Die Berliner Datenschutzbeauftragte hat am Freitag, 03. Juli 2020 das Ergebnis ihrer „Kurzprüfung von Videokonferenzsystemen“ wie Zoom auf ihrer Webseite veröffentlicht. Lassen Sie mich zu der verlinkten Kurzprüfung Stellung beziehen:
Aktionismus der Datenschutzbeauftragten bzgl. Zoom und Co. bremst die Wirtschaft aus!
Videokonferenzen sind im Trend. Innovative Anbieter sorgen für technisch einwandfreie Durchführung und kümmern sich auch um die Datensicherheit. Bewegen sich die Anbieter im EU-Markt, gelten für sie auch die Bestimmungen der DSGVO.
Die Berliner Datenschutzbeauftragte hat nun große Anbieter wie Zoom und Microsoft Teams prüfen lassen und im Ampelsystem bewertet. Bei den Anbietern mit der größten Verbreitung in der Wirtschaft stehen die Ampeln auf Rot.
Dieses Vorgehen sehe ich kritisch. Eine subjektive Einschätzung der Berliner Aufsichtsbehörde darf nicht die Handlungsmaxime eines Unternehmens sein. Insbesondere wenn die Wettbewerbsfähigkeit und die interne Kommunikation massiv darunter leiden würden.
Durch die rote Ampel der Datenschutzbeauftragten wird einem Unternehmen vermittelt, dass Dienste wie Zoom, Skype, Teams oder GoTo Meeting nicht eingesetzt werden können. Aus meiner Sicht sind diese Dienste sehr wohl für Unternehmen einzusetzen. Und auch ein Teilnehmer einer Konferenz muss sich aus meiner Sicht keine Sorgen machen, wenn er an einer Online-Veranstaltung, beispielsweise auf Zoom oder GoTo Meeting teilnimmt.
Was müssen Unternehmen beachten, bevor sie die Dienste nutzen?
Unternehmen müssen einen 5-Punkte-Check durchführen.
- Sie benötigen eine rechtliche Grundlage für die Datenverarbeitung. Die ist im Regelfall durch die DSGVO gegeben.
- Sie benötigen einen Auftragsverarbeitungsvertrag mit dem Anbieter. Darum müssen Sie sich kümmern. Zoom, Microsoft Teams und Co. stellen diese auch bereit.
- Sollte der Anbieter sich nicht innerhalb der EU befinden, benötigen Sie eine Rechtsgrundlage für den Datentransfer in das sogenannte Drittland. Bei US-Anbietern wie Zoom ist das durch ein Abkommen, den US-EU Privacy-Shield gegeben, wenn der Anbieter sich dort registriert hat. Aktuell gilt der Privacy-Shield auch noch.
- Der Anbieter muss die Datensicherheit nach dem aktuellen Stand der Technik sicherstellen. Dies ist ein dynamischer Prozess und wird schon allein aufgrund der Wettbewerbssituation von den großen Anbietern umgesetzt.
- Die Informationspflichten, die die DSGVO von Unternehmen fordert müssen erfüllt werden.
Die fünf genannten Punkte sind durch die Unternehmen einfach umzusetzen. Der betriebliche Datenschutzbeauftragte unterstützt dabei, damit das Unternehmen Zoom, Microsoft Teams oder andere Dienste auch weiterhin nutzen kann.
Zusätzlich zu den fünf Punkten für den DSGVO-konformen Einsatz soll sich ein Unternehmen darüber klar werden, für welchen Zweck die Software eingesetzt werden soll. Sollen zum Beispiel sensible Daten verarbeitet werden, Bewerbungsgespräche stattfinden oder ausschließlich Schulungen, Webinare oder Besprechungen über das Programm abgehalten werden?
Für letztgenannte sind Programme wie GoTo Meeting oder Zoom trotz der Einwände von Datenschutzbeauftragten ideal geeignet und können nach Durchführung des 5-Punkte-Checks angewandt werden. Bei Bewerbungsgesprächen, Patientengesprächen oder der Kommunikation zwischen Steuerberater/Rechtsanwalt mit Mandanten allerdings nicht. Dann sind andere Programme zu verwenden, z.B. Nextcloud Talk oder Wire.
Diese Programme haben dann allerdings wiederum Schwächen, wenn es um Online-Veranstaltungen mit hohen Teilnehmerzahlen geht.
Fazit: Unternehmer führen immer gemeinsam mit ihrem Datenschutzbeauftragten den 5-Punkte-Check durch und entscheiden sich für die Softwarelösungen, die für den jeweiligen Zweck am besten geeignet sind.
Was müssen Teilnehmer an Videokonferenzen beachten?
Sie werden von einem Unternehmer zu einer Online-Schulung eingeladen. Und stellen fest: das Unternehmen nutzt ein Programm, das die Berliner Datenschutzbeauftragte mit „Rot“ kennzeichnet. Zunächst keine Sorge. Ihre personenbezogenen Daten für die Registrierung und Teilnahme am Programm sind geschützt. Sie erhalten im Anschluss an das Online-Meeting keine Werbeanrufe oder ähnliches.
Ein Bewerbungsgespräch mit Zoom sollten Sie aber beispielsweise ablehnen. Genauso, wenn Ihr Arzt, Rechtsanwalt oder Steuerberater das Online-Gespräch mit diesem Programm, GoTo-Meeting oder Skype durchführen möchte.
Fazit: Die Teilnahme an Online-Schulungen, Wissensveranstaltungen oder einfachen Sitzungen sind unkritisch für Ihre persönlichen Daten. Wenn es um sensible Inhalte geht, wie Bewerbungsgespräche oder Gespräche mit Ihrem Arzt, fragen Sie gezielt nach, wie die Vertraulichkeit gewahrt bleibt.
Aktualisierung am 18.01.2021: In den letzten Monaten hat sich einiges getan. Das Privacy-Shield ist gekippt worden. Somit ist der Datentransfer in die USA aktuell eine Grauzone. Mir ist zwar noch kein Fall bekannt, dass es deswegen zu einem Bußgeld gekommen ist, dennoch muss das Ziel sein, einen Datentransfer rechtlich solide zu gestalten. Microsoft ist hier auf einem guten Weg und in intensiven Gesprächen mit den Aufsichtsbehörden. Ich gehe davon aus, andere US-Anbieter werden nachziehen. Vgl. Sie auch meine Blogartikel zu diesen Themen.
Ein aufmerksamer Leser hat mich informiert, dass Nextcloud Talk mit Erweiterungen inzwischen auch sehr gut mit größeren Teilnehmerzahlen umgehen kann. Informationen finden Sie im Kommentarbereich.
Sprechen Sie uns bitte an, wenn Sie weitere Informationen benötigen.