Homeoffice und Kundenkontakt per Videoconferencing
Cyber Security

Homeoffice und Kundenkontakt per Videoconferencing

Mit der Corona-Krise haben Telefon- und Videoconferencing einen bisher nicht erreichten Status in der Arbeitswelt erhalten. Ob mit Mitarbeitern im Homeoffice oder mit Kunden und Lieferanten, irgendwo auf der Welt – für Meetings werden immer häufiger Videoconferencing-Tools eingesetzt. Dabei gilt es selbstverständlich auch, den Datenschutz und die Cyber-Security zu wahren. Denn personenbezogene und geschäftsrelevante Daten müssen ausreichend vor unbefugtem Zugriff oder Abfluss geschützt werden.

Dieser Blog beschränkt sich auf das Videoconferencing. Zu Beginn der Corona-Krise lag bei der Auswahl des eingesetzten Tools in den Unternehmen der Fokus meist auf einer schnellen Lösung. Inzwischen sollten sich die Verantwortlichen, insbesondere wenn sich das Videoconferencing bewährt hat, über eine flexible, nachhaltige und datenschutzkonforme Lösung Gedanken machen.

Videoconferencing im Unternehmen muss nicht zwangsläufig ein Sicherheitsrisiko darstellen. Allerdings muss das Tool diversen Anforderungen entsprechen, die es ursprünglich bereits vor dem ersten Verwenden zu klären gilt. Dabei sollten sich die Verantwortlichen bei der Auswahl einer Software zunächst stets fragen, ob eine On-Premises-Variante (also auf den eigenen Servern gehostete Software) in Frage kommt oder aus unterschiedlichsten Gründen eine SaaS-Lösung eingesetzt werden soll.

Vertragliche Vorkehrungen

Entscheidet sich das Unternehmen für eine SaaS-Lösung, ist mit dem Anbieter der Lösung grundsätzlich ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) abzuschließen. Es sei denn, es handelt sich um ein Tool aus einer Gesamtlösung mit Videoconferencing, mit dessen Dienstleister bereits ein Vertrag besteht, z.B. Teams von Microsoft oder Meets von Google im Rahmen von anderen SaaS-Lösungen im Unternehmen.

Es ist immer vorab zu prüfen, ob der SaaS-Dienstleister, der als Auftragsverarbeiter eingesetzt werden soll, für die Verarbeitung geeignete technische und organisatorische Maßnahmen bietet, damit die Verarbeitung datenschutzkonform erfolgen kann.

Grundsätzlich sollte ein Anbieter aus Deutschland oder der EU bevorzugt werden, da bei Auftragsverarbeitern aus sog. Drittländern zusätzlich zu prüfen ist, ob sie ein angemessenes Schutzniveau bieten (Angemessenheitsbeschluss der EU) oder ansonsten geeignete Garantien des Anbieters (Abschluss von Standarddatenschutzklauseln).

Welche Möglichkeiten sollte das Videoconferencing-Tool bieten?

Der Verantwortliche (das Unternehmen) wird die technischen Maßnahmen anhand der geplanten Verarbeitung und Zielgruppe ausrichten müssen. Es ist danach zu fragen: Wird das Videoconferencing nur zur innerbetrieblichen Kommunikation genutzt oder auch mit Kunden in der Beratung oder Lieferanten bei Einkaufsverhandlungen? Dabei gilt es zu beachten, wie sensibel die Daten sind, die beim Videoconferencing geteilt werden sollen.

Der „Veranstalter“ der Videokonferenz ist dabei die verantwortliche Stelle und letztlich für die Auswahl des Tools und das damit verbundene Schutzniveau haftbar. Die Grundsätze „Data Protection by Design and Default“ nehmen vor allen Dingen das Unternehmen in die Pflicht.

Die „Must-haves“ an technischen Maßnahmen

Hosting: Wird das Tool gehostet oder On-Premises betrieben? Wenn möglich und nicht On-Premises, ist „VaaS“ (Video-as-a-Service) aus Deutschland oder der EU zu bevorzugen, da diese unmittelbar den Vorgaben der DSGVO unterliegen und somit ein angemessenes Schutzniveau gewähren.

Verschlüsselung: Die Kommunikation sollte möglichst verschlüsselt erfolgen. Dabei gilt es im Einzelfall zu bestimmen, welche Art von Verschlüsselung benötigt wird. Dies hängt letztlich von der Art der Daten ab, die verarbeitet werden sollen.

Business-Version: Für die Verwendung im Unternehmen eignen sich keine Tools, die für den privaten Einsatz gedacht sind. Zum Beispiel sind Apps wie WhatsApp oder FaceTime grundsätzlich ungeeignet.

Beschränkung von Logfiles: Logfiles sollten, nur soweit diese erforderlich sind, erstellt werden. Sie sollten aus Datenschutzsicht nur für die Fehlerbehebung durch den Dienstleister notwendig sein. Die Daten sind nur zu diesem Zweck zu verwenden und sollten nach Wegfall des Zwecks wieder gelöscht werden.

Chatverläufe und Dateiaustausch: Auch hier ist sicherzustellen, dass diese nur für den benötigten Zeitraum zur Verfügung stehen und danach automatisch gelöscht werden. Beim Chat dürfte dies nach Ende der Videokonferenz der Fall sein. Bei Dateiaustausch kann z.B. ein Zeitraum von wenigen Stunden oder einem Tag gewählt werden, innerhalb dessen die Mitarbeiter Zeit haben, die Daten herunterzuladen und anderweitig abzulegen. Ergänzend sollte als organisatorische Maßnahme geregelt werden, welche Arten von Dokumenten (nicht) über das Tool geteilt werden dürfen. Dies kann sowohl als Black- oder als Whitelist ausgestaltet werden.

Aufnahmen der Videokonferenz: Viele Tools bieten mittlerweile die Möglichkeit, die Video-Konferenz aufzunehmen. Dies dürfte in den meisten Fällen jedoch nur mit einer Einwilligung aller Teilnehmer zulässig sein. Daher sollte das Tool so eingestellt werden können, dass vor Start der Aufnahme bei allen Teilnehmern eine Nachricht mit den nötigen Informationen erscheint, sowie die Option, der Aufnahme zuzustimmen oder diese abzulehnen. Zudem wird eine Aufzeichnung wohl stets den Ton umfassen und könnte bei fehlender Zustimmung sogar regelmäßig wegen der Verletzung der Vertraulichkeit des Wortes strafbar sein. Hier ist im speziellen Fall ein Jurist zu befragen.

Einsatz bei Bewerbungsverfahren: Sollte ein Unternehmen Bewerbungsgespräche wegen Corona oder großer räumlicher Distanz via Videoconferencing durchführen, sollte im Voraus sorgfältig geprüft werden, was hier notwendig und überhaupt zulässig ist, z.B. Einsatz von Profiling-tools zur Verhaltensanalyse.

Blurr-Möglichkeit: Zudem bieten Videoconferencing-Tools teilweise die Möglichkeit, den Hintergrund vollständig auszugrauen. Dann laufen keine Kinder durch das Bild oder verrät die Bücherwand oder das Bild an der Wand persönliche Neigungen. Hier kann der Teilnehmer mit technischen Mitteln für mehr Datenschutz und Vermeidung von Peinlichkeiten sorgen.

Einrichtung von Zugangsbeschränkungen: Das ist wie ein persönliches Login oder wird bei Gästen durch die Zustimmung des Organisators geregelt. Es ist nicht immer selbstverständlich, dass Videoconferencing-Tools ohne diese technische Maßnahme eingesetzt werden. So meldete Mitte März 2020 das Fachmagazin c’t: „Ein vom bayerischen Innenministerium genutztes Videoconferencing-System stand ungeschützt im Netz. So konnte c’t an einer internen Sitzung zum Coronavirus mit Bayerns Innenminister Joachim Herrmann teilnehmen.“ *

Die dargestellten technischen Maßnahmen und Einstellungserwägungen erheben keinen Anspruch auf Vollständigkeit. Letztendlich muss immer der Einzelfall betrachtet werden.

Organisatorische Maßnahmen und Regelungen

Sensibilisierung: Teilnehmer sollten informiert und sensibilisiert sein, welche Daten über das Tool (vor allem auch mit Externen) geteilt werden dürfen. Hierzu kann der Moderator im Vorfeld eine Verhaltensrichtlinie verschicken und zu Beginn der Sitzung darauf verweisen. Insbesondere gilt dies beim Desktop-Sharing: Hier sollte nur gezeigt werden, was auch für die Besprechung erforderlich ist. Daher sollte der Desktop ohne Dateisymbole (Clean Desktop) gezeigt werden, solange diese für die Videoconferencing nicht erforderlich sind. Auch sollten keine Benachrichtigungen über neue Mails auf dem geteilten Bildschirm aufpoppen. Es sollte grundsätzlich für die Konferenz unterbunden werden. Als sehr nützlich hat sich das Muting nicht aktiver Teilnehmer erwiesen. Damit werden Rückkopplungen, Zwischenrufe der Kinder oder des Hundes nicht gleich an alle Teilnehmer verteilt.

Im innerbetrieblichen Bereich empfiehlt sich, eine Richtlinie zum Videoconferencing zu entwickeln und zu kommunizieren.

Quelle: *https://www.heise.de/ct/artikel/c-t-deckt-auf-Bayerischer-Innenminister-bespricht-Corona-Krise-in-ungeschuetzter-Videokonferenz-4680288.html

……………………………………………….

AKTUALISIERUNG am 28.01.2021:

Nach dem Austritt aus der Europäischen Union sind U.K. und Nord-Irland seit Januar 2021 unsichere Drittstaaten und entsprechend zu behandeln. Datenübertragungen aus der EU nach U.K. müssen nun über die Standardvertragsklausel der DSGVO mit entsprechenden Garantien abgesichert werden.

Ein Angemessenheitsbeschluss nach Art. 45 DSGVO der EU ist noch nicht absehbar.

Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.vgehlen@acent.de

Roland von Gehlen | 16.10.2020

Ähnliche Beiträge

31.01.2024 | Roland von Gehlen

KI und Datenschutz im Unternehmen

13.12.2023 | Roland von Gehlen

Hinweisgeberschutzgesetz und Bußgelder

Mehr laden
Mehr laden
Weniger anzeigen