DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste)

Zum Schutz vor Infektion durch das Corona-Virus, müssen viele Mitarbeiter*innen ihre Arbeit vom Home-Office aus verrichten.

Trotzdem muss die Kommunikation untereinander, als auch mit den Kunden oder Geschäftspartnern aufrechterhalten werden. Daher wird der Einsatz von Diensten für Video- und Onlinekonferenzen, -Meetings oder Webinaren, wie z. B. Zoom, Skype oder Slack häufig zwingend notwendig.

Bei deren Nutzung müssen jedoch, auch trotz Krisenzeiten, die Vorgaben der DSGVO eingehalten werden. Wie Sie die Vorgaben erfüllen können und warum Sie schon bei der Auswahl der Dienste an sie denken sollten, erfahren Sie im folgenden Beitrag. Am Ende des Beitrags erhalten Sie eine Übersicht der Anbieter sowie eine zusammenfassende Checkliste.

Vorüberlegungen und Auswahl der Dienstleister

Die DSGVO schreibt einen “Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen” vor (Art. 25 DSGVO). In der Praxis müssen Sie daher die folgenden zwei Punkte schon bei der Auswahl des passenden Konferenzdienstes beachten:

  • EU-Dienste vorziehen – Gehen Sie immer den sichersten Weg und wenn z. B. ein Dienst aus den USA und ein gleichwertiger Dienst aus der EU zur Auswahl stehen, wählen Sie lieber den Dienst aus der EU.
  • Dienste mit datenschutzfreundlichsten Einstellungen wählen – Sie sollten Dienste mit den datenschutzfreundlichsten Verfahrens- und Einstellungsmöglichkeiten auswählen, u.a.:
  • Verschlüsselung – Übertragungen sollten verschlüsselt erfolgen.
  • Geschäftsnutzung – Die geschäftliche Nutzung sollte erlaubt sein (da datenschutzrechtliche Zusicherungen auf Geschäftskunden beschränkt sein können). Unter Umständen bieten auch nur bezahlte Versionen die erforderlichen Datenschutzfunktionen.
  • Freigaben – Bildschirmübertragung oder Aufzeichnung sollte eine ausdrückliche Zustimmung voraussetzen.
  • Protokolle und Aufzeichnungen – Gesprächsverläufe und Aufzeichnungen sollten grundsätzlich nach Gesprächsende gelöscht werden.
  • Profiling – Es sollten keine Verhaltensprofile der Teilnehmer gebildet werden oder diese Funktion sollte abgeschaltet werden können.

Beteiligung Betriebs- oder Personalrat sowie Datenschutzbeauftragte

Datenschutzbeauftragte sollten schon bei der Auswahl des passenden Dienstes involviert werden.

Dasselbe gilt, soweit vorhanden, für den Betriebs- oder den Personalrat, da sie dem Einsatz der Dienste am Ende zustimmen müssen (s. § 87 Abs. 1 Nr. 6 BetrVG). Die Zustimmung ist gesetzlich vorgeschrieben, da die Konferenzdienste sich zur Überwachung der Mitarbeiter objektiv eignen (auch wenn tatsächlich keine Überwachung geplant ist).

Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen

Als Drittländer werden Länder außerhalb der EU bezeichnet. Wenn Sie Anbieter aus Drittländern einsetzen, müssen Sie sicherstellen, dass das Datenschutzniveau in diesen Ländern den Anforderungen der DSGVO entspricht (Art. 44 bis 49 DSGVO).

Das können Sie zwar selten selbst überprüfen. Jedoch existieren formelle Verfahren, die eine für die Praxis hinreichende Verlässlichkeit des Datenschutzniveaus bieten:

  • EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Faröer Inseln, Guernsey, Japan, Kanada und Israel (z.T.)
  • Privacy-Shield-Zertifikat –  Ein angemessenes Datenschutzniveau können Sie bei Unternehmen aus den USA, die über ein Privacy-Shield-Zertifikat verfügen, annehmen.
  • Abschluss sog. „Standard Contractual Clauses (SCC)” – Diese vorgefertigten Standardschutzklauseln verpflichten den Vertragspartner zur Einhaltung des Europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden).
  • Vertraglich erforderliche Datentransfers – Auch wenn es eher selten der Fall sein wird, kann die Nutzung einer bestimmten Software mit einem Vertragspartner auch vertraglich vereinbart werden (wobei sichergestellt werden muss, dass der Vertragspartner auch weiß, dass die Daten in einem Drittland verarbeitet werden).
  • Einwilligungen der Betroffenen – Es ist zwar möglich, dass Sie Einwilligungen der Teilnehmer, z. B. der Kunden und Mitarbeiter einholen. Allerdings sind Mitarbeiter besonders geschützt und deren Einwilligungen grundsätzlich nur dann wirksam, wenn keine datenschutzfreundlicheren Dienste in Frage kamen (§ 26 Abs. 2 BDSG). D.h. Sie werden daher nachweisen müssen, dass ein EU-Dienst oder ein Dienst mit einem Privacy-Shield-Zertifikat oder Standardschutzklauseln nicht in Frage kam. Das dürfte eher selten der Fall sein.

Abschluss eines Auftragsverarbeitungsvertrages

Als Auftragsverarbeiter werden Dienstleister bezeichnet, die personenbezogene Daten Ihrer Kunden oder Mitarbeiter entsprechend Ihreren Weisungen nur für Sie verarbeiten.

Auch Anbieter von Video- und Onlinekonferenzdiensten sind grundsätzlich als Auftragsverarbeiter anzusehen, so dass Sie die folgenden Punkte beachten müssen:

  • Abschluss Auftragsverarbeitungsvertrag – Mit Auftragsverarbeitern müssen Sie Auftragsverarbeitungsverträge nach Maßgabe des Art. 28 DSGVO abschließen. Die meisten Anbieter bieten derartige Vereinbarungen, die Sie in der nachfolgenden Übersicht der Video- und Onlinekonferenzdienste finden, an.
  • Prüfung technischer und organisatorischer Maßnahmen sowie Subunternehmer  – Ferner müssen Sie die Angaben zu technischen und organisatorischen Maßnahmen (z. B. Pseudonymisierung, Backupverfahren, Verschlüsselungen, etc., Art. 32 DSGVO) sowie eingesetzten Subunternehmern prüfen (in der Praxis wird Ihnen an dieser Stelle sehr wahrscheinlich keine Unregelmäßigkeit auffallen, aber Sie sollten die Prüfung dennoch durchführen).

Datenschutzfreundliche Voreinstellungen

Wenn Sie die Dienste einsetzen, sollten Sie die Einstellungen möglichst datenschutzfreundlich auswählen (“Datenschutz durch datenschutzfreundliche Voreinstellungen“, Art. 25 Abs. 2 DSGVO).

Insbesondere sollten Sie sich bei jeglichen Tracking-, Beobachtungs-, Protokoll-, Screen-Sharing- und Aufzeichnungs-Funktionen immer fragen, ob diese Funktionen wirklich erforderlich sind. Dazu sollten Sie bei jeder Funktion eine sog. Erforderlichkeitsprüfung durchführen.

Beispiele: Erforderlichkeitsprüfung

Sie sollten in jedem Fall das folgende Prüfungsmuster anwenden und zu Nachweiszwecken wie in dem folgenden Beispiel protokollieren (d.h. niederschreiben).

Angenommen Sie möchten Gespräche mit einem Mitarbeiter als Gedächtnisstütze aufzeichnen:

  1. Zu welchem (zulässigen) Zweck benötigen wir diese Funktion? – Um sich bei eventuellen Fragen an das Gespräch erinnern zu können (Anm.: die meisten Zwecke werden zulässig sein, unzulässig wäre z .B. eine heimliche Totalüberwachung der Mitarbeiter).
  2. Ist die Funktion geeignet, um den Zweck zu erfüllen? – Ja, man kann zu Stellen des Gesprächs springen.
  3. Gibt es nicht datenschutzfreundlichere Wege, die zum gleichen Ziel führen? – Ja, man könnte sich das Wichtigste protokollieren und bei Fragen zurückrufen.
  4. Welche Schutzmaßnahmen sollten ergriffen werden? – Entfällt, da Aufzeichnung nicht erforderlich.

Zwar könnten Sie auch eine Einwilligung der Mitarbeiter in die Aufzeichnung einholen. Allerdings müsste auch die Einwilligung auf ihre Erforderlichkeit geprüft werden, womit Sie zum gleichen Ergebnis kämen.

Anders könnte es aussehen, wenn z. B. Texte in einer Konferenz diktiert und wortgetreu, z. B. in einem Schreiben oder einer Pressemitteilung wiedergegeben werden sollen:

  1. Zu welchem Zweck benötigen wir diese Funktion? – Um die diktierten Texte abtippen zu können.
  2. Ist die Funktion geeignet, um den Zweck zu erfüllen? – Ja, man kann so sicherstellen, das Gesagte genau erfasst zu haben.
  3. Gibt es nicht datenschutzfreundlichere Wege, die zum gleichen Ziel führen? – Nein, man könnte zwar alles protokollieren und zurückrufen. Allerdings wäre die Häufigkeit der möglichen Fehler bei einem genau wiederzugebenden Text zu hoch.
  4. Welche Schutzmaßnahmen sollten ergriffen werden? Aufzeichnung nur im Audioformat, d.h. ohne Bild, wenn technisch möglich, Hinweis auf die Aufzeichnung und Rückfrage ob Mitarbeiter einverstanden ist (Die Bestätigung sollte mitaufgezeichnet werden). Löschung sofort nach Niederschrift (bzw. falls erforderlich, nach Freigabe) der Texte.

D.h. Sie sehen, dass der Einsatz von Video- und Onlinekonferenzdiensten kann nicht einheitlich, sondern muss pro Funktion und Zweck ihrer Nutzung beurteilt werden.

Datenschutzhinweise

Sie sind dazu verpflichtet die Kommunikationsteilnehmer unter anderem über die Zwecke, Arten und den Umfang der Verarbeitung ihrer personenbezogenen Daten im Rahmen der Konferenzen oder Webinare zu informieren (Art. 12, 13 DSGVO).

Da Sie sowohl Ihre Mitarbeiter wie auch Ihre Kunden oder Geschäftspartner belehren müssen, empfiehlt sich diese Informationen in Ihrer regulären Datenschutzerklärung aufzunehmen. Auf die Datenschutzerklärung können Sie dann per Link z. B. auf Loginseiten oder in Einladungen zu einem Onlinemeeting hinweisen.

Wenn Sie eine Datenschutzerklärung mit unserem Datenschutzgenerator erstellen, können Sie die von Ihnen eingesetzten Dienste auswählen. Die Hinweise beinhalten Links zu den jeweiligen Datenschutzerklärungen und Bestätigungen des Datenschutzniveaus in Drittländern (z . B. Links zu den Privacy-Shield-Zertifikaten).
Wenn Sie eine Datenschutzerklärung mit unserem Datenschutz-Generator erstellen, können Sie die von Ihnen eingesetzten Dienste auswählen. Die Hinweise beinhalten Links zu den jeweiligen Datenschutzerklärungen und Bestätigungen des Datenschutzniveaus in Drittländern (z . B. Links zu den Privacy-Shield-Zertifikaten).

Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen sollten Sie ein Verzeichnis von Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Dort sollten Sie im Rahmen der aufgeführten Verarbeitungsprozesse auch den eingesetzten Konferenzdienst aufnehmen. Im Prinzip gehören dieselben Informationen hinein, wie in die Datenschutzerklärung.

Übersicht der Anbieter

Mit der folgenden Übersicht erhalten Sie die, für Ihre Prüfung der Nutzung der gewünschten Konferenzdienste erforderlichen Angaben:

NameLandSicherstellung Datenschutzniveau im DrittlandAV-Vertrag/DPADatenschutzerklärung
Adobe ConnectUSAPrivacy ShieldAuf AnfrageLink
AnyMeetingUSAPrivacy ShieldAuf AnfrageLink
ArkadinDEAuf AnfrageLink
Cisco WebExUSAPrivacy Shield und Standardschutzklauseln (SCC)In SCC enthaltenLink
ClickMeetingPlIm KundenkontoLink
DiscordUSAPrivacy Shieldnicht angebotenLink
edudipDeIm KundenkontoLink
fastviewerDeLinkLink
Google Hangouts / MeetUSAPrivacy ShieldLink (automatisch mit AGB akzeptiert)Link
GoToMeetingUSAPrivacy ShieldLinkLink
Intercall Unified MeetingUSAPrivacy ShieldLinkLink
meetgreenDeAuf AnfrageLink
meetyooDeAuf AnfrageLink
Microsoft TeamsUSAPrivacy ShieldLinkLink, Link
Skype for BusinessUSAPrivacy ShieldLinkLink, Link
SlackUSAPrivacy ShieldLinkLink
TeamViewerDeNicht angebotenAuf AnfrageLink
TwitchUSAnicht angebotenLink
ZoomUSAPrivacy Shield und Standardschutzklauseln (SCC)In SCC enthaltenLink

Checkliste

Die folgenden Prüfungsmaßnahmen müssen Sie vor dem Einsatz von Video- und Onlinekonferenzanbietern beachten:

  1. Vorüberlegungen und Auswahl der Dienstleister
    • EU-Dienste vorziehen.
    • Dienste mit datenschutzfreundlichsten Einstellungen wählen.
  2. Beteiligung Betriebs- oder Personalrat sowie Datenschutzbeauftragte
  3. Datenschutzniveau bei Anbietern aus Drittländern (z. B. USA) sicherstellen
    • Angemessenes Datenschutzniveau (z. B. Schweiz, Israel, Kanada, Neuseeland).
    • Privacy-Shield-Zertifizierung eines US-Dienstes.
    • Abschluss von “EU Model Contract Clauses” (Standardschutzklauseln).
    • Einwilligung (kommt selten in Frage).
  4. Abschluss eines Auftragsverarbeitungsvertrages
    • Prüfung, ob weisungsgebundene Auftragsverarbeitung vorliegt.
    • Prüfung technischer und organisatorischer Maßnahmen.
    • Prüfung Subunternehmer.
  5. Datenschutzfreundliche Voreinstellungen  und Erforderlichkeitsprüfung
    • Je Funktion und Zweck prüfen und protokollieren:
    • (Zulässiger) Zweck der Funktion.
    • Eignung der Funktion für den Zweck.
    • Keine gleich geeigneten, aber datenschutzfreundlicheren Alternativen.
    • Mögliche Schutzmaßnahmen.
  6. Aufnahme in das Verzeichnis von Verarbeitungstätigkeiten
  7. Hinweise in der Datenschutzerklärung

Fazit

Auch wenn in Zeiten der Corona-Pandemie Vieles wichtiger ist als die DSGVO, so müssen Sie als Unternehmen oder Organisationen dennoch die gesetzlichen Vorgaben beachten.

Wenn Sie jedoch die Prüfung der Zulässigkeit der gewählten Dienste protokollieren, sofern erforderlich die Bestätigung der Mitrabeitervertretung einholen, Auftragsverarbeitungsverträge abschließen, die datenschutzfreundlichsten Einstellungen wählen und die Datenschutzerklärung ergänzen, wird der Einsatz der vorstehend genannten Konferenzdienste in der Praxis hinreichend sicher sein.

Kritik und Einzelfallprüfung

Allerdings müssen Sie mit Kritik seitens der Datenschützer rechnen, wenn Sie US-Dienste einsetzen, obwohl (aus deren Sicht gleichwertige) EU-Alternativen existieren. Daher sollten Sie genau begründen können, warum es gerade der US-Dienst sein soll.

Um im Einzelfall ganz sicher zu sein, sollten Sie die Prüfung daher am besten von einer Fachperson durchführen lassen (z. B. von Datenschutzbeauftragten oder spezialisierten Rechtsanwältinnen).

Update

31.03.2020 – Hinweis auf das Verzeichnis von Verarbeitungstätigkeiten ergänzt.

Linktipps

Video mit FAQ zum Einsatz von Konferenztools

Facebook

Mit dem Laden des Beitrags akzeptieren Sie die Datenschutzerklärung von Facebook.
Mehr erfahren

Beitrag laden

Tipp für mehr Rechtssicherheit

Mit unserer DSGVO-Datenschutzerklärung können Sie Video- und Konferenztools generieren. Für den Nachweis über eine DSGVO-gerechte Unterrichtung der Mitarbeiter*innen über Datenschutzvorgaben, empfehlen wir eine “Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)” abzuschließen.
Vereinbarung über Datenschutz im Home- und Mobile-Office (Telearbeit)


Kommentare

  1. Zum Selbsthosten und sozusagen als OpenSource-Alternativen gibt es noch Jitsi Meet (https://jitsi.org/jitsi-meet/) mit Tutorial (https://andersgood.de/blog/jitsi-meet-sichere-und-kostenfreie-videokonferenzen-im-browser) und BigBlueButton (https://bigbluebutton.org/) mit Tutorial (https://andersgood.de/blog/bigbluebutton-eine-selbstgehostete-gotowebinar-alternative).

    Beides – wenn korrekt eingestellt – datenschutztechnisch sicher und zuverlässig zu betreiben. Und es macht sogar Spaß, diese Tools zu verwenden 🙂

  2. Moin Herr Schwenke,
    vielen Dank für die tolle Zusammenstellung.
    Eine Ergänzung hätte ich noch:
    Die Verarbeitungstätigkeit muss noch im VVT aufgenommen werden.

    Herzliche Grüße
    aus Hamburg

  3. Hallo, danke für diese Info. Haben Sie auch was zu dem von Telekom angebotenen Conferencing und Collaboration?

    Vorab schon vielen Dank.
    Ulrich Zimmer

  4. Hallo Herr Dr. Schwenke,
    Videokonferenz Lösungen, um die Arbeit aus dem Homeoffice zu ermöglichen, gibt es viele. Von kostenlos bis billig und von unsicher bis sicher. Viele Anbieter sagen ihre Lösung ist durch Ende-zu-Ende-Verschlüsselung geschützt. Das ist schon mal besser als gar nichts. Grundsicherung sozusagen. Was aber alle Anbieter verschweigen ist, wie sich ihre Lösung bei Mehrpunkt-Videokonferenzen verhält. In dem Sie also mit mehreren Teilnehmern gleichzeitig konferieren, ist dann allen Cyberattacken Tür und Tor geöffnet und nur die verschlüsselte Kommunikationsverbindung zwischen Client und Server nützt nichts mehr.

    Nur Tixeo bietet die sicherste Videokonferenz-Technologie im Markt und ist von der CSPN (Nationale Cybersecurity Agentur Frankreich) und der ANSSI qualifiziert und zertifiziert. Kein anderer Anbieter hat vergleichbare Sicherheitsmechanismen, um ein bisher unerreichtes Vertraulichkeitsniveau für eine Multipoint-Kommunikation zu gewährleisten. Die Schwachstellen liegen bei anderen Lösungen trotz Verschlüsselung im Betrieb von Multipoint-Brücken, da dort die End-to-End-Verschlüsselung unterbrochen wird. Dies gilt ins besonders für ältere H.323 Lösungen, bzw. SIP basierten Videokonferenzsystemen. Tixeo’s einmalige SVC on Demand (Scalable Video Coding on Demand) Technology hat diese Schwachstelle nicht. Außerdem gibt es keine Notwendigkeit die Sicherheitsrichtlinien des Unternehmens zu ändern, da sich die Tixeo Lösung automatisch den vorhandenen Richtlinien anpasst. D.h., dass keine zusätzlichen Ports auf den Endgeräten (Windows oder MacOS) oder Netzwerkgeräten geöffnet werden müssen.
    Mehr unter https://www.tixeo.com/sichere-videokonferenzen/

  5. Hallo,

    auch ich danke erst einmal für die Übersicht!

    Interessant finde ich auch “Jami” (früher Ring): https://jami.net/

    Viber erklärt in seinen “Datenschutz”-Bestimmungen, dass es die Kontaktdaten des Telefons ausliest, obwohl die Firma in Luxemburg sitzt – allerdings eine Tochter von Rakuten ist. Was ist davon zu halten? (Wobei der gleiche Rechtsverstoß bei What’sApp ja offenbar keines für irgendjemanden ist).

    Zum Privacy Shield: Meines Wissens ist dieser, wenn es einem wirklich um den Schutz von Daten und nicht um rechtliche Aspekte geht, löchrig wie ein Schweizer Käse. Ist das richtig?

    Mit freundlichen Grüßen

    W.D.

  6. Habe Interesse an einer sicherem Tool für Videokonferenzen, jetzt wg. Corona.

    Könnt ihr nicht einfach eine sichere einfache und kostengünstiges Programm, APP empfehlen?
    Das was oben geschrieben wird, das ist sicher gut und richtig; aber vieles davon ist für mich völlig unverständlich und gerade jetzt: ich habe echt andere Sorgen, exixtenzielle, als das obige zu verstehen!
    Ich brauche ein sicheres Tool, installieren, 5 Funktionen und fertig,
    für alles andere habe ich keine Zeit!
    mit besten Grüßen und bleibt gesund! WB

  7. Hallo,

    danke für die Übersicht.
    Meine Frage geht Richtung Zoom.
    Kann man, angesichts der aufgetauchten Löcher und Datenübermittlungen, ein solches Tool weiterhin als DSGVO Konform ansehen?
    Der Tabelle nach wäre dem ja so – ehrlich gesagt, wäre ich derzeit komplett gegenteiliger Ansicht.

    Danke
    Michael

    1. Ja, man kann es als DSGVO-Konform ansehen, man kann aber auch einer anderen Meinung sein. Dann kommt es noch darauf an, welche Löcher und Datenübermittlungen gemeint sind. Pauschale Aussagen sind im Datenschutz selten möglich und vor allem, wenn sich die Sachlage so schnell wie bei Zoom ändert (Entfernung Facebook-SDK aus der App, Nachbesserung Datenschutzhinweise, etc.). Dann ist es auch eine Frage, in welchem Kontext der Einsatz erfolgt (Geschäftspartner, Kunden, Mitarbeiter oder gar Patienten) und ob welche Art der Nutzung (App, Desktop) gemeint ist.

  8. Vielen Dank für die hilfreiche Zusammenfassung.
    Bei Cisco Webex steht in der Spalte AV-Vertrag “in SCC enthalten”.
    Bedeutet das, dass durch die Standard-Schutzklauseln (Dokname: MASTER DATA PROTECTION AGREEMENT) kein AV-Vertrag geschlossen werden muss, sondern durch die einseitige Erklärung von Cisco zustande kommt?

    1. Richtig, hier gilt Art. 28 Abs. 7 DSGVO, wonach die AV-Regelungen in den SCC enthalten sein dürfen: “Die Kommission kann im Einklang mit dem Prüfverfahren gemäß Artikel 93 Absatz 2 Standardvertragsklauseln zur Regelung der in den Absätzen 3 und 4 des vorliegenden Artikels genannten Fragen festlegen.

Fügen Sie einen Kommentar hinzu

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.