Datenschutz bei Videokonferenzen
10. Juni 2020

Datenschutz bei Videokonferenzen und Online Meetings sicherstellen (+ Checkliste)

In Anbetracht der aktuellen Entwicklungen im Arbeitsumfeld ist ein Trend in den ersten Monaten des Jahres 2020 ganz besonders in den Fokus von Datenschutzbeauftragten gerückt: die zunehmende Nutzung von Tools wie Zoom, Skype Business oder Google Hangouts zur Durchführung von Videokonferenzen und Online Meetings. 

Ende März 2020 wurde bekannt, dass der Anbieter Zoom mit einer Vielzahl von Sicherheitslücken zu kämpfen hat. Diese ermöglichten es Hackern, Sitzungen zu übernehmen und fragwürdige Inhalte einzuspielen. Auch der Fall des bayerischen Innenministeriums, das seine Online Meetings über das Tool Cisco Jabber abhält, hat für Aufsehen in den Medien gesorgt. 

Wie das Fachmagazin c’t berichtete, war es den Journalisten möglich, nur durch Erraten der Meeting ID ungehindert Zugang zu einer Videokonferenz mit Bayerns Innenminister Joachim Herrmann zu erlangen. 

QUELLE: c’t 

In der Folge beschäftigt Unternehmen nun zunehmend die Frage, unter welchen Umständen Tools für Videokonferenzen und Online Meetings mit dem Datenschutz vereinbar sind

Wir klären in diesem Beitrag über relevante Aspekte auf, die Mitarbeiter in Ihrem Unternehmen bei der Verwendung von Videokonferenz Tools berücksichtigen sollten und beantworten folgende Fragen: 

  • Welche Grundvoraussetzungen sollten Videokonferenzsysteme erfüllen?  
  • Was gilt es bei den Funktionalitäten von Videokonferenz Tools zu beachten? 
  • Welche weiteren Maßnahmen müssen Unternehmen ergreifen, um datenschutzkonforme Online Meetings zu garantieren? 

Um diese Frage beantworten zu können, müssen vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) verschiedene Aspekte in die Bewertung miteinbezogen werden. 

Inhaltsangabe: 

  1. Notwendige Vorüberlegungen
  2. Funktionalitäten von Videokonferenzsystemen
  3. Datenschutz sicherstellen: zu ergreifende Maßnahmen
  4. Übersicht: Anbieter von Videokonferenz Tools
  5. Checkliste zum Einsatz von Videokonferenz Tools

Vorüberlegungen: Anbieter von Videokonferenz-Tools

Egal, ob Cisco Webex, Google Hangouts, Skype oder Zoom – bei der Auswahl eines dieser Tools lohnt es sich für Unternehmen, Art. 25 der DSGVO in Erinnerung zu rufen:

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.” Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Dieser Artikel reglementiert den Datenschutz durch Technikgestaltung sowie datenschutzrechtliche Voreinstellungen der genutzten Technik.

Im Kern enthält der Artikel folgende Handlungsempfehlungen, wenn es um die Wahl eines DSGVO-konformen Anbieters geht: 

  1. Europäische Anbieter: bei gleichem Leistungsangebot wird empfohlen, europäische Anbieter gegenüber asiatischen oder US-Unternehmen vorzuziehen
  2. Anbieter mit datenschutzfreundlichen Grundeinstellungen: Im Sinne der im Artikel 25 definierten Datenminimierung sollten so wenig personenbezogene Daten wie nötig erhoben werden

Diese Empfehlungen bedeuten natürlich nicht, dass ausschließlich Tools verwendet werden dürfen, die beide dieser Kriterien erfüllen. 

Bei der Auswahl von Videokonferenzsystemen sollten Unternehmen den Umfang der integrierten Funktionen untersuchen. Es gilt zu prüfen, welche Funktionalitäten erforderlich für den alltäglichen Gebrauch sind. 

Funktionalitäten von Videokonferenzsystemen

Daher sollten Unternehmen sich im Klaren darüber sein, welche Funktionalitäten von Videokonferenz Tools den Datenschutz von Mitarbeitern und Geschäftspartnern einschränken können. 

