Datenschutzkonferenz: Wenig Spielraum bei Videokonferenzsystemen aus den USA

In einer Orientierungshilfe geben die Datenschutzbeauftragten Ratschläge zu Videokonferenzen. Mit den gängigen Anbietern ist das kompliziert.

Artikel veröffentlicht am ,
Welche Videokonfernz lässt sich datenschutzkonform betreiben?
Welche Videokonfernz lässt sich datenschutzkonform betreiben? (Bild: Alexandra Koch/Pixabay)

In Zeiten der Coronapandemie spielen Videokonferenzdienste eine zentrale Rolle, um Angestellte in Unternehmen, Behörden oder Organisationen miteinander zu vernetzen. Dabei ist jedoch viel zu beachten, wie aus einer Orientierungshilfe der Datenschutzkonferenz, ein Zusammenschluss der Bundes- und Landesdatenschutzbeauftragten, hervorgeht. Insbesondere mit den gängigen Anbietern aus den USA wie Zoom oder Microsoft Teams ist es kompliziert.

Stellenmarkt
  1. Data Base Engineer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
  2. Senior IT-Security Engineer (m/w/d) - Identity and Access Management (IAM) / Privileged Access Management (PAM)
    Börse Stuttgart GmbH, Stuttgart
Detailsuche

Statt die Dienste selbst zu betreiben, was entsprechende Kapazitäten für die Pflege voraussetzte, oder sich den Dienst von einem Auftragsverarbeiter betreiben zu lassen, setzen Unternehmen häufig auf bereits fertige Onlinedienste. "Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz allerdings in den USA und verarbeiten dort die Daten", heißt es in der 25-seitigen Orientierungshilfe.

Ob und unter welchen zusätzlichen Schutzvorkehrungen personenbezogene Daten in die USA übertragen werden dürfen, müsse nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) noch geklärt werden. Das Papier empfiehlt daher, Videokonferenzdienste aus den USA oder anderen Drittländern "sorgfältig zu prüfen". Eventuell seien zusätzliche Maßnahmen erforderlich oder müsse die Übertragung ganz unterbleiben. Insgesamt bleibt das Papier an dieser Stelle jedoch vage.

In einem Kurztest im Juli kam die Berliner Datenschutzbeauftragte Maja Smoltczyk zu dem Ergebnis, dass die Videokonferenzsysteme Zoom, Teams und Skype von Microsoft sowie Google Meet, GoToMeeting, Blizz und Cisco Webex sich nicht datenschutzkonform in Unternehmen einsetzen lassen.

Die Konferenzen müssen verschlüsselt sein

Golem Akademie
  1. Python kompakt - Einführung für Softwareentwickler
    28.-29. Oktober 2021, online
  2. Data Engineering mit Apache Spark
    27.-28. September 2021, online
  3. Advanced Python - Fortgeschrittene Programmierthemen
    16./17. September 2021, online
Weitere IT-Trainings

Vorausgesetzt wird unabhängig davon eine verschlüsselte Übertragung der Videokonferenzdaten zum Anbieter (Transport-Verschlüsselung). Besser sei eine Ende-zu-Ende-Verschlüsselung, bei der sich die Teilnehmenden gegenseitig nachprüfbar authentisieren und ein für jede Konferenz neuer, flüchtiger Schlüssel zum Einsatz kommt.

"Zum Zeitpunkt der Erstellung dieses Papiers waren Ende-zu-Ende-verschlüsselnde Lösungen, die diese Anforderungen erfüllen und die Videokonferenzen für eine höhere Anzahl von teilnehmenden Personen auch dann ermöglichen, wenn den teilnehmenden Personen an den von ihnen genutzten Endpunkten nur eine geringe oder variierende Bandbreite und Rechenleistung zur Verfügung steht, noch nicht marktgängig", schreiben die Datenschutzbeauftragten.

Eine Transportverschlüsselung könne jedoch unter den gegebenen Bedingungen ausreichen, sofern durch "kompensierende Maßnahmen" wie eine Härtung der Systeme anbieterseits oder organisatorischer Maßnahmen, die den Beschäftigten des Dienstanbieters eine Dateneinsicht erschweren, durchgeführt würden.

