Kategorien
Alle Datenschutz

Videokonferenzen datenschutzkonform durchführen – Vorsicht bei der Auswahl des Anbieters

Videokonferenzen gewinnen in Zeiten der Corona-Pandemie stark an Bedeutung. Viele Unternehmen mussten in kurzer Zeit entsprechende Kollaborationstools installieren und hatten dabei nicht die Zeit, deren Eignung im Hinblick auf den Datenschutz und die Datensicherheit intensiv zu prüfen. Wir stellen Ihnen einige gängige Programme vor und bewerten die datenschutzrechtlichen Aspekte.

Die meisten Anbieter dieser Tools haben in den letzten Monaten Änderungen im Hinblick auf den Datenschutz vorgenommen, um den Bestimmungen der DSGVO zu entsprechen. So werden zum Beispiel die Daten bei Microsoft 365 und Produkten anderer Herstellern auf europäischen Servern gehostet. Bei vielen Softwareprodukten können die Datenschutzeinstellungen manuell eingestellt werden und die Hersteller haben ihre Online Services Terms überarbeitet und bieten Verträge zur Auftragsverarbeitung an. US-amerikanische Unternehmen sind in der Regel beim Privacy-Shield-Abkommen der USA mit der EU zertifiziert, das eine datenschutzkonforme Übermittlung von Daten in die USA ermöglicht.

Vor der Auswahl des passenden Videokonferenz-Dienstes sollten Sie u. a. folgende Fragestellungen klären:

  • werden die Daten verschlüsselt übertragen und erfolgt eine Verschlüsselung von Daten, die in der Cloud gespeichert sind?
  • wo befinden sich die Speicherorte (im Bereich des EWR, Übermittlung an Drittstaaten)?
  • erfolgt eine Anonymisierung oder Pseudonymisierung der personenbezogenen Daten?
  • welche Daten werden übermittelt und ggf. auf externen Servern gespeichert und wie lange werden die Daten gespeichert?
  • Gibt es definierte Löschfristen für die bei den Übertragungen verarbeiteten Daten (Dateien, Videomitschnitte, Fotos, Sprachaufzeichnungen etc.) ?
  • können die Datenschutzeinstellungen manuell durch den Administrator des Benutzers angepasst werden und so z. B. die Übertragungen auf ein technisch notwendiges Minimum beschränkt werden oder gespeicherte Daten gelöscht werden?
  • gibt es eine Vereinbarung über die Auftragsverarbeitung ?
  • gibt es weitere datenschutzrelevante Informationen oder Dokumente?

3CX

Der VoIP IPBX-Softwareentwickler 3CX mit Stammsitz in Nikosia, Zypern und Dependancen weltweit, hat eine Telefonanlage auf Basis offener Standards entwickelt, die alle Features einer modernen Unified Communications & Collaboration Lösung umfasst, darunter auch integrierte Webkonferenzen. Unified Communications unterstützt insbesondere auch die Zusammenarbeit mehrerer Personen per Audio- und Videokonferenzen. Unternehmen sind dabei frei in der Wahl des VoIP-Anbieter und können die Anlage lokal oder auch als Cloud-Telefonanlage mit Google Cloud, Amazon Lightsail, Microsoft Azure und anderen Anbietern betreiben.
Das Webkonferenz-Tool WebRTC ermöglicht die Durchführung von Video- und Audiokommunikation direkt über den Internetbrowser und Teilnehmer können Webkonferenzen ohne das Herunterladen zusätzlicher Plugins oder Webmeeting Software beitreten.
Die Kommunikation erfolgt stets verschlüsselt und die Daten werden auf Servern in Deutschland verarbeitet. Personenbezogene Daten (Audio, Video) werden nach 7 Tagen automatisiert gelöscht. Daten wie geteilte PDF-Dateien werden nur während des Meetings gespeichert. Es werden keine Cookies verwendet, die Datenschutzeinstellungen sind manuell konfigurierbar und der Benutzer wird umfassend über die Datenverarbeitung bei Videokonferenzen informiert.
3CX kann datenschutzkonform betrieben werden. Da die Datenverarbeitung durch eine europäische Firma innerhalb Europas erfolgt, entfallen die Vorbehalte gegen die Verarbeitung, die z. B. bei Microsoft 365 wg. des CLOUD-Acts ein Thema sind.

Microsoft 365 – Teams

Microsoft Teams ist eine Kollaborations-Plattform für die Online-Zusammenarbeit in Unternehmen. Es ist das Nachfolgeprogramm von Skype for Business und in die Plattform Microsoft 365 integriert, die weitere Dienste wie MS Office inkl. Outlook bereitstellt. Die Daten werden in der sog. Microsoft Cloud gehostet.
Microsoft erhebt diverse Daten, sog. Telemetrie-Daten, die sowohl nutzerbezogen als auch anonymisiert gespeichert werden. Die Diagnose- und Metadaten werden für die Analyse der Nutzung und Leistung von Anwendungen und Anwendungskomponenten gesammelt.
Seit der Einführung des „Microsoft Diagnostic Data Viewers“ können die Office Nutzer nachvollziehen, welche Daten bei der Office Nutzung aufgrund welcher Datenschutzeinstellungen erfasst werden. Bei der Verwendung der Office mobile Apps gibt es diese Kontrollfunktionen für die Erfassung und Verarbeitung von Diagnosedaten weiterhin nicht.
Die Online Service Terms (OST, Vertragsbedingungen für die Nutzung von Office 365) enthalten EU-Standardvertragsklauseln und den Vertrag zur Auftragsverarbeitung.
Die Speicherung der Telemetriedaten und weiterer Systemdaten erfolgt für mindestens 30 Tage und kann bis zu 18 Monate erfolgen.
Administratoren des Benutzers können seit Kurzem diese bei Microsoft hinterlegten Daten selbst löschen.
Die Daten der europäischen Kunden werden in Microsofts Rechenzentren in Österreich, Finnland, Irland und den Niederlanden gespeichert. Den genauen Speicherort können Nutzer mit Administratorenrechten einsehen.
Der Datentransfer erfolgt immer verschlüsselt, die Datenspeicherung kann ebenfalls verschlüsselt werden.
Microsoft übermittelt Diagnosedaten auch außerhalb des EWR. Diese Übermittlung der Daten ist durch das EU-US Privacy Shield, für das Microsoft zertifiziert ist, zurzeit konform zu den Bestimmungen der DSGVO. Europäische Gericht entscheiden in Kürze darüber, ob der in den USA geltende  CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) mit den europäischen Datenschutzgesetzen in Einklang zu bringen ist, oder ob dadurch die Übermittlung von Daten an US-amerikanische Unternehmen nicht mehr rechtskonform durchzuführen werden kann. Der CLOUD-Act ermöglicht den US-Behörden, Daten direkt von US-Unternehmen anzufordern, auch wenn diese Daten im Ausland gespeichert werden.

