Videokonferenzen haben sich in der Pandemie bewährt. Ohne sie wären viele Homeoffice-Arbeitsplätze gar nicht denkbar. Dennoch werfen Videokonferenzen Fragen beim Datenschutz auf. Der externe Datenschutzbeauftragte Henning Zander hat zusammengefasst, worauf Sie achten sollten.
1. Vorüberlegung: Gibt es datensparsamere Alternativen zur Videokonferenz?
Im Datenschutz gilt das Prinzip der Datenminimierung, Art. 5 Abs. 1 c) DSGVO . Aus diesem Prinzip heraus ist es geboten, die Verarbeitung von personenbezogenen Daten auf die Fälle zu beschränken, bei denen sie zur Zweckerfüllung erforderlich sind. Das heißt, dass unter Umständen keine Videokonferenz abgehalten werden sollte, wenn es dazu Alternativen gibt.
Das widerspricht der in vielen Unternehmen inzwischen eingeübten Gewohnheit, jegliche Kommunikation über Videokonferenzen abzubilden. Bevor allerdings Videokonferenzen als Kommunikationsmittel eingesetzt werden, sollte die Vorüberlegung stehen, wann eine Videokonferenz wirklich erforderlich ist und wann die datensparsamere Alternative eines Telefonats oder einer Telefonkonferenz genauso gut den Zweck erfüllt.
Das Prinzip der Datensparsamkeit gilt auch für die Videokonferenz selbst: Ist es wichtig, dass sich alle Teilnehmer im Video sehen oder reicht zur Orientierung auch ein Standbild des Teilnehmers? Ist es erforderlich, dass Dokumente über das Videoprogramm geteilt werden, oder können diese den Teilnehmern auch auf andere Weise übermittelt werden? Die Bandbreite der Funktionalitäten, die moderne Videokonferenzsysteme bieten, ist riesig. Doch nicht alles was möglich ist, ist zur Zweckerfüllung erforderlich. Es gilt: Weniger ist mehr!
2. Kriterien für die Auswahl des Videokonferenz-Progamms
Schon im April 2020 hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) eine kurze und empfehlenswerte Checkliste für Videokonferenzen erarbeitet. Der richtige Anbieter kann nach den Prinzipien des Privacy by Design und Privacy by Default erfolgen. Nach Ansicht der GDD umfasst dies folgende Punkte:
- Verschlüsselte Übertragung
- Datenschutzfreundliche Voreinstellungen
- Freigabe nur mit Zustimmung
- Keine Datennutzung des Anbieters zu eigenen Zwecken
- Löschung von Protokollen und Aufzeichnungen
- Blurr-Möglichkeiten
- Zugangsbeschränkungen
- Informationspflichten und Gewährleistung von Betroffenenrechten
Im folgenden beschreiben wir die Punkte der Checkliste und haben sie mit eigenen Informationen ergänzt.
a) Verschlüsselte Übertragung
Die größte Sicherheit gewährleistet eine Ende-zu-Ende-Verschlüsselung. Das bedeutet, die übermittelten Daten werden schon auf dem Rechner des Senders verschlüsselt und auf dem Rechner des Empfängers entschlüsselt. Inzwischen bieten viele Anbieter eine solche Verschlüsselung an, bei manchen gibt es sie erst gegen einen Aufpreis. Unter Umständen reicht aber auch eine Transportverschlüsslung (TLS), bei der die theoretische Möglichkeit gibt, dass der Dienstleister auf unverschlüsselte Inhalte Zugriff hat. Es gilt: Je sensibler die Daten, desto höher die Anforderungen bei der Verschlüsselung. Spätestens wenn es um besondere Kategorien von personenbezogenen Daten geht, etwa bei ärztlichen Video-Sprechstunden, ist eine Ende-zu-Ende-Verschlüsselung zu fordern.
b) Auswahloptionen für datenschutzfreundliche Voreinstellungen
Es ist sinnvoll, dass das verwendete Videokonferenz-Tool die Möglichkeit einräumt, datenschutzfreundliche Voreinstellungen zu wählen, also letztendlich Funktionen abzuwählen, durch die Daten erhoben werden, die aber für die Videokonferenz nicht notwendig sind. Dazu gehören zum Beispiel Statistikdaten und Auswertungen.
c) Freigabe mit Zustimmung
Sofern der Bildschirm geteilt werden kann, darf dies nur dann möglich sein, wenn die Teilnehmer aktiv zustimmen.
d) Keine Datennutzung des Anbieters zu eigenen Zwecken
Der Anbieter sollte keine Daten erheben, die für die Erbringung des Dienstes nicht erforderlich sind.
e) Löschung
Daten, die während der Videokonferenz anfallen, sollten von dem System direkt nach der Konferenz gelöscht werden. Das gilt für Chatverläufe aber auch für ausgetauschte Dateien. Das gilt aber auch für die Daten der Teilnehmer: Wer hat teilgenommen, wie lange und mit welchen Beiträgen. Je weniger der Dienst speichert, desto besser.
f) Blurr-Möglichkeiten
Videokonferenz-Systeme ermöglichen Einblicke in einen sehr privaten Bereich des Mitarbeiters. Um die Mitarbeiter davor zu schützen, sollten die verwendeten Systeme die Möglichkeit eines Blurr-Effektes haben, der den Hintergrund verschwimmen lässt, oder aber die Möglichkeit, ein eigenes Hintergrundbild zu wählen.
g) Zugangsbeschränkung
Es muss sichergestellt sein, dass die Videokonferenz nicht für jedermann zugänglich ist, sondern nur für diejenigen, die tatsächlich teilnehmen sollten. Das kann entweder durch eine Login-Funktion gewährleistet werden oder indem der Organisator zustimmen muss, bevor ein Teilnehmer die Konferenz betritt.
h) Informationspflichten
Der Anbieter sollte seinen Informationspflichten im Sinne des Datenschutzes nachkommen und die Informationen auf transparente Weise bereitstellen.
3. Problemfall: Verarbeitung in einem Drittland
Seitdem der Europäische Gerichtshof in seinem Urteil Schrems II ein vergleichbares Datenschutz-Niveau in den USA im Vergleich zur EU abgelehnt hat, gelten die USA als Drittland. Das heißt, dass die Verarbeitung von personenbezogenen Daten in den USA erst einmal nicht erlaubt ist. Eine Ausnahme ist die Verwendung von von europäischen Standarddvertragsklauseln. Große Anbieter wie Microsoft mit seinem Programm Teams oder das sehr populäre Zoom haben sich diesen Standardvertragsklauseln unterworfen.
Das Problem liegt darin, dass der Verantwortliche künftig vorab prüfen muss, ob die Rechte der betroffenen Personen im Drittland ein Schutzniveau genießen, das dem durch die DSGVO garantierten Niveau gleichwertig ist. Für die USA hat der Europäische Gerichtshof das aber schon abgelehnt.
Nach Auffassung der Landesbeauftragten für Datenschutz in Niedersachsen kommt es deshalb darauf an, inwieweit die in den Standardvertragsklauseln enthaltenen Garantien durch zusätzlich Maßnahmen ergänzt werden, um die Einhaltung eines gleichwertigen Schutzniveaus zu gewährleisten. Der Europäische Datenschutzausschuss prüft derzeit, worin zusätzliche Maßnahmen liegen könnten. Denkbar seien rechtliche, technische oder organisatorische Maßnahmen, so die Landesdatenschutzbeauftragte.
Es ist erwägenswert, die mit dieser Frage verbundene Unschärfe zu umgehen, indem ein Anbieter mit Sitz und Servern in der EU gewählt wird. Allerdings: Nur dadurch, dass eine Software nicht aus den USA stammt, ist sie nicht schon per se sicherer. Ein europäisches Programm ohne Ende-zu-Ende-Verschlüsselung ist ganz im Gegenteil sehr viel unsicherer als ein US-amerikanisches Angebot mit einer Ende-zu-Ende-Verschlüsselung. Hier ist eine Abwägung mit Augenmaß und eine Entscheidung im Einzelfall wichtig.