Videokonferenzsysteme
Video- und Telefonkonferenzen sind die Kommunikationsmittel der Stunde. Doch wie setzen wir diese technischen Möglichkeiten datenschutzfreundlich ein?
Mit diesen Tipps sind Sie auf der „sicheren“ Seite:
Die Trackingfunktionen müssen ausgeschaltet sein, um eine unzulässige Überwachung der Arbeitnehmer oder deren Arbeitszeiten zu verhindern. Darunter fällt einerseits die Funktion, den Anwesenheits- und Aktivitätsstatus (aktiv/inaktiv/abwesend) des Arbeitnehmers zu verfolgen, andererseits das Aufmerksamkeitstracking während des Meetings. Beim Aufmerksamkeitstracking wird dem Administrator angezeigt, ob der Teilnehmer während des Meetings das Tool lediglich im Hintergrund laufen lässt.
Von einer Aufzeichnung des Web-Meetings sollte grundsätzlich abgesehen werden. Die Teilnehmer sollten generell gehalten sein, sich anderweitig Notizen zu machen oder sich die Dokumente und Präsentationen im Nachgang per E-Mail zu senden.
Die Zugangsbeschränkungsfunktionen durch die Verwendung eines Passworts oder der Warteraumfunktion sind zu nutzen, damit unerwünschte oder unberechtigte Zuhörer sich nicht einwählen können. Zu empfehlen ist, dass ein Meeting „geschlossen“ wird, wenn alle Teilnehmer im Meeting sind. Dadurch kann sich keine Person – selbst bei Kenntnis des Passwortes – einwählen, was insbesondere aus Gesichtspunkten des Geschäftsgeheimnisschutzes wichtig ist.
Zulässige Aufzeichnungen, Chatverläufe und andere Dokumentationen sollten nach dem Meeting aus dem Konferenz-Tool gelöscht und im Unternehmen lediglich bis zur jeweiligen Zweckerreichung aufbewahrt werden.
Weitere erforderliche Maßnahmen
Das Unternehmen hat bei der
Einführung eines Konferenz-Tools weitere Maßnahmen zu treffen, von denen die
Wichtigsten im Folgenden skizziert werden:
Auftragsverarbeitungsvertrag (AVV): Mit dem Anbieter der Anwendung ist ein AVV gemäß Art. 28 DSGVO abzuschließen, in dem unter anderem geeignete technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten vereinbart werden, um einen sicheren Umgang mit dem Konferenz-Tool sicherzustellen. Sofern der ausgewählte Anbieter seinen Sitz nicht in der EU hat, müssen ausreichende Garantien für ein angemessenes Datenschutzniveau gewährt werden (zum Beispiel Standardvertragsklauseln oder Privacy- Shield-Zertifizierung).
Datenschutzinformation: Das Unternehmen muss allen Teilnehmern einer Videokonferenz vorab eine Datenschutzinformation zur Verfügung stellen, in der es insbesondere die Verarbeitungstätigkeiten im Zusammenhang mit dem Einsatz des Konferenz-Tools erklärt.
Verarbeitungsverzeichnis: Da die Nutzung der Anwendung eine Datenverarbeitung darstellt, muss das Unternehmen ein Verarbeitungsverzeichnis hierüber führen.
In einem vorangegangenen Newsletter informierte ich Sie darüber, dass der Europäische Gerichtshof das „Privacy-Shield“ für ungültig erklärt hat. Eine Nutzung von Videokonferenzanbietern aus den USA wie z.B. Zoom ist damit unter anderen nicht mehr datenschutzkonform.
Folgende Alternative kann ich Ihnen zur datenschutzkonformen Nutzung empfehlen.
„On-Premises“-Softwarelösungen nutzen
Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren. Mögliche Lösungen basieren auf Open-Source-Software wie
- Nextcloud
- BigBlueButton
- RocketChat
- Jitsy Meet
Ein eigenes Hosting ist natürlich nicht jedermanns Sache.
Die Dresdner Firma Collocall und die Firma Intecsoft bieten daher die Nutzung über ein in Deutschland betriebenes Rechenzentrum an.
Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat eigens dafür ein Informationsblatt mit Vergleich der Anbieter herausgegeben, welches ich Ihnen nicht vorenthalten möchte.