18. Juni 2020 Klaus Lorbeer/pi

Trend zu Videokonferenztools rückt Datenschutz in den Vordergrund

Videokonferenz-Software erlebt im Rahmen der Corona-Pandemie einen Aufschwung. Unternehmen sollten auf Datenschutz, technische und organisatorische Aspekte der Software achten. [...]

Patrycja Tulinska, Sicherheitsexperting und Geschäftsführerin der PSW GROUP.
Patrycja Tulinska, Sicherheitsexperting und Geschäftsführerin der PSW GROUP. (c) PSW GROUP

„Es gibt einige Aspekte, auf die Unternehmen bei der Wahl einer Videokonferenzsoftware achten sollten. In der Regel werden im Unternehmensumfeld ja kostenpflichtige Versionen eingesetzt, weshalb Datenschutz sowie einige technische und organisatorische Aspekte vor Investition in eine Software zwingend geklärt werden sollten“, weist Patrycja Tulinska, Geschäftsführerin der PSW GROUP hin. „Bereits die Entscheidung, ob die Lösung On-Premise oder als SaaS-Variante aufgesetzt werden soll, ist richtungsweisend. Denn bei der On-Premise-Variante hosten Unternehmen die Software auf eigenen Servern, behalten also die Datenhoheit. Aus Kosten-, Knowhow- oder Kapazitätsgründen funktioniert das jedoch nicht immer, sodass sich einige Firmen eine SaaS-Lösung entscheiden. Der SaaS-Dienstleister sollte dann darauf geprüft werden, ob für die Datenverarbeitung geeignete technische sowie organisatorische Maßnahmen gemäß Datenschutzgrundverordnung vorhanden sind“, erklärt die IT-Sicherheitsexpertin.

Die PSW GROUP hat deswegen wichtige technische und organisatorische Skills zusammengestellt, anhand derer Unternehmen die für sie geeignete Videokonferenzsoftware finden.

Technische Möglichkeiten

  • Verschlüsselung: Eine durchgehende Verschlüsselung zum Schützen der Kommunikation zwischen Endpunkt und Endpunkt (end-to-end) sowie eine Transportverschlüsselung zum Schutz der Daten zwischen Client und Server sind ideal.
  • Business-Tauglichkeit: Nicht alle Videokonferenztools eignen sich für Unternehmen. Insbesondere Privatlösungen wie WhatsApp oder FaceTime wären aus datenschutzrechtlicher Sicht eine Katastrophe.
  • Logfiles: Ideal ist ein Anbieter, der Logfiles nur im erforderlichen Rahmen erstellt. Logfiles sind zwar zur Fehlerbehebung unabdingbar, jedoch sollten die Daten ausschließlich zu diesem Zweck genutzt und sie anschließend vernichtet werden.
  • Automatisches Löschen: Sowohl Chatverläufe als auch der Austausch von Dateien sollten immer nur solange verfügbar sein, wie sie gebraucht werden. Im Falle einer Videokonferenz dürfte das bedeuten: Bis zum Ende der Konferenz.
  • Aufnahmen: Viele Videokonferenztools erlauben es, Konferenzen aufzuzeichnen. Das ist praktisch, jedoch meist nur nach Einwilligung der Gesprächsteilnehmer möglich. Das Tool sollte deshalb vor dem Start einer Aufnahme alle Teilnehmer um ihre Erlaubnis bitten.

Organisatorische Möglichkeiten

  • Privatsphäre und Zugangsbeschränkungen: „Wichtig ist es besonders, Mitarbeiter zu sensibilisieren und zu informieren. Einige Videokonferenztools bieten die Möglichkeit, den Hintergrund der Teilnehmerinnen und Teilnehmer ergrauen zu lassen, so dass Privates auch privat bleibt“, so Tulinska. Beim Desktop-Sharing sollte der Desktop zudem nur ohne Dateisymbole gezeigt, Daten also nicht frei sichtbar herumliegen, und Benachrichtigungen ausgestellt werden. Hilfreich sind auch Zugangsbeschränkungen: Mithilfe einer Warteraumfunktion oder eines Passworts kann erreicht werden, dass unerwünschte oder nicht berechtigte Zuhörer ausgeschlossen werden.
  • Datenschutzfolgeabschätzung: „Je nach Funktionalität der Videokonferenzsoftware kann ein Unternehmen zu einer Datenschutzfolgeabschätzung verpflichtet sein“, mahnt Tulinska und erklärt: „Damit werden die Risiken eingeschätzt, die für die Rechte sowie Freiheiten der Betroffenen entstehen, jedoch auch entsprechende Schutzmaßnahmen. Zusätzlich muss allen Teilnehmern vor der Videokonferenz eine Datenschutzinformation ausgehändigt werden.“
  • Verarbeitungsverzeichnis: Da Videokonferenztools Datenverarbeitungen darstellen, muss zudem ein Verarbeitungsverzeichnis geführt werden. Idealerweise erstellen Unternehmen eine Richtlinie zur Nutzung des Konferenztools, in der die datenschutzrechtlich zulässige Handhabung erklärt sowie der Privatgebrauch des Tools untersagt wird.
  • Einwilligung vom Betriebsrat: „Übrigens muss auch der Betriebsrat, sofern er im Unternehmen existiert, seine Zustimmung zum Einsatz eines Konferenztools geben. Denn grundsätzlich könnten Videokonferenztools auch zur Überwachung der Anwesenheit der Mitarbeiter genutzt werden, würden die Login-Daten erfasst werden“, gibt Patrycja Tulinska einen wichtigen Hinweis.

Weitere wissenswerte Infos sowie eine Besprechung der Videokonferenztools Microsoft Teams, Skype und Cisco WebEx gibt es unter hier.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*