Videokonferenzen oder Onlinemeetings haben aufgrund der Corona-Krise von einem Tag auf den anderen Einzug in die Unternehmen erhalten. Wer hätte gedacht, dass die Digitalisierung in diesem Bereich nun doch so schnell vonstattengeht?
Es ist nicht ganz einfach, aus der großen Auswahl von Onlinemeeting Tools den richtigen Meeting-Service auszuwählen. Neben den Anforderungen an die Benutzerfreundlichkeit ist auch die Einhaltung der Datenschutzanforderungen eine wichtige Komponente.
In diesem Beitrag möchten wir Ihnen eine Übersicht über die gängigsten Videokonferenzsysteme und deren Aspekte zum Datenschutz geben. Zudem zeigen wir vorab auf, was bei der Auswahl eines Systems in Bezug auf die Sicherheit personenbezogener Daten beachtet werden soll.
Abschließend geben wir noch ein paar Tipps, was beim Einsatz und der Durchführung von Onlinemeeting-Tools zu beachten ist.
Hinweis: Bei diesem Beitrag handelt es sich um keine Rechtsberatung. Der Inhalt stellt auch keine Werbung dar. Wir listen in diesem Beitrag objektive Kriterien auf und geben unsere subjektive Meinung ab. Dies ist aber auch extra gekennzeichnet („Erfahrung / Einschätzung der Datenbeschützerin).
Inhaltsverzeichnis
Auf den Punkt gebracht: Datenschutz bei Onlinemeeting-Tools
- Beachten Sie Hersteller und dessen Herkunftsland (Einhaltung des Datenschutzniveaus, Umsetzung der DSGVO Anforderungen)
- Nutzen Sie die Software als Dienst (SaaS) oder on-premise? Daraus resultieren unterschiedliche Anforderungen
- Beachten Sie grundsätzliche Anforderungen an Privacy by Design und Privacy by Default
- Binden Sie das (neue) Verfahren Onlinemeetings in Ihr Datenschutzmanagement ein
- Vereinbaren Sie Vorgaben mit den Mitarbeitern, was bei Onlinekonferenzen zu beachten ist
Welche Datenschutzanforderungen müssen bei der Auswahl von Videokonferenzsystemen berücksichtigt werden?
Bevor Sie sich für ein Onlinemeeting-Dienst entscheiden, sollten Sie aus dem Datenschutzgesichtspunkt folgende Punkte in Ihre Bewertung einfließen lassen:
Herkunftsland des Herstellers und Einhaltung des Datenschutzniveaus
Die Anforderungen der DSGVO deckt ein Hersteller in der EU natürlich (so der Gedanke) besser ab als ein Unternehmen außerhalb der EU. Primär sollte also der Fokus auf europäischen Firmen liegen.
Trotzdem ist festzustellen, dass gerade im Softwaresektor andere Länder außerhalb der EU sehr oft eine relevante Rolle spielen. Daher ist es wichtig, zu prüfen, inwieweit der Anbieter des Onlinemeeting-Tools die Anforderungen der DSGVO umsetzen kann. Insbesondere sollten dabei nachfolgende Punkte beachtet werden.
Einhaltung des Datenschutzniveaus
Dieser Punkt beschreibt, wie das Unternehmen im Drittland das durch die DSGVO geforderte Datenschutzniveau umsetzt.
Bei Unternehmen in den USA ist dies meist durch das EU-Privacy-Shield gegeben, das als Abkommen zwischen den USA und Europa vereinbart wurde. Ein nach dem Privacy-Shield zertifiziertes US-Unternehmen erfüllt die Einhaltung des Datenschutzniveaus.
Update 21.07.2020
Da das EU-US Privacy Shield am 16.07.2020 für ungültig erklärt wurde, ist die Rechtsgrundlage für die Übermittlung der Daten in die USA nun offen – sofern sich die Übertragung auf das Privacy Shield beruft.
Das heißt, alle US-Anbieter von Videokonferenzsystemen müssen nun eine andere rechtliche Basis schaffen, um die Daten aus Europa verarbeiten zu können. Ob dies und inwieweit dies möglich ist, wird sich zeigen.
Ob Sie unter den aktuellen Gegebenheiten des fehlenden Angemessenheitsbeschlusses einen neuen Anbieter für ein Videokonferenzsystem in den USA auswählen sollten, würde ich erst mal in Frage stellen. Ich bin überzeugt, dass sich eine Lösung finden wird. Wann es die gibt und wie die aussehen wird, bleibt offen.
Da auch den Behörden durchaus bewusst ist, dass bestimmte Funktionalitäten nur von amerikanischen Dienstleistern angeboten werden, sollten Sie bewusst vorgehen. Wir haben eine Anleitung zusammengestellt, wie Sie Cloud Services bewerten können.
Welche weiteren Möglichkeiten bestehen, um eine Datenübermittlung ins Drittland abzusichern, beschreiben wir ausführlich in unserem Knowledge Base Eintrag.
Abschluss eines Auftragsverarbeitungsvertrags
Sofern der Anbieter personenbezogene Daten verarbeitet, muss ein Auftragsverarbeitungsvertrag zwischen Anbieter und Kunde geschlossen werden.
Im Auftragsverarbeitungsvertrag wird genau gelistet, welche Daten zu welchem Zweck verarbeitet werden. Zudem werden Rechte und Pflichten beider Parteien geregelt. Wichtig ist auch, dass der Anbieter aufzeigt, mit welchen technischen und organisatorischen Schutzmaßnahmen die Sicherheit der Daten gewährleistet werden.
Mehr zum Thema AV-Vertrag finden Sie im Blogartikel dazu.
Vertreter in der EU
Artikel 27 der DSGVO fordert einen gesetzlichen Vertreter in der EU bei einem nicht in der EU ansässigen Unternehmen.
Hat das Unternehmen, wie es bei Google oder zum Beispiel Microsoft der Fall ist, neben dem Headquarter in den USA, Töchter oder Niederlassungen in der EU, ist dies damit abgedeckt.
Alle anderen Unternehmen bräuchten einen offiziell benannten und beauftragten Vertreter in der EU. Dies kann auch ein Dienstleistungsunternehmen sein. Ich schreibe hier ganz bewusst im Konjunktiv, da man ehrlicherweise sagen muss, dass dieser Punkt bisher nicht durchgängig verfolgt wird. Wenige Unternehmen wissen wohl von dieser Anforderung und noch wenigere setzen Sie aktiv um. Auf Nachfrage bei der Behörde zum Umgang mit Artikel 27 DSGVO wurden wir vertröstet. Hier sollte noch ein detailliertes Papier erscheinen (unabhängig vom DSK Kurzpapier Nr. 7).
Interner Betrieb oder Nutzung eines Service
Software as a Service (SaaS)
Die einfachere und komfortablere Nutzung eines Videokonferenzsystems ist in den meisten Fällen die Nutzung eines Onlinedienstes. Der Anbieter kümmert sich um die Administration und Verfügbarkeit des Services.
Alle teilnehmenden Parteien kommunizieren über den Server des Anbieters. Dadurch verarbeitet der natürlich auch in der Regel Daten und wird zum Auftragsverarbeiter (siehe oben).
Einfluss auf die Konfiguration – gerade bezüglich der Sicherheitskriterien -hat man als Kunde nicht. Dies kann Vor- und Nachteil sein. Hat man keine Ressourcen und kein Know-How, um Webmeeting-Tools zu administrieren, sollte man auf jeden Fall bei der SaaS Variante bleiben.
on-premise
Bei on-premise wird der Service auf Servern des Unternehmens betrieben. Wobei „Server des Unternehmens“ weit ausgelegt sein kann. Dabei kann es sich auch um einen Server handeln, der von einem Cloud Anbieter zur Verfügung gestellt wird. Die Administration erfolgt aber durch die eigenen Mitarbeiter. Auch die Einbindung in das eigene Firmennetzwerk kann in diesem Fall ermöglicht werden. In all diesen Fällen spricht man von der sogenannten on-premise Variante.
Hat man technisch qualifizierte Administratoren auf diesem Gebiet, die auch noch die notwendigen Ressourcen haben, eine interne Meetingsoftware zu verwalten, sollte man die Inhouse Variante durchaus in Betracht ziehen.
Die Konfiguration der Sicherheit liegt dann (soweit dies die Software zulässt) in den internen Händen des Unternehmens. Auch laufen die Daten nicht über einen externen Anbieter, sondern verblieben intern.
Privacy by Design und Privacy by Default Anforderungen
Der Service muss schon in seiner nativen Version grundlegende Datenschutzaspekte umgesetzt haben. Zusätzlich sollten aber auch noch Konfigurationsmöglichkeiten individuell möglich sein.
Verschlüsselte Kommunikation von Videokonferenzsystemen
Bei der Verschlüsselung sollten zwei Merkmale unterschieden werden:
Die verschlüsselte Kommunikation auf dem Übertragungsweg, also die Transportverschlüsselung, schützt die Daten auf dem Übertragungsweg.
Die zusätzliche Ende-zu-Ende-Verschlüsselung gewährleistet, dass nur Sender und Empfänger die Inhalte lesen können. Fehlt eine end-to-end Encryption, kann der Anbieter technisch die Inhalte einsehen. Ob er dies organisatorisch (z.B. durch vertragliche Regelungen) darf, ist eine andere Sache.
Konfiguration des Onlinemeetings
Im Idealfall sollte es zwei oder sogar drei Stufen geben, um Meetings zu konfigurieren. Durch die interne Administration sollte es bei einer Unternehmenslösung möglich sein, übergreifende Policies einzustellen. Im zweiten Schritt sollte dann aufsetzend auf diesen Policies der einzelne User, der ein Meeting plant, Optionen für eine spezielle Besprechung einstellen können. Dieses zweistufige Konzept kann natürlich nur bei einer Unternehmenslösung funktionieren und nicht bei Einzellizenzen.
In der dritten Stufe sollte dann der Teilnehmer selbst auch noch einmal Möglichkeiten haben, seine Umgebung einzustellen.
Beispiele für entsprechende Konfigurationsmöglichkeiten sind folgende:
- Passwortvergabe eines Meetings ist Pflicht
- Teilnehmer kommen zu einem Warteraum und werden dann manuell vom Moderator in das Meeting eingelassen
- Beim Betreten des Meetings sind Kamera und Mikrofon auf mute geschaltet und müssen durch den User manuell freigegeben werden
- Aufzeichnung kann nur durch den Moderator erfolgen
- Bildschirmübertragung kann nur durch den betreffenden User freigegeben werden
- Verwischung des Hintergrunds oder Einfügen eines virtuellen Hintergrundbildes (was in vielen Fällen als fun fact während des Meetings verwendet wird)
- Konfiguration der Aufbewahrungsfristen für Protokolldateien
- ….
Datenerhebung für eigene Zwecke
Bei der SaaS Variante kann es sein, dass Anbieter sich das Recht herausnehmen, Daten aus den Calls für eigene Zwecke zu verwenden. Hier sollten Sie auf jeden Fall einen Blick darauf werfen, ob dies nur für Service und Supportzwecke erfolgt – was in der Regel notwendig ist. Alternativ können auch weitere eigene Interessen des Anbieters dahinterstehen. In diesem Fall sollten Sie ganz genau hinsehen.
Anbieter für Videokonferenzen und Aspekte zum Datenschutz
Vorwort zur „Bewertung“
Wir haben uns ganz bewusst dagegen entschieden, ein Ranking oder eine Empfehlung auszusprechen. Nachfolgend sind die objektiven Kriterien gelistet, die die Hersteller angeben.
Wenn man natürlich, wie schon oben beschrieben dem EU-Privacy Shield kein Vertrauen ausspricht oder auch zu große Bedenken hat bezüglich der Gesetze in den USA (z.B. Cloud Act…), sollte ein Dienstleister aus den USA nicht in Erwägung gezogen werden.
Es kommt natürlich auch darauf an, wie vertraulich Ihre Gespräche über den Kanal sind. Ob man hochvertrauliche Inhalte über eine Videokonferenz tauschen darf, müssen Sie selbst entscheiden. Wenn wir unser Rotary „Plaudermeeting“ per Zoom abhalten, halten sich die Risiken aus meiner Sicht stark in Grenzen.
Entscheiden Sie vorher selbst, welche Gewichtung Sie den einzelnen Kriterien geben. Wenn Sie uns konkrete Vorgaben zu Ihrer Security-Policy im Unternehmen geben, können wir Ihnen auch gern eine individuelle Produktempfehlung aussprechen.
Alles andere wäre für mich unseriös. Die Anbieter zu ranken, ohne vorher die Anforderungen und das Security-Level des Kunden zu kennen, macht wenig Sinn.
Übersicht gängiger Anbieter
Die Liste ist nicht abschließend. Es werden die aus unserer Sicht häufigsten und bekanntesten Webmeeting-Tools vorgestellt.
Die Informationen beziehen sich auf die vom Hersteller genannten Angaben. Die Zusammenstellung der Informationen erfolgte nach gründlicher Recherche und bestem Wissen und Gewissen. Falls Ihnen tatsächlich ein Fehler ins Auge sticht, lassen Sie es uns bitte wissen.
alfaview
Kriterien
| Hersteller, Land | alfatraining Bildungszentrum GmbH |
| Vertreter in der EU (nach Art. 27 DSGVO) | entfällt |
| SaaS (Serverstandort) | |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja |
| Link AV-Vertrag | https://alfaview.com/de/avv-tom/ |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Ja |
| Gewährleistung des Datenschutzniveaus | entfällt, da deutscher Anbieter |
| Datenschutzerklärung | https://alfaview.com/de/privacy/ |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | zum Betrieb des Service |
| URL | https://alfaview.com/de/ |
Erfahrungen / Einschätzung der Datenbeschützerin
Den ersten Kontakt bzw. die erste Nutzung mit alfaview hatte ich tatsächlich in einem Onlinemeeting mit hochrangigen Datenschutzexperten und der bayerischen Aufsichtsbehörde in einem Meeting.
Das heißt, das hat schonmal das Image des Anbieters geprägt. Wenn es auf dieser Ebene verwendet wird, kann es nicht so verkehrt sein.
Was mich auch besonders beeindruckt hat, war die Vielfältigkeit der Funktionen. Viel, was man auch Zoom kennt, kann alfaview auch, unter anderem die Breakout Rooms für Gruppenarbeiten.
Blizz by TeamViewer
Kriterien
| Hersteller, Land | TeamViewer, Deutschland |
| Vertreter in der EU (nach Art. 27 DSGVO) | entfällt |
| SaaS (Serverstandort) | Ja (Deutschland) |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja |
| Link AV-Vertrag | https://www.blizz.com/de/auftragsverarbeitungsvertrag/ |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Ja |
| Gewährleistung des Datenschutzniveaus | entfällt, da deutscher Anbieter |
| Datenschutzerklärung | https://www.blizz.com/de/privacy-policy-product/ |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | zum Betrieb des Service |
| URL | https://www.blizz.com/de/ |
Erfahrungen / Einschätzung der Datenbeschützerin
TeamViewer ist mit seiner Remote Software gerade im deutschsprachigen Bereich führend. Ich kenne kaum ein Unternehmen, bei dem mir TeamViewer nicht untergekommen ist.
Da die Remotesoftware des Herstellers nicht den Zweck der direkten Kommunikation hat, ist eine Erweiterung des Angebots um ein Videokonferenzsystem sinnvoll. Selber haben wir noch keine Erfahrungen mit Blizz gemacht.
Von Dritten wurde dies allerdings im Handling als sehr positiv dargestellt. Auch die Informationen bezüglich Datenschutz, die der Hersteller gibt, sind umfangreich und lassen auf ein vertrauenswürdige Produkt schließen. Nach eigenen Angaben des Herstellers ist neben der verschlüsselten Übertragung auch eine zwei Faktor Authentifizierung möglich.
Etwas schade finde ich, dass online nicht nachzulesen ist, wo die Serverstandorte sind und wer ggf. als Subdienstleister eingesetzt wird, im Rahmen der Service Erbringung.
Aber ansonsten würde ich sagen „Daumen hoch“ 👍🏻
Conference & Collaboration
Kriterien
| Hersteller, Land | Telekom, Deutschland |
| Vertreter in der EU (nach Art. 27 DSGVO) | entfällt |
| SaaS (Serverstandort) | Ja (Deutschland) |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja |
| Link AV-Vertrag | https://geschaeftskunden.telekom.de/hilfe-und-service/self-services/dsgvo/businesskonferenzenundeventkonferenzen |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Nein (allerdings ist diese Information nicht direkt auf der Seite der Telekom zu finden, daher mit Vorsicht zu bewerten) |
| Gewährleistung des Datenschutzniveaus | entfällt, da deutscher Anbieter |
| Datenschutzerklärung | nicht dargestellt bzw. auffindbar |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | nicht bekannt, da keine DSE einsehbar |
| URL | https://konferenzen.telekom.de/produkte-und-preise/telefon-und-web/business-konferenzen/ |
Erfahrungen / Einschätzung der Datenbeschützerin
Leider haben wir bisher keine direkten und indirekten Erfahrungen von Kunden und Partnern über den Einsatz des Business-Konferenz Tools der Telekom. Daher können wir leider auch keine persönliche Meinung dazu weitergeben.
Was uns bei der Recherche eher negativ aufgefallen ist war, dass kein direkter Link zu Datenschutzinformationen zugänglich war.
Falls Sie schon Erfahrungen mit dem Konferenz Tool der Telekom haben, lassen Sie es uns wissen und schreiben Sie einen Kommentar.
Eyeson
Kriterien
| Hersteller, Land | eyeson GmbH |
| Vertreter in der EU (nach Art. 27 DSGVO) | entfällt |
| SaaS (Serverstandort) | über Dienstleister A1 Exoscale in der EU |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Keine Aussage dazu auf der Webseite und im Hilfecenter |
| Link AV-Vertrag | |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Ja |
| Gewährleistung des Datenschutzniveaus | entfällt |
| Datenschutzerklärung | Privacy Policy (eyeson.com) |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | In der Datenschutzerklärung erfolgt eine detaillierte Auflistung der verwendeten Daten. Die Daten werden zum Betrieb und zum Verwaltung des Service verwendet. |
| URL | https://www.eyeson.com/?lang=de |
Erfahrungen / Einschätzung der Datenbeschützerin
Wir haben uns den Service in einer Teststellung angesehen. An sich ist alles relativ einfach und selbsterklärend. Der Service bietet die Standardfunktionen über Chat, Bildschirm teilen….
Auf der Seite laufen keine Trackingtools und auch keine Analysetools. Also alles an sich eine sehr „saubere“ Seite.
Etwas schade fand ich, dass kein AV Vertrag automatisch zur Verfügung stand und auch kein Verweis in der Datenschutzerklärung auf einen AV Vertrag aufzufinden war. Die Idee, mal schnell anzurufen und nachzufragen, ging leider nicht auf. Eine Telefonnummer war nirgends zu finden. Das persönlich stört mich bei Anbietern, wenn nur schriftlicher Kontakt möglich ist. Die Funktionalität des Services leidet natürlich nicht darunter.
Sehr schön ist, dass keine zusätzliche Software benötigt wird und der Dienst im Browser läuft. Safari wird nicht unterstützt. Wir haben es mit Chrome und Edge erfolgreich ausprobiert.
Nette Gadgets sind die animierten Gifs zur Überbrückung langatmiger Meetinginhalte 😉
Google Meet
Kriterien
| Hersteller, Land | Google Ireland Ltd., Irland |
| Vertreter in der EU (nach Art. 27 DSGVO) | entfällt |
| SaaS (Serverstandort) | Ja (Irland), Teil der GSuite |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja, für GSuite |
| Link AV-Vertrag | https://gsuite.google.com/terms/dpa_terms.html |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Nein |
| Gewährleistung des Datenschutzniveaus | |
| Datenschutzerklärung | https://support.google.com/a/answer/7582940?hl=de |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | Keine konkrete Aussage dazu, allerdings versichert Google, dass die Daten nicht verkauft und für Werbung verwendet werden. Zudem gibt es kein Aufmerksamkeitstracking der User. |
| URL | https://gsuite.google.com/intl/de/products/meet/ |
Erfahrungen / Einschätzung der Datenbeschützerin
Vorerst bis einschließlich 28. Juni 2021 können Besprechungen mit drei oder mehr Teilnehmern in der kostenlosen Version maximal 24 Stunden dauern.
Ab 29. Juni sind diese Besprechungen auf 60 Minuten begrenzt. Für längere Meetings (bis maximal 24 Stunden) wird dann eine kostenpflichtige Lizenz benötigt (Google Workspace Essentials).
GoToMeeting
Kriterien
| Hersteller, Land | LogMeIn, USA |
| Vertreter in der EU (nach Art. 27 DSGVO) | LogMeIn Technologies UK Limited |
| SaaS (Serverstandort) | Ja (USA) |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja |
| Link AV-Vertrag | https://logmeincdn.azureedge.net/legal/20191226/DPA/LMI-Customer-Data-Processing-Addendum-2019-v2-SAMPLE.pdf (DSGVO konformer Nachtrag zur Verarbeitung der Kundendaten) |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Ja |
| Gewährleistung des Datenschutzniveaus | |
| Datenschutzerklärung | https://www.logmeininc.com/de/legal/privacy |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | Laut AV verarbeitet LogMeIn die Daten zum Betrieb des Services. |
| URL | https://www.gotomeeting.com/de-de |
Erfahrungen / Einschätzung der Datenbeschützerin
In der Zusammenarbeit mit Kunden kommunizieren wir auch über GoToMeeting, wenn dies vom Kunden angeboten wird. Funktionell ist das Tool sehr mächtig. Dadurch resultiert allerdings auch eine gewisse Komplexität in der Anwendung.
Den prüfbaren Kriterien zufolge erfüllt der Hersteller die Anforderungen der DSGVO.
Jitsi
Kriterien
| Hersteller, Land | Communityprojekt |
| Vertreter in der EU (nach Art. 27 DSGVO) | entfällt |
| SaaS (Serverstandort) | z.B. Fairmeeting, Österreich |
| SSL | Muss durch SaaS Dienstleister sicher gestellt werden |
| AV-Vertrag | Ja teilweise, wenn vom SaaS-Anbieter unterstützt |
| Link AV-Vertrag | je nach Anbieter des SaaS |
| on-premise | Ja, bevorzugt |
| Ende-zu-Ende-Verschlüsselung | Ja, aber nur bei 2 Teilnehmern |
| Gewährleistung des Datenschutzniveaus | entfällt, wenn SaaS Dienstleister in der EU |
| Datenschutzerklärung | in Abhängigkeit des Dienstleisters, das Communityprojekt bietet keine Datenschutzerklärung an |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | Nein |
| URL | https://jitsi.org |
Erfahrungen / Einschätzung der Datenbeschützerin
Einer unserer neuen Favoriten unter den Videokonferenzsystemen. Sehr einfach und „schlank“. Auf dem Rechner kann das Onlinemeeting über den Browser durchgeführt werden. Das ist vorbildlich, da keine weitere Software installiert werden muss. Auf Handy und Tablet muss eine App installiert werden.
Das Produkt ist kostenlos, nach aktuellen Einschätzungen und Bewertungen von Experten ist Jitsi auch konform zu den Anforderungen der DSGVO. Daher ist es auf jeden Fall ein Onlinemeetingtool, welches Sie in die engere Auswahl ziehen sollten.
Ideal wäre natürlich die Bereitstellung des Dienstes auf einen Server. Da dies aufgrund der Komplexität und Ressourcen nicht immer möglich ist, empfehlen wir neutrale Anbieter, wie z.B fairmeeting zu nutzen.
Rocket.Chat
Kriterien
| Hersteller, Land | Rocket.Chat Technologies Corp., USA |
| Vertreter in der EU (nach Art. 27 DSGVO) | nicht bekannt |
| SaaS (Serverstandort) | USA |
| Verschlüsselte Übertragung (TLS) | Ja, muss in der on-premise Variante selber abgesichert werden |
| AV-Vertrag | Ja |
| Link AV-Vertrag | Auf Nachfrage bietet der Hersteller einen AV Vertrag an (nur in der SaaS Lösung notwendig) |
| on-premise | Ja |
| Ende-zu-Ende-Verschlüsselung | Ja, muss in der on-premise Variante aktiviert werden |
| Gewährleistung des Datenschutzniveaus | nur vertraglich durch AV-Vertrag, kein EU-Privacy Shield |
| Datenschutzerklärung | https://rocket.chat/privacy |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | Bei der SaaS Lösung durch den Hersteller werden Daten für Support und Verbesserungen genutzt. |
| URL | https://rocket.chat |
Erfahrungen / Einschätzung der Datenbeschützerin
Mit Rocket.Chat haben wir inzwischen einiges an Erfahrung sammeln können. Auf der Suche nach einer datenschutzkonformen Kommunikationsplattform mit Kunden, aber auch Interessenten, haben wir viele Lösungen probiert. Neben den Anforderungen des Datenschutzes waren für uns allerdings auch finanzielle Aspekte wichtig in der Bewertung.
Mit Rocket.Chat in der on-premise Version, also in der selbst betriebenen Version, haben wir eine Lösung gefunden, die die Anforderungen des Datenschutzes sowie geringe Kosten (keine Lizenzkosten, nur Betrieb) bietet.
Während der Evaluierungsphase hatten wir auch direkten Kontakt mit dem Anbieter und können gerade in Bezug auf Datenschutz ein positives Feedback geben. Die Unterstützung und Rückmeldungen waren aus unserer Sicht sehr positiv.
Da allerdings kein Vertreter in der EU nachgewiesen wird und auch zur Einhaltung des Datenschutzniveaus kein EU-Privacy-Shield vorliegt, ist unsere Empfehlung, den Dienst auf einem europäischen Server zu hosten oder hosten zu lassen.
Mehr Chat als Videokonferenz
Rocket.Chat ermöglicht auch Videokonferenzen, ist aber nach unserer Einschätzung primär nicht dafür gemacht. Bei der Nutzung von Rocket.Chat steht bei uns der Austausch per Chat im Vordergrund. Als Videokonferenz nutzen wir andere Anbieter.
Skype / Skype for Business
Zu Skype und Skype for Business möchte ich an dieser Stelle nicht weiter eingehen.
Skype ist eine Lösung für Privatanwender und sollte im Businessbereich eigentlich nicht eingesetzt werden.
Skype for Business wurde von Microsoft abgekündigt und wird durch Teams ersetzt. Daher sollte Skype for Business in einer Evaluierung auch nicht weiter berücksichtigt werden.
Starleaf
Kriterien
| Hersteller, Land | StarLeaf Limited, UK |
| Vertreter in der EU (nach Art. 27 DSGVO) | entfällt (?) |
| SaaS (Serverstandort) | nicht eindeutig angegeben |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja |
| Link AV-Vertrag | https://318jud367y2743qanus941sz-wpengine.netdna-ssl.com/wp-content/uploads/guides/starleaf_dpa_v5.4.pdf |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Ja |
| Gewährleistung des Datenschutzniveaus | entfällt |
| Datenschutzerklärung | https://support.starleaf.com/legal-information/starleaf-privacy-notice/ |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | Detaillierte Informationen über Betriebssystem, Browser, Kamera, Mikrofon… zur Fehlerbehebung. Weitergabe der Daten zum Betrieb aber auch in die USA und andere Länder außerhalb der EU. |
| URL | https://www.starleaf.com |
Erfahrungen / Einschätzung der Datenbeschützerin
Selber haben wir bisher nur einmal ein Meeting mit StarLeaf durchgeführt. Bisher war mir das Tool auch unbekannt. Die genannten Kriterien bezüglich Datenschutz und Sicherheit sind grundsätzlich positiv. Was bei der Recherche für uns (mit begrenztem Zeitaufwand) nicht ersichtlich war, ist, wo die Server für den SaaS stehen. Mit dem Hinweis, dass Daten für die Fehlersuche auch außerhalb Europa weitergegeben werden könne, sollte vor einem Einsatz geklärt werden, ob die Datenweitergabe auch die Durchführung von Onlinemeetings betrifft.
Teams
Kriterien
| Hersteller, Land | Microsoft Corporation, USA |
| Vertreter in der EU (nach Art. 27 DSGVO) | |
| SaaS (Serverstandort) | Europa inkl. Deutschland für EU Kunden |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja |
| Link AV-Vertrag | http://www.microsoftvolumelicensing.com/Downloader.aspx?documenttype=OST&lang=German |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Nein |
| Gewährleistung des Datenschutzniveaus | |
| Datenschutzerklärung | https://privacy.microsoft.com/de-de/privacystatement |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | Zur Bereitstellung, Weiterentwicklung, Personalisierung aber auch zum personalisierten Werbeversand werden die Daten laut Privacy Policy genutzt. |
| URL | https://www.microsoft.com/de-de/microsoft-365/microsoft-teams/ |
Erfahrungen / Einschätzung der Datenbeschützerin
Wir nutzen mit Office 365 auch Teams. Funktionell gibt es Anbieter, die mehr bieten. Das muss man fairerweise sagen. Durch die Integration weiterer Kollaborationsmöglichkeiten und die enge Verzahnung mit anderen Office 365 Produkten wie OneDrive, SharePoint, Forms und Planer (…) hat Teams trotzdem seine Vorteile.
Microsoft ist ja in mancher Hinsicht bezüglich des Datenschutzes bei Office 365 (was ja nun eigentlich Microsoft 365 heißt) und Windows 10 etwas in Verruf. Der Hersteller ist aber aktiv dahinter, offene Lücken zu schließen und ein DSGVO-konformes Angebot zur Verfügung zu stellen. Wir gehen davon aus, dass dies auch weiterhin die Strategie von Microsoft ist und vertrauen daher auf dieses Produkt.
WebEx
Kriterien
| Hersteller, Land | Cisco, USA |
| Vertreter in der EU (nach Art. 27 DSGVO) | Der Anbieter hat verschiedene Unternehmen in Europa. |
| SaaS (Serverstandort) | USA |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja |
| Link AV-Vertrag | https://trustportal.cisco.com/c/dam/r/ctp/docs/dataprotection/cisco-master-data-protection-agreement.pdf |
| on-premise | Ja |
| Ende-zu-Ende-Verschlüsselung | Ja, allerdings kann dies ggf. zu eingeschränktem Funktionsumfang führen |
| Gewährleistung des Datenschutzniveaus | |
| Datenschutzerklärung | https://www.cisco.com/c/de_de/about/legal/privacy-full.html |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | Nutzung der Funktionen, Kundenservice, Marketininformationen (in der Datenschutzerklärung erfolgt keine Zuweisung der Datenverwendung zu Produkten) |
| URL | https://www.cisco.com/c/en/us/products/conferencing/webex-meetings/index.html |
Erfahrungen / Einschätzung der Datenbeschützerin
WebEx ist wohl einer der Anbieter, die bereits am längsten auf dem Markt sind. Meine ersten Onlinemeetings hatte ich ausschließlich mit WebEx. Ehrlich gesagt hatten wir inzwischen seit Jahren keine einzige Videokonferenz mehr mit WebEx. Dies mag aber nur ein subjektiver Eindruck sein, da nach wie vor Cisco mit der Software gut im Markt unterwegs ist.
Eine persönliche Einschätzung können wir dazu aber momentan nicht geben.
Zoom
Kriterien
| Hersteller, Land | Zoom Video Communications, Inc., USA |
| Vertreter in der EU (nach Art. 27 DSGVO) | |
| SaaS (Serverstandort) | USA |
| Verschlüsselte Übertragung (TLS) | Ja |
| AV-Vertrag | Ja |
| Link AV-Vertrag | https://zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf |
| on-premise | Nein |
| Ende-zu-Ende-Verschlüsselung | Nein, nach Aussage des Herstellers ist dieses Sicherheitsmerkmal in Arbeit |
| Gewährleistung des Datenschutzniveaus | |
| Datenschutzerklärung | https://zoom.us/privacy |
| DSGVO-konform (Angabe des Herstellers) | Ja |
| Verwendung der Daten zu eigenen Zwecken | |
| URL | https://zoom.us |
Erfahrungen / Einschätzung der Datenbeschützerin
Persönlich gehört Zoom zu unseren Favoriten. Da sind wir nicht allein, denn Zoom hat seine Stellung unter den Marktführer für Online Meetings gerade durch Corona noch weiter ausgebaut.
Was ist an Zoom so toll? Die Bedienung ist extrem einfach. Es wurde sehr gut umgesetzt, alle Teilnehmer im Blick zu behalten. Bei keinem anderen Tool, welches wir bisher genutzt haben, kann man alle Teilnehmer auf einem Bildschirm anzeigen. Bei Zoom ist dies eine der Standardansichten. Alternativ kann man die „Sprecheransicht“ wählen, die automatisch immer den Sprechenden in groß zeigt. Zudem regelt Zoom die Priorisierung der Sprache besser als andere, die wir ausprobiert haben. Der Ton wird nur von einer Person übertragen. Sprechen mehrere Personen gleichzeitig, wird ein Teilnehmer bevorzugt.
Datenschutz bei Zoom
Durch den extremen Zulauf bei Zoom während der Corona-Krise kam der Datenschutz immer wieder in Verruf.
Der Hersteller hat in dieser Zeit aber auch extrem nachgebessert. Sieht man sich die Datenschutzpolicy heute (während Corona) an, ist sie viel ausführlicher als Anfang 2020. Der Hersteller ist sehr bemüht, transparent zu sein.
Zudem wurden in der Applikation auch neue Sicherheitsfeatures eingebaut. Es gibt nun z.B. einen Warteraum für neue Teilnehmer. Es obliegt also dem Moderator, wann ein Teilnehmer eingelassen wird.
Konkrete Vorwürfe, wie z.B. dass Daten unrechtmäßig an Facebook weitergeleitet wurden, nahm der Hersteller sofort auf. Laut seiner Stellungnahme handelte es sich um einen Fehler bei einer mobilen App. Dieser wurde aber behoben.
Einen momentan regelmäßig aktualisierten und sehr ausführlichen Artikel zum Datenschutz bei Zoom findet man beim Rechtsanwalt Hansen-Oest.
Aus unserer Sicht erfüllt Zoom die überprüfbaren Merkmale aus Sicht Datenschutz. Wenn man nun allerdings derzeit gültige Abmachungen, wie das EU-Privacy-Shield in Frage stellt und amerikanische Anbieter grundsätzlich als nicht datenschutzkonform ansieht, sollte man diese Anbieter nicht in Erwägung ziehen.
Update 29.04.2020: Am 23.04.2020 veröffentlichte das Management eine Stellungnahme zum Thema Sicherheit. Dort sind auch die geplanten Maßnahmen aufgezeigt. Hier finden Sie das Dokument.
Was müssen Sie bei der Durchführung eines Onlinemeetings beachten?
Sie haben sich nach langer Evaluierung oder nach extrem kurzer Entscheidungsdauer (während des Corona-Shutdowns) für eine Konferenzsoftware entschieden.
Nun sollten Sie Ihren Mitarbeitern klare Vorgaben an die Hand geben, die sie bei einem Onlinemeeting zu beachten haben. Am besten erstellen Sie dazu eine Richtlinie, welche Besprechungsregeln bei einem Onlinemeeting gelten.
Organisatorische Vorgaben / Besprechungsregeln für virtuelle Meetings
Grundsätzlich sollten die „normalen“ Besprechungsregeln auch für virtuelle Meetings gelten. Da es sich um einen anderen „Raum“ handelt, machen die Besprechungsregeln in etwas abgewandelter Form durchaus Sinn.
Für den Moderator (Initiator des Onlinemeetings)
- Erstellen Sie das Meeting in der Konferenzsoftware und legen Sie ein Passwort fest.
- Laden Sie alle eingeladenen Teilnehmer mit einer offiziellen Einladungsmail ein. Wenn möglich, planen Sie den Termin gleich im Kalender Ihres Kollaboration-Tools (z.B. Outlook, Notes, Google Kalender…).
- Teilen Sie in der Einladung den Link zum Meetingraum und das Passwort mit.
- Lassen Sie die Teilnehmer über einen „Warteraum“ nur durch Ihre manuelle Freigabe in das Meeting.
- Stellen Sie die Teilnehmer zu Beginn des Meetings vor, falls sich noch nicht alle kennen.
- Weisen Sie darauf hin, dass jeder Teilnehmer sein Mikrofon stumm schalten soll, wenn er oder sie nicht zu allen spricht. Andernfalls schalten Sie die Mikrofone still, um die Geräuschkulisse an Nebengeräuschen zu minimieren.
- Achten Sie darauf, dass alle Teilnehmer die notwendige Redezeit erhalten und unterbrechen Sie auch mal höflich Dauerplapperer.
- Vereinbaren Sie Zeichen, wenn jemand einen Beitrag geben möchte. Je nach Software kann man auch virtuell „die Hand heben“.
- Sollte das Video aufgenommen werden (oder Teile davon), benötigen Sie die Einwilligung aller Teilnehmer. Am besten fragen Sie diese ab und starten anschließend die Aufnahme. Zur Dokumentation der Einwilligung sollten Sie dieselbe Abfrage nun mit laufender Aufzeichnung nochmal stellen.
Für Teilnehmer an einem Meeting
- Wählen Sie sich ins Meeting ein und begrüßen Sie die bereits anwesenden Teilnehmer (hört sich so logisch an, ist aber nicht immer der Fall).
- Schalten Sie Ihre Kamera ein. Hier spreche ich wohl mehr aus der Sicht des Besprechungsteilnehmers als des strikten Datenschützers. Doch selbst aus Datenschutzsicht kann ich darin kein extremes Problem sehen. Das Einschalten der Kamera zeigt Respekt den anderen Teilnehmern gegenüber. In einem Vor-Ort-Termin sitzt man sich ja auch gegenüber und unterlässt nebenbei Spiele und Tippereien am Smartphone (so meine naive Erwartungshaltung an die Durchführung von Besprechungen).
- Die Kamera einzuschalten, setzt natürlich voraus, dass man sich wenigstens im sichtbaren Bereich entsprechend kleidet und zurecht macht. Wählen Sie bewusst aus, wo Sie Ihr Onlinemeeting durchführen. Gibt es einen relativ neutralen Hintergrund oder können Sie einen temporären Hintergrund während des Meetings organisieren?
- Melden Sie sich oder geben Sie dem Moderator ein Zeichen, wenn Sie einen Beitrag geben möchten. Dies kann ggf. auch per (privater) Chatnachricht an den Moderator erfolgen.
- Verabschieden Sie sich, wenn Sie vorzeitig die Besprechung verlassen müssen.
- Und wie schon oben kurz erwähnt: Ein virtuelles Meeting bedeutet nicht, dass alle Besprechungsregeln außer Kraft gesetzt werden. Das parallele Arbeiten an Laptop, Tablet oder Handy ist nicht nur in vor Ort Terminen unhöflich, sondern auch im Onlinemeeting.
Maßnahmen im Datenschutzmanagementsystem bei Onlinemeetings
Letztendlich ist die Durchführung von Onlinemeetings ein Verfahren im Sinne des Datenschutzmanagementsystem. Als versierter Datenschutzbeauftragte/r wissen Sie ja, dass folgende Punkte obligatorisch sind.
Aufnahme der Onlinemeetings im Verfahrensverzeichnis
Es handelt sich um ein Verfahren, welches im Verfahrensverzeichnis nach Art. 30 DSGVO beschrieben werden muss. Auf weiteres möchte ich an dieser Stelle nicht eingehen. Einen detaillierten Beitrag zum Verfahrensverzeichnis finden Sie auf unserer Webseite.
Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) des Videokonferenzsystems
Nach Artikel 32 DSGVO müssen die TOMs dem Stand der Technik entsprechen. Diese sollten Sie in Ihrer Übersicht der technischen und organisatorischen Maßnahmen (kurz) dokumentieren. Ob Sie dies nun im Rahmen des Verfahrensverzeichnisses oder separat machen, bleibt Ihnen überlassen.
Sollten Sie Defizite bzw. Risiken identifizieren, müssen Sie diese benennen und in Abstimmung mit den Verantwortlichen Personen Maßnahmen vereinbaren.
Regelung der Auftragsverarbeitung
Nutzen Sie Web Meetings über einen Anbieter, also als Software as a Service, müssen Sie das Thema AV-Vertrag beachten.
Der Abschluss eines AV-Vertrags muss primär in Ihrem Interesse liegen. Sie sollten einen AV-Vertrag einfordern und auf Vollständigkeit prüfen.
Rechtsgrundlage der Verarbeitung
Hier müssen Sie im Einzelfall die für Sie zutreffende Rechtsgrundlage festlegen.
Berechtigtes Interesse nach Art. 6 (1) lit. f DSGVO
Wenn Sie die Besprechungen einsetzen, um die internen Abläufe zu optimieren und z.B. Reisezeiten zu verringern, kann die Rechtsgrundlage das begründete Interesse des Unternehmens sein. Beachten Sie aber, dass in diesem Fall eine Interessensabwägung notwendig ist.
Vertragliche oder vorvertragliche Maßnahme nach Art. 6 (1) lit. b DSGVO
Wenn Sie Ihren Vertrag nur erfüllen können, indem Sie Onlinemeetings durchführen, dann basiert das auf der genannten Rechtsgrundlage. Bei Abschluss von neuen Verträgen, bei denen die Onlinemeetings ein Bestandteil der gekauften (Dienst-)Leistung sind, ist dies aus unserer Sicht klar geregelt. Der Vertrag kommt nicht zustande, wenn der Käufer die Onlinemeetings nicht möchte. Beispiel könnte sein, dass eine Tanzschule oder ein Fitnessclub seine Mitglieder nur Online in Gruppen coacht.
Anders und nicht ganz so eindeutig verhält es sich aus unserer Sicht bei Vertragsbeziehungen, die normalerweise auf Vor-Ort-Terminen beruhen. Durch die Kontaktsperre während Corona haben nun viele auf virtuelle Meetings umgestellt. Auch unsere Kunden bieten bei laufenden Verträgen virtuelle Treffen an. In den meisten Fällen ist dies kein Problem und der Kunde freut sich über die Fortführung des Vertrags.
Was aber, wenn der Kunde keine virtuellen Meetings möchte?
Einwilligung nach Art. 6 (1) lit. a DSGVO
Verschiedene Aufsichtsbehörden in Deutschland haben die Vorgabe ausgegeben, dass eine Durchführung von Videokonferenzen immer auf Grundlage der Einwilligung geschehen muss. Wie gerade angedeutet, ist dies nach unserer Auffassung allerdings nicht immer der Fall.
Wie ist damit umzugehen, wenn der Kunde keine Onlinemeetings möchte, man aber keine andere Alternative anbieten kann? Ergibt sich damit ein Sonderkündigungsrecht? Wie ist in dieser Sache unter den Umständen der Corona-Eindämmung umzugehen?
Aus unserer Sicht deckt hier die Vorgabe der Behörden, es sei eine Einwilligung nötig, nicht alle Fälle ab. Da sich unsere zuständige Aufsichtsbehörde in Bayern dazu noch nicht geäußert hat, haben wir eine Anfrage gestellt. Sobald wir eine Antwort haben, werden wir das hier ergänzen.
Haben Sie hier eine Meinung oder eine Empfehlung? Wir freuen uns über Ihren Kommentar zu diesem Beitrag.
Stellungnahme des Berliner Datenschutzbeauftragten vom April 2020
Der Berliner Datenschutzbeauftragte hat während der Corona-Pandemie eine Stellungnahme zu Videokonferenzen ausgegeben.
Diese Stellungnahme trifft selbst bei Experten in diesem Bereich nicht ganz auf Zustimmung. Sehr detailliert finden Sie hier eine Interpretation zur Aussage des Berliner DSB.
Mehrere Datenschützer bemängeln die fehlenden fundierten und erläuterten Rückschlüsse auf die Aussagen in der Stellungnahme aus Berlin. Aus diesem Grund interpretieren wir die dort getroffenen Aussagen aktuell nicht als richtungsweisend in der Verwendung von Videokonferenzsystemen.
Update Juli 2020: Prüfung von Videokonferenzsystemen
Die Berliner Aufsichtsbehörde prüfte verschiedene Videokonferenz-Anbieter. Das Ergebnis der Prüfung ist mittels eines Ampel-Systems übersichtlich dargestellt:
- Grün – keine Mängel oder kein Risiko
- Gelb – Mängel oder ein Risiko liegt vor, jedoch durch Sicherheitsmaßnahmen kann dies behoben werden
- Rot – Mängel oder hohes Risiko liegt vor; ein rechtskonformer Einsatz ist nicht möglich
Bei der Prüfung wurden vor allem die Auftragsverarbeitungsverträge gesichtet und einige technische Aspekte geprüft (jedoch keine vollumfängliche technische Prüfung).
Nach Ansicht der Berliner Aufsichtsbehörde erfüllen nur vereinzelte Anbieter die Anforderungen und somit den unbedenklichen Einsatz.
Update Februar 2021: Aktualisierte Hinweise zu Videokonferenzsystemen
Die Berliner Aufsichtsbehörde hat ihre Ergebnisse aus der Prüfung vom Juli 2020 überarbeitet und ein Update im Februar 2021 erstellt.
Erfreulicherweise erreichen einige Anbieter nun eine „grüne“ Ampel – anders als bei der ersten Prüfung. Unter anderem sind die Anbieter
- A-Confi
- alfaview
- mailbox.org
- meetzi
- NETWAYS
- OSC BigBlueButton und
- sichere-videokonferenz.de
mit einer grünen Ampel versehen worden.
Orientierungshilfe der DSK vom Oktober / November 2020
Die DSK veröffentlichte im Oktober 2020 eine Orientierungshilfe für Videokonferenzsysteme.
Die Orientierungshilfe gibt eine ausführliche Hilfestellung zu den rechtlichen Anforderungen, insbesondere:
- Rechtsgrundlage der Datenverarbeitung (Einwilligung, Teilnahme aus Privatwohnungen, Aufzeichnungen von Videokonferenzen)
- Pflichten des Verantwortlichen (Informationspflicht, Auftragsverarbeitung, Meldepflicht bei Datenpannen)
- und auch die TOMs (Übertragungssicherheit, Authentifizierung von Teilnehmern)
Neben der Orientierungshilfe veröffentlichte die DSK noch eine Checkliste für Videokonferenzen (als Word-Dokument zum Download). In dieser können die Verantwortlichen prüfen, ob die Vorgaben aus der Orientierungshilfe umgesetzt wurden.
November 2021: Handreichung zu Videokonferenztools des LfDI Baden-Württemberg
Der Datenschutzbeauftragte von Baden-Württemberg veröffentliche im November 2021 eine neue Handreichung für verschiedene Videokonferenzsysteme und eine Bewertung in Tabellenform. Folgende Videokonferenzsysteme werden dabei berücksichtigt:
- Alfaview
- BigBlueButton
- Cisco Webex
- GoToMeeting
- Jitsi Meet
- Microsoft Teams
- Sykpe for Business
- Zoom
Weiterhin prüfte der Datenschutzbeauftragte, ob ein Auftragsverarbeitungsvertrag angeboten wird, inwiefern ein Drittstaaten-Transfer stattfindet, welche technischen Sicherheitsvorkehrungen (Authentifzierung, Verschlüsselung, Data Protection by Default, etc.) das System bietet, ob die Deinstallation so einfach wie die Installation ist, wie es um die Meta-, Telemetrie- und Diagnosedaten steht
Die Handreichung und die ausführliche Tabellenübersicht der Prüfung können hier abgerufen werden:
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/10/VKS_mit-Tabelle_Online.pdf
https://www.baden-wuerttemberg.datenschutz.de/vks/
Quellen:
Neben den Webseiten der Hersteller und den bereits verlinkten Referenzen in Beitrag wurde noch auf die Praxishilfe der GDD zu Videokonferenzen als Quelle zugegriffen.
- DSK Orientierungshilfe Videokonferenzsysteme vom 23.10.2020
- DSK Checkliste Datenschutz in Videokonferenzsystemen vom 11.11.2020
FAQs
Was muss bezüglich Datenschutz bei der Auswahl von Videokonferenzsystemen beachtet werden?
Zu beachten ist das Herkunftsland des Anbieters. Ist dieser aus dem nicht europäischen Raum (Drittland), muss das Datenschutzniveau gewährleistet werden.
Zudem muss der Hersteller einen AV Vertrag anbieten, wenn der Dienst als Service angeboten wird.
Entscheiden Sie, ob Sie den Dienst, wie gerade genannt als SaaS (Software as a Service – quasi als Cloud-Lösung) nutzen wollen oder ob Sie das Produkt auf eigenen Servern installieren und hosten.
Übergreifend müssen Sie bei der Auswahl beachten, welche Privacy by Design und Privacy by Default Einstellungen durch die Meeting-Software möglich sind.
Welche Privacy by Default und Privacy by Design Anforderungen sollten bei Onlinemeeting-Tools berücksichtigt werden?
Die folgende Liste ist nicht abschließend und stellt nur einen Anhaltspunkt dar:
- Passwortvergabe bei Meetings soll möglich sein
- Warteraum für Teilnehmer, bevor sie zum Meeting zugelassen werden
- Mikrofon aller Teilnehmer kann durch den Moderator stumm geschaltet werden
- Kamera und Mikrofon können durch jeden User manuell ein- und ausgeschaltet werden
- Bildschirmübertragung muss durch den Teilnehmer aktiviert werden
- Löschung von Protokolldateien kann konfiguriert werden
- Verwischung des Hintergrunds
- Aufzeichnung des Meetings kann nicht „versteckt“ durch einen Teilnehmer aktiviert werden.
- ….
Welche Anbieter ermöglichen eine Ende zu Ende Verschlüsselung bei der Kommunikation?
Eine end-to-end Encryption wird derzeit u.a. von folgenden Anbietern unterstützt. Bitte beachten Sie, dass wir nicht alle auf dem Markt vorhandenen Lösungen evaluiert haben:
- GoToMeeting von Cisco
- Jitsi (Communityprojekt), allerdings nur, wenn nur 2 Teilnehmer an der Kommunikation beteiligt sind
- Rocket.Chat, wenn konfiguriert
- WebEx, allerdings kann es zu eingeschränktem Funktionsumfang führen
Die meisten Anbieter ermöglichen derzeit leider noch keine Ende zu Ende Verschlüsselung, was unsere Recherchen ergeben haben.
Was muss im Datenschutzmanagementsystem berücksichtigt werden, wenn Meeting-Tools eingesetzt werden?
- Aufnahme des Verfahrens im Verarbeitungsverzeichnis (Art. 30 DSGVO)
- Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO
- Regelung der Auftragsverarbeitung (Art. 28 DSGVO)
- Definition der Rechtsgrundlage (Art. 6 DSGVO)
Hallo Regina!
Sollte ich als Trainer dann im Idealfall meine Kunden darum bitten, ein Videokonferenzsystem zur Verfügung zu stellen – damit ich mit dem Thema DGVO in diesem Bereich nichts zu tun habe?
Viele Grüße
Oliver
Hallo Oliver,
danke für deine Frage.
Grundsätzlich macht es die Situation für dich einfacher, wenn der Kunde das System zur Verfügung stellt. Dann ist er der Verantwortliche im Sinne des Datenschutzes.
Ansonsten ist es „dein“ System und du muss die Auswahl sicherstellen und dich auch z.B. um die Informationspflicht kümmern.
Also, ja, das würde es für dich einfacher machen.
Trotzdem sehe ich es als machbar, dass du auch selber ein System mitbringst, wenn der Kunde keins zur Verfügung stellt.
Viele Grüße
Regina
Klasse Artikel mit vielen neuen Infos. Wir nutzen bei uns citomeeting.de, da die Server in Deutschland stehen. Wir sind mit dem DSGVO konformen Dienst sehr zufrieden. Keine Speicherung dervAudio-, Video- oder Chatdaten hat.