Videokonferenz datenschutzkonform

Datenschutz VerstehenVideokonferenz datenschutzkonform & sicher

Gerade durch die Covid-19-Pandemie und die damit schneller fortschreitende digitale Transformation rückte das Thema Videokonferenzen immer mehr in den Fokus. Insbesondere durch die örtliche Distanzierung von Mitarbeitern, Kunden und Lieferanten ist es erforderlich, dass sich diese Personengruppen dennoch effizient zu den tagtäglichen Themen austauschen können. Einige der aktuell eingesetzten Videokonferenz-Lösungen sind leider nicht datenschutzkonform. Maßgeblich verantwortlich dafür ist, dass sich einige dieser Anbieter in einem Drittland außerhalb der Europäischen Union befinden und häufig keine geeigneten Garantien nachweisen können, sodass kein angemessenes Sicherheitsniveau für den Einsatz von Videokonferenzen vorliegt. In diesem Beitrag erklären wir worauf Sie achten müssen, um Videokonferenz-Systeme datenschutzkonform einsetzen zu können. Ergänzend nehmen wir einen Datenschutz-Vergleich zwischen den verschiedenen Anbietern vor und präsentieren eine datenschutzkonforme Videokonferenz-Lösung.

Die unmittelbare Wirkung der europäischen Datenschutz-Grundverordnung (DSGVO) gilt seit dem Inkrafttreten am 25. Mai 2018 auch für Rechtsanwaltskanzleien. Somit müssen Kanzleien, die personenbezogene Daten verarbeiten, die DSGVO hinsichtlich aller Vorgaben umsetzen und dürfen nicht gegen geltendes Recht verstoßen. Im Gegensatz zu anderen Unternehmen müssen Kanzleien jedoch weitere, besondere Pflichten berücksichtigen. Denn neben der verpflichtenden Einhaltung der DSGVO müssen Kanzleien aufgrund der Eigenschaft von Anwälten als Berufsgeheimnisträger noch das Anwaltsgeheimnis bewahren. Um das Vertrauensverhältnis zum Mandanten zu wahren sind Rechtsanwälte zur Verschwiegenheit gem. § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) verpflichtet. Dieser Pflicht müssen Anwälte ebenso nachkommen wie den Vorgaben aus der DSGVO.

 
Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Videokonferenz-Lösungen und der Datenschutz

Die unmittelbare Wirkung der DSGVO gilt seit dem Inkrafttreten am 25. Mai 2018 für alle Unternehmen, welche in der Europäischen Union ansässig (Niederlassungsprinzip) sind oder tätig werden (Marktortprinzip). Hinzu kommen nationale Regelungen, welche z.B. die Verschwiegenheit  ergänzen. Um das Vertrauensverhältnis zum Mandanten zu wahren sind Rechtsanwälte beispielsweise zur Verschwiegenheit gem. § 43a Abs. 2 Bundesrechtsanwaltsordnung (BRAO) verpflichtet.

Bei dem Einsatz von Videokonferenz-Lösungen werden in der Regel besondere Kategorien von personenbezogenen Daten verarbeitet. Somit müssen erhöhte Sicherheitsmaßnahmen getroffen werden, um ein angemessenes Sicherheitsniveau gem. Art. 32 DSGVO zu wahren. Darüber hinaus sind wegen der Verarbeitung dieser Daten auch sogenannte Datenschutz-Folgenabschätzungen (Risikoabschätzung) gem. Art. 35 DSGVO relevant. Diese Maßnahmen müssen in jedem Fall von dem verantwortlichen Unternehmen umgesetzt werden. Da die meisten Unternehmen keine eigenen Videokonferenz-Lösungen entwickeln und betreiben, ist der Rückgriff von Anbietern für Videokonferenz-Lösungen höchst relevant. Kommt ein solcher Anbieter zum Einsatz, wird datenschutzrechtlich häufig die Rede von einer Auftragsverarbeitung gem. Art. 4 Nr. 8 DSGVO sein. Maßgeblich hierfür ist die weisungsgebundene Verarbeitung von personenbezogenen Daten (hier die Videodaten der Videokonferenz-Anwendung als Solche). Im Ergebnis müssen für den Einsatz von diesen Anbietern sogenannte Auftragsverarbeitungs-Verträge gem. Art. 28 DSGVO vereinbart werden. Zusätzlich müssen je nach Anbieter die gesetzlichen Anforderungen der Übermittlung von personenbezogenen Daten nach Art. 44 ff. DSGVO eingehalten werden. Da es sich regelmäßig um Anwendungen von US-Anbieter handelt, sind sodann nach dem Schrems II-Urteil des EuGH sogenannte Standarddatenschutzklauseln (SCC) sowie weitere zusätzliche Maßnahmen abzuschließen.

Verantwortliche Unternehmen müssen im Übrigen der Transparenzpflicht gem. Art. 5 Abs. 1 lit. a) DSGVO gerecht werden und ihre Informationspflichten zu erfüllen. So müssen Maßnahmen ergriffen werden, die eine präzise, transparente und leicht zugängliche Information über die Verarbeitung ermöglicht. Klassischerweise wird dafür eine separate Datenschutzerklärung ausgearbeitet von dem Datenschutzbeauftragten.

Vor dem Hintergrund dieser Anforderungen vergleichen wir für Sie verschiedene Videokonferenz-Anbieter, um Ihnen im Ergebnis eine Orientierung für den sicheren Einsatz einer Videokonferenz-Lösung aufzuzeigen.

 

Videokonferenzen im Datenschutz-Vergleich

vOffice
vOffice Datenschutz
  1. Unternehmen: RA-MICRO Software AG
  2. Serverstandort: Limburg (DE)
  3. Browseranwendung
  4. Drittlandsübermittlung: Nein
  5. Erforderliche Verträge: ggf. AVV
  6. Verschlüsselung: TLS, DTLS, SRTP, E2EE
  7. Verarbeitung zu eigenen Zwecken: Nein
Microsoft Teams
Microsoft_Teams-Logo
  1. Unternehmen: Microsoft Corporation
  2. Serverstandort: optional wählbar u.a. DE, FR, USA
  3. App- und Browser-Anwendung
  4. Drittlandsübermittlung: Ja
  5. Erforderliche Verträge: AVV, SCC
  6. Verschlüsselung: Ja, u.a. TLS, MTLS, SRTP, E2EE
  7. Verarbeitung zu eigenen Zwecken: Ja
Google Meet
google-meet-logo
  1. Unternehmen: Google LLC
  2. Serverstandort: optional USA, EU
  3. Browser-Anwendung
  4. Drittlandsübermittlung: Ja, abhängig vom Serverstandort
  5. Erforderliche Verträge: AVV, SCC
  6. Verschlüsselung: DTLS, SRTP
  7. Verarbeitung zu eigenen Zwecken: Uneindeutig
previous arrow
next arrow

Videokonferenz-Lösung Datenschutz-Empfehlung

Der Grundsatz der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f) DSGVO fordert eine ausreichende Sicherheit der Videokonferenzen. Hierzu müssen Unternehmen technische und organisatorische Maßnahmen gem. Art. 25 und 32 DSGVO ergreifen, um das Risiko eines unbefugten Zugriffs oder Verlusts der Daten zu verringern. Insbesondere Maßnahmen wie regelmäßige Sicherheits-Updates der Videokonferenz-Lösung oder eine ausreichende Verschlüsselung der Datenübertragung sollten hierzu ergriffen werden. Eine besondere Rolle spielt in diesem Zusammenhang der Austausch und die Kommunikation mit Teilnehmern der Videokonferenz-Lösung: Es müssen sichere Verschlüsselungsmechanismen für die Kommunikation verwendet werden, wie z.B. die Datenübertragung mittels Ende-zu-Ende-Verschlüsselung. Hierbei hat in dem vorherigen Vergleich, insbesondere vOffice, mit einem hervorragenden Sicherheitsniveau abgeschnitten. Im Folgenden gehen wir näher auf vOffice ein.

Sichere Videokonferenz-Lösung vOffice

Die RA-MICRO Software AG mit Sitz in Berlin ist Anbieter des vOffice Videokonferenzsystems. vOffice ist als zentralisiertes Peer-to-Peer Netzwerk aufgesetzt und wird von einem zentralen Verwaltungsserver (Signaling-Server) gesteuert, der die Verwaltung und Absicherung übernimmt. Der Signaling-Server stellt  die Verbindungen für die Videokonferenzen her, die anschließend als Peer-to-Peer Verbindung zwischen den Teilnehmern aufgebaut wird. Der Signaling-Server befindet sich ebenfalls in Deutschland im Rechenzentrum Limburg der Firma OVH GmbH, Saarbrücken. Das ist besonders vorteilhaft, denn auf diese Weise entsteht nicht die Problematik rund um die Übermittlung von personenbezogenen Daten in Drittländer, wie z.B. die USA, und es sind keine geeigneten Garantien nach Art. 44 ff. DSGVO als Nachweis erforderlich. In anderen gängigen Videokonferenz-Lösungen ist die Übermittlung von Daten in ein Drittland, wie z.B. die USA, regelmäßig der Fall. Es sind sodann Nachweise nach Art. 44 DSGVO für die Sicherheit der Übermittlung erforderlich, z.B. in Form von Garantien.

Die Anwendung vOffice erfüllt die Anforderungen nach Art. 25 Abs. 1 DSGVO an Videokonferenzsysteme, das gilt insbesondere hinsichtlich des Sitzes des Anbieters, der Standorte der Server, der Identifizierung der Teilnehmer, der Absicherung der Konferenzräume, der Verschlüsselung, der Datensparsamkeit und der Betroffenenrechte. Die Anwendung erfüllt auch die Anforderungen nach Art. 25 Abs. 2 DSGVO. Im „Entry-Modus“ (Standardeinstellung) werden nur die für die Anwendung unbedingt erforderlichen Daten erhoben.

Weitere Details zu vOffice 

Die Teilnehmer nutzen das Videokonferenzsystem über ihren Webbrowser,  verwendet wird das Protokoll Web Real-Time Communication (WebRTC). Das bedeutet, dass eine Rechner-zu-Rechner-Verbindung aufgebaut wird. Die Bild- und Tondaten sowie Chatnachrichten und gesendete Dateien werden bereits im Browser des Nutzers verschlüsselt und nachfolgend verschlüsselt zu den  anderen Gesprächsteilnehmern übertragen. Erst im Browser des Empfängers werden die Daten wieder entschlüsselt (Ende-zu-Ende-Verschlüsselung). Die Verschlüsselung von Mediendaten (Bild- und Tondaten) erfolgt nach dem DTLS-SRTP Protokoll. Die Signalisierungsdaten zum Aufbau der Verbindung werden nach dem TLS/DTLS (Data Transport Layer Security) verschlüsselt, die Schlüssellänge beträgt 256 Bit. Die Verschlüsselungsverfahren sind standardmäßig in den Web RTC-fähigen Browsern Chrome, Safari, Edge, Firefox und Opera integriert. Verwendet werden die TLS-Versionen 1.2 und 1.3. In Summe führen diese Sicherheitsmaßnahmen dazu, dass ein sehr hohes Schutzniveau gewährleistet werden kann. 

Darüber hinaus erfüllt der verwendete Vertrag zur Auftragsverarbeitung von vOffice die Anforderungen nach Art. 28 DSGVO. Insgesamt kommen wir zu dem Ergebnis, dass das Videokonferenzsystem vOffice die Anforderungen der DSGVO erfüllt. Insbesondere die Vorgaben aus Art. 25 Abs. 1 (Privacy by Design), Art. 25 Abs. (Privacy by Default) sowie Art. 28 DSGVO (Auftragsverarbeitung) werden eingehalten. Ergänzend hierzu erfüllt vOffice auch die Anforderungen aus §§ 203 StGB, 43a BRAO und 2 BORA (Schweigepflicht für Rechtsanwälte).

Menü