Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Videokonferenz

Video-Konferenz-Tools: Datenschutz-Quick-Check einzelner Anbieter

Bei der Arbeit im Home-Office kommen oftmals Video-Konferenz-Tools zum Einsatz. Aber welches Tool entspricht den Datenschutz-Anforderungen der DSGVO? Wir haben eine Übersicht für Sie zusammengestellt.

2020-03-31

Logo

Alle Mitarbeiter*innen sitzen im Home-Office und die nächste Video-Konferenz steht an. Auf welches Video-Konferenz-Tool greifen Sie zurück? Nicht jede Software ist gleich sicher und vor allem entspricht nicht jedes gängige Tool den Anforderungen der DSGVO. Wollen Sie aber personenbezogene Daten und sensible Geschäftsdaten schützen, sollten Sie sich vorher gründlich über Ihr bevorzugtes Video-Konferenz-Tool informieren. Wir haben dafür für Sie eine kleine Übersicht zusammengestellt. Allgemeine Anforderungen an das von Ihnen verwendete Video-Konferenz-Tool finden Sie zudem hier.

 

Zoom

Die Software Zoom erfährt gerade einen regelrechten Boom beim Einsatz in Unternehmen. Dabei sollten Sie folgendes über dieses Tool wissen:

  • Gehostet und betrieben in den USA.

  • Zertifiziert durch das EU-US-Privacy Shield.

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen. Zoom stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zum Download zur Verfügung.

  • Verwenden Sie Zoom in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund*innen, müssen Information über Zoom sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden, in der Datenschutzerklärung Ihrer Website aufgenommen werden (Auftragsverarbeitungsvertrag und die Privacy-Shield-Zertifizierung).

  • Dieses Tool bietet die Möglichkeit, Gespräche und Video-Calls aufzuzeichnen. Solche Aufzeichnungsmöglichkeiten sind zwar hilfreich, bei Nutzung sollte dafür aber auch eine Einwilligung aller Beteiligten im Vornherein eingeholt werden!

  • Zoom hat zudem noch immer keinen Transparenzbericht vorgelegt, auch wenn dies nun bereits öffentlich gefordert wird. In einem solchen Transparenzbericht werden von Unternehmen, die viele personenbezogene Daten verarbeiten, Aussagen dazu gemacht, welche Daten z.B. im Zuge von Ermittlungsverfahren an Behörden weitergeleitet werden.
    Update vom 18.06.2020: Zoom veröffentlicht inzwischen Berichte zu ergriffenen Maßnahmen und Änderungen, um mehr Transparenz herzustellen.

  • Zoom setzt darüber hinaus das sogenannte Attention Tracking ein. Hierbei wird  in einem Video-Call gemessen, ob der/die Teilnehmer*in die Videokonferenz aufmerksam verfolgt oder nebenbei etwas anderes macht (Prüdung, ob das Zoom-Fenster aktiv ist). Diese Einstellung ist jedoch eine datenschutzrechtlich höchst bedenkliche Einstellung und kann leicht missbraucht werden. Diese sollten nur verwendet werden, wenn Sie beispielsweise ein Fortbildungsveranstaltung anbieten dessen Anwesenheit der Teilnehmer Sie nachweisen müssen. Im Übrigen hat Zoom seine Datenschutzerklärung am 29.03.2020 aktualisiert und mehr Transparenz reingebracht: zoom.us/de-de/privacy.html
    Update vom 02.04.20: In einer aktuellen Pressemeldung erklärte Zoom, dass das Attention-Tracking aus dem Tool entfernt wurde.

 

GoToMeeting

Mit GoToMeeting können auch große Meetings ganz bequem mit oder ohne Video abgehalten werden. Bevor Sie das Tool verwenden, sollten Sie folgendes wissen:

  • Gehostet und betrieben in den USA.

  • Zertifiziert durch das EU-US-Privacy Shield.

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen. GoToMeeting (bzw. LogMeIn, zu dem GoToMeeting gehört) stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zum Download zur Verfügung.

  • Verwenden Sie GoToMeeting in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund*innen, müssen Information über GoToMeeting sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden, in der Datenschutzerklärung Ihrer Website aufgenommen werden (Auftragsverarbeitungsvertrag und die Privacy-Shield-Zertifizierung).

 

Slack

Anfangs war Slack kritisch zu sehen, da zentrale datenschutzrechtliche Fragen bestanden. Doch der Anbieter hat seine Hausaufgaben gemacht und aus datenschutzrechtlicher Sicht ordentlich nachgebessert. Allerdings ist die kostenlose Version weiterhin nicht uneingeschränkt zu empfehlen, da zentrale datenschutzrechtliche Einstellungen nicht gemacht werden können.

  • Gehostet und betrieben in den USA.

  • Zertifiziert durch das EU-US-Privacy Shield.

  • Slack weist viele Zertifizierungen auf (ISO 27001, ISO 27017, ISO 27018).

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools einen AV-Vertrag abschließen. Slack stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zum Download zur Verfügung.

  • Verwenden Sie Slack in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund*innen, müssen alle Information hinsichtlich der Verarbeitung personenbezogener Daten (z.B. Drittland in das Daten fließen, Auftragsverarbeitungsvertrag und die Privacy-Shield-Zertifizierung) den Kund*innen gegenüber kommuniziert werden.

 

Microsoft Teams

Unternehmen, die auf Microsoft setzen und die Office-365-Office-Suite verwenden, können auf diesen Dienst zurückgreifen. Zu beachten gibt es dabei folgendes:

  • Gehostet und betrieben in den USA.

  • Zertifiziert durch das EU-US-Privacy Shield.

  • Microsoft Office 365 und somit auch Microsoft Teams weist viele Zertifizierungen vor (ISO 27001, ISO 27017, ISO 27018), die eine sichere Software auszeichnen.

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools einen AV-Vertrag abschließen. Microsoft Teams stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) in aktualisierter Form zur Verfügung.

  • Verwenden Sie Microsoft Teams in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund*innen, müssen Information über Microsoft Teams hinsichtlich der Verarbeitung personenbezogener Daten (z.B. Drittland in das Daten fließen, Auftragsverarbeitungsvertrag und die Privacy-Shield-Zertifizierung) dem Kunden gegenüber kommuniziert werden

 

Google Hangouts

Google und der Datenschutz sind allgemein ein eher heikles Thema – wollen Sie intern im Unternehmen trotzdem auf Hangouts zurückgreifen, sollten Sie diese Fakten beachten:

  • Gehostet und betrieben in den USA.

  • Zertifiziert durch das EU-US-Privacy Shield.

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen. Google Hangouts – bzw. Google – stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) in überarbeiteter Version zur Verfügung.

  • Verwenden Sie Google Hangouts in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund*innen, müssen Information über Google Hangouts sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden, in der Datenschutzerklärung Ihrer Website aufgenommen werden (Auftragsverarbeitungsvertrag und die Privacy-Shield-Zertifizierung).


TeamViewer

Für den Einsatz von Screensharing-Tools allgemein haben wir hier Quick-Tipps für Sie zusammen gestellt. Beim Einsatz des wohl beliebtesten Screensharing-Tool TeamViewer sollten Sie folgendes wissen und beachten:  

  • Sitz in Deutschland.

  • Auch mit TeamViewer müssen Sie einen Auftragsverarbeitungsvertrag abschließen, den Sie auf Anfrage bekommen. Hintergrund: Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen.

  • Verwenden Sie TeamViewer in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund*innen, müssen Information über TeamViewer sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden, in der Datenschutzerklärung Ihrer Website aufgenommen werden (Auftragsverarbeitungsvertrag und die Privacy-Shield-Zertifizierung).

  • Problematisch bei TeamViewer ist der Einsatz von diversen Google Tracking Tools: TeamViewer schließt hier die Übermittlung von Daten in die USA nicht aus!

 

Jitsi Meet

Jitsi Meet ist die neue Videokonferenzing-Software der Stunde: Es handelt sich hier um eine Open-Source-Software, die Videotelefonie mit einer theoretisch unbegrenzten Anzahl von Teilnehmer*innen erlaubt. Jitsi Meet funktioniert auch ohne App; sollten Sie sich trotzdem eine dafür herunterladen wollen, empfehlen wir Ihnen dies, nicht im Google-Play-Store oder Apple-Store zu tun, da Jitsi Meet hier mit Trackern versehen wurde.

  • Jitsi Meet ist ein Open Source Community Projekt.

  • Registriert im EU-US-Privacy Shield sowie im Swiss-US-Privacy Shield.

  • Der Betreiber von Jitsy Meet, 8x8 Inc., verweist in seiner Datenschutzerklärung auf die EU-Standardvertragsklauseln. Wir empfehlen dringend den Abschluss eines AV-Vertrags.

