Deutsch­land beschäf­tigt der­zeit nur ein The­ma: Die Coro­na Pan­de­mie. Die Umstän­de führ­ten dazu, dass Arbeit­ge­ber kurz­fris­tig zum Han­deln gezwun­gen wur­den, um die Gesund­heit ihrer Beschäf­tig­ten zu schüt­zen. Nach­dem sich die ers­te Über­wäl­ti­gung der neu­en Situa­ti­on lang­sam legt, ist es nun an der Zeit einen prü­fen­den Blick auf zum Teil spon­tan getrof­fe­ne Ent­schei­dun­gen zu wer­fen.

Video­kon­fe­renz­sys­te­me sind der­zeit die Gold­schürfer am Markt und hel­fen dabei, die Tele­ar­beit in deut­schen Büros zu revo­lu­tio­nie­ren. Die Aus­wahl am Markt ist breit, doch wer sich immer noch unbe­dacht in Video­kon­fe­renz­sys­te­me ein­wählt, soll­te das nicht mit dem Argu­ment tun, Daten­schutz müs­se wäh­rend der Pan­de­mie zurück­tre­ten.” – Eile­en Bin­der 

Arbeit­ge­ber waren zu Beginn des Lock­downs gezwun­gen, spon­tan mit Ent­schei­dun­gen auf das staat­lich ver­ord­ne­te Social-Distancing zu reagie­ren. Dabei galt es nicht nur den Mit­ar­bei­tern im Home­of­fice ein mög­lichst unkom­pli­zier­tes Wei­ter­ar­bei­ten zu ermög­li­chen, son­dern auch den Kon­takt zu Kun­den und Man­dan­ten zu hal­ten, die nun nicht mehr per­sön­lich in den Geschäfts­räu­men emp­fan­gen wer­den kön­nen. Video­kon­fe­renz­sys­te­me sind der­zeit die Gold­schürfer am Markt und hel­fen dabei, die Tele­ar­beit in deut­schen Büros zu revo­lu­tio­nie­ren. Die Aus­wahl am Markt ist breit, doch wer sich immer noch unbe­dacht in Video­kon­fe­renz­sys­te­me ein­wählt, soll­te das nicht mit dem Argu­ment tun, Daten­schutz müs­se wäh­rend der Pan­de­mie zurück­tre­ten.

Deut­sche Daten­schutz­auf­sichts­be­hör­den und Ver­bän­de haben in bemer­kens­wert kur­zer Zeit Videokonferenz-Anbieter beleuch­tet und das The­ma auf­be­rei­tet. Daten­schutz tritt also gera­de in Kri­sen nicht zurück, er tritt in den Vor­der­grund wie seit Mai 2018 nicht mehr. Unser Bei­trag will in die­sem Kon­text bei der Aus­wahl des rich­ti­gen Video­kon­fe­renz­sys­tems unter­stüt­zen.

Risi­ken

Die pri­mä­ren Risi­ken bei der Nut­zung von Video­kon­fe­renz­sys­te­men lie­gen im Daten­aus­tausch. Es gilt zu ver­hin­dern, dass Drit­te unbe­merkt (Video-)Telefonate mit­hö­ren oder mit­schnei­den kön­nen und die Inhal­te nach­träg­lich, mög­li­cher­wei­se sogar zum Nach­teil, aus­wer­ten (sog. man-in-the-middle attack). Das Risi­ko ist beson­ders dann vakant, wenn über sen­si­ble Daten, wie z.B. Gesund­heits­da­ten, gespro­chen wird (Ärz­te, Per­so­nal­ab­tei­lung).

Aber auch der Betrei­ber des Video­kon­fe­renz­sys­tems selbst könn­te ein Inter­es­se dar­an haben, Meta- oder Inhalts­da­ten der Gesprä­che sei­ner Kun­den mit­zu­hö­ren oder mit­zu­schnei­den und die Daten nach­träg­lich aus­zu­wer­ten, z.B. um die Qua­li­tät der Über­tra­gung zu prü­fen oder um Persönlickeits- oder Nut­zungs­pro­fi­le zu erstel­len.

An die­ser Stel­le ein inter­es­san­ter Ein­schub: Das im Tele­kom­mu­ni­ka­ti­ons­ge­setz gere­gel­te Fern­mel­de­ge­heim­nis greift nicht bei Video­kon­fe­ren­zen! Hier besteht der­zeit noch eine Rege­lungs­lü­cke, die jedoch vom euro­päi­schen Gesetz­ge­ber erkannt wur­de. Bis Ende des Jah­res haben die Mit­glieds­staa­ten Zeit, die Rege­lungs­lü­cke zu behe­ben. Das bedeu­tet, das der sorg­sa­me Aus­tausch von Daten mit dem Video­kon­fe­renz­an­bie­ter aktu­ell nur auf Ver­trau­en basie­ren kann. Oder auf einer ver­trag­li­chen Rege­lung, z.B. einem Ver­trag zur Auf­trags­ver­ar­bei­tung.

Hier ver­steckt sich das Risi­ko, dass der Anbie­ter nicht in der EU sitzt, die euro­päi­schen Rege­lun­gen zum Daten­schutz also mög­li­cher­wei­se nicht anwend­bar sind. Soll­te es zum Rechts­streit kom­men, könn­te die­ser an einem frem­den Gericht unter einer frem­den Rechts­ord­nung aus­ge­tra­gen wer­den, wel­che per­so­nen­be­zo­ge­ne Daten nicht im sel­ben Maße geschützt wie die DSGVO.

Bei der Aus­wahl des Video­kon­fe­renz­sys­tems soll­te also vor allem die Ver­mei­dung die­ser Risi­ken im Vor­der­grund blei­ben.

On pre­mi­ses“

Die all­ge­mei­nen Emp­feh­lun­gen, ins­be­son­de­re der Auf­sichts­be­hör­den Ber­lin und Baden-Württemberg, decken sich bei der Aus­wahl von Video­kon­fe­renz­sys­te­men (wei­ter­füh­ren­de Links am Ende des Bei­trags).

Für die meis­ten wenig hilf­reich ist in bei­den Fäl­len die Emp­feh­lung, zu prü­fen, ob statt einer Video­kon­fe­renz ein ein­fa­ches Tele­fo­nat zum sel­ben Ziel führt oder die Emp­feh­lung, ein eige­nes Video­kon­fe­renz­sys­tem auf­zu­bau­en, das auf eige­nen Ser­vern läuft.

Ist das nicht mög­lich oder in den gege­be­nen Situa­tio­nen nicht sinn­voll, muss auf kom­mer­zi­el­le Anbie­ter zurück­ge­grif­fen wer­den. Im ers­ten Schritt soll­ten auch die Sys­te­me kom­mer­zi­el­ler Anbie­ter unter der Maß­ga­be aus­ge­wählt wer­den, dass die­se „on pre­mi­ses“, also auf den eige­nen Ser­vern instal­liert wer­den kön­nen. 

Auf eige­nen Ser­vern“ bedeu­tet, dass das Sys­tem ent­we­der intern im eige­nen Rechen­zen­trum oder alter­na­tiv mit Hil­fe von exter­nen Dienst­leis­tern nach Ver­ein­ba­rung eines Ver­tra­ges zur Auf­trags­ver­abei­tung auf frem­den Ser­vern betrie­ben wird. In bei­den Fäl­len liegt die Admi­nis­tra­ti­on aber intern bei den eige­nen Mit­ar­bei­tern.

Die On-Premises-Installation schützt davor, dass Anbie­ter oder Drit­te Meta- oder Inhalts­da­ten abhö­ren oder mit­schnei­den kön­nen und die so erlang­ten Daten für eige­ne Zwe­cke (aus-)nutzen.

Aus­wahl eines zuver­läs­si­gen Auf­trags­ver­ar­bei­ters

Ist eine On-Premises-Lösung aus­ge­schlos­sen, soll­te im nächs­ten Schritt geprüft wer­den, wel­cher kom­mer­zi­el­le Anbie­ter den eige­nen Bedürf­nis­sen ent­spricht. Wird das Sys­tem für Webi­na­re mit meh­re­ren hun­dert Teil­neh­mern benö­tigt, sol­len Audits oder Ver­trags­ver­hand­lun­gen geführt wer­den oder dient das Sys­tem der Kom­mu­ni­ka­ti­on der Beschäf­tig­ten unter­ein­an­der?

Bei der Aus­wahl soll­ten alle Ent­schei­dungs­trä­ger und die rele­van­ten Inter­es­sens­ver­tre­ter mit ein­be­zo­gen wer­den. Ins­be­son­de­re der Betriebs­rat soll­te befragt werden,da durch Video­kon­fe­renzs­sys­te­me regel­mä­ßig  Beschäf­tig­ten­da­ten in nicht uner­heb­li­chem Umfang ver­ar­bei­tet wer­den.

Erfüllt eine Lösung die betrieb­li­chen Anfor­de­run­gen, ist zu prü­fen, ob der Anbie­ter „ver­trau­ens­wür­dig“ ist, d.h. aus­rei­chen­de Daten­si­cher­heit (zum Bei­spiel durch Zer­ti­fi­zie­rung) nach­wei­sen kann und die Ver­schlüs­se­lung der Daten­über­tra­gung (Ende-zu-Ende) mit Stand der Tech­nik garan­tiert.

Für die Ver­trau­ens­wür­dig­keit von Anbie­tern kann spre­chen, dass die Daten in der EU oder im EWR oder in einem als gleich sicher gel­ten­den Land ver­ar­bei­ten wer­den und der Anbie­ter auch dort sei­nen Sitz hat. Als daten­schutz­recht­lich sicher gel­ten Län­der außer­hab der EU bezie­hungs­wei­se des EWR dann, wenn die EU-Kommission ein ange­mes­se­nes Daten­schutz­ni­veau fest­ge­stellt hat. Auch die vom Anbie­ter ein­ge­setz­ten Unter­auf­trag­neh­mer soll­ten ihren Sitz in der EU oder dem EWR haben.

Wei­ter soll­te sicher­ge­stellt wer­den, dass der Anbie­ter kei­ne Anga­ben über die Beschäf­tig­ten und deren Kom­mu­ni­ka­ti­on oder die Nut­zung der Soft­ware für eige­ne Zwe­cke ver­ar­bei­tet, ins­be­son­de­re nicht zu Mar­ke­ting­zwe­cken. Wer­den Analyse- und Absturz­be­rich­te erstellt (sog. Error­Logs) und an den Anbie­ter über­sen­det, soll­te dies nur anony­mi­siert pas­sie­ren.

Soweit nicht durch eine siche­re Ver­schlüs­se­lung aus­ge­schlos­sen ist, dass die über­mit­tel­ten Audio- und Video­da­ten durch den Anbie­ter zur Kennt­nis genom­men wer­den, wird spe­zi­ell dann, wenn inner­halb der Video­kon­fe­renz sen­si­ble Daten bespro­chen wer­den sollen,empfohlen nur Anbie­ter in EU oder im EWR zu ver­wen­den oder Anbie­ter zu wäh­len, bei denen die Über­tra­gung der Audio- und Video­da­ten unter­drückt wer­den kann. Berufs­ge­heim­nis­trä­ger dür­fen laut dem Daten­schutz­be­auf­trag­ten Ber­lin nur Dienst­leis­ter ein­set­zen, die bei einem Ver­trau­lich­keits­bruch straf­recht­lich belangt wer­den kön­nen. Medi­zi­ni­sche Leis­tungs­er­brin­ger dür­fen nur zer­ti­fi­zier­te Dienst­leis­ter ein­set­zen.

Fällt die Prü­fung soweit posi­tiv aus, muss regel­mä­ßig vor Nut­zung des Video­kon­fe­renz­sys­tems ein Ver­trag zur Auf­trags­ver­ab­rei­tung abge­schlos­sen wer­den. Die meis­ten Anbie­ter wer­den ent­spre­chen­de Mus­ter auf Anfra­ge oder auf ihrer Web­site zur Ver­fü­gung stel­len. Sit­zen die Anbie­ter in Dritt­län­dern, also außer­halb der EU oder des EWR, erset­zen die EU-Standardvertragsklauseln im Zusam­men­hang mit einem von der EU-Kommission für das jewei­li­ge Land fest­ge­stell­te ange­mes­se­ne Daten­schutz­ni­veau oder im Fal­le der USA eine Selbst-Zertifizierung durch das Pri­va­cy Shield, einen Ver­trag zur Auf­trags­ver­ab­rei­tung.

Wel­chen Anbie­ter neh­men?

Stän­dig in der Kri­tik ste­hen die Sys­te­me Teams von Micro­soft samt dem von Micro­soft über­nom­me­nen Skype-System als auch Zoom. Es ist rich­tig, dass die­se Anbie­ter Män­gel in der daten­schutz­recht­li­chen Umset­zung hat­ten und dies zur daten­schutz­recht­li­chen Ableh­nung führ­te. Aller­dings lässt sich bei bei­den Anbie­tern posi­tiv fest­stel­len, dass die Kri­tik ernst genom­men wird und ins­be­son­de­re Zoom mit Hoch­druck dar­an arbei­tet, die Män­gel zu behe­ben.

Ganz kon­kret schlägt der Daten­schutz­be­auf­trag­te von Baden-Württemberg, Dr. Ste­fan Brink, die Nut­zung fol­gen­der On-Premises-Lösungen vor:  Next­Talk, Big­Blue­But­ton, Matrix, Rocket­Chat und Jit­si Meet.

Da die Vor- und Nach­tei­le der Sys­te­me sehr indi­vi­du­ell an deren Ein­satz­be­din­gun­gen zu beu­tr­tei­len sind, ver­zich­ten wir an die­ser Stel­le auf eine Emp­feh­lung aus dem Vor­schlags­ka­ta­log der Daten­schutz­auf­sicht.

Fazit

Arbeit­ge­ber soll­ten sich Zeit neh­men und die daten­schutz­recht­li­che Prü­fung des Videokonferenz-Tools nach­ho­len. Dabei soll­te zunächst die Aus­wahl des rich­ti­gen Anbie­ters geprüft wer­den. Kann das Tool auf den eige­nen Ser­vern instal­liert wer­den, sind die daten­schutz­recht­li­chen Risi­ken wei­tes­ge­hend mini­miert. In allen ande­ren Fäl­len ist auf einen zuver­läs­si­gen Dienst­leis­ter zu ach­ten. Gute Anhalts­punk­te sind eine ver­schlüs­sel­te Kom­mu­ni­ka­ti­on, der Sitz des Dienst­leis­ters und sei­ner genutz­ten Ser­ver für die Daten­ver­ab­rei­tung in der EU oder im EWR und einer guten Kon­fo­gu­ra­ti­ons­mög­lich­keit inner­halb des Tools. Mit­schnit­te von Sprach- oder Video­te­le­fo­na­ten soll­ten abge­schal­tet wer­den kön­nen. Zur recht­li­chen Siche­rung soll­te mit den Anbie­tern ein Ver­trag zur Auf­trags­ver­ar­bei­tung geschlos­sen wer­den. Ist das nicht mög­lich, dann ersetzt die Unter­zeich­nung der EU-Standardvertragsklauseln den Ver­trag zur Auf­trags­ver­ar­bei­tung.

Hilf­rei­che Links für die Aus­wahl von Video­kon­fe­renz­sys­te­men

Artikel zum selben Thema:

Datenübermittlung beim Asset Deal Teil I

25. Sep­tem­ber 2020|

Beim Ver­kauf eines Unter­neh­mens stellt der vor­han­de­ne Stamm per­so­nen­be­zo­ge­ner Kun­den­da­ten nicht sel­ten ein wesent­li­ches Asset dar und ist somit […]

Schrems II: Orientierungshilfe des LfDI BW und 101 Beschwerden

26. August 2020|

Der Lan­des­da­ten­schutz­be­auf­trag­te Baden-Württemberg hat eine Ori­en­tie­rungs­hil­fe zum inter­na­tio­na­len Daten­trans­fer ver­öf­fent­licht. Ent­hal­ten sind Hin­wei­se und eine Emp­feh­lung für das wei­te­re […]

Autorin des Arti­kels:

Eileen Binder

Wirtschaftsjuristin LL.B. & Beraterin im Datenschutz
MEHR ZUR AUTORIN