Datenschutzkonformer Einsatz von Videokonferenz-Tools im Unternehmen

PrintMailRate-it

veröffentlicht am 15. April 2020 | Lesedauer ca. 4 Minuten
von Sabine Schmitt, Rödl & Partner Nürnberg, und Bastian Schönnenbeck

 

 

 

Das Videokonferenz-Tool „Zoom” erfreute sich in den vergangenen Wochen großer Beliebtheit. Mit dem rasanten Nutzeranstieg wurden jedoch auch zahlreiche Sicherheitslücken und Problemen beim Datenschutz bekannt. So gelang es Hackern in den USA in fremde Videokonferenzen einzudringen, geheime Informationen zu stehlen und die Gespräche mitzuhören.  Im Dark Web werden bereits Zoom-Account Daten zum Verkauf angeboten. Unternehmen sollten sich daher vermehrt die Frage stellen, welche Risiken die Verwendung von Videokonferenz-Tools für sie birgt.


Wir zeigen Ihnen in diesem Artikel auf, was Sie datenschutzrechtlich beachten müssen, welche Herausforderungen an Ihre IT-Sicherheits-Teams mit den neuen, digitalen Ressourcen einhergehen und wie ein proaktives Risikomanagement aussehen könnte.

 

 

Die Auswahl des geeigneten Videokonferenz-Tools

Unternehmen sollten schon bei der Auswahl eines Videokonferenz-Tools einen genaueren Blick darauf werfen, welche datenschutzrechtlichen Vorgaben eingehalten und deshalb berücksichtigt werden müssen. Insbesondere auf folgende Punkte sollte dabei geachtet werden:

 

Gibt es eine Business-Version?

Sowohl für die betriebsinterne Kommunikation als auch für Konferenzen mit Kunden und Geschäftspartnern eignen sich sog. Business-Versionen. Denn in der Regel bieten nur diese Versionen die erforderlichen Sicherheitsstandards. Tools, die für die private Nutzung gedacht sind, eignen sich hingegen nicht für eine Business-Videokonferenz.

 

EU-Anbieter bevorzugen

Wenn möglich, sind Video- und Onlinekonferenz-Tools aus Deutschland oder der EU zu bevorzugen, da diese unmittelbar den Vorgaben der DSGVO unterliegen und somit ein angemessenes Schutzniveau gewährleistet ist. Soll das Konferenzsystem eines Anbieters aus Drittländern (z.B. den USA) eingesetzt werden, muss sichergestellt sein, dass das Datenschutzniveau den Anforderungen der DSGVO entspricht.

 

Auftragsverarbeitungsvertrag abschliessen

Software-Anbieter von Video- und Onlinekonferenzsystemen sind grundsätzlich als Auftragsverarbeiter anzusehen, sodass es erforderlich ist einen Auftragsverarbeitungsvertrag abzuschließen. Die meisten Anbieter stellen diese bereits auf ihrer Webseite oder jedenfalls auf Anfrage bereit.

 

Einbindung von Datenschutzbeauftragtem und Betriebsrat

Um die Zulässigkeit der Verwendung des anvisierten Tools sicher beurteilen zu können, sollte der Datenschutzbeauftragte bei der Auswahl des passenden Konferenzsystems involviert werden. Dasselbe gilt – soweit vorhanden – für den Betriebsrat. Denn diesem steht gemäß § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung technischer Systeme zu, die zur Überwachung des Verhaltens und der Leistung der Mitarbeiter geeignet sind. Dies ist bei Videokonferenz-Tools grundsätzlich der Fall, auch wenn tatsächlich keine Überwachung geplant ist.

 

Technische und organisatorische Massnahmen

Zudem sollte auf datenschutzfreundliche Voreinstellungen des Videokonferenz-Tools (§ 25 DSGVO) geachtet werden. Hierbei sind insbesondere folgende Kriterien zu berücksichtigen:

 

  • Videoübertragungen sollten mit Ende-zu-Ende Verschlüsselung erfolgen. Insbesondere für Berufsgeheimnisträger ist hier besondere Vorsicht geboten, denn eine Videokonferenz über ein System, das die Daten unverschlüsselt über das Netz überträgt, stellt eine Nichteinhaltung der Verschwiegenheitspflicht (§ 203 StGB) dar.
  • Damit unerwünschte Teilnehmer außen vor bleiben, sind Zugangsbeschränkungen (wie Passworteingabe oder Zustimmung des Moderators bei der Teilnahme von Gästen) einzurichten.

 

Darauf ist bei der Verwendung zu achten

Ist die Wahl nach den oben genannten Kriterien auf ein Videokonferenz-Tool gefallen, sind bei der Verwendung noch folgende Punkte zu beachten:

 

Bei vielen Videokonferenz-Tools ist es erforderlich die Einstellungen manuell an die persönliche Nutzungssituation anzupassen, um das hierfür erforderliche Sicherheitsniveau zu erreichen. Bei der Verwendung von Tracking-, Beobachtungs-, Protokoll-, Screen-Sharing- und Aufzeichnungs-Funktionen sollte man immer fragen, ob die Nutzung dieser Funktionen wirklich erforderlich ist.

 

Wird der Bildschirm geteilt, sollte unbedingt darauf geachtet werden, dass nur für die Konferenz relevante Informationen zu sehen sind. Inhalte und Fenster, die für die Videokonferenz nicht erforderlich sind, sind zu schließen. Am besten sollte hierfür ein Desktop verwendet werden, auf dem keine Dateien oder Verknüpfungen zu sehen sind.

 

Mitarbeiter sind vor der ersten Verwendung zu informieren, welche Daten über das Tool geteilt werden dürfen. Handelt es sich um vertrauliche Informationen sollte der Austausch von Dokumenten über das Videokonferenz-Tool vermieden werden. Darüber hinaus sollte sichergestellt werden, dass keine personenbezogenen Daten während der Videokonferenz über den Chat ausgetauscht werden. Denn es kann je nach Anbieter nicht ausgeschlossen werden, dass Aufzeichnungen der Chatverläufe nach Gesprächsende gespeichert werden.

 

Vor Teilnahme an einem Online-Meeting ist über Verarbeitung personenbezogener Daten im Rahmen der Videokonferenzen im Sinne des Art. 13 DSGVO zu informieren. Der entsprechende Hinweis kann in die E-Mail Einladung zu einem Meeting aufgenommen werden.

 

Es ist daher wichtig, die Mitarbeiter hinsichtlich der Verwendung des Videokonferenz-Tools entsprechend zu informieren und zu sensibilisieren.

 

Risikomanagement beim Einsatz von Videokonferenz-Tools

Innerhalb der IT-Infrastruktur ist es den Sicherheitsteams bekannt, die eingesetzten Tools, Services und Ressourcen kritisch hinsichtlich des Einsatzzwecks zu bewerten. Neben den bereits beschriebenen datenschutzrechtlichen Aspekten, nehmen auch Cybersecurity-Ratings zunehmend eine bedeutende Rolle im Risikomanagement der Unternehmen ein. So ist die Bewertung Dritter bzw. der Tools und Anwendungen von Dritten insbesondere dann wichtig, wenn sich Situationen und Szenarien nahezu täglich verändern und mit hohem Druck Entscheidungen getroffen werden müssen. Hinzu kommt die steigende Bedrohungslage durch den – auch situationsbedingen – Anstieg der Home-Office-Frequenz. Studien haben gezeigt, dass die Heimnetzwerke ein signifikantes Cybersecurity-Risiko (Malware-Infektionen, Phishing-Angriffe etc.) ausmachen.

 

Innerhalb des Risikomanagements Ihrer Unternehmen lässt sich ein Cybersecurity-Rating einfach und praktikabel ergänzen. Ein solches Rating betrachtet dreidimensional das Umfeld Ihres Unternehmens oder eines Dritten (z.B. eines Videokonferenz-Tools, dessen Einführung geplant ist). Dabei werden die wesentlichen Indikatoren, wie z.B. die Verwendung von Zertifikaten, Patch- und Update-Ständen, Verschlüsselungstechnologien, Spam-Verteilung und das Vorhandensein von kompromittierten Endgeräten und Servern geprüft. Kommt es zu einem Datendiebstahl beim Drittanbieter erkennt ein solches Rating zudem, ob auch die eigenen Accounts hiervon betroffen sind. Aus dem Rating lassen sich also wertvolle Informationen über die Resilienz des eigenen Security-Öko-Systems gegenüber diversen Angriffsszenarien ableiten.

 

In Anbetracht der erwarteten Zunahme von Home-Office-Einsätzen und dem generellen Anstieg des Einsatzes von Videokonferenz-Tools, empfiehlt es sich, möglichst vorab ein stabiles Cybersecurity-Management als Teil Ihres Risikomanagements vorhalten zu können. Auch wir leisten für die Sicherheit unserer Mandanten einen Beitrag. Daher stellen wir das Instrument des Cybersecurity Ratings bis zum Jahresende 2020 zu besonderen Konditionen zur Verfügung.

 

 

 Aus der Artikelserie

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Sabine Schmitt

Rechtsanwältin

Manager

+49 911 9193 3710

Anfrage senden

Profil

 Wir beraten Sie gern!

 Mehr lesen?

Deutschland Weltweit Search Menu