Um welche Art von Videokonferenzen geht es?
Zu unterscheiden ist zwischen der privaten und der geschäftlichen Videokonferenz. In diesem Beitrag geht es ausschließlich um Business-Meetings, die über einen Online-Konferenzraum abgehalten werden. Wir beschäftigen uns hier zudem nur mit den bekannten Online-Diensten und nicht mit einer im eigenen Unternehmensnetz installierten Videokonferenzsoftware.
Wo sind die Datenschutz-Schwachstellen?
Aufzeichnung und Speicherung von Videokonferenzen
Was zunächst sehr praktisch erscheint, ist aus Datenschutzgründen wenn möglich darauf zu verzichten und auf das althergebrachte Protokoll zu setzen. Denn bei einer Speicherung oder Archivierung müssen Zugriffsrechte, Speicherdauer und Löschfrist festgelegt und eingehalten werden – und zwar bereits im Vorfeld. Alle Teilnehmer müssen zudem VOR dem Start der Aufnahme über die Aufzeichnung informiert werden.
Noch alle da?
Es gibt Videokonferenz-Dienste, die eine sogenannte Aufmerksamkeitsanzeige anbieten. So soll, zum Beispiel bei einer Veranstaltung mit Teilnahmebestätigung, sichergestellt werden, dass die Teilnehmer die Konferenz auch tatsächlich verfolgt haben. Hierbei handelt es sich jedoch um einen klaren Eingriff in die Persönlichkeitsrechte! Die Aufklärung vorab bei der Notwendigkeit der Nutzung ist unbedingt zu berücksichtigen.
Du kommst hier nicht rein!
Bitte beachte, eine Zutrittsberechtigung zu vergeben, so dass keine Fremden an der Konferenz teilnehmen und Zugriff auf personenbezogene Daten haben können. Ein starkes Passwort als Zutrittsmöglichkeit oder der persönliche Einlass über einen sogenannten Warteraum bieten dir hier eine Kontrollmöglichkeit.
Wie sieht es bezüglich des Datenschutzes bei den gängigen Programmen aus?
Zoom
Einer der beliebtesten Dienste bei Videokonferenzen ist das amerikanische Tool Zoom. Und genau richtig, da läuten schon die Alarmglocken, denn die Server der Zoom Video Communications, Inc. sitzen in den USA. In unserem Beitrag „Datentransfer in Drittländer“ klären wir dich ausführlich darüber auf, welche Probleme hinsichtlich des Datenschutzes der personenbezogenen Daten es da grundsätzlich gibt. Auch bei der Nutzung von Zoom werden Nutzer- und Metadaten in die Vereinigten Staaten übertragen, wo dank geringerer Datenschutzbestimmungen unverhältnismäßiger Zugriff von US-Behörden möglich ist. Wer keine datenschutzrechtlichen Maßnahmen ergreift, riskiert daher eine Abmahnung.
Trotz der widrigen Umstände ist es möglich, Zoom (weitestgehend) datenschutzkonform zu nutzen. Denn der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat unter der Flagge des Hessischen Ministeriums für Wissenschaft und Kultur Maßnahmen vorgestellt, die die datenschutzkonforme Nutzung von Zoom ermöglichen. Folgende ToDos müssen abgearbeitet werden:
- Serverstandort in der EU wählen – es gibt unabhängige Auftragsverarbeiter in der EU, die Zoom betreiben (SCC Zoom-Hoster) – und AV-Vetrag abschließen. Achte darauf, dass die Standardvertragsklauseln integriert und aktuell sind!
