Videokonferenzen DSGVO-konform nutzen

Tools für VideoCalls erfreuen sich großer Beliebtheit, Corona und Home-Office machen es möglich. Aber wie sieht es mit DSGVO-Compliance aus? Wir zeigen Ihnen, wie Sie Zoom und Co. sicher nutzen können. [...]

Mit diesem Disclaimer können Sie Zoom DSGVO konform nutzen (c) CW
Mit diesem Disclaimer können Sie Zoom DSGVO konform nutzen (c) CW

In den meisten Fällen handelt es sich um amerikanische Tools wie z.B. GotoWeb, WebEx, Teams, oder Zoom. Deren Server stehen im Regelfall in den USA, was natürlich Schrems II widerspricht, da auf den Servern im Minimum die Anmeldedaten als personenbezogene Daten liegen. Neben den Anmeldedaten wie z.B. Name und Mailadresse werden aber teilweise ganze Vidostreams aufgezeichnet. Somit liegt im Regelfall ein Verstoß gegen das Schrems II Urteil des EuGH vor. Was aber ist Schrems II? Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Standardvertragsklauseln (SCCs) können zwar weiter für Datenübertragungen in die USA genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus. Das gleiche gilt für verbindliche interne Datenschutzvorschriften (BCRs). In den seltensten Fällen existieren derartige Standard-Vertragsklauseln – die auch nur dann Gültigkeit haben, wenn sie zwischen Tool-Hersteller und Endkunde vereinbart sind.

Teams ist insofern eine Ausnahme, da Teams eine Erweiterung von Office365 ist und Microsoft behauptet, dass die Server für EU-Bürger in Frankfurt stehen. Ob im Ernstfall der Nachweis gelingt, dass das korrekt ist, bleibt dahingestellt. Eine uns bekannte Alternative ist Chatify.com. Bei diesem Tool aus Österreich ist sichergestellt, dass sich die Server tatsächlich in Frankfurt befinden.

Empfänger werden offengelegt

VideoTools zeichnen sich u.a. dadurch aus, dass Teilnehmende an einer Video-Konferenz über das Tool eingeladen werden können. Wie wir uns kürzlich nach dem Vorfall bei einem Kunden überzeugen konnten, verschickt Teams derartige Einladungen über Verteilerlisten. Diese Listen werden jedoch nicht als bcc, sondern als cc verschickt. Das heißt im Klartext, dass jeder Empfänger sehen kann, wer aller zu dieser Video-Konferenz eingeladen wurde.

Lesetipp: Wie man virtuelle Pressekonferenzen gestaltet

Das ist natürlich nicht beabsichtigt und führt somit zu einem Datenschutz-Vorfall. Natürlich gibt es dafür eine Umgehungsmöglichkeit, indem die Einladungen nicht über Teams, sondern manuell mittel bcc verschickt werden.

Aufzeichnung von Web-Konferenzen

Als kritisch sind Aufzeichnungen der Video-Sessions einzustufen. Diese sind nur dann erlaubt, wenn im Zuge der Einladung zum WebMeeting eine Einwilligung erteilt wird. Alternativ muss ausdrücklich darauf hingewiesen werden, dass Teilnehmer, die damit nicht einverstanden sind, Kamera und Mikro abschalten müssen. Ob diese Vorgangsweise rechtlich hält, ist zu bezweifeln, da dieser Hinweis immer wieder erfolgen müsste, wenn ein neuer Teilnehmer in die Session einsteigt.

Problem Server-Standorte

Server-Standorte außerhalb der EU sind nur zulässig, wenn es sich um sichere Drittländer handelt. Darunter gehören gemäß der Angemessenheitsentscheidung der EU-Kommission derzeit Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay.

Zoom DSGVO konform einsetzen

Für Videokonferenzen und/oder Webinare wird z.B. häufig das Tool „Zoom“ genutzt. „Zoom“ ist ein Service der Zoom Video Communications, Inc., das ihren Sitz in den USA hat. Dabei lässt sich der sogenannten „EU“-Cluster von Zoom vorab einstellen und zum Einsatz bringen. Dabei findet die Verarbeitung von Kommunikationsinhalten von Meeting-Teilnehmenden ausschließlich in Rechenzentren in der Europäischen Union statt. Auch die Daten zu vergangenen Meetings und den Teilnehmenden werden in der EU gespeichert. In all jenen Fällen, in denen es technisch möglich ist, wird als zusätzliche Datenschutzmaßnahme eine End-to-End Verschlüsselung zwischen den Teilnehmern verwendet. Diese Maßnahme gewährleistet, dass nur Teilnehmer des Meetings auf den Inhalt der Kommunikation / Datentransfers zugreifen können.

Um die entsprechenden Support Leistungen anbieten zu können werden jedoch die „Betriebsdaten“ („Operation Data“) von Zoom unter anderem in den USA verarbeitet. Die Übersicht darüber, welche Datenarten zu den „Betriebsdaten“ zählen, kann den Datenschutzhinweisen von „Zoom Video Communications, Inc“ (https://zoom.us/de-de/privacy.html) entnommen werden.

