Tools für VideoCalls erfreuen sich großer Beliebtheit, Corona und Home-Office machen es möglich. Aber wie sieht es mit DSGVO-Compliance aus? Wir zeigen Ihnen, wie Sie Zoom und Co. sicher nutzen können. [...]
In den meisten Fällen handelt es sich um amerikanische Tools wie z.B. GotoWeb, WebEx, Teams, oder Zoom. Deren Server stehen im Regelfall in den USA, was natürlich Schrems II widerspricht, da auf den Servern im Minimum die Anmeldedaten als personenbezogene Daten liegen. Neben den Anmeldedaten wie z.B. Name und Mailadresse werden aber teilweise ganze Vidostreams aufgezeichnet. Somit liegt im Regelfall ein Verstoß gegen das Schrems II Urteil des EuGH vor. Was aber ist Schrems II? Der Europäische Gerichtshof (EuGH) hat am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Standardvertragsklauseln (SCCs) können zwar weiter für Datenübertragungen in die USA genutzt werden, der bloße Vertragsschluss reicht hierfür aber nicht aus. Das gleiche gilt für verbindliche interne Datenschutzvorschriften (BCRs). In den seltensten Fällen existieren derartige Standard-Vertragsklauseln – die auch nur dann Gültigkeit haben, wenn sie zwischen Tool-Hersteller und Endkunde vereinbart sind.
Teams ist insofern eine Ausnahme, da Teams eine Erweiterung von Office365 ist und Microsoft behauptet, dass die Server für EU-Bürger in Frankfurt stehen. Ob im Ernstfall der Nachweis gelingt, dass das korrekt ist, bleibt dahingestellt. Eine uns bekannte Alternative ist Chatify.com. Bei diesem Tool aus Österreich ist sichergestellt, dass sich die Server tatsächlich in Frankfurt befinden.
Empfänger werden offengelegt
VideoTools zeichnen sich u.a. dadurch aus, dass Teilnehmende an einer Video-Konferenz über das Tool eingeladen werden können. Wie wir uns kürzlich nach dem Vorfall bei einem Kunden überzeugen konnten, verschickt Teams derartige Einladungen über Verteilerlisten. Diese Listen werden jedoch nicht als bcc, sondern als cc verschickt. Das heißt im Klartext, dass jeder Empfänger sehen kann, wer aller zu dieser Video-Konferenz eingeladen wurde.
Lesetipp: Wie man virtuelle Pressekonferenzen gestaltet
Das ist natürlich nicht beabsichtigt und führt somit zu einem Datenschutz-Vorfall. Natürlich gibt es dafür eine Umgehungsmöglichkeit, indem die Einladungen nicht über Teams, sondern manuell mittel bcc verschickt werden.
Aufzeichnung von Web-Konferenzen
Als kritisch sind Aufzeichnungen der Video-Sessions einzustufen. Diese sind nur dann erlaubt, wenn im Zuge der Einladung zum WebMeeting eine Einwilligung erteilt wird. Alternativ muss ausdrücklich darauf hingewiesen werden, dass Teilnehmer, die damit nicht einverstanden sind, Kamera und Mikro abschalten müssen. Ob diese Vorgangsweise rechtlich hält, ist zu bezweifeln, da dieser Hinweis immer wieder erfolgen müsste, wenn ein neuer Teilnehmer in die Session einsteigt.
Problem Server-Standorte
Server-Standorte außerhalb der EU sind nur zulässig, wenn es sich um sichere Drittländer handelt. Darunter gehören gemäß der Angemessenheitsentscheidung der EU-Kommission derzeit Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz und Uruguay.
Zoom DSGVO konform einsetzen
Für Videokonferenzen und/oder Webinare wird z.B. häufig das Tool „Zoom“ genutzt. „Zoom“ ist ein Service der Zoom Video Communications, Inc., das ihren Sitz in den USA hat. Dabei lässt sich der sogenannten „EU“-Cluster von Zoom vorab einstellen und zum Einsatz bringen. Dabei findet die Verarbeitung von Kommunikationsinhalten von Meeting-Teilnehmenden ausschließlich in Rechenzentren in der Europäischen Union statt. Auch die Daten zu vergangenen Meetings und den Teilnehmenden werden in der EU gespeichert. In all jenen Fällen, in denen es technisch möglich ist, wird als zusätzliche Datenschutzmaßnahme eine End-to-End Verschlüsselung zwischen den Teilnehmern verwendet. Diese Maßnahme gewährleistet, dass nur Teilnehmer des Meetings auf den Inhalt der Kommunikation / Datentransfers zugreifen können.
Um die entsprechenden Support Leistungen anbieten zu können werden jedoch die „Betriebsdaten“ („Operation Data“) von Zoom unter anderem in den USA verarbeitet. Die Übersicht darüber, welche Datenarten zu den „Betriebsdaten“ zählen, kann den Datenschutzhinweisen von „Zoom Video Communications, Inc“ (https://zoom.us/de-de/privacy.html) entnommen werden.
Sowohl für Zoom als auch für WebEx ist eine sogenannte End-to-End-Verschlüsselung (E2EE) möglich. Microsoft hat für seine Plattform Teams eine „demnächst zur Verfügung stehende“ E2EE Option angekündigt. Bei dem End-to-End-Verschlüsselungs-Verfahren werden die Daten bereits am Gerat des „Senders“ verschlüsselt und erst an den Zielgeräten wieder entschlüsselt, wobei die eingesetzten Schlüssel nur unter den Teilnehmern bekannt sind. Der Server des Anbieters der als Vermittler zwischen den Teilnehmern fungiert ist daher nicht mehr in der Lage den Inhalt der Kommunikation (des Datentransfers) zu entschlüsseln. Aus heutiger Sicht entsprechen diese eingesetzten Kryptographischen-Verfahren einer sicheren und DSGVO konformen Datenübermittlung zwischen Sender und Empfänger.
Als Wermutstropfen ist jedoch anzumerken, dass es funktionale Einschränkungen beim Einsatz der E2EE Option gibt und Zoom die Verwendung von „Zoom Desktop Client“, „Mobile App“ bzw. „Zoom Rooms“ ab der Version 5.5 voraussetzt. Aktuell werden die Funktionalitäten „Beitritt vor Moderator“, „Cloud-Aufzeichnung“, „Livestreaming“, „Live-Transkription“, „Breakout-Räume“, und „Umfragen“ dadurch deaktiviert. Generell setzt z.B. Zoom eine Registrierung voraus. Dabei werden zumindest die Registrierungsdaten als für den Betrieb notwendige Daten auf den Servern in den USA gespeichert.
Daher wird von uns empfohlen im Zuge der Einladung auf die Umstände der Registrierung aufmerksam zu machen und einen „Disclaimer“ mit zumindest einem Link auf Ihre Datenschutzrichtlinien und den „Zoom-Datenschutzrichtlinien“ mitzusenden.
Beispiel Zoom Disclaimer für DSGVO-Konformität
Der folgende Text ist eine beispielhafte Formulierung für einen Disclaimer:
„Wir haben mit „Zoom“ einen Auftragsverarbeitungsvertrag unter Einbeziehung der EU-Stan-dardvertragsklauseln geschlossen. Für die Verarbeitung der „Betriebsdaten“ in den USA und für die Verarbeitung von personenbezogenen Daten im Support-Fall wird das Schutzniveau durch die Verwendung der o.g. EU-Standardvertragsklauseln garantiert.
Rechtsgrundlage für die Nutzung von „Zoom“ ist für uns übrigens Art. 6 Abs. 1 lit. b) DSGVO. Im Falle von (seltenen) „offenen Webinaren“ ist es Art. 6 Abs. 1 lit. f) DSGVO, sofern kein Vertrags-verhältnis über die Teilnahme am Webinar entstanden ist. In dem Fall besteht unser Interesse darin, ein Webinar durchzuführen.
Unser Unternehmen nimmt den Datenschutz sehr ernst und wir ersuchen Sie, weiterführende Information unserer Datenschutzerklärung unter https://www.MusterGmbH/datenschutz bzw. der Datenschutzerklärung des Tool-Anbieters (z.B. „Zoom Video Communications Inc (https://zoom.us/de-de/privacy.html)“ zu entnehmen.“
Beispiel Zoom: https://www.datenschutz-guru.de/datenschutzhinweise-zoom/
Das Tagebuch wird zur Verfügung gestellt von
Be the first to comment