Videokonferenzsysteme und Datenschutz
Schon seit geraumer Zeit, besonders aber im Rahmen der Corona-Pandemie sind Videokonferenzsysteme aus dem Arbeitsalltag nicht mehr wegzudenken. Sie bieten Unternehmen so viel mehr als die klassische Telefonkonferenz oder die E-Mail-Kommunikation: Unterhaltungen in Bild und Ton, verknüpft mit Chats und Desktop- sowie App-Sharing bis hin zum gemeinsamen Bearbeiten von Dokumenten sind möglich. Um Videokonferenzsysteme aber gewinnbringend nutzen zu können, muss die Sicherheit stimmen, auch der Datenschutz (u. a. in Bezug auf US-Anbieter) muss geregelt sein. Mit diesen Aspekten setzen wir uns heute auseinander, bevor wir Ihnen im nächsten Beitrag Videokonferenzsysteme vorstellen.
Beruflicher Einsatz von Videokonferenzsystemen
In sehr vielen verschiedenen denkbaren Szenarien können Videokonferenzsysteme zum Einsatz kommen: Bildungseinrichtungen setzen auf sie genauso wie Vereine mit Ehrenämtern, Familien oder eben Unternehmen. Im letzten Fall, beim Einsatz im Unternehmen, sollten Sie sich der Tatsache bewusst sein, dass ein Übertragen von Bildern von Personen gleichzeitig ein Übertragen von personenbezogenen Daten ist. Je nach Konferenzinhalt können weitere, womöglich auch sensible Daten hinzukommen.
Für den beruflichen Einsatz muss vieles bedacht werden. Die erste Überlegung, die Sie anstellen, ist, ob Sie einen Videokonferenzdienst im eigenen Netzwerk betreiben oder ob Sie auf einen Online-Dienst setzen möchten.
Online-Service oder selbstgehostet?
Möchten Sie Videokonferenzen über einen Online-Dienst (Software as a Service, SaaS) realisieren, ist es sinnvoll, wenn sich Unternehmensleitung, IT-Abteilung und Datenschutzbeauftragte/r zusammensetzen und allgemeine Fragen klären. Diskussionswürdig sind etwa die Fragen, ob die Datenverarbeitung im DSGVO-Geltungsbereich liegt, inwieweit die Konferenzlösung datenschutzfreundliche Voreinstellungen bietet oder wo der Einsatz von Verschlüsselung sinnvoll wäre.
Andere Fragen stellen sich, wenn Sie die Videokonferenzsoftware im eigenen Netz bereitstellen möchten (On-Premises-Lösung). In aller Regel haben Sie sich an diesem Punkt bereits mit einigen Fragestellungen auseinandergesetzt: Risikobewertungen führten zu einem Konzept darüber, wie mit Protokoll-, Meta- oder Analysedaten umgegangen wird. Falls nicht, sollten Sie dieses Konzept erstellen und aus ihm eine entsprechende Richtlinie formulieren. Interessant an selbstgehosteten Lösungen ist, dass Sie als Unternehmen oder Behörde die Datenhoheit behalten. In den meisten Fällen – wenn also realisierbar – ist eine solche Lösung zu bevorzugen.
Gute Vorbereitungen für mehr Datenschutz
Bedenken Sie den Datenschutz idealerweise schon mit, während Sie die Videokonferenz vorbereiten. Dazu gehört es auch, Regeln für die Teilnahme an der Videokonferenz festzulegen und diese rechtzeitig zu kommunizieren. Klären Sie über verschiedene Funktionalitäten auf und bestimmen Sie Verhaltensregeln (klären Sie beispielsweise die Zulässigkeit von Aufzeichnungen). Überlegungen, die Sie schon in der Planungsphase anstellen können, sind:
- Registrierungen: Wählen Sie einen Konferenzanbieter, der eine Registrierung voraussetzt, so kann dies mit der Weitergabe personenbezogener Daten verbunden sein.
- Informieren Sie die Teilnehmer darüber, welche Daten von wem verarbeiten werden. So kommen Sie Ihren Informationspflichten gegenüber Nutzern (Betroffenen) nach Art. 13 DSGVO nach.
- Arbeiten Sie in der Konferenz mit Unterlagen, verteilen Sie diese idealerweise schon vor der Videokonferenz auf sicherem Weg (persönliche Übergabe, verschlüsselter E-Mail-Versand).
- Spielen Sie Bilder oder Präsentationen ein, entfernen Sie vorher sämtliche personenbezogenen Daten.
- Bedarfsweise können auch Pseudonyme genutzt werden. Es bietet sich an, dies bereits mit dem Verteilen der Unterlagen zu kommunizieren und die Pseudonyme darin festzulegen.
Auch die Teilnehmenden an der Videokonferenz können sich bereits im Vorfeld vorbereiten:
- Überlegen Sie sich, aus welchem Raum Sie der Videokonferenz beitreten. Sind Sie derzeit im Home-Office beschäftigt, achten Sie darauf, dass Ihr Hintergrund nichts Persönliches oder gar Vertrauliches verrät, entfernen Sie Familienfotos genauso wie Arzneimittel oder Ordner, deren beschrifteter Rücken mehr aussagen kann, als Ihnen lieb ist. Wählen Sie zudem einen ruhigen Ort, an dem weder dem Haushalt angehörige Personen noch Nachbarn oder auch Passanten Ihre Videokonferenz mitverfolgen können. Zuletzt bedenken Sie bitte noch mögliche Geräte mit Sprachsteuerung in Ihrer Umgebung: Weder Smartphones noch smarte Lautsprecher sollten den Ton der Konferenz aufzeichnen können.
- Machen Sie sich mit der geeigneten technischen Ausrüstung vertraut. Dazu gehört u. a., dass Sie aufs Freisprechen verzichten und zugunsten des Datenschutzes ein Headset verwenden.
- Machen Sie sich mit allen Infos, die Sie zur Videokonferenz erhalten haben, vertraut. Lesen Sie die Verhaltensregeln und lernen Sie die Funktionen des Videokonferenzsystems kennen.
Funktionen in Videokonferenzsystemen
Die Funktionalität von diversen Videokonferenzsystemen ist erstaunlich – doch nicht immer ist es sinnvoll, von sämtlichen Funktionen Gebrauch zu machen. Die folgenden Überlegungen helfen bei einem datensparsamen Einsatz zur Erfüllung des Datenschutzgrundsatzes „Datenminimierung“:
Aufnehmen & Speichern von Videokonferenzen
Protokollieren, Archivieren, Aufnehmen, Speichern: Das alles sind Umschreibungen für Aufnahmefunktionen. Diese Funktion erscheint verlockend, weil bequem – aber: die Aufzeichnungen von Wort und Bild sind aus datenschutzrechtlicher Sicht bedenklich. Eine Alternative wäre die schriftliche Protokollierung. Falls Sie doch aufzeichnen, müssen die Zugriffsberechtigungen auf den Mitschnitt organisiert werden (Zugriff erhalten nur jene Mitarbeiter*innen, die den Zugriff zum Ausüben ihrer Arbeit benötigen), Löschfristen müssen eingehalten und Betroffenenrechte gewährleistet sein. Das Zugreifen auf gespeicherte Daten von Videokonferenzen bedarf einer Authentisierung und es muss verschlüsselt erfolgen. Je nach Schutzbedarf dieser Aufzeichnungen können Sie auch über das Vier-Augen-Prinzip nachdenken. Bedenken Sie außerdem, dass bei Archivierung dieser Aufzeichnungen sowohl die Verschlüsselung als auch ein Manipulationsschutz erhalten bleiben müssen. Tatsächlich ist es deutlich einfacher, schriftlich zu protokollieren.
Integrieren von Social Media
Es gibt zahlreiche Videokonferenzlösungen, die eine Integration sozialer Medien erlauben. Möchten Sie solche Inhalte in Ihrer Videokonferenz einbinden, ist es zwingend erforderlich, darauf zu achten, keine sensiblen Daten Dritter offenzulegen.
Es gibt auch Videokonferenzsysteme, die automatisch Kontakt zu einigen sozialen Netzwerken, etwa Facebook, aufnehmen. Da das in aller Regel weder notwendig noch gewollt ist, achten Sie bereits beim Anschaffen der Lösung auf datenschutzfreundliche Voreinstellungen, die derartiges verhindern.
Ein Hauch Kontrolle: Aufmerksamkeitsanzeige
Jeder, der schon mal an einer etwas weniger aufregenden Konferenz teilgenommen hat, kennt es: Die Aufmerksamkeit kann zwischendurch etwas schwinden. Moderne Videokonferenzsysteme erkennen es, ob die Teilnehmenden der Videokonferenz noch aufmerksam folgen. Eine Aufmerksamkeitsanzeige verweist die Konferenzmoderation auf Teilnehmende, die nicht mehr ganz bei der Sache sind.
Achtung: Deaktivieren Sie diese Überwachungsfunktion, denn sie ist ein tiefer Eingriff in die Persönlichkeitsrechte der Teilnehmenden! Müssen Sie die Funktion verwenden, etwa weil Sie in Ihrem Webinar Teilnehmernachweise ausstellen müssen, so informieren Sie die Teilnehmenden bereits vor Beginn der Videokonferenz über diese Funktion.
Anklopfen und Passwortschutz
Sehr sinnvoll ist der Passwortschutz, der in vielen Videokonferenzsystemen integriert ist: Ein Betreten des virtuellen Konferenzraums ist erst nach Passworteingabe bzw. nach einem „Anklopfen“ möglich. So verhindern Sie, dass unbefugte Dritte eintreten und Ihrer Konferenz folgen.
Vorgehen bei der Auswahl des Videokonferenzsystems
Möchten Sie sich für eine Videokonferenzlösung entscheiden, stehen verschiedene Schritte auf Ihrem Plan: Überlegen Sie sich zunächst, ob es wirklich eine Videokonferenz sein muss oder ob es womöglich auch die konventionelle Telefonkonferenz täte. Denn diese wäre leichter datenschutzfreundlich durchführbar.
Es gibt jedoch Fälle, in denen auf eine Videokonferenz nicht verzichtet werden kann. Ist dem so, wäre der Idealzustand, einen eigenen Dienst mit einer Open Source-Software bereitzustellen. Wie oben bereits erwähnt, läge die Datenhoheit so in Ihrer eigenen Hand. Doch auch kommerzielle Software kann datenschutzfreundlichen Einsatz finden. Wichtig bei der Auswahl kommerzieller Videokonferenzsysteme ist, dass die Software keine Daten (Daten Ihrer Beschäftigten, Daten von Dienstleistern oder sonstigen Kommunikationspartnern) an den Hersteller oder aber an Dritte übermittelt.
Haben Sie einige kommerzielle Anbieter für Videokonferenzsysteme im engeren Rahmen, prüfen Sie, ob es darunter einen europäischen Anbieter gibt, der Ihren Anforderungen entspricht. Sind Sie fündig geworden, prüfen Sie die folgenden Punkte:
- Datenverarbeitung: Wie verarbeitet der Anbieter Daten? Ausschließlich im zulässigen Rahmen? Hält er sich ans europäische Datenschutzrecht? Oder werden Daten an Dritte (auch ausländische Behörden) weitergegeben?
- Datensicherheit: Wie weist der Anbieter Datensicherheit nach? Existieren Zertifizierungen?
- Verschlüsselung: Garantiert der Anbieter Verschlüsselung bei der Datenübertragung? Sind die Übertragungen transport- oder Ende-zu-Ende-verschlüsselt?
- AV-Vertrag: Hält der Anbieter gesetzeskonforme Auftragsverarbeitungsverträge bereit? Oder ist er willens, einen DSGVO-konformen AV-Vertrag mit Ihnen abzuschließen?
- Dienstleister: Nutzt der Anbieter selbst Dienstleister? Sitzen diese innerhalb oder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums?
Videokonferenz: Organisatorisches
Auch einige organisatorische Regeln sind von Ihnen und den Teilnehmenden an der Videokonferenz einzuhalten. Machen Sie sich schon im Voraus darüber Gedanken, über welche Themen in der Videokonferenz nicht gesprochen wird. Dazu gehören beispielsweise Kontaktdaten oder sonstige persönlichen Informationen. Sollten Teilnehmende datenschutzrechtliche, technische oder sonstige Bedenken haben, klären Sie diese. Stellen Sie klar, dass Fragen erlaubt und gern gesehen sind, sodass Sie und weitere an der Konferenz Teilnehmenden gut gerüstet starten.
Datenschutz bei Videokonferenzsystemen
Sie sehen: Es gibt keine perfekte Lösung, die überall passen würde. Lösungen, die fürs private Umfeld problemlos Anwendung finden können, lassen sich im geschäftlichen Umfeld so nicht einsetzen. Technische und organisatorische Überlegungen müssen angestellt, Lösungen verglichen werden.
Um Ihnen beides zu erleichtern, haben wir uns für diese Kurz-Serie über Videokonferenzsysteme entschieden. Was wir Ihnen in diesem Beitrag in übersichtlicher Form präsentiert haben, hat das BSI im „Kompendium Videokonferenzsysteme“ (PDF) noch mal deutlich ausführlicher aufbereitet. Darin finden Sie auch Szenarien für einen erhöhten Schutzbedarf. Im zweiten Teil dieser Kurz-Serie werden wir konkret und stellen Ihnen verschiedene Videokonferenzsysteme vor.