  • Bitte informieren Sie Ihre Kunden umfassend über alle Verarbeitungen personenbezogener Daten.


Whereby

Whereby ist ein Videokonferenz-Tool, das maximal 50 Teilnehmer*innen zulässt und in der Free-, Business- oder Pro-Variante zur Verfügung steht. Hierbei gilt es folgendes zu beachten:

  • Sitz ist in Norwegen, aber Achtung: Gehostet wird teilweise auch in den USA!

  • Soweit ersichtlich, ist Whereby nicht im EU-US-Privacy Shield registriert, deshalb brauchen Sie eine Standarddatenschutzklausel (im Englischen SCC=Standard Contractual Clause) nach Art. 46 Abs. 2 lit c DSGVO.

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – einen AV-Vertrag abschließen. Whereby stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zur Verfügung.

  • Verwenden Sie Whereby in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund*innen, müssen Information über die Verarbeitung personenbezogener Daten an die Kunden kommuniziert werden (Auftragsverarbeitungsvertrag und der SCC).

 

WebEx Meetings

Das von cisco betriebene Video-Meeting-Tool hat den großen Vorteil, dass es Ende-zu-Ende verschlüsselt ist. Allerdings besteht die Möglichkeit, dass Support- und Telemetriedaten für eigenen Zwecke genutzt und auch an Dritte weiteregegeben werden. Zudem sollten Sie folgendes wissen:

  • Unternehmenssitz ist in den USA, entsprechend werden auch Daten außerhalb der EU verarbeitet.

  • WebEx ist sehr vorbildlich, was Datenschutzzertifizierungen angeht: Registriert im EU-US-Privacy Shield sowie im Swiss-US-Privacy Shield, Binding Corporate Rules (BCR), APEC Cross Border Privacy Rules, APEC Privacy Recognition for Processors, ISO 27001, ISO 27017, ISO 27018

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen. WebEx Meetings stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zur Verfügung.



WhatsApp

WhatsApp in Unternehmen ist ein ganz eigenes Problem: der Einfachheit halber wird es oftmals zwischen Mitarbeiter*innen zur Kommunikation oder auch für einen schnellen Video-Call genutzt. Was es beim Thema WhatsApp-Nutzung im Unternehmen zu wissen gibt, können Sie hier lesen – inklusive datenschutzrechtlich unbedenklicheren Alternativvorschlägen.

 

Fazit zum Thema Videokonferenztool und Datenschutz

Wenn Sie auf ein Tool zurückgreifen, das wir hier nicht aufgeführt haben, oder auch, wenn Sie ein anderes Nachrichten-Tool in Ihrem Unternehmen einführen wollen, prüfen Sie sich am besten folgendes:

  • In welchem Land werden die vom Tool verarbeiteten Daten gehostet? Ist es ein Land außerhalb der EU? Dann lesen Sie weiter.

  • Ist das Unternehmen im EU-US-Privacy Shield registriert? Dann reicht Ihnen ein AV-Vertrag. Wenn nicht, lesen Sie weiter.

  • Ist das Unternehmen NICHT im EU-US-Privacy Shield registriert, brauchen Sie eine Standarddatenschutzklausel (im Englischen SCC=Standard Contractual Clause) nach Art. 46 Abs. 2 lit c DSGVO

Wenn Sie dazu weiterführende Fragen haben, wenden Sie sich am besten an Ihren Datenschutzbeauftragten, der jedes Tool auf die Eignung für den Einsatz in Ihrem Unternehmen prüfen wird. Dieses Thema sollten Sie dabei nicht auf die leichte Schulter nehmen, denn im Falle eines Datenschutzverstoßes droht im schlimmsten Fall eine Abmahnung durch die Aufsichtsbehörde. Haben Sie dazu weiterführende Fragen, können Sie uns zudem jederzeit kontaktieren.

Autorin: Kathrin Strauß
Artikel veröffentlicht am: 31. März 2020

 

Leitfaden: Datenschutz im Home- und Mobileoffice

Warum ist Datenschutz gerade beim mobilen Arbeiten von enormer Relevanz?

Home-Office hat seine datenschutzrechtlichen Tücken. In unserem Leitfaden "Datenschutz im Home- und Mobileoffice" finden Sie Hinweise zur Datenverarbeitung im Home-Office unter Berücksichtigung datenschutzrechtlicher Aspekte.

 

Jetzt Leitfaden herunterladen

Datenschutz im Home- und Mobileoffice
Aktuelle Beiträge zum Thema Datenschutz