<< zurück

16.04.2020

Videokonferenz-Plattformen im Datenschutz-Check

Hintergrund

Aufgrund der Corona-Pandemie haben derzeit viele Unternehmen ihre Mitarbeiter - soweit dies möglich war - ins Home-Office geschickt. Um das Geschäft  und die Kommunikation untereinander dennoch aufrecht erhalten zu können, setzen Unternehmen vermehrt Videokonferenz-Tools für Meetings, Online-Konferenzen sowie Webinare ein. Auch wenn viele dieser Tools nützliche Funktionen wie beispielsweise das Screen- und Filesharing anbieten, so müssen diese den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechen. Zahlreiche auf dem Markt befindliche Konferenzsysteme erheben in unzulässiger Weise Nutzerdaten, zeichnen die Kommunikation ohne entsprechende Einwilligung der Teilnehmer auf oder sichern diese nicht hinreichend gegen unbefugte Eingriffe. Einige dieser Tools sehen sich daher in jüngster Zeit massiver Kritik ausgesetzt. Im folgenden Beitrag möchten wir Ihnen Hilfestellungen für den Einsatz solcher Tools an die Hand geben. Eine allgemeine Handlungsempfehlung zum Datenschutz im Home-Office haben wir ebenfalls für Sie zusammengestellt.

Vorüberlegungen

Da umfassende Verlautbarungen von Datenschutz-Aufsichtsbehörden zu Videokonferenz-Tools aktuell (noch) nicht existieren, müssen Unternehmen die rechtlichen Vorgaben in eigener Verantwortung identifizieren und entsprechende Vorkehrungen treffen. Dies beinhaltet technische, rechtliche und organisatorische Maßnahmen, auch um die Mitarbeiter mit den entsprechenden Anforderungen vertraut zu machen.

  • Zunächst sollte geprüft werden, ob ein unternehmenseigenes Videokonferenz-Tool existiert oder ob auf eine SaaS-Lösung (Software as a Service) zurückgegriffen werden muss und welche Entscheidungsfreiheit Mitarbeitern in Bezug auf die Nutzung der Tools gewährt werden soll.
  • Unter datenschutzrechtlichen Gesichtspunkten sind SaaS-Anbieter mit Sitz im Geltungsbereich der DSGVO vorzuziehen. Wird dennoch ein Videokonferenz-Tool  gewählt, dessen Anbieter außerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) niedergelassen ist bzw. bei dessen Nutzung Daten in sogenannte „Drittländer“ übermittelt werden, so sollte sichergestellt sein, dass das jeweilige Land oder der jeweilige Anbieter ein angemessenes Schutzniveau gewährleistet (Angemessenheitsbeschluss der EU, Privacy-Shield-Zertifizierungen von US-Unternehmen) oder andere geeignete Garantien des Anbieters bestehen (Abschluss von Standarddatenschutzklauseln, Binding Corporate Rules).
  • Auch wenn sich die Wahl einer kostenlosen Version des Videokonferenz-Tools anbieten mag, sollte geprüft werden, ob damit nicht ein datenschutzrechtlich unzulässiges Profiling oder eine unzulässige Verarbeitung der Daten des Mitarbeiters zu Werbezwecken verbunden ist.
Rechtsgrundlage

Da es bei dem Einsatz von Videokonferenz-Tools unausweichlich zu einer Verarbeitung personenbezogener Daten kommt, muss für diese nach Art. 6 DSGVO zwingend eine ausreichende Rechtsgrundlage bestehen. Im Beschäftigtenverhältnis kommt dafür regelmäßig § 26 Bundesdatenschutzgesetz in Betracht, da die Datenverarbeitung – insbesondere in Zeiten von Corona und der damit verbundenen Home-Office-Tätigkeit – für die Durchführung des Arbeitsverhältnisses erforderlich sein kann. Sollte es an der notwendigen „Erforderlichkeit“ fehlen, muss für eine rechtmäßige Verarbeitung eine andere Rechtsgrundlage, wie beispielsweise eine Betriebsvereinbarung oder die Einwilligung der Mitarbeiter, gegeben sein. Das Erfordernis der Freiwilligkeit ist bei einer Einwilligung im Beschäftigtenverhältnis regelmäßig problematisch.

Mitbestimmungsrecht des Betriebsrates und Beteiligung des betrieblichen Daten-schutzbeauftragten

Soweit technische Einrichtungen eingeführt oder angewendet werden, welche „dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“ muss nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz die Zustimmung des Betriebsrates eingeholt werden. Auch wenn tatsächlich keine Überwachung der Mitarbeiter geplant ist, sind die meisten Videokonferenz-Tools hierzu objektiv geeignet. Je nach Ausgestaltung des jeweiligen Tools kann diese Überwachung beispielsweise durch Login-Daten oder sogar explizit dafür vorgesehene Funktionen erfolgen. Die sogenannte „attention-tracking“- Funktion bei Zoom-Video informiert denjenigen, der das Meeting einberufen hat, sobald ein Teilnehmer das Fenster länger als 30 Sekunden „aus den Augen lässt“, also beispielsweise ein anderes Fenster öffnet. Diese Funktion muss zwar bei dem entsprechenden Tool explizit aktiviert werden, eine automatische Information der Teilnehmer des Meetings erfolgt jedoch bislang nicht.

Neben dem Betriebsrat sollte auch der betriebliche Datenschutzbeauftragte in die Entscheidung einbezogen werden, um aufkommende Fragen und Probleme frühzeitig adressieren und klären zu können.

Abschluss eines Auftragsverarbeitungsvertrages

Regelmäßig handelt es sich bei dem Anbieter von Videokonferenz-Tools um einen Auftragsverarbeiter, der personenbezogene Daten der Nutzer weisungsgebunden zu Zwecken der Bereitstellung des Dienstes verarbeitet. Daher ist es erforderlich, einen Auftragsverarbeitungsvertrag im Sinne von Art. 28 Abs. 3 DSGVO abzuschließen. Teilweise wird ein solcher bereits als Anhang zu den Nutzungsbedingungen (oder an ähnlicher Stelle) angeboten. Falls dies nicht der Fall sein sollte, sollte aktiv auf den Anbieter zugegangen werden, um eine entsprechende Vereinbarung zu treffen.

Informationspflichten und „privacy by default“

Das Unternehmen steht nach Art. 13, 14 DSGVO zudem in der Pflicht, als Verantwortlicher für die Datenverarbeitung die Teilnehmer etwa über die Zwecke, Art und Umfang der Verarbeitung zu informieren. Daher sollte sichergestellt werden, dass den Teilnehmern ausreichende Datenschutzhinweise zur Verfügung gestellt werden. Denkbar ist eine Integration in die reguläre Datenschutzerklärung, auf die jedoch explizit hingewiesen werden sollte, beispielsweise bei der Einladung zum virtuellen Meeting. Dies gilt auch für die Frage, wie andere Teilnehmer zur Videokonferenz eingeladen werden sollten - durch Eingabe der E-Mail Adresse dieser Teilnehmer seitens des Einladenden über das Videokonferenz-Tool oder auf anderem Wege.

Da Anbieter von Videokonferenz-Tools häufig nicht die datenschutzfreundlichsten Voreinstellungen vorsehen, sollten Unternehmen prüfen, welche Optionen bestehen, zentral oder durch den einzelnen Nutzer datenschutzfreundliche Voreinstellungen zu wählen.

Sicherheit/Technische und Organisatorische Maßnahmen

Einige Videokonferenz-Tools bieten eine Ende-zu-Ende-Verschlüsselung an, andere hingegen lediglich eine Transportverschlüsselung. Letztlich haftet das Unternehmen als Verantwortlicher für die Datenverarbeitung dafür, dass personenbezogene Daten sowie andere ausgetauschte Inhalte gegen unbefugte Kenntnisnahme ausreichend gesichert sind. Der Anbieter des Videkonferenz-Tools kann in Anspruch genommen werden, wenn er Vorgaben des Auftragsverarbeitungsvertrags verletzt. Die im Einzelfall erforderlichen Maßnahmen hängen insoweit auch von der Sensibilität der ausgetauschten Informationen ab. Folgende Punkte sollten u. a. beachtet werden:

  • Bei quelloffener Software muss sich das Unternehmen nicht auf die Angaben des Anbieters verlassen; die Angaben können von außen verifiziert werden, was zu mehr Transparenz und Sicherheit beiträgt. Dabei ist jedoch darauf zu achten, dass nicht nur die Client-Software, sondern auch das Backend quelloffen ist.
  • Es sollte sichergestellt sein, dass eine Teilnahme an der Videokonferenz nur nach einer Authentifizierung möglich ist, damit sich Fremde nicht unbefugt in die Videokonferenz einwählen können.
  • Sofern innerhalb der Videokonferenz der Bildschirm übertragen wird („Screensharing“) sollten Mitarbeiter angehalten werden, darauf zu achten, dass nur die für die Konferenz relevanten Informationen zu sehen sind. Unnötige Inhalte und Fenster sollten also vorher geschlossen werden und ein separater Desktop eingerichtet werden, auf welchem keine Dateien oder Verknüpfungen zu sehen sind. Zudem sollten Bildschirmübertragungen grundsätzlich eine ausdrückliche Zustimmung voraussetzen.
  • Nutzen die Teilnehmer die Video-Funktion, d.h. sie sind für die anderen Teilnehmer per Video sichtbar, sollten sie sicherstellen, dass keine fremden Personen im Bild erkennbar sind. Gleiches gilt für unbefugtes Mithören – empfehlenswert ist daher die Konferenz in einem abgegrenzten Bereich durchzuführen. Hier empfiehlt sich eine kurze Richtlinie zur Nutzung entsprechender Tools, die jedem Teilnehmer mit der Einladung übersandt oder an anderer Stelle (z.B. Webseite) zur Verfügung gestellt werden kann.
Aufzeichnung von Videokonferenzen

Einige Videokonferenz-Tools enthalten die Funktion, Videokonferenzen aufzuzeichnen. Auf diese Funktion sollte grundsätzlich verzichtet werden, da dies regelmäßig nur mit Einwilligung der Teilnehmer zulässig ist. Daher sollte sichergestellt werden, dass im Falle einer geplanten Aufzeichnung für die Teilnehmer vorab die Möglichkeit besteht, einer Aufzeichnung zuzustimmen bzw. diese abzulehnen. Die Zustimmung bzw. Ablehnung ist vom Verantwortlichen (d.h. dem Unternehmen, das zur Videokonferenz einlädt) als Nachweis zu dokumentieren. Zudem sollten Maßnahmen gegen unbefugtes Aufzeichnen, ein Verbot des Abfotografierens etc. in oben genannter Richtlinie festgelegt werden.

Löschung der Daten

Bei der Auswahl des Anbieters sollte darauf geachtet werden, dass Daten wie etwa Logfiles nicht länger als erforderlich gespeichert werden. Derartige Aufzeichnungen sollten regelmäßig  nach Ende der Videokonferenz gelöscht werden.

Achtung: Weiterhin erhebliche Datenschutz-Mängel bei „Zoom“

Insbesondere der mittlerweile sehr bekannte und beliebte Anbieter Zoom steht aktuell stark unter Kritik – und das gleich wegen mehrerer datenschutzrechtlicher Mängel. Auf einige davon hat Zoom jedoch bereits reagiert und diese behoben, andere sollen zukünftig adressiert werden.

So war es z. B. möglich, als Externer in Videokonferenzen zuzuschalten, soweit diese Videokonferenzen nicht auf „privat“ gestellt wurden. Hier hat Zoom nachgerüstet und die automatische Festlegung eines Passwortes für den Zugang zu einer Konferenz eingeführt. Eine weitere Sicherheitslücke bestand darin, dass im Rahmen der Nutzung über die iOS-App zeitweise eine Übermittlung von Geräteinformationen der Nutzer, wie etwa Modell, freier Speicherplatz und Displaygröße an Facebook stattfand – auch dann, wenn der Nutzer nicht bei Facebook registriert war. Nach eigenen Angaben hat Zoom dies jedoch behoben und betont, dass insbesondere keine Überwachung von Videokonferenzen und kein Verkauf von Nutzerdaten stattfinde. Ferner wurde kritisiert, dass Zoom angebe, eine Ende-zu-Ende-Verschlüsselung bei den Videokonferenzen einzusetzen, tatsächlich aber nur eine Transportverschlüsselung durch Transport Layer Security stattfindet, sodass die Informationen unverschlüsselt auf den Servern von Zoom liegen. Hier hat Zoom angekündigt, zeitnah nachzubessern. Dies erscheint aufgrund der teilweise frei im Internet zugänglichen Aufzeichnungen tausender eigentlich privater bzw. geschäftlicher Videokonferenzen dringend notwendig. Problematisch ist zudem, dass Zoom aufgrund des schnellen Wachstums Daten über Server in China geleitet hat. Zahlende Kunden sollen nun jedoch auswählen können, über welche Server Daten übertragen werden. Die Daten nicht-zahlender Nutzer sollen immerhin über Server in der jeweiligen Heimatregion (z. B. Europa, USA, Asien, etc.) geleitet werden.

Der Einsatz von Zoom dürfte daher kritisch zu beurteilen und gut abzuwägen sein. Zwar hat das Unternehmen angekündigt, in den nächsten Monaten an Datenschutz- und -sicherheit zu arbeiten, dennoch verbleiben diverse offene Fragen. Auch bei anderen Anbietern gängiger Konferenz- und Kollaborationstools sind die vorgenannten Punkte bei der Einführung zu beachten. Das BSI stellte daher kürzlich ein 173 Seiten umfassendes Kompendium zur Unterstützung der Einführung und Umsetzung von Videokonferenztools bereit.

Fazit & Empfehlung

Positiv ist, dass die Datenschutz-Aufsichtsbehörden teilweise Verständnis für die aktuelle Ausnahmesituation haben und das besondere Bedürfnis an der Aufrechterhaltung des Geschäftsbetriebs anerkennen. Dennoch weisen sie explizit darauf hin, dass die (datenschutz-) rechtlichen Vorgaben nicht unberücksichtigt bleiben dürfen. Sollten sich Unternehmen also entscheiden, ein Videokonferenz-Tool einzusetzen, sollten die von uns genannten Punkte kritisch geprüft werden – insbesondere, wenn das Tool auch nach der Corona-Pandemie im Einsatz bleiben soll, denn dadurch wird Doppelarbeit vermieden.

Autorinnen

 

Dr. Stefanie Hellmich, LL.M.
Partnerin, Frankfurt am Main

 

Eva Maria Amoah
Associate, Frankfurt am Main

 

Kata Viktoria Éles
Wissenschaftliche Mitarbeiterin, Frankfurt am Main

Seiten
Über uns
Kompetenzen
Team
Newsroom
Karriere
Kontakt
Social Media
Facebook
Linkedin
XING
Youtube
Hinweise
Impressum
Datenschutz
Newsletter
Hier finden Sie unsere aktuellsten Newsletter >>