Datenschutzkonferenz: Wenig Spielraum bei Videokonferenzsystemen aus den USA

In einer Orientierungshilfe geben die Datenschutzbeauftragten Ratschläge zu Videokonferenzen. Mit den gängigen Anbietern ist das kompliziert.

Artikel veröffentlicht am ,
Welche Videokonfernz lässt sich datenschutzkonform betreiben?
Welche Videokonfernz lässt sich datenschutzkonform betreiben? (Bild: Alexandra Koch/Pixabay)

In Zeiten der Coronapandemie spielen Videokonferenzdienste eine zentrale Rolle, um Angestellte in Unternehmen, Behörden oder Organisationen miteinander zu vernetzen. Dabei ist jedoch viel zu beachten, wie aus einer Orientierungshilfe der Datenschutzkonferenz, ein Zusammenschluss der Bundes- und Landesdatenschutzbeauftragten, hervorgeht. Insbesondere mit den gängigen Anbietern aus den USA wie Zoom oder Microsoft Teams ist es kompliziert.

Stellenmarkt
  1. Wirtschaftsinformatikerin oder Wirtschaftsinformatiker o. ä. (w/m/d) IT-Anforderungs- und Projektmanagement
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Bonn, Berlin
  2. IT-Koordination (dezentral) (w/m/d)
    Phoenix Beschäftigung und Bildung e.G., Einsatzgebiet Raum Baden-Württemberg (Home-Office)
Detailsuche

Statt die Dienste selbst zu betreiben, was entsprechende Kapazitäten für die Pflege voraussetzte, oder sich den Dienst von einem Auftragsverarbeiter betreiben zu lassen, setzen Unternehmen häufig auf bereits fertige Onlinedienste. "Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz allerdings in den USA und verarbeiten dort die Daten", heißt es in der 25-seitigen Orientierungshilfe.

Ob und unter welchen zusätzlichen Schutzvorkehrungen personenbezogene Daten in die USA übertragen werden dürfen, müsse nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) noch geklärt werden. Das Papier empfiehlt daher, Videokonferenzdienste aus den USA oder anderen Drittländern "sorgfältig zu prüfen". Eventuell seien zusätzliche Maßnahmen erforderlich oder müsse die Übertragung ganz unterbleiben. Insgesamt bleibt das Papier an dieser Stelle jedoch vage.

In einem Kurztest im Juli kam die Berliner Datenschutzbeauftragte Maja Smoltczyk zu dem Ergebnis, dass die Videokonferenzsysteme Zoom, Teams und Skype von Microsoft sowie Google Meet, GoToMeeting, Blizz und Cisco Webex sich nicht datenschutzkonform in Unternehmen einsetzen lassen.

Die Konferenzen müssen verschlüsselt sein

Golem Akademie
  1. Data Engineering mit Apache Spark
    27.-28. September 2021, online
  2. Masterclass: Data Science mit Pandas & Python
    9./10. September 2021, online
Weitere IT-Trainings

Vorausgesetzt wird unabhängig davon eine verschlüsselte Übertragung der Videokonferenzdaten zum Anbieter (Transport-Verschlüsselung). Besser sei eine Ende-zu-Ende-Verschlüsselung, bei der sich die Teilnehmenden gegenseitig nachprüfbar authentisieren und ein für jede Konferenz neuer, flüchtiger Schlüssel zum Einsatz kommt.

"Zum Zeitpunkt der Erstellung dieses Papiers waren Ende-zu-Ende-verschlüsselnde Lösungen, die diese Anforderungen erfüllen und die Videokonferenzen für eine höhere Anzahl von teilnehmenden Personen auch dann ermöglichen, wenn den teilnehmenden Personen an den von ihnen genutzten Endpunkten nur eine geringe oder variierende Bandbreite und Rechenleistung zur Verfügung steht, noch nicht marktgängig", schreiben die Datenschutzbeauftragten.

Eine Transportverschlüsselung könne jedoch unter den gegebenen Bedingungen ausreichen, sofern durch "kompensierende Maßnahmen" wie eine Härtung der Systeme anbieterseits oder organisatorischer Maßnahmen, die den Beschäftigten des Dienstanbieters eine Dateneinsicht erschweren, durchgeführt würden.

Wenn der Anbieter die Daten verarbeitet

Verarbeite der Videokonferenzanbieter die personenbezogenen Daten zudem zu eigenen Zwecken oder Zwecken Dritter, beispielsweise mit Analysetools oder Tracking zu Werbezwecken, brauche es auch hierfür eine Rechtsgrundlage. Hier komme grundsätzlich eine freiwillige und informierte Einwilligung in die Datenverarbeitung durch die Teilnehmenden infrage.

"Gerade im beruflichen oder im schulischen Kontext ist die Freiwilligkeit oftmals zweifelhaft, insbesondere dann, wenn Informationen, die für die Durchführung der beruflichen Tätigkeit oder für den Schulunterricht unverzichtbar sind, ausschließlich im Rahmen einer Videokonferenz mitgeteilt werden", schreiben die Datenschutzbeauftragten.

Insbesondere im Homeoffice müsse zudem sichergestellt werden, "dass andere Teilnehmende ohne Einwilligung der Beschäftigten keine Einblicke in deren Privatsphäre durch Bild oder Ton erhalten". Hier müsse beispielsweise "durch Ausrichtung der Kamera[,] Bereitstellung eines Paravents" oder das Einblenden von virtuellen Hintergründen vorgebeugt werden. "Unvorbereitetes optisches und/oder akustisches Erscheinen Dritter in der Videokonferenz und ähnliche 'Pannen' sind zu vermeiden", betont die Orientierungshilfe.

Hinweis: Golem.de betreibt unter meet.golem.de eine öffentliche Instanz der Videokonferenzsoftware Jitsi. Die Software kann auch auf einem eigenen Server betrieben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Selbständige: Vodafone mit neuen Tarifen ohne Preissteigerung
    Selbständige
    Vodafone mit neuen Tarifen ohne Preissteigerung

    Vodafone wird seine Preise in neuen Tarifen für Selbständige nach 24 Monaten nicht mehr anheben.

  2. Gorillas-Chef: Entlassungen sind im Interesse der Community
    Gorillas-Chef
    Entlassungen sind "im Interesse der Community"

    Der Chef des Gorillas-Lieferdienstes rechtfertigt die Kündigung eines Arbeiters. Eine Fahrerin mit blauen Flecken am Rücken bewertet das anders.

  3. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

chefin 03. Nov 2020

100MB Teams laden dauert 30sec. Den Umgang damit zu lernen dauert 2 Std. Den Kunden dazu...

deadjoe 02. Nov 2020

ICh selber nutze MS Teams jeden Tag, mehrfach. Ich frage mich ernsthaft ob denn jemand...

heldenhaft 02. Nov 2020

Bei Ionos (videochat) gibt es gerade in kostenfreies Angebot, dass sollte konform sein...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /