Tipps zu Videokonferenztools

Telefon- und Videokonferenzen gehören seit kurzem bei vielen von uns zum Alltag im Homeoffice.
Was vor nicht allzu langer Zeit noch von vielen Unternehmen aus verschiedensten Gründen einfach noch „gar nicht funktioniert“ hat und einfach unpraktisch war, ist heute total normal.
Mit einigen Anforderungen, die, wenn man sie beachtet, die Unternehmen nicht mehr sorgenvoll die Mitarbeiter*innen ins Homeoffice schicken müssen, ist es möglich, datenschutzkonform zu kommunizieren.

Daher ist es besonders wichtig ein Videokonferenz-Tool implementiert zu haben und doch den Schutz von personenbezogenen Daten und auch den von Unternehmensgeheimnissen nicht aus dem Auge zu verlieren.

Datenschutzrechtliche Grundlage und vertragliche Vorkehrungen

Als Rechtsgrundlage für den Einsatz im Unternehmen ist die Notwendigkeit einer Einbindung des Betriebsrats, sowie eines Abschlusses einer Vereinbarung über die Auftragsverarbeitung bei SaaS (Software as a Service) erforderlich.

Anforderungen an Video-Tools

Nicht zwangsläufig müssen Videokonferenzen für Unternehmen ein Sicherheitsrisiko darstellen. Allerdings sind für Videokonferenzen im Business eingesetzte Tools diversen Anforderungen entsprechen. Bei der Auswahl sollten folgende Punkte berücksichtigt werden bzw. folgende Fragen beantwortet werden:

  • Eigen-Fremdlösung: Entscheidung zwischen unternehmenseigene Videochat-Tool oder einer Saas-Lösung (Software as a  Service)
  • Spezielle Versionen: Ist ggf. eine Business Version (und damit einhergehend höhere Sicherheitsstandards) des Tools verfügbar?
  • Hosting: Wo erfolgt das Hosting? Wenn möglich Video-Programme aus Deutschland / EU einsetzen (unterliegen der DSGVO und bieten ein angemessenes Schutzniveaus
  • Übermittlung der Daten: Anbieter außerhalb der EU oder Europäischen Wirtschaftsraums?
    • Werden bei dessen Nutzung in diese sogenannte „Drittländer“ übermittelt, muss VORAB geklärt werden, ob das jeweilige Land oder der Anbieter ein angemessenes Schutzniveau bietet (Angemessenheitsbeschluss der EU,Privacy Shield-Zertifizierungen von US-Unternehmen) oder ob andere geeignete Garantien des Anbieters bestehen (Abschluss von Standarddatenschutzklauseln, Binding Corporate Rules)
  • Auftragsverarbeitungsvertrag abschließen: Grundsätzlich ist mit einem Saas-Anbieter ein Auftragsverarbeitungsvertrag abzuschließen (Art. 28, DSGVO

Datensicherheit durch technische und organisatorische Maßnahmen

Ist die Entscheidung auf ein Tool auf den nach oben genannten Kriterien gefallen, müssen weitere technisch-organisatorische Maßnahmen zur Datensicherheit beachtet werden:

  • Verschlüsselung: Dabei gilt es im Einzelfall zu bestimmen welche Art von Verschlüsselung benötigt wird, dies hängt letztlich von der Art der Daten ab die verarbeitet werden soll.
  • Business-Version: Für die Verwendung im Unternehmen eignen sich nicht Tools, die für den privaten Einsatz gedacht sind. Zum Beispiel sind Apps wie WhatsApp oder FaceTime grundsätzlich ungeeignet.
  • Beschränkung von Logfiles: Logfiles sollten nur soweit diese erforderlich sind erstellt werden. Diese können auch für die Fehlerbehebung durch den Dienstleister notwendig sein. Es kommt jedoch darauf an, dass die Daten dann nur zu diesem Zweck verwendet werden und nach Wegfall des Zwecks wieder gelöscht werden.
  • Chatverläufe und Dateiaustausch: Auch hier ist sicherzustellen, dass diese nur für den benötigten Zeitraum zur Verfügung stehen und danach automatisch gelöscht werden. Beim Chat dürfte dies nach Ende der Videokonferenz der Fall sein. Bei Dateiaustausch kann z.B. ein Zeitraum von wenigen Stunden oder einem Tag gewählt werden, innerhalb dessen die Mitarbeiter Zeit haben die Daten herunterzuladen und anderweitig abzulegen. Ergänzend sollte als organisatorische Maßnahme geregelt werden welche Arten von Dokumenten (nicht) über das Tool geteilt werden dürfen. Dies kann sowohl als Black- oder als Whitelist ausgestaltet werden.
  • Möglichkeit, Aufnahmen der Videokonferenz zu regulieren: Viele Tools bieten mittlerweile die Möglichkeit die Videokonferenz aufzunehmen. Dies dürfte in den meisten Fällen jedoch nur mit einer Einwilligung aller Teilnehmer zulässig sein. Daher sollte das Tool so eingestellt werden können, dass vor Start der Aufnahme bei allen Teilnehmern eine Nachricht mit den nötigen Informationen erscheint, sowie die Option, zuzustimmen oder abzulehnen. Mit Ihrem DSB können Sie dazu abstimmen, ob und wie dabei die Anforderungen der DSGVO an eine Einwilligung erfüllt werden können. Zudem wird eine Aufzeichnung wohl stets den Ton umfassen und wird damit bei fehlender Zustimmung sogar regelmäßig wegen der Verletzung der Vertraulichkeit des Wortes nach § 201 Abs. 1 StGB strafbar sein.
  • Einsatz bei Bewerbungsverfahren: Auch wenn Bewerbungsverfahren wohl vermehrt nicht mehr aktiv betrieben werden, um eine Verbreitung des Virus zu vermeiden. Sollten Bewerbungsgespräche via Videokonferenz durchgeführt werden, so sollten Sie dies im Voraus sorgfältig prüfen.
  • Blurr-Möglichkeit: Zudem bieten Videokonferenz-Tools teilweise die Möglichkeit, den Hintergrund vollständig auszugrauen.
  • Einrichtung von Zugangsbeschränkungen (wie Login, oder bei Gästen nur mit Zustimmung des Organisators)*

*Auszüge aus Fachbeitrag “Videokonferenz-Tools: Tipps zur Auswahl und Verwendung”, 18.03.2020

Übersicht gängiger Videokonferenztool-Anbieter

Name Land
(Serverstandorte)
Sicherheitsstellung Datenschutzniveau im Drittland
(Privacy Shield
Standardschutzklauseln (SCC) )
AV-Vertrag/Data Processing Agreement (DPA) Datenschutz-erklärung
Arkadin

 

Deutschland Entfällt Auf Anfrage Link
AnyMeeting

 

USA Privacy Shield Auf Anfrage Link
Cisco WebEx USA Privacy Shield

und Standardschutzklauseln

(SCC)

In SCC enthalten Link
ClickMeeting Polen Im Kundenkonto Link
Fastviewer

 

Deutschland Entfällt Link Link
GoToMeeting

 

USA Privacy Shield Link Link
Meetgreen

 

Deutschland Entfällt Auf Anfrage Link
Meetyou

 

Deutschland Entfällt Auf Anfrage Link
Microsoft Teams USA Privacy Shield Link Link, Link
Skype for Business USA Privacy Shield Link Link, Link
Teamviewer

 

USA Nicht angeboten Auf Anfrage Link
Zoom USA Privacy Shield

und Standardschutzklauseln

 

In SCC enthalten Link

Quelle: DSGVO-sicher? Videokonferenzen, Onlinemeetings und Webinare (mit Anbieterübersicht und Checkliste) von Dr. Thomas Schwenke/24. März 2020

Hinweis: Nicht alle Datenschutzhinweise und Verträge wurden en detail geprüft.
Des Weiteren ist die Liste nicht abschließend – Orientierung erfolgt über die von den Nutzern und Kunden eingesetzten Tools.

Videokonferenznetiquette

1. Sorgen Sie für eine ruhige Umgebung
2. Halten Sie entsprechende Unterlagen, wie Agenda bereit
3. Wählen Sie sich zum vereinbarten Termin zur Konferenz ein
4. Nennen Sie vor jedem Redebeitrag ihren Namen damit die anderen Teilnehmern sie identifizieren können
5. Reden Sie deutlich und machen Sie Sprechpausen, um den Teilnehmern das Verstehen zu vereinfachen
Mitarbeitersensibilisierung und Mitarbeiterschulungen helfen, das Bewusstsein für diese Formate der Kommunikation zu schärfen.
Im Zweifelsfall sollte jedes Tool vor der Nutzung von einem Datenschutzbeauftragten überprüft werden.
So würden Videokonferenzen im realen Leben aussehen

Photo by Annie Spratt on Unsplash
Quellen: PC-Welt, Computerwoche

Hinweis: Alle gemachten Angaben sind ohne rechtliche Gewähr und nur auf Basis der im Internet zugänglichen Informationen sowie Informationen der Softwarehersteller/ Dienstanbieter basierend. Die angegebenen Informationen stellen lediglich eine Momentaufnahme dar. Im Zweifelsfall muss immer eine eigene Recherche erfolgen.

Weitere Blogbeiträge:

InTo Consulting GmbH
Etage 100
Goldbacher Straße 100
63741 Aschaffenburg

+49 6021 4229860
mail@into-consulting.de

Datenschutz / Impressum

Mitgliedschaften und Partnerschaften in den Bereichen Datenschutz, Cybersicherheit, Bildung:

Datenschutz und Datenschutzbeauftragte für die Region Rhein-Main mit Frankfurt, Aschaffenburg u.v.w.
© InTo Consulting GmbH. Alle Rechte vorbehalten. Site by kunstwerk.

Haftungsausschluß für die externen Links auf dieser Seite
Trotz sorgfältiger Prüfung kann keine Verantwortung für die Inhalte der externen verlinkten Seiten übernommen werden, da diese sich nach der Linksetzung verändern können. Sollten Sie einen Link bemerken, der entweder nicht mehr funktioniert oder aber auf thematisch unpassende Inhalte verweist, senden Sie uns bitte eine E-Mail an mail(at)into-consulting.de