Berliner Datenschutzbeauftragte spricht Empfehlungen für Videokonferenzen aus

Die Berliner Datenschutzbeauftragte hat angesichts der Corona-Krise und den negativen Nachrichten um den Videodienst Zoom eine Guideline für Videokonferenzen während der Kontaktbeschränkungen veröffentlicht.

Die Guideline soll Unternehmen, Behörden und andere, wichtige Informationen zur Nutzung von Konferenzplattformen liefern, damit diese die damit verbundenen Risiken für personenbezogene Daten besser abschätzen, minimieren bestenfalls abstellen können. 

Risiken

Die Datenschutzbeauftragte warnt insbesondere vor unbefugtem Mithören, Aufzeichnen, und Auswerten der Videoinhalte. Hinzu kommt die Gefahr der Weiterübertragung der Daten an Dritte und der möglichen Verwendung dieser zum Nachteil der beteiligten Personen. Sollten sich die Gesprächsparteien über besonders sensible Daten unterhalten, können die Folgen umso gravierender sein. 

Bei den meisten Anbietern laufen die Daten beim Betreiber zusammen. Dieser hat somit die faktische Kontrolle über die Daten. Das Fernmeldegeheimnis findet gegenüber Anbietern aufgrund einer Gesetzeslücke zudem keine Anwendung. Die Daten müssen daher auf andere Weise geschützt werden.

Empfehlungen der Datenschutzbeauftragten

Grundsätzlich empfiehlt die Behörde, dass jegliche Kommunikation (Bild und Ton) über verschlüsselte Kanäle laufen soll. Auch sollten Konferenzen im besten Fall über eine eigene Software erfolgen. Alternativ könne man sich auch für eine kommerzielle Software entscheiden. Dabei sei darauf zu achten, dass es sich um einen europäischen Anbieter handele. Die Datenschutzbeauftragte stellt selbst keine Liste entsprechender Softwareprodukte zusammen, verweist aber auf eine vom Forschungs- und Entwicklungszentrum der Fachhochschule, Kiel. 

Wer diese Möglichkeit nicht hat, soll strenge Anforderungen für das Aussuchen eines passenden Videokonferenzanbieters stellen:

Der ausgewählte Anbieter sollte seinen Sitz in der EU haben oder Mitglied der EFTA sein. Alternativ sollte das Land die gleichen Standards an den Datenschutz stellen. Zudem muss ein Verarbeitungsvertrag zwischen Verantwortlichem und Anbieter abgeschlossen werden.

Anforderungen sind insbesondere auch an die Vertrauenswürdigkeit des Anbieters zu stellen. So sollte er ggf. durch Zertifizierung nachweisen können, dass die Datensicherheit gewährleistet ist.