Wenn der Anbieter die Daten verarbeitet

Verarbeite der Videokonferenzanbieter die personenbezogenen Daten zudem zu eigenen Zwecken oder Zwecken Dritter, beispielsweise mit Analysetools oder Tracking zu Werbezwecken, brauche es auch hierfür eine Rechtsgrundlage. Hier komme grundsätzlich eine freiwillige und informierte Einwilligung in die Datenverarbeitung durch die Teilnehmenden infrage.

"Gerade im beruflichen oder im schulischen Kontext ist die Freiwilligkeit oftmals zweifelhaft, insbesondere dann, wenn Informationen, die für die Durchführung der beruflichen Tätigkeit oder für den Schulunterricht unverzichtbar sind, ausschließlich im Rahmen einer Videokonferenz mitgeteilt werden", schreiben die Datenschutzbeauftragten.

Insbesondere im Homeoffice müsse zudem sichergestellt werden, "dass andere Teilnehmende ohne Einwilligung der Beschäftigten keine Einblicke in deren Privatsphäre durch Bild oder Ton erhalten". Hier müsse beispielsweise "durch Ausrichtung der Kamera[,] Bereitstellung eines Paravents" oder das Einblenden von virtuellen Hintergründen vorgebeugt werden. "Unvorbereitetes optisches und/oder akustisches Erscheinen Dritter in der Videokonferenz und ähnliche 'Pannen' sind zu vermeiden", betont die Orientierungshilfe.

Hinweis: Golem.de betreibt unter meet.golem.de eine öffentliche Instanz der Videokonferenzsoftware Jitsi. Die Software kann auch auf einem eigenen Server betrieben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Probefahrt mit EQS
Mercedes schüttelt Tesla ab, aber nicht die Klimakrise

Der neue EQS von Mercedes-Benz widerlegt die Argumente vieler Elektroauto-Gegner. Auch die Komforttüren gefallen uns.
Ein Bericht von Friedhelm Greis

Probefahrt mit EQS: Mercedes schüttelt Tesla ab, aber nicht die Klimakrise
Artikel
  1. E-Scooter: Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt
    E-Scooter
    Voi wird wegen angeblich unbegrenzter Fahrten abgemahnt

    Mit einer Tages- oder Monatskarte des E-Scooter-Anbieters Voi sollen Nutzer so viel fahren können, wie sie wollen - können sie aber nicht.

  2. Vidme: Webseiten blenden ungewollt Pornos ein
    Vidme
    Webseiten blenden ungewollt Pornos ein

    Eine Pornowebseite hat die verwaiste Domain eines Videohosters gekauft. Auf bekannten Nachrichtenseiten wurden daraufhin Hardcore-Pornos angezeigt.

  3. Datenbank: Facebook braucht schon Jahre für MySQL-Update
    Datenbank
    Facebook braucht schon Jahre für MySQL-Update

    Das Update von MySQL 5.6 auf das aktuelle 8.0 laufe bei Facebook wegen vieler Probleme schon seit "einigen Jahren" und ist noch nicht fertig.

chefin 03. Nov 2020

100MB Teams laden dauert 30sec. Den Umgang damit zu lernen dauert 2 Std. Den Kunden dazu...

deadjoe 02. Nov 2020

ICh selber nutze MS Teams jeden Tag, mehrfach. Ich frage mich ernsthaft ob denn jemand...

heldenhaft 02. Nov 2020

Bei Ionos (videochat) gibt es gerade in kostenfreies Angebot, dass sollte konform sein...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • Asus TUF Gaming 27" FHD 280Hz 306,22€ • Samsung 970 Evo Plus 1TB 136,99€ • Gratis-Spiele im Epic Games Store • Alternate (u. a. be quiet Pure Wings 2 Gehäuselüfter 7,49€) • Philips 75" + Philips On-Ear-Kopfhörer 899€ • -15% auf TVs bei Ebay [Werbung]
    •  /