Deutschland beschäftigt derzeit nur ein Thema: Die Corona Pandemie. Die Umstände führten dazu, dass Arbeitgeber kurzfristig zum Handeln gezwungen wurden, um die Gesundheit ihrer Beschäftigten zu schützen. Nachdem sich die erste Überwältigung der neuen Situation langsam legt, ist es nun an der Zeit einen prüfenden Blick auf zum Teil spontan getroffene Entscheidungen zu werfen.
“Videokonferenzsysteme sind derzeit die Goldschürfer am Markt und helfen dabei, die Telearbeit in deutschen Büros zu revolutionieren. Die Auswahl am Markt ist breit, doch wer sich immer noch unbedacht in Videokonferenzsysteme einwählt, sollte das nicht mit dem Argument tun, Datenschutz müsse während der Pandemie zurücktreten.” – Eileen Binder
Arbeitgeber waren zu Beginn des Lockdowns gezwungen, spontan mit Entscheidungen auf das staatlich verordnete Social-Distancing zu reagieren. Dabei galt es nicht nur den Mitarbeitern im Homeoffice ein möglichst unkompliziertes Weiterarbeiten zu ermöglichen, sondern auch den Kontakt zu Kunden und Mandanten zu halten, die nun nicht mehr persönlich in den Geschäftsräumen empfangen werden können. Videokonferenzsysteme sind derzeit die Goldschürfer am Markt und helfen dabei, die Telearbeit in deutschen Büros zu revolutionieren. Die Auswahl am Markt ist breit, doch wer sich immer noch unbedacht in Videokonferenzsysteme einwählt, sollte das nicht mit dem Argument tun, Datenschutz müsse während der Pandemie zurücktreten.
Deutsche Datenschutzaufsichtsbehörden und Verbände haben in bemerkenswert kurzer Zeit Videokonferenz-Anbieter beleuchtet und das Thema aufbereitet. Datenschutz tritt also gerade in Krisen nicht zurück, er tritt in den Vordergrund wie seit Mai 2018 nicht mehr. Unser Beitrag will in diesem Kontext bei der Auswahl des richtigen Videokonferenzsystems unterstützen.
Risiken
Die primären Risiken bei der Nutzung von Videokonferenzsystemen liegen im Datenaustausch. Es gilt zu verhindern, dass Dritte unbemerkt (Video-)Telefonate mithören oder mitschneiden können und die Inhalte nachträglich, möglicherweise sogar zum Nachteil, auswerten (sog. man-in-the-middle attack). Das Risiko ist besonders dann vakant, wenn über sensible Daten, wie z.B. Gesundheitsdaten, gesprochen wird (Ärzte, Personalabteilung).
Aber auch der Betreiber des Videokonferenzsystems selbst könnte ein Interesse daran haben, Meta- oder Inhaltsdaten der Gespräche seiner Kunden mitzuhören oder mitzuschneiden und die Daten nachträglich auszuwerten, z.B. um die Qualität der Übertragung zu prüfen oder um Persönlickeits- oder Nutzungsprofile zu erstellen.
An dieser Stelle ein interessanter Einschub: Das im Telekommunikationsgesetz geregelte Fernmeldegeheimnis greift nicht bei Videokonferenzen! Hier besteht derzeit noch eine Regelungslücke, die jedoch vom europäischen Gesetzgeber erkannt wurde. Bis Ende des Jahres haben die Mitgliedsstaaten Zeit, die Regelungslücke zu beheben. Das bedeutet, das der sorgsame Austausch von Daten mit dem Videokonferenzanbieter aktuell nur auf Vertrauen basieren kann. Oder auf einer vertraglichen Regelung, z.B. einem Vertrag zur Auftragsverarbeitung.
Hier versteckt sich das Risiko, dass der Anbieter nicht in der EU sitzt, die europäischen Regelungen zum Datenschutz also möglicherweise nicht anwendbar sind. Sollte es zum Rechtsstreit kommen, könnte dieser an einem fremden Gericht unter einer fremden Rechtsordnung ausgetragen werden, welche personenbezogene Daten nicht im selben Maße geschützt wie die DSGVO.
Bei der Auswahl des Videokonferenzsystems sollte also vor allem die Vermeidung dieser Risiken im Vordergrund bleiben.
„On premises“
Die allgemeinen Empfehlungen, insbesondere der Aufsichtsbehörden Berlin und Baden-Württemberg, decken sich bei der Auswahl von Videokonferenzsystemen (weiterführende Links am Ende des Beitrags).
Für die meisten wenig hilfreich ist in beiden Fällen die Empfehlung, zu prüfen, ob statt einer Videokonferenz ein einfaches Telefonat zum selben Ziel führt oder die Empfehlung, ein eigenes Videokonferenzsystem aufzubauen, das auf eigenen Servern läuft.
Ist das nicht möglich oder in den gegebenen Situationen nicht sinnvoll, muss auf kommerzielle Anbieter zurückgegriffen werden. Im ersten Schritt sollten auch die Systeme kommerzieller Anbieter unter der Maßgabe ausgewählt werden, dass diese „on premises“, also auf den eigenen Servern installiert werden können.
„Auf eigenen Servern“ bedeutet, dass das System entweder intern im eigenen Rechenzentrum oder alternativ mit Hilfe von externen Dienstleistern nach Vereinbarung eines Vertrages zur Auftragsverabeitung auf fremden Servern betrieben wird. In beiden Fällen liegt die Administration aber intern bei den eigenen Mitarbeitern.
Die On-Premises-Installation schützt davor, dass Anbieter oder Dritte Meta- oder Inhaltsdaten abhören oder mitschneiden können und die so erlangten Daten für eigene Zwecke (aus-)nutzen.
Auswahl eines zuverlässigen Auftragsverarbeiters
Ist eine On-Premises-Lösung ausgeschlossen, sollte im nächsten Schritt geprüft werden, welcher kommerzielle Anbieter den eigenen Bedürfnissen entspricht. Wird das System für Webinare mit mehreren hundert Teilnehmern benötigt, sollen Audits oder Vertragsverhandlungen geführt werden oder dient das System der Kommunikation der Beschäftigten untereinander?
Bei der Auswahl sollten alle Entscheidungsträger und die relevanten Interessensvertreter mit einbezogen werden. Insbesondere der Betriebsrat sollte befragt werden,da durch Videokonferenzssysteme regelmäßig Beschäftigtendaten in nicht unerheblichem Umfang verarbeitet werden.
Erfüllt eine Lösung die betrieblichen Anforderungen, ist zu prüfen, ob der Anbieter „vertrauenswürdig“ ist, d.h. ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen kann und die Verschlüsselung der Datenübertragung (Ende-zu-Ende) mit Stand der Technik garantiert.
Für die Vertrauenswürdigkeit von Anbietern kann sprechen, dass die Daten in der EU oder im EWR oder in einem als gleich sicher geltenden Land verarbeiten werden und der Anbieter auch dort seinen Sitz hat. Als datenschutzrechtlich sicher gelten Länder außerhab der EU beziehungsweise des EWR dann, wenn die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat. Auch die vom Anbieter eingesetzten Unterauftragnehmer sollten ihren Sitz in der EU oder dem EWR haben.
Weiter sollte sichergestellt werden, dass der Anbieter keine Angaben über die Beschäftigten und deren Kommunikation oder die Nutzung der Software für eigene Zwecke verarbeitet, insbesondere nicht zu Marketingzwecken. Werden Analyse- und Absturzberichte erstellt (sog. ErrorLogs) und an den Anbieter übersendet, sollte dies nur anonymisiert passieren.