Beispiele solcher Funktionen umfassen unter anderem Aufzeichnungen von Videomeetings, die Nutzung von Zugangsbeschränkungen sowie den Umgang mit Trackingfunktionen

Aufzeichnungen von Online Meetings und Dokumentationen 

Gemäß den Anforderungen hinsichtlich der Datenminimierung lautet der Rat an Unternehmen, grundsätzlich von Aufzeichnungen der Online Meetings abzusehen. 

Für den Fall, dass eine Aufzeichnung unabdinglich sein sollte, lautet der Hinweis, Aufzeichnungen lediglich lokal, das heißt außerhalb des Videokonferenz-Tools, zu speichern und nach Zweckerreichung zu löschen. Vor dem Start der Aufzeichnung sollten Teilnehmer des Online Meetings über die anstehende Aufzeichnung aufgeklärt werden. Darüber hinaus sollte zu Beginn der Aufzeichnung eine mündliche Freigabe der betroffenen Teilnehmer eingeholt werden. 

Nutzung von Zugangsbeschränkungen

Ein weiterer Mechanismus, der die Anforderungen der DSGVO in Bezug auf Videokonferenzen berücksichtigt, ist der standardmäßige Einsatz von Zugangsbeschränkungen

Fast alle gängigen Tools für Videokonferenzen bieten mittlerweile die Möglichkeit, virtuelle Meetingräume mit einem Passwortschutz zu versehen. Alternativ bestehen Optionen dahingehend, einen “Warteraum” einzurichten, sodass Teilnehmer dem Meeting lediglich nach Bestätigung des Hosts beitreten können. 

Mit dieser Funktionalität kann verhindert werden, dass Teilnehmer außerhalb der Organisation unerwünschten Zutritt zum Meeting erlangen, wie im Fall des bayerischen Innenministeriums geschehen. Nicht zuletzt vor dem Hintergrund des Geschäftsgeheimnisgesetzes bietet dieser Ansatz eine zusätzliche Schutzeinrichtung, die zwar nicht rechtlich vorgeschrieben, aber dringend zu empfehlen ist.

Verzicht auf Trackingfunktionen 

Viele Anbieter von Videokonferenzsystemen versuchen durch ein hohes Aufkommen an Funktionalitäten bei Arbeitgebern zu punkten. Eine dieser Funktionen ist die Möglichkeit des “Aufmerksamkeitstracking”. 

Mit diesem Werkzeug ist der Gastgeber eines Meetings dazu in der Lage, den Aktivitätsstatus der Teilnehmer zu prüfen (aktiv/inaktiv/abwesend). Darüber hinaus bieten vereinzelte Dienstleister sogar Features, die es erlauben, die geöffneten Programme auf den Geräten der Zuhörer zu erkennen. 

Für den Fall, dass Unternehmen auf eine solche Art des Trackings zurückgreifen wollen, ist eine Aufklärung der Betroffenen vor dem Start des Trackings unerlässlich, um einen erheblichen Eingriff in die Persönlichkeitsrechte der Teilnehmenden zu vermeiden. Teilnehmer sollten im Meeting die Möglichkeit haben, ein derartiges Tracking abzulehnen. 

Hier sollten Unternehmen Rücksprache mit ihren zuständigen Datenschutzbeauftragten halten, um im Einzelfall eine DSGVO-konforme Durchführung eines solchen Trackings zu gewährleisten. 

Datenschutz bei Videokonferenzen sicherstellen: zu ergreifende Maßnahmen

Bei der Nutzung von Dienstleistern von Videokonferenzsystemen gibt es weitere notwendige Maßnahmen, die zur Erreichung eines DSGVO-konformen Umgangs mit personenbezogenen Daten erforderlich sind. 

Im Folgenden werden wir wesentliche Maßnahmen beschreiben, die Unternehmen beim Umgang mit Videokonferenz Tools berücksichtigen sollten. Auch hier gilt kein Anspruch auf Vollständigkeit – Unternehmen sollten im individuellen Fall ihren Datenschutzbeauftragten konsultieren. 

Auftragsverarbeitungsvertrag abschließen

Aufgrund der Tatsache, dass Anbieter von Videokonferenz Tools personenbezogene Daten in Form von Bild und Ton verarbeiten, gelten Anbieter als Auftragsverarbeiter. In der Folge ist der Abschluss eines entsprechenden Auftragsverarbeitungsvertrags nach Art. 28 DSGVO notwendig. 

