Webmeetings sind die Lösung, um online effizient die Zusammenarbeit im mobilen Büro oder Homeoffice zu gestalten. Doch was muss ich beachten, damit auch dem Datenschutz und der IT-Sicherheit gerecht zu werden? Die gängigen Programme bieten inzwischen zahlreiche Funktionen an, die Präsenztermine fast schon überflüssig machen. Gängige Hersteller sind:
- Microsoft Teams
- Cisco Webex Meetings
- Skype
- Zoom
- GoToMeeting
- Jitsi
- BigBlueButton
Welche dieser Lösungen für Sie am besten geeignet ist, kommt letztendlich auf den Einsatzzweck an.
Von Datenschutz-Experten werden vor allem Zoom und Microsoft Teams stark kritisiert.
Bundesdatenschutzbeauftragte Kleber zu Zoom
„Ulrich Kelber warnt vor Zoom, weil der Dienst nicht Ende-zu-Ende-verschlüsselt sei….. deshalb ist von dieser Kommunikationsform abzuraten, wenn personenbezogene Daten im Spiel sind – Man solle dann eine alternative Plattform wählen, bei der eine „echte Ende-zu-Ende-Verschlüsselung“ garantiert ist.“ Selbst getestet hat die Behörde den Dienst allerdings nicht. Die Empfehlung kam aufgrund allgemeiner Kritik in sozialen Medien.
Herausfordernd für uns Anwender wird die Suche nach Alternativen. Weil eine „echte“ Ende-zu-Ende-Verschlüsselung von fast keinem Hersteller angeboten wird. Zoom hat diese aber nun nach einem Update zum 30.05.20 angekündigt.
Aus meiner Sicht wird eine Ende-Ende-Verschlüsselung bei Standard-Anwendungen nicht benötigt. Bei einem öffentlichen Webinar liegt der Fokus auf Stabilität der Leitung, klarem Ton und einem guten Bild. Eine Transportverschlüsselung ist ausreichend. Anders verhält es sich, wenn in einer Videokonferenz besonders sensible personenbezogene Daten übermittelt werden. Zum Beispiel zwischen Ärzten, Steuerberatern oder Rechtsanwälten. In diesen Fällen sollte ausschließlich auf Lösungen mit „echter“ Ende-zu-Ende-Verschlüsselung zurückgegriffen werden – nach Stand der Technik ist das dann ein Messenger-Dienst, keine Videokonferenzlösung.
Microsoft liegt im Clinch mit der Berliner Datenschutzaufsicht
Microsoft mahnte die Berliner Aufsichtsbehörde wegen einer Warnung vor Microsoft Teams ab, woraufhin das Papier zunächst von der Webseite genommen wurde und nun in einer konkretisierten Version wieder zugänglich ist. In Kürze solle auch eine „ausführliche Übersicht mit detaillierten Angaben zu verschiedenen gängigen Anbietern von Videokonferenzdiensten“ erscheinen.
Microsoft wirft der Behörde laut t-online.de mehrere faktisch oder rechtlich unzutreffende Aussagen vor. Außerdem suggeriere das Dokument, die angeführten Softwareprodukte verstießen gegen die DSGVO und seien zudem strafrechtlich bedenklich, wofür es keine Hinweise gebe.
Was können Sie selbst regeln und organisieren?
Unterlagen mit sensiblen Daten können vorab über sichere Kanäle versendet werden. Personenbezogene Daten können aus Präsentationen entfernt werden und die Teilnehmer können Pseudonyme nutzen.
Der Organisator einer Besprechung sollte die Regeln vorher festlegen und den Teilnehmern mitteilen.
Dazu gehören auch Informationen zu den Moderationsfunktionen wie Aufzeichnungen, Stummschalten oder die Zulässigkeit von Screenshots oder Aufnahmen seitens der Teilnehmer. Diese wiederum sollten ihr Umfeld für die Videokonferenz sorgfältig gestalten und beispielsweise darauf achten, dass im Hintergrund keine persönlichen oder vertraulichen Gegenstände zu sehen sind – Familienfotos, Arzneimittel, Ordnerrücken mit Klientendaten gehören hierzu. Hinzu kommt, dass nicht zufällig andere Mitglieder des Haushalts oder Gäste mit Bild oder Ton aufgezeichnet werden sollten.
Warteräume unbedingt nutzen
Die Hilfestellungen liefern weitere Hinweise, die vielleicht nicht jedem Nutzer bewusst sind: So nehmen manche Programme automatisch und ohne eigenes Zutun Kontakt mit Social-Media-Plattformen auf, was sicherlich nicht in jedem Fall gewünscht ist. Wenn solche Tools Warteräume oder Anklopfunktionen anbieten, sollte man sie auch nutzen – sie gewährleisten, dass nur erwünschte Teilnehmer bei einer Besprechung dabei sind.
Fazit
Schauen Sie, zu welchem Zweck Sie ein Videokonferenztool einsetzen möchten. Wenn das gewählte Tool dem Einsatzzweck entspricht, schauen sie auf die technischen und organisatorischen Maßnahmen. Entspricht das Tool dem Stand der Technik. Ende-zu-Ende-Verschlüsselung ist bei einer Videokonferenz technisch aktuell nicht möglich, bei üblichen Anwendungsszenarien. Sind Sie Berufsgeheimnisträger müssen Sie auf Messenger-Dienste zurückgreifen. Organisatorisch können Sie auch einiges gestalten um sichere Meetings durchzuführen. Personenbezug in Präsentationen entfernen, Pseudonyme nutzen und Warteräume. Um die DSGVO-Anforderungen zu erfüllen benötigen Sie auf alle Fälle einen Auftragsverarbeitungsvertrag mit dem Anbieter vergessen Sie auch Ihre Informationspflichten nicht.
