Der Übergang vom Provisorium in die dauerhafte Nutzung
Videokonferenzen sind in der aktuellen Zeit nicht mehr wegzudenken. Viele Firmen, Organisationen und öffentliche Einrichtungen waren gezwungen schnell auf die Kontaktbeschränkungen, die die Coronakrise mit sich brachte, zu reagieren und griffen kurzerhand auf diverse Videokonferenz-Tools, wie zum Beispiel „Zoom“ des US-amerikanischen Unternehmens Zoom Video Communications, Inc., zurück. Die Arbeit mit diesen Tools hat sich also schon in vielen Bereichen etabliert und nicht wenige Firmen überlegen, auch in Zukunft mehr auf digitale Kommunikation zurückzugreifen und Homeoffice sowie mobiles Arbeiten zu fördern. Jedoch steht die Nutzung von Zoom häufig unter Kritik. Aktueller Höhepunkt dieser Kritik sind die Äußerungen des Bundesdatenschutzbeauftragten Ulrich Kelber. Er hatte in einem Interview mit dem Handelsblatt von dem Videokonferenzdienst Zoom aufgrund fehlender Ende-zu-Ende-Verschlüsselung abgeraten, vor allem wenn personenbezogene Daten im Spiel sind. Echte Ende-zu-Ende Verschlüsselungen bei Videokonferenzen sind derzeit technisch noch nicht ausgereift. Diese vielfache Kritik an der technischen Umsetzung und den Datenschutzkonzepten der Videokonferenztools, vor allem bei der Nutzung von Zoom, verunsichert viele Firmen und Organisationen. Und spätestens bei einer dauerhaften Nutzung von Zoom sollte der Einsatz des Videokonferenztools überprüft werden. Darum gilt es, Alternativen zeitnah zu prüfen und gegebenenfalls die Rahmenbedingungen des Einsatzes an die gesetzlichen Anforderungen anzupassen.
Alternativen zu Zoom
Oft wird empfohlen, auf Open-Source Angebote für Videokonferenzen zurück zu greifen, wie zum Beispiel Jitsi oder Big Blue Button. Diese Konferenzsysteme können aber in der Regel nur über eigene Server betrieben werden und müssen individuell konfiguriert werden. Das hat zwar den Vorteil, dass die Einhaltung des Datenschutzes überprüfbar ist. Es setzt aber wiederum auch voraus, dass man eigene Ressourcen bereitstellt und sich ein eigenes Datenschutzkonzept geben muss. Das führt dazu, dass Open Source Angebote nur dann als sinnvolle Alternative herangezogen werden können, wenn man das technische Know-How und die entsprechenden Kapazitäten vorhalten kann. Zusätzlich sollte man in der Lage sein, sich ein eigenes datenschutzkonformes, überprüfbares Anwendungssystem aufzubauen.
Absicherung Minimierung? der Risiken bei der Nutzung von Zoom
Viele Nutzer verfügen nicht über entsprechende Ressourcen, ein eigenes Open-Source Konferenzsystem aufzubauen. Denn häufig stehen bei der Wahl des Tools zunächst die Fragen der Benutzerfreundlichkeit, der schnellen Installation, Höhe der Teilnehmerzahl sowie die audiovisuellen Präsentationsmöglichkeiten im Vordergrund.
Wie geht man aber mit den datenschutzrechtlichen Herausforderungen um? Entscheidend ist hier, wie das Kommunikations-Tool konkret eingesetzt werden soll. Ein akzeptabler Einsatz von Zoom ist dann realisierbar, wenn interne Richtlinien zur Nutzung aufgestellt werden. So müssen der Umgang zur Teilnehmeridentifikation, die Organisation von Besprechungen und das Teilen von Inhalten wie Präsentationen eindeutig geregelt sein. Die Möglichkeit, datenschutzfreundliche Funktionen einzustellen, sollte daher zentral gesteuert werden. Hierunter fällt beispielsweise die Einstellung, dass eine Datenübertragung über EU-Server erfolgt, die Deaktivierung der Aufmerksamkeitsverfolgung und die Durchführung von Zoom-Konferenzen ohne Aufzeichnungen. Mit dem Anbieter müssen Verträge zur Auftragsverarbeitung geschlossen werden (erfolgt mittlerweile automatisch) und die sich daraus ergebenen datenschutzrechtlichen Informationspflichten eingehalten werden.
Grenzen der Nutzung
Auch wenn man größtmögliche Sorgfalt bei der Anwendung walten lässt, sollten dem Nutzer auch die Grenzen des Einsatzes bewusst sein. Zoom sollte grundsätzlich für alle Anwender (Nutzende) freiwillig angeboten werden. Für Gespräche, die sensible personenbezogene Daten beinhalten können, sollten andere Kommunikationsformen vorgezogen werden. Dazu gehören vertrauliche Gespräche, wie sie zum Beispiel in Personalangelegenheiten geführt werden. Auch wenn sich über Themen ausgetauscht werden soll, die dem Berufsgeheimnis unterliegen oder die sich auf Geschäftsgeheimnisse beziehen, empfiehlt es sich, auf sicherere Kommunikationswege zurück zu greifen. Wenn sensible Inhalte präsentiert oder geteilt werden, sollten diese verschlüsselt versendet werden, zum Beispiel durch Email-Verschlüsselung mit PGP.
Fazit
Es ist derzeit nicht möglich, uneingeschränkt risikofreie Empfehlungen für die Nutzung von Videokonferenz-Tools zu geben. Zurzeit gibt es kein Videokonferenz-Tool, welches den datenschutzrechtlichen Anforderungen der Aufsichtsbehörden einerseits und dem Anwendungsbedarf in der Praxis andererseits gerecht wird. Mit der entsprechenden Vorbereitung, den passenden Einstellungen und transparenten Informationen ist es jedoch möglich auch bei der Nutzung von Zoom einen risikoarmen Einsatz zu gewährleisten. Da jedoch die Entwicklungen, sowohl auf technischer Ebene als auch zur Datenschutzumsetzung, sehr dynamisch sind, muss jeder Nutzer darauf zeitnah reagieren können und seine Anwendungsrichtlinien entsprechend anpassen.
Gerne stehen wir Ihnen bei Fragen zu Videokonferenzsystemen und datenschutzrechtlichen Aspekten jederzeit zur Verfügung.
Rechtsanwältin Anna M. von Laer