180 Grad Datenschutz Bildmarke

Videokonferenzen und der Datenschutz

Allgemein

Videokonferenzen erleben derzeit eine massive Renaissance und einen Zulauf, wie es ihn seit der erstmaligen Verbreitung wohl nicht gegeben hat. Microsoft Teams, Cisco Webext, GoToMeeting, Alfaview, Swyx oder Zoom. Es gibt viele Programme für Videomeetings. Die aktuelle Krisenlage führt diese Entwicklung herbei, um Kollegen trotz weiter Distanzen zu verbinden und Arbeitsabläufe und Meetings damit zu digitalisieren. Doch jede Medaille hat bekanntlich ihre Kehrseite und bei Tools für Videokonferenzen und Online-Meetings ist eine davon sicherlich auch der Datenschutz. Es mehren sich in Blogs und (Fach-) Zeitungen Beitrage zu der Frage, ob diese Tools datenschutzkonform einzusetzen sind. Nicht immer überzeugen die gefundenen Antworten. Diese Entwicklung zeigt: Videomeetingsoftware ist aus datenschutzrechtlicher Sicht nicht unproblematisch. Doch es gibt gute Neuigkeiten: Mit ein wenig Feingefühl und den entsprechenden Maßnahmen kann man beides gut miteinander vereinen.

Anforderungen an ein Tool für Videokonferenzen

Die aktuelle Lage rund um die Gesundheits- und Wirtschaftskrise verlangt viel von Privatpersonen und Unternehmen ab. Um den Geschäftsbetrieb zu schützen und trotzdem irgendwie am Laufen zu halten, erledigen viele Arbeitnehmer ihre Arbeit im Home Office. An dieser Stelle kommen die Tools für Videokonferenzen und Online-Meetings ins Spiel. Denn diese ermöglichen es den Unternehmen trotzdem in einem engen Austausch zu bleiben. Doch viele Unternehmen waren auf ein solch abruptes Umstellen der Arbeitsweise gar nicht vorbereitet. Um schnell remotefähig zu werden, wurden blindlings Kollaborationstools eingesetzt, ohne sich über die Auswirkungen der Nutzung im Klaren sein. Es soll schnell eingerichtet und nutzerfreundlich sein, auf möglichst vielen Endgeräten funktionieren, Video und Chat erlauben und noch vieles mehr. Das Videochat-Tool soll vor allem aber schnell und unkompliziert einsatzklar sein. Doch es gibt einiges zu beachten.

Diese Punkte sollten Sie bedenken, wenn sie ein Videochat-Tool einführen:

  • Icon Pfeil rund
    Wer soll das Tool alles nutzen?
  • Icon Pfeil rund
    Gibt es bereits eine Infrastruktur dafür oder soll eine Software als Service (SaaS) eingekauft werden?
  • Icon Pfeil rund
    Wo hostet der Anbieter das System? Und falls das nicht in Deutschland oder der EU ist: Gibt es mögliche europäische Alternativen?
  • Icon Pfeil rund
    Gibt es spezielle Firmen-Versionen mit höheren Sicherheitsniveaus im Angebot?

Doch die Nutzung von Videochats birgt auch Risiken. Und hier kommt der Datenschutz ins Spiel! Zu selten sind alle AGBs genau studiert und Datenschutzmaßnahmen für den Einsatz des Programms abgestimmt. Häufig ist aber die reine Unwissenheit oder keine klaren Regeln für Nutzung ein Grund dafür, dass Datenlecks entstehen. Und wer weiß schon, wie der Datenschutz bei den verschiedenen Tools geregelt wird?

Verschiedene Anbieter, verschiedene Datenschutzmaßnahmen

Genau das ist auch der Knackpunkt. Bei Hauruck-Aktionen, wie sie in den vergangenen Wochen häufig vorgenommen wurden, um remote arbeiten zu können, geht die Fülle an Unterschiedlichkeiten zwischen den verschiedenen Anbietern schnell unter. Deshalb gilt es, sich hier ein Bild zu machen. Werfen wir einen kurzen Blick auf die Big Player im Bereich Videokonferenzen. Auch wenn die nachfolgende Auflistung nur einen knappen und unvollständigen Überblick gewährt, zeigt sie doch die Unterschiede auf:

Skype

Der Anbieter Skype aus den USA hat sich dem EU-US-Privacy-Shield unterworfen und bekennt sich damit zu den europäischen Datenschutzrichtlinien. Außerdem bietet er für Unternehmen in seiner Sparte „Skype for Business“ spezielle Sicherheitseinstellungen an. Der AV-Vertrag wird per Link zur Verfügung gestellt. Skype eignet sich eher für kleine Meetings bis max. 20 Teilnehmer.

Microsoft Teams

Das Kollaborations-Tool von Microsoft bietet neben der Videokonferenz auch Chat-Möglichkeiten und hat in den vergangenen Wochen wie viele andere starken Zuwachs erlebt. Auch dieses US-amerikanische Tool hat sich dem EU-US-Privacy-Shield verschrieben, um Datensicherheit zu gewährleisten. Einen AV-Vertrag kann man sich über einen automatisierten Link herunterladen.

TeamViewer

Der deutsche Anbieter TeamViewer diente bislang verstärkt als Fernwartungssoftware, bietet aber auch Videokonferenzen an. Durch seinen Sitz in Deutschland ist das Unternehmen an die Vorgaben der DSGVO und des BDSG gebunden. Einen AV-Vertrag gibt es auf Anfrage individuell.

Zoom

Zoom-Meetings sind ebenfalls stärker in den Fokus gerückt als noch zuvor. Das Unternehmen steht derzeit jedoch in der Kritik, iOS-Nutzerdaten an Facebook weitergegeben zu haben. Dieser fehlerhafte Programmiercode wurde laut Angaben des Unternehmens nun in einem Update nun behoben. Zoom hält auf der Homepage einen AV-Vertrag (englisch: DPA) bereit, ist EU-US Privacy-Shield ratifiziert und berücksichtigt, wenn dieses wegfallen sollte, außerdem für die Datenübertragung ins Ausland die Standardvertragsklauseln. Zoom eignet sich auch für den Einsatz zur Durchführung von Meetings mit einer sehr hohen Teilnehmerzahl (500+).

Damit soll nur ein grober Einblick gegeben werden, wie die verschiedenen Tool-Anbieter mit dem Datenschutz umgehen. Der genaue Umgang, auch bei anderen beliebten Videokonferenzprogammen wie Hangout, Slack, GoToMeeting, Twitch oder FastViewer, sollte jedoch von einem Datenschutzbeauftragten geprüft werden. Bei allem guten Willen weisen wir jedoch darauf hin: Ein Hosting in europäischen Ländern stellt dabei immer die sicherere Variante dar und sollte dementsprechend vorgezogen werden.

Auswahlkriterien – Welches Videokonferenz-Tool soll es sein?

Wer noch im Auswahlprozess steckt, sollte sich an Diensten orientieren, die datenschutzfreundlich agieren. Das kann an folgenden Punkten festgemacht werden.

  • Icon Pfeil rund
    Die geschäftliche/ gewerbliche Nutzung ist erlaubt oder eine spezielle Business-Version ist verfügbar
  • Icon Pfeil rund
    Die Datenübertragung sollte verschlüsselt erfolgen
  • Icon Pfeil rund
    Eventuelle Sitzungsaufzeichnungen sollten automatisiert nach einem Call gelöscht werden
  • Icon Pfeil rund
    Datensammlungen der einzelnen Nutzer sollten nicht möglich sein oder ausgeschaltet werden können

Wie sicher sind Daten im Videochat?

Kundenmanagementsysteme ERP und CRM

Anbieter sind Auftragsverarbeiter – AV-Vertrag benötigt

Da in den Video-Tools personenbezogene Bilddaten von Kunden und Mitarbeitern verarbeitet werden, gelten die Anbieter als Auftragsverarbeiter. Ein AV-Vertrag ist daher nach Art. 28. DSGVO erforderlich. Außerdem sollten die technischen und organisatorischen Maßnahmen (TOMs) des Anbieters eingesehen und überprüft werden.

Technische und organisatorische Maßnahmen bei Online-Konferenzen

Eine Maßnahme, um den Datenschutz bei Videokonferenzen sicherzustellen, sind die technischen und organisatorische Maßnahmen. Die Maßnahmen, die die Anbieter selbst treffen, werden in der Regel in ihren AV-Verträgen ausgewiesen. Aber auch die Nutzer können verschiedene Maßnahmen ergreifen, um die Datenübertragung sicherer zu gestalten. Bei manchen Programmen wird erst durch die hostseitige Konfiguration ein DSGVO-konformer Einsatz überhaupt möglich. Dazu zählen beispielsweise:

  • Icon Pfeil rund
    Ausschalten des Aktivitätstrackings von Teilnehmern (insbesondere Zoom)
  • Icon Pfeil rund
    Manuelle Datenschutzeinstellungen entsprechend der unternehmensinternen Vorgaben
  • Icon Pfeil rund
    Nutzung nur für konkreten Nutzerkreis möglich machen
  • Icon Pfeil rund
    Verschlüsselte Datenübertragung aktivieren falls möglich
  • Mitschnitte eines Video-Calls deaktivieren oder die Teilnehmer vorab über die Aufzeichnung informieren
  • Icon Pfeil rund
    Automatische Hintergrund-Weichzeichnung aktivieren, falls das Tool es ermöglicht
  • Icon Pfeil rund
    Informationen unkenntlich machen, die nicht jedem zur Verfügung stehen sollten
  • Icon Pfeil rund
    Zugangsdaten nur für einen Teilnehmer nutzen und niemals mit mehreren Nutzern teilen

Teilnehmerinformation: Datenschutz in der Videokonferenz

Wie bei nahezu allen datenverarbeitenden Prozessen gilt gemäß Art. 12 und 13 DSGVO auch für Videokonferenz-Tools, dass die Beteiligten Nutzer über die Datenverarbeitung informiert werden müssen. Das betrifft zum einen die Mitarbeiter des Unternehmens, die das entsprechende Programm in ihrem Arbeitsalltag benutzen. Das betrifft aber auch Externe, also Kunden, Partner, Lieferanten usw., die zu einem Video-Call eingeladen werden. Um eine solche umfassende und mehrfach adressierte Information zu ermöglichen, kann man einen entsprechenden Abschnitt dazu in der generellen Datenschutzerklärung beifügen. Über einen Link können die Beteiligten dann die entsprechenden Hinweise einsehen.

Um hier auch alle relevanten Informationen gebündelt anbringen zu können, ist es sinnvoll, die entsprechende Passage dem unternehmenseigenen oder einem externen Datenschutzbeauftragten zur Prüfung und Ergänzung zu geben. Das ermöglicht eine umfassendere Information und ein rechtssicheres Vorgehen.

Einsatz von Videomeeting-Tools: Das sollten Sie beachten

Man hat sicherlich im Verlauf dieses Beitrages gesehen, dass es mit einer kurzfristigen Einführung nicht getan ist. Es gibt hinsichtlich Datenschutz viel zu beachten und abzuwägen und das fängt bereits bei der Auswahl des Anbieters an. Damit sie den Überblick behalten haben wir Ihnen folgende Liste zusammengestellt mit Punkten, die Sie beachten sollten, wenn Sie ein Tool für Videokonferenzen in Ihrem Unternehmen einführen möchten.

Auftragsverarbeitung

  • Icon Check
    Tool mit manuellen Datenschutzeinstellungen wählen
  • Icon Check
    Anbieter aus der EU bevorzugen oder auf Anbieter aus Drittländern mit angemessenem Datenschutzvorgaben setzen
  • Icon Check
    Eigenen Datenschutzbeauftragten sowie Betriebsrat oder Personalrat in den Auswahlprozess einbeziehen

Auswahl des Anbieters

  • Icon Check
    Gegebenenfalls auf Zusammenarbeit mit Subunternehmern prüfen
  • Icon Check
    Technische und organisatorische Maßnahmen des Anbieters prüfen
  • Icon Check
    AV-Vertrag mit Anbieter abschließen

Hinweispflichten / Informationspflichten

  • Icon Check
    Alle Nutzer auf die Datenschutzhinweise aufmerksam machen
  • Icon Check
    Externe über die Nutzungsbedingungen des Tools informieren
  • Icon Check
    Mitarbeiter in die Benutzung des Tools einweisen
Icon Info

Kurz und knapp

Videokonferenz-Tools erfreuen sich vor allem aktuell in der Krise großer Beliebtheit. Sie ermöglichen es, Konferenzen und Meetings online abzuhalten und die Kollegen auch auf Distanz in den Austausch zu bringen. Bei der Nutzung und Einführung solcher Kollaborationssysteme gibt es jedoch auch datenschutzrechtliche Fragestellungen, die es im besten Fall vor der Einführung zu klären gilt. Verschiedene Anbieter setzen dabei auf verschiedene Datenschutzmaßnahmen, die man vor der Nutzung prüfen sollte. Wer beim Einsatz von Video- und Online-Meeting-Systemen auf der rechtlich sicheren Seite sein will, lässt das System vorab durch einen Datenschutzbeauftragten prüfen und nimmt entsprechende Einstellungen innerhalb des Tools vor.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!

Auch interessant

180 Grad Datenschutz Bildmarke
Vorheriger Beitrag
Auftragsverarbeitungsvertrag nach DSGVO – Wann, mit wem, warum?
Nächster Beitrag
Cookie-Consent-Banner DSGVO-konform gestalten

Ähnliche Beiträge

180 Grad Datenschutz Bildmarke
Menü