Sichere Videokonferenzen

Spätestens seitdem die globale Corona-Pandemie vor über einem Jahr auch in Europa angekommen ist, sind Videokonferenzen nicht mehr aus dem Alltag vieler Menschen wegzudenken. Oftmals beschränkt sich dabei die Nutzung nicht auf eine bestimmte Videokonferenz-Software, sondern es existiert ein vielfältiges Angebot an entsprechenden Tools. Aus der Sicht des Datenschutzes und der Privatsphäre gibt es jedoch teils erhebliche Unterschiede, die wir in diesem Blogeintrag erläutern.

Datenschutz und Privatsphäre

Die Begriffe Datenschutz bzw. Datensicherheit und Privatsphäre sind im digitalen Raum untrennbar miteinander verbunden. Um die Datensicherheit zu bewahren und somit die Privatsphäre zu schützen gibt es verschiedene Ansätze, von denen sich zwei als besonders wirkungsvoll erwiesen haben: Daten-Minimalismus und Verschlüsselung.

Nach dem Konzept der Daten-Sparsamkeit oder des Daten-Minimalismus wird bereits a priori festgelegt, welche Informationen zu welchen Zwecken benötigt werden, statt so viele Informationen wie nur möglich zu sammeln und im Nachhinein eine Verwendung für die vorliegenden Bestände zu suchen. Dies geschieht in der Regel unter ständiger Abwägung zwischen dem Nutzen und damit verbundenen Privatsphäreeingriffen.

Zwar ist Sparsamkeit beim Erfassen und Speichern von Daten bzw. Datenströmen ein erster wichtiger Schritt um Informationen von Nutzenden vor dem Zugriff Unbefugter zu schützen, allerdings existieren dennoch Datenbestände, welche technisch oder rechtlich zwingend vorhanden sein müssen, wie beispielsweise Chatprotokolle oder Übertragungsdaten in Videokonferenzen. Um diese dennoch sicher nutzen zu können, werden starke und robuste Verschlüsselungsalgorithmen benötigt, die gleichermaßen einfach (manchmal etwas abschätzig als “fool-proof” bezeichnet) von Nutzenden ohne technisches Verständnis genutzt werden können. Das Thema Daten- und Informationssicherheit wurde bereits zuvor ausführlich behandelt.

Sicherheit in Videokonferenzen

Neben den Grundsätzen des Daten-Minimalismus und der robusten Verschlüsselung gibt es einige Aspekte, die bezüglich Informationssicherheit in Videokonferenzen berücksichtigt werden sollten. Die folgende Checkliste gibt einen Überblick, um den Schutz der Privatsphäre einschätzen zu können, ohne selbst ein Experte für Datenschutz sein zu müssen. [1,2]

1. Anbieter aus der EU

Seit 2018 gilt im gesamten Raum der Europäischen Union sowie in Island, Lichtenstein und Norwegen die Datenschutzgrundverordnung (DSGVO). Die DSGVO definiert unter anderem einen einheitlichen Datenschutzstandard, der zu den höchsten weltweit zählt. Bei der Anwendung der DSGVO zählt einerseits das sogenannte Niederlassungsprinzip (Art. 3 Abs. 1 DSGVO) und andererseits das Marktortprinzip (Art. 3 Abs. 2 DSGVO). Während ersteres die Anwendung der durch die DSGVO definierten Datenschutzstandards für Veranwortliche mit Unternehmenssitzen in allen oben genannten Staaten beschreibt, besagt das Marktortprinzip, dass die DSGVO auch dann gilt, wenn das Unternehmen keinen eigenen Sitz in diesen Staaten hat, dort jedoch tätig ist. Obwohl die DSGVO somit auch für Unternehmen mit Hauptsitz in Drittstaaten gilt, die in der EU tätig sind, wie beispielsweise Facebook, Google oder die Alibaba Group, ist in der Praxis die Kontrolle der Einhaltung der DSGVO jedoch deutlich einfacher innerhalb der EU.

2. Angemessene Datenschutzerklärung

In der Datenschutzerklärung sollte erklärt werden, welche Daten erhoben werden und zu welchem Zweck. Die Nutzung von Übertragungsdaten ist bei Videokonferenzen eine technische Notwendigkeit. Es ist jedoch wichtig zu klären, ob dabei ein Verschlüsselungsalgorithmus (Ende-zu-Ende Verschlüsselung) genutzt wird, über das technisch notwendige Maß hinaus personenbezogene Daten verarbeitet bzw. gespeichert und diese Daten an Dritte übermittelt werden. Dabei ist auch die Speicherdauer der Übertragungsdaten von erheblicher Relevanz.

3. Open Source / Freie Software

Ein offen einsehbarer Code ist ein wichtiger Baustein zum Schutz der Privatsphäre. Freie, Open Source Software kann transparent eingesehen werden und untersteht somit einem dauerhaften, “public Audit” der Opensource-Gemeinschaft, welches die Verlässlichkeit und Glaubwürdigkeit der einzelnen Komponenten sicherstellt. Dies ist besonders bei der Verschlüsselung der Daten und Konversationen von Vorteil. Bei der Nutzung von Freier Software müssen Nutzer:innen nicht blind auf die Einhaltung der Datenschutzstandards vertrauen, sondern können diese transparent nachvollziehen und darauf vertrauen, dass die Anwendungen genau das tun, was sie tun sollen.

4. Teilnahmekontrolle

Sofern alle Teilnehmenden einer Videokonferenz über ein eigenes Nutzerkonto verfügen, ist die Identifizierung meist unproblematisch. Darüber hinaus sollten Videokonferenzen über Einladungen und/oder Passwörter geschützt werden können, um die Teilnahme Unberechtigter zu verhindern.

5. Kontrolle der Protokollierung

Die meisten Videokonferenz-Tools verfügen über eine Chatfunktion, über die parallel zur Konferenz Nachrichten ausgetauscht werden können. Diese Chatverläufe sollten ebenso hohen Datenschutzstandards unterliegen und gelöscht werden können, um eine Einsicht des Anbieters der Videokonferenzsoftware zu unterbinden.

Privatsphäreschutz in ViOffice Conference

In den vergangenen Monaten haben sich Datenschützer:innen intensiv mit weit verbreiteten Videokonferenzangeboten und deren Tools beschäftigt. Unabhängig von der Frage, wie man als einzelne Person politisch und ethisch/moralisch zu dem Thema Privatsphäreschutz steht, ist es gerade der Rechtsrahmen, der für Behörden, Unternehmen und Vereine entscheidend ist. Diesbezüglich hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit kürzlich eine aufsehen erregende Bewertung veröffentlicht. Demnach ist die Nutzung der meisten proprietären, gängigen Videokonferenzdienste, darunter Zoom, Cisco Webex, Google Meet, Microsoft Teams und Skype, nicht rechtskonform! Besonders negative Schlagzeilen sind in dem Zusammenhang bei Zoom aufgetreten, da Sicherheitslücken aufgedeckt wurden und das Unternehmen in der Vergangenheit Daten an Facebook weitergegeben hat oder Datenströme über Länder außerhalb der EU leitete. Rechtliche Konsequenzen können aber nicht nur die Anbieter:innen der Software selbst treffen, sondern insbesondere den Host, also das Unternehmen, die Behörde oder den Verein, der diese Software für offizielle Gespräche bereitstellt. Positive Beispiele sollten dabei jedoch nicht unerwähnt bleiben. Anbieter wie mailbox.org, OSC BigBlueButton und sichere-videokonferenz.de sind nach der Einschätzung der Berliner Datenschutzbeautragten bedenkenlos nutzbar. [3,4,5]

Die bei den positiven Beispielen zutreffenden technischen und rechtlichen Gegebenheiten gelten auch im Falle von ViOffice Conference, welches zudem auch alle Punkte in der obigen Checkliste erfüllt. ViOffice ist ein unternehmerisches Projekt, welches sich an nachhaltiger, ethischer und sozial gerechter Zukunftsfähigkeit orientiert. Als Host und Anbieter unserer Videokonferenzlösung mit Sitz und Serverstandorten in Deutschland sind wir selbstverständlich an die Maßstäbe des Datenschutzes der DSGVO gebunden. ViOffice geht insgesamt aber noch darüber hinaus und schützt Daten von Nutzenden (auch vor uns selbst) sogar noch stärker, wo immer dies technisch umsetzbar ist. Unsere Datenschutzerklärung listet detailliert und übersichtlich auf, welche Daten zu welchen Zwecken erfasst und/oder gespeichert werden (müssen). ViOffice Conference basiert auf der Freien Software Jitsi-Meet ist damit Open Source und wurde von uns selbst mit weiterem Open Source Code erweitert. Gerade der von uns beigesteuerte Code führt zu einer verbesserten Teilnahmekontrolle in den Videokonferenzen. Darüber hinaus sind Übertragungswege immer serverseitig verschlüsselt. Teilnehmende der Videokonferenz können selbstständig und einfach auf eine vollständige Ende-zu-Ende Verschlüsselung in einer laufenden Konferenz umstellen. Auch Passwörter können von der Konferenzmoderation jederzeit eingestellt werden. Für das Starten einer Konferenz ist ein ViOffice Account nötig, jedoch nicht zur Teilnahme an einer laufenden Konferenz. ViOffice Conference protokolliert Konferenzen niemals. Das gilt sowohl für die Inhalte der Konferenz als auch für die Teilnehmenden selbst oder den eingebauten Textchat. Technisch bedingt werden IP-Adressen erfasst, jedoch nach kurzer Zeit wieder gelöscht und geben uns keine Möglichkeit Teilnehmende einer spezifischen Konferenz zuzuordnen.

Unsere Datenschutzerklärung und weitere Informationen zu den Themen Sicherheit und Privatssphäre sind in unserem Helpcenter öffentlich und transparent einsehbar. Darüber hinaus haben wir unsere interne Unternehmensphilosophie im Blogeintrag zu Corporate Social Responsibility ausführlich beschrieben.

Quellen

[1] Herold, Philipp (2020): Datenschutz bei Videokonferenzen. Worauf Sie achten sollten. Online unter https://www.mein-datenschutzbeauftragter.de/blog/datenschutz-videokonferenzen/ [08.05.2020].

[2] Siebert, Sören (2020): Videokonferenzen und Datenschutz. Der große Vergleichstest zu Zoom und Co. Online unter https://www.e-recht24.de/artikel/datenschutz/12122-videokonferenzen-und-datenschutz-vergleichstest-zoom.html [08.12.2020].

[3] Berliner Beauftragte für Datenschutz und Informationsfreiheit (2021): Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten. Online unter https://www.datenschutz-berlin.de/fileadmin/userupload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf [18.02.2021].

[4] Weiß, Eva-Maria (2021): Viel Rot. Berliner Datenschutzbeauftragte aktualisiert Videokonferenz-Liste. Online unter https://www.heise.de/news/Viel-Rot-Berliner-Datenschutzbeauftragte-aktualisiert-Videokonferenz-Liste-5060322.html [19.02.2021].

[5] Wilhelm, Katharina (2020): Zweifel an Zoom. Online unter https://www.tagesschau.de/ausland/zoom-101.html [05.04.2021].

Diesen Beitrag teilen:
Website | + posts