Datenschutzkonferenz: Hohe Anforderungen an Videokonferenzsysteme

Die Datenschutzkonferenz von Bund und Ländern hat eine Orientierungshilfe für Videokonferenzdienste veröffentlicht. Für US-Lösungen bleibt wenig Spielraum.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 87 Beiträge

(Bild: vichie81 / Shutterstock.com)

Von
  • Stefan Krempl

Unternehmen, Behörden und andere Organisationen können weit verbreite Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx auch in Zeiten der Coronavirus-Pandemie nicht ohne Weiteres verwenden. Die Datenschutzbeauftragten von Bund und Ländern empfehlen in einer am Freitag veröffentlichten Orientierungshilfe, einschlägige Dienste von US-Anbietern vor einem Einsatz "sorgfältig zu prüfen".

"Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz in den USA und verarbeiten dort die Daten", konstatiert die Datenschutzkonferenz (DSK) in ihrer Handreichung. Nachdem der Europäische Gerichtshof (EuGH) jüngst den transatlantischen Privacy Shield" für ungültig erklärt habe, stehe dieses Instrument aber nicht mehr zur Verfügung, um einen angemessenen Schutz in die USA übermittelter persönlicher Informationen sicherzustellen.

Wer beim Datenexport auf die alternativen Standardvertragsklauseln setze, müsse "vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren", führen die Aufsichtsbehörden aus. Bei festgestellten Defiziten seien "zusätzliche Maßnahmen erforderlich", gegebenenfalls müsse der Transfer unterbleiben.

Es bedarf laut der DSK noch weiterer Analysen, um im Lichte der EuGH-Rechtsprechung "konkretere Aussagen" zu zusätzlichen Schutzvorkehrungen treffen zu können, heißt es weiter. Die gesonderte Prüfpflicht gelte auch, wenn der Vertragspartner eine europäische Tochtergesellschaft einer US-Firma sei oder wenn europäische Anbieter ihrerseits personenbezogene Daten in die USA übermittelten.

Zuvor waren die führenden Systeme aus Übersee bereits bei einem Kurztest der Berliner Datenschutzbeauftragten Maja Smoltczyk durchgefallen. Grünes Licht gab die Kontrolleurin dagegen für kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi Meet wie den Service von Netways oder sichere-videokonferenz.de. Positiv bewertete sie ferner die Tixeo Cloud, BigBlueButton-Instanzen von Werk21 sowie den Messenger Wire.

Am besten sei es, Konferenzdienste etwa mit Open-Source-Software selbst zu betreiben, arbeitet auch die DSK nun heraus. Verantwortliche müssten dann aber auch "für Betrieb und Wartung über ausreichende technische und personelle Kapazitäten verfügen und geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen". Dies könne für kleinere Institutionen herausfordernd sein.

Bei einem ebenfalls möglichen Betrieb durch einen externen Dienstleister ist der Analyse zufolge zu beachten, "dass die eingesetzte oder Teilnehmern angebotene Software auf Datenabflüsse an den Hersteller und dritte Stellen zu untersuchen ist". Dies schließe Diagnose- und Telemetriedaten ein. Entsprechendes "nach Hause telefonieren" müsse "unterbunden werden, soweit nicht eine Rechtsgrundlage hierfür besteht".

Nicht weniger kompliziert werde es, wenn institutionelle Nutzer auf einen "fertigen" Online-Dienst zurückgreifen, geben die Kontrolleure zu bedenken. "Der Verantwortliche muss die Einhaltung der Datenschutzgrundsätze durch Auswahl eines geeigneten Anbieters sicherstellen" sowie diesem entsprechende Anweisungen erteilen "und eigene Vorkehrungen treffen". Dazu habe er die vom Auftragsverarbeiter vorgelegten einschlägigen Verträge, Nutzungsbedingungen und Sicherheitsnachweise und auch dessen Datenschutzerklärung zu prüfen.

Wer eine Videokonferenz durchführen will, muss dem Papier zufolge generell zunächst ausloten, inwieweit er zu der damit verknüpften Verarbeitung einer Vielzahl personenbezogener Daten befugt sei. Dabei habe er "insbesondere den Grundsatz der Datensparsamkeit zu beachten". Soweit die Wahl auf das Werkzeug eines externen Anbieters falle, sei vorab "die datenschutzrechtliche Beziehung zu diesem klären".

Als Rechtsgrundlage für den Einsatz eines Videokonferenzdienstes kommt im Rahmen der Datenschutz-Grundverordnung (DSGVO) neben dem "legitimen Interesse" unter anderem eine informierte und freiwillige Einwilligung in Frage. Gerade im beruflichen oder im schulischen Kontext sei die Freiwilligkeit aber "oftmals zweifelhaft", hält die DSK fest. Dies gelte vor allem dann, wenn unverzichtbare Informationen, "ausschließlich im Rahmen einer Videokonferenz mitgeteilt werden".

Soweit Beschäftigte aus ihrem Homeoffice teilnehmen, stellt sich laut dem Dokument das Problem, dass andere Teilnehmende ohne Einwilligung der Mitarbeiter "keine Einblicke in deren Privatsphäre durch Bild oder Ton erhalten dürfen". Der Arbeitgeber müsse daher etwa neutrale Hintergründe bereitstellen. Eine "unvorteilhafte Kameraausrichtung, Mitnahme der Geräte in ungeeignete oder von Dritten belegte Räume, das unvorbereitete optische und/oder akustische Erscheinen Dritter in der Videokonferenz und ähnliche 'Pannen' sind zu vermeiden".

Auf 25 Seiten führen die Datenschützer viele weitere Punkte wie eine angemessene IT-Sicherheit auf, die es einzuhalten gelte. Zum Zeitpunkt der Arbeit an dem Papier seien etwa Ende-zu-Ende-verschlüsselnde Lösungen, die diese Anforderungen erfüllten und Videokonferenzen für eine höhere Anzahl von Teilnehmern "auch dann ermöglichen, wenn diesen an den von ihnen genutzten Endpunkten nur eine geringe oder variierende Bandbreite und Rechenleistung zur Verfügung steht, noch nicht marktgängig". Daher könne momentan eine Transportverschlüsselung genügen, um die gesetzlichen Auflagen zu erfüllen, sofern durch kompensierende Maßnahmen ein angemessenes Schutzniveau gewährleistet werde.

"Nur berechtigte Personen sollten auf eine Videokonferenzsitzung und deren Daten zugreifen können", schreiben die Verfasser. Drohten hohe Risiken für die Rechte und Freiheiten der Teilnehmer, müsse "zumindest eine Zwei-Faktor-Authentisierung nach dem Stand der Technik erfolgen".

(bme)