Skype

Skype wurde vor einiger Zeit von Microsoft aufgekauft und soll nun mit dem eigenen Collaboration-Tool Teams verschmolzen werden. Von Skype gibt es aktuell eine Version für Privatnutzer und eine für Unternehmen (Skype for Business).
In der Vergangenheit wurden immer wieder Schwachstellen aufgedeckt, wie z. B. die Speicherung von Zugangsdaten im Klartext und intransparente Nutzungsbedingungen bei Chat-Auswertunggen. Ein Gericht hatte den Einsatz von Skype für Bewerbungsgespräche bereits als unzulässig bewertet, auch deshalb, weil Telefongespräche von Skype-Mitarbeitern mitgehört wurden.
Für die betriebliche Nutzung ist von Skype abzuraten.

Slack

Die Kommunikation und der Austausch von Dokumenten bei Slack wird in sog. Channels organisiert. Diese können nach unterschiedlichen Kriterien wie Teams, Themen oder Projekten gruppiert werden. Für die Auftragsverarbeitung hat Slack ein Data-Processing-Addendum nach Artikel 28 DS-GVO zur Verfügung gestellt.
Unternehmen können auf ihre Kundendaten zugreifen und diese importieren und exportieren. Ein Tool ermöglicht die Profillöschung, mit der persönliche Informationen wie Namen und E-Mail-Adressen von einem Slack-Account gelöscht werden können. Des Weiteren können Unternehmen ein Rollen- und Berechtigungskonzept im Workspace administrieren.
Unternehmen können auswählen, in welcher Region ihre Daten gespeichert werden. Zurzeit sind Frankfurt am Main und Paris in der EU verfügbar. Das Vereinigte Königreich soll demnächst folgen, ist aber aufgrund des Brexit zurzeit nicht mehr für deutsche Unternehmen von Bedeutung.
Um die o. a. Tools datenschutzkonform verwenden zu können, ist die kostenpflichtige Volllizenz von Slack erforderlich.

Zoom

Die Nutzung des Videokonferenz-Dienst Zoom ist durch die Corona-Krise stark angestiegen und dadurch auch in den Fokus von Sicherheitsexperten und Datenschützern geraten. Verschiedene Sicherheitslücken und nicht datenschutzkonforme Features wurden bemängelt, die New Yorker Staatsanwaltschaft hat deshalb Untersuchungen wegen der Verstöße gegen Datenschutz und Datensicherheit eingeleitet. So wurden Nutzer nicht ausreichend darüber informiert, dass persönliche Daten an Dritte wie etwa Facebook weitergegeben würden. Die zugesagte Ende-zu-Ende-Verschlüsselung soll nicht umgesetzt worden sein, zudem gab es Berichte über das gezielte Kapern von öffentlichen Zoom-Videokonferenzen, bei denen sich Nutzer ungefragt in Videokonferenzen einwählen und durch das Teilen des Bildschirms Bilder und Videos mit z. T. verstörenden Inhalten zu verbreiten. Ein weiterer Kritikpunkt war das standardmäßig aktivierte sog. Aufmerksamkeitstracking, bei dem der Administrator überwachen konnte, ob der Mitarbeiter in der Konferenz aktiv blieb.
Mittlerweile hat Zoom mitgeteilt, dass mehrere von Sicherheitsforschern aufgedeckte Sicherheitslücken geschlossen worden seien. Das Aufmerksamkeitstracking wurde abgeschaltet und die Ende-zu-Ende-Verschlüsselung vollständig implementiert.
Wie bei allen Unternehmen, die die Datenverarbeitung in den USA durchführen, ist die Übermittlung der Daten durch das EU-US Privacy Shield zurzeit konform zu den Bestimmungen der DSGVO. Ob der in den USA geltende  CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) mit den europäischen Datenschutzgesetzen in Einklang zu bringen ist, oder ob dadurch die Übermittlung von Daten an US-amerikanische Unternehmen nicht mehr rechtskonform durchzuführen ist, wird noch zu klären sein.
Wir können zurzeit die Verwendung von Zoom aufgrund der zweifelhaften Konformität hinsichtlich Datenschutz und Datensicherheit nicht empfehlen.

Sprechen Sie uns an – unsere Datenschützer unterstützen Sie gerne bei der Einführung von neuen Softwareprodukten und bei der Umsetzung von datenschutzrechtlichen  Maßnahmen