Voller Datenschutz bei Videokonferenzen? Unmöglich!

Sind persönliche Treffen ausgeschlossen, bieten Videokonferenzsysteme eine Alternative. 2020 ist DAS Jahr für Microsoft Teams, Zoom, Skype oder Google Meet. Aufsichtsbehörden monieren den Datenschutz. Sie empfehlen europäische Tools und interne Installationen.  Ist damit alles gut? Wir sagen: Nein!

Auf die Coronakrise haben Firmen und viele Seminaranbieter sofort reagiert. Konferenzen, Meetings und Weitbildungsangebote finden seit dem Frühjahr 2020 online statt. Dank Microsoft Teams, Zoom, Skype oder Google Meet ist das technisch kein Problem. Da sie jedoch zusätzlich zur Auftragsverarbeitung aus eigenem Interesse Nutzerdaten verarbeiten, sind deutsche Aufsichtsbehörden alarmiert. Weder das Microsoft Data Processing Agreement, noch die Auftragsverarbeitungsverträge von ZOOM, Cisco WebEx oder die Google Nutzungsbedingungen genügen den Anforderungen in Art. 28 Abs. 3 DS-GVO.

Ist eine Vereinbarung zur Auftragsverarbeitung überhaupt erforderlich? Wir sagen: Nein!

Gemäß der „FAQ Abgrenzung Auftragsverarbeitung“ des Bayrischen Landesamt für Datenschutz vom 20.07.2018 ist eine Videokonferenz eine Dienstleistung nach dem Telekommunikationsgesetz (TKG) und keine Auftragsverarbeitung im Sinne von Art. 4 Nr. 8 DSGVO.

Dürfen Systeme aus den USA genutzt werden? Wir sagen: Ja!

Problematisch ist die Datenübertragung in die USA, erst recht nach dem Ende des Privacy Shield Abkommens. Dies hat der EuGH am 16.07.2020 für unwirksam erklärt, weil u.a. die US-Behörden bei den US-Unternehmen zu viele Daten abfragen. Das ist merkwürdig, zumal dies auch in Europa üblich ist. Telekommunikationsunternehmen, die in Deutschland aktiv sind, müssen gem. § 110 Abs 1 TKG hierfür sogar die Technik und die Organisation vorhalten. Das gilt für alle, also auch für die Videokonferenzsysteme von Google, Microsoft, Zoom und Co. Eine Behinderung des Marktzuganges ist weder von US- noch von der EU-Seite gewollt. Datenschutzanforderungen für US-Unternehmen, die europäische Unternehmen nicht erfüllen müssen, wären somit eine Behinderung.

Wie kann man Videokonferenzsysteme datenschutzkonform einsetzen?

Videokonferenz_Businessmeeting

Im Juli 2020 veröffentlichte die Berliner Beauftragte für Datenschutz und Informationsfreiheit dazu ein Informationspapier. Darin findet sich eine Liste mit gängigen Videokonferenzanbietern und deren Bewertung mithilfe einer Ampel.
Im Ergebnis schneiden europäische Anbieter am besten ab, komplett grünes Licht bekommt jedoch inzwischen keiner!
Es gibt somit kein sicheres Videokonferenzsystem.

Deshalb empfiehlt es sich, mit der Einladung zu einer Videokonferenz folgende Datenschutzerklärung mit zu versenden:

Datenschutzhinweis Videokonferenz:

Videokonferenzen sind datenschutzrechtlich mit Vorsicht zu genießen. Der Verantwortliche hat keinen Einfluss auf die Sicherheit der Gesprächsdaten, weil jeder Teilnehmer die Videokonferenz mit einem Screenrecorder oder einem Smartphone aufzeichnen kann. Vertrauliche Gespräche sind deshalb per Telefon oder noch besser persönlich zu führen.

Sie haben es selbst in der Hand, ob Sie mit vollem Namen oder nur mit Ihren Initialen teilnehmen, ob Sie etwas sagen oder ob Sie persönlich mit Bild oder Video erscheinen. Wenn Sie mit vollem Namen, Sprache, Bild oder Video teilnehmen, machen Sie das freiwillig und sind über diese Unsicherheit informiert.

Mit einem Hinweis dieser Art können Sie auch die Videokonferenzsysteme von US-Anbietern nutzen.

Vollen Datenschutz muss man sich leisten können

Manche befürworten wegen dieser unsicheren Systeme selbst betriebene Dienste. Klingt einfach, ist es aber nicht. Wer ein Videokonferenzsystem selbst hostet, ist für dessen technische Sicherheit gem. Art. 24 und 25 DS-GVO voll verantwortlich. Die Orientierungshilfe der DSK vom Oktober 2020 geht in Kapitel 4 hierzu ins Detail.
Große Firmen haben die dazu nötigen Ressourcen, kleinere oft nicht. Letztlich ist es eine Kostenfrage. Die Coronakrise zwingt aber alle dazu, persönliche Kontakte per Videoschalte zu pflegen. Für kleine Firmen, einfache Handwerksbetriebe und Soloselbstständige sind günstige bis kostenlose Onlinedienste überlebenswichtig.
Doch auch kostspielige Lösungen schützen nie voll und ganz. Selbst wenn die Aufzeichnung via Bildschirm klar geregelt bzw. untersagt ist, kann ein Smartphone unbemerkt mitfilmen.

Am IDD gehen wir offen und pragmatisch damit um. Kein Videokonferenzsystem ist absolut sicher. Darüber informieren wir unsere Kunden und die entscheiden, über welches Tool die Besprechung laufen soll. Werden vertrauliche Inhalte verhandelt, dann suchen wir das persönliche Gespräch oder greifen – wie jetzt in der Coronazeit – zum guten alten Festnetztelefon.

Fassen wir zusammen:

  • Alle Videokonferenzsysteme sind unsicher. Die Risiken müssen allen bekannt sein.
  • Große Unternehmen können eigene Konferenzsysteme auf eigenen Servern aufsetzen.
  • Kleinere Unternehmen nutzen die am Markt befindlichen Videokonferenzteilnehmer.
  • Auch die Videokonferenzsystem von US-Anbietern können genutzt werden.