Die Deutsche Datenschutzkonferenz hat eine neue Orientierungshilfe zu Videokonferenzdiensten veröffentlicht. Sie empfiehlt Unternehmen, Behörden und anderen Organisationen bei Verwendung von Videokonferenzdienste von US-Anbietern, diese vor dem Einsatz „sorgfältig zu prüfen“.

Am 23.10.2020 veröffentlichte die Datenschutzkonferenz (DSK) eine neue Orientierungshilfe. Sie empfiehlt unter anderem Unternehmen, Behörden und anderen Organisationen Videokonferenzdienste wie Zoom, Skype, GoToMeeting, Cisco WebEx oder Microsoft Teams, die ihren Firmensitz in den USA haben und dort die Daten verarbeiten, vor dem Einsatz „sorgfältig zu prüfen“.
Diese Empfehlung ist stützt sich auf die Entscheidung des Europäische Gerichtshofs (EuGH) EU-US Privacy Shields für ungültig zu erklären (wir berichteten hirzu: Schrems II).
Bereits zuvor haben wir empfohlen, dies trotz damals noch bestehendem gleichwertigen Datenschutzniveau kritisch zu prüfen (vgl. Mit Berufsgeheimnis rechtskonform auf Video Conferencing umstellen).  Nachdem nun auch der EDÖB, die Gleichwertigkeit aberkannt hat, gilt dies umso mehr vgl. dazu unseren Beitrag „EDÖB: Kein adäquates Datenschutzniveau für Daten aus der Schweiz

Vorzug selbst betriebener Open-Source-Software

Laut DSK sollten grosse Institutionen, Unternehmen und Behörden selbst betriebene Open-Source-Software vorziehen. Dies brächte die Vorteile, dass die Daten „genauso verarbeitet werden, wie gewünscht und […] dass nur dem Verantwortlichen eine Analyse und Kontrolle der Inhalts- und Rahmendaten der Systeme ermöglicht wird.“ Zudem entfallen die Notwendigkeit von Auftragsverarbeitungsvertrag und einer Vereinbarung zur gemeinsamen Verantwortung.
Die DSK bemerkt jedoch, dass von grossen und leistungsfähigen Institutionen erwartet werden kann „für (den)Betrieb und (die) Wartung über ausreichende technische und personelle Kapazitäten (zu)verfügen und geeignete technische und organisatorische Maßnahmen zum Schutz der Daten (zu)ergreifen“, dies jedoch für kleinere Unternehmen eine personelle und technische Herausforderung darstellen kann.
In einem Kurztest über Videokonferenz-Dienste der Berliner Datenschutzbehörde vom Juli 2020 erhält die kommerziell bereitgestellte Open-Source-Software Jitsi Meet von Netways oder sichere-videokonferenz.de sehr gute Testergebnisse.

Betrieb durch Dritte

Eine zweite Variante sei, ein Videokonferenzsystem von einem Dienstleister nach eigenen Vorstellungen betreiben zu lassen. Hierbei verweist die DSK auf den Abschluss eines Auftragsverarbeitungsvertrages nach Art. 28 Abs. 3 DS-GVO und betont, dass die angebotene Softaware auf Datenabflüsse an den Hersteller und dritte Stellen zu untersuchen ist.

Online-Dienst

Eine weitere Möglichkeit ist einen bestehenden Online-Dienst zu verwenden. Hierbei sollten die zentralen Konfigurationsoptionen, wie Datenabflüsse und Zugriffsrechte geprüft und gegebenenfalls angepasst werden. Zudem muss der „Verantwortliche die vom Auftragsverarbeiter vorgelegten Auftragsverarbeitungsverträge, Nutzungsbedingungen und Sicherheitsnachweise und auch dessen Datenschutzerklärung prüfen.“

Videokonferenz vom Wohnzimmer aus – Probleme beim Homeoffice

Nehmen Beschäftigte an Videokonferenzen aus ihrem Home-Office teil, müsse der Arbeitgeber neutrale technische und organisatorische Massnahmen zur Verfügung stellen, sodass keine Einblicke in die Privatsphäre durch Bild oder Ton passieren darf. Dies wäre möglich durch die Bereitstellung eines neutralen Hintergrunds oder durch die Einblendung eines virtuellen Hintergrunds – soweit dies der Dienstleister anbietet.
Zudem sollte den Mitarbeitern über Risiken informiert werden, wie eine unvorteilhafte Kameraausrichtung, Mitnahme der Geräte in ungeeignete oder von Dritten belegte Räume, das unvorbereitete optische und/oder akustische Erscheinen Dritter in der Videokonferenz.

Schauen Sie sich Nicole Beranek Zanons Privacy Talk vom 18.8.2020 mit Daniel Seiler  zum Thema „Datenschutz-Äquivalenz der Schweiz gefährdet?“ an.