Videokonferenzen DSGVO-konform nutzen

Tools für VideoCalls erfreuen sich großer Beliebtheit, Corona und Home-Office machen es möglich. Aber wie sieht es mit DSGVO-Compliance aus? Wir zeigen Ihnen, wie Sie Zoom und Co. sicher nutzen können. [...]

Mit diesem Disclaimer können Sie Zoom DSGVO konform nutzen (c) CW
Mit diesem Disclaimer können Sie Zoom DSGVO konform nutzen (c) CW

In den meisten Fällen handelt es sich um amerikanische Tools wie z.B. GotoWeb, WebEx, Teams, oder Zoom. Deren Server stehen im Regelfall in den USA, was natürlich Schrems II widerspricht, da auf den Servern im Minimum die Anmeldedaten als personenbezogene Daten liegen. Neben den Anmeldedaten wie z.B. Name und Mailadresse werden aber teilweise ganze Vidostreams aufgezeichnet. Somit liegt im Regelfall ein Verstoß gegen das Schrems II Urteil des EuGH vor. Was aber ist Schrems II? Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Standardvertragsklauseln (SCCs) können zwar weiter für Datenübertragungen in die USA genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus. Das gleiche gilt für verbindliche interne Datenschutzvorschriften (BCRs). In den seltensten Fällen existieren derartige Standard-Vertragsklauseln – die auch nur dann Gültigkeit haben, wenn sie zwischen Tool-Hersteller und Endkunde vereinbart sind.

Teams ist insofern eine Ausnahme, da Teams eine Erweiterung von Office365 ist und Microsoft behauptet, dass die Server für EU-Bürger in Frankfurt stehen. Ob im Ernstfall der Nachweis gelingt, dass das korrekt ist, bleibt dahingestellt. Eine uns bekannte Alternative ist Chatify.com. Bei diesem Tool aus Österreich ist sichergestellt, dass sich die Server tatsächlich in Frankfurt befinden.

Empfänger werden offengelegt

VideoTools zeichnen sich u.a. dadurch aus, dass Teilnehmende an einer Video-Konferenz über das Tool eingeladen werden können. Wie wir uns kürzlich nach dem Vorfall bei einem Kunden überzeugen konnten, verschickt Teams derartige Einladungen über Verteilerlisten. Diese Listen werden jedoch nicht als bcc, sondern als cc verschickt. Das heißt im Klartext, dass jeder Empfänger sehen kann, wer aller zu dieser Video-Konferenz eingeladen wurde.

Lesetipp: Wie man virtuelle Pressekonferenzen gestaltet

Das ist natürlich nicht beabsichtigt und führt somit zu einem Datenschutz-Vorfall. Natürlich gibt es dafür eine Umgehungsmöglichkeit, indem die Einladungen nicht über Teams, sondern manuell mittel bcc verschickt werden.

Aufzeichnung von Web-Konferenzen

Als kritisch sind Aufzeichnungen der Video-Sessions einzustufen. Diese sind nur dann erlaubt, wenn im Zuge der Einladung zum WebMeeting eine Einwilligung erteilt wird. Alternativ muss ausdrücklich darauf hingewiesen werden, dass Teilnehmer, die damit nicht einverstanden sind, Kamera und Mikro abschalten müssen. Ob diese Vorgangsweise rechtlich hält, ist zu bezweifeln, da dieser Hinweis immer wieder erfolgen müsste, wenn ein neuer Teilnehmer in die Session einsteigt.

Problem Server-Standorte

Server-Standorte außerhalb der EU sind nur zulässig, wenn es sich um sichere Drittländer handelt. Darunter gehören gemäß der Angemessenheitsentscheidung der EU-Kommission derzeit Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay.

Zoom DSGVO konform einsetzen

Für Videokonferenzen und/oder Webinare wird z.B. häufig das Tool „Zoom“ genutzt. „Zoom“ ist ein Service der Zoom Video Communications, Inc., das ihren Sitz in den USA hat. Dabei lässt sich der sogenannten „EU“-Cluster von Zoom vorab einstellen und zum Einsatz bringen. Dabei findet die Verarbeitung von Kommunikationsinhalten von Meeting-Teilnehmenden ausschließlich in Rechenzentren in der Europäischen Union statt. Auch die Daten zu vergangenen Meetings und den Teilnehmenden werden in der EU gespeichert. In all jenen Fällen, in denen es technisch möglich ist, wird als zusätzliche Datenschutzmaßnahme eine End-to-End Verschlüsselung zwischen den Teilnehmern verwendet. Diese Maßnahme gewährleistet, dass nur Teilnehmer des Meetings auf den Inhalt der Kommunikation / Datentransfers zugreifen können.

Um die entsprechenden Support Leistungen anbieten zu können werden jedoch die „Betriebsdaten“ („Operation Data“) von Zoom unter anderem in den USA verarbeitet. Die Übersicht darüber, welche Datenarten zu den „Betriebsdaten“ zählen, kann den Datenschutzhinweisen von „Zoom Video Communications, Inc“ (https://zoom.us/de-de/privacy.html) entnommen werden.

Sowohl für Zoom als auch für WebEx ist eine sogenannte End-to-End-Verschlüsselung (E2EE) möglich. Microsoft hat für seine Plattform Teams eine „demnächst zur Verfügung stehende“ E2EE Option angekündigt. Bei dem End-to-End-Verschlüsselungs-Verfahren werden die Daten bereits am Gerat des „Senders“ verschlüsselt und erst an den Zielgeräten wieder entschlüsselt, wobei die eingesetzten Schlüssel nur unter den Teilnehmern bekannt sind. Der Server des Anbieters der als Vermittler zwischen den Teilnehmern fungiert ist daher nicht mehr in der Lage den Inhalt der Kommunikation (des Datentransfers) zu entschlüsseln. Aus heutiger Sicht entsprechen diese eingesetzten Kryptographischen-Verfahren einer sicheren und DSGVO konformen Datenübermittlung zwischen Sender und Empfänger.

Als Wermutstropfen ist jedoch anzumerken, dass es funktionale Einschränkungen beim Einsatz der E2EE Option gibt und Zoom die Verwendung von „Zoom Desktop Client“, „Mobile App“ bzw. „Zoom Rooms“ ab der Version 5.5 voraussetzt. Aktuell werden die Funktionalitäten „Beitritt vor Moderator“, „Cloud-Aufzeichnung“, „Livestreaming“, „Live-Transkription“, „Breakout-Räume“, und „Umfragen“ dadurch deaktiviert. Generell setzt z.B. Zoom eine Registrierung voraus. Dabei werden zumindest die Registrierungsdaten als für den Betrieb notwendige Daten auf den Servern in den USA gespeichert.

Daher wird von uns empfohlen im Zuge der Einladung auf die Umstände der Registrierung aufmerksam zu machen und einen „Disclaimer“ mit zumindest einem Link auf Ihre Datenschutzrichtlinien und den „Zoom-Datenschutzrichtlinien“ mitzusenden.

Beispiel Zoom Disclaimer für DSGVO-Konformität

Der folgende Text ist eine beispielhafte Formulierung für einen Disclaimer:

„Wir haben mit „Zoom“ einen Auftragsverarbeitungsvertrag unter Einbeziehung der EU-Stan-dardvertragsklauseln geschlossen. Für die Verarbeitung der „Betriebsdaten“ in den USA und für die Verarbeitung von personenbezogenen Daten im Support-Fall wird das Schutzniveau durch die Verwendung der o.g. EU-Standardvertragsklauseln garantiert.

Rechtsgrundlage für die Nutzung von „Zoom“ ist für uns übrigens Art. 6 Abs. 1 lit. b) DSGVO. Im Falle von (seltenen) „offenen Webinaren“ ist es Art. 6 Abs. 1 lit. f) DSGVO, sofern kein Vertrags-verhältnis über die Teilnahme am Webinar entstanden ist. In dem Fall besteht unser Interesse darin, ein Webinar durchzuführen.

Unser Unternehmen nimmt den Datenschutz sehr ernst und wir ersuchen Sie, weiterführende Information unserer Datenschutzerklärung unter https://www.MusterGmbH/datenschutz bzw. der Datenschutzerklärung des Tool-Anbieters (z.B. „Zoom Video Communications Inc (https://zoom.us/de-de/privacy.html)“ zu entnehmen.“

Beispiel Zoom: https://www.datenschutz-guru.de/datenschutzhinweise-zoom/

Das Tagebuch wird zur Verfügung gestellt von


Mehr Artikel

News

6 Grundsätze für eine KI-taugliche Datenbasis

Wer Künstliche Intelligenz nutzen will, muss über eine vertrauenswürdige Datengrundlage verfügen. Daten sind das Lebenselixier von KI-Systemen und bestimmen maßgeblich die Qualität und Zuverlässigkeit der Ergebnisse. Nur so können KI-Modelle robust, anpassungsfähig und vertrauenswürdig arbeiten. […]

News

Cybersicherheitsbudgets werden falsch priorisiert

Der ICS/OT Cybersecurity Budget Report 2025 von OPSWAT deckt erhebliche Lücken in den Cybersicherheitsbudgets sowie einen Anstieg von ICS/OT-fokussierten Angriffen auf. Ferner wird deutlich, wie durch eine unzureichende Finanzierung, falsch gesetzte Prioritäten und uneinheitliche Abwehrmaßnahmen kritische Infrastrukturen immer raffinierteren Bedrohungen ausgesetzt sind. […]

News

Nach dem Hype: Diese vier KI-Trends werden 2025 weiterhin prägen

Die vergangenen zwei Jahre haben einen regelrechten KI-Boom erlebt. Insbesondere generative Modelle (GenAI) haben sich rasant weiterentwickelt und etablieren sich zunehmend als feste Größe in den Arbeitsprozessen von Organisationen weltweit. Angesichts dieser Dynamik fragen sich nun viele Unternehmen, welche Entwicklungen das Jahr 2025 bestimmen werden und welche Potenziale sich daraus ergeben. […]

News

Generative KI als Sicherheitsrisiko

Eine neue Studie von Netskope zeigt einen 30-fachen Anstieg der Daten, die von Unternehmensanwendern im letzten Jahr an GenAI-Apps (generative KI) gesendet wurden. Dazu gehören sensible Daten wie Quellcode, regulierte Daten, Passwörter und Schlüssel sowie geistiges Eigentum. Dies erhöht das Risiko von kostspieligen Sicherheitsverletzungen, Compliance-Verstößen und Diebstahl geistigen Eigentums erheblich. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*