Unternehmen können Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx auch in der Coronavirus-Pandemie nicht bedenkenlos verwenden. Die Datenschutzbeauftragten von Bund und Ländern empfehlen in einer am Freitag veröffentlichten Orientierungshilfe, die Dienste von US-Anbietern vor dem Einsatz „sorgfältig zu prüfen“.
„Die größten und bekanntesten Anbieter von Videokonferenzprodukten haben ihren Firmensitz in den USA und verarbeiten dort die Daten“, so die Datenschutzkonferenz (DSK) in ihrer Handreichung. Nachdem der EuGH den „Privacy Shield“ für ungültig erklärt habe, könne mit diesem Instrument kein angemessener Schutz in die USA übermittelter persönlicher Informationen sicherzgestellt werden.
Wer alternativ auf Standardvertragsklauseln setze, müsse „vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren“, heißt es. Bei Defiziten seien „zusätzliche Maßnahmen“ geboten, sonst müsse der Transfer unterbleiben.
Die gesonderte Prüfpflicht gelte auch, wenn der Vertragspartner eine europäische Tochtergesellschaft einer US-Firma sei oder wenn europäische Anbieter ihrerseits personenbezogene Daten in die USA übermittelten. Laut DSK sind weitere Analysen notwendig, um im Lichte der EuGH-Rechtsprechung konkrete Aussagen zu zusätzlichen Schutzvorkehrungen treffen zu können.
Die gängigen Videokonferenzsysteme waren bereits nach einem Kurztest von der Berliner Datenschutzbeauftragten bemängelt worden. Grünes Licht gab es dabei für kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi Meet wie den Service von Netways oder sichere-videokonferenz.de. Positiv bewertete sie ferner die Tixeo Cloud, BigBlueButton-Instanzen von Werk21 sowie den Messenger Wire.
Am besten sei es, Konferenzdienste etwa mit Open-Source-Software selbst zu betreiben, so die DSK. Verantwortliche müssten aber „für Betrieb und Wartung über ausreichende technische und personelle Kapazitäten verfügen und geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen“. Dies könne für kleinere Unternehmenb schwierig sein.
Auf 25 Seiten führen die Datenschützer viele weitere Punkte wie eine angemessene IT-Sicherheit auf, die es einzuhalten gelte. „Nur berechtigte Personen sollten auf eine Videokonferenzsitzung und deren Daten zugreifen können“, schreiben die Verfasser. Drohten hohe Risiken für die Rechte und Freiheiten der Teilnehmer, müsse „zumindest eine Zwei-Faktor-Authentisierung nach dem Stand der Technik erfolgen“.