- Ende-zu-Ende-Verschlüsselung (auch P2P-Verschlüsselung) wählen
- Datenminimierende Voreinstellungen nutzen (Aufzeichnung und Speicherung deaktivieren)
- Informationen zum Datenschutz für alle Teilnehmer bereitstellen
- Schließen des Meetingraumes, wenn die Teilnehmer vollzählig sind – so können keine fremden Zuschauer beitreten
- Werden sensible Daten besprochen oder sichtbar, sollte ggf. besser auf einen anderen Dienst zurückgegriffen werden
Zoom X
Mit seiner Business-Version hat Zoom in Zusammenarbeit mit der Telekom viele der Datenschutzprobleme aus dem Weg geräumt. Zoom X entspricht der DSGVO und erfüllt so die europäischen Anforderungen. Das wird durch Server auf deutschem Boden sowie durch eine Ende-zu-Ende-Verschlüsselung von Meetings mit einer Teilnehmerzahl von bis zu 200 Personen gewährleistet. Darüber hinaus lassen sich geteilte Audio-Mitschnitte und Screenshots mit Wasserzeichen kennzeichnen. Durch die Aktivierung des Warteraums können außerdem alle Teilnehmer vor dem Meeting noch einmal manuell zugelassen werden, sodass Unberechtigte nicht so einfach Zutritt bekommen.
Webex
Das Tool des US-amerikanischen Anbieters Cisco Webex kann mit fast allen aktuellen Browsern genutzt werden. Neben der Videokonferenz können auch die Funktionen IP-Telefonie, Messaging, Datenübertragung und das Teilen des Bildschirms genutzt werden. Natürlich werden bei allen Möglichkeiten personenbezogene Daten übertragen, welche genau ist abhängig von den Einstellungen vor und während des Meetings. Für die datenschutzkonforme Nutzung müssen folgende Maßnahmen ergriffen werden:
- Es muß ein AV-Vertrag mit Webex geschlossen werden, die aktuellen Standardvertragsklauseln sind zu berücksichtigen
- Die Nutzung von Webex muss in die Datenschutzerklärung aufgenommen werden, dabei ist zu erläutern, welche Daten erhoben, wie verarbeitet und wie lange gespeichert werden. Außerdem ist die Nennung der Rechtsgrundlage wichtig und der Hinweis auf die Einspruchsmöglichkeit des Nutzers
- Der Grundsatz der Datensparsamkeit muss beachtet werden – erhebe nur die Daten, die für das Meeting unabdingbar sind
Teams
Microsoft Teams ist einer der meistgenutzten Dienste für Video-Konferenzen. Doch wie bei allen Online-Produkten des amerikanischen Riesen ist auch hier der Datenschutz genau in Augenschein zu nehmen. Zum Thema Microsoft haben wir in dem Beitrag „Office 365 / Microsoft 365 datenschutzkonform konfigurieren und nutzen“ schon einmal mit dem Datenschutz auseinandergesetzt, hier nun die Informationen, wenn es um das in die Office 365-Suite integrierte Teams geht.
Zunächst ist tatsächlich keine finale Aussage möglich, ob Teams für Kunden- oder Mitarbeiter-Meetings, sprich in Unternehmen, datenschutzkonform genutzt werden kann. Unter anderem werden Unternehmensname-, anschrift, Mailadresse und Telefonnummer gespeichert, von den Teilnehmern die IP-Adressen sowie Dateien und Unterhaltungsverläufe. Auch wenn Microsoft aussagt, die Daten nicht zu Werbezwecken zu nutzen, herrscht hier, insbesondere im Zusammenhang mit Adobe und Google, noch Unklarheit. Wer Teams trotzdem nutzen will, sollte folgende Aspekte beachten:
- Es muß ein AV-Vertrag mit Teams geschlossen werden
- Die Nutzerdaten werden bei Teams erfasst, indem Microsoft einen Cookie in den Browsern der Nutzer setzt. Mit der Hilfe eines Cookie Consent Tools müssen Unternehmer die Einwilligung in das Setzen dieses Cookie einholen
- Die Nutzung von Teams muss in die Datenschutzerklärung aufgenommen werden, dabei ist zu erläutern, welche Daten erhoben, wie verarbeitet und wie lange gespeichert werden. Außerdem ist die Nennung der Rechtsgrundlage wichtig und der Hinweis auf die Einspruchsmöglichkeit des Nutzers
- Der Grundsatz der Datensparsamkeit muss beachtet werden – erhebe nur die Daten, die für das Meeting unabdingbar sind
Jitsi Meet
Im Gegensatz zu den bereits vorgestellten und bekannten Lösungen ist der Datenschutz bei der Verwendung von Jitsi Meet besser zu gewährleisten. Die browserbasierte OpenSource Lösung funktioniert ohne Registrierung oder Anmeldung und bietet neben Video-Konferenzen auch die Möglichkeit der gemeinsamen Dokumentbearbeitung und eines Chats. Als Server kann entweder ein öffentlicher gewählt oder ein eigener eingesetzt werden.
