Angesichts der aktuellen Lage arbeiten viele Arbeitnehmer – insbesondere um den persönlichen Kontakt auf ein notwendiges Minimum zu begrenzen – vermehrt im privaten Umfeld. Im Hinblick hierzu haben wir bereits in einem unserer Beiträge über mögliche Maßnahmen zur Risikominimierung sowie notwendige Sicherheitsvorkehrungen beim Home Office informiert. Ein nützliches Hilfsmittel, welches im Home-Office nun vermehrt Anwendung finden dürfte, ist ein sogenanntes Videokonferenztool. Mit Hilfe eines solchen Tools können Kollegen oder aber auch Geschäftspartner einfach „Face-to-Face“ miteinander kommunizieren sowie Nachrichten und Dateien austauschen. Aus diesem Grund ist es als Arbeitgeber besonders wichtig, ein Videokonferenztool implementiert zu haben, welches den Schutz von personenbezogenen Daten berücksichtigt und gewisse technische Sicherheitsvorkehrungen beinhaltet. Die Auswahl des richtigen Tools für Videokonferenzen fällt vielen Unternehmen nicht leicht, da es Videokonferenz-Lösungen wie „Sand am Meer“ geben dürfte.
Videokonferenz-Software – SaaS vs. On-Premise
Grundsätzlich ist bei der Anschaffung von neuer Software zunächst zu klären, ob eine On-Premise-Variante oder eine Software as a Service-Lösung (SaaS-Lösung) in Frage kommt. Bei der On-Premise-Software handelt es sich um eine Software, welche auf den eigenen Servern liegt. Daneben wird bei einer SaaS-Lösung die Software direkt vom Dienstleister bezogen. Die SaaS-Lösung dürfte sich immer dann anbieten, wenn beispielsweise fehlende Kapazitäten der IT bzw. fehlendes Know-How gegeben sind, da der Dienstleister in der Regel bei Fragen und Wartungsarbeiten dem Unternehmen direkt zur Seite steht.
Im Falle einer SaaS-Lösung dürfte gemäß Art. 28 DSGVO ein Vertrag zur Auftragsverarbeitung mit dem Dienstleister geschlossen und geprüft werden müssen, ob der SaaS-Dienstleister für die Verarbeitung geeignete technische und organisatorische Maßnahmen bietet. Generell sollte aus Datenschutzsicht ein Dienstleister aus Deutschland oder dem Europäischen Wirtschaftsraum bevorzugt werden, da bei Dienstleistern aus sogenannten Drittländern weiterhin zu prüfen ist, ob ein angemessenes Schutzniveau besteht.
Das richtige Videokonferenztool – Worauf sollte geachtet werden?
Die Auswahl des „perfekten“ Videokonferenztool lässt sich zudem leider nicht so leicht beantworten, da die technischen Funktionen bzw. Möglichkeiten sich an der geplanten Verarbeitung des Unternehmens ausrichten. Insbesondere in Zeiten wie der Corona-Pandemie kann es vorkommen, dass Videokonferenztools für weitere Zwecke Verwendung finden und daher eine neue Bewertung – um speziell den Schutz der personenbezogenen Daten zu gewährleisten – der vorher gewählten Maßnahmen notwendig wird.
Technische Maßnahmen für das Videokonferenztool
Zwar sieht die DSGVO gemäß Art. 25 DSGVO nach den Grundsätzen Privacy by Design und Privacy by Default gewisse Regelungen und Sicherheitsmaßnahmen vor, jedoch dürften die Voreinstellungen der Software nur selten den Grundsätzen entsprechen und eher auf die Vorstellungen bzw. Wünsche der Kunden angepasst sein. Daher sollte der Verantwortliche unter anderem folgende Dinge bei der Auswahl der Software beachten:
Business-Version vs. Privatversion
Für den Einsatz im Unternehmen sollte darauf geachtet werden, dass nicht Software bezogen wird, welche für den privaten Einsatz gedacht ist. Hierunter fallen beispielsweise Software-Lösungen wie WhatsApp oder FaceTime. Vielmehr sollte eine Business-Version implementiert werden, da diese meist zusätzliche Sicherheitsvorkehrungen vorsieht.
Zugangsbeschränkungen
Weiterhin sollten selbstverständlich entsprechende Zugangsbeschränkungen eingerichtet werden, sodass nicht Jedermann an einer internen Sitzung teilnehmen kann.
