Online Meetings

Als Anfang 2020 ganz viele Arbeitnehmer ganz plötzlich und schnell im Home-Office arbeiten sollten, wuchs auch das Interesse für datenschutzfreundliche technische Möglichkeiten von Online Meetings. Allen Voran die Datenschutz-Aufsichtsbehörden – beispielsweise „Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit“ mit einer Zusammenfassung zur Datenschutzfreundliche technische Möglichkeiten der Kommunikation.

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlichte eine Hilfestellung zu „Datenschutzanforderungen an Online-Beratungsangebote“

Zusammenfassend haben viele die Äußerungen der Aufsichtsbehörden  als „nicht hilfreich“ in Erinnerung. Im Nachhinein haben die Veröffentlichungen jedoch auch etwas bewirkt.

Weil es viel Kritik gab, hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat zu Ihrer Einschätzung über Videokonferenzdienste eine Kurzprüfung nachgelegt.

Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten

Auf den ersten Blick ist alles übersichtlich in Tabellenform dargestellt. Die Bewertung folgt einem Ampelsystem. Schwerpunkte der Bewertung sind die angebotenen Verträge über die Auftragsverarbeitung.

Die meisten Ampeln stehen leider auf Rot. (Stand 07/2020)

Wem die Berliner Bewertung für Zoom nicht gefällt, hält sich an Baden-Württemberg: Zoom für Schulen freigegeben (Stand 06/2020).

Viele Hersteller, allen voran Zoom, haben sich richtig ins Zeug gelegt um den Datenschutzanforderungen zu entsprechen.

Neben datenschutzfreundlicheren organisatorischen Maßnahmen wurden auch die technischen Sicherheitsmaßnahmen erhöht. Das hat eine höhere Sicherheit der verarbeiteten personenbezogenen Daten zur Folge.

Zoom hat im Datenschutz in wenigen Wochen scheinbar eine extrem steile Lernkurve vollzogen. Die geäußerte Kritik haben die Technik und das Management offensichtlich sehr ernst genommen und in kürzester Zeit Lösungen umgesetzt.

Scheinbar wurde vieles dann auch neu gedacht – gerade was die Integration von Drittanbietercode in der eigenen App anging.

Meiner Meinung nach hat der Datenschutz-Guru Stephan Hansen-Oest die ganze Sache am besten begleitet und in einem umfangreichen Beitrag auf seiner Webseite dokumentiert.

Weitere Details zu Onlienmeetings mit Zoom finden Sie auch unter einem Beitrag für Zoom Meetings.

Die erwähnte Diskussion hat aber vor allem zur Bekanntheit und Verbreitung von Jitsi Meet beigetragen.

Jitsi ist eine vom Leistungsumfang mit Zoom vergleichbare Open Source Videokonferenzlösung für Online Meetings.

Als Nutzer müssen müssen Sie keine Software installieren. Auf dem Smartphone können Sie Jitsi ganz einfach über Ihren Browser oder Apps nutzen.

Jitsi funktioniert am besten mit dem Chrome Browser. Aus Datenschutzsicht nicht unbedingt die beste Wahl. Hilfreich ist der auf Chrome basierende Browser Chromium. Damit sind Sie deutlich datensparsamer unterwegs. Für Android oder iOS Geräte gibt es passende Apps in den Stores.

Ansonsten haben unsere Tests mit dem eigenen Jitsi Server auch eine funktion mit Firefox ergeben – allerdings „nur“ in einer Zweierkonferenz.

Weitere Details zu Onlienmeetings mit Jitsi finden Sie auch unter einem Beitrag für Jitsi Meetings.

Auf die Frage wie man die richtige Lösung für Online Meetings findet, gibt es natürlich keine pauschale Antwort. (sorry!)

Eine kritische Betrachtung und sorgfältige Auswahl möglicher Lösungen und Anbieter ist ein ein guter Start. Wichtig ist vor allem, dass Sie Ihr Anwendungsszenario kennen. Hierbei geht es vor allem um Einsatzzweck, Anwender, Zielgruppe und Ihre Anforderungen an die Sicherheit. Darauf basierend ist die Auswahl vermutlich gar nicht mehr so groß.

Sie müssen übrigens nicht pauschal alle US-Anbieter von einer möglichen Auswahl ausschließen. Es gibt durchaus Möglichkeiten des Datenschutzkonformen Einsatzes.

Wichtig ist, dass Sie Ihre Ansprechpartner aus der IT-Abteilung und dem Datenschutz (Datenschutzbeauftragter) von Anfang an in den Prozess (mit)einbinden. Möglicherweise müssen Sie auch arbeitsrechtliche Themen beachten.
Das beginnt schon mit den Anforderungen und der Auswahl.

Mit Anbietern innerhalb der EU schließen Sie einen Auftragsverarbeitungsvertrag.
Bei Herstellern / Anbietern in nicht EU Ländern müssen Sie die Vorgaben der DSGVO selbst sicherstellen. Zur Auswahl stehen Angemessenheitsbeschlüsse der EU-Kommission, Unternehmen mit Privacy-Shield-Zertifizierung (USA), oder der Abschluss ausformulierter Standardvertragsklauseln (Verpflichtung zur Einhaltung des Europäischen Datenschutzniveaus).
Denkbar sind auch Einwilligungen der Nutzer, aber bekanntlich steht diese Option besonders im Beschäftigungsverhältnis auf wackeligen Beinen.

Prüfen Sie die technischen und organisatorischen Maßnahmen des Anbieters, sowie die der Unterauftragnehmer. Dokumentieren Sie die Prüfung.

Nicht alles was technisch möglich ist, ist auch erlaubt. Stellen Sie die Features Ihrer Anwendung möglichst datenschutzfreundlich ein. (Vermeiden Sie Tracking, Aufzeichnungen, Profilerstellung, bzw. stellen Sie sich vor der Verwendung die Frage, ob das zur Zweckerfüllung wirklich erforderlich ist.)

Informieren Sie die Nutzer (Mitarbeiter, Kunden, Lieferanten, usw.) über den Einsatz der Software – besser gesagt über Zwecke, Art und Umfang der Verarbeitung ihrer personenbezogenen Daten. (vgl. Datenschutzhinweise auf Ihrer Webseite, Art. 13 ff DSGVO)
Überlegen Sie, wie Sie die Informationen zur Verfügung stellen können.  Am besten eignet sich der Verweis auf eine entsprechende Seite Ihrer Webseite mittels einer Linklösung den Sie mit der Einladung zum Meeting versenden.

Dokumentieren Sie die Verarbeitungstätigkeit. In diesem Zusammenhang können Sie auch die relevanten Informationen (siehe vorheriger Punkt) erstellen.

Die Punkte in dieser Zusammenfassung sollten Sie beachten wenn Sie Online Meetings planen und veranstalten möchten.

• bevorzugen Sie Anbieter von Diensten mit Sitz innerhalb der EU
• achten Sie auf eine sichere Verbindung (verschlüsselte Übertragung)
• meiden Sie werbefinanzierte Dienste
• schaffen Sie die notwendigen rechtlichen Rahmenbedingungen
• legen Sie technische Einstellungen fest
• setzen Sie die Vorgaben der DSGVO um
• erstellen Sie die erforderliche Dokumentation