ULD zu Datenschutzkonforme Videokonferenzen im Homeoffice

Videokonferenzlösungen haben durch den Corona-Homeoffice-Trend einen enormen Nachfrageschub erfahren. Doch nicht alle Anwendungen sind rechtlich datenschutzkonform und technisch sicher. Datenschutzbehörden haben in Bewertungen erneut auf Schwachstellen hingewiesen und bieten Unternehmen auch Downloads mit Hilfestellungen an.

Mit der Corona-Pandemie hat es einen bis dahin unerreichten Run auf Homeoffice-Lösungen gegeben und damit auch auf Videokonferenzen. Für viele Unternehmen und Organisationen war die massive Verlagerung von Büro-Arbeitsplätzen in die Wohnungen der Mitarbeiter noch weitgehend Neuland. Als Problem erweisen sich dabei immer wieder Fragen des Datenschutzes, denn bei vielen Videokonferenzdiensten gibt es hier mehr oder weniger große Mängel.

Berliner Datenschutzbehörde überprüft Videokonferenzlösungen erneut

Die Landesbeauftragte für den Datenschutz  in Berlin, Maja Smoltczyk, hat daher jetzt bereits ein zweites Mal überprüft, wie gut oder schlecht die Videokonferenzlösungen bekannter und unbekannter Anbieter die rechtlichen Datenschutzvorgaben beachten. Einbezogen in die Überprüfung wurden ausschließlich solche Videokonferenzlösungen, die als SaaS-Dienste (Software as a Service) angeboten werden. Dazu gehören zahlreiche der bekannten Dienste von Zoom über Skype und Teams (Microsoft) und Google Meet bis zu verschiedenen Angeboten auf Basis von Cisco Webex oder Jitsi.

Bereits in der ersten Untersuchung schnitten viele der Angebote im Hinblick auf die Einhaltung des Datenschutzes eher schlecht ab. In der zusammenfassenden Bewertung erhielten diese dann das Symbol der roten Ampel, mit der vor einer Verwendung dieser Lösungen gewarnt wurde. Und auch die neue Überprüfung  hat keine wesentliche Verbesserung ergeben.

Behörde bewertet bekannte Videokonferenzlösungen mit mangelhaft  

Nach wie vor stuft die Behörde insbesondere viele der bekannten Dienste als mangelhaft ein. So sind etwa die beiden Videokonferenzlösungen Skype und Teams von Microsoft ebenso mit einer roten Ampel versehen worden wie Google Meet, Cisco Webex Meetings oder auch Zoom.

Durchgefallen sind diese Dienste bereits bei der rechtlichen Prüfung, sodass die technischen Aspekte (etwa im Hinblick auf Verschlüsselung und sonstige Datensicherheit) hier bei der Gesamtbeurteilung keine große Rolle mehr spielten. Denn nach Auffassung der Behörde liegen bei diesen Angeboten Mängel vor,

„die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsbedingungen erfordert.“

Im Vergleich zur ersten Untersuchung hat sich damit nicht so viel geändert. Verschlechtert hat sich demnach sogar das Videokonferenztool  Cisco Webex Meeting, sowohl in seiner originären Variante als auch in der speziellen Form des Telekom-Angebots. Beide Versionen waren zuvor noch als Angebote mit „leicht behebbaren“ Mängeln eingestuft worden und daher mit einer gelben Ampel gekennzeichnet, nun ist auch hier aufgrund von Änderungen bei den Verträgen bzw. wegen problematischer Datenexporte die Ampel auf Rot umgesprungen.

Diese weniger bekannten Konferenz-Lösungen schnitten besser ab

Als aus rechtlicher Sicht unproblematisch stuft die Behörde einige, meist weniger bekannte Lösungen ein. Hierzu gehören etwa

  • mehrere Dienste auf Basis der Open-Source-Lösung Jitsi,
  • die Videodienste von Wire, Netways und mailbox.org
  • sowie alfaview oder auch das Angebot von BigBlueButton.

Allgemeine Tipps zu Videokonferenz-Lösungen vom ULD

Vor allem bei kleinen und mittleren Unternehmen besteht allerdings auch ein genereller Informationsbedarf, der sich neben den rein rechtlichen Fragen auch auf technische und praktische Aspekte erstreckt.

Broschüre Videokonferenzen und Datenschutz für Einsteiger 

Hier soll die vom Unabhängigen Landeszentrum für Datenschutz in Schleswig Holstein (ULD) herausgegebene Broschüre  mit dem Titel „Datenschutz: Plötzlich Videokonferenzen – und nun?“ helfen, die zahlreiche grundsätzliche Fragen rund um das Thema beantwortet und sich durch einen starken Praxisbezug auszeichnet.

Zu den Inhalten gehört daher nicht nur ein Überblick über technische und organisatorische Sicherheitsmaßnahmen, es wird etwa auch auf Aspekte wie eine transparente Moderationsfunktion oder die Notwendigkeit zu vorab festgelegten Verhaltensregeln für die Teilnehmer eingegangen.

Videokonferenz-Datenschutz für unterschiedliche Zielgruppen

Der Ratgeber richtet sich daher explizit an unterschiedliche Zielgruppen. Neben den organisierenden Personen, die für die Verwaltung, Einrichtung und technische Durchführung verantwortlich sind, werden zusätzlich auch die teilnehmenden Personen angesprochen, die durch ihr Verhalten ebenfalls dazu beitragen, die Datenschutzregeln einzuhalten.

Gleich am Anfang der Ausführungen werden einige grundsätzliche Fragen gestellt. So etwa, ob eine Videokonferenz überhaupt das angemessene Kommunikationsmittel in der jeweiligen Situation ist, oder ob nicht auch andere bewährte Formen, wie der schriftliche Nachrichtenaustausch oder eine Telefonkonferenz, genauso gut geeignet sein könnten, wodurch sich einige der Risiken vermieden ließen.

Explizit weist die Datenschutzbehörde anlässlich der Vorstellung der Broschüre auch darauf hin, dass der „erstbeste Online-Dienst“ längst nicht auch „das Optimum“ sein müsse. Generell habe man etwa bei der Verwendung von Videokonferenz-Systemen, die auf Servern innerhalb der eigenen Organisation installiert seien, deutlich mehr Kontrolle als bei anderen Lösungen.

Konkrete Videokonferenz-Tipps: Schutzfunktionen richtig nutzen und testen, fragwürdige Funktionen meiden 

In der siebenseitigen Broschüre finden sich schwerpunktmäßig zahlreiche Praxis-Tipps für die beiden genannten Zielgruppen.

  • So werden etwa die organisierenden Personen dazu angehalten, vorhandene Schutzfunktionen, wie etwa die Verwendung von Passwörtern oder von „Warteräumen“ zu nutzen, um die Teilnahme ausschließlich für berechtigte Personen zu ermöglichen. 
  • Vor Beginn der eigentlichen Konferenz sollte den Teilnehmern die datenschutzfreundliche Verwendung von Funktionen der Videolösungen erläutert werden.
  • Von der Nutzung einiger Funktionen, wie etwa einer Aufmerksamkeitsanzeige mit der überwacht werden kann, ob ein Teilnehmer der Videokonferenz folgt, wird aus Datenschutzgründen abgeraten, sofern diese Funktionalität nicht zwingend erforderlich ist, etwa bei Online-Seminaren mit Teilnahmenachweis.
  • Allen Teilnehmern einer Videokonferenz wird beispielsweise empfohlen, Funktionen zum Schutz der Privatsphäre während der Videokonferenz, etwa das temporäre Abschalten von Kamera oder Mikrofon, zu testen.

Schließlich finden Sie am Ende der Broschüre noch eine umfangreiche Liste mit Links auf weitergehende Informationsmaterial zum Thema Videokonferenz sowie zur allgemeinen Datenschutz-Problematik beim Homeoffice.

Download: Datenschutz bei Videokonferenzen

„Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten“ Die aktuelle Beurteilung der Videokonferenzdienste durch die Berliner Datenschutzbehörde finden Sie hier

"Datenschutz: Plötzlich Videokonferenzen – und nun?" Diese Broschüre des ULD können Sie über die Website der Behörde  herunterladen.

Die Datenschutzbehörde hält zudem verschiedene weitere Ratgeber zum Thema Datenschutz und Corona-Pandemie zum Download bereit.

Weitere News zum Thema:

Corona-Folgen am Arbeitsplatz

Hintergrund: Datenschutz zuhause

Auch wichtig zum Datenschutz im Homeoffice sind folgende Grundsätze: 

  • Wenn personenbezogene Daten im Auftrag eines Kunden verarbeitet werden, muss zunächst abgeklärt werden, ob die Arbeit im Homeoffice nicht in der Vereinbarung über die Auftragsverarbeitung ausgeschlossen ist.
  • Die Arbeit muss so organisiert sein, dass private und dienstliche Daten nicht miteinander vermischt werden.
  • An dienstliche Rechner sollte keine private Hardware, insbesondere keine Datenträger wie USB-Sticks oder externe Festplatten, angeschlossen werden.

Wichtig: Meldepflicht für Datenschutzvorfälle gilt auch im Homeoffice 

Datenschutzvorfälle, insbesondere die unbefugte Kenntnisnahme personenbezogener Daten durch Dritte, sind an den betrieblichen Datenschutzbeauftragten zu melden, auch wenn sie sich zuhause ereignen. Dieser muss dann entscheiden, wie mit dem Datenschutzvorfall umzugehen ist, also insbesondere, ob eine Meldepflicht gegenüber den Datenschutzbehörden und den betroffenen Personen besteht.

Die Vorfälle müssen gemeldet werden, sobald sie den Verantwortlichen bekannt werden. Die Meldung muss dabei unverzüglich oder maximal 72 Stunden danach erfolgen. Gibt es zunächst Hinweise auf einen meldepflichtigen Vorfall, kann zunächst eine „kurze“ Untersuchung zur Überprüfung durchgeführt werden. Während des Zeitraums dieser Überprüfung gilt die Datenschutzverletzung noch nicht als „bekannt“.

Schlagworte zum Thema:  Homeoffice, Datenschutz