Auf Grund der aktuellen Covid-19-Situation stehen viele Unternehmen vor der Herausforderung, eine angemessene Kommunikations-Lösungen für ihre Mitarbeiter zu finden. Angebote für Videokonferenzen und anderen Kommunikationsmöglichkeiten gibt es viele, wie auch Diskussionen über deren (datenschutzrechtliche) Zulässigkeit für geschäftliche Zwecke. Zu beachten sind hier vor allem rechtliche Aspekte des DSGVO, die auch in Krisensituationen nicht außer Kraft gesetzt sind. In diesem Blogartikel werden nachfolgend die wichtigestens Kriterien behandelt, um Ihnen so einen Überblick über die derzeitige Marksituation zu verschaffen und die Auwahl einer Lösung zu vereinfachen.
Fachliche Beratung und die DSGVO
Da es im Rahmen der DSGVO so einiges zu beachten gibt, ist eine fachliche Beratung durch einen Experten immer ratsam. Daher empfehlen wir Ihnen, neben verschiedenen Mitarbeitern auch ihren zuständigen Datenschutzbeauftragten die Auswahl der Konferenz-Lösung einzubeziehen. Zu dem sollte auch, wenn vorhanden, der Betriebs- oder Personalrat mit in die Wahl einbezogen werden. Nach § 87 Abs. 1 Nr. 6 BetrVG ist dies zudem gesetzlich vorgeschrieben, wenn durch die Nutzung eine Möglichkeit zur Überwachung der Mitarbeiter besteht (was bei vielen Lösungen durch den aktuellen Verfügbarkeitsstatus der Benutzer gegeben ist).
Nach Art. 25 DSGVO, der sich mit dem “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” befasst, müssen ausreichende und geeignete technisch organisatorische Maßnahmen ergriffen werden, um den Schutz der personenbezogenen Daten zu gewährleisten. Unter diesem Schutz fallen auch Vorkehrungen zum Schutz der Daten vor dem Zugriff durch unzulässige Dritte.
Berücksichtigung des Anbieterstandortes
Um DSGVO-Verstöße zu vermeiden, sollten Sie zunächst auf den Firmen- bzw. Serverstandort eines Anbieters achten. Liegt dieser beispielsweise in den Vereinigten Staaten, besteht die Möglichkeit zum Datenzugriff durch staatliche Institutionen wie z. B. Geheimdiensten. Angebote aus Drittländern (außerhalb der EU) unterliegen nicht der DSGVO. Ist es auf Grund der benötigten Funktionalität nicht möglich einen in der EU ansässigen Dienst zu nutzen, sollten Sie Ihre Entscheidung dafür genau begründen können. Weiter ist die Einhaltung eines ausreichenden Datenschutzniveaus nach den Art. 44 bis 49 DSGVO zu prüfen.
Für manche Länder wie Schweiz, Andorra, Argentinien, die Faröer Inseln, Guernsey, Israel, Japan, Kanada und Neuseeland existieren von der EU-Kommision ausgestellte Angemessenheitsbeschlüsse, die ein vergleichbares Schutzniveau zu dem der DSGVO bescheinigen. Als Folge können sensible Daten sicher und ohne weitere Garantien oder Genehmigungen in das Drittland übermittelt werden. Bei davon abweichenden Ländern sollte auf das Vorliegen anderer Vereinbarungen geachtet werden, beispielsweise in Form des Privacy Shield-Abkommens oder der Standardschutzklausel (SCC). Diese sollten einen gleichwertigen Schutz von personenbezogenen Daten versichern, garantieren lässt sich dies allerdings nicht.
Datenschutzrechliche Funktionen
Eine wichtige Funktion einer Videokonferenz-Lösung ist die Verschlüsselung der übertragenen Gesprächsdaten (Transportverschlüsselung). Ebenso bietet die Verschlüsselung der auf dem Server gespeicherten Daten eine sinnvolle Schutzmaßnahme gegen den unbefugten Zugriff oder das Abhören der Gespräche.
Bildschirmübertragungen und andere Aufzeichnungen sowie Fernsteuerungen sollten nur mit der aktiven Zustimmung durch die Gesprächsteilnehmer möglich sein. Aufzeichnungen und diverse Protokolle sollten sich zudem nach dem Ende jeder Sitzung automatisch oder zumindest manuell löschen lassen. Erlaubt eine Videokonferenz-Lösung das Erstellen von Verhaltensprofilen der Nutzer, so muss diese Funktion idealerweise deaktivierbar und auch vorab ausgeschaltet sein (“Datenschutz durch datenschutzfreundliche Voreinstellungen“, Art. 25 Abs. 2 DSGVO).
Diese Videokonferenz-Lösungen sind derzeit beliebt
Zoom
Eine beliebte (aber auch in Diskussion stehende) Lösung für Videokonferenzen kommt vom US-Anbieter Zoom. Nach zuvor bekanntgewordenen Datenschutzverstößen hat Zoom hat einiges dafür getan, datenschutzrechtlich wieder konform zu gehen – und am 30. März 2020 eine überarbeitete Datenschutzerklärung veröffentlicht. Kritisierte Funktionen waren u. a. das Tracking des Nutzerverhaltens oder die Übermittlung einiger Daten an Facebook.
Für die datenschutzrechtliche Einhaltung hat sich Zoom dem EU-US-Privacy Shield unterworfen und bietet auch den Abschluss eines EU-Standardvertrags an. Des Weiteren bietet der Anbieter auch ein Vertragsmuster zur Auftragsverarbeitung an, der unter dem Link https://support.zoom.us/hc/en-us/articles/360000789323-Data-Processing-Addendum zu finden ist. Zoom zeichnet sich mittlerweile durch einen geringen Dateneinsatz ab. Als Hoster ist lediglich ein Name und eine E-Mail Adresse erforderlich, andere Teilnehmer brauchen nur nach Beitritt in den Chatraum einen Namen anzugeben.
Beliebt ist dieser Dienst durch seine einfache Nutzbarkeit und die stabile Performance auch bei größerer Teilnehmerzahl. Zudem eignet sich Zoom nicht nur für Videokonferenzen sondern auch für Schulungen mit Vortragsrednern und einer Chat-Moderation sowie Sub-Konferenzräume (oder Breakout-Rooms), in die während eines Meetings temporär gewechselt werden kann.
Weitere sehr interessante Infoszum Datenschutz von Zoom haben die Autoren von PrivacyTutor hier zusammengestellt.
Kopano Meet
Wer sich lieber auf EU-Unternehmen verlassen möchte, hat mit der Open-Source Software Meet von Kopano eine gute Wahl getroffen. Diese Lösung kann entweder auf einem eigenen Server oder als cloudbasierter SaaS-Dienst (Software as a Service) genutzt werden. Die maximale Teilnehmerzahl ist momentan noch abhängig von der Bandbreite einzelner. Doch laut Aussagen von Kopano arbeiten die Mitarbeiter bereits an einer Kanalbündelung, um eine höhere Teilnehmerzahl zu ermöglichen. Aktuell sind pro Teilnehmer eine Bandbreite von 1 Mbit/s und für Screensharing zusätzlich 2,5 Mbit/s notwendig.
MS Teams
Integriert in die Softwarelandschaft von Office 365, stellt MS Teams für viele einen leichten Weg in die Welt der Videokonferenz-Lösungen dar. Microsoft bietet seinen Dienst komplett Cloud-basiert an, sodass keine lokale Server-Installation oder komplizierte Einrichtung benötigt wird. Wahlweise als Web-App oder Desktop-Version bietet MS Teams Einzelchats, Gruppenchats, Kanäle und Videotelefonie an. Nebst der eigenen Kollegen können auch externe Teilnehmer (ohne eigenes Office 365-Abonnement) zu geplanten Videokonferenzen eingeladen werden.
RocketChat & Jitsi Meet
Die Software RocketChat kombiniert das klassische Chat-Tool (wie Slack oder Mattermost) mit Videotelefonie durch Jitsi Meet. Als On Premise-Lösung kann das System souverän und ohne fremde Clouddienste genutzt werden. Die Lösung lässt sich zudem an zentrale Benutzerdienste (wie LDAP) anbinden und sogar in Open Source-Plattformen wie den Univention Corporate Server integrieren. Die Nutzung des selbst gehosteten Dienstes ist weder lizenz- noch kostenpflichtig.
Quellen:
https://datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting/
https://digitalcourage.de/blog/2020/corona-homeoffice-tipps
https://www.datenschutz-notizen.de/videochats-datenschutz-heute-zoom-4325330/
Anschrift
viwedis GmbH
Johann-Krane-Weg 27
48149 Münster
+49 (0) 251 144 39 0
info@viwedis.de
Hier finden Sie unsere Anfahrtsbeschreibung.