Auch wenn Jitsi Meet selbst keine Nutzerdaten und Inhalte speichert, so ist bei der Nutzung eines öffentlichen Servers möglich, dass dort die IP-Adresse erhoben wird. Um Jitsi Meet datenschutzkonform zu verwenden, sollten insbesondere die Server von Amazon, Google, Cloudflare und Microsoft vermieden werden. Des Weiteren sind folgende Maßnahmen zu ergreifen:
- Die Nutzung von Jitsi Meet muss in die Datenschutzerklärung aufgenommen werden, dabei ist zu erläutern, welche Daten erhoben, wie verarbeitet und wie lange gespeichert werden. Außerdem ist die Nennung der Rechtsgrundlage wichtig und der Hinweis auf die Einspruchsmöglichkeit des Nutzers
- Um eine Identifizierung und Speicherung der IP-Adressen zu vermeiden, sollten diese anonymisiert, bzw. das Logging deaktiviert werden
- Der Grundsatz der Datensparsamkeit muss beachtet werden – erhebe nur die Daten, die für das Meeting unabdingbar sind
- Jitsi Meet erhebt und verarbeitet keine Daten – ein AV-Vertrag ist nicht nötig. Da das Unternehmen den Dienst jedoch selbst auf einem verfügbaren Server hostet, müssen hier die datenschutzrechtlichen Aspekte wiederum beachtet werden. Achtung: Nicht die eigenen Server von Jitsi Meet nutzen, da diese in den Vereinigten Staaten stehen
Nextcloud Talk
Neben Jitsi Meet ist Nextcloud Talk ebenfalls eine datenschutzkonforme Lösung für deine Videokonferenz. Anbieter ist Nextcloud, die mit Nextcloud Hub eine OpenSource basierte Zusammenarbeitsplattform anbieten. Neben dem Speicherplatz bietet Nextcloud auch eine virtuelle Meeting-Lösung, die seit 2021 auf Empfehlung der Berliner Beauftragten für Datenschutz auch in der Berliner Verwaltung eingesetzt wird. Die Ende-zu-Ende Verschlüsselung ist Standard, die Server stehen in Deutschland und auf die Erfassung von Daten wird komplett verzichtet. Die Anwendung kann auch auf eigenen Servern gehostet werden und bietet wir die Konkurrenz alle wichtigen Funktionen – vom Teilen des Bildschirms über Telefoneinwahl und Chat-Funktion. Die Nutzung ist kostenlos, sollen jedoch viele Personen eines Unternehmens parallel und mit Videofunktion an Meetings teilnehmen, sollte das kommerzielle High-Peformance Backend genutzt werden.
Was kann passieren, wenn der Datenschutz nicht berücksichtigt wird?
Wer sich nicht an die Vorgaben der Datenschutz-Grundverordnung hält und es zum Beispiel versäumt, den entsprechenden AV-Vertrag zu schließen, kann zur Kasse gebeten werden. So gibt es einige Beispiele, wo dieses Versäumnis schmerzhafte Bußgeld-Zahlungen zur Folge hatte. Die Datenschutzbehörde Hamburg sprach im Dezember 2018 ein Bußgeld von 5.000 Euro gegen ein Versandunternehmen aus, da der AV-Vertrag mit dem beauftragten spanischen Dienstleister fehlte. Wesentlich teurer wurde es mit 300.000 Euro für den VfB Stuttgart, da auch hier das Schließen von AV-Verträgen versäumt wurde. So hatten zwischen 2016 und 2018 Dienstleister die Mitgliedsdaten mehrerer tausend Vereinsangehöriger verarbeitet, ohne dass der entsprechende AV-Vetrag vorlag. Die Datenschutzbehörde Baden-Württemberg erkannte den Verstoß gegen die Datenschutz-Grundverordnung und erhob daher im März 2021 die Bußgeld-Forderung.
