19.05.2020 |
Mit der Corona-Krise haben Telefon- und Videoconferencing einen bisher nicht erreichten Status in der Arbeitswelt erhalten. Ob mit Mitarbeitern im Home-Office oder mit Kunden und Lieferanten irgendwo auf der Welt – für Meetings werden immer häufiger Videoconferencing-Tools eingesetzt.
Dabei gilt es selbstverständlich auch den Datenschutz und die Cyber-Security zu wahren. Denn personenbezogene und geschäftsrelevante Daten müssen ausreichend vor unbefugtem Zugriff oder Abfluss geschützt werden.
Ich möchte mich im folgenden Blog auf das Videoconfencing beschränken.
Nachdem am Anfang der Corona-Krise bei Auswahl des eingesetzten Tools in den Unternehmen meist der Fokus auf einer schnellen Lösung lag, sollten sich die Verantwortlichen jetzt, insbesondere wenn sich das Videoconferencing bewährt hat, über eine flexible, nachhaltige und datenschutzkonforme Lösung Gedanken machen.
Videoconferencing im Unternehmen muss nicht zwangsläufig ein Sicherheitsrisiko darstellen.
Allerdings muss das Tool diversen Anforderungen entsprechen, die es ursprünglich bereits vor dem ersten Verwenden zu klären gilt: Dabei sollten sich die Verantwortlichen bei der Auswahl einer Software zunächst stets fragen, ob eine On-Premises-Variante (also auf den eigenen Servern gehostete Software) in Frage kommt oder aus unterschiedlichsten Gründen eine SaaS-Lösung eingesetzt werden soll.
Vertragliche Vorkehrungen
Entscheidet sich das Unternehmen für eine SaaS-Lösung, ist mit dem Anbieter der Lösung grundsätzlich ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abzuschließen. Außer es handelt sich um ein Tool aus einer Gesamtlösung mit Videoconferencing, mit dessen Dienstleister bereits ein Vertrag besteht, z.B. Teams von Microsoft oder Hang-out von Google im Rahmen von anderen SaaS-Lösungen im Unternehmen.
Es ist immer vorab zu prüfen, ob der SaaS-Dienstleister – der als Auftragsverarbeiter eingesetzt werden soll – für die Verarbeitung geeignete technische und organisatorische Maßnahmen bietet, damit die Verarbeitung datenschutzkonform erfolgen kann.
Grundsätzlich sollte ein Anbieter aus Deutschland oder der EU bevorzugt werden, da bei Auftragsverarbeitern aus einem sog. Drittländern zusätzlich zu prüfen ist, ob sie ein angemessenes Schutzniveau bieten (Angemessenheitsbeschluss der EU, Privacy-Shield-Zertifizierungen von US-Unternehmen) oder ansonsten geeignete Garantien des Anbieters (Abschluss von Standarddatenschutzklauseln).
Welche Möglichkeiten sollten das Videoconferencing-Tool bieten?
Der Verantwortliche (das Unternehmen) wird die technischen Maßnahmen anhand der geplanten Verarbeitung und Zielgruppe ausrichten müssen. Es ist danach zu fragen: Wird das Videoconferencing nur zur innerbetrieblichen Kommunikation genutzt oder auch mit Kunden in der Beratung oder Lieferanten bei Einkaufsverhandlungen? Dabei gilt es zu beachten, wie sensibel die Daten sind, die beim Videoconferencing geteilt werden sollen.
Der „Veranstalter“ der Videoconferencing ist dabei die verantwortliche Stelle und letztlich für die Auswahl des Tools und das damit verbundene Schutzniveau haftbar. Die Grundsätze „Data Protection by Design and Default“ nehmen vor allen Dingen das Unternehmen in die Pflicht.
Die „Must-have“ an technischen Maßnahmen:
Hosting: Wird das Tool gehostet oder On-Premises betrieben? Wenn möglich und nicht On-Premises, ist „VaaS“ (Video-as-a-Service) aus Deutschland oder der EU zu bevorzugen, da diese unmittelbar den Vorgaben der DSGVO unterliegen und somit ein angemessenes Schutzniveau gewähren
Verschlüsselung: Die Kommunikation sollte möglichst verschlüsselt erfolgen. Dabei gilt es im Einzelfall zu bestimmen welche Art von Verschlüsselung benötigt wird, dies hängt letztlich von der Art der Daten ab die verarbeitet werden soll.
Business-Version: Für die Verwendung im Unternehmen eignen sich nicht Tools, die für den privaten Einsatz gedacht sind. Zum Beispiel sind Apps wie WhatsApp oder FaceTime grundsätzlich ungeeignet.
Beschränkung von Logfiles: Logfiles sollten, nur soweit diese erforderlich sind, erstellt werden. Sie sollten aus Datenschutzsicht nur für die Fehlerbehebung durch den Dienstleister notwendig sein. Die Daten sind nur zu diesem Zweck zu verwenden und sollten nach Wegfall des Zwecks wieder gelöscht werden.
Chatverläufe und Dateiaustausch: Auch hier ist sicherzustellen, dass diese nur für den benötigten Zeitraum zur Verfügung stehen und danach automatisch gelöscht werden. Beim Chat dürfte dies nach Ende der Videoconferencing der Fall sein. Bei Dateiaustausch kann z.B. ein Zeitraum von wenigen Stunden oder einem Tag gewählt werden, innerhalb dessen die Mitarbeiter Zeit haben die Daten herunterzuladen und anderweitig abzulegen. Ergänzend sollte als organisatorische Maßnahme geregelt werden welche Arten von Dokumenten (nicht) über das Tool geteilt werden dürfen. Dies kann sowohl als Black- oder als Whitelist ausgestaltet werden.
Aufnahmen der Videoconferencing: Viele Tools bieten mittlerweile die Möglichkeit die Video-conferencing aufzunehmen. Dies dürfte in den meisten Fällen jedoch nur mit einer Einwilligung aller Teilnehmer zulässig sein. Daher sollte das Tool so eingestellt werden können, dass vor Start der Aufnahme bei allen Teilnehmern eine Nachricht mit den nötigen Informationen erscheint, sowie die Option, zuzustimmen oder abzulehnen. Zudem wird eine Aufzeichnung wohl stets den Ton umfassen und könnte bei fehlender Zustimmung sogar regelmäßig wegen der Verletzung der Vertraulichkeit des Wortes strafbar sein. Hier ist im speziellen Fall ein Jurist zu befragen.
Einsatz bei Bewerbungsverfahren: Sollte ein Unternehmen Bewerbungsgespräche wegen Corona oder großer räumlicher Distanz via Videoconferencing durchführen wollen, so sollten dies im Voraus sorgfältig geprüft werden, was hier notwendig und überhaupt zulässig ist, z.B. Einsatz von Profiling-tools zur Verhaltensanalyse.
Blurr-Möglichkeit: Zudem bieten Videoconferencing-Tools teilweise die Möglichkeit, den Hintergrund vollständig auszugrauen. Dann laufen keine Kinder durch das Bild oder verrät die Bücherwand oder das Bild an der Wand persönliche Neigungen. Hier kann der Teilnehmer mit technischen Mitteln für mehr Datenschutz und Vermeidung von Peinlichkeiten sorgen.
Einrichtung von Zugangsbeschränkungen: Das ist wie ein persönliches Login oder wird bei Gästen durch die Zustimmung des Organisators geregelt. Es ist nicht immer selbstverständlich, das Videoconferencing-Tools ohne diese technische Maßnahme einsetzt werden. So meldete Mitte März 2020 das Fachmagazin c’t: „Ein vom bayerischen Innenministerium genutztes Videoconferencing-System stand ungeschützt im Netz. So konnte c’t an einer internen Sitzung zum Coronavirus mit Bayerns Innenminister Joachim Herrmann teilnehmen.“ https://www.heise.de/ct/artikel/c-t-deckt-auf-Bayerischer-Innenminister-bespricht-Corona-Krise-in-ungeschuetzter-Videoconferencing-4680288.html
Die dargestellten technischen Maßnahmen und Einstellungserwägungen erheben keinen Anspruch auf Vollständigkeit. Letztendlich muss immer der Einzelfall betrachtet werden.
Zum Abschluss noch einige organisatorische Maßnahmen und Regelungen
Sensibilisierung: Teilnehmer sollten informiert und sensibilisiert sein, welche Daten über das Tool (vor allem auch mit Externen) geteilt werden dürfen. Hierzu kann der Moderator im Vorfeld eine Verhaltensrichtlinie verschicken und zu Beginn der Sitzung darauf verweisen. Insbesondere gilt dies beim Desktop-Sharing: Hier sollte nur gezeigt werden, was auch für die Besprechung erforderlich ist. Daher sollte der Desktop ohne Dateisymbole (Clean Desktop) gezeigt werden, solange diese für die Videoconferencing nicht erforderlich sind. Auch sollten keine Benachrichtigungen über neue Mails auf dem geteilten Bildschirm aufpoppen. Es sollte grundsätzlich für die Konferenz unterbunden werden. Als sehr nützlich hat sich das Muting nicht aktiver Teilnehmer erwiesen. Damit werden Rückkopplungen, Zwischenrufe der Kinder oder des Hundes nicht gleich an alle Teilnehmer verteilt.
Im innerbetrieblichen Bereich empfiehlt sich eine Richtlinie zum Videoconferencing zu entwickeln und zu kommunizieren.