersicht aller Vorgänge eines Unternehmens, bei denen personenbezogene Daten verarbeitet werden.
Da die Nutzung von Tools für Videokonferenzen ebenfalls die Verarbeitung von Daten einschließt, sollten Unternehmen diese Dienste in das Verarbeitungsverzeichnis integrieren (Art. 30 DSGVO). Die Einbindung in das Verarbeitungsverzeichnis könnte wie folgt aussehen:
QUELLE: eRecht24
Um das Potential von möglichen Datenschutzschäden weiter zu minimieren, sollten Unternehmen interne Richtlinien für den Umgang mit Konferenz-Tools definieren.
Diese Aufgabe obliegt in der Regel dem zuständigen Datenschutzbeauftragten, der wesentliche Eckpunkte der Nutzung von Konferenzdiensten an seine Mitarbeiterschaft kommunizieren sollte, wie bspw. Informationen zum Umgang mit den Funktionalitäten des ausgewählten Dienstleisters.
Dazu gehört jedoch auch, den korrekten Umgang mit Konferenzdiensten im Einklang mit der Unternehmenskultur in Form einer Netiquette zu formulieren. Denn auch während der Videokonferenz sollten sich alle Teilnehmer datenschutzfreundlich verhalten.
So sollten TeilnehmerInnen von Online Meetings ggf. ihr Mikrofon/ihre Kamera ausschalten, wenn etwa im Home Office andere Personen den Raum betreten bzw. in den Sichtbereich des Bildschirms kommen.
Zudem sollten Teilnehmende dem Meeting aufmerksam folgen und der organisierenden Person sowie den weiteren TeilnehmerInnen mitteilen, sobald eine unbefugte Person den Konferenzraum betritt oder ohne vorherige Absprache eine Aufnahme der Videokonferenz gestartet wurde.
Abschließend untersuchen wir eine Auswahl von Tools für Videokonferenzen und Online Meetings, die eine große Verbreitung genießen. Auf Basis der vorgestellten Aspekte untersuchen wir ihre Tauglichkeit für die alltägliche Nutzung im Hinblick auf DSGVO-Konformität. Hierbei ist zu berücksichtigen, dass es keine “one size fits it all”-Lösung gibt. Je nach Unternehmen müssen Anbieter individuelle Anforderungen erfüllen.
Google ist mit seinen Diensten Hangouts und Meet einer der verbreitetsten Anbieter von Videokonferenzen. Google selbst ist auf seiner Webseite transparent, was den Umfang der Funktionalitäten von Google Hangouts / Meet anbelangt. Es gibt keine Funktion, die das Tracking der Aufmerksamkeit von Zuhörern zulässt.
Allerdings erfolgt der Datentransfer von Bild- und Toninhalten bei Google Hangouts nicht über eine End-zu-End Verschlüsselung. Das bedeutet, dass die Daten lediglich auf dem Weg zu Google’s Server verschlüsselt werden. Google jedoch hat vollständigen Zugriff auf die Daten.
Tatsächlich leitet Google diese Informationen auf Anfrage regelmäßig an Regierungsorganisationen weiter, wie Google selbst berichtet.
Dennoch sind Google Hangouts und Google Meet durch das EU-US Privacy Shield zertifiziert. Der Vertrag zur Auftragsverarbeitung ist über ein eigenes Data-Privacy-Addendum von Google einzusehen und wird automatisch mitsamt der AGB akzeptiert.
TeamViewer ist wohl einer der bekanntesten Anbieter von Videokonferenzsystemen mit Sitz in Deutschland.
Der Sitz in Deutschland impliziert eine Entsprechung des von der DSGVO vorgegebenen Datenschutzniveaus. Die verarbeiteten Daten werden auf Servern in Deutschland und Österreich gespeichert und sind nach ISO 27001 datenschutzgerecht zertifiziert.
Darüber hinaus wird die Verarbeitung von Bild- und Ton Inhalten hier, im Gegensatz zu Google, Ende-zu-Ende verschlüsselt.
Einzig die Tatsache, dass mithilfe von TeamViewer Fernwartungen, und damit auch die Fernsteuerung anderer Geräte, durchgeführt werden können, bietet Grund zur Kritik. Vor allem vor dem Hintergrund, da Betroffene nicht vorab informiert werden müssen, um einen Fernzugriff herzustellen, sollten Datenschutzbeauftragte dieses Tool explizit prüfen und diese Funktion nach Möglichkeit ausschalten.
Der Auftragsverarbeitungsvertrag wird mit TeamViewer bei Annahme der AGB abgeschlossen. Weitere Einzelheiten der Verarbeitung von personenbezogenen Daten sind der Datenschutzerklärung von TeamViewer zu entnehmen.
Nachdem Zoom zuletzt stark in der Kritik stand, haben die Entwickler im Zuge zahlreicher Sicherheitsupdates die gemeldeten Sicherheitslücken nach eigener Aussage behoben.
Für etwaige Aufzeichnungen der Online Meetings besteht die Option, die Aufzeichnung lokal auf dem Computer anstatt in der Cloud zu speichern. Dies entspricht der zuvor ausgesprochenen Empfehlung einer DSGVO-konformen Speicherung.
Zudem verfügt Zoom über Möglichkeiten der Zugangsbeschränkung – zum Einen über die Eingabe eines Meeting-PIN, zum Anderen mithilfe der Warteraum-Funktion. Als eingeloggter Nutzer bestehen darüber hinaus weitere Optionen, individuelle Einstellungen einzurichten:
Auf der unternehmenseigenen Webseite hält Zoom einen AV-Vertrag für Unternehmen bereit. Zoom ist ebenfalls mit dem Gütesiegel des EU-US Privacy-Shields ausgestattet, das ein Datenschutzniveau nach europäischem Standard garantieren soll.
Dies war nur ein Ausschnitt der zahllosen Anbieter, die wie Slack, Cisco WebEx, Twitch oder Team Viewer als Anbieter von Videokonferenzsystemen tätig sind. Selbstverständlich sollte auch die Tauglichkeit aller weiteren Konferenzdienstleister vor der Nutzung und Implementierung durch die zuständigen Datenschutzbeauftragten in Unternehmen individuell geprüft werden.
Die nachfolgende Checkliste soll Unternehmen und insbesondere den zuständigen Datenschutzbeauftragten dabei helfen, die Implementierung potentieller Anbieter datenschutzkonform durchzuführen.
Hinweis: Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Sie soll als Orientierungshilfe dienen, um die Einbindung von Tools für Online Meetings zu ermöglichen. Die Liste ersetzt keinesfalls die Prüfung durch geschultes Fachpersonal.
Nachdem Zoom mit immensen Sicherheitslücken in den vergangenen Monaten aufgefallen ist, bemühen sich die Anbieter nun vermehrt, den hohen Ansprüchen durch die DSGVO zu entsprechen. Unternehmen sollten vor der Verwendung eines Videokonferenzsystems jedoch zwingend prüfen, ob einzelne Funktionen, wie das Aufmerksamkeitstracking, notwendig sind. Relevante Einstellungen, wie das Teilen des eigenen Bildschirms, sollten individuell anpassbar sein.
Die Inhalte dieses Beitrags sollen Unternehmen dabei helfen, potentielle Quellen von Datenschutzverletzungen aufzuzeigen.
Dazu reicht es jedoch oft nicht aus, die hier beschriebenen Maßnahmen zu ergreifen, die in der Regel nur von einzelnen, verantwortlichen MitarbeiterInnen, wie etwa Datenschutzbeauftragten, durchgeführt werden.
Stattdessen sollten Unternehmen anstreben, ein Grundverständnis für Datenschutz bei ihren MitarbeiterInnen aufzubauen.
Flächendeckende Prävention vor wirtschaftlichen Schäden durch Datenschutzverletzungen
Unsere Datenschutzschulung für Mitarbeiter bietet dazu eine effiziente Lösung: Unternehmen haben die Gelegenheit, die ganze Belegschaft auf spielerische und interaktive Art und Weise für die Relevanz von Datenschutz am Arbeitsplatz zu sensibilisieren und Verletzungen des Datenschutz nachhaltig zu vermeiden.
Schauen Sie sich dazu ganz unverbindlich unsere Demo zum Kurs Datenschutz für Mitarbeitende an und erfahren Sie so selbst die Vorteile von zeitgemäßem und intuitivem E-Learning durch lawpilots.