Dazu ist es erforderlich, dass Unternehmen die technischen und organisatorischen Maßnahmen (TOM) des Anbieters prüfen, damit ein korrekter Umgang mit dem Video-Tool sichergestellt werden kann. Zu diesen Maßnahmen gehören beispielsweise die Pseudonymisierung von Teilnehmern oder auch die Verschlüsselung des Datentransfers. 

Für den Fall, dass der Dienstleister seinen Sitz außerhalb der EU hat, muss ein ausreichendes Datenschutzniveau im Sinne der DSGVO sichergestellt sein. Eine Vielzahl von Drittländern verfügt über Verfahren, die ein entsprechendes Datenschutzniveau implizieren. 

In den USA etwa wird das Privacy-Shield-Zertifikat vergeben, das den Datenschutz von personenbezogenen Daten auf europäischem Niveau annehmen lässt. 

Datenschutzhinweise für Kommunikationsteilnehmer

Unternehmen sind bei der Nutzung von Konferenztools dazu verpflichtet, Teilnehmer von Videokonferenzen und Online Meetings über den Umfang sowie den Zweck und die Art der Verarbeitung von personenbezogenen Daten zu informieren (Art. 12, 13 DSGVO). 

Diese Anforderung trifft gegenüber Mitarbeitern sowie Geschäftspartnern in gleichem Maße zu. Aus diesem Grund empfiehlt sich eine Einbindung dieser Auskunft in die allgemeine Datenschutzerklärung Ihres Unternehmens. Ein Hinweis auf die unternehmenseigene Datenschutzerklärung sollte bereits bei der Einladung von Teilnehmern erfolgen, um die nötige Transparenz zu schaffen. 

Für eine korrekte Einbindung der Datenschutzhinweise sollte auch hier ein Datenschutzbeauftragter hinzugezogen werden.  

Verarbeitungsverzeichnis

Die Datenschutz-Grundverordnung sieht vor, dass jedes Unternehmen, das personenbezogene Daten verarbeitet, ein Verarbeitungsverzeichnis führt. Das Verzeichnis enthält eine Übersicht aller Vorgänge eines Unternehmens, bei denen personenbezogene Daten verarbeitet werden. 

Da die Nutzung von Tools für Videokonferenzen ebenfalls die Verarbeitung von Daten einschließt, sollten Unternehmen diese Dienste in das Verarbeitungsverzeichnis integrieren (Art. 30 DSGVO). Die Einbindung in das Verarbeitungsverzeichnis könnte wie folgt aussehen: 

QUELLE: eRecht24 

Richtlinien für den Umgang mit Konferenz-Tools

Um das Potential von möglichen Datenschutzschäden weiter zu minimieren, sollten Unternehmen interne Richtlinien für den Umgang mit Konferenz-Tools definieren.

Diese Aufgabe obliegt in der Regel dem zuständigen Datenschutzbeauftragten, der wesentliche Eckpunkte der Nutzung von Konferenzdiensten an seine Mitarbeiter kommunizieren sollte, wie bspw. Informationen zum Umgang mit den Funktionalitäten des ausgewählten Dienstleisters. 

  • Nutzung der Moderationsfunktion – zulässig oder nicht? 
  • Verhaltensregeln für Teilnehmer, z.B. die Zulässigkeit von Screenshots oder Aufzeichnungen 

Dazu gehört jedoch auch, den korrekten Umgang mit Konferenzdiensten im Einklang mit der Unternehmenskultur in Form einer Netiquette zu formulieren. Denn auch während der Videokonferenz sollten sich alle Teilnehmer datenschutzfreundlich verhalten. 

So sollten Teilnehmer von Online Meetings ggf. ihr Mikrofon/ihre Kamera ausschalten, wenn etwa im Home Office andere Personen den Raum betreten bzw. in den Sichtbereich des Bildschirms kommen. 

Zudem sollten Teilnehmer dem Meeting aufmerksam folgen und der organisierenden Person sowie den weiteren Teilnehmer mitteilen, sobald eine unbefugte Person den Konferenzraum betritt oder ohne vorherige Absprache eine Aufnahme der Videokonferenz gestartet wurde. 

Übersicht: Anbieter von Video-Tools

Abschließend untersuchen wir eine Auswahl von Tools für Videokonferenzen und Online Meetings, die eine große Verbreitung genießen. Auf Basis der vorgestellten Aspekte untersuchen wir ihre Tauglichkeit für die alltägliche Nutzung im Hinblick auf DSGVO-Konformität. Hierbei ist zu berücksichtigen, dass es keine “one size fits it all”-Lösung gibt. Je nach Unternehmen müssen Anbieter individuelle Anforderungen erfüllen. 

Google Hangouts / Google Meet

Google ist mit seinen Diensten Hangouts und Meet einer der verbreitetsten Anbieter von Videokonferenzen. Google selbst ist auf seiner Webseite transparent, was den Umfang der Funktionalitäten von Google Hangouts / Meet anbelangt. Es gibt keine Funktion, die das Tracking der Aufmerksamkeit von Zuhörern zulässt. 

Allerdings erfolgt der Datentransfer von Bild- und Toninhalten bei Google Hangouts nicht über eine End-zu-End Verschlüsselung. Das bedeutet, dass die Daten lediglich auf dem Weg zu Google’s Server verschlüsselt werden. Google jedoch hat vollständigen Zugriff auf die Daten.

Tatsächlich leitet Google diese Informationen auf Anfrage regelmäßig an Regierungsorganisationen weiter, wie Google selbst berichtet

Dennoch sind Google Hangouts und Google Meet durch das EU-US Privacy Shield zertifiziert. Der Vertrag zur Auftragsverarbeitung ist über ein eigenes Data-Privacy-Addendum von Google einzusehen und wird automatisch mitsamt der AGB akzeptiert.

Blizz von TeamViewer 

TeamViewer ist wohl einer der bekanntesten Anbieter von Videokonferenzsystemen mit Sitz in Deutschland. 

Der Sitz in Deutschland impliziert eine Entsprechung des von der DSGVO vorgegebenen Datenschutzniveaus. Die verarbeiteten Daten werden auf Servern in Deutschland und Österreich gespeichert und sind nach ISO 27001 datenschutzgerecht zertifiziert. 

Darüber hinaus wird die Verarbeitung von Bild- und Ton Inhalten hier, im Gegensatz zu Google, Ende-zu-Ende verschlüsselt. 

Einzig die Tatsache, dass mithilfe von TeamViewer Fernwartungen, und damit auch die Fernsteuerung anderer Geräte, durchgeführt werden können, bietet Grund zur Kritik. Vor allem vor dem Hintergrund, da Betroffene nicht vorab informiert werden müssen, um einen Fernzugriff herzustellen, sollten Datenschutzbeauftragte dieses Tool explizit prüfen und diese Funktion nach Möglichkeit ausschalten. 

Der Auftragsverarbeitungsvertrag wird mit TeamViewer bei Annahme der AGB abgeschlossen. Weitere Einzelheiten der Verarbeitung von personenbezogenen Daten sind der Datenschutzerklärung von TeamViewer zu entnehmen. 

Zoom 

Nachdem Zoom zuletzt stark in der Kritik stand, haben die Entwickler im Zuge zahlreicher Sicherheitsupdates die gemeldeten Sicherheitslücken nach eigener Aussage behoben. 

Für etwaige Aufzeichnungen der Online Meetings besteht die Option, die Aufzeichnung lokal auf dem Computer anstatt in der Cloud zu speichern. Dies entspricht der zuvor ausgesprochenen Empfehlung einer DSGVO-konformen Speicherung. 

Zudem verfügt Zoom über Möglichkeiten der Zugangsbeschränkung – zum Einen über die Eingabe eines Meeting-PIN, zum Anderen mithilfe der Warteraum-Funktion.
Als eingeloggter Nutzer bestehen darüber hinaus weitere Optionen, individuelle Einstellungen einzurichten: 

Auf der unternehmenseigenen Webseite hält Zoom einen AV-Vertrag für Unternehmen bereit. Zoom ist ebenfalls mit dem Gütesiegel des EU-US Privacy-Shields ausgestattet, das ein Datenschutzniveau nach europäischem Standard garantieren soll. 

Weitere Anbieter von Videokonferenz Tools 

Dies war nur ein Ausschnitt der zahllosen Anbieter, die wie Slack, Cisco WebEx, Twitch oder Team Viewer als Anbieter von Videokonferenzsystemen tätig sind. Selbstverständlich sollte auch die Tauglichkeit aller weiteren Konferenzdienstleister vor der Nutzung und Implementierung durch die zuständigen Datenschutzbeauftragten in Unternehmen individuell geprüft werden. 

Fazit: Datenschutz Videokonferenzen und Online Meetings

Nachdem Zoom mit immensen Sicherheitslücken in den vergangenen Monaten aufgefallen ist, bemühen sich die Anbieter nun vermehrt, den hohen Ansprüchen durch die DSGVO zu entsprechen. Unternehmen sollten vor der Verwendung eines Videokonferenzsystems jedoch zwingend prüfen, ob einzelne Funktionen, wie das Aufmerksamkeitstracking, notwendig sind. Relevante Einstellungen, wie das Teilen des eigenen Bildschirms, sollten individuell anpassbar sein. 

Die Inhalte dieses Beitrags sollen Unternehmen dabei helfen, potentielle Quellen von Datenschutzverletzungen aufzuzeigen. 

Dazu reicht es jedoch oft nicht aus, die hier beschriebenen Maßnahmen zu ergreifen, die in der Regel nur von einzelnen, verantwortlichen Mitarbeitern, wie etwa Datenschutzbeauftragten, durchgeführt werden.

Stattdessen sollten Unternehmen anstreben, ein Grundverständnis für Datenschutz bei ihren Mitarbeitern aufzubauen, um flächendeckende Prävention vor wirtschaftlichen Schäden durch Datenschutzverletzungen zu betreiben. 

Die Datenschutzschulung für Mitarbeiter von lawpilots bietet dazu eine effiziente Lösung. Mit der Schulung haben Unternehmen die Gelegenheit, die ganze Belegschaft auf spielerische und interaktive Art und Weise für die Relevanz von Datenschutz am Arbeitsplatz zu sensibilisieren und Verletzungen des Datenschutz nachhaltig zu vermeiden.

Schauen Sie sich dazu ganz unverbindlich unsere Demo zum Kurs “Datenschutz für Mitarbeiter” an und erfahren Sie so selbst die Vorteile von zeitgemäßem und intuitivem E-Learning durch lawpilots. 

Checkliste: Datenschutz beim Einsatz von Videokonferenz Tools

Die nachfolgende Checkliste soll Unternehmen und insbesondere den zuständigen Datenschutzbeauftragten dabei helfen, die Implementierung potentieller Anbieter datenschutzkonform durchzuführen.

  1. Ist der Anbieter kostenfrei oder handelt es sich um einen bezahlten Dienst? Hinweis: Bei vermeintlich kostenfreien Anbietern zahlen Nutzer in vielen Fällen mit der Weitergabe ihrer Daten. 
  1. In welchem Land sitzt der Host, der die Daten verarbeitet? Liegt der Sitz in Europa oder in einem Drittland, d.h. USA, China o.ä.? Falls ja, sollte auf ein angemessenes Datenschutzniveau geprüft werden. 
  1. Abschluss eines Auftragsverarbeitungsvertrages
  • Prüfung technischer und organisatorischer Maßnahmen
  • ggf. auf Zusammenarbeit mit Subunternehmern prüfen
  1. Erforderlichkeitsprüfung: Welche Funktionalitäten sind in der Software integriert? Werden diese von Unternehmen benötigt?
    Unternehmen sollten im Zweifel eine Erforderlichkeitsprüfung durchführen. 
  1. Aufnahme des Dienstes in das Verarbeitungsverzeichnis
  1. Datenschutzhinweise für Mitarbeiter und Geschäftspartner in die Datenschutzerklärung integrieren

Hinweis: Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Sie soll als Orientierungshilfe dienen, um die Einbindung von Tools für Online Meetings zu ermöglichen. Die Liste ersetzt keinesfalls die Prüfung durch geschultes Fachpersonal.  

19. Juni 2020
Success-Story: lawpilots und CHE-Consult
26. Mai 2020
lawpilots-Umfrage zu Corona und zur Arbeit im Homeoffice

Newsletter abonnieren

Rufen Sie uns an oder schreiben Sie uns:

+49 (0)30 22 18 22 80
[email protected]

Andreas Grau
Relationship Manager & sein Team sind
Mo – Fr von 8:30 – 18:00 Uhr für Sie da.

Abonnieren Sie unseren monatlichen Newsletter (mit Infos zu unseren Schulungen, Fachartikeln und Veranstaltungen). Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Ihre Angaben werden selbstverständlich vertraulich behandelt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.