Empfehlungen Videokonferenzsysteme und Datenschutz

Die Corona-Pandemie hat Unternehmen vielfach, mehr oder weniger über Nacht, dazu gezwungen, Mitarbeiter vom Homeoffice aus arbeiten zu lassen. Um den Betrieb und vor allen Dingen, die interne und externe Kommunikation aufrecht zu erhalten, wurde weltweit, in schier unglaublicher Geschwindigkeit, Videokonferenz zum neuen Kommunikationsstandard. Doch welches Videokonferenzsystem ist die beste Wahl in Bezug auf Datenschutzkonformität?

Wie so oft im Leben eines Datenschutzbeauftragten, hechelt man der so plötzlich neu geschaffenen Realität etwas hinterher.

Es ging für Unternehmen natürlich zuallererst darum, weiteres Geschäft und vor allem Umsatz zu sichern. Dementsprechend ging es weniger darum, die Vorgaben der DSGVO bei Videokonferenzsystemen einzuhalten. Dass die Regierungen und Aufsichtsbehörden für Datenschutz der Länder dabei wenig hilfreich waren, ist leider nichts Neues. Es gab keine klaren Leitlinien oder Vorgaben. Viel schlimmer noch: auch auf Nachfrage, welches Videokonferenzsystem denn nun noch am ehesten akzeptiert wird, oder den Vorgaben der DSGVO noch am nächsten komme, erhielt man offensichtlich die unterschiedlichsten Aussagen.

Interessierte können sich diese Erfahrungen aus erster Hand anhören, im Datenschutzpodcast „Auslegungssache“ (Nr. 12) des Heise Verlags berichten die Kollegen von haarsträubenden Aussagen, die im schlimmsten Fall sogar dazu führten, dass Schulen in ganzen Bundesländern die kurzfristig eingeführte App von Microsoft Teams nicht mehr nutzen durften. Gleichzeitig wurden andererseits ganze Konferenzen der europäischen Finanzminister via „Zoom“ abgehalten. Eine Situation also, die dem Unternehmer bei der Entscheidung für das richtige Videokonferenzsystem natürlich insgesamt wenig hilfreich ist.

Grundsätzlich lässt sich aber sagen, es gibt derzeit keine perfekte, 100% DSGVO-konforme Videokonferenz-Lösung, die auch noch weltweit akzeptiert ist.

Man muss vielmehr die berühmte „goldene Mitte“ suchen. Unternehmen müssen also Videokonferenzsysteme nach dem auswählen, was Kunden akzeptieren und was datenschutzrechtlich vertretbar ist. Wie so oft wäre es schön, wenn Unternehmen hier mehr ihre Datenschutzbeauftragten zu Rate ziehen würden, um zu erfahren, wie man vielleicht die bereits ausgewählte Lösung besser oder sicherer macht. Dann kommt man den Vorgaben der DSGVO auch mit etablierten Tools schnell wieder sehr nahe. Der Datenschutzbeauftragte muss ohnehin das Risiko beim Einsatz einer solchen Lösung bewerten. Denn am Ende handelt es sich um eine Verarbeitungstätigkeit. Die muss dokumentiert und vor allen Dingen auf die Risiken hin geprüft werden.

Und tatsächlich: Die eingesetzte Software dann noch DSGVO-konform zu optimieren, ja, das geht meist ganz einfach!

Denn nach der Entscheidung, welche Videokonferenzlösung man einsetzt, sollten zu allererst immer die Konfiguration- oder Administrationseinstellungen geprüft werden:

  • Ist die Default Einstellung des Herstellens für die Teilnahme an Konferenzen bei Zoom korrekt gesetzt?
  • Wer hat bei MS-Teams das Recht, Aufnahmen der Videokonferenz zu starten?
  • Welche App von Cisco Webex kommt zum Einsatz? Android oder iOS? Etc.

Wenn man diese Fragen alle beantwortet hat und somit auch die Technischen und Organisatorischen Maßnahmen geprüft und (hoffentlich) auch dokumentiert hat, kann man das ausgewählte Videokonferenzsystem schon mal mit deutlich ruhigerem Gewissen einsetzen.

Ob man sich dann noch überhaupt die Frage stellen muss, ob man ein Cloud-System akzeptiert oder bei Videokonferenzsystemen auf vielleicht sogar proprietäre Lösungen setzt, oder auf Lösungen die unbedingt „OnPremise“ laufen müssen, stellt sich dann vielleicht gar nicht mehr.

Vorsicht vor Verallgemeinerung!

Und mal ehrlich: Sich hinzustellen und alle Angebote, die aus der Cloud kommen, per se als „Datenschleuder“ zu verteufeln, ist unter aktuellen Maßgaben schon vorsichtig gesagt leicht rückwärtsgerichtet. Denn wenn man sich manchen Serverraum von Unternehmen so ansieht, dann ist dort der technische oder bauliche Schutz so schlecht gelöst, dass man anstatt „OnPremise“ wohl doch besser in die Cloud geht und den Schutz der Systeme den Profis überlässt.

Grundsätzlich muss man auch davon ausgehen, dass Unternehmen wie Microsoft, die ja langfristig sich im Business Bereich fest etablieren wollen und müssen, es aus reinem Eigeninteresse nicht riskieren können, dass ihre Lösungen jegliches Mitlesen zulässt oder Sicherheitslücken zu lange offenlassen. Selbst der US-amerikanische Hersteller „Zoom“, den vor Corona-Zeiten kaum jemand kannte und jetzt plötzlich sogar von Politikern eingesetzt wird, hat innerhalb einer Woche auf kritische Sicherheitslücken reagiert und diese umgehend geschlossen. Man sieht also deutlich, dass hier die Hersteller aus eigener Initiative heraus für Sicherheit oder wenigstens etwas DSGVO-Konformität sorgen.

Was aber nun die Leitfäden und Vorgaben für den möglichst korrekten Einsatz von Videokonferenzsystemen betrifft, hat sich die Lage mittlerweile auch etwas entschärft.

Wir möchten Ihnen ein paar Lösungsvorschläge als Orientierungshilfe aufzeigen.

Sowohl einige Datenschutzaufsichtsbehörden, der Datenschutzverband GDD, genauso wie das BSI, das Bundesamt für Sicherheit in der Informationstechnik, haben Leitfäden veröffentlicht. In der folgenden Linksammlung finden Sie Vorschläge mit viel Detailinformation, Tipps und Prüfpunkten. Sie geben Aufschluss darüber, was für einen DSGVO-konformen Einsatz von Videokonferenzsystemen notwendig ist:

Leitfaden des Landesbeauftragten für Datenschutz in Baden-Württemberg:

Datenschutzfreundliche technische Möglichkeiten der Kommunikation“ (Link: https://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/)

Empfehlungen für Videokonferenzsystemen des BSI (Link: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Remote/Home-Office/home-office_node.html)

Darin enthalten ist auch das:

Kompendium Videokonferenzsysteme“ des BSI (Link: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Remote/Home-Office/home-office_node.html)

Verbandsinformation des GDD:

Praxishilfe DSGVO XVI – Videokonferenzen und Datenschutz“ (Link: https://www.gdd.de/downloads/praxishilfen/gdd-praxishilfe_xvi-videokonferenzen-und-datenschutz)

This post is also available in: Englisch