Sowohl für Zoom als auch für WebEx ist eine sogenannte End-to-End-Verschlüsselung (E2EE) möglich. Microsoft hat für seine Plattform Teams eine „demnächst zur Verfügung stehende“ E2EE Option angekündigt. Bei dem End-to-End-Verschlüsselungs-Verfahren werden die Daten bereits am Gerat des „Senders“ verschlüsselt und erst an den Zielgeräten wieder entschlüsselt, wobei die eingesetzten Schlüssel nur unter den Teilnehmern bekannt sind. Der Server des Anbieters der als Vermittler zwischen den Teilnehmern fungiert ist daher nicht mehr in der Lage den Inhalt der Kommunikation (des Datentransfers) zu entschlüsseln. Aus heutiger Sicht entsprechen diese eingesetzten Kryptographischen-Verfahren einer sicheren und DSGVO konformen Datenübermittlung zwischen Sender und Empfänger.

Als Wermutstropfen ist jedoch anzumerken, dass es funktionale Einschränkungen beim Einsatz der E2EE Option gibt und Zoom die Verwendung von „Zoom Desktop Client“, „Mobile App“ bzw. „Zoom Rooms“ ab der Version 5.5 voraussetzt. Aktuell werden die Funktionalitäten „Beitritt vor Moderator“, „Cloud-Aufzeichnung“, „Livestreaming“, „Live-Transkription“, „Breakout-Räume“, und „Umfragen“ dadurch deaktiviert. Generell setzt z.B. Zoom eine Registrierung voraus. Dabei werden zumindest die Registrierungsdaten als für den Betrieb notwendige Daten auf den Servern in den USA gespeichert.

Daher wird von uns empfohlen im Zuge der Einladung auf die Umstände der Registrierung aufmerksam zu machen und einen „Disclaimer“ mit zumindest einem Link auf Ihre Datenschutzrichtlinien und den „Zoom-Datenschutzrichtlinien“ mitzusenden.

Beispiel Zoom Disclaimer für DSGVO-Konformität

Der folgende Text ist eine beispielhafte Formulierung für einen Disclaimer:

„Wir haben mit „Zoom“ einen Auftragsverarbeitungsvertrag unter Einbeziehung der EU-Stan-dardvertragsklauseln geschlossen. Für die Verarbeitung der „Betriebsdaten“ in den USA und für die Verarbeitung von personenbezogenen Daten im Support-Fall wird das Schutzniveau durch die Verwendung der o.g. EU-Standardvertragsklauseln garantiert.

Rechtsgrundlage für die Nutzung von „Zoom“ ist für uns übrigens Art. 6 Abs. 1 lit. b) DSGVO. Im Falle von (seltenen) „offenen Webinaren“ ist es Art. 6 Abs. 1 lit. f) DSGVO, sofern kein Vertrags-verhältnis über die Teilnahme am Webinar entstanden ist. In dem Fall besteht unser Interesse darin, ein Webinar durchzuführen.

Unser Unternehmen nimmt den Datenschutz sehr ernst und wir ersuchen Sie, weiterführende Information unserer Datenschutzerklärung unter https://www.MusterGmbH/datenschutz bzw. der Datenschutzerklärung des Tool-Anbieters (z.B. „Zoom Video Communications Inc (https://zoom.us/de-de/privacy.html)“ zu entnehmen.“

Beispiel Zoom: https://www.datenschutz-guru.de/datenschutzhinweise-zoom/

Das Tagebuch wird zur Verfügung gestellt von

img-2


Mehr Artikel

Otto Neuer, Regional VP und General Manager bei Denodo. (c) Denodo
Kommentar

Wie logisches Datenmanagement das ESG-Reporting vereinfacht

Mit zunehmendem Bewusstsein für Nachhaltigkeitsthemen wächst auch der Druck, den Stakeholder diesbezüglich auf Unternehmen ausüben. Gerade auf Seiten der Gesetzesgeber entstehen vermehrt Richtlinien, die „ESG“ (Enviornmental, Social und Governance)-Anliegen vorantreiben und Unternehmen zu mehr Transparenz in Form von entsprechender Berichterstattung verpflichten. […]

Frank Schwaak, Field CTO EMEA bei Rubrik (c) Rubrik
Kommentar

Wie CIOs Unternehmen als Cloud-Lotse sicher durch Daten- und Sicherheitsrisiken führen

In einer fragmentierten Infrastruktur ist es herausfordernd, den Durchblick über Daten und Kosten zu behalten. CIOs werden zu Lotsen, die das Unternehmen sicher durch die unterschiedlichen Cloud-Umgebungen steuern müssen. Was können Unternehmen also tun, um den Überblick über Cloud-Anwendungen zu behalten und den Kurs zwischen Cloud und Cyberresilienz zu halten? […]

Ass. Prof. Dr. Johannes Brandstetter, Chief Researcher bei NXAI (c) NXAI
News

KI-Forschung in Österreich: Deep-Learning zur Simulation industrieller Prozesse

Als erstes Team weltweit präsentiert das NXAI-Forscherteam um Johannes Brandstetter eine End-to-End-Deep-Learning Alternative zur Modifizierung industrieller Prozesse, wie Wirbelschichtreaktoren oder Silos. Das Team strebt schnelle Echtzeit-Simulationen an, plant den Aufbau von Foundation Models für Industriekunden und fokussiert sich im nächsten Schritt auf die Generalisierung von Simulationen. […]

img-11
News

Die besten Arbeitgeber der Welt

Great Place To Work hat durch die Befragung von mehr als 7,4 Millionen Mitarbeitenden in den Jahren 2023 und 2024 die 25 World’s Best Workplaces identifiziert. 6 dieser Unternehmen wurden auch in Österreich als Best Workplaces ausgezeichnet. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*