Microsoft Teams, Zoom und Co. sind ein Teil unseres Lebens geworden. Kein Tag vergeht ohne Videokonferenzen. Unternehmen werden sich auch in Zukunft weiter auf Arbeit aus dem Homeoffice einstellen. Zeit, sich mit den einzelnen Tools und den Anforderugen an Datenschutz und IT-Sicherheit einmal näher zu beschäftigen.

Neues Jahr, altes Leid – Wie können Videokonferenzsysteme rechtssicher eingesetzt werden?

Die Corona-Pandemie hat unseren Alltag kräftig durcheinandergewirbelt. Weitere Verlängerungen des Lockdowns werden schon diskutiert. Während Eltern über die Schwächen der Online-Lernplattformen der Länder klagen, müssen sich auch Unternehmen weiterhin auf Arbeit aus dem Homeoffice einstellen. Eine große Hilfe stellen in der Praxis Videokonferenzsysteme dar. Die Anzahl der Anbieter ist riesig. Worauf sollten Unternehmen bei einer Entscheidung achten? Wir haben uns mit dieser Frage näher beschäftigt.

Sicherheitsaspekte nicht außer Acht lassen!

Für viele Kunden der Anbieter von Videokonferenzsystemen werden der Preis, die Qualität und Zuverlässigkeit der Übertragung der Datenströme sowie Teilnahmegröße und einzelne Features eine wichtige Rolle bei der Entscheidung für den einen oder den anderen Anbieter spielen. Unternehmen sollten aber nicht vergessen, dass die Datensicherheit und der Datenschutz ebenfalls von großer Bedeutung sind.

Insbesondere sollte bei der Entscheidung die Verschlüsselung der Daten berücksichtigt werden. Einige Anbieter sind hier in der technischen Entwicklung schon weit vorangeschritten und bieten Ende-zu-Ende-Verschlüsselungen für ihre Dienste an. So nutzt beispielsweise der Dienst GoToMeeting eine moderne Transport-Layer-Security-Verschlüsselung (TLS) zum Schutz der Chat-, Steuerungs- und Sitzungsdaten sowie eine Verschlüsselung über Advanced Encryption Standard (AES) mit einem 256-Bit-Schlüssel im Ruhezustand.

Neben der Verschlüsselung sollte das gewünschte Tool auch über eine Reihe von Admin-/Moderatoren-Rechten verfügen. Admins sollten die volle Kontrolle darüber haben, wer an Meetings teilnimmt. Eine Zugriffsbeschränkung mittels einer Passworteingabe sollte daher zur Grundausstattung eines Tools gehören. Zudem bietet sich ein Warteraum an, in dem Teilnehmer bis zum Beginn der Videokonferenz oder der Gewährung des Eintritts durch den Moderator verbleiben. Darüber hinaus empfiehlt sich, dass Moderatoren die Möglichkeit erhalten, den Zugang für Teilnehmer zu sperren, Teilnehmer daran zu hindern sich gegenseitig zu sehen, Teilnehmer stummzuschalten oder zu entfernen oder den Chat zu deaktivieren.

Datenschutz als Ausschlusskriterium?

Neben den technischen Fähigkeiten zur Stärkung der IT-Sicherheit sollten die datenschutzrechtlichen Aspekte eine wichtige Rolle bei der Entscheidung für oder gegen einen Anbieter spielen. Hierbei müssen insbesondere die technischen und organisatorischen Maßnahmen zum Datenschutz beim jeweiligen Tool geprüft werden. Soweit die Systeme nicht selbst betrieben werden, muss sich mit dem Abschluss einer Auftragsverarbeitungsvereinbarung beschäftigt werden.

Auch die Datenschutzaufsichtsbehörden haben sich im vergangenen Jahr intensiv mit verschiedenen Anbietern der Videokonferenzsysteme auseinandergesetzt und Ihren Standpunkt zu den einschlägigen Systemen dargelegt. Während die Berliner Landesbeauftragte für Datenschutz in einem eigenen Test im Sommer insbesondere vor der Verwendung von Tools von US-Anbietern abriet, veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) Ende Oktober eine 25-seitige Orientierungshilfe zu Videokonferenzsystemen.

Bei der Auswahl des richtigen Anbieters sollten insbesondere Datenschutzeinstellungen des Systems in Augenschein genommen werden. Übertragungen sollten ausschließlich verschlüsselt erfolgen. Ein Tracking der Teilnehmer sollte unterbunden werden und etwaige Aufzeichnungen des Meetings sollten nach Beendigung des Meetings gelöscht werden.

Auch die Anbieter haben den Datenschutz zusehends ins Blickfeld genommen. Gerade erst hat der Dienst Zoom verkündet, dass er Kunden eine auf der Checkliste der DSK von November 2020 beruhende Checkliste der wichtigsten Datenschutzeinstellungen zur Verfügung stellen wird und über existierende Funktionalitäten und Einstellungsmöglichkeiten informieren wird.

Was ist das richtige System für mein Unternehmen?

Grob lässt sich zunächst eine Unterscheidung in drei Gruppen vornehmen. Konferenz-Tools, die selbst betrieben werden können, der Betrieb eines Tools über einen externen IT-Dienstleister oder Tools, die vom Anbieter als Software-as-a-Service-Lösung (SaaS) über das Internet bereitgestellt werden. Aus Datenschutz-Sicht ist zudem relevant, ob es sich um Open-Source-Software handelt.

Die Vorteile eines eigenständigen Betriebes eines Videokonferenzsystems bestehen insbesondere darin, dass der Dienst auf eigenen Servern bereitgestellt wird. Damit hat das Unternehmen die Kontrolle über die Daten und kann auch die technischen und organisatorischen Maßnahmen eigenständig bestimmen. Der Nachteil besteht hier darin, dass zusätzliche Kosten für die Pflege des Systems anfallen. Außerdem müssen Sie qualifiziertes Personal für diese Arbeit engagieren. Der selbstständige Betrieb führt daher zu einem deutlichen Mehraufwand und kann nicht von jedem Unternehmen umgesetzt werden.

Daher bietet sich auch der Betrieb über einen externen Anbieter an, welcher sich um den Betrieb des Tools und die Pflege des Systems kümmert. Dies ist allerdings mit zusätzlichen Kosten verbunden. Zudem muss das jeweilige Unternehmen mit dem Anbieter einer Auftragsverarbeitungsvereinbarung abschließen. Als datenschutzrechtlicher „Verantwortlicher“ trifft das Unternehmen die Pflicht zur Kontrolle des Auftragsverarbeiter.

Schließlich besteht auch eine Möglichkeit im Einsatz einer Software-as-a-Service-Lösung wie Zoom.

Der große Vorteil dieser Lösung ist, dass keine eigenen Serverkapazitäten bereitgestellt oder von einem Drittanbieter angemietet werden müssen. Auch für die Pflege des Systems muss kein eigenes Personal oder ein externer Anbieter eingesetzt werden.

Nachteilig ist hingegen, dass die Daten in fremden Rechenzentren gespeichert werden. Bei dieser Lösung ist daher ebenfalls eine Auftragsverarbeitungsvereinbarung erforderlich.

Bei den Verträgen genau hinschauen!

Setzt man also auf einen externen Betreiber oder eine SaaS-Lösung, so muss eine Auftragsverarbeitungsvereinbarung abgeschlossen werden. Die Anbieter stellen dabei selbst Auftragsverarbeitungsvereinbarungen bereit, die zumindest bei den Marktführern regelmäßig nicht noch einmal nachverhandelt werden können. Insbesondere die großen US-Anbieter wie Microsoft, Zoom oder Cisco standen in der Vergangenheit bezüglich ihrer Auftragsverarbeitungsvereinbarungen in der Kritik. Teilweise sind wichtige Informationen über mehrere Vertragswerke verstreut. Als datenschutzrechtlich Verantwortlicher sollten Sie sich daher vor Vertragsschluss intensiv mit den Nutzungsbedingungen, der Datenschutzerklärung, dem eigentlichen Vertrag und der Auftragsverarbeitungsvereinbarung auseinandersetzen und diese aus datenschutzrechtlicher Sicht prüfen.

US-Anbieter: Die Unsicherheit bleibt.

Bedenken bestehen bei den Aufsichtsbehörden insbesondere gegenüber Anbietern aus den USA. Hintergrund dessen ist das Urteil des Europäische Gerichtshof (EuGH) in Sachen „Schrems II“, womit das Privacy-Shield-Abkommen zwischen der EU und den USA zu Fall gebracht wurde und damit ein Transfer von personenbezogenen Daten in die USA erschwert wurde. Aufgrund der Entscheidung des EuGH können sich Unternehmen auch nicht einfach auf den Abschluss von Standardvertragsklauseln stützen, um den Datentransfer rechtskonform auszugestalten. Nach Ansicht der DSK müssen vielmehr zusätzliche Schutzvorkehrungen getroffen werden. Bei US-Unternehmen kommt als besonderes Problem hinzu, dass diese unter den US-amerikanischen „CLOUD Act“ fallen. Die US-Regierung behält sich durch den US CLOUD Act den Zugriff auf Daten vor, die durch US-amerikanische Unternehmen auch außerhalb der USA gespeichert werden. Daher wird vertreten, dass die Zugriffsmöglichkeit selbst dann besteht, wenn die Server durch europäische Tochterunternehmen in EU-Ländern betrieben werden. Damit läge beim Einsatz eines US-Anbieters eine Drittstaatenübermittlung auch dann vor, wenn dieser die Daten in europäischen Rechenzentren speichert. Die Gegenauffassung sieht hierbei gerade keinen Fall einer Drittstaatenübermittlung.

Folgt man der ersten Ansicht, dann kann ein Datentransfer in unsichere Drittstaaten wie die USA somit nicht mehr ohne zusätzlich garantierte Schutzvorkehrungen erfolgen. Zwar hat die EU-Kommission bereits im November einen ersten Entwurf für neue Standardvertragsklauseln, welche die Kritik des EuGH aus dem „Schrems II“-Urteil berücksichtigen soll, vorgestellt, doch dauern die Verhandlungen hierzu noch an. Bei US-Anbietern muss dann geprüft werden, ob geeignete Garantien nach Art. 46 DSGVO für die Übermittlung herangezogen werden können oder Ausnahmen nach Art. 49 DSGVO greifen.

 

Doch was heißt das nun im Einzelnen für Unternehmen, die auf der Suche nach einem geeigneten Dienst sind. Wir haben uns ein paar bekannte Videokonferenztools näher angesehen.

 

1. GoToMeeting

GoToMeeting ist ein Videokonferenz-Tool des US-Anbieters LogMeIn. Das Tool ist cloudbasiert und ermöglicht die Teilnahme an Konferenzen über Desktop- oder Mobile-App sowie über den Browser.

Vorteile:

  • GoToMeeting verschlüsselt alle Datenübertragungen sowie die Meetings mit einer sicheren TLS-Verschlüsselung (Transport Layer Security), AES-256-Bit-Verschlüsselung im Ruhezustand von Cloud-Aufzeichnungen;
  • regelmäßige Datensicherungen;
  • physikalisch getrennte und geschützte Server;
  • es existieren auch Rechenzentren in Europa;
  • Überwachung der Rechenzentren;
  • ein Datenverarbeitungsnachtrag wird vor Vertragsschluss abgeschlossen. Dieser enthält auch die EU-Standardvertragsklauseln;
  • Passwortschutz;
  • umfangreiche Rechte für Administratoren/Moderatoren zum Schutz der Konferenz und der Konferenzteilnehmer.

Nachteile:

  • Daten werden fast ausschließlich über Server in den USA gespeichert;
  • als US-Unternehmen fällt LogMeIn unter den CLOUD ACT;
  • das Unternehmen bietet im Datenverarbeitungsnachtrag keine ernsthaften zusätzlichen Garantien zu den Standardvertragsklauseln an; Sie haben zwar auf das EuGH-Urteil mit einem SPECIAL NOTE ON PRIVACY SHIELD Es wurden jedoch noch keine konkreten Maßnahmen ergriffen;
  • eine Verhandlung über einzelne Punkte der Auftragsverarbeitungsvereinbarung ist nicht möglich.

2. Zoom

Zoom oder „Zoom Meetings“ ist ein Videokonferenz-Tool des US-Anbieters Zoom Video Communications, Inc. – Neben einer cloudbasierten Lösung bietet Zoom zudem eine on-premise-Lösung an.

Vorteile:

  • Zoom verfügt über eine Ende-zu-Ende-Verschlüsselung;
  • die kommerzielle Nutzung von Benutzerdaten ist ausdrücklich ausgeschlossen;
  • es gibt europäische Datenzentren, die von zahlenden Kunden genutzt werden können.;
  • es gibt einen „Datenschutz-Zusatz“, welcher auf den Standardvertragsklauseln basiert;
  • Zoom unterstützt Kunden bei den datenschutz- und sicherheitsrelevanten Einstellungen und orientiert sich dabei an der Checkliste der DSK zum Datenschutz in Videokonferenzsystemen;
  • Kunden können wählen, in welchen Rechenzentrumsregionen die Daten geroutet werden sollen;
  • es existieren datenschutzfreundliche Voreinstellungen wie die Einrichtung eines Wartezimmers oder ein Passwortschutz für einen Konferenzraum;
  • umfangreiche Rechte für Administratoren/Moderatoren zum Schutz der Konferenz und der Konferenzteilnehmer;
  • der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat den Dienst noch im Sommer (allerdings vor der Schrems II-Entscheidung) für die Fortschritte beim Datenschutz gelobt.

Nachteile:

  • Als US-Unternehmen fällt Zoom unter das CLOUD ACT;
  • trotz Standardvertragsklauseln können Sie daher die vom EuGH in der „Schrems II“-Entscheidung aufgestellten Anforderungen nicht ohne weiteres erfüllen;
  • Zoom hat zwar zur Schrems II-Entscheidung eine Mitteilung herausgegeben und erläutert, dass der Dienst weiterhin DSGVO-konform sei, doch wurden bisher keine zusätzlichen Garantien zum Schutz von EU-Bürgern eingeführt.
  • Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Zoom stark kritisiert. Zoom hat danach zwar das eigene Global Data Protection Addendum überarbeitet. Der aktuelle Entwurf enthält aber noch immer einige Regelungen, die von der Aufsichtsbehörde kritisiert wurden. Allerdings ist die Auffassung der Aufsichtsbehörde auch sehr streng; nicht umsonst vertritt der Landesbeauftragte für Datenschutz aus Baden-Württemberg eine andere Meinung zu Zoom;
  • die Auftragsverarbeitungsvereinbarung wird automatisch bei der Registrierung abgeschlossen. Eine Verhandlung der einzelnen Punkte ist nicht möglich;
  • Zoom speichert weiterhin Daten europäischer Nutzer in den USA.

3. Microsoft Teams

Teams ist Teil der Microsofts Office 365 Suite und kann als Videokonferenzsystem eingesetzt werden. Es handelt sich hierbei um eine Plattform, welche noch weitere Einsatzmöglichkeiten bietet. Entwickelt wurde Teams vom US-Unternehmen Microsoft Corporation.

Vorteile:

  • Teams verfügt bei der Übertragung der Daten zwischen den einzelnen Geräten der Nutzer über eine TLS-Verschlüsselung und ein Secure Real-time Transport Protocol (SRTP). Im Ruhezustand erfolgt eine AES-Verschlüsselung mit 256-Bit-Keys;
  • Neukunden können wählen, in welcher Rechenzentrumsregion die Daten gespeichert werden sollen (zum Beispiel in Deutschland);
  • es können unterschiedliche Berechtigungen erteilt werden. Admins stehen daher zahlreiche Sicherheits-, Verwaltungs- und Compliance-Tools zur Verfügung;
  • Dokumente können einzeln verschlüsselt werden;
  • es existiert ein Warteraum;
  • es kann in einem System gemeinsam an Dokumenten gearbeitet werden, so dass dieses nicht die geschützte Cloud verlassen muss.

Nachteile:

  • Als US-Unternehmen fällt Microsoft unter den CLOUD ACT;
  • trotz Standardvertragsklauseln können Sie daher die vom EuGH in der „Schrems II“-Entscheidung aufgestellten Anforderungen nicht ohne weiteres erfüllen;
  • durch einen Verfügbarkeitsschlüssel (Availability Key) hat Microsoft bei registrierten Nutzern theoretisch Zugang zu deren Daten;
  • Die Datenschutzaufsichtsbehörden sehen Microsoft 365 und damit auch Teams kritisch.
    • So hält die DSK den Dienst nicht für datenschutzkonform.
      • Insbesondere sei intransparent, welche Arten von personenbezogenen Daten von Microsoft erhoben und wie diese verwendet würden.
      • Zu beachten ist aber, dass die Entscheidung gegen Microsoft mit 9 zu 8 Stimmen getroffen wurde und somit acht Aufsichtsbehörden anderer Meinung waren;
    • Auch der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hat Microsoft für seine Produkte kritisiert.

4. Jitsi Meet

Jitsi Meet ist eine Open-Source-Software für Videokonferenzlösungen und steht unter der Lizenz „Apache-2.0 License“.

Vorteile:

  • Open-Source-Software;
  • ein eigener Account ist nicht notwendig;
  • standardmäßige Verschlüsselung;
  • Ende-zu-Ende-Verschlüsselung möglich;
  • Passwortschutz;
  • Hosting in deutschen Rechenzentren;
  • hohes Datenschutzniveau.

Nachteile:

  • Steht nur begrenzt auf öffentlichen Servern zur Verfügung;
  • Software sollte daher auf eigenen Servern betrieben werden oder von einem Drittanbieter gehostet werden, was mit zusätzlichen Kosten verbunden ist;
  • zudem muss dann ggf. eine Auftragsverarbeitungsvereinbarung abgeschlossen werden;
  • Open-Source-Lizenzbedingungen (Apache-2.0 License) müssen berücksichtigt werden.

5. alfaview

alfaview ist eine Videokonferenz-Software des deutschen Anbieters alfatraining Bildungszentrum GmbH.

Vorteile:

  • Es handelt sich um einen deutschen Anbieter;
  • die Rechenzentren befinden sich ebenfalls in Deutschland;
  • sämtliche Rechenzentren sind ISO 27001-zertifiziert;
  • starke Verschlüsselung der Audioströme (AES 256 verschlüsselt) und Videoströme (TLS verschlüsselt);
  • umfangreiche Rechte für Administratoren/Moderatoren zum Schutz der Konferenz und der Konferenzteilnehmer;
  • Dienst läuft über Applikation auf Endgerät des Nutzers. Auf browserbasierte Lösung wurde verzichtet, so dass keine personenbezogenen Daten über den verwendeten Browser abgegriffen werden.

Nachteile:

  • Aus rechtlicher Sicht bestehen kaum Nachteile. Es handelt es sich allerdings nicht um eine Open-Source-Lösung, die von einigen deutschen Datenschutzaufsichtsbehörden präferiert wird;
  • von der Android-Version existiert bisher nur die Beta-Version.

Fazit:

Die sicherste Variante aus datenschutzrechtlicher Sicht ist die Wahl eines Dienstes eines EU-Anbieters mit Rechenzentren in der EU, da diese Anbieter den größten Schutz gewähren. Die Nutzung der US-Dienste wie Zoom, Microsoft Teams oder GoToMeeting ist daher mit gewissen Risiken verbunden. Dies gilt spätestens seit der Schrems II-Entscheidung jedoch für sämtliche digitale Dienste aus den USA, bei denen personenbezogene Daten verarbeitet werden. Allerdings bieten beispielsweise Zoom und GoToMeeting starke Verschlüsselungen an. Zudem kann man Teilnehmer von Videokonferenzen dazu auffordern, Pseudonyme zu verwenden, so dass letztlich nur wenige personenbezogene Daten überhaupt anfallen.

Orientieren sollten sich Unternehmen in jedem Fall auch an der von der DSK bereitgestellten „Checkliste Datenschutz in Videokonferenzsystemen“.

Letztlich müssen Unternehmen hier eine Risikoabwägung vornehmen. Ein gewisses Risiko wird beim Einsatz von Zoom, Teams oder GoToMeeting bleiben. Insbesondere die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat sich in der Vergangenheit kritisch zu verschiedenen US-Anbietern geäußert.  Andererseits haben sich die US-Anbieter beim Datenschutz weiter verbessert und verfügen ansonsten über eine Reihe von Sicherheitsvorkehrungen wie Verschlüsselungen auf dem aktuellen Stand der Technik. Wen das Risiko schreckt, der sollte sich nach einem Anbieter aus der EU umschauen. Anbieter wie alfaview sind nicht nur datenschutzkonform, sondern bieten auch eine Vielzahl an Funktionalitäten, mit denen sie sich nicht hinter den Branchengrößen verstecken müssen.