Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten
Obwohl der nachfolgende Bericht auf Berliner Verantwortliche abzielt, ist er auch für andere Regionen durchaus hilfreich in Bezug auf eine Entscheidungsfindung zum Einsatz von Audio- und Videokonferenzplattformen (Anm.d.Redaktion)
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit als Datenschutz-Aufsichtsbehörde wird vor dem Hintergrund der Corona-Pandemie verstärkt hinsichtlich des daten-schutzkonformen Einsatzes von Videokonferenzlösungen kontaktiert. Um unserer Aufsicht unterliegenden Verantwortlichen die Prüfung der Rechtmäßigkeit der Nutzung verschiedener Lösungen zu erleichtern, veröffentlichen wir folgend die Ergebnisse der durch uns durchgeführten Kurzprüfungen der Videokonferenz-Dienste verschiedener Anbieter, wobei wir den Schwerpunkt auf die Bewertung der Rechtskonformität der von den Anbietern angebotenen Auftragsverarbeitungsverträge gelegt haben. Sofern die Anbieter nach einer Kurzprüfung rechtskonforme Auftragsverarbeitungsverträge bereithalten sowie uns Informationen bzw. einen Test-Zugang zur Verfügung gestellt haben, erfolgte zudem eine kursorische Untersuchung einiger technischer Aspekte der Dienste. Die Ergebnisse dieser Untersuchungen haben wir in den Anmerkungen zu den einzelnen Anbietern zusammengefasst, um es den Verantwortlichen zu erleichtern, einen für ihre Zwecke geeigneten Dienst auszuwählen und, soweit erforderlich, ergänzende technische und organisatorische Maßnahmen zu ergreifen. Zu diesen Maßnahmen kann es insbesondere gehören, sich der Identität der Teilnehmenden der Konferenz und der Sicherheit der Verbindung zu versichern, wenn der gewählte Dienst hierfür nur Mechanismen bereithält, die in Anbetracht der Sensitivität der zu besprechenden Daten nicht angemessen sind. Leider sind nach derzeitigem Entwicklungsstand alle betrachteten Dienste mit Ausnahme von Wire in der Standardkonfiguration für den Austausch von Informationen mit hohem Schutzbedarf nicht geeignet. Weitere nützliche Hinweise zur datenschutzgerechten Konfiguration und Nutzung von Videokonferenzdiensten, die wir hier nicht wiederholen, sind den vielfältigen Veröffentlichungen zu entnehmen, die in jüngster Zeit zu dem Thema erschienen sind.
Die vorliegende Bewertung erstreckt sich ausschließlich auf Dienste, die Videokonferenzen als Software-as-a-Service (SaaS) anbieten. Aus technischer Sicht ist jedoch diesen Angeboten mit vorkonfigurierten Einstellungen, die in vielen Fällen auch nicht verändert werden können, der Betrieb eines Dienstes durch die Verantwortlichen selbst (ggf. auf einer durch einen Auftragsverarbeiter bereitgestellten Plattform) vorzuziehen, da sie dann die Umstände der Verarbeitung vollumfänglich selbst bestimmen können. In Abhängigkeit von Umständen und Risikolage