Verschlüsselung
Bei der Art der Verschlüsselung ist zu berücksichtigen, um welche Art von personenbezogenen Daten es sich handelt bzw. wie sensibel die Daten sind. Hierbei sollte man sich an Folgendem orientieren: Je sensibler die Daten, desto höher sollte die Verschlüsselung ausfallen!
Speicherung von Chatverläufen und Dateiaustausch
Zusätzlich ermöglichen viele Tools die Speicherung von Chatverläufen sowie einen Austausch von Dateien. Hier ist sicherzustellen, dass die Verläufe und die Dateien nur für den benötigten Zeitraum gespeichert und im Anschluss wieder gelöscht werden. Der Verlauf des Chats dürfte nach Ende der Videokonferenz nicht mehr benötigt werden. Für versendete Dateien sollte technisch eine gewisse Frist festgelegt werden, in der sich die Mitarbeiter die Dateien herunterladen und speichern können. Aber ACHTUNG: Es sollte ebenso geregelt werden, dass nicht alle Dateien über das Tool versendet werden dürfen! Hierfür ist es hilfreich entsprechende Regelungen festzuhalten und beispielweise in einer Black- oder Whitelist die Arten der Dokumente zu spezifizieren.
Aufnahme von Videokonferenzen
Zudem bieten viele Videokonferenztools mittlerweile an, die Konferenzen aufzunehmen und anderen Mitarbeitern im Anschluss zur Verfügung zu stellen. In diesem Zusammenhang ist ebenfalls Vorsicht geboten, da die Aufzeichnung in den meisten Fällen nur mit einer Einwilligung aller Teilnehmer zulässig sein dürfte. Es sollte zudem berücksichtigt werden, dass neben der Aufzeichnung von Bild-Daten auch Ton-Daten erfasst werden. Das Videokonferenztool sollte daher so eingestellt werden, dass vor Beginn der Konferenz alle Teilnehmer mit allen nötigen Informationen über die Aufzeichnungen informiert werden sowie die Option gegeben ist, der Aufzeichnung zuzustimmen oder diese abzulehnen. Bedenken Sie hier, dass die Einwilligung gewissen Anforderungen der DSGVO genügen sollte, da eine Verletzung strafbar ist! Ihr Datenschutzbeauftragter kann Sie sicherlich hierbei unterstützen, scheuen Sie sich daher nicht Ihn zu fragen!
Ausgrauen des Hintergrunds (Blurr-Möglichkeit)
Insbesondere aufgrund der aktuellen Lage befinden sich Mitarbeiter vermehrt im Home-Office, wodurch bei einer Videokonferenz die persönlichen Räume der Angestellten aufgenommen werden könnten. Die meisten Videokonferenztools bieten in diesem Fall die Möglichkeit, den Hintergrund vollständig auszugrauen. Achten Sie daher bei der Auswahl der richtigen Videokonferenz-Software, ob eine Blurr-Möglichkeit integriert ist.
Logfiles
Meist werden zudem Logfiles durch den Dienstleister erhoben, welche unter anderem auch für den Zweck der Fehlerbehebung erfasst werden. Logfiles sollten jedoch nur erstellt werden, soweit diese erforderlich sind. Hierbei sollte weiter darauf geachtet werden, dass die Daten nur für den erhobenen Zweck verwendet und nach Zweckerfüllung wieder gelöscht werden.
Teilen des Desktops
Auch das Teilen des Desktops dürfte bei Videokonferenzen nicht unüblich sein, jedoch sollte auch hier eine gewisse Sensibilisierung der Mitarbeiter erfolgen. Dabei sollte beachtet werden, dass lediglich die Daten mit den Teilnehmern geteilt bzw. gezeigt werden, welche für die Konferenz erforderlich sind. Die meisten Tools haben hierfür entsprechende Einstellungen bereits vorgesehen, sodass z. B. der Desktop ohne Dateisymbole angezeigt werden kann, Benachrichtigungen von eingehenden Mails nicht geteilt werden oder – sofern mehrere Monitore verwendet werden – der nicht als Hauptanzeige konfigurierte Bildschirm angezeigt werden kann.
Letztendlich kommt es bei der Prüfung immer auf den Einzelfall an und der Arbeitgeber sollte darauf achten, dass gewisse Sicherheitsmaßnahmen getroffen werden. Die nachfolgende Auflistung sollte daher nicht als abschließend betrachtet werden, sondern lediglich einen groben Überblick verschaffen. Für die Auswahl der richtigen Software ist Ihnen Ihr IT-Sicherheitsbeauftragter und Datenschutzbeauftragter behilflich.
