Tipps zu datenschutzkonformen Videokonferenz-Systemen
Das passende Videokonferenz-Tool auswählen, die eigene Software-Lösungen nutzen – oder Alternativen ausprobieren. Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, nennt viele Maßnahmen für eine datenschutzfreundliche Kommunikation.
Passendes Videokonferenz-Tool auswählen
Wer Video- oder Telefonkonferenzsysteme nutzen will, sollte schon vorab einige Punkte beachten und erst dann das passende Tool auswählen.
Besonders wichtig ist, dass der Anbieter
- keine Metadaten (wer hat wann mit wem kommuniziert)
- und auch keine Inhaltsdaten (wie Videobilder und Screensharing)
für eigene Zwecke auswertet oder sie an Dritte weitergibt.
DSGVO beachten
Auch die Datenschutz-Grundverordnung (DSGVO) spielt eine wichtige Rolle. Wer Kommunikationsmittel auswählt,
- muss die Verantwortlichkeit klären und nötige Verträge schließen,
- darf die Datenverarbeitung nur im Rahmen einer Rechtsgrundlage zulassen,
- muss die Datenverarbeitung fair und transparent gestalten,
- darf die Übermittlung von Daten ins Ausland außerhalb des europäischen Wirtschaftsraums nur unter besonderen einschlägigen Voraussetzungen zulassen.
„On-Premises“-Softwarelösungen nutzen
Datenschutzrechtlich Verantwortliche sollten deshalb sogenannte Softwarelösungen „On Premises“ nutzen. Hier stellt das eigene Rechenzentrum Softwarelösungen auf eigenen Servern bereit oder baut sie auf.
„Dadurch ist es möglich, alle Datenflüsse und Datenerhebungen selbst zu kontrollieren“, sagt Dr. Stefan Brink, LfDI in Baden-Württemberg. Mögliche Lösungen basieren auf Open-Source-Software wie
- Nextcloud Talk,
- BigBlueButton,
- Matrix,
- RocketChat oder
- Jitsi Meet.
Tipps für datensparsame Nutzung geben
Wer Apps einsetzt, sollte den Anwendern auf jeden Fall Tipps an die Hand geben, wie sie die mobile Anwendung möglichst datensparsam nutzen.
Als Beispiel nennt Dr. Stefan Brink:
- die Erhebung von Statistikdaten oder Absturzberichten deaktivieren.
Videokonferenz-Tools durch technische Maßnahmen absichern
Der datenschutzkonforme und sichere Betrieb einer Kommunikations-Lösung gelingt nur durch entsprechende technische und organisatorische Maßnahmen.
Dazu zählen unter anderem:
- Alle Datenflüsse mit Transportverschlüsselung (TLS) absichern.
- Sensible Daten zusätzlich mit Ende-zu-Ende-Verschlüsselung (E2EE) schützen.
- Bei Videokonferenz die Aufzeichnung von Sprache und Video deaktivieren.
- Allen Teilnehmern einer Videokonferenz anbieten, dass sie auch ohne aktive Videokamera (in ihrer Privatwohnung) mitmachen können.
Alternativen zu Videokonferenzen nutzen
„Videokonferenzen sollten nur dann genutzt werden, wenn es wirklich notwendig ist, zum Beispiel wenn Präsentationen mit einer Bildschirmfreigabe gehalten werden sollen“, empfiehlt Dr. Stefan Brink.
Als Alternativen – oder Ergänzung – zu Videokonferenzen schlägt er vor:
- Telefon- oder Audiokonferenzen,
- datenschutzfreundliche und sichere Messenger,
- E-Mails, am besten Ende-zu-Ende-verschlüsselt,
- Text-Chats über datenschutzfreundliche und Ende-zu-Ende-verschlüsselte Plattformen,
- einfache Werkzeuge zur gleichzeitigen Bearbeitung von Textdokumenten wie Etherpad
- oder komplexere Werkzeuge wie Cryptpad oder Nextcloud
Noch mehr Tipps zu Datenschutz bei Videokonferenzen
Die Pressemitteilung des LfDI finden Sie hier: https://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/
Weitere Hinweise für die Auswahl von Videokonferenz-Systemen gibt es hier:
- Empfehlungen für Videokonferenzsysteme der Berliner Beauftragten für Datenschutz und Informationsfreiheit
- Kompendium Videokonferenzsysteme des BSI
- Praxishilfe Videokonferenzen und Datenschutz der Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)