Videokonferenz

Video-Konferenz-Tools: Datenschutz-Quick-Check einzelner Anbieter

Bei der Arbeit im Home-Office kommen oftmals Video-Konferenz-Tools zum Einsatz. Aber welches Tool entspricht den Datenschutz-Anforderungen der DSGVO? Wir haben eine Übersicht für Sie zusammengestellt.

2020-03-31

Logo

Alle Mitarbeiter:innen sitzen im Home-Office und die nächste Video-Konferenz steht an. Auf welches Video-Konferenz-Tool greifen Sie zurück? Nicht jede Software ist gleich sicher und vor allem entspricht nicht jedes gängige Tool den Anforderungen der DSGVO. Wollen Sie aber personenbezogene Daten und sensible Geschäftsdaten schützen, sollten Sie sich vorher gründlich über Ihr bevorzugtes Video-Konferenz-Tool informieren. Wir haben dafür für Sie eine kleine Übersicht zusammengestellt. Allgemeine Anforderungen an das von Ihnen verwendete Video-Konferenz-Tool finden Sie zudem hier.

 

Zoom

Die Software Zoom erfährt gerade einen regelrechten Boom beim Einsatz in Unternehmen. Dabei sollten Sie folgendes über dieses Tool wissen:

  • Gehostet und betrieben in den USA.

  • Aktualisierter Auftragsverarbeitungsvertrag mit Standardvertragsklauseln.
  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen. Zoom stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zum Download zur Verfügung.

  • Verwenden Sie Zoom in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund:innen, müssen Information über Zoom sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden, in der Datenschutzerklärung Ihrer Website aufgenommen werden (Auftragsverarbeitungsvertrag).

  • Dieses Tool bietet die Möglichkeit, Gespräche und Video-Calls aufzuzeichnen. Solche Aufzeichnungsmöglichkeiten sind zwar hilfreich, bei Nutzung sollte dafür aber auch eine Einwilligung aller Beteiligten im Vornherein eingeholt werden!

  • Zoom hat zudem noch immer keinen Transparenzbericht vorgelegt, auch wenn dies nun bereits öffentlich gefordert wird. In einem solchen Transparenzbericht werden von Unternehmen, die viele personenbezogene Daten verarbeiten, Aussagen dazu gemacht, welche Daten z.B. im Zuge von Ermittlungsverfahren an Behörden weitergeleitet werden.
    Update vom 18.06.2020: Zoom veröffentlicht inzwischen Berichte zu ergriffenen Maßnahmen und Änderungen, um mehr Transparenz herzustellen.

  • Zoom setzt darüber hinaus das sogenannte Attention Tracking ein. Hierbei wird  in einem Video-Call gemessen, ob der/die Teilnehmer:in die Videokonferenz aufmerksam verfolgt oder nebenbei etwas anderes macht (Prüdung, ob das Zoom-Fenster aktiv ist). Diese Einstellung ist jedoch eine datenschutzrechtlich höchst bedenkliche Einstellung und kann leicht missbraucht werden. Diese sollten nur verwendet werden, wenn Sie beispielsweise ein Fortbildungsveranstaltung anbieten dessen Anwesenheit der Teilnehmer Sie nachweisen müssen. Im Übrigen hat Zoom seine Datenschutzerklärung am 29.03.2020 aktualisiert und mehr Transparenz reingebracht: zoom.us/de-de/privacy.html
    Update vom 02.04.20: In einer aktuellen Pressemeldung erklärte Zoom, dass das Attention-Tracking aus dem Tool entfernt wurde.

 

GoToMeeting

Mit GoToMeeting können auch große Meetings ganz bequem mit oder ohne Video abgehalten werden. Bevor Sie das Tool verwenden, sollten Sie folgendes wissen:

  • Gehostet und betrieben in den USA.

  • Aktualisierter Auftragsverarbeitungsvertrag mit Standardvertragsklauseln.

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen. GoToMeeting (bzw. LogMeIn, zu dem GoToMeeting gehört) stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zum Download zur Verfügung.

  • Verwenden Sie GoToMeeting in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund:innen, müssen Information über GoToMeeting sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden, in der Datenschutzerklärung Ihrer Website aufgenommen werden (Auftragsverarbeitungsvertrag).

 

Slack

Anfangs war Slack kritisch zu sehen, da zentrale datenschutzrechtliche Fragen bestanden. Doch der Anbieter hat seine Hausaufgaben gemacht und aus datenschutzrechtlicher Sicht ordentlich nachgebessert. Allerdings ist die kostenlose Version weiterhin nicht uneingeschränkt zu empfehlen, da zentrale datenschutzrechtliche Einstellungen nicht gemacht werden können.

  • Gehostet und betrieben in den USA.

  • Aktualisierter Auftragsverarbeitungsvertrag mit Standardvertragsklauseln.

  • Slack weist viele Zertifizierungen auf (ISO 27001, ISO 27017, ISO 27018).

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools einen AV-Vertrag abschließen. Slack stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zum Download zur Verfügung.

  • Verwenden Sie Slack in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund:innen, müssen alle Information hinsichtlich der Verarbeitung personenbezogener Daten (z.B. Drittland in das Daten fließen, Auftragsverarbeitungsvertrag) den Kund:innen gegenüber kommuniziert werden.

 

Microsoft Teams

Unternehmen, die auf Microsoft setzen und die Office-365-Office-Suite verwenden, können auf diesen Dienst zurückgreifen. Zu beachten gibt es dabei folgendes:

  • Gehostet und betrieben in den USA.

  • Aktualisierter Auftragsverarbeitungsvertrag mit Standardvertragsklauseln.

  • Microsoft Office 365 und somit auch Microsoft Teams weist viele Zertifizierungen vor (ISO 27001, ISO 27017, ISO 27018), die eine sichere Software auszeichnen.

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools einen AV-Vertrag abschließen. Microsoft Teams stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) in aktualisierter Form zur Verfügung.

  • Verwenden Sie Microsoft Teams in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund:innen, müssen Information über Microsoft Teams hinsichtlich der Verarbeitung personenbezogener Daten (z.B. Drittland in das Daten fließen, Auftragsverarbeitungsvertrag) dem Kunden gegenüber kommuniziert werden

 

Google Hangouts

Google und der Datenschutz sind allgemein ein eher heikles Thema – wollen Sie intern im Unternehmen trotzdem auf Hangouts zurückgreifen, sollten Sie diese Fakten beachten:

  • Gehostet und betrieben in den USA.

  • Kann nur in der G-Suite benutzt werden und dafür wird ein AV-Vertrag mit Standardvertragsklauseln angeboten.
  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen. Google Hangouts – bzw. Google – stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) in überarbeiteter Version zur Verfügung.

  • Verwenden Sie Google Hangouts in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund:innen, müssen Information über Google Hangouts sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden, in der Datenschutzerklärung Ihrer Website aufgenommen werden (Auftragsverarbeitungsvertrag).


TeamViewer

Für den Einsatz von Screensharing-Tools allgemein haben wir hier Quick-Tipps für Sie zusammen gestellt. Beim Einsatz des wohl beliebtesten Screensharing-Tool TeamViewer sollten Sie folgendes wissen und beachten:  

  • Sitz in Deutschland.

  • Auch mit TeamViewer müssen Sie einen Auftragsverarbeitungsvertrag abschließen, den Sie auf Anfrage bekommen. Hintergrund: Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen.

  • Verwenden Sie TeamViewer in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund:innen, müssen Information über TeamViewer sowie über das Drittland, in dem die Daten durch das Tool verarbeitet werden, in der Datenschutzerklärung Ihrer Website aufgenommen werden (Auftragsverarbeitungsvertrag).

  • Problematisch bei TeamViewer ist der Einsatz von diversen Google Tracking Tools: TeamViewer schließt hier die Übermittlung von Daten in die USA nicht aus!

 

Jitsi Meet

Jitsi Meet ist die neue Videokonferenzing-Software der Stunde: Es handelt sich hier um eine Open-Source-Software, die Videotelefonie mit einer theoretisch unbegrenzten Anzahl von Teilnehmer:innen erlaubt. Jitsi Meet funktioniert auch ohne App; sollten Sie sich trotzdem eine dafür herunterladen wollen, empfehlen wir Ihnen dies, nicht im Google-Play-Store oder Apple-Store zu tun, da Jitsi Meet hier mit Trackern versehen wurde.

  • Jitsi Meet ist ein Open Source Community Projekt.

  • Registriert im im Swiss-US-Privacy Shield.

  • Der Betreiber von Jitsy Meet, 8x8 Inc., verweist in seiner Datenschutzerklärung auf die EU-Standardvertragsklauseln. Wir empfehlen dringend den Abschluss eines AV-Vertrags.

  • Bitte informieren Sie Ihre Kunden umfassend über alle Verarbeitungen personenbezogener Daten.


Whereby

Whereby ist ein Videokonferenz-Tool, das maximal 50 Teilnehmer:innen zulässt und in der Free-, Business- oder Pro-Variante zur Verfügung steht. Hierbei gilt es folgendes zu beachten:

  • Sitz ist in Norwegen, aber Achtung: Gehostet wird teilweise auch in den USA!

  • Soweit ersichtlich brauchen Sie Standarddatenschutzklauseln (im Englischen SCC=Standard Contractual Clauses) nach Art. 46 Abs. 2 lit c DSGVO.

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – einen AV-Vertrag abschließen. Whereby stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zur Verfügung.

  • Verwenden Sie Whereby in der externen Kommunikation, beispielsweise in der Kommunikation mit Kund:innen, müssen Information über die Verarbeitung personenbezogener Daten an die Kunden kommuniziert werden (Auftragsverarbeitungsvertrag und der SCC).

 

WebEx Meetings

Das von cisco betriebene Video-Meeting-Tool hat den großen Vorteil, dass es Ende-zu-Ende verschlüsselt ist. Allerdings besteht die Möglichkeit, dass Support- und Telemetriedaten für eigenen Zwecke genutzt und auch an Dritte weiteregegeben werden. Zudem sollten Sie folgendes wissen:

  • Unternehmenssitz ist in den USA, entsprechend werden auch Daten außerhalb der EU verarbeitet.

  • WebEx ist sehr vorbildlich, was Datenschutzzertifizierungen angeht: Registriert im Swiss-US-Privacy Shield, Binding Corporate Rules (BCR), APEC Cross Border Privacy Rules, APEC Privacy Recognition for Processors, ISO 27001, ISO 27017, ISO 27018

  • Sie bzw. Ihr Unternehmen müssen mit allen Dienstleistern, die eine Datenverarbeitung in Ihrem Auftrag ausführen – dazu zählen auch Kommunikations-Tools – einen AV-Vertrag abschließen. WebEx Meetings stellt hierfür ein eigenes Data-Processing-Addendum (Englisch für Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO) zur Verfügung.



WhatsApp

WhatsApp in Unternehmen ist ein ganz eigenes Problem: der Einfachheit halber wird es oftmals zwischen Mitarbeiter:innen zur Kommunikation oder auch für einen schnellen Video-Call genutzt. Was es beim Thema WhatsApp-Nutzung im Unternehmen zu wissen gibt, können Sie hier lesen – inklusive datenschutzrechtlich unbedenklicheren Alternativvorschlägen.

 

Fazit zum Thema Videokonferenztool und Datenschutz

Wenn Sie auf ein Tool zurückgreifen, das wir hier nicht aufgeführt haben, oder auch, wenn Sie ein anderes Nachrichten-Tool in Ihrem Unternehmen einführen wollen, prüfen Sie am besten folgendes:

  • In welchem Land werden die vom Tool verarbeiteten Daten gehostet? Ist es ein Land außerhalb der EU? Dann lesen Sie weiter.

  • Das EU-US-Privacy Shield gibt es nicht mehr, darum brauchen Sie einen einen AV-Vertrag mit Standarddatenschutzklauseln (im Englischen SCC=Standard Contractual Clause) nach Art. 46 Abs. 2 lit c DSGVO

Wenn Sie dazu weiterführende Fragen haben, wenden Sie sich am besten an Ihren Datenschutzbeauftragten, der jedes Tool auf die Eignung für den Einsatz in Ihrem Unternehmen prüfen wird. Dieses Thema sollten Sie dabei nicht auf die leichte Schulter nehmen, denn im Falle eines Datenschutzverstoßes droht im schlimmsten Fall eine Abmahnung durch die Aufsichtsbehörde. Haben Sie dazu weiterführende Fragen, können Sie uns zudem jederzeit kontaktieren.

Eine ausführliche Checkliste für den sicheren datenschutzrechtlichen Einsatz verschiedener Videokonferenz-Tools im Unternehmen finden Sie zudem hier: Videokonferenz-Tools: Datenschutz-Quick-Check einzelner Anbieter.

Autorin: Kathrin Strauß
Artikel veröffentlicht am: 31. März 2020

 

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

Check: Datensensibilität bei Mitarbeitern

Die DSGVO kann in einem Unternehmen nur umgesetzt werden, wenn die Mitarbeiter umfassend in diesem Bereich geschult sind.

Mitarbeiter, die mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, müssen für den richtigen Umgang mit diesen Daten sensibilisiert werden. Nur so können sie Datenschutzpannen vorgebeugt werden. Sind Ihre Mitarbeiter fit im Datenschutz?

Zum Check

Geöffneter Laptop, auf welchem derCheck zur Datensensibilität der Mitarbeiter geöffnet ist

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr