Remote Work und Homeoffice sind inzwischen weit verbreitete und bei Beschäftigen sehr beliebte Arbeitsmodelle. Um mit Kolleginnen und Kollegen zu kommunizieren und kollaborieren, wird regelmäßig auf Videokonferenzsysteme zurückgegriffen. Doch nicht immer sind die Systeme technisch sicher und rechtlich datenschutzkonform.
Der Beginn der Corona-Pandemie hat eine neue Ära in Sachen Homeoffice und Remote Work eingeläutet. Seitdem werden Videokonferenztools stärker unter die Lupe genommen und nicht alle gelten als ausreichend sicher und datenschutzkonform. Wer seine Beschäftigten von zuhause arbeiten und zur Kommunikation Videokonferenzsysteme nutzen lässt, hat einige Vorgaben zu beachten und geeignete Maßnahmen zu treffen.
Ungleiche Datenschutzniveaus zwischen europäischen und außereuropäischen Anbietern führen zu unterschiedlicher Bewertung der Datenschutzkonformität
Fast alle großen und bekannten Anbieter von Videokonferenzsystemen stammen aus den USA. Hierzu gehören beispielsweise Zoom, Microsoft Teams, Skype, Google Meet und Cisco Webex. Kritisiert wird an diesen Anbietern regelmäßig, dass ungefiltert, unkontrolliert oder in zu großen Mengen Datenströme in die USA erfolgen können. Da in den USA kein mit der in der Europäischen Union (EU) geltenden Datenschutz-Grundverordnung (DSGVO) grundsätzlich vergleichbares Datenschutzniveau herrscht, wird der Einsatz der Software innerhalb der EU regelmäßig heftig kritisiert. Aus diesem Grund werden von offiziellen Stellen oftmals europäische Lösungen gegenüber nordamerikanischen bevorzugt.
Es gibt auch einige, nur meist weniger bekannte, europäische Anbieter von Videokonferenzen. Hierzu gehören unter anderem Alfaview, Wire, GoToMeeting. Doch auch bei europäischen Dienstleistern ist vor dem Einsatz der Tools im Unternehmen sorgfältig zu prüfen und zu dokumentieren, ob die datenschutzrechtlichen Anforderungen eingehalten und angemessene Maßnahmen für die IT-Sicherheit getroffen wurden.
Kostendruck und Pragmatismus vs. Eigenbau bei der Wahl des Videokonferenzdienstleisters
Im europäischen Raum gibt es im Vergleich zu den US-Anbietern in seinen Funktionalitäten kaum entsprechende und regelmäßig weniger bekannte Softwareanbieter. Neben den oben genannten europäischen Anbietern kann als Alternative eine Open Source Software, wie z.B. Jitsi und BigBlueButton, frei eingesetzt werden. Ein Vorteil, den die Software bietet, ist, dass sie nicht als Cloud-Lösung verwendet werden muss, sondern auf unternehmenseigenen Servern installiert und gewartet werden kann. Werden die hauseigenen Server verwendet, um Videokonferenzen abzuhalten, können Unternehmen selbst steuern, ob personenbezogene Daten und sonstige Informationen die EU verlassen oder nicht.
Doch nur in eher seltenen Fällen setzen Unternehmen darauf, eigene Videokonferenzsysteme aufzusetzen und zu hosten, wie es beispielsweise mit freier Software möglich ist. Überwiegend wird auf Cloud-Systeme von Drittanbietern zurückgegriffen. Hier bieten die großen Anbieter den Vorteil, dass die Server in der Regel besser und kostengünstiger gewartet und überwacht werden können, als wenn die IT-Abteilung diese Rolle übernimmt. Wartungsleistungen und Sicherheitsupdates können von internationalen Anbietern rund um die Uhr erbracht werden, denn nach dem „Follow-The-Sun“-Prinzip werden die anstehenden Aufgaben an Kolleginnen und Kollegen auf anderen Kontinenten abgegeben. Unternehmen haben daher die Qual der Wahl, ob sie sich um eigene Software und Server kümmern oder auf internationale Anbieter zurückgreifen, bei denen die DSGVO-Konformität umstritten ist.
Videokonferenzanbieter bessern regelmäßig nach, um Videocalls sicherer zu machen
Die öffentliche Kritik an den Videokonferenzanbietern sorgt dafür, dass regelmäßig bei der IT-Sicherheit und beim Datenschutz nachgebessert wird, insbesondere, seit sie aufgrund der Pandemie zeitweise in den Fokus von Datenschutzaufsichtsbehörden geraten sind. Die Anbieter haben zügig reagiert. Bei vielen der internationalen Dienstleister kann – zumindest in den kostenpflichtigen Varianten – eine europäische Cloud ausgewählt werden und Ende-zu-Ende-Verschlüsselung der Videoübertragung und der Chatnachrichten ist mittlerweile Standard. Auch digitale Warteräume, individuelle Einladungen und das nachträgliche Sperren von Zutritten zum Videokonferenzraum sind Maßnahmen, die der Sicherheit in einer Videokonferenz dienen.
Anhand dieser Vorgaben kann geprüft werden, ob ein Videokonferenzsystem ausreichend sicher ist:
Wer bietet die Software an?
Prüfen Sie, ob der Anbieter aus der EU oder einem Drittland stammt, und stellen Sie fest, ob der Anbieter z.B. auf seiner öffentlichen Website bereits verspricht, die DSGVO einzuhalten.
Wo werden Daten gehostet?
Finden Sie heraus, welche Datenströme durch die Videotelefonie ausgelöst werden. Wenn Sie nicht über öffentlich zugängliche Informationen oder aus Ihren Vertragsunterlagen den Verarbeitungs- und Speicherort Ihrer Daten feststellen können, fragen Sie den Anbieter. Gibt es die Möglichkeit, die Daten innerhalb der EU zu hosten, sollten die europäischen Server ausgewählt werden.
Welches Datenschutzkonzept hat der Anbieter?
Prüfen Sie, welche Informationen der Anbieter zur IT-Sicherheit und zum Datenschutz preisgibt, insbesondere zu technischen und organisatorischen Maßnahmen, wie z.B. Ende-zu-Ende-Verschlüsselung, Passwortanforderungen, Warteräume und sonstige Zulassungsprüfungen. Sofern Sie die Möglichkeit haben, unter mehreren Einstellungen eine datenschutzfreundliche Variante zu wählen, machen Sie die datenschutzfreundliche Lösung in Ihrem Unternehmen zum Standard. Beispielsweise kann bei manchen Anbietern eine Einstellung gewählt werden, dass Videoaufzeichnungen technisch nicht möglich sind oder bei Screenshots eine Warnung an alle Teilnehmer erfolgt.
Gesetzesänderung im TKG führt zum Umdenken bei der vertraglichen Grundlage für die datenschutzkonforme Videokonferenz aus dem Homeoffice
Seit im Dezember 2021 das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft getreten ist und das Telekommunikationsgesetz (TKG) geändert wurde, um den Europäischen Kodex für elektronische Kommunikation (EKEK) mit etwa einjähriger Verspätung umzusetzen, können Videokonferenzanbieter unter die Definition der Anbieter von Telekommunikationsdiensten fallen. Dies gilt nach der insgesamt in seiner Reichweite unklaren Definition in § 3 Nr. 24 TKG jedenfalls dann, wenn der Videodienst (neben weiteren Kriterien) nicht bloß eine untergeordnete, untrennbare Nebenfunktion ist. In der Regel ist die Hauptfunktion der größeren Anbieter die Videoübertragung und andere Funktionen, wie z.B. Chats oder Kollaborationsseiten, sind klar abtrennbar.
Die Einordnung als Telekommunikationsdienst hat erhebliche Auswirkungen auf die vertraglichen Konstruktionen mit den Anbietern. Da somit die Videokonferenzdienstleister die anfallenden personenbezogenen Daten eigenverantwortlich anstatt im Auftrag für das Unternehmen verarbeiten, sind keine Auftragsverarbeitungsverträge (AVV) mehr erforderlich. Die Videokonferenzanbieter haben aber das Fernmeldegeheimnis zu beachten und unterliegen besonders hohen Anforderungen für die technischen Schutzmaßnahmen. In der Praxis sollten alle Teilnehmer von Videokonferenzen auf die Datenschutzinformationen des Videokonferenzanbieters hingewiesen werden.
Steigender Überwachungsdruck und Unsicherheit bei Arbeitgebern und Angestellten
Die Tatsache, dass Videokonferenzanbieter für die technische Datenverarbeitung unter der DSGVO verantwortlich sind, entlässt Arbeitgeber nicht aus der Verantwortung dafür, dass die Videokonferenzsysteme im Unternehmen datenschutzkonform konfiguriert und eingesetzt werden. Rechtlich individuell zu prüfen und durch besondere Vorkehrungen abzusichern sind alle Maßnahmen, die bei beschäftigten Personen eine Anwesenheitskontrolle oder Aufmerksamkeitskontrolle zulassen. Derartige Maßnahmen bergen die Gefahr unzulässiger Überwachung. Unternehmen mit Betriebsrat sollten diesen in die Entscheidungsfindung miteinbeziehen.
Ob Beschäftigte einer Pflicht unterliegen, die Kamera einzuschalten, ist ebenfalls individuell zu prüfen. Regelmäßig ist es in einer Videokonferenz nicht erforderlich, das Video anzuschalten, da es ausreichend ist, sich über das gesprochene Wort auszutauschen, wie es auch beim Telefonieren der Fall wäre. In Situationen wie Bewerbungsgesprächen oder Videocalls, bei denen Gestik oder Mimik besondere Bedeutung zukommen, können Ausnahmen gelten.
Einrichtung von Videokonferenzsystemen im Homeoffice kein Selbstläufer
Bevor sich ein Arbeitgeber entscheidet, ein Videokonferenzsystem einzuführen, sind also mehrere Prüfschritte zu durchlaufen. Es ist nicht ausreichend, den günstigsten oder auf den ersten Blick praktischsten Anbieter zu wählen – auch die Datenschutzkonformität und IT-Sicherheit sind zu beachten. Wird bei diesen Eigenschaften gespart, drohen hohe Bußgelder.
Ohnehin haben Unternehmen bei der Einrichtung von Homeoffices nicht nur Vorgaben zu Videokonferenzen zu beachten. Die sichere Gestaltung heimischer Arbeitsplätze ist eine Herausforderung für sich.