Videokonferenzen DSGVO-konform nutzen

Tools für VideoCalls erfreuen sich großer Beliebtheit, Corona und Home-Office machen es möglich. Aber wie sieht es mit DSGVO-Compliance aus? Wir zeigen Ihnen, wie Sie Zoom und Co. sicher nutzen können. [...]

Mit diesem Disclaimer können Sie Zoom DSGVO konform nutzen (c) CW
Mit diesem Disclaimer können Sie Zoom DSGVO konform nutzen (c) CW

In den meisten Fällen handelt es sich um amerikanische Tools wie z.B. GotoWeb, WebEx, Teams, oder Zoom. Deren Server stehen im Regelfall in den USA, was natürlich Schrems II widerspricht, da auf den Servern im Minimum die Anmeldedaten als personenbezogene Daten liegen. Neben den Anmeldedaten wie z.B. Name und Mailadresse werden aber teilweise ganze Vidostreams aufgezeichnet. Somit liegt im Regelfall ein Verstoß gegen das Schrems II Urteil des EuGH vor. Was aber ist Schrems II? Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Standardvertragsklauseln (SCCs) können zwar weiter für Datenübertragungen in die USA genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus. Das gleiche gilt für verbindliche interne Datenschutzvorschriften (BCRs). In den seltensten Fällen existieren derartige Standard-Vertragsklauseln – die auch nur dann Gültigkeit haben, wenn sie zwischen Tool-Hersteller und Endkunde vereinbart sind.

Teams ist insofern eine Ausnahme, da Teams eine Erweiterung von Office365 ist und Microsoft behauptet, dass die Server für EU-Bürger in Frankfurt stehen. Ob im Ernstfall der Nachweis gelingt, dass das korrekt ist, bleibt dahingestellt. Eine uns bekannte Alternative ist Chatify.com. Bei diesem Tool aus Österreich ist sichergestellt, dass sich die Server tatsächlich in Frankfurt befinden.

Empfänger werden offengelegt

VideoTools zeichnen sich u.a. dadurch aus, dass Teilnehmende an einer Video-Konferenz über das Tool eingeladen werden können. Wie wir uns kürzlich nach dem Vorfall bei einem Kunden überzeugen konnten, verschickt Teams derartige Einladungen über Verteilerlisten. Diese Listen werden jedoch nicht als bcc, sondern als cc verschickt. Das heißt im Klartext, dass jeder Empfänger sehen kann, wer aller zu dieser Video-Konferenz eingeladen wurde.

Lesetipp: Wie man virtuelle Pressekonferenzen gestaltet

Das ist natürlich nicht beabsichtigt und führt somit zu einem Datenschutz-Vorfall. Natürlich gibt es dafür eine Umgehungsmöglichkeit, indem die Einladungen nicht über Teams, sondern manuell mittel bcc verschickt werden.

Aufzeichnung von Web-Konferenzen

Als kritisch sind Aufzeichnungen der Video-Sessions einzustufen. Diese sind nur dann erlaubt, wenn im Zuge der Einladung zum WebMeeting eine Einwilligung erteilt wird. Alternativ muss ausdrücklich darauf hingewiesen werden, dass Teilnehmer, die damit nicht einverstanden sind, Kamera und Mikro abschalten müssen. Ob diese Vorgangsweise rechtlich hält, ist zu bezweifeln, da dieser Hinweis immer wieder erfolgen müsste, wenn ein neuer Teilnehmer in die Session einsteigt.

Problem Server-Standorte

Server-Standorte außerhalb der EU sind nur zulässig, wenn es sich um sichere Drittländer handelt. Darunter gehören gemäß der Angemessenheitsentscheidung der EU-Kommission derzeit Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay.

Zoom DSGVO konform einsetzen

Für Videokonferenzen und/oder Webinare wird z.B. häufig das Tool „Zoom“ genutzt. „Zoom“ ist ein Service der Zoom Video Communications, Inc., das ihren Sitz in den USA hat. Dabei lässt sich der sogenannten „EU“-Cluster von Zoom vorab einstellen und zum Einsatz bringen. Dabei findet die Verarbeitung von Kommunikationsinhalten von Meeting-Teilnehmenden ausschließlich in Rechenzentren in der Europäischen Union statt. Auch die Daten zu vergangenen Meetings und den Teilnehmenden werden in der EU gespeichert. In all jenen Fällen, in denen es technisch möglich ist, wird als zusätzliche Datenschutzmaßnahme eine End-to-End Verschlüsselung zwischen den Teilnehmern verwendet. Diese Maßnahme gewährleistet, dass nur Teilnehmer des Meetings auf den Inhalt der Kommunikation / Datentransfers zugreifen können.

Um die entsprechenden Support Leistungen anbieten zu können werden jedoch die „Betriebsdaten“ („Operation Data“) von Zoom unter anderem in den USA verarbeitet. Die Übersicht darüber, welche Datenarten zu den „Betriebsdaten“ zählen, kann den Datenschutzhinweisen von „Zoom Video Communications, Inc“ (https://zoom.us/de-de/privacy.html) entnommen werden.

Sowohl für Zoom als auch für WebEx ist eine sogenannte End-to-End-Verschlüsselung (E2EE) möglich. Microsoft hat für seine Plattform Teams eine „demnächst zur Verfügung stehende“ E2EE Option angekündigt. Bei dem End-to-End-Verschlüsselungs-Verfahren werden die Daten bereits am Gerat des „Senders“ verschlüsselt und erst an den Zielgeräten wieder entschlüsselt, wobei die eingesetzten Schlüssel nur unter den Teilnehmern bekannt sind. Der Server des Anbieters der als Vermittler zwischen den Teilnehmern fungiert ist daher nicht mehr in der Lage den Inhalt der Kommunikation (des Datentransfers) zu entschlüsseln. Aus heutiger Sicht entsprechen diese eingesetzten Kryptographischen-Verfahren einer sicheren und DSGVO konformen Datenübermittlung zwischen Sender und Empfänger.

Als Wermutstropfen ist jedoch anzumerken, dass es funktionale Einschränkungen beim Einsatz der E2EE Option gibt und Zoom die Verwendung von „Zoom Desktop Client“, „Mobile App“ bzw. „Zoom Rooms“ ab der Version 5.5 voraussetzt. Aktuell werden die Funktionalitäten „Beitritt vor Moderator“, „Cloud-Aufzeichnung“, „Livestreaming“, „Live-Transkription“, „Breakout-Räume“, und „Umfragen“ dadurch deaktiviert. Generell setzt z.B. Zoom eine Registrierung voraus. Dabei werden zumindest die Registrierungsdaten als für den Betrieb notwendige Daten auf den Servern in den USA gespeichert.

Daher wird von uns empfohlen im Zuge der Einladung auf die Umstände der Registrierung aufmerksam zu machen und einen „Disclaimer“ mit zumindest einem Link auf Ihre Datenschutzrichtlinien und den „Zoom-Datenschutzrichtlinien“ mitzusenden.

Beispiel Zoom Disclaimer für DSGVO-Konformität

Der folgende Text ist eine beispielhafte Formulierung für einen Disclaimer:

„Wir haben mit „Zoom“ einen Auftragsverarbeitungsvertrag unter Einbeziehung der EU-Stan-dardvertragsklauseln geschlossen. Für die Verarbeitung der „Betriebsdaten“ in den USA und für die Verarbeitung von personenbezogenen Daten im Support-Fall wird das Schutzniveau durch die Verwendung der o.g. EU-Standardvertragsklauseln garantiert.

Rechtsgrundlage für die Nutzung von „Zoom“ ist für uns übrigens Art. 6 Abs. 1 lit. b) DSGVO. Im Falle von (seltenen) „offenen Webinaren“ ist es Art. 6 Abs. 1 lit. f) DSGVO, sofern kein Vertrags-verhältnis über die Teilnahme am Webinar entstanden ist. In dem Fall besteht unser Interesse darin, ein Webinar durchzuführen.

Unser Unternehmen nimmt den Datenschutz sehr ernst und wir ersuchen Sie, weiterführende Information unserer Datenschutzerklärung unter https://www.MusterGmbH/datenschutz bzw. der Datenschutzerklärung des Tool-Anbieters (z.B. „Zoom Video Communications Inc (https://zoom.us/de-de/privacy.html)“ zu entnehmen.“

Beispiel Zoom: https://www.datenschutz-guru.de/datenschutzhinweise-zoom/

Das Tagebuch wird zur Verfügung gestellt von


Mehr Artikel

News

Fünf Mythen über Managed Services 

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

News

Klassifizierung von KI-Systemen gemäß EU AI Act

Unternehmen, die KI nutzen, sollten die rechtlichen Rahmenbedingungen kennen, um teure Bußgelder zu vermeiden. Der EU AI Act stellt den ersten umfassenden Rechtsrahmen zur Regulierung von KI dar und zielt darauf ab, die Grundrechte der Bürger innerhalb der Europäischen Union zu schützen. Da der EU AI Act KI-Systeme nach Risikostufen klassifiziert und damit spezifische rechtliche Verpflichtungen beinhaltet, ist es für Unternehmen unerlässlich, ihre Systeme korrekt zu kategorisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*