Welches Videokonferenzsystem erfüllt die Anforderungen an den Datenschutz?

Videokonferenzsysteme und Datenschutz

Videokonferenzen oder Onlinemeetings haben aufgrund der Corona-Krise von einem Tag auf den anderen Einzug in die Unternehmen erhalten. Wer hätte gedacht, dass die Digitalisierung in diesem Bereich nun doch so schnell vonstattengeht?

Es ist nicht ganz einfach, aus der großen Auswahl von Onlinemeeting Tools den richtigen Meeting-Service auszuwählen. Neben den Anforderungen an die Benutzerfreundlichkeit ist auch die Einhaltung der Datenschutzanforderungen eine wichtige Komponente.

In diesem Beitrag möchten wir Ihnen eine Übersicht über die gängigsten Videokonferenzsysteme und deren Aspekte zum Datenschutz geben. Zudem zeigen wir vorab auf, was bei der Auswahl eines Systems in Bezug auf die Sicherheit personenbezogener Daten beachtet werden soll.
Abschließend geben wir noch ein paar Tipps, was beim Einsatz und der Durchführung von Onlinemeeting-Tools zu beachten ist.

Hinweis: Bei diesem Beitrag handelt es sich um keine Rechtsberatung. Der Inhalt stellt auch keine Werbung dar. Wir listen in diesem Beitrag objektive Kriterien auf und geben unsere subjektive Meinung ab. Dies ist aber auch extra gekennzeichnet („Erfahrung / Einschätzung der Datenbeschützerin).

Inhaltsverzeichnis

Auf den Punkt gebracht: Datenschutz bei Onlinemeeting-Tools

Auf den Punkt gebracht: Führerschein- und Ausweiskopien nach der DSGVO
  • Beachten Sie Hersteller und dessen Herkunftsland (Einhaltung des Datenschutzniveaus, Umsetzung der DSGVO Anforderungen)
  • Nutzen Sie die Software als Dienst (SaaS) oder on-premise? Daraus resultieren unterschiedliche Anforderungen
  • Beachten Sie grundsätzliche Anforderungen an Privacy by Design und Privacy by Default
  • Binden Sie das (neue) Verfahren Onlinemeetings in Ihr Datenschutzmanagement ein
  • Vereinbaren Sie Vorgaben mit den Mitarbeitern, was bei Onlinekonferenzen zu beachten ist

Welche Datenschutzanforderungen müssen bei der Auswahl von Videokonferenzsystemen berücksichtigt werden?

Bevor Sie sich für ein Onlinemeeting-Dienst entscheiden, sollten Sie aus dem Datenschutzgesichtspunkt folgende Punkte in Ihre Bewertung einfließen lassen:

Herkunftsland des Herstellers und Einhaltung des Datenschutzniveaus

Die Anforderungen der DSGVO deckt ein Hersteller in der EU natürlich (so der Gedanke) besser ab als ein Unternehmen außerhalb der EU. Primär sollte also der Fokus auf europäischen Firmen liegen.

Trotzdem ist festzustellen, dass gerade im Softwaresektor andere Länder außerhalb der EU sehr oft eine relevante Rolle spielen. Daher ist es wichtig, zu prüfen, inwieweit der Anbieter des Onlinemeeting-Tools die Anforderungen der DSGVO umsetzen kann. Insbesondere sollten dabei nachfolgende Punkte beachtet werden.

Einhaltung des Datenschutzniveaus

Dieser Punkt beschreibt, wie das Unternehmen im Drittland das durch die DSGVO geforderte Datenschutzniveau umsetzt.

Bei Unternehmen in den USA ist dies meist durch das EU-Privacy-Shield gegeben, das als Abkommen zwischen den USA und Europa vereinbart wurde. Ein nach dem Privacy-Shield zertifiziertes US-Unternehmen erfüllt die Einhaltung des Datenschutzniveaus.

Update 21.07.2020

Da das EU-US Privacy Shield am 16.07.2020 für ungültig erklärt wurde, ist die Rechtsgrundlage für die Übermittlung der Daten in die USA nun offen – sofern sich die Übertragung auf das Privacy Shield beruft.

Das heißt, alle US-Anbieter von Videokonferenzsystemen müssen nun eine andere rechtliche Basis schaffen, um die Daten aus Europa verarbeiten zu können. Ob dies und inwieweit dies möglich ist, wird sich zeigen.

Ob Sie unter den aktuellen Gegebenheiten des fehlenden Angemessenheitsbeschlusses einen neuen Anbieter für ein Videokonferenzsystem in den USA auswählen sollten, würde ich erst mal in Frage stellen. Ich bin überzeugt, dass sich eine Lösung finden wird. Wann es die gibt und wie die aussehen wird, bleibt offen.

Welche weiteren Möglichkeiten bestehen, um eine Datenübermittlung ins Drittland abzusichern, beschreiben wir ausführlich in unserem Knowledge Base Eintrag.

Abschluss eines Auftragsverarbeitungsvertrags

Sofern der Anbieter personenbezogene Daten verarbeitet, muss ein Auftragsverarbeitungsvertrag zwischen Anbieter und Kunde geschlossen werden.

Im Auftragsverarbeitungsvertrag wird genau gelistet, welche Daten zu welchem Zweck verarbeitet werden. Zudem werden Rechte und Pflichten beider Parteien geregelt. Wichtig ist auch, dass der Anbieter aufzeigt, mit welchen technischen und organisatorischen Schutzmaßnahmen die Sicherheit der Daten gewährleistet werden.

Mehr zum Thema AV-Vertrag finden Sie im Blogartikel dazu.

Vertreter in der EU

Artikel 27 der DSGVO fordert einen gesetzlichen Vertreter in der EU bei einem nicht in der EU ansässigen Unternehmen.

Hat das Unternehmen, wie es bei Google oder zum Beispiel Microsoft der Fall ist, neben dem Headquarter in den USA, Töchter oder Niederlassungen in der EU, ist dies damit abgedeckt.

Alle anderen Unternehmen bräuchten einen offiziell benannten und beauftragten Vertreter in der EU. Dies kann auch ein Dienstleistungsunternehmen sein. Ich schreibe hier ganz bewusst im Konjunktiv, da man ehrlicherweise sagen muss, dass dieser Punkt bisher nicht durchgängig verfolgt wird. Wenige Unternehmen wissen wohl von dieser Anforderung und noch wenigere setzen Sie aktiv um. Auf Nachfrage bei der Behörde zum Umgang mit Artikel 27 DSGVO wurden wir vertröstet. Hier sollte noch ein detailliertes Papier erscheinen (unabhängig vom DSK Kurzpapier Nr. 7).

Interner Betrieb oder Nutzung eines Service

Software as a Service (SaaS)

Die einfachere und komfortablere Nutzung eines Videokonferenzsystems ist in den meisten Fällen die Nutzung eines Onlinedienstes. Der Anbieter kümmert sich um die Administration und Verfügbarkeit des Services.

Alle teilnehmenden Parteien kommunizieren über den Server des Anbieters. Dadurch verarbeitet der natürlich auch in der Regel Daten und wird zum Auftragsverarbeiter (siehe oben).

Einfluss auf die Konfiguration – gerade bezüglich der Sicherheitskriterien -hat man als Kunde nicht. Dies kann Vor- und Nachteil sein. Hat man keine Ressourcen und kein Know-How, um Webmeeting-Tools zu administrieren, sollte man auf jeden Fall bei der SaaS Variante bleiben.

on-premise

Bei on-premise wird der Service auf Servern des Unternehmens betrieben. Wobei „Server des Unternehmens“ weit ausgelegt sein kann. Dabei kann es sich auch um einen Server handeln, der von einem Cloud Anbieter zur Verfügung gestellt wird. Die Administration erfolgt aber durch die eigenen Mitarbeiter. Auch die Einbindung in das eigene Firmennetzwerk kann in diesem Fall ermöglicht werden. In all diesen Fällen spricht man von der sogenannten on-premise Variante.

Hat man technisch qualifizierte Administratoren auf diesem Gebiet, die auch noch die notwendigen Ressourcen haben, eine interne Meetingsoftware zu verwalten, sollte man die Inhouse Variante durchaus in Betracht ziehen.

Die Konfiguration der Sicherheit liegt dann (soweit dies die Software zulässt) in den internen Händen des Unternehmens. Auch laufen die Daten nicht über einen externen Anbieter, sondern verblieben intern.

Privacy by Design und Privacy by Default Anforderungen

Der Service muss schon in seiner nativen Version grundlegende Datenschutzaspekte umgesetzt haben. Zusätzlich sollten aber auch noch Konfigurationsmöglichkeiten individuell möglich sein.

Verschlüsselte Kommunikation von Videokonferenzsystemen

Bei der Verschlüsselung sollten zwei Merkmale unterschieden werden:

Die verschlüsselte Kommunikation auf dem Übertragungsweg, also die Transportverschlüsselung, schützt die Daten auf dem Übertragungsweg.

Die zusätzliche Ende-zu-Ende-Verschlüsselung gewährleistet, dass nur Sender und Empfänger die Inhalte lesen können. Fehlt eine end-to-end Encryption, kann der Anbieter technisch die Inhalte einsehen. Ob er dies organisatorisch (z.B. durch vertragliche Regelungen) darf, ist eine andere Sache.

Konfiguration des Onlinemeetings

Im Idealfall sollte es zwei oder sogar drei Stufen geben, um Meetings zu konfigurieren. Durch die interne Administration sollte es bei einer Unternehmenslösung möglich sein, übergreifende Policies einzustellen. Im zweiten Schritt sollte dann aufsetzend auf diesen Policies der einzelne User, der ein Meeting plant, Optionen für eine spezielle Besprechung einstellen können. Dieses zweistufige Konzept kann natürlich nur bei einer Unternehmenslösung funktionieren und nicht bei Einzellizenzen.

In der dritten Stufe sollte dann der Teilnehmer selbst auch noch einmal Möglichkeiten haben, seine Umgebung einzustellen.

Beispiele für entsprechende Konfigurationsmöglichkeiten sind folgende:

  • Passwortvergabe eines Meetings ist Pflicht
  • Teilnehmer kommen zu einem Warteraum und werden dann manuell vom Moderator in das Meeting eingelassen
  • Beim Betreten des Meetings sind Kamera und Mikrofon auf mute geschaltet und müssen durch den User manuell freigegeben werden
  • Aufzeichnung kann nur durch den Moderator erfolgen
  • Bildschirmübertragung kann nur durch den betreffenden User freigegeben werden
  • Verwischung des Hintergrunds oder Einfügen eines virtuellen Hintergrundbildes (was in vielen Fällen als fun fact während des Meetings verwendet wird)
  • Konfiguration der Aufbewahrungsfristen für Protokolldateien
  • ….

Datenerhebung für eigene Zwecke

Bei der SaaS Variante kann es sein, dass Anbieter sich das Recht herausnehmen, Daten aus den Calls für eigene Zwecke zu verwenden. Hier sollten Sie auf jeden Fall einen Blick darauf werfen, ob dies nur für Service und Supportzwecke erfolgt – was in der Regel notwendig ist. Alternativ können auch weitere eigene Interessen des Anbieters dahinterstehen. In diesem Fall sollten Sie ganz genau hinsehen.

Anbieter für Videokonferenzen und Aspekte zum Datenschutz

Vorwort zur „Bewertung“

Wir haben uns ganz bewusst dagegen entschieden, ein Ranking oder eine Empfehlung auszusprechen. Nachfolgend sind die objektiven Kriterien gelistet, die die Hersteller angeben.

Wenn man natürlich, wie schon oben beschrieben dem EU-Privacy Shield kein Vertrauen ausspricht oder auch zu große Bedenken hat bezüglich der Gesetze in den USA (z.B. Cloud Act…), sollte ein Dienstleister aus den USA nicht in Erwägung gezogen werden.

Es kommt natürlich auch darauf an, wie vertraulich Ihre Gespräche über den Kanal sind. Ob man hochvertrauliche Inhalte über eine Videokonferenz tauschen darf, müssen Sie selbst entscheiden. Wenn wir unser Rotary „Plaudermeeting“ per Zoom abhalten, halten sich die Risiken aus meiner Sicht stark in Grenzen.

Entscheiden Sie vorher selbst, welche Gewichtung Sie den einzelnen Kriterien geben. Wenn Sie uns konkrete Vorgaben zu Ihrer Security-Policy im Unternehmen geben, können wir Ihnen auch gern eine individuelle Produktempfehlung aussprechen.

Alles andere wäre für mich unseriös. Die Anbieter zu ranken, ohne vorher die Anforderungen und das Security-Level des Kunden zu kennen, macht wenig Sinn.

Übersicht gängiger Anbieter

Die Liste ist nicht abschließend. Es werden die aus unserer Sicht häufigsten und bekanntesten Webmeeting-Tools vorgestellt.

Die Informationen beziehen sich auf die vom Hersteller genannten Angaben. Die Zusammenstellung der Informationen erfolgte nach gründlicher Recherche und bestem Wissen und Gewissen. Falls Ihnen tatsächlich ein Fehler ins Auge sticht, lassen Sie es uns bitte wissen.

Blizz by TeamViewer

Kriterien

Hersteller, LandTeamViewer, Deutschland
Vertreter in der EU (nach Art. 27 DSGVO)entfällt
SaaS (Serverstandort)Ja (Deutschland)
Verschlüsselte Übertragung (TLS)Ja
AV-VertragJa
Link AV-Vertraghttps://www.blizz.com/de/auftragsverarbeitungsvertrag/
on-premiseNein
Ende-zu-Ende-VerschlüsselungJa
Gewährleistung des Datenschutzniveausentfällt, da deutscher Anbieter
Datenschutzerklärunghttps://www.blizz.com/de/privacy-policy-product/
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen Zweckenzum Betrieb des Service
URLhttps://www.blizz.com/de/

Erfahrungen / Einschätzung der Datenbeschützerin

TeamViewer ist mit seiner Remote Software gerade im deutschsprachigen Bereich führend. Ich kenne kaum ein Unternehmen, bei dem mir TeamViewer nicht untergekommen ist.

Da die Remotesoftware des Herstellers nicht den Zweck der direkten Kommunikation hat, ist eine Erweiterung des Angebots um ein Videokonferenzsystem sinnvoll. Selber haben wir noch keine Erfahrungen mit Blizz gemacht.

Von Dritten wurde dies allerdings im Handling als sehr positiv dargestellt. Auch die Informationen bezüglich Datenschutz, die der Hersteller gibt, sind umfangreich und lassen auf ein vertrauenswürdige Produkt schließen. Nach eigenen Angaben des Herstellers ist neben der verschlüsselten Übertragung auch eine zwei Faktor Authentifizierung möglich.

Conference & Collaboration

Kriterien

Hersteller, LandTelekom, Deutschland
Vertreter in der EU (nach Art. 27 DSGVO)entfällt
SaaS (Serverstandort)Ja (Deutschland)
Verschlüsselte Übertragung (TLS)Ja
AV-VertragJa
Link AV-Vertraghttps://geschaeftskunden.telekom.de/hilfe-und-service/self-services/dsgvo/businesskonferenzenundeventkonferenzen
on-premiseNein
Ende-zu-Ende-VerschlüsselungNein (allerdings ist diese Information nicht direkt auf der Seite der Telekom zu finden, daher mit Vorsicht zu bewerten)
Gewährleistung des Datenschutzniveausentfällt, da deutscher Anbieter
Datenschutzerklärungnicht dargestellt bzw. auffindbar
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen Zweckennicht bekannt, da keine DSE einsehbar
URLhttps://konferenzen.telekom.de/produkte-und-preise/telefon-und-web/business-konferenzen/

Erfahrungen / Einschätzung der Datenbeschützerin

Leider haben wir bisher keine direkten und indirekten Erfahrungen von Kunden und Partnern über den Einsatz des Business-Konferenz Tools der Telekom. Daher können wir leider auch keine persönliche Meinung dazu weitergeben.

Was uns bei der Recherche eher negativ aufgefallen ist war, dass kein direkter Link zu Datenschutzinformationen zugänglich war.

Falls Sie schon Erfahrungen mit dem Konferenz Tool der Telekom haben, lassen Sie es uns wissen und schreiben Sie einen Kommentar.

Google Meet (Hangouts)

Kriterien

Hersteller, LandGoogle Ireland Ltd., Irland
Vertreter in der EU (nach Art. 27 DSGVO)entfällt
SaaS (Serverstandort)Ja (Irland), Teil der GSuite
Verschlüsselte Übertragung (TLS)Ja
AV-VertragJa, für GSuite
Link AV-Vertraghttps://gsuite.google.com/terms/dpa_terms.html
on-premiseNein
Ende-zu-Ende-VerschlüsselungNein
Gewährleistung des DatenschutzniveausEU-Privacy-Shield
Datenschutzerklärunghttps://support.google.com/a/answer/7582940?hl=de
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen ZweckenKeine konkrete Aussage dazu, allerdings versichert Google, dass die Daten nicht verkauft und für Werbung verwendet werden. Zudem gibt es kein Aufmerksamkeitstracking der User.
URLhttps://gsuite.google.com/intl/de/products/meet/

Erfahrungen / Einschätzung der Datenbeschützerin

Mit Google Meet haben wir bisher nur Erfahrung in der Verwendung von Google Hangouts für die Durchführung von Webinaren. Hier läuft es allerdings so, dass nur der Moderator spricht und zu sehen ist. Die Teilnehmer können nicht aktiv am Meeting teilnehmen.

Ansonsten können wir zu diesem Thema leider wenig sagen.

GoToMeeting

Kriterien

Hersteller, LandLogMeIn, USA
Vertreter in der EU (nach Art. 27 DSGVO)LogMeIn Technologies UK Limited
SaaS (Serverstandort)Ja (USA)
Verschlüsselte Übertragung (TLS)Ja
AV-VertragJa
Link AV-Vertraghttps://logmeincdn.azureedge.net/legal/20191226/DPA/LMI-Customer-Data-Processing-Addendum-2019-v2-SAMPLE.pdf (DSGVO konformer Nachtrag zur Verarbeitung der Kundendaten)
on-premiseNein
Ende-zu-Ende-VerschlüsselungJa
Gewährleistung des DatenschutzniveausEU-Privacy-Shield
Datenschutzerklärunghttps://www.logmeininc.com/de/legal/privacy
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen ZweckenLaut AV verarbeitet LogMeIn die Daten zum Betrieb des Services.
URLhttps://www.gotomeeting.com/de-de

Erfahrungen / Einschätzung der Datenbeschützerin

In der Zusammenarbeit mit Kunden kommunizieren wir auch über GoToMeeting, wenn dies vom Kunden angeboten wird. Funktionell ist das Tool sehr mächtig. Dadurch resultiert allerdings auch eine gewisse Komplexität in der Anwendung.

Den prüfbaren Kriterien zufolge erfüllt der Hersteller die Anforderungen der DSGVO.

Jitsi

Kriterien

Hersteller, LandCommunityprojekt
Vertreter in der EU (nach Art. 27 DSGVO)entfällt
SaaS (Serverstandort)z.B. Fairmeeting, Österreich
SSLMuss durch SaaS Dienstleister sicher gestellt werden
AV-VertragJa teilweise, wenn vom SaaS-Anbieter unterstützt
Link AV-Vertragje, nach Anbieter des SaaS
on-premiseJa, bevorzugt
Ende-zu-Ende-VerschlüsselungJa, aber nur bei 2 Teilnehmern
Gewährleistung des Datenschutzniveausentfällt, wenn SaaS Dienstleister in der EU
Datenschutzerklärungin Abhängigkeit des Dienstleisters, das Communityprojekt bietet keine Datenschutzerklärung an
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen ZweckenNein
URLhttps://jitsi.org

Erfahrungen / Einschätzung der Datenbeschützerin

Einer unserer neuen Favoriten unter den Videokonferenzsystemen. Sehr einfach und „schlank“. Auf dem Rechner kann das Onlinemeeting über den Browser durchgeführt werden. Das ist vorbildlich, da keine weitere Software installiert werden muss. Auf Handy und Tablet muss eine App installiert werden.

Das Produkt ist kostenlos, nach aktuellen Einschätzungen und Bewertungen von Experten ist Jitsi auch konform zu den Anforderungen der DSGVO. Daher ist es auf jeden Fall ein Onlinemeetingtool, welches Sie in die engere Auswahl ziehen sollten.

Ideal wäre natürlich die Bereitstellung des Dienstes auf einen Server. Da dies aufgrund der Komplexität und Ressourcen nicht immer möglich ist, empfehlen wir neutrale Anbieter, wie z.B fairmeeting zu nutzen.

Jitsi Server der Datenbeschützerin

Unter conf.datenbeschuetzerin.de stellen wir Ihnen unsere eigene Jitsi Meet Instanz zur Verfügung. Die Nutzung des Dienstes ist kostenlos.

Einen Anspruch auf permanente Verfügbarkeit des Dienstes können wir allerdings nicht gewährleisten.

Rocket.Chat

Kriterien

Hersteller, LandRocket.Chat Technologies Corp., USA
Vertreter in der EU (nach Art. 27 DSGVO)nicht bekannt
SaaS (Serverstandort)USA
Verschlüsselte Übertragung (TLS)Ja, muss in der on-premise Variante selber abgesichert werden
AV-VertragJa
Link AV-VertragAuf Nachfrage bietet der Hersteller einen AV Vertrag an (nur in der SaaS Lösung notwendig)
on-premiseJa
Ende-zu-Ende-VerschlüsselungJa, muss in der on-premise Variante aktiviert werden
Gewährleistung des Datenschutzniveausnur vertraglich durch AV-Vertrag, kein EU-Privacy Shield
Datenschutzerklärunghttps://rocket.chat/privacy
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen ZweckenBei der SaaS Lösung durch den Hersteller werden Daten für Support und Verbesserungen genutzt.
URLhttps://rocket.chat

Erfahrungen / Einschätzung der Datenbeschützerin

Mit Rocket.Chat haben wir inzwischen einiges an Erfahrung sammeln können. Auf der Suche nach einer datenschutzkonformen Kommunikationsplattform mit Kunden, aber auch Interessenten, haben wir viele Lösungen probiert. Neben den Anforderungen des Datenschutzes waren für uns allerdings auch finanzielle Aspekte wichtig in der Bewertung.

Mit Rocket.Chat in der on-premise Version, also in der selbst betriebenen Version, haben wir eine Lösung gefunden, die die Anforderungen des Datenschutzes sowie geringe Kosten (keine Lizenzkosten, nur Betrieb) bietet.

Während der Evaluierungsphase hatten wir auch direkten Kontakt mit dem Anbieter und können gerade in Bezug auf Datenschutz ein positives Feedback geben. Die Unterstützung und Rückmeldungen waren aus unserer Sicht sehr positiv.

Da allerdings kein Vertreter in der EU nachgewiesen wird und auch zur Einhaltung des Datenschutzniveaus kein EU-Privacy-Shield vorliegt, ist unsere Empfehlung, den Dienst auf einem europäischen Server zu hosten oder hosten zu lassen.

Mehr Chat als Videokonferenz

Rocket.Chat ermöglicht auch Videokonferenzen, ist aber nach unserer Einschätzung primär nicht dafür gemacht. Bei der Nutzung von Rocket.Chat steht bei uns der Austausch per Chat im Vordergrund. Als Videokonferenz nutzen wir andere Anbieter.

Skype / Skype for Business

Zu Skype und Skype for Business möchte ich an dieser Stelle nicht weiter eingehen.

Skype ist eine Lösung für Privatanwender und sollte im Businessbereich eigentlich nicht eingesetzt werden.

Skype for Business wurde von Microsoft abgekündigt und wird durch Teams ersetzt. Daher sollte Skype for Business in einer Evaluierung auch nicht weiter berücksichtigt werden.

Starleaf

Kriterien

Hersteller, LandStarLeaf Limited, UK
Vertreter in der EU (nach Art. 27 DSGVO)entfällt (?)
SaaS (Serverstandort)nicht eindeutig angegeben
Verschlüsselte Übertragung (TLS)Ja
AV-VertragJa
Link AV-Vertraghttps://318jud367y2743qanus941sz-wpengine.netdna-ssl.com/wp-content/uploads/guides/starleaf_dpa_v5.4.pdf
on-premiseNein
Ende-zu-Ende-VerschlüsselungJa
Gewährleistung des Datenschutzniveausentfällt
Datenschutzerklärunghttps://support.starleaf.com/legal-information/starleaf-privacy-notice/
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen ZweckenDetaillierte Informationen über Betriebssystem, Browser, Kamera, Mikrofon… zur Fehlerbehebung. Weitergabe der Daten zum Betrieb aber auch in die USA und andere Länder außerhalb der EU.
URLhttps://www.starleaf.com

Erfahrungen / Einschätzung der Datenbeschützerin

Selber haben wir bisher nur einmal ein Meeting mit StarLeaf durchgeführt. Bisher war mir das Tool auch unbekannt. Die genannten Kriterien bezüglich Datenschutz und Sicherheit sind grundsätzlich positiv. Was bei der Recherche für uns (mit begrenztem Zeitaufwand) nicht ersichtlich war, ist, wo die Server für den SaaS stehen. Mit dem Hinweis, dass Daten für die Fehlersuche auch außerhalb Europa weitergegeben werden könne, sollte vor einem Einsatz geklärt werden, ob die Datenweitergabe auch die Durchführung von Onlinemeetings betrifft.

Teams

Kriterien

Hersteller, LandMicrosoft Corporation, USA
Vertreter in der EU (nach Art. 27 DSGVO)
SaaS (Serverstandort)Europa inkl. Deutschland für EU Kunden
Verschlüsselte Übertragung (TLS)Ja
AV-VertragJa
Link AV-Vertraghttp://www.microsoftvolumelicensing.com/Downloader.aspx?documenttype=OST&lang=German
on-premiseNein
Ende-zu-Ende-VerschlüsselungNein
Gewährleistung des DatenschutzniveausEU-Privacy-Shield
Datenschutzerklärunghttps://privacy.microsoft.com/de-de/privacystatement
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen ZweckenBereitstellung, Weiterentwicklung, Personalisierung aber auch zum personalisierten Werbeversand werden die Daten laut Privacy Policy genutzt.
URLhttps://www.microsoft.com/de-de/microsoft-365/microsoft-teams/

Erfahrungen / Einschätzung der Datenbeschützerin

Wir nutzen mit Office 365 auch Teams. Funktionell gibt es Anbieter, die mehr bieten. Das muss man fairerweise sagen. Durch die Integration weiterer Kollaborationsmöglichkeiten und die enge Verzahnung mit anderen Office 365 Produkten wie OneDrive, SharePoint, Forms und Planer (…) hat Teams trotzdem seine Vorteile.

Microsoft ist ja in mancher Hinsicht bezüglich des Datenschutzes bei Office 365 (was ja nun eigentlich Microsoft 365 heißt) und Windows 10 etwas in Verruf. Der Hersteller ist aber aktiv dahinter, offene Lücken zu schließen und ein DSGVO-konformes Angebot zur Verfügung zu stellen. Wir gehen davon aus, dass dies auch weiterhin die Strategie von Microsoft ist und vertrauen daher auf dieses Produkt.

WebEx

Kriterien

Hersteller, LandCisco, USA
Vertreter in der EU (nach Art. 27 DSGVO)Der Anbieter hat verschiedene Unternehmen in Europa.
SaaS (Serverstandort)USA
Verschlüsselte Übertragung (TLS)Ja
AV-VertragJa
Link AV-Vertraghttps://trustportal.cisco.com/c/dam/r/ctp/docs/dataprotection/cisco-master-data-protection-agreement.pdf
on-premiseJa
Ende-zu-Ende-VerschlüsselungJa, allerdings kann dies ggf. zu eingeschränktem Funktionsumfang führen
Gewährleistung des DatenschutzniveausEU-Privacy-Shield
Datenschutzerklärunghttps://www.cisco.com/c/de_de/about/legal/privacy-full.html
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen ZweckenNutzung der Funktionen, Kundenservice, Marketininformationen (in der Datenschutzerklärung erfolgt keine Zuweisung der Datenverwendung zu Produkten)
URLhttps://www.cisco.com/c/en/us/products/conferencing/webex-meetings/index.html

Erfahrungen / Einschätzung der Datenbeschützerin

WebEx ist wohl einer der Anbieter, die bereits am längsten auf dem Markt sind. Meine ersten Onlinemeetings hatte ich ausschließlich mit WebEx. Ehrlich gesagt hatten wir inzwischen seit Jahren keine einzige Videokonferenz mehr mit WebEx. Dies mag aber nur ein subjektiver Eindruck sein, da nach wie vor Cisco mit der Software gut im Markt unterwegs ist.

Eine persönliche Einschätzung können wir dazu aber momentan nicht geben.

Zoom

Kriterien

Hersteller, LandZoom Video Communications, Inc., USA
Vertreter in der EU (nach Art. 27 DSGVO)
SaaS (Serverstandort)USA
Verschlüsselte Übertragung (TLS)Ja
AV-VertragJa
Link AV-Vertraghttps://zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf
on-premiseNein
Ende-zu-Ende-VerschlüsselungNein, nach Aussage des Herstellers ist dieses Sicherheitsmerkmal in Arbeit
Gewährleistung des DatenschutzniveausEU-Privacy-Shield
Datenschutzerklärunghttps://zoom.us/privacy
DSGVO-konform (Angabe des Herstellers)Ja
Verwendung der Daten zu eigenen Zwecken
URLhttps://zoom.us

Erfahrungen / Einschätzung der Datenbeschützerin

Persönlich gehört Zoom zu unseren Favoriten. Da sind wir nicht allein, denn Zoom hat seine Stellung unter den Marktführer für Online Meetings gerade durch Corona noch weiter ausgebaut.

Was ist an Zoom so toll? Die Bedienung ist extrem einfach. Es wurde sehr gut umgesetzt, alle Teilnehmer im Blick zu behalten. Bei keinem anderen Tool, welches wir bisher genutzt haben, kann man alle Teilnehmer auf einem Bildschirm anzeigen. Bei Zoom ist dies eine der Standardansichten. Alternativ kann man die „Sprecheransicht“ wählen, die automatisch immer den Sprechenden in groß zeigt. Zudem regelt Zoom die Priorisierung der Sprache besser als andere, die wir ausprobiert haben. Der Ton wird nur von einer Person übertragen. Sprechen mehrere Personen gleichzeitig, wird ein Teilnehmer bevorzugt.

Datenschutz bei Zoom

Durch den extremen Zulauf bei Zoom während der Corona-Krise kam der Datenschutz immer wieder in Verruf.

Der Hersteller hat in dieser Zeit aber auch extrem nachgebessert. Sieht man sich die Datenschutzpolicy heute (während Corona) an, ist sie viel ausführlicher als Anfang 2020. Der Hersteller ist sehr bemüht, Transparent zu sein.

Zudem wurden in der Applikation auch neue Sicherheitsfeatures eingebaut. Es gibt nun z.B. einen Warteraum für neue Teilnehmer. Es obliegt also dem Moderator, wann ein Teilnehmer eingelassen wird.

Konkrete Vorwürfe, wie z.B. dass Daten unrechtmäßig an Facebook weitergeleitet wurden, nahm der Hersteller sofort auf. Laut seiner Stellungnahme handelte es sich um einen Fehler bei einer mobilen App. Dieser wurde aber behoben.

Einen momentan regelmäßig aktualisierten und sehr ausführlichen Artikel zum Datenschutz bei Zoom findet man beim Rechtsanwalt Hansen-Oest.

Aus unserer Sicht erfüllt Zoom die überprüfbaren Merkmale aus Sicht Datenschutz. Wenn man nun allerdings derzeit gültige Abmachungen, wie das EU-Privacy-Shield in Frage stellt und amerikanische Anbieter grundsätzlich als nicht datenschutzkonform ansieht, sollte man diese Anbieter nicht in Erwägung ziehen.

Update 29.04.2020: Am 23.04.2020 veröffentlichte das Management eine Stellungnahme zum Thema Sicherheit. Dort sind auch die geplanten Maßnahmen aufgezeigt. Hier finden Sie das Dokument.

Was müssen Sie bei der Durchführung eines Onlinemeetings beachten?

Sie haben sich nach langer Evaluierung oder nach extrem kurzer Entscheidungsdauer (während des Corona-Shutdowns) für eine Konferenzsoftware entschieden.

Nun sollten Sie Ihren Mitarbeitern klare Vorgaben an die Hand geben, die sie bei einem Onlinemeeting zu beachten haben. Am besten erstellen Sie dazu eine Richtlinie, welche Besprechungsregeln bei einem Onlinemeeting gelten.

Organisatorische Vorgaben / Besprechungsregeln für virtuelle Meetings

Grundsätzlich sollten die „normalen“ Besprechungsregeln auch für virtuelle Meetings gelten. Da es sich um einen anderen „Raum“ handelt, machen die Besprechungsregeln in etwas abgewandelter Form durchaus Sinn.

Für den Moderator (Initiator des Onlinemeetings)

  • Erstellen Sie das Meeting in der Konferenzsoftware und legen Sie ein Passwort fest.
  • Laden Sie alle eingeladenen Teilnehmer mit einer offiziellen Einladungsmail ein. Wenn möglich, planen Sie den Termin gleich im Kalender Ihres Kollaboration-Tools (z.B. Outlook, Notes, Google Kalender…).
  • Teilen Sie in der Einladung den Link zum Meetingraum und das Passwort mit.
  • Lassen Sie die Teilnehmer über einen „Warteraum“ nur durch Ihre manuelle Freigabe in das Meeting.
  • Stellen Sie die Teilnehmer zu Beginn des Meetings vor, falls sich noch nicht alle kennen.
  • Weisen Sie darauf hin, dass jeder Teilnehmer sein Mikrofon stumm schalten soll, wenn er oder sie nicht zu allen spricht. Andernfalls schalten Sie die Mikrofone still, um die Geräuschkulisse an Nebengeräuschen zu minimieren.
  • Achten Sie darauf, dass alle Teilnehmer die notwendige Redezeit erhalten und unterbrechen Sie auch mal höflich Dauerplapperer.
  • Vereinbaren Sie Zeichen, wenn jemand einen Beitrag geben möchte. Je nach Software kann man auch virtuell „die Hand heben“.
  • Sollte das Video aufgenommen werden (oder Teile davon), benötigen Sie die Einwilligung aller Teilnehmer. Am besten fragen Sie diese ab und starten anschließend die Aufnahme. Zur Dokumentation der Einwilligung sollten Sie dieselbe Abfrage nun mit laufender Aufzeichnung nochmal stellen.

Für Teilnehmer an einem Meeting

  • Wählen Sie sich ins Meeting ein und begrüßen Sie die bereits anwesenden Teilnehmer (hört sich so logisch an, ist aber nicht immer der Fall).
  • Schalten Sie Ihre Kamera ein. Hier spreche ich wohl mehr aus der Sicht des Besprechungsteilnehmers als des strikten Datenschützers. Doch selbst aus Datenschutzsicht kann ich darin kein extremes Problem sehen. Das Einschalten der Kamera zeigt Respekt den anderen Teilnehmern gegenüber. In einem Vor-Ort-Termin sitzt man sich ja auch gegenüber und unterlässt nebenbei Spiele und Tippereien am Smartphone (so meine naive Erwartungshaltung an die Durchführung von Besprechungen).
  • Die Kamera einzuschalten, setzt natürlich voraus, dass man sich wenigstens im sichtbaren Bereich entsprechend kleidet und zurecht macht. Wählen Sie bewusst aus, wo Sie Ihr Onlinemeeting durchführen. Gibt es einen relativ neutralen Hintergrund oder können Sie einen temporären Hintergrund während des Meetings organisieren?
  • Melden Sie sich oder geben Sie dem Moderator ein Zeichen, wenn Sie einen Beitrag geben möchten. Dies kann ggf. auch per (privater) Chatnachricht an den Moderator erfolgen.
  • Verabschieden Sie sich, wenn Sie vorzeitig die Besprechung verlassen müssen.
  • Und wie schon oben kurz erwähnt: Ein virtuelles Meeting bedeutet nicht, dass alle Besprechungsregeln außer Kraft gesetzt werden. Das parallele Arbeiten an Laptop, Tablet oder Handy ist nicht nur in vor Ort Terminen unhöflich, sondern auch im Onlinemeeting.

Maßnahmen im Datenschutzmanagementsystem bei Onlinemeetings

Letztendlich ist die Durchführung von Onlinemeetings ein Verfahren im Sinne des Datenschutzmanagementsystem. Als versierter Datenschutzbeauftragte/r wissen Sie ja, dass folgende Punkte obligatorisch sind.

Aufnahme der Onlinemeetings im Verfahrensverzeichnis

Es handelt sich um ein Verfahren, welches im Verfahrensverzeichnis nach Art. 30 DSGVO beschrieben werden muss. Auf weiteres möchte ich an dieser Stelle nicht eingehen. Einen detaillierten Beitrag zum Verfahrensverzeichnis finden Sie auf unserer Webseite.

Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) des Videokonferenzsystems

Nach Artikel 32 DSGVO müssen die TOMs dem Stand der Technik entsprechen. Diese sollten Sie in Ihrer Übersicht der technischen und organisatorischen Maßnahmen (kurz) dokumentieren. Ob Sie dies nun im Rahmen des Verfahrensverzeichnisses oder separat machen, bleibt Ihnen überlassen.

Sollten Sie Defizite bzw. Risiken identifizieren, müssen Sie diese benennen und in Abstimmung mit den Verantwortlichen Personen Maßnahmen vereinbaren.

Regelung der Auftragsverarbeitung

Nutzen Sie Web Meetings über einen Anbieter, also als Software as a Service, müssen Sie das Thema AV-Vertrag beachten.

Der Abschluss eines AV-Vertrags muss primär in Ihrem Interesse liegen. Sie sollten einen AV-Vertrag einfordern und auf Vollständigkeit prüfen.

Rechtsgrundlage der Verarbeitung

Hier müssen Sie im Einzelfall die für Sie zutreffende Rechtsgrundlage festlegen.

Berechtigtes Interesse nach Art. 6 (1) lit. f DSGVO

Wenn Sie die Besprechungen einsetzen, um die internen Abläufe zu optimieren und z.B. Reisezeiten zu verringern, kann die Rechtsgrundlage das begründete Interesse des Unternehmens sein. Beachten Sie aber, dass in diesem Fall eine Interessensabwägung notwendig ist.

Vertragliche oder vorvertragliche Maßnahme nach Art. 6 (1) lit. b DSGVO

Wenn Sie Ihren Vertrag nur erfüllen können, indem Sie Onlinemeetings durchführen, dann basiert das auf der genannten Rechtsgrundlage. Bei Abschluss von neuen Verträgen, bei denen die Onlinemeetings ein Bestandteil der gekauften (Dienst-)Leistung sind, ist dies aus unserer Sicht klar geregelt. Der Vertrag kommt nicht zustande, wenn der Käufer die Onlinemeetings nicht möchte. Beispiel könnte sein, dass eine Tanzschule oder ein Fitnessclub seine Mitglieder nur Online in Gruppen coacht.

Anders und nicht ganz so eindeutig verhält es sich aus unserer Sicht bei Vertragsbeziehungen, die normalerweise auf Vor-Ort-Terminen beruhen. Durch die Kontaktsperre während Corona haben nun viele auf virtuelle Meetings umgestellt. Auch unsere Kunden bieten bei laufenden Verträgen virtuelle Treffen an. In den meisten Fällen ist dies kein Problem und der Kunde freut sich über die Fortführung des Vertrags.

Was aber, wenn der Kunde keine virtuellen Meetings möchte?

Einwilligung nach Art. 6 (1) lit. a DSGVO

Verschiedene Aufsichtsbehörden in Deutschland haben die Vorgabe ausgegeben, dass eine Durchführung von Videokonferenzen immer auf Grundlage der Einwilligung geschehen muss. Wie gerade angedeutet, ist dies nach unserer Auffassung allerdings nicht immer der Fall.

Wie ist damit umzugehen, wenn der Kunde keine Onlinemeetings möchte, man aber keine andere Alternative anbieten kann? Ergibt sich damit ein Sonderkündigungsrecht? Wie ist in dieser Sache unter den Umständen der Corona-Eindämmung umzugehen?
Aus unserer Sicht deckt hier die Vorgabe der Behörden, es sei eine Einwilligung nötig, nicht alle Fälle ab. Da sich unsere zuständige Aufsichtsbehörde in Bayern dazu noch nicht geäußert hat, haben wir eine Anfrage gestellt. Sobald wir eine Antwort haben, werden wir das hier ergänzen.

Haben Sie hier eine Meinung oder eine Empfehlung? Wir freuen uns über Ihren Kommentar zu diesem Beitrag.

Stellungnahme des Berliner Datenschutzbeauftragten vom April 2020

Der Berliner Datenschutzbeauftragte hat während der Corona-Pandemie eine Stellungnahme zu Videokonferenzen ausgegeben.

Diese Stellungnahme trifft selbst bei Experten in diesem Bereich nicht ganz auf Zustimmung. Sehr detailliert finden Sie hier eine Interpretation zur Aussage des Berliner DSB.

Mehrere Datenschützer bemängeln die fehlenden fundierten und erläuterten Rückschlüsse auf die Aussagen in der Stellungnahme aus Berlin. Aus diesem Grund interpretieren wir die dort getroffenen Aussagen aktuell nicht als richtungsweisend in der Verwendung von Videokonferenzsystemen.

Videokonferenzsysteme und Datenschutz
Pin it!

Quellen:

Neben den Webseiten der Hersteller und den bereits verlinkten Referenzen in Beitrag wurde noch auf die Praxishilfe der GDD zu Videokonferenzen als Quelle zugegriffen.

FAQs

Was muss bezüglich Datenschutz bei der Auswahl von Videokonferenzsystemen beachtet werden?

Zu beachten ist das Herkunftsland des Anbieters. Ist dies aus dem nicht europäischen Raum (Drittland), muss das Datenschutzniveau gewährleistet werden.

Zudem muss der Hersteller einen AV Vertrag anbieten, wenn der Dienst als Service angeboten wird.

Entscheiden Sie, ob Sie den Dienst, wie gerade genannt als SaaS (Software as a Service – quasi als Cloud-Lösung) nutzen wollen oder ob Sie das Produkt auf eigenen Servern installieren und hosten.

Übergreifend müssen Sie bei der Auswahl beachten, welche Privacy by Design und Privacy by Default Einstellungen durch die Meeting-Software möglich sind.

Welche Privacy by Default und Privacy by Design Anforderungen sollten bei Onlinemeeting-Tools berücksichtigt werden?

Die folgende Liste ist nicht abschließend und stellt nur einen Anhaltspunkt dar:

  • Passwortvergabe bei Meetings soll möglich sein
  • Warteraum für Teilnehmer, bevor sie zum Meeting zugelassen werden
  • Mikrofon aller Teilnehmer kann durch den Moderator stumm geschaltet werden
  • Kamera und Mikrofon können durch jeden User manuell ein- und ausgeschaltet werden
  • Bildschirmübertragung muss durch den Teilnehmer aktiviert werden
  • Löschung von Protokolldateien kann konfiguriert werden
  • Verwischung des Hintergrunds
  • Aufzeichnung des Meetings kann nicht „versteckt“ durch einen Teilnehmer aktiviert werden.
  • ….

Welche Anbieter ermöglichen eine Ende zu Ende Verschlüsselung bei der Kommunikation?

Eine end-to-end Encryption wird derzeit u.a. von folgenden Anbietern unterstützt. Bitte beachten Sie, dass wir nicht alle auf dem Markt vorhandenen Lösungen evaluiert haben:

  • GoToMeeting von Cisco
  • Jitsi (Communityprojekt), allerdings nur, wenn nur 2 Teilnehmer an der Kommunikation beteiligt sind
  • Rocket.Chat, wenn konfiguriert
  • WebEx, allerdings kann es zu eingeschränktem Funktionsumfang führen

Die meisten Anbieter ermöglichen derzeit leider noch keine Ende zu Ende Verschlüsselung, was unsere Recherchen ergeben haben.

Was muss im Datenschutzmanagementsystem berücksichtigt werden, wenn Meeting-Tools eingesetzt werden?

  • Aufnahme des Verfahrens im Verarbeitungsverzeichnis (Art. 30 DSGVO)
  • Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO
  • Regelung der Auftragsverarbeitung (Art. 28 DSGVO)
  • Definition der Rechtsgrundlage (Art. 6 DSGVO)

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

4 Comments on “Welches Videokonferenzsystem erfüllt die Anforderungen an den Datenschutz?
  • Oliver Schumacher says:

    Hallo Regina!
    Sollte ich als Trainer dann im Idealfall meine Kunden darum bitten, ein Videokonferenzsystem zur Verfügung zu stellen – damit ich mit dem Thema DGVO in diesem Bereich nichts zu tun habe?
    Viele Grüße
    Oliver

    Antworten
    • Regina Stoiber says:

      Hallo Oliver,

      danke für deine Frage.
      Grundsätzlich macht es die Situation für dich einfacher, wenn der Kunde das System zur Verfügung stellt. Dann ist er der Verantwortliche im Sinne des Datenschutzes.
      Ansonsten ist es „dein“ System und du muss die Auswahl sicherstellen und dich auch z.B. um die Informationspflicht kümmern.

      Also, ja, das würde es für dich einfacher machen.
      Trotzdem sehe ich es als machbar, dass du auch selber ein System mitbringst, wenn der Kunde keins zur Verfügung stellt.

      Viele Grüße
      Regina

      Antworten
  • Online Meeting and Webinar Tools - a dataprivacy consideration - JCI Europe says:

    […] Regina Stoiber, lawyer and member of JCI Germany has investigated various tools regarding data privacy and the ability to use them in your company. Please find the original document (in German) here. […]

    Antworten
  • Laura Lübke says:

    Klasse Artikel mit vielen neuen Infos. Wir nutzen bei uns citomeeting.de, da die Server in Deutschland stehen. Wir sind mit dem DSGVO konformen Dienst sehr zufrieden. Keine Speicherung dervAudio-, Video- oder Chatdaten hat.

    Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.