Datenschutzkonferenz: Wenig Spielraum bei Videokonferenzsystemen aus den USA

In Zeiten der Coronapandemie spielen Videokonferenzdienste eine zentrale Rolle, um Angestellte in Unternehmen, Behörden oder Organisationen miteinander zu vernetzen. Dabei ist jedoch viel zu beachten, wie aus einer Orientierungshilfe der Datenschutzkonferenz, ein Zusammenschluss der Bundes- und Landesdatenschutzbeauftragten, hervorgeht. Insbesondere mit den gängigen Anbietern aus den USA wie Zoom oder Microsoft Teams ist es kompliziert.

Statt die Dienste selbst zu betreiben, was entsprechende Kapazitäten für die Pflege voraussetzte, oder sich den Dienst von einem Auftragsverarbeiter betreiben zu lassen, setzen Unternehmen häufig auf bereits fertige Onlinedienste. "Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz allerdings in den USA und verarbeiten dort die Daten", heißt es in der 25-seitigen Orientierungshilfe.

Ob und unter welchen zusätzlichen Schutzvorkehrungen personenbezogene Daten in die USA übertragen werden dürfen, müsse nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) noch geklärt werden. Das Papier empfiehlt daher, Videokonferenzdienste aus den USA oder anderen Drittländern "sorgfältig zu prüfen". Eventuell seien zusätzliche Maßnahmen erforderlich oder müsse die Übertragung ganz unterbleiben. Insgesamt bleibt das Papier an dieser Stelle jedoch vage.

In einem Kurztest im Juli kam die Berliner Datenschutzbeauftragte Maja Smoltczyk zu dem Ergebnis, dass die Videokonferenzsysteme Zoom, Teams und Skype von Microsoft sowie Google Meet, GoToMeeting, Blizz und Cisco Webex sich nicht datenschutzkonform in Unternehmen einsetzen lassen.

Die Konferenzen müssen verschlüsselt sein

Vorausgesetzt wird unabhängig davon eine verschlüsselte Übertragung der Videokonferenzdaten zum Anbieter (Transport-Verschlüsselung). Besser sei eine Ende-zu-Ende-Verschlüsselung, bei der sich die Teilnehmenden gegenseitig nachprüfbar authentisieren und ein für jede Konferenz neuer, flüchtiger Schlüssel zum Einsatz kommt.

"Zum Zeitpunkt der Erstellung dieses Papiers waren Ende-zu-Ende-verschlüsselnde Lösungen, die diese Anforderungen erfüllen und die Videokonferenzen für eine höhere Anzahl von teilnehmenden Personen auch dann ermöglichen, wenn den teilnehmenden Personen an den von ihnen genutzten Endpunkten nur eine geringe oder variierende Bandbreite und Rechenleistung zur Verfügung steht, noch nicht marktgängig", schreiben die Datenschutzbeauftragten.

Eine Transportverschlüsselung könne jedoch unter den gegebenen Bedingungen ausreichen, sofern durch "kompensierende Maßnahmen" wie eine Härtung der Systeme anbieterseits oder organisatorischer Maßnahmen, die den Beschäftigten des Dienstanbieters eine Dateneinsicht erschweren, durchgeführt würden.

Wenn der Anbieter die Daten verarbeitet

Verarbeite der Videokonferenzanbieter die personenbezogenen Daten zudem zu eigenen Zwecken oder Zwecken Dritter, beispielsweise mit Analysetools oder Tracking zu Werbezwecken, brauche es auch hierfür eine Rechtsgrundlage. Hier komme grundsätzlich eine freiwillige und informierte Einwilligung in die Datenverarbeitung durch die Teilnehmenden infrage.

"Gerade im beruflichen oder im schulischen Kontext ist die Freiwilligkeit oftmals zweifelhaft, insbesondere dann, wenn Informationen, die für die Durchführung der beruflichen Tätigkeit oder für den Schulunterricht unverzichtbar sind, ausschließlich im Rahmen einer Videokonferenz mitgeteilt werden", schreiben die Datenschutzbeauftragten.

Insbesondere im Homeoffice müsse zudem sichergestellt werden, "dass andere Teilnehmende ohne Einwilligung der Beschäftigten keine Einblicke in deren Privatsphäre durch Bild oder Ton erhalten". Hier müsse beispielsweise "durch Ausrichtung der Kamera[,] Bereitstellung eines Paravents" oder das Einblenden von virtuellen Hintergründen vorgebeugt werden. "Unvorbereitetes optisches und/oder akustisches Erscheinen Dritter in der Videokonferenz und ähnliche 'Pannen' sind zu vermeiden", betont die Orientierungshilfe.

Hinweis: Golem.de betreibt unter meet.golem.de eine öffentliche Instanz der Videokonferenzsoftware Jitsi. Die Software kann auch auf einem eigenen Server betrieben werden.