Videokonferenz & Datenschutz: DS-GVO-konforme Videokonferenz-Tools

Bereits im April 2020 ist dieser Artikel zu Videokonferenz-Tools erschienen – die Pandemie hat die Welt nach wie vor fest im Griff. Daher ergreifen Unternehmen und soziale Einrichtungen nach wie vor Maßnahmen, um die Sicherheit ihrer Mitarbeiter zu gewährleisten und gleichzeitig den wirtschaftlichen Betrieb bestmöglich aufrecht zu erhalten. Oft arbeiten Mitarbeiter dafür aus dem Home Office. Glücklicherweise leben wir in einer Zeit, in der dies für viele Tätigkeiten möglich und in der die technische Infrastruktur dafür vorhanden ist. Die Herausforderung für das ortsunabhängige Arbeiten ist jedoch, dass viele Abstimmungen unter den Mitarbeitern und Meetings mit mehreren Teilnehmern durchgeführt werden müssen. Ein probates Mittel dafür ist die Durchführung via Videokonferenzen.

Der Bedarf an Videokonferenz-Tools ist folgerichtig nach wie vor enorm. Auch das Thema Datenschutz benötigt hier neben anderen Kriterien (wie z.B. Performance) entsprechende Beachtung. Jede Anwendung muss vor Einsatz daher sorgfältig auf Datenschutzkonformität geprüft werden.

Auf dem Markt hat sich hier in den letzten Woche einiges getan. Das Thema ist nach wie vor sehr aktuell und der LfDI Baden-Württemberg hat jüngst eine neue Handreichung zu Videokonferenzsystemen herausgegeben: Höchste Zeit also, diesen Artikel zu aktualisieren.

Welche Videokonferenztools haben wir uns angesehen?

Im Folgenden finden Sie eine Auswahl der Tools, die wir für unsere Kunden geprüft haben. Nicht jedes davon ist aus Datenschutzsicht uneingeschränkt einsetzbar:

  • GoToMeeting*
  • Jitsi*
  • Lindenbaum
  • Microsoft Teams*
  • Nextcloud Talk
  • Slack
  • TeamViewer Meeting
  • Cisco WebEx*
  • Zoom*
  • BigBlueButton*

*Anbieter wurde auch vom LfDI geprüft

Was sind Kriterien zur datenschutzrechtlichen Bewertung der Tools?

Je nach geplantem Einsatzgebiet finden Sie im Folgenden verschiedene Kriterien, die Sie einer genaueren Prüfung des Anbieters zugrunde legen können:

  • Lässt sich mit dem Anbieter eine Auftragsverarbeitungs-Vereinbarung abschließen, wenn die Anwendung nicht selbst gehostet wird?
  • Werden die Daten innerhalb der EU verarbeitet oder an ein Drittland übermittelt?
  • Wenn die Daten in einem Drittland verarbeitet werden, sind die aktuellen EU-Standardvertragsklauseln von Juni 2021 in die Vertragsunterlagen eingebunden?
  • Findet die Videoübertragung verschlüsselt statt?
  • Inwiefern können Sie Daten sinnvoll pseudonymisieren (z.B. Anmeldedaten)?
  • Ist speziell für kirchliche Einrichtungen der Abschluss einer Zusatzvereinbarung gemäß DSG-EKD oder KDG möglich?
  • Kann die Software als SaaS und / oder on premise eingesetzt werden?
  • Sind Aufzeichnungen (Bild / Ton) möglich und werden die Teilnehmer visuell darüber informiert?
  • Wie erfolgt die Einwahl in eine Konferenz? Wie übermitteln Sie die Einladung?
  • Ist die Einwahl von „Gästen“ ohne Account möglich und sinnvoll? Hier sollte je nach Einsatzgebiet eine Abwägung erfolgen, ob die datensparsame Variante des Einloggens höher wiegt als die bessere IT-Sicherheit, wenn sich nur registrierte Benutzer einloggen können.

Im Folgenden finden Sie eine Übersicht der einzelnen Tools mit der Kategorisierung einiger der genannten Kriterien:

Name des AnbietersMeetings können selbst gehostet werdenAV-Vertrag/DPA wird angebotenDrittlandübermittlungAktuelle SCC (2021/914) sind in den DPA eingebundenVerschlüsselung der Videoübertragung möglichAufzeichnungen (Bild/Ton) möglichVisuelle Information der Teilnehmer über AufzeichnungPasswortschutz bei Einwahl möglichWeitere Hinweise
GoToMeeting*NeinJaJaJaTLS Transport-Verschlüsselung, AES 256-bit VerschlüsselungJaJaJa
Jitsi*Jakeine Angabe, der AV-Vertrag/DPA liegt uns aktuell nicht vor

Je nach Hosting, bei Nutzung der offiziellen Server des Anbieters 8X8 werden Daten in Drittländer übermitteltkeine Angabe, der AV-Vertrag/DPA liegt uns aktuell nicht vor

TLS Transport-Verschlüsselung, AES 256-bit Verschlüsselung möglich, kommt auf den Anbieter fürs Hosting anNeinEntfälltJaDer vom LfDI bemängelte Verweis zu Art. 26 Abs. 2 DS-GVO im vorigen DPA war in der aktuellen Version vom 24.09.21 nicht mehr zu finden.
LindenbaumNeinJaNeinentfällt, da keine Drittlandübermittlung legitimiert werden muss.TLS Transport-Verschlüsselung, AES 256-bit VerschlüsselungJaJaJaNach Angaben des Anbieters werden die Daten ausschließlich in Deutschland verarbeitet.
Microsoft Teams*NeinJaJaJaTLS Transport-Verschlüsselung, AES 256-bit VerschlüsselungJaJaJaVerknüpfung mit anderen MS-Anwendungen möglich, was den Funktionsumfang erweitert, jedoch auch die Eingrenzung der Inhalte für die Informationspflichten erschwert.
Nextcloud TalkJaJaJe nach Hosting, bei Nutzung der offiziellen Server werden Daten in Drittländer übermittelt.keine Angabe, der AV-Vertrag/DPA liegt uns aktuell nicht vorTLS Transport-Verschlüsselung, AES 256-bit Verschlüsselung möglich, kommt auf den Anbieter fürs Hosting anNeinEntfälltJaBei Selbsthosting ist kein AV-Vertrag notwendig, bei eigenem Hosting auf EU-Servern müssen auch keine SCC abgeschlossen werden. Datenschutzrechtlich ist der Betrieb ‚on premise‘ auf eigenen Servern in der EU hier empfehlenswert.
SlackNeinJaJaJaTLS Transport-Verschlüsselung, AES 256-bit VerschlüsselungNeinEntfälltJa
TeamViewer
Meeting
NeinJaDer Anbieter hat seinen Sitz in Deutschland, dennoch können über Unterauftragnehmer Daten in Drittländer übermittelt werden.Keine SCC notwendig für die Übermittlung zu TeamViewer.TLS Transport-Verschlüsselung, AES 256-bit VerschlüsselungJaNeinJa
Cisco WebEx*NeinJaJaJaTLS Transport-Verschlüsselung, AES 256-bit VerschlüsselungJaJaJa
Zoom*JaJaJa / Kommt auf den Anbieter fürs Hosting anJaTLS Transport-Verschlüsselung, AES 256-bit VerschlüsselungJaJaJaEin Hosting bei einem lokalen Anbieter über den Zoom Meeting Connector ist möglich. Dann kann mit dem lokalen Hoster ebenfalls ein AV abgeschlossen werden.
BigBlueButton*JaJa, mehrere Anbieter, nur bei Fremdhosting notwendig Kommt auf den Anbieter fürs Hosting anKommt auf den Anbieter fürs Hosting anTLS Transport-Verschlüsselung, AES 256-bit /Verschlüsselung möglich, kommt auf den Anbieter fürs Hosting anJaJaJaEs gibt verschiedene Anbieter, die das Hosting für diese Open-Source-Lösung anbieten, die Qualität der Verträge unterscheidet sich.

*Diese Anbieter hat auch das LfDI geprüft

Ist ein selbst gehostetes Videokonferenztool besser?

Das kommt darauf an. Wer sich für sehr IT-affin hält, Spaß am Einrichten von Servern hat und in der Lage ist, sich selbst mühelos mit der IT-Sicherheit der betriebenen Videokonferenzen zum Datenschutz auseinander zu setzen und diese inkl. ausreichender Performance sicherzustellen, der ist mit einer selbst gehosteten Lösung datenschutzrechtlich ganz sicher gut beraten. Wer eher zu ‚Plug and Play‘-Lösungen tendiert und sich nicht im Detail mit DNS-Einträgen oder SSH-Keys beschäftigen möchte, sollte sich nach einem Anbieter umsehen, der das Hosting übernimmt und einen guten AV-Vertrag oder DPA dazu anbietet.

Nach der Prüfung des Anbieters ist vor dem nächsten Schritt für mehr Datenschutz

Auch wenn der datenschutzkonforme Einsatz von Videokonferenzsystemen keine leichte Aufgabe ist: In jedem Fall ist eine sorgfältige und kompetente datenschutzrechtliche Prüfung der Videokonferenzsysteme, die Sie einsetzen möchten, dringend anzuraten – nicht nur vor der Entscheidung für ein Tool. Auch danach empfehlen wir z.B. an folgenden Stellen nach zu schärfen:

  1. Prüfen Sie die Einstellungsmöglichkeiten für den datenschutzfreundlichen Einsatz.
  2. Klären Sie das Einsatzgebiet und finden Sie die dazu passende Rechtsgrundlage. Bitte beachten Sie hier: planen Sie die Aufzeichnung von Videokonferenzen, so wird es vermutlich nur schwer gelingen, eine einschlägige Rechtsgrundlage außer der Einwilligung zu finden.
  3. Stellen Sie entsprechenden Informationen nach Art. 13 zu dieser Art der Datenverarbeitung bereit (z.B. mit der sogenannten Link-Lösung im Footerbereich oder der Signatur in der E-Mail, mit der Sie zur Videokonferenz datenschutz-konform einladen).
  4. Das Verzeichnis von Verarbeitungstätigkeiten (VVT) sollten Sie mit den entsprechenden Angaben ergänzen oder anpassen.
  5. Mit Hilfe von Richtlinien können Sie Ihren Mitarbeitern klare Regeln zur Durchführung von Videokonferenzen, die datenschutz-freundlich sind, an die Hand geben.

Wir helfen gerne weiter zum Thema Videokonferenz & Datenschutz!

Unser Fazit: Manche Videokonferenztools können Sie aus Datenschutzsicht je nach geplantem Einsatzgebiet durchaus verwenden. Bei anderen ist ein datenschutzkonformer Einsatz schwierig, auch mit Blick auf das Schrems-II-Urteil bezüglich Datenübermittlungen in die USA. Wir raten dringend davon ab, in einer unbedachten Impulsentscheidung Videokonferenztools ungeprüft einzusetzen und damit ggf. empfindliche Datenschutzverstöße zu begehen. Allzu gerne vergessen Fachbereiche und Entscheider dabei, dass sich einzelne Gesetze aufgrund der aktuellen Situation zwar geändert haben – die DS-GVO gilt jedoch nach wie vor!

Für soziale Einrichtungen, die dem DSG-EKD unterliegen, erachtet der Beauftragte für den Datenschutz der evangelischen Kirche eine Datenschutz-Folgenabschätzung als zwingend erforderlich!

Bitte beachten Sie, dass wir hier nur eine grobe Einordnung vornehmen können. Die Entscheidung darüber, ob Sie ein Videokonferenz-Tool rechtskonform einsetzen können, ist nur mit einer konkreten detaillierten Betrachtung Ihres Einzelfalls möglich.

Wir unterstützen Sie dabei gerne und können Ihnen bei der Auswahl des für Sie geeigneten Tools sicherlich weiterhelfen.

Bleiben Sie weiterhin gesund!

Hilfreiche Links:

von Bastian Maute, aktualisiert von Mareike Fischer am 10.12.2021

Bildquelle: Bild von mohamed Hassan auf pixaby

*Diese Anbieter hat auch das LfDI geprüft

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.