Soweit nicht durch eine sichere Verschlüsselung ausgeschlossen ist, dass die übermittelten Audio- und Videodaten durch den Anbieter zur Kenntnis genommen werden, wird speziell dann, wenn innerhalb der Videokonferenz sensible Daten besprochen werden sollen,empfohlen nur Anbieter in EU oder im EWR zu verwenden oder Anbieter zu wählen, bei denen die Übertragung der Audio- und Videodaten unterdrückt werden kann. Berufsgeheimnisträger dürfen laut dem Datenschutzbeauftragten Berlin nur Dienstleister einsetzen, die bei einem Vertraulichkeitsbruch strafrechtlich belangt werden können. Medizinische Leistungserbringer dürfen nur zertifizierte Dienstleister einsetzen.
Fällt die Prüfung soweit positiv aus, muss regelmäßig vor Nutzung des Videokonferenzsystems ein Vertrag zur Auftragsverabreitung abgeschlossen werden. Die meisten Anbieter werden entsprechende Muster auf Anfrage oder auf ihrer Website zur Verfügung stellen. Sitzen die Anbieter in Drittländern, also außerhalb der EU oder des EWR, ersetzen die EU-Standardvertragsklauseln im Zusammenhang mit einem von der EU-Kommission für das jeweilige Land festgestellte angemessene Datenschutzniveau oder im Falle der USA eine Selbst-Zertifizierung durch das Privacy Shield, einen Vertrag zur Auftragsverabreitung.
Welchen Anbieter nehmen?
Ständig in der Kritik stehen die Systeme Teams von Microsoft samt dem von Microsoft übernommenen Skype-System als auch Zoom. Es ist richtig, dass diese Anbieter Mängel in der datenschutzrechtlichen Umsetzung hatten und dies zur datenschutzrechtlichen Ablehnung führte. Allerdings lässt sich bei beiden Anbietern positiv feststellen, dass die Kritik ernst genommen wird und insbesondere Zoom mit Hochdruck daran arbeitet, die Mängel zu beheben.
Ganz konkret schlägt der Datenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, die Nutzung folgender On-Premises-Lösungen vor: NextTalk, BigBlueButton, Matrix, RocketChat und Jitsi Meet.
Da die Vor- und Nachteile der Systeme sehr individuell an deren Einsatzbedingungen zu beutrteilen sind, verzichten wir an dieser Stelle auf eine Empfehlung aus dem Vorschlagskatalog der Datenschutzaufsicht.
Fazit
Arbeitgeber sollten sich Zeit nehmen und die datenschutzrechtliche Prüfung des Videokonferenz-Tools nachholen. Dabei sollte zunächst die Auswahl des richtigen Anbieters geprüft werden. Kann das Tool auf den eigenen Servern installiert werden, sind die datenschutzrechtlichen Risiken weitesgehend minimiert. In allen anderen Fällen ist auf einen zuverlässigen Dienstleister zu achten. Gute Anhaltspunkte sind eine verschlüsselte Kommunikation, der Sitz des Dienstleisters und seiner genutzten Server für die Datenverabreitung in der EU oder im EWR und einer guten Konfogurationsmöglichkeit innerhalb des Tools. Mitschnitte von Sprach- oder Videotelefonaten sollten abgeschaltet werden können. Zur rechtlichen Sicherung sollte mit den Anbietern ein Vertrag zur Auftragsverarbeitung geschlossen werden. Ist das nicht möglich, dann ersetzt die Unterzeichnung der EU-Standardvertragsklauseln den Vertrag zur Auftragsverarbeitung.
Hilfreiche Links für die Auswahl von Videokonferenzsystemen
- Die Empfehlungen und die Checkliste des Berliner Datenschutzbeauftragten
- Die Empfehlungen des Datenschutzbeauftraten von Baden-Württemberg
- Das Kompendium Videokonferenzsysteme des BSI
- Die GDD-Praxishilfe für Videokonferenzen und Datenschutz
Artikel zum selben Thema:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]
