Videokonferenzen – nicht so einfach wie gedacht

Ohne Dienste wie Skype, Jitsi oder Zoom würde die Wirtschaft derzeit zum Stillstand kommen. Doch bei deren Nutzung gilt es einiges zu beachten.
Michael BRaun
02.08.2020

Wahrscheinlich erinnert man sich im Firmensitz des US-amerikanischen Anbieters für Videokonferenzen Zoom gerade häufiger an das Sprichwort „There is no such thing as bad publicity.“ Denn trotz des Furors über vermeintliche Lücken im Datenschutz, dürfte der Zuwachs an Nutzern selbst die kühnsten Erwartungen der Firmenleitung übertreffen. Selbiges gilt wohl auch für Zooms Konkurrenz, sei es Skype oder Jitsi, denn ohne diese Anbieter würden die Ausmaße der gegenwärtigen Beschränkungen im Alltag noch existenziellere Ausmaße annehmen.

Auch wenn die Debatte über den Sicherheitsvorkehrungen von Zoom für neutrale Beobachter zum Teil obskure Züge annimmt – für Interessierte sei hier der ausführliche Blogbeitrag des Fachanwalts für IT-Recht Hansen-Soest empfohlen –, und auch wenn die Landesdatenschutzbehörden hierbei nicht immer eine glückliche Rolle einnehmen, muss der aktuelle Diskurs Datenschützer freuen. Bei der Auswahl und Nutzung von Videokonferenz-Anbietern müssen Unternehmen mehr beachten, als sich zunächst vermuten lässt.

Es gibt zwar eine verschwindend kleine Anzahl an Unternehmen deren Größe eigene Softwarelösungen ermöglichen oder erfordern, die überwiegende Mehrheit ist aber auf die Dienste firmenfremder Software-Anbieter angewiesen (auch Software as a Service oder kurz SaaS genannt). Zwischen diesen Anbietern und Unternehmen besteht im Sinne der DSGVO ein Auftragsverarbeitungsverhältnis, welches vertraglich festzuhalten ist. Bei der Auswahl eines Anbieters sollte deshalb von vornherein der betriebliche Datenschutzbeauftragte konsultiert werden. Dieser muss nämlich die seitens des Anbieters vorgelegten technischen und organisatorischen Maßnahmen (TOMs) kontrollieren und hinsichtlich des Risikopotentials für die Firma bewerten. Dazu gehören u.a. eine Einschätzung der vorgelegten Zertifikate für die Widerstandsfähigkeit des Anbieters, dessen Datenschutzstandards oder der Verfügbarkeit von Backups. Das Auftragsverarbeitungsverhältnis stellt durch die Anforderungen an den Auftragnehmer (hier der Anbieter von Videokonferenzen) zudem sicher, dass das Unternehmen gegenüber gegebenenfalls Betroffenen selbst sein Recht wahren kann. Ebenfalls, wie bei sämtlichen SaaS-Lösungen, ist darauf zu achten in welchem Land der Anbieter seinen Sitz hat, um sicherzustellen, dass die Übermittlung von Daten in etwaige Drittländer rechtlich abgesichert ist. Außerdem sind Videokonferenzen in der Regel in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen. In seltenen Fällen bedarf es sogar eine Datenschutzfolgeabschätzung.

Neben diesen protokollarischen Anforderungen sollte beim Funktionsumfang des Anbieters auf einige wesentliche Features geachtet werden: Sind Gespräche Ende-zu-Ende verschlüsselt? Wie sieht die Privacy-by-Default-Praxis des Programms aus? Inwiefern ist das Teilen von Bildschirmen möglich, bzw. wessen Zustimmung bedarf es hierzu? Wie kann ich den Zutritt fremder Personen zur Videokonferenz verhindern („Zoombombing“)? Wie sehen die einzelnen Löschmöglichkeiten und -fristen für Gespräche, Protokolle und Chats aus? Besteht die Möglichkeit, den Hintergrund unkenntlich zu machen, d.h. zu “blurren”? Auch muss sich ein Unternehmen bewusst sein, dass die Überwachung von Arbeitnehmenden via Videokonferenzen illegal ist. Da die Teilnahme an einer betrieblichen Videokonferenz allerdings mit einem Login der Beteiligten beginnt, kann dies arbeitsrechtlich bereits als Überwachungsmaßnahme verstanden werden, sodass auch Betriebsräte in den Entscheidungsprozess unbedingt miteingebunden werden müssen.

Für all die gestellten Fragen gibt es keine Ideallösung, denn zu unterschiedlich sind die individuellen Bedürfnisse einzelner Unternehmen. Was jedoch von allen zu beachten ist: Jedes Unternehmen muss für jede Konferenz die Funktionen individuell anpassen. Und jeder einzelne Verarbeitungsprozess ist gemäß den Grundsätzen der Datenminimierung und Zweckbindung zu rechtfertigen. Aufgrund dessen sollte auch Vorsicht beim inflationären Gebrauch von Videokonferenzen gelten, denn der klassische Griff zum Telefonhörer kann manch eine Videokonferenz überflüssig machen.

Links


Gesellschaft für Datenschutz und Datensicherheit: GDD-Praxishilfe – Videokonferenzen und Datensicherheit

Datenschutzbeauftragerinfo.de: Webkonferenz-Tools im Unternehmen datenschutzkonform einsetzen

Datenschutzexperte.de: Videokonferenz und Datenschutz. Passt das zusammen?


Author

MICHAEL BRAUN

Michael Braun ist der Kopf hinter IT-EMOTION & SECURITY GMBH U. CO. KG. Durch sein Expertenwissen sollten sich an ihn definitiv gerade Start-Ups oder Firmen mit veralteter Datenschutzerklärung im Sinne der DSGVO oder einem Leck in der IT-Sicherheit wenden. Mit dem jahrelangen Background der IT-Infrastruktur liegt sein Business-Fokus nun auf dem Informationssicherheits-Managementsystem (ISMS, engl. Information Security Management System) und entsprechender Zertifizierung von Betrieben, Cybersecurity sowie Datenschutz.