Kategorie-Archive: Blog

Videokonferenzen nach DSGVO

Videokonferenzen nach DSGVO

Vorwort

Wo personenbezogene Daten verwendet werden, müssen Regeln beachtet werden.

Meine Erläuterungen zum BDSG und DSGVO stellen keine Rechtsberatung dar. Es ist meine persönliche Auffassung basierend auf geltenden Gesetzestexte. Aus Gründen der Übersichtlichkeit kann ich den Gesetzestext nicht vollständig zitieren, dieser kann aber im Internet eingesehen werden. Die DSGVO Artikel sind jeweils so miteinander verknüpft, daß wenn nur Auszüge erwähnt werden, diese nicht mehr im Zusammenhang erscheinen würden. Deshalb gilt immer die EU Verordnung im Original zu lesen und sie aus diesem Grund nur in ihrer Gesamtheit ihre Gültigkeit hat.

Videokonferenz Software

Video Collaboration / Videokonferenz Lösungen aus den USA verwenden?

Es ist nicht nötig Software Anwendungen US amerikanischer Anbieter zu verwenden, wenn ebenfalls europäische Videokonferenz Anbieter zur Verfügung stehen, und Ihre Lösungen EU-DSGVO konform mit hohem Datenschutz Niveau anbieten, wie z.B. in einem Rechenzentrum in Deutschland.

on-Premise Videokonferenz Hardware

Anstatt Videokonferenz Software kann auch reine Videokonferenz Hardware als on-Premise Lösung zum Einsatz kommen, ganz ohne Software eines Cloud Anbieters.

Unternehmen sind in der Lage eigene Server in einem deutschen Rechenzentrum EU-DSVGO konform zu betreiben.

Damit besteht die Möglichkeit so viele Benutzer anzulegen wie nötig, damit Mitarbeiter Ihre Teammeetings abhalten können. Bei einer solchen Lösung für Webkonferenzen und Videokonferenzen werden auch oft sogenannte „Concurrent User“ Lizenzen beim Software Anbieter fällig. Dafür erhält ein Unternehmen / Organisation eine professionelle Lösung die durch Updates, ständige Weiterentwicklung, Verbesserung und Implementation neuer Sicherheits- Technologien auf dem neuesten Stand der Technik gehalten wird. Gemäß EU-DSGVO Artikel 25 und Artikel 32 vorgeschrieben. Und es müssen die Betroffenenrechte eingehalten werden: siehe Artikel 12-23.

BDSG und DSGVO

Das Bundesdatenschutzgesetz (BDSG) ist gemäß Art. 8 Abs. 1 Satz 1 am 25.5.2018 in Kraft getreten.
Das Bundesdatenschutzgesetz ergänzt die europäische Datenschutz-Grundverordnung (DSGVO) in einigen wichtigen Punkten. Dabei hat der deutsche Gesetzgeber von zahlreichen Öffnungsklauseln der DSGVO Gebrauch gemacht. Nachdem das neue Bundesdatenschutzgesetz mit der DSGVO 2018 in Kraft trat, wurde es mittlerweile erneut überarbeitet.
Seit Geltung kann daher nicht nur auf ein Gesetz zurückgegriffen werden, sondern es muss stets die DSGVO und das BDSG gemeinsam herangezogen werden.

Datenübertragung ins Ausland

Der Anbieter muss die Videokonferenz Daten mit ausreichender Sicherheit Datenschutz-konform verarbeiten. Wenn der Anbieter in der EU ansässig ist, dann gilt für ihn automatisch die europäische Datenschutzgrundverordnung.

Anders ist es, wenn der Anbieter Deiner Konferenz-Software nicht in der EU sitzt. Daten dürfen nur dann aus der EU heraus exportieren, wenn die EU festgestellt hat, das in dem Zielland ein mit der EU vergleichbares Datenschutzniveau besteht. Das ist etwa in Bezug auf die Schweiz, Japan oder Kanada der Fall.

US-Anbieter dürfen nur verwenden werden wenn sie bei privacy shield registriert sind. Das ist ein Abkommen zwischen den USA und der EU. Danach erkennt die EU den gleichwertigen Datenschutz wie in der EU für US-Anbieter dann an, wenn sich der Empfänger der Daten (also der Webinar- oder Konferenzanbieter) in den USA dem privacy shield Abkommen unterworfen hat. Einige Anbieter in den USA behaupten auf Ihrer Website dass Sie GDPR / DSGVO konform arbeiten, aber überhaupt nicht bei privacy shield registriert sind.

Es gibt zwar noch weitere Möglichkeiten, wie man US-Anbieter auch ohne privacy shield verwenden kann, aber das ist einigermaßen komplex und ist nicht notwendig da es europäische Anbieter gibt.

Nach meiner Auffassung ist es nicht ratsam jegliche Art von Daten in Länder ausserhalb der EU zu übertragen oder zu speichern, wenn diese Daten sensibler Art sind und direkt auch in deutschen Rechenzentren gespeichert werden können.

Die Möglichkeit personenbezogene Daten Datenschutz konform in die USA zu übertragen ist nach DSGVO möglich, aber es geht auch generell um sensible Daten bei denen es nicht sinnvoll ist, dass diese zwangsläufig über Drittstaaten transferiert werden müssen. Ich denke dabei um Know How, Patente und sensiblen Informationen die von europäischen Unternehmen über das Internet ausgetauscht werden. Wenn Informationen während eines Online Meetings über US amerikanische Server und deren Infrastruktur ausgetauscht werden ist es ein Fall für die Informations Sicherheit die ein jeder ISO (Information Security Officer) zur Aufgabe hat zu wahren.

Aktuelles Beispiel

Ihre Daten werden bei Zoom die EU verlassen, wollen Sie die EU-DSGVO achten oder mißachten?

Original Wortlaut: Sie sind über Rechenzentren in den USA mit Zoom Globales Netzwerk verbunden.

Screenshot:

Stand 2020 nach den Medienberichten, ist aktuell nachvollziehbar dass im März 2019 das nach dem Privacy Shield Abkommen die Datenschutz ichtlinien eingehalten werden. Tatsächlich aber viele Verstöße zu Tage gebracht wurden. Soll man dann noch auf Lippenbekenntnisse vertrauen?

EU-US Privacy Shield

Für den EU-US Privacy Shield hat die Kommission die Angemessenheit des Datenschutzniveaus für zertifizierte Unternehmen in den USA festgestellt.

Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Beschluss der EU-Kommission. Die Kommission hatte am 12. Juli 2016 beschlossen, dass die Vorgaben des Datenschutzschilds dem Datenschutzniveau der Europäischen Union entsprechen; seitdem kann das Übereinkommen angewendet werden.

Die Absprache regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden. Sie war notwendig geworden, nachdem der Europäische Gerichtshof im Oktober 2015 die bis dahin angewendete Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hatte.

Quelle: https://de.wikipedia.org/wiki/EU-US_Privacy_Shield

Data Breach (Datenleck)

Verstöße trotz EU-US Privacy Shield

Die Medien berichten regelmäßig über Datenschutz Verstöße!

Das EU-US Privacy Shield zwischen der USA und der EU ist keine Garantie dass Ihre Daten tatsächlich sicher sind.

Mit zahlreichen Verstößen hat das Unternehmen zoom Schlagzeilen gemacht.

Externe Links zum Thema:

https://dsgvo-gesetz.de/themen/drittland/
https://www.bitkom.org/sites/default/files/file/import/LF-Verarbeitung-personenbezogener-Daten-DE-online-final.pdf

Video Kommunikations Lösungen

Es existieren professionelle Videokonferenz Lösungen, die von der deutschen und europäischen Wirtschaft im geschäftlichen Umfeld verwendet werden. Diese namhaften Hersteller halten sich an die DSGVO. Internet Anwender sollten deshalb professionelle Lösungen nutzen. Man kann nicht erwarten dass kostenlose Tools alles bieten was nötig ist.

Internationale Anbieter

Bekannte internationale Videokonferenz Hersteller mit professionellen Lösungen für den Konferenzraum, für Arbeitsplätze und mobile Videokommunikation: Avaya, Cisco, Sony, LifeSize, Poly, RHUB TurboMeeting, TrueConf, Vidyo, Yealink (Aufzählung nicht vollständig).

Europäische Anbieter

Namhafter europäischer Videokonferenz Hersteller mit professionellen Lösungen für den Konferenzraum, für Arbeitsplätze und mobile Videokommunikation (Aufzählung nicht vollständig): Wildix Lösungen: Kite, ubiconf, Wizyconf

Externe Links zum Thema:

• https://www.videokonferenzsysteme.info/webkonferenzen-mit-datenschutz-gemass-eu-dsgvo/
• https://www.fahr-telecom.eu/sichere-webkonferenzen-mit-webrtc

Folgende Punkte bitte beachten

1. Wählen Sie eine europäische Videokonferenz Lösung
2. Führen Sie Awareness Schulungen durch
3. Einhaltung des Datenschutz bei Einladungsemail
4. Einhaltung der Informationspflicht nach Art. 13
5. Aktualisieren Sie Ihr Verzeichnis von Verarbeitungstätigkeiten
6. Informieren Sie Teilnehmer falls eine Aufzeichnung erfolgt
7. Betreiben Sie die Server selbst bzw. deutschen Rechenzentrum
8. Achten Sie auf einen aktuellen Service Vertrag
9. Führen Sie regelmäßig Sicherheits Updates durch

Kriterien für die Videokonferenz Software

1. Teilnehmer sollten möglichst kein Client Installation benötigen
2. Einfachste Bedienung ohne komplizierte Bedienelemente
3. Falls möglich Zwei-Faktor Authentisierung für Benutzerkonten
4. Stellen Sie fest ob Sie eine Auftragsdatenverarbeitung benötigen
5. Ist die Videokonferenz Datenschutz geprüft
6. Sicheres Echtzeit Transportprotokoll
7. Videokonferenz mit Verschlüsselung
8. Falls möglich eine Passwortabfrage zur Meeting Teilnahme

Kriterien für die Videokonferenz Hardware

1. Achten Sie auf gute Sprachverständlichkeit
   Verwenden Sie Headsets oder Freisprech Mikrofone
   Freisprech Mikrofone nur mit Echo Cancelling
   
2. Achten Sie auf gute Kamera Qualität
   Full HD oder Ultra HD Kameras
   
3. Schränken Sie sich nicht auf ein bestimmtes System ein
   Wählen Sie ein Universal Videokonferenz System

Technische Kriterien

• Verwenden Sie einen Rechner mit ausrechender Rechenleistung
• Meiden Sie zumindest als Vortragender auf WLAN
• Die Internet Bandbreite muss gewährleistet sein

Epilog

Verantwortlicher der Datenverarbeitung

Sind die Unternehmen DSGVO konform, haben Sie Ihre Mitarbeiter auf den Datenschutz und dem Umgang mit modernen Collaboration Tools geschult?Der Verantwortliche der Verarbeitung muss ebenfalls die DSGVO einhalten. Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Sensibilisierungen der Mitarbeiter durch Schulungen Stichwort: „Risikofaktor Mensch“.

Der Verantwortliche entscheidet über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Die Verantwortung dafür liegt beim Verantwortlichen als Veranstalter.

Awareness Schulungen

Die Sicherheit von sensiblen Daten sollte stets gewährleistet sein und die Mitarbeiter zu dem Thema Datenschutz geschult werden, denn schnell geraten vertrauliche Unternehmensdaten in die falschen Hände.

Externer Link: Meetings datenschutzkonform organisieren
https://www.datenschutz-praxis.de/fachartikel/meetings-datenschutzkonform-organisieren/

Artikel 13 DSGVO – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Der Hinweis in der Einladungs email zum Online Meeting muss jedoch unmittelbar bei der Dateneingabe gut erkennbar sein: „Zur Durchführung des Online-Meetings mit „………………“ werden Ihre Daten im Rahmen unserer Datenschutzerklärung verarbeitet.“ (Datenschutzerklärung als Link). Ggf. noch den Hinweis: den Termin bitte bestätigen

Sind die Hausaufgaben gemäß DSGVO gemacht?

Artikel 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten
https://dsgvo-gesetz.de/art-30-dsgvo/

Artikel 35 DSGVO – Datenschutz-Folgenabschätzung
https://dsgvo-gesetz.de/art-35-dsgvo/

Wer ist Verantwortlicher der Datenverarbeitung?

Artikel 4 DSGVO – Begriffsbestimmungen
https://dsgvo-gesetz.de/art-4-dsgvo/

Die Bestimmung der Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung EU-DSGVO wird hier beschrieben:
https://www.datenschutzbeauftragter-info.de/bestimmung-der-verantwortlichkeit-im-sinne-der-dsgvo/

Externer Link zu Thema:
https://dsgvo-gesetz.de/kapitel-4/

E2EE Verschlüsselung erklärt:
https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/

Vergleich der Systeme (Feststellung siehe Link oben)

Tatsache ist dass alle Endkunden die uns täglich anrufen, genau diese gängigen Applikationen verwenden und nichts daran ändern wollen.

• Skype realisiert keine effektive Ende-zu-Ende-Verschlüsselung
• Microsoft Teams hat keine effektive Ende-zu-Ende-Verschlüsselung
• Zoom besitzt keine Ende zu Ende Verschlüsselung
• GotoMeeting hat keine Ende zu Ende Verschlüsselung
• Google Hangout Meet hat keine Ende zu Ende Verschlüsselung
• WebEx hat standardmäßig keine Ende zu Ende Verschlüsselung
• LifeSize Cloud hat keine Ende zu Ende Verschlüsselung
• Blizz – es wird keine Ende-zu-Ende-Verschlüsselung realisiert

E2EE ontop vorhandener DTLS-SRTP-Implementierung

Die gute Nachricht ist, dass der Ansatz gerade umsetzbar wurde! Das Google WebRTC-Team ist derzeit dabei, dem Chromium-Ökosystem eine brandneue Funktion hinzuzufügen, die als Insertable Streams bezeichnet wird . Die Funktion bietet WebRTC-Apps Zugriff auf Audio- und Videobilder, nachdem sie codiert wurden, aber bevor sie im Netzwerk gesendet wurden.

Insertable Streams in WebRTC
Vor rund drei Jahren hat sich die PERC-Arbeitsgruppe (Privacy Enhanced RTP Conferencing) der IETF für ein Transportdesign entschieden, das einen angemessenen Weg zur End-to-End-Verschlüsselung (e2ee) in WebRTC-Konferenzen ermöglichen könnte. Die Idee ist, dass Konferenzen nicht versuchen, die vorhandene DTLS-SRTP-Implementierung zu optimieren, sondern einfach die zusätzliche Ebene des e2e-Schutzes über die vorhandene hinzufügen können.