Datenschutzkonferenz: Wenig Spielraum bei Videokonferenzsystemen aus den USA

In einer Orientierungshilfe geben die Datenschutzbeauftragten Ratschläge zu Videokonferenzen. Mit den gängigen Anbietern ist das kompliziert.

Artikel veröffentlicht am ,
Welche Videokonfernz lässt sich datenschutzkonform betreiben?
Welche Videokonfernz lässt sich datenschutzkonform betreiben? (Bild: Alexandra Koch/Pixabay)

In Zeiten der Coronapandemie spielen Videokonferenzdienste eine zentrale Rolle, um Angestellte in Unternehmen, Behörden oder Organisationen miteinander zu vernetzen. Dabei ist jedoch viel zu beachten, wie aus einer Orientierungshilfe der Datenschutzkonferenz, ein Zusammenschluss der Bundes- und Landesdatenschutzbeauftragten, hervorgeht. Insbesondere mit den gängigen Anbietern aus den USA wie Zoom oder Microsoft Teams ist es kompliziert.

Stellenmarkt
  1. Referent IT (m/w/d)
    Mainova AG, Frankfurt am Main
  2. Leitung der IT-Einheit für die Integration von Cloud Lösungen (m/w/d)
    Deutsche Bundesbank, Hamburg, Frankfurt am Main, Düsseldorf
Detailsuche

Statt die Dienste selbst zu betreiben, was entsprechende Kapazitäten für die Pflege voraussetzte, oder sich den Dienst von einem Auftragsverarbeiter betreiben zu lassen, setzen Unternehmen häufig auf bereits fertige Onlinedienste. "Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz allerdings in den USA und verarbeiten dort die Daten", heißt es in der 25-seitigen Orientierungshilfe.

Ob und unter welchen zusätzlichen Schutzvorkehrungen personenbezogene Daten in die USA übertragen werden dürfen, müsse nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) noch geklärt werden. Das Papier empfiehlt daher, Videokonferenzdienste aus den USA oder anderen Drittländern "sorgfältig zu prüfen". Eventuell seien zusätzliche Maßnahmen erforderlich oder müsse die Übertragung ganz unterbleiben. Insgesamt bleibt das Papier an dieser Stelle jedoch vage.

In einem Kurztest im Juli kam die Berliner Datenschutzbeauftragte Maja Smoltczyk zu dem Ergebnis, dass die Videokonferenzsysteme Zoom, Teams und Skype von Microsoft sowie Google Meet, GoToMeeting, Blizz und Cisco Webex sich nicht datenschutzkonform in Unternehmen einsetzen lassen.

Die Konferenzen müssen verschlüsselt sein

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    28. Februar–4. März 2022, virtuell
Weitere IT-Trainings

Vorausgesetzt wird unabhängig davon eine verschlüsselte Übertragung der Videokonferenzdaten zum Anbieter (Transport-Verschlüsselung). Besser sei eine Ende-zu-Ende-Verschlüsselung, bei der sich die Teilnehmenden gegenseitig nachprüfbar authentisieren und ein für jede Konferenz neuer, flüchtiger Schlüssel zum Einsatz kommt.

"Zum Zeitpunkt der Erstellung dieses Papiers waren Ende-zu-Ende-verschlüsselnde Lösungen, die diese Anforderungen erfüllen und die Videokonferenzen für eine höhere Anzahl von teilnehmenden Personen auch dann ermöglichen, wenn den teilnehmenden Personen an den von ihnen genutzten Endpunkten nur eine geringe oder variierende Bandbreite und Rechenleistung zur Verfügung steht, noch nicht marktgängig", schreiben die Datenschutzbeauftragten.

Eine Transportverschlüsselung könne jedoch unter den gegebenen Bedingungen ausreichen, sofern durch "kompensierende Maßnahmen" wie eine Härtung der Systeme anbieterseits oder organisatorischer Maßnahmen, die den Beschäftigten des Dienstanbieters eine Dateneinsicht erschweren, durchgeführt würden.

Wenn der Anbieter die Daten verarbeitet

Verarbeite der Videokonferenzanbieter die personenbezogenen Daten zudem zu eigenen Zwecken oder Zwecken Dritter, beispielsweise mit Analysetools oder Tracking zu Werbezwecken, brauche es auch hierfür eine Rechtsgrundlage. Hier komme grundsätzlich eine freiwillige und informierte Einwilligung in die Datenverarbeitung durch die Teilnehmenden infrage.

"Gerade im beruflichen oder im schulischen Kontext ist die Freiwilligkeit oftmals zweifelhaft, insbesondere dann, wenn Informationen, die für die Durchführung der beruflichen Tätigkeit oder für den Schulunterricht unverzichtbar sind, ausschließlich im Rahmen einer Videokonferenz mitgeteilt werden", schreiben die Datenschutzbeauftragten.

Insbesondere im Homeoffice müsse zudem sichergestellt werden, "dass andere Teilnehmende ohne Einwilligung der Beschäftigten keine Einblicke in deren Privatsphäre durch Bild oder Ton erhalten". Hier müsse beispielsweise "durch Ausrichtung der Kamera[,] Bereitstellung eines Paravents" oder das Einblenden von virtuellen Hintergründen vorgebeugt werden. "Unvorbereitetes optisches und/oder akustisches Erscheinen Dritter in der Videokonferenz und ähnliche 'Pannen' sind zu vermeiden", betont die Orientierungshilfe.

Hinweis: Golem.de betreibt unter meet.golem.de eine öffentliche Instanz der Videokonferenzsoftware Jitsi. Die Software kann auch auf einem eigenen Server betrieben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zum Angebot von GoToMeeting
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. FTTH: Liberty Network startet noch mal in Deutschland
    FTTH
    Liberty Network startet noch mal in Deutschland

    Das erste FTTH-Projekt ist gescheitert. Jetzt wandert Liberty von Brandenburg nach Bayern an den Starnberger See.

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Let's Encrypt: Was Admins heute tun müssen
    Let's Encrypt
    Was Admins heute tun müssen

    Heute um 17 Uhr werden bei Let's Encrypt Zertifikate zurückgezogen. Wir beschreiben, wie Admins prüfen können, ob sie betroffen sind.
    Eine Anleitung von Hanno Böck

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 12GB 1.499€ • iPhone 13 Pro 512GB 1.349€ • DXRacer Gaming-Stuhl 159€ • LG OLED 55 Zoll 1.149€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen • One Plus Nord 2 335€ • Intel i7 3,6Ghz 399€ • Alternate: u.a. Sennheiser Gaming-Headset 169,90€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /