Coronakrise: Home Office durch datenschutzfreundliche Videokonferenzsysteme

Coronakrise: Home Office durch datenschutzfreundliche Videokonferenzsysteme

Um die Ansteckungsgefahr mit COVID-19 in der Arbeitswelt zu verringern, werden -soweit es möglich ist- Home-Office-Modelle eingeführt. Doch wie kann der normale Arbeitsalltag effektiv bleiben, wenn es nicht möglich ist Teambesprechungen oder Kundenpräsentationen durchzuführen.

Videokonferenzen als Lösung?

Digital zu arbeiten hat sich bereits in vielen Arbeitsbereichen etabliert. Neben der Kommunikation über E-Mail und Telefon ist die Videokonferenz ein wichtiges Tool, um den „normalen“ Arbeitsalltag möglichst problemlos weiterführen zu können. Dabei ist es nicht nur möglich, dass sich nicht nur einzelne Personen per Video in Echtzeit unterhalten können, vielmehr können ganze Teams kommunizieren, ohne am selben Ort zu sein. Zudem bieten einige Tools die Möglichkeit von Bildschirmübertragungen, Terminkalendern oder dem gemeinsamen Bearbeiten von Dokumenten. Einzige technische Voraussetzung ist ein Laptop mit Mikrofon und Kamera, aber auch Tablets oder Handys sind möglich.

Datenschutzrechtliche Bedenken?

Da bei Videokonferenzen mitunter sensible Daten ausgetauscht werden, bedarf es eines zuverlässigen Sicherheitssystems. Neben den allgemeinen Datenschutzvorkehrungen, die im Home-Office zu beachten sind (https://webersohnundscholtz.de/datenschutz-im-home-office/), ist die Wahl eines datenschutzfreundlichen Videokonferenzsystems empfehlenswert. Auf keinen Fall sollte ohne weiteres auf solche Dienste zurückgegriffen werden, die auch im Privatgebrauch verbreitet sind (Whats App, Facetime etc.), da diese kaum das notwendige Maß an Sicherheit und Datenschutz gewähren.  Stattdessen sollte bei der Wahl des Kommunikationsanbieters möglichst auf Folgendes geachtet werden:

• Gesendete Daten sind idealerweise verschlüsselt zu übertragen
• Es sollten feste Löschzeiträume für die übermittelten Daten definiert sein
• Sind Möglichkeiten für individuelle definierte Freigaben und Benutzerrechte möglich?
• Gibt es eine Funktion, die den Hintergrund bei der Videokonferenz verschleiert, um das unbewusste Teilen von Informationen im Hintergrund zu vermeiden?
• Wo ist der Sitz des Anbieters und wie garantiert dieser DSGVO Konformität (z.B. durch geeignete Garantien, Mitgliedschaft im EU-US Privacy Shield oder eine ISO Zertifizierung).

Ausgewählte Anbieter:

Wir haben unter Berücksichtigung der zuvor genannten Aspekte einige Dienste untersucht und möchten Ihnen exemplarisch drei Anbieter vorstellen:

Zoom:  Im internationalen Kontext ist die US-amerikanische Kommunikationsplattform Zoom weit verbreitet. Diese ermöglicht Video- und Telefonkonferenzen, persönliche Chats und Schulungsmöglichkeiten für bis zu 100 Teilnehmer. Zudem kann der Bildschirm geteilt werden, es existieren Gruppenchats und auch die Freigabe von Dateien sowie das Aufzeichnen von Videos steht zur Verfügung. Zoom bietet Möglichkeiten zur Gestaltung von Benutzerrechten mit Passwortschutz und eine End-to-end-Verschlüsselung an. Als Mitglied des Privacy-Shields verpflichtet sich Zoom außerdem, ein der DSGVO entsprechendes datenschutzniveau einzuhalten. Ebenfalls unterwirft sich Zoom im Falle einer Datenverarbeitung den Standardvertragsklauseln der EU. Näheres dazu ist beschrieben in der Datenschutzerklärung von Zoom.

Für den Anwender ist unbedingt zu beachten, dass die Datenschutzkonformität bei Zoom von individuellen Einstellungen und dem individuellen Nutzungsverhalten abhängt. So ist etwa vom Aktivieren des Aufmerksamkeitstrackings, mit der die Anwesenheit und Partizipation aller überwacht werden kann, dringend abzuraten. Nutzer von Zoom sollten zudem nach Möglichkeit nicht zeitgleich in Facebook oder andere Social Media Netzwerke eingeloggt sein, da solche über PlugIns Daten erheben könnten. Außerdem empfiehlt es sich alle Nutzer vorab über die umfassenden Administratorrechte zu informieren (z.B. Erkennung von IP-Adressen oder der Hardware ID) und eine Einwilligung hierzu einzuholen.

Blizz von TeamViewer: Der Anbieter bietet die cloudbasierte Möglichkeit von Video- und Audiokonferenzen, Einzel- und Gruppenchats und Bildschirmübertragungen für bis zu 300 Teilnehmer in HD-Qualität sowie die Aufnahme von Konferenzen. Verbindungen und Datenübertragungen werden Ende-zu-Ende sicher verschlüsselt, sodass auch TeamViewer den Datenverkehr nicht entschlüsseln kann und eine Zwei-Faktoren-Authentifizierung ist implementiert. TeamViewer kommuniziert transparent auf der Webseite die Umsetzung der DSGVO. Die Rechenzentren, auf denen die Speicherung der Daten erfolgt sind nach ISO 27001 zertifiziert und liegen in Deutschland und Österreich. Weitere Einzelheiten sind in der Datenschutzerklärung von Team Viewer aufgeführt.

Etwas kritisch ist zu sehen, dass über TeamViewer auch die Fernwartung und ein Fernzugriff möglich ist und diese auch dann erfolgen kann, wenn der betroffene Nutzer vorher nicht informiert wird. Vor dem Hintergrund von § 87 Abs. 1 Nr. 6 BetrVG, welcher die Mitbestimmung des Betriebsrates vor Einführung solcher Tools fordert, ist dies problembehaftet und von der Verwendung dieser Funktion sollte abgesehen werden.

Microsoft Teams: Als Nachfolger von Skype for Buisness hat Microsoft das Tool Microsoft Teams entwickelt. Microsoft Teams ermöglicht Videokonferenzen, Telefongespräche, das Teilen von Dateien und Bildschirmen, Terminkalenderplanung, Messaging mit einzelnen Nutzern oder im Team sowie das Erstellen von Arbeitsgruppen. Zudem können Videokonferenzen in Echtzeit generierte Untertitel in mehreren Sprachen beigefügt werden. Microsoft Teams ermöglicht es individuelle Benutzerrechte und Passwörter festzulegen. Der Admin kann im Admin-Center zudem Funktionen einrichten oder abschalten. Microsoft Teams betont, dass sich das Tool datenschutzkonform nutzen lässt. Für die Übertragung der Daten in die USA unterwirft sich Microsoft dem EU-US Privacy Shield. Die Datenschutzerklärung von Microsoft gibt weitere Informationen.

Was ist in jedem Fall zu beachten – AV-Vertrag, Nutzerschulung, Benutzung und Konfiguration:

Zumeist werden durch den Diensteanbieter bei Konferenzen Daten erhoben. Es ist in solchen Fällen unerlässlich in Form eines Auftragsverarbeitungsvertrages (AV-Vertrag) sicherzustellen, dass diese in Übereinstimmung mit der DSGVO und nur in einem begrenzten Rahmen verarbeitet werden dürfen. Auch muss die Datenschutzerklärung erweitert werden um den jeweiligen Dienst. Durch diese ist ausführlich zu beschreiben welchen Art und Zweck die Datenverarbeitung hat und welche Rechte der Betroffene demgegenüber inne hat.Der Verwendung von Videokonferenzsystemen sollte eine durch den Verantwortlichen vorgenommene Datenschutzschulung der Mitarbeiter vorangehen. Eine solche muss nicht nur die technischen Einstellungen und die Bedienung des Dienstes umfassen, sondern auch ganz grundsätzliche Handlungsanweisungen:  Während einer Videokonferenz ist durch die Teilnehmer z.B. sicherzustellen, dass im Aufnahmebereich der Kamera keine vertraulichen Informationen erkenntlich sind, etwa an einem Whiteboard im Hintergrund.

Der Admin sollte zudem bei jedem Anbieter die Nutzung von möglichen Funktionen datenschutzkonform abwägen und mögliche individuelle Datenschutzeinstellung innerhalb des Systems überprüfen.

Sofern wir Ihnen bei der Auswahl des richtigen Videokonferenzanbieters behilflich sein können oder Sie weitere Fragen zu dieser Thematik haben, stehen wir Ihnen gern zur Verfügung.