Datenschutz

DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste)

von Dr. Thomas Schwenke
/
/
Kommentare 49

Zum Schutz vor Infektion durch das Corona-Virus, müssen viele Mitarbeiter*innen ihre Arbeit vom Home-Office aus verrichten.

Trotzdem muss die Kommunikation untereinander, als auch mit den Kunden oder Geschäftspartnern aufrechterhalten werden. Daher wird der Einsatz von Diensten für Video- und Onlinekonferenzen, -Meetings oder Webinaren, wie z. B. Zoom, Skype oder Slack häufig zwingend notwendig.

Bei deren Nutzung müssen jedoch, auch trotz Krisenzeiten, die Vorgaben der DSGVO eingehalten werden. Wie Sie die Vorgaben erfüllen können und warum Sie schon bei der Auswahl der Dienste an sie denken sollten, erfahren Sie im folgenden Beitrag. Am Ende des Beitrags erhalten Sie eine Übersicht der Anbieter sowie eine zusammenfassende Checkliste.

Hinweis: Werden Video- und Konferenzdienste ausschließlich für persönliche und familiäre Zwecke eingesetzt (also nicht beruflich, amtlich, zu Vereinszwecken, etc.), dann kommt die DSGVO nicht zur Anwendung (Art. 2 Abs. 2 lit. c. DSGVO). Aus Gründen Ihrer Sicherheit und der von Teilnehmern, empfehlen wir dennoch die folgenden Hinweise entsprechend zu beachten.

Vorüberlegungen und Auswahl der Dienstleister

Die DSGVO schreibt einen “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor (Art. 25 DSGVO). In der Praxis müssen Sie daher die folgenden zwei Punkte schon bei der Auswahl des passenden Konferenzdienstes beachten:

  • EU-Dienste vorziehen – Gehen Sie immer den sichersten Weg und wenn z. B. ein Dienst aus den USA und ein gleichwertiger Dienst aus der EU zur Auswahl stehen, wählen Sie lieber den Dienst aus der EU. Update 16.7.2020: Der EuGH hat das Privacy Shield für unwirksam erklärt und Datenübertragungen in die USA generell in Frage gestellt. Bitte lesen Sie dazu den Beitrag: EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen.
  • Dienste mit datenschutzfreundlichsten Einstellungen wählen – Sie sollten Dienste mit den datenschutzfreundlichsten Verfahrens- und Einstellungsmöglichkeiten auswählen, u.a.:
  • Verschlüsselung – Übertragungen sollten verschlüsselt erfolgen.
  • Geschäftsnutzung – Die geschäftliche Nutzung sollte erlaubt sein (da datenschutzrechtliche Zusicherungen auf Geschäftskunden beschränkt sein können). Unter Umständen bieten auch nur bezahlte Versionen die erforderlichen Datenschutzfunktionen.
  • Freigaben – Bildschirmübertragung oder Aufzeichnung sollte eine ausdrückliche Zustimmung voraussetzen.
  • Protokolle und Aufzeichnungen – Gesprächsverläufe und Aufzeichnungen sollten grundsätzlich nach Gesprächsende gelöscht werden.
  • Profiling – Es sollten keine Verhaltensprofile der Teilnehmer gebildet werden oder diese Funktion sollte abgeschaltet werden können.

Beteiligung Betriebs- oder Personalrat sowie Datenschutzbeauftragte

Datenschutzbeauftragte sollten schon bei der Auswahl des passenden Dienstes involviert werden.

Dasselbe gilt, soweit vorhanden, für den Betriebs- oder den Personalrat, da sie dem Einsatz der Dienste am Ende zustimmen müssen (s. § 87 Abs. 1 Nr. 6 BetrVG). Die Zustimmung ist gesetzlich vorgeschrieben, da die Konferenzdienste sich zur Überwachung der Mitarbeiter objektiv eignen (auch wenn tatsächlich keine Überwachung geplant ist).

Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen

Als Drittländer werden Länder außerhalb der EU bezeichnet. Wenn Sie Anbieter aus Drittländern einsetzen, müssen Sie sicherstellen, dass das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO).

Das können Sie zwar selten selbst überprüfen. Jedoch existieren formelle Verfahren, die eine für die Praxis hinreichende Verlässlichkeit des Datenschutzniveaus bieten:

  • EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Faröer Inseln, Guernsey, Japan, Kanada und Israel (z.T.)
  • Privacy-Shield-Zertifikat –  Ein angemessenes Datenschutzniveau können Sie bei Unternehmen aus den USA, die über ein Privacy-Shield-Zertifikat verfügen, annehmen.
  • Abschluss sog. „Standard Contractual Clauses (SCC)” – Diese vorgefertigten Standardschutzklauseln verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden).
  • Vertraglich erforderliche Datentransfers – Auch wenn es eher selten der Fall sein wird, kann die Nutzung einer bestimmten Software mit einem Vertragspartner auch vertraglich vereinbart werden (wobei sichergestellt werden muss, dass der Vertragspartner auch weiß, dass die Daten in einem Drittland verarbeitet werden).
  • Einwilligungen der Betroffenen – Es ist zwar möglich, dass Sie Einwilligungen der Teilnehmer, z. B. der Kunden und Mitarbeiter einholen. Allerdings sind Mitarbeiter besonders geschützt und deren Einwilligungen grundsätzlich nur dann wirksam, wenn keine datenschutzfreundlicheren Dienste in Frage kamen (§ 26 Abs. 2 BDSG). D.h. Sie werden daher nachweisen müssen, dass ein EU-Dienst oder ein Dienst mit einem Privacy-Shield-Zertifikat oder Standardschutzklauseln nicht in Frage kam. Das dürfte eher selten der Fall sein.

Hinweis: Dieser Beitrag orientiert sich an pragmatischen Anforderungen. Datenschutzpolitische Diskussionen (z. B. zur Wirksamkeit des Privacy-Shields) können wir leider, ebenso wie die unterschiedlich strengen Ansichten im Datenschutz, nicht in ihrer vollen Bandbreite abbilden.

Abschluss eines Auftragsverarbeitungsvertrages

Als Auftragsverarbeiter werden Dienstleister bezeichnet, die personenbezogene Daten Ihrer Kunden oder Mitarbeiter entsprechend Ihreren Weisungen nur für Sie verarbeiten.

Auch Anbieter von Video- und Onlinekonferenzdiensten sind grundsätzlich als Auftragsverarbeiter anzusehen, so dass Sie die folgenden Punkte beachten müssen:

  • Abschluss Auftragsverarbeitungsvertrag – Mit Auftragsverarbeitern müssen Sie Auftragsverarbeitungsverträge nach Maßgabe des Art. 28 DSGVO abschließen. Die meisten Anbieter bieten derartige Vereinbarungen, die Sie in der nachfolgenden Übersicht der Video- und Onlinekonferenzdienste finden, an.
  • Prüfung technischer und organisatorischer Maßnahmen sowie Subunternehmer  – Ferner müssen Sie die Angaben zu technischen und organisatorischen Maßnahmen (z. B. Pseudonymisierung, Backupverfahren, Verschlüsselungen, etc., Art. 32 DSGVO) sowie eingesetzten Subunternehmern prüfen (in der Praxis wird Ihnen an dieser Stelle sehr wahrscheinlich keine Unregelmäßigkeit auffallen, aber Sie sollten die Prüfung dennoch durchführen).

Hinweis: Manche Anbieter bieten zwar eine Plattform an, aber keine Kontrolle über die Daten Ihrer Kommunikationspartner (z. B. Discord oder Twitch). In dem Fall liegt keine Auftragsverarbeitung vor und es müssen keine Auftragsverarbeitungsverträge geschlossen werden. Es könnte jedoch eine Vereinbarung über gemeinsame Verantwortlichkeit erforderlich sein (insbesondere wenn jedoch Nutzerstatistiken zur Verfügung gestellt werden), die jedoch unseres Wissens derzeit von keiner dieser Plattformen angeboten wird.

Datenschutzfreundliche Voreinstellungen

Wenn Sie die Dienste einsetzen, sollten Sie die Einstellungen möglichst datenschutzfreundlich auswählen (“Datenschutz durch datenschutzfreundliche Voreinstellungen“, Art. 25 Abs. 2 DSGVO).

Insbesondere sollten Sie sich bei jeglichen Tracking-, Beobachtungs-, Protokoll-, Screen-Sharing- und Aufzeichnungs-Funktionen immer fragen, ob diese Funktionen wirklich erforderlich sind. Dazu sollten Sie bei jeder Funktion eine sog. Erforderlichkeitsprüfung durchführen.

Beispiele: Erforderlichkeitsprüfung

Sie sollten in jedem Fall das folgende Prüfungsmuster anwenden und zu Nachweiszwecken wie in dem folgenden Beispiel protokollieren (d.h. niederschreiben).

Angenommen Sie möchten Gespräche mit einem Mitarbeiter als Gedächtnisstütze aufzeichnen:

  1. Zu welchem (zulässigen) Zweck benötigen wir diese Funktion? – Um sich bei eventuellen Fragen an das Gespräch erinnern zu können (Anm.: die meisten Zwecke werden zulässig sein, unzulässig wäre z .B. eine heimliche Totalüberwachung der Mitarbeiter).
  2. Ist die Funktion geeignet, um den Zweck zu erfüllen? – Ja, man kann zu Stellen des Gesprächs springen.
  3. Gibt es nicht datenschutzfreundlichere Wege, die zum gleichen Ziel führen? – Ja, man könnte sich das Wichtigste protokollieren und bei Fragen zurückrufen.
  4. Welche Schutzmaßnahmen sollten ergriffen werden? – Entfällt, da Aufzeichnung nicht erforderlich.

Zwar könnten Sie auch eine Einwilligung der Mitarbeiter in die Aufzeichnung einholen. Allerdings müsste auch die Einwilligung auf ihre Erforderlichkeit geprüft werden, womit Sie zum gleichen Ergebnis kämen.

Anders könnte es aussehen, wenn z. B. Texte in einer Konferenz diktiert und wortgetreu, z. B. in einem Schreiben oder einer Pressemitteilung wiedergegeben werden sollen:

  1. Zu welchem Zweck benötigen wir diese Funktion? – Um die diktierten Texte abtippen zu können.
  2. Ist die Funktion geeignet, um den Zweck zu erfüllen? – Ja, man kann so sicherstellen, das Gesagte genau erfasst zu haben.
  3. Gibt es nicht datenschutzfreundlichere Wege, die zum gleichen Ziel führen? – Nein, man könnte zwar alles protokollieren und zurückrufen. Allerdings wäre die Häufigkeit der möglichen Fehler bei einem genau wiederzugebenden Text zu hoch.
  4. Welche Schutzmaßnahmen sollten ergriffen werden? Aufzeichnung nur im Audioformat, d.h. ohne Bild, wenn technisch möglich, Hinweis auf die Aufzeichnung und Rückfrage ob Mitarbeiter einverstanden ist (Die Bestätigung sollte mitaufgezeichnet werden). Löschung sofort nach Niederschrift (bzw. falls erforderlich, nach Freigabe) der Texte.

D.h. Sie sehen, dass der Einsatz von Video- und Onlinekonferenzdiensten kann nicht einheitlich, sondern muss pro Funktion und Zweck ihrer Nutzung beurteilt werden.

Hinweis: Sie können Sie sich unseres Erachtens auf die Corona-Krise als Argument berufen, wenn Sie die Protokollierung der Zulässigkeitsprüfung Ihrer Video- und Onlinekonferenzsoftware erst nachholen, wenn die Umstrukturierungen dazu Zeit lassen. Da diese Maßnahmen ebenfalls dem Schutz der Rechte Ihrer Kunden, Geschäftspartner und Mitarbeiter dienen, dürfen Sie jedoch nicht ganz auf sie verzichten.

Datenschutzhinweise

Sie sind dazu verpflichtet die Kommunikationsteilnehmer unter anderem über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Konferenzen oder Webinare zu informieren (Art. 12, 13 DSGVO).

Da Sie sowohl Ihre Mitarbeiter wie auch Ihre Kunden oder Geschäftspartner belehren müssen, empfiehlt sich diese Informationen in Ihrer regulären Datenschutzerklärung aufzunehmen. Auf die Datenschutzerklärung können Sie dann per Link z. B. auf Loginseiten oder in Einladungen zu einem Onlinemeeting hinweisen.

Wenn Sie eine Datenschutzerklärung mit unserem Datenschutzgenerator erstellen, können Sie die von Ihnen eingesetzten Dienste auswählen. Die Hinweise beinhalten Links zu den jeweiligen Datenschutzerklärungen und Bestätigungen des Datenschutzniveaus in Drittländern (z . B. Links zu den Privacy-Shield-Zertifikaten).
Wenn Sie eine Datenschutzerklärung mit unserem Datenschutz-Generator erstellen, können Sie die von Ihnen eingesetzten Dienste auswählen. Die Hinweise beinhalten Links zu den jeweiligen Datenschutzerklärungen und Bestätigungen des Datenschutzniveaus in Drittländern (z . B. Links zu den Privacy-Shield-Zertifikaten).

Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen sollten Sie ein Verzeichnis von Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Dort sollten Sie im Rahmen der aufgeführten Verarbeitungsprozesse auch den eingesetzten Konferenzdienst aufnehmen. Im Prinzip gehören dieselben Informationen hinein, wie in die Datenschutzerklärung.

Übersicht der Anbieter

Mit der folgenden Übersicht erhalten Sie die, für Ihre Prüfung der Nutzung der gewünschten Konferenzdienste erforderlichen Angaben:

 

Name Land Sicherstellung Datenschutzniveau im Drittland AV-Vertrag/DPA Datenschutzerklärung
Adobe Connect USA Privacy Shield Auf Anfrage Link
AnyMeeting USA Privacy Shield Auf Anfrage Link
Arkadin De Auf Anfrage Link
Cisco WebEx USA Standardschutzklauseln (SCC) Link Link
ClickMeeting Pl Im Kundenkonto Link
CITOmeeting (wolkesicher.de) De Angefragt Link
Discord USA Privacy Shield nicht angeboten Link
ecosero De Auf Anfrage Link
edudip De Im Kundenkonto Link
fastviewer De Link Link
Facebook Messenger Rooms IRL Standardvertragsklauseln nicht angeboten Link, Link
Google Hangouts / Meet IRL Privacy Shield (Bei Datentransfers in die USA) Link (automatisch mit AGB akzeptiert) Link
GoToMeeting USA Privacy Shield Link Link
Intercall Unified Meeting USA Privacy Shield Link Link
meetgreen De Auf Anfrage Link
meetyoo De Auf Anfrage Link
Microsoft Teams USA Privacy Shield Standardvertragsklauseln Link Link, Link
OnConsult De Im Kundenkonto Link
RED connect De Link Link
sichere-videokonferenz.de/ De Link Link
Skype for Business USA Privacy Shield Link Link, Link
Slack USA Privacy Shield Link Link
TeamViewer De Link (automatisch mit AGB akzeptiert) Link
Telekom – Conferencing & Collaboration DE Link Link
Twitch USA nicht angeboten Link
Whereby Nor – (EWR/DSGVO gilt auch in Norwegen) Link (automatisch mit AGB akzeptiert) Link
Wire Ch Anerkanntes Datenschutzniveau nicht angeboten Link
Zoom USA Privacy Shield und Standardschutzklauseln (SCC) In SCC enthalten Link
Hinweis: Bitte beachten Sie, dass wir nicht alle Datenschutzhinweise und Verträge en detail geprüft haben (auch wenn diese der Erfahrung nach in der Regel ausreichend sind). Des Weiteren heißt, dass ein AV-Vertrag nicht angeboten wird, nicht alleine, dass ein Dienst unwirksam ist. Er wird dann nicht “im Auftrag” erbracht, sondern ähnlich einer Telefonleitung zur Verfügung gestellt (auch wenn der Vergleich nicht streng juristisch gemeint ist). Dann ist kein AV-Vertrag erforderlich. Das gilt auch, wenn Sie ein Konferenztool selbst hosten (wie z. B. Jitsi) und somit keine Daten an externe Anbieter übermittelt werden (daher sind die sebstgehosteten Konferenztools nicht in der obigen Liste vorhanden). Ferner ist die Liste nicht abschließend. Wir haben uns hier an den von unseren Nutzern und Kunden gewünschten Tools orientiert.

Checkliste

Die folgenden Prüfungsmaßnahmen müssen Sie vor dem Einsatz von Video- und Onlinekonferenzanbietern beachten:

  1. Vorüberlegungen und Auswahl der Dienstleister
    • EU-Dienste vorziehen.
    • Dienste mit datenschutzfreundlichsten Einstellungen wählen.
  2. Beteiligung Betriebs- oder Personalrat sowie Datenschutzbeauftragte
  3. Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen
    • Angemessenes Datenschutzniveau (z. B. Schweiz, Israel, Kanada, Neuseeland).
    • Privacy-Shield-Zertifizierung eines US-Dienstes.
    • Abschluss von “EU Model Contract Clauses” (Standardschutzklauseln).
    • Einwilligung (kommt selten in Frage).
  4. Abschluss eines Auftragsverarbeitungsvertrages
    • Prüfung, ob weisungsgebundene Auftragsverarbeitung vorliegt.
    • Prüfung technischer und organisatorischer Maßnahmen.
    • Prüfung Subunternehmer.
  5. Datenschutzfreundliche Voreinstellungen  und Erforderlichkeitsprüfung
    • Je Funktion und Zweck prüfen und protokollieren:
    • (Zulässiger) Zweck der Funktion.
    • Eignung der Funktion für den Zweck.
    • Keine gleich geeigneten, aber datenschutzfreundlicheren Alternativen.
    • Mögliche Schutzmaßnahmen.
  6. Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten
  7. Hinweise in der Datenschutzerklärung

Hinweis: Bitte beachten Sie, dass die Checkliste Ihnen helfen soll, die Grundanforderungen zu erfüllen und häufig ausreichen wird. Allerdings empfehlen wir die Prüfung durch eine Fachperson, die auch die Umstände eines Einzelfalls berücksichtigen kann. Wir haben ferner nicht alle Datenschutzhinweise und Verträge geprüft.

Fazit

Auch wenn in Zeiten der Corona-Pandemie Vieles wichtiger ist als die DSGVO, so müssen Sie als Unternehmen oder Organisationen dennoch die gesetzlichen Vorgaben beachten.

Wenn Sie jedoch die Prüfung der Zulässigkeit der gewählten Dienste protokollieren, sofern erforderlich die Bestätigung der Mitarbeitervertretung einholen, Auftragsverarbeitungsverträge abschließen, die datenschutzfreundlichsten Einstellungen wählen und die Datenschutzerklärung ergänzen, wird der Einsatz der vorstehend genannten Konferenzdienste in der Praxis hinreichend sicher sein.

Kritik und Einzelfallprüfung

Allerdings müssen Sie mit Kritik seitens der Datenschützer rechnen, wenn Sie US-Dienste einsetzen, obwohl (aus deren Sicht gleichwertige) EU-Alternativen existieren. Daher sollten Sie genau begründen können, warum es gerade der US-Dienst sein soll.

Um im Einzelfall ganz sicher zu sein, sollten Sie die Prüfung daher am besten von einer Fachperson durchführen lassen (z. B. von Datenschutzbeauftragten oder spezialisierten Rechtsanwältinnen).

Update

  • 31.03.2020 – Hinweis auf das Verzeichnis von Verarbeitungstätigkeiten ergänzt. Neue Dienste “Adobe Connect” und “eudip”.
  • 04.04.2020 – Neue Dienste: “Telekom – Conferencing & Collaboration”.
  • 07.04.2020 – Neuer Link zum AV-Vertrag (DPA) von Zoom.
  • 16.04.2020 – Neuer Dienst Whereby.
  • 17.05.2020 – Teamviewer, Verweis auf AV-Vertrag in EULA; Link zum AV-Vertrag von Cisco Webex aktualisiert.
  • 27.05.2020 – ecosero und RED connect neu aufgenommen.
  • 08.06.2020 – SocialHub Meet neu aufgenommen.
  • 10.06.2020 – OnConsult, Facebook Messenger Rooms und Wire neu aufgenommen.
  • 16.07.2020 – Update nach Aufhebung des Privacy-Shields: Auch der Einsatz von Videokonferenztools ist betroffen, wenn diese Daten in den USA verbeiten. S. Beitrag EuGH: EU/US-Privacy Shield ist unwirksam – Was Unternehmen jetzt wissen müssen.
  • 03.02.2020 – sichere-videokonferenz.de und CITOmeeting wurden in der Anbieterübersicht neu aufgenommen.

Linktipps

Video mit FAQ zum Einsatz von Konferenztools

Facebook

Mit dem Laden des Beitrags akzeptieren Sie die Datenschutzerklärung von Facebook.
Mehr erfahren

Beitrag laden

Tipp für mehr Rechtssicherheit

Mit unserer DSGVO-Datenschutzerklärung können Sie Video- und Konferenztools generieren. Für den Nachweis über eine DSGVO-gerechte Unterrichtung der Mitarbeiter*innen über Datenschutzvorgaben, empfehlen wir eine “Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)” abzuschließen.
Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)

Kommentare

  3. Zum Selbsthosten und sozusagen als OpenSource-Alternativen gibt es noch Jitsi Meet (https://jitsi.org/jitsi-meet/) mit Tutorial (https://andersgood.de/blog/jitsi-meet-sichere-und-kostenfreie-videokonferenzen-im-browser) und BigBlueButton (https://bigbluebutton.org/) mit Tutorial (https://andersgood.de/blog/bigbluebutton-eine-selbstgehostete-gotowebinar-alternative).

    Beides – wenn korrekt eingestellt – datenschutztechnisch sicher und zuverlässig zu betreiben. Und es macht sogar Spaß, diese Tools zu verwenden 🙂

    Antworten

  4. Moin Herr Schwenke,
    vielen Dank für die tolle Zusammenstellung.
    Eine Ergänzung hätte ich noch:
    Die Verarbeitungstätigkeit muss noch im VVT aufgenommen werden.

    Herzliche Grüße
    aus Hamburg

    Antworten

  7. Hallo, danke für diese Info. Haben Sie auch was zu dem von Telekom angebotenen Conferencing und Collaboration?

    Vorab schon vielen Dank.
    Ulrich Zimmer

    Antworten

  8. Hallo Herr Dr. Schwenke,
    Videokonferenz Lösungen, um die Arbeit aus dem Homeoffice zu ermöglichen, gibt es viele. Von kostenlos bis billig und von unsicher bis sicher. Viele Anbieter sagen ihre Lösung ist durch Ende-zu-Ende-Verschlüsselung geschützt. Das ist schon mal besser als gar nichts. Grundsicherung sozusagen. Was aber alle Anbieter verschweigen ist, wie sich ihre Lösung bei Mehrpunkt-Videokonferenzen verhält. In dem Sie also mit mehreren Teilnehmern gleichzeitig konferieren, ist dann allen Cyberattacken Tür und Tor geöffnet und nur die verschlüsselte Kommunikationsverbindung zwischen Client und Server nützt nichts mehr.

    Nur Tixeo bietet die sicherste Videokonferenz-Technologie im Markt und ist von der CSPN (Nationale Cybersecurity Agentur Frankreich) und der ANSSI qualifiziert und zertifiziert. Kein anderer Anbieter hat vergleichbare Sicherheitsmechanismen, um ein bisher unerreichtes Vertraulichkeitsniveau für eine Multipoint-Kommunikation zu gewährleisten. Die Schwachstellen liegen bei anderen Lösungen trotz Verschlüsselung im Betrieb von Multipoint-Brücken, da dort die End-to-End-Verschlüsselung unterbrochen wird. Dies gilt ins besonders für ältere H.323 Lösungen, bzw. SIP basierten Videokonferenzsystemen. Tixeo’s einmalige SVC on Demand (Scalable Video Coding on Demand) Technology hat diese Schwachstelle nicht. Außerdem gibt es keine Notwendigkeit die Sicherheitsrichtlinien des Unternehmens zu ändern, da sich die Tixeo Lösung automatisch den vorhandenen Richtlinien anpasst. D.h., dass keine zusätzlichen Ports auf den Endgeräten (Windows oder MacOS) oder Netzwerkgeräten geöffnet werden müssen.
    Mehr unter https://www.tixeo.com/sichere-videokonferenzen/

    Antworten

  10. Hallo,

    auch ich danke erst einmal für die Übersicht!

    Interessant finde ich auch “Jami” (früher Ring): https://jami.net/

    Viber erklärt in seinen “Datenschutz”-Bestimmungen, dass es die Kontaktdaten des Telefons ausliest, obwohl die Firma in Luxemburg sitzt – allerdings eine Tochter von Rakuten ist. Was ist davon zu halten? (Wobei der gleiche Rechtsverstoß bei What’sApp ja offenbar keines für irgendjemanden ist).

    Zum Privacy Shield: Meines Wissens ist dieser, wenn es einem wirklich um den Schutz von Daten und nicht um rechtliche Aspekte geht, löchrig wie ein Schweizer Käse. Ist das richtig?

    Mit freundlichen Grüßen

    W.D.

    Antworten

  11. Habe Interesse an einer sicherem Tool für Videokonferenzen, jetzt wg. Corona.

    Könnt ihr nicht einfach eine sichere einfache und kostengünstiges Programm, APP empfehlen?
    Das was oben geschrieben wird, das ist sicher gut und richtig; aber vieles davon ist für mich völlig unverständlich und gerade jetzt: ich habe echt andere Sorgen, exixtenzielle, als das obige zu verstehen!
    Ich brauche ein sicheres Tool, installieren, 5 Funktionen und fertig,
    für alles andere habe ich keine Zeit!
    mit besten Grüßen und bleibt gesund! WB

    Antworten

  12. Hallo,

    danke für die Übersicht.
    Meine Frage geht Richtung Zoom.
    Kann man, angesichts der aufgetauchten Löcher und Datenübermittlungen, ein solches Tool weiterhin als DSGVO Konform ansehen?
    Der Tabelle nach wäre dem ja so – ehrlich gesagt, wäre ich derzeit komplett gegenteiliger Ansicht.

    Danke
    Michael

    Antworten

    1. Ja, man kann es als DSGVO-Konform ansehen, man kann aber auch einer anderen Meinung sein. Dann kommt es noch darauf an, welche Löcher und Datenübermittlungen gemeint sind. Pauschale Aussagen sind im Datenschutz selten möglich und vor allem, wenn sich die Sachlage so schnell wie bei Zoom ändert (Entfernung Facebook-SDK aus der App, Nachbesserung Datenschutzhinweise, etc.). Dann ist es auch eine Frage, in welchem Kontext der Einsatz erfolgt (Geschäftspartner, Kunden, Mitarbeiter oder gar Patienten) und ob welche Art der Nutzung (App, Desktop) gemeint ist.

      Antworten

  14. Vielen Dank für die hilfreiche Zusammenfassung.
    Bei Cisco Webex steht in der Spalte AV-Vertrag “in SCC enthalten”.
    Bedeutet das, dass durch die Standard-Schutzklauseln (Dokname: MASTER DATA PROTECTION AGREEMENT) kein AV-Vertrag geschlossen werden muss, sondern durch die einseitige Erklärung von Cisco zustande kommt?

    Antworten

    1. Richtig, hier gilt Art. 28 Abs. 7 DSGVO, wonach die AV-Regelungen in den SCC enthalten sein dürfen: “Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

      Antworten

  15. Danke für die gute Übersicht. Ich finde auf folgende Frage trotz intensiver Recherche keine Antwort:
    Nehmen wir an ich bin Veranstalter*in von Webinaren/Online-Trainings und nutze dafür einen Dienst wie gotowebinar oder Zoom. Beide installieren ja eine Anwendung auf dem Gerät der Teilnehmenden. Selbst wenn ich selbst den Datenaustausch mit den Diensten minimiere – um teilzunehmen müssen von den TN z.b. die E-Mailadressen beim Betreten des Meetingraumes angegeben werden. Mein Gefühl sagt mir, dass ich das potentiellen Teilnehmenden im Anmeldeformular und der Datenschutzerklärung mitteilen muss.
    Wie kann/muss ich Datenschutzerklärung und Teaser (im Anmeldeformular) richtig gestalten? Ich finde einfach keine Beispielformulierungen…

    Vielen Dank!
    Judith

    Antworten

  16. Wie ist bei TeamViewer das “Nicht angeboten” in der Spalte “Sicherstellung Datenschutzniveau im Drittland” zu verstehen?
    Gibt es keine Verarbeitung in einem Drittland und ist damit alls gut?
    Oder gibt es eine Verarbeitung in einem Drittland und TeamViewer bietet nichts zur Sicherstellung des Datenschutzniveaus, also nicht gut?

    Antworten

  17. a) Danke hierfür
    b) Sehe ich das Richtig, das bei Teamviewer auch das Angebot Blizz mitgemeint ist? (Ist ja der gleiche Anbieter)
    c) Gibt es auch etwas, das nicht nur der DSGVO konform sondern auch den Verschwiegenheitspflichten von Rechtsanwälten/Wirtschatfsprüfer/Steuerberatern gerecht wird? Sprich E2E Verschlüsselung und möglichst wenig Metadatenrauschen? Weil sowas richtiges habe ich noch nicht gefunden… …oder ich denke zu kompliziert.

    Vielen Dank!

    Antworten

    1. Dann entfallen jedoch die meisten Prüfungsschritte, da es in diesem Beitrag um den Einsatz von fremdgehosteten Diensten geht. Wenn man den Dienst selbst betreibt, dann muss man sich (als Herr der Daten) letztendlich nur um die Datensicherheit kümmern.

      Antworten

  20. Der CISCO-Link zu SCC ist eventuell nicht ganz passend. Adressiert sind “supplier” und “affiliates”. Auch in dem EU-Standardvertrag. Mir scheint, die Kunden sind hier nicht adressiert.

    Allerdings habe ich auch nach langer Suche keinen wirklich passenden AV-Vertrag gefunden. Muss ich erst einen Account für Webex erstellen?

    Antworten

  21. Bitte Slow Food Fast (https://www.slowfoodfast.de) nachtragen. Gibt es als PaaS Angebot, da erhält man seinen eigenen Server und kann alles den eigenen Wünschen entsprechend anpassen.
    Ein SaaS Angebot – also einfach nur einen Account wie bei Zoom, etc. – gibt es auch noch, auf Infos zum AV Vertrag warte ich noch. Die Datenschutzerklärung sieht angenehm übersichtlich aus!

    Antworten

  23. Hallo!
    Vielen Dank für die tolle Übersicht und die detaillierten Infos! Super, das macht es deutlich einfacher auf die DSGVO Konformität zu achten. 👍

    Eine kleine Anmerkung hätte ich allerdings:
    WHEREBY ist ein norwegischer und kein amerikanischer Dienst (mit Sitz in Norwegen) : Whereby will comply with Norwegian and EU privacy regulations. (siehe Webseite)

    Viele Grüße
    Gwendolin Rugen

    Antworten

  24. Ein weiterer Anbieter aus Deutschland ist https://onconsult.de
    Das Tool ist webbasiert und für die Teilnahme an Online Meetings ist keine Registrierung nötig, so fallen keine persönlichen Daten an. Einen AV Vertrag kann im Kundenkonto heruntergeladen werden

    Antworten

  25. Klasse Artikel mit vielen neuen Infos. Wir nutzen bei uns citomeeting.de, da die Server in Deutschland stehen. Wir sind mit dem DSGVO konformen Dienst sehr zufrieden.

    Antworten

  27. Gemäß o.g. Liste gibt es bei WebEx und Zoom SCCs. Dürfen beide Plattform trotz Entfall des EU US Privacy Shields weiter verwendet werden?

    Antworten

  28. Was hier echt krass fehlt, ist sichere-videokonferenz.de – das einzige kostenlose Tool (und “kostenlos” meint hier tatsächlich ohne jedwede Limits) bei dem die Berliner Beauftragte für Datenschutz und Informationsfreiheit keine rechtlichen Mängel gefunden hat (Quelle: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf)

    Ich bin echt schwer in love mit dem Tool.
    https://sichere-videokonferenz.de/pdf/vorstellung_sichere-videokonferenz.de.pdf

    Antworten

  29. Schöner Beitrag, ich hätte noch das Meeting Programm Wolkesicher.de auf die Liste getan, da ich es in meiner Firma verwende, sehr zufrieden bin und ich es daher nur empfehlen kann.

    Antworten

  30. Hallo,

    die Webinar-Plattform GoBrunch (https://gobrunch.com/) macht auch einen sehr guten Eindruck, ist sogar kostenlos, aber leider nicht mit gelistet.

    Der Anbieter ist wohl in Brasilien ansässig und ich habe irgendwo gelesen, dass dort das Datenschutzniveau auch stark angepasst wurde.

    Unter https://www.blog.gobrunch.com/privacy-policy stehen weitere Informationen zum Datenschutz zur Verfügung.

    Vielleicht kann man sich diesen Anbieter ja auch mal genauer anschauen.

    Vielen Dank.

    Antworten

  31. Ich würde noch zwei weitere Meeting-Lösungen für die Liste oben mit in den Ring werfen, die aus Europa kommen.

    Zum einen EyesOn. Dabei handelt es sich um eine Meetinglösung aus Österreich. AV-Vertrag gibt’s (https://help.eyeson.com/de/avv), Datenschutzerklärung ist auch vorhanden (https://www.eyeson.com/datenschutzinformation/?lang=de)

    Als zweites würde ich noch mit Alfaview ein deutsches Unternehmen mit erwähnen. Das Tool wurde von der Berliner Datenschutz-Beauftragten in ihrem letzten Bericht lobend erwähnt. Datenschutzerklärung (https://alfaview.com/de/privacy/) und AV-Vertrag (https://alfaview.com/de/adv-tom/) sind vorhanden.

    Antworten

  32. Ich nutze bei mir Wolkesicher.de als Cloud-Dienst das auf Nextcloud basiert. Der Preis ist einfach perfekt und DSGVO konform ist es auch.

    Antworten

  33. Bin ich eigentlich Verarbeiter, wenn ich Geschäftspartner zu einer Videokonferenz einlade? Der Eingeladene geht ja freiwillig und aufgrund eines eigenen Nutzungsvertrags mit dem Anbieter in die Konferenz.

    Antworten

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert