Videokonferenz-Tools

Eigentlich können wir es schon alle nicht mehr hören, viele scheuen sich auch nach wie vor davor, eine Webcam am Desktop-Rechner zu nutzen und viele greifen deutlich lieber zum Telefonhörer, als sich sichtbar für andere vor den Rechner zu setzen.

Wie auch immer sich einzelne zu Video-Konferenzen positionieren, müssen wir wohl neidlos anerkennen, dass uns Zoom, Teams & Co. doch deutlich darin unterstützt haben, das Alltagsgeschäft nicht vollständig zum Erliegen zu bringen und trotz der Pandemie mit Menschen in Kontakt zu sein – egal wo sie sich befinden. Ich persönlich habe auch erst in dieser Zeit Video-Konferenzsysteme insofern schätzen gelernt, als dass es um 9 Uhr möglich ist, mit einer Gruppe von Menschen aus München einen Workshop zu halten und um 11.30 Uhr mit einem Interessenten in Köln das Angebot durchzusprechen. Am Telefon wäre das so nicht möglich gewesen…

Da wir uns aber nun langfristig mit Video-Tools positionieren sollten, weil wir wissen, dass es Teil der Zukunft sein wird, sollten wir uns auch die richtigen Tools suchen, die sowohl gewissen Datenschutz- und IT-Sicherheitsstandards genügen. Aus diesem Grund möchte ich hier eine Checkliste mitgeben, anhand derer sich prüfen lässt, welche Tools in Frage kommen können.

  1. Beim Betrieb des Video-Tools über einen externen Dienstleister muss ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen werden. In diesem sollte der Anbieter gute Technische und organisatorische Maßnahmen aufführen, in denen mindestens die folgenden Dinge aufgeführt sind (siehe auch hier):
    • Die eingesetzte oder Teilnehmenden angebotene Software wurde auf Datenabflüsse überprüft. Dies schließt Diagnose- und Telemetriedaten oder sonstige Datenabflüsse z.B. an Hersteller ein.
    • Für die Übertragung der Videokonferenzdaten werden mindestens Transportverschlüsselungen nach dem Stand der Technik, entsprechend den einschlägigen Technischen Richtlinien des BSI, genutzt – auch in den s.g. Breakout Rooms.
    • Der Standort der Server des Tool-Anbieters sollte sich in der EU befinden.
    • Befindet sich der Standort nicht in der EU, dann muss der Anbieter entweder s.g. „Bindung Corporate Rules“ vorlegen, sich auf die EU-Standardvertragsklauseln (mit ergänzenden Maßnahmen in Sachen IT-Sicherheit) oder es muss sich beim Drittland um ein s.g. sicherer Drittstaat nach Beurteilung der Angemessenheit des Schutzniveaus durch die Kommission handeln. Dies ist auch umfassend hier beschrieben.
    • Es wird sichergestellt, dass der Hersteller und andere Dritte keinen Zugriff auf die verarbeiteten Daten, wie bspw. Nutzungsdaten, erhalten.
    • Es wird sichergestellt, dass nur berechtigte Personen auf eine Videokonferenzsitzung und deren Daten zugreifen können.
    • Die Nutzer werden mittels Nutzername und Passwort authentisiert oder mittels eines stärkeren Verfahrens, beispielsweise Zwei-Faktor-Authentisierung.
    • Nicht autorisierte Personen für diese Sitzung werden erkannt und können aktiv ausgeschlossen werden, noch bevor sie aktiv an der Videokonferenz teilnehmen können.
    • Technische Schwachstellen und sonstige Sicherheitslücken in Videokonferenzsystemen werden in einem angemessenen Zeitraum behoben.
    • Das Videokonferenzsystem ermöglicht die Einrichtung administrierender, moderierender, präsentierender und teilnehmenden Personen.
    • Die teilnehmenden Personen können ihr Mikrofon und ihre Kamera jederzeit deaktivieren. Ohne die Zustimmung der teilnehmenden Person kann deren Mikrofon und deren Kamera nicht aktiviert werden.
    • Vor Eintritt in die Konferenz sind Funktionen von Kamera, Mikrofon und das Teilen des Bildschirms deaktiviert und müssen erst von der teilnehmenden Person aktiviert werden.
    • Das Einstellen eines Hintergrundbildes ist möglich, so dass Einblicke in die Privatsphäre im Homeoffice des Teilnehmers unterbunden werden kann.
    • Es werden für die Bereitstellung des Dienstes nur die zwingend erforderlichen technischen und sonstigen Informationen verarbeitet.
    • Die Protokolldaten werden nur für den Zweck der Konferenz verarbeitet.
  2. Eine Rechtsgrundlage nach Art. 6 Abs. 1 lit a, b, e, f DSGVO für die Durchführung der Videokonferenz wurde festgelegt. Aufnahmen (Video/Audio) nur mit voriger Ankündigung und Einwilligung (nach Art. 6, Abs. 1, lit a DSGVO) der Teilnehmer. Gleiches gilt für Screenshots der Galerieansicht
  3. Die Teilnehmer werden nach Art. 13-15 DSGVO ausreichend detailliert über die Datenverarbeitung und die Betroffenenrechte informiert. Aufzeichnungsmöglichkeiten werden bei der Erfüllung der Informationspflichten auch erwähnt.
  4. Die Nutzer werden darüber belehrt, dass das (gerade auch heimliche) Mitschneiden von Video- und/oder Audiodaten, das Speichern und das Verbreiten solcher Aufnahmen strafbar sein kann. Die Empfänger eines Einladungslinks werden auf die Folgen einer nicht autorisierten Weitergabe des Links hingewiesen.
  5. Die Veranstaltung der Videokonferenz(en) wurde in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO aufgenommen.
  6. Audio- und Videodaten werden nur solange vom Aufzeichner und soweit verarbeitet, wie es für die Übermittlung der Nachrichten durch einen Dienstleister oder im Rahmen einer notwendigen Dokumentation erforderlich ist.

Jetzt wird es nochmal konkret. Anhand der oben beschriebenen Kriterien: Welche Video-Tools sind denn jetzt eigentlich ok und welche nicht? Unserer Ansicht nach werden die meisten oben genannten Kriterien von mindestens den folgenden Anbietern umgesetzt…

  • Jitsi
  • Big Blue Button
  • meetzi
  • sicherevideokonferenz.de
  • Cloud1X Meet

Mit Einschränkungen bzgl. des Nicht-Ausschlusses der Verwendung der Daten und deren Löschung durch den Anbieter sind folgende Lösungen laut Ampelsystem der Berliner BDI eingeschränkt verwendbar.

  • GoToMeeting
  • Cisco WebEx
  • Zoom (aber Vorsicht: keine Verschlüsselung im Whiteboard und in den Breakout-Rooms)
  • Microsoft Teams TeamViewer
  • Skype for Business

Verifizieren Sie dies jedoch noch einmal genau im Vorfeld der Nutzung über den Auftragsverarbeitungsvertrag mit dem Tool-Anbieter.

Grundsätzlich gilt: Zu Beginn der Pandemie haben die Aufsichtsbheörden möglicherweise noch ein Auge zugedrückt, davon ist jetzt nicht mehr auszugehen. Besondere Probleme treten immer wieder durch den Wegfall des Privacy Shield Abkommens zwischen der EU und den USA auf.

Verantwortliche sollten daher dringend prüfen, ob das jeweilige Tool den Anforderungen genügt und Auftragsverarbeitungsverträge nachholen. Sind diese seitens des Anbieters nicht verfügbar, ist eher davon Abstand zu nehmen bzw. grundsätzlich besser auf ein Tool mit Standort in der EU abzustellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.