Datenschutz im Betrieb

Datenschützer kritisieren noch immer die mangelnde Datenschutz-Konformität der populären Konferenz-Software-Tools

Nachdem es im Spätsommer so schien, als sei die Corona-Pandemie zumindest in Deutschland erfolgreich eingedämmt, schnellen mit dem einsetzenden Herbst die Inzidenz-Zahlen erschreckend nach oben.

Die Berliner Datenschutzbehörde rät allerdings Unternehmen nach wie vor, den Einsatz der beliebten Konferenztools Zoom, Teams und Skype sorgfältig zu prüfen, bevor sie zum Einsatz kommen.

Andererseits haben die in der EU beheimateten Unternehmen durch die Rechtsverbindlichkeit der DSGVO die Verpflichtung, die Daten von Mitarbeitern, von Kunden und von Geschäftspartnern so zu schützen, wie es die DSGVO vorschreibt, sonst begehen diese Unternehmen einen Rechtsbruch.

Privacy Shield: Vorgegaukelte Sicherheit, die nun gekippt wurde

Vor allem im Bereich Software ist es die weltweite Dominanz amerikanischer Großkonzerne, die Tatsachen schafft, die in der Praxis über dem Rechtssystem der Staaten der EU stehen. Es gibt in der EU kaum ein Unternehmen, dass keine Software der US-Giganten nutzt. Allerdings werden die Unternehmen durch die DSGVO dazu gezwungen, die Rechtsunterschiede durch einzeln geschlossene Verträge mit dem jeweiligen Anbieter zu klären. Bis zum Juli wurde dies aus Sicht von Datenschützern mehr schlecht als Recht über den „Privacy Shield“ geregelt, der durch ein Urteil des EuGH im Juli gekippt wurde. Bis zu einer neuen staatsübergreifenden Vereinbarung, die es nun für die EU mit den USA auszuhandeln gilt, fahren Unternehmen mit Sitz in der EU am besten, wenn sie auf Standardvertragsklauseln zurückgreifen, die die Europäische Kommission zur Verfügung stellt und permanent an bestehendes Recht anpasst.

In einer Empfehlung der Berliner Datenschutzbeauftragten lautet es:

  • Videotelefonie und Videokonferenzen sollen über verschlüsselte Kanäle abgewickelt werden. Dies betrifft sowohl die Vermittlung der Verbindungen als auch die Übertragung der Ton-und Bilddaten.
  • Wenn Sie die Videokonferenzlösung nicht selbst sicher und mit angemessenem Aufwand betreiben können (was vorzuziehen wäre), dann können Sie einen zuverlässigen Videokonferenzdienst damit beauftragen. Voraussetzung ist, dass Sie einen Auftragsverarbeitungsvertrag mit ihm schließen und der Betreiber keine Angaben über die Beschäftigten und deren Kommunikation oder die Nutzung der Software für eigene Zwecke verarbeitet oder an Dritte weitergibt.
  • Der Dienstleister sollte die Daten in der Europäischen Union, einem Land des Europäischen Wirtschaftsraums oder in einem als gleich sicher geltenden Land verarbeiten und auch dort seinen Sitz haben.

Ferner weisen die Berliner Datenschützer darauf hin, dass es bei Videokonferenzen von externen Dienstleistern technischer Standard ist, dass beim Betreiberdienst Bilder und Töne unverschlüsselt zusammenlaufen. Das ist für den Betreiber schon dafür notwendig, um die bei der Konferenz entstehende Datenmenge zu steuern und gegebenenfalls an Serverleistungen oder Endgeräte anzupassen. Das birgt insgesamt die Gefahr, dass der Betreiber „mitschneidet“ und so in den Besitz sensibler personenbezogener Daten kommt. Ein solcher Missbrauch – so die Empfehlung aus Berlin – kann nur wirksam verhindert werden, wenn eine „Ende-zu-Ende-Verschlüsselung eingerichtet wird.

Fazit

Bis zu einer generellen Einigung zwischen der EU und den USA birgt die Verwendung von Diensten, die ihren Unternehmenssitz und ihre Rechenzentren außerhalb der EU haben, immer ein Restrisiko, gegen die DSGVO zu verstoßen. Zumindest erscheint es bis zu einer offiziellen Regelung prüfenswert, inwieweit Videokonferenzen bei Anbietern wie Zoom und Microsoft (Teams, Skype) nicht durch reine Telefonkonferenzen ersetzbar sind. Ferner sollten die Unternehmen prüfen, ob es keine alternativen Anbieter mit Sitz in der EU gibt, die eine Einhaltung der datenschutzrechtlichen Bestimmungen gemäß der DSGVO garantieren.

Zurück

Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:

  • Datenschutz-Fokusthemen
  • Veröffentlichungen der Behörden
  • Relevante Gerichtsentscheidungen

Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.