Online Meetings

Nicht erst seit „Corona“ halten wir zu unseren Kunden über diverse Online Meeting Plattformen Kontakt.

Fairerweise muss man aber dazu sagen, dass erst in der Corona Zeit die Notwendigkeit der professionellen Anforderungen so richtig wuchs.

Datenschutzfreundliche technische Möglichkeiten von Online-Meetings

Als Anfang 2020 ganz viele Arbeitnehmer ganz plötzlich und schnell im Home-Office arbeiten sollten, wuchs auch das Interesse für datenschutzfreundliche technische Möglichkeiten von Online Meetings. Allen Voran die Datenschutz-Aufsichtsbehörden – beispielsweise „Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit“ mit einer Zusammenfassung zur Datenschutzfreundliche technische Möglichkeiten der Kommunikation.

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit veröffentlichte eine Hilfestellung zu „Datenschutzanforderungen an Online-Beratungsangebote

Zusammenfassend haben viele die Äußerungen der Aufsichtsbehörden  als „nicht hilfreich“ in Erinnerung. Im Nachhinein haben die Veröffentlichungen jedoch auch etwas bewirkt.

Kurzprüfung Videokonferenzdienste

Weil es viel Kritik gab, hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat zu Ihrer Einschätzung über Videokonferenzdienste eine Kurzprüfung nachgelegt.

Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten

Auf den ersten Blick ist alles übersichtlich in Tabellenform dargestellt. Die Bewertung folgt einem Ampelsystem. Schwerpunkte der Bewertung sind die angebotenen Verträge über die Auftragsverarbeitung.

Die meisten Ampeln stehen leider auf Rot. (Stand 07/2020)

Wem die Berliner Bewertung für Zoom nicht gefällt, hält sich an Baden-Württemberg: Zoom für Schulen freigegeben (Stand 06/2020).

Zoom

Viele Hersteller, allen voran Zoom, haben sich richtig ins Zeug gelegt um den Datenschutzanforderungen zu entsprechen.

Neben datenschutzfreundlicheren organisatorischen Maßnahmen wurden auch die technischen Sicherheitsmaßnahmen erhöht. Das hat eine höhere Sicherheit der verarbeiteten personenbezogenen Daten zur Folge.

Zoom hat im Datenschutz in wenigen Wochen scheinbar eine extrem steile Lernkurve vollzogen. Die geäußerte Kritik haben die Technik und das Management offensichtlich sehr ernst genommen und in kürzester Zeit Lösungen umgesetzt.

Scheinbar wurde vieles dann auch neu gedacht – gerade was die Integration von Drittanbietercode in der eigenen App anging.

Meiner Meinung nach hat der Datenschutz-Guru Stephan Hansen-Oest die ganze Sache am besten begleitet und in einem umfangreichen Beitrag auf seiner Webseite dokumentiert.

Weitere Details zu Onlienmeetings mit Zoom finden Sie auch unter einem Beitrag für Zoom Meetings.

Jitsi Meet

Die erwähnte Diskussion hat aber vor allem zur Bekanntheit und Verbreitung von Jitsi Meet beigetragen.

Jitsi ist eine vom Leistungsumfang mit Zoom vergleichbare Open Source Videokonferenzlösung für Online Meetings.

Als Nutzer müssen müssen Sie keine Software installieren. Auf dem Smartphone können Sie Jitsi ganz einfach über Ihren Browser oder Apps nutzen.

Jitsi funktioniert am besten mit dem Chrome Browser. Aus Datenschutzsicht nicht unbedingt die beste Wahl. Hilfreich ist der auf Chrome basierende Browser Chromium. Damit sind Sie deutlich datensparsamer unterwegs. Für Android oder iOS Geräte gibt es passende Apps in den Stores.

Ansonsten haben unsere Tests mit dem eigenen Jitsi Server auch eine funktion mit Firefox ergeben – allerdings „nur“ in einer Zweierkonferenz.

Weitere Details zu Onlienmeetings mit Jitsi finden Sie auch unter einem Beitrag für Jitsi Meetings.

eigener Jitsi Meet Server

Ich betreibe einen eigenen Jitsi Meet Server. Damit biete ich meinen Gesprächspartnern eine datenschutzfreundliche Lösung an.

Wenn Sie auch einen eigenen Jitsi Meet Server betreiben möchten kann ich Ihnen helfen – schreiben Sie mir eine E-Mail oder rufen Sie direkt an. Die Lösung ist sogar ziemlich einfach und kostet nicht mehr als Zoom.

die richtige Lösung für Online Meetings finden

Auf die Frage wie man die richtige Lösung für Online Meetings findet, gibt es natürlich keine pauschale Antwort. (sorry!)

Eine kritische Betrachtung und sorgfältige Auswahl möglicher Lösungen und Anbieter ist ein ein guter Start. Wichtig ist vor allem, dass Sie Ihr Anwendungsszenario kennen. Hierbei geht es vor allem um Einsatzzweck, Anwender, Zielgruppe und Ihre Anforderungen an die Sicherheit. Darauf basierend ist die Auswahl vermutlich gar nicht mehr so groß.

Sie müssen übrigens nicht pauschal alle US-Anbieter von einer möglichen Auswahl ausschließen. Es gibt durchaus Möglichkeiten des Datenschutzkonformen Einsatzes.

Wichtig ist, dass Sie Ihre Ansprechpartner aus der IT-Abteilung und dem Datenschutz (Datenschutzbeauftragter) von Anfang an in den Prozess (mit)einbinden. Möglicherweise müssen Sie auch arbeitsrechtliche Themen beachten.
Das beginnt schon mit den Anforderungen und der Auswahl.

Konkretes Vorgehen

Mit Anbietern innerhalb der EU schließen Sie einen Auftragsverarbeitungsvertrag.
Bei Herstellern / Anbietern in nicht EU Ländern müssen Sie die Vorgaben der DSGVO selbst sicherstellen. Zur Auswahl stehen Angemessenheitsbeschlüsse der EU-Kommission, Unternehmen mit Privacy-Shield-Zertifizierung (USA), oder der Abschluss ausformulierter Standardvertragsklauseln (Verpflichtung zur Einhaltung des Europäischen Datenschutzniveaus).
Denkbar sind auch Einwilligungen der Nutzer, aber bekanntlich steht diese Option besonders im Beschäftigungsverhältnis auf wackeligen Beinen.

Prüfen Sie die technischen und organisatorischen Maßnahmen des Anbieters, sowie die der Unterauftragnehmer. Dokumentieren Sie die Prüfung.

Nicht alles was technisch möglich ist, ist auch erlaubt. Stellen Sie die Features Ihrer Anwendung möglichst datenschutzfreundlich ein. (Vermeiden Sie Tracking, Aufzeichnungen, Profilerstellung, bzw. stellen Sie sich vor der Verwendung die Frage, ob das zur Zweckerfüllung wirklich erforderlich ist.)

Informieren Sie die Nutzer (Mitarbeiter, Kunden, Lieferanten, usw.) über den Einsatz der Software – besser gesagt über Zwecke, Art und Umfang der Verarbeitung ihrer personenbezogenen Daten. (vgl. Datenschutzhinweise auf Ihrer Webseite, Art. 13 ff DSGVO)
Überlegen Sie, wie Sie die Informationen zur Verfügung stellen können.  Am besten eignet sich der Verweis auf eine entsprechende Seite Ihrer Webseite mittels einer Linklösung den Sie mit der Einladung zum Meeting versenden.

Dokumentieren Sie die Verarbeitungstätigkeit. In diesem Zusammenhang können Sie auch die relevanten Informationen (siehe vorheriger Punkt) erstellen.

Zusammenfassung für Online Meetings

Die Punkte in dieser Zusammenfassung sollten Sie beachten wenn Sie Online Meetings planen und veranstalten möchten.

  • bevorzugen Sie Anbieter von Diensten mit Sitz innerhalb der EU
  • achten Sie auf eine sichere Verbindung (verschlüsselte Übertragung)
  • meiden Sie werbefinanzierte Dienste
  • schaffen Sie die notwendigen rechtlichen Rahmenbedingungen
  • legen Sie technische Einstellungen fest
  • setzen Sie die Vorgaben der DSGVO um
  • erstellen Sie die erforderliche Dokumentation