Videokonferenzen erleben derzeit eine massive Renaissance und einen Zulauf, wie es ihn seit der erstmaligen Verbreitung wohl nicht gegeben hat. Microsoft Teams, Cisco Webext, GoToMeeting, Alfaview, Swyx oder Zoom. Es gibt viele Programme für Videomeetings. Die aktuelle Krisenlage führt diese Entwicklung herbei, um Kollegen trotz weiter Distanzen zu verbinden und Arbeitsabläufe und Meetings damit zu digitalisieren. Doch jede Medaille hat bekanntlich ihre Kehrseite und bei Tools für Videokonferenzen und Online-Meetings ist eine davon sicherlich auch der Datenschutz. Es mehren sich in Blogs und (Fach-) Zeitungen Beitrage zu der Frage, ob diese Tools datenschutzkonform einzusetzen sind. Nicht immer überzeugen die gefundenen Antworten. Diese Entwicklung zeigt: Videomeetingsoftware ist aus datenschutzrechtlicher Sicht nicht unproblematisch. Doch es gibt gute Neuigkeiten: Mit ein wenig Feingefühl und den entsprechenden Maßnahmen kann man beides gut miteinander vereinen.
Anforderungen an ein Tool für Videokonferenzen
Die aktuelle Lage rund um die Gesundheits- und Wirtschaftskrise verlangt viel von Privatpersonen und Unternehmen ab. Um den Geschäftsbetrieb zu schützen und trotzdem irgendwie am Laufen zu halten, erledigen viele Arbeitnehmer ihre Arbeit im Home Office. An dieser Stelle kommen die Tools für Videokonferenzen und Online-Meetings ins Spiel. Denn diese ermöglichen es den Unternehmen trotzdem in einem engen Austausch zu bleiben. Doch viele Unternehmen waren auf ein solch abruptes Umstellen der Arbeitsweise gar nicht vorbereitet. Um schnell remotefähig zu werden, wurden blindlings Kollaborationstools eingesetzt, ohne sich über die Auswirkungen der Nutzung im Klaren sein. Es soll schnell eingerichtet und nutzerfreundlich sein, auf möglichst vielen Endgeräten funktionieren, Video und Chat erlauben und noch vieles mehr. Das Videochat-Tool soll vor allem aber schnell und unkompliziert einsatzklar sein. Doch es gibt einiges zu beachten.
Diese Punkte sollten Sie bedenken, wenn sie ein Videochat-Tool einführen:
- Wer soll das Tool alles nutzen?
- Gibt es bereits eine Infrastruktur dafür oder soll eine Software als Service (SaaS) eingekauft werden?
- Wo hostet der Anbieter das System? Und falls das nicht in Deutschland oder der EU ist: Gibt es mögliche europäische Alternativen?
- Gibt es spezielle Firmen-Versionen mit höheren Sicherheitsniveaus im Angebot?
Doch die Nutzung von Videochats birgt auch Risiken. Und hier kommt der Datenschutz ins Spiel! Zu selten sind alle AGBs genau studiert und Datenschutzmaßnahmen für den Einsatz des Programms abgestimmt. Häufig ist aber die reine Unwissenheit oder keine klaren Regeln für Nutzung ein Grund dafür, dass Datenlecks entstehen. Und wer weiß schon, wie der Datenschutz bei den verschiedenen Tools geregelt wird?
Verschiedene Anbieter, verschiedene Datenschutzmaßnahmen
Genau das ist auch der Knackpunkt. Bei Hauruck-Aktionen, wie sie in den vergangenen Wochen häufig vorgenommen wurden, um remote arbeiten zu können, geht die Fülle an Unterschiedlichkeiten zwischen den verschiedenen Anbietern schnell unter. Deshalb gilt es, sich hier ein Bild zu machen. Werfen wir einen kurzen Blick auf die Big Player im Bereich Videokonferenzen. Auch wenn die nachfolgende Auflistung nur einen knappen und unvollständigen Überblick gewährt, zeigt sie doch die Unterschiede auf:
Skype
Der Anbieter Skype aus den USA hat sich dem EU-US-Privacy-Shield unterworfen und bekennt sich damit zu den europäischen Datenschutzrichtlinien. Außerdem bietet er für Unternehmen in seiner Sparte „Skype for Business“ spezielle Sicherheitseinstellungen an. Der AV-Vertrag wird per Link zur Verfügung gestellt. Skype eignet sich eher für kleine Meetings bis max. 20 Teilnehmer.
Microsoft Teams
Das Kollaborations-Tool von Microsoft bietet neben der Videokonferenz auch Chat-Möglichkeiten und hat in den vergangenen Wochen wie viele andere starken Zuwachs erlebt. Auch dieses US-amerikanische Tool hat sich dem EU-US-Privacy-Shield verschrieben, um Datensicherheit zu gewährleisten. Einen AV-Vertrag kann man sich über einen automatisierten Link herunterladen.
TeamViewer
Der deutsche Anbieter TeamViewer diente bislang verstärkt als Fernwartungssoftware, bietet aber auch Videokonferenzen an. Durch seinen Sitz in Deutschland ist das Unternehmen an die Vorgaben der DSGVO und des BDSG gebunden. Einen AV-Vertrag gibt es auf Anfrage individuell.
Zoom
Zoom-Meetings sind ebenfalls stärker in den Fokus gerückt als noch zuvor. Das Unternehmen steht derzeit jedoch in der Kritik, iOS-Nutzerdaten an Facebook weitergegeben zu haben. Dieser fehlerhafte Programmiercode wurde laut Angaben des Unternehmens nun in einem Update nun behoben. Zoom hält auf der Homepage einen AV-Vertrag (englisch: DPA) bereit, ist EU-US Privacy-Shield ratifiziert und berücksichtigt, wenn dieses wegfallen sollte, außerdem für die Datenübertragung ins Ausland die Standardvertragsklauseln. Zoom eignet sich auch für den Einsatz zur Durchführung von Meetings mit einer sehr hohen Teilnehmerzahl (500+).
Damit soll nur ein grober Einblick gegeben werden, wie die verschiedenen Tool-Anbieter mit dem Datenschutz umgehen. Der genaue Umgang, auch bei anderen beliebten Videokonferenzprogammen wie Hangout, Slack, GoToMeeting, Twitch oder FastViewer, sollte jedoch von einem Datenschutzbeauftragten geprüft werden. Bei allem guten Willen weisen wir jedoch darauf hin: Ein Hosting in europäischen Ländern stellt dabei immer die sicherere Variante dar und sollte dementsprechend vorgezogen werden.
Auswahlkriterien – Welches Videokonferenz-Tool soll es sein?
Wer noch im Auswahlprozess steckt, sollte sich an Diensten orientieren, die datenschutzfreundlich agieren. Das kann an folgenden Punkten festgemacht werden.
- Die geschäftliche/ gewerbliche Nutzung ist erlaubt oder eine spezielle Business-Version ist verfügbar
- Die Datenübertragung sollte verschlüsselt erfolgen
- Eventuelle Sitzungsaufzeichnungen sollten automatisiert nach einem Call gelöscht werden
- Datensammlungen der einzelnen Nutzer sollten nicht möglich sein oder ausgeschaltet werden können
Wie sicher sind Daten im Videochat?
Anbieter sind Auftragsverarbeiter – AV-Vertrag benötigt
Da in den Video-Tools personenbezogene Bilddaten von Kunden und Mitarbeitern verarbeitet werden, gelten die Anbieter als Auftragsverarbeiter. Ein AV-Vertrag ist daher nach Art. 28. DSGVO erforderlich. Außerdem sollten die technischen und organisatorischen Maßnahmen (TOMs) des Anbieters eingesehen und überprüft werden.
Technische und organisatorische Maßnahmen bei Online-Konferenzen
Eine Maßnahme, um den Datenschutz bei Videokonferenzen sicherzustellen, sind die technischen und organisatorische Maßnahmen. Die Maßnahmen, die die Anbieter selbst treffen, werden in der Regel in ihren AV-Verträgen ausgewiesen. Aber auch die Nutzer können verschiedene Maßnahmen ergreifen, um die Datenübertragung sicherer zu gestalten. Bei manchen Programmen wird erst durch die hostseitige Konfiguration ein DSGVO-konformer Einsatz überhaupt möglich. Dazu zählen beispielsweise:
- Ausschalten des Aktivitätstrackings von Teilnehmern (insbesondere Zoom)
- Manuelle Datenschutzeinstellungen entsprechend der unternehmensinternen Vorgaben
- Nutzung nur für konkreten Nutzerkreis möglich machen
- Verschlüsselte Datenübertragung aktivieren falls möglich
- Mitschnitte eines Video-Calls deaktivieren oder die Teilnehmer vorab über die Aufzeichnung informieren
- Automatische Hintergrund-Weichzeichnung aktivieren, falls das Tool es ermöglicht
- Informationen unkenntlich machen, die nicht jedem zur Verfügung stehen sollten
- Zugangsdaten nur für einen Teilnehmer nutzen und niemals mit mehreren Nutzern teilen
Teilnehmerinformation: Datenschutz in der Videokonferenz
Wie bei nahezu allen datenverarbeitenden Prozessen gilt gemäß Art. 12 und 13 DSGVO auch für Videokonferenz-Tools, dass die Beteiligten Nutzer über die Datenverarbeitung informiert werden müssen. Das betrifft zum einen die Mitarbeiter des Unternehmens, die das entsprechende Programm in ihrem Arbeitsalltag benutzen. Das betrifft aber auch Externe, also Kunden, Partner, Lieferanten usw., die zu einem Video-Call eingeladen werden. Um eine solche umfassende und mehrfach adressierte Information zu ermöglichen, kann man einen entsprechenden Abschnitt dazu in der generellen Datenschutzerklärung beifügen. Über einen Link können die Beteiligten dann die entsprechenden Hinweise einsehen.
Um hier auch alle relevanten Informationen gebündelt anbringen zu können, ist es sinnvoll, die entsprechende Passage dem unternehmenseigenen oder einem externen Datenschutzbeauftragten zur Prüfung und Ergänzung zu geben. Das ermöglicht eine umfassendere Information und ein rechtssicheres Vorgehen.
Einsatz von Videomeeting-Tools: Das sollten Sie beachten
Man hat sicherlich im Verlauf dieses Beitrages gesehen, dass es mit einer kurzfristigen Einführung nicht getan ist. Es gibt hinsichtlich Datenschutz viel zu beachten und abzuwägen und das fängt bereits bei der Auswahl des Anbieters an. Damit sie den Überblick behalten haben wir Ihnen folgende Liste zusammengestellt mit Punkten, die Sie beachten sollten, wenn Sie ein Tool für Videokonferenzen in Ihrem Unternehmen einführen möchten.
Auftragsverarbeitung
- Tool mit manuellen Datenschutzeinstellungen wählen
- Anbieter aus der EU bevorzugen oder auf Anbieter aus Drittländern mit angemessenem Datenschutzvorgaben setzen
- Eigenen Datenschutzbeauftragten sowie Betriebsrat oder Personalrat in den Auswahlprozess einbeziehen
Auswahl des Anbieters
- Gegebenenfalls auf Zusammenarbeit mit Subunternehmern prüfen
- Technische und organisatorische Maßnahmen des Anbieters prüfen
- AV-Vertrag mit Anbieter abschließen
Hinweispflichten / Informationspflichten
- Alle Nutzer auf die Datenschutzhinweise aufmerksam machen
- Externe über die Nutzungsbedingungen des Tools informieren
- Mitarbeiter in die Benutzung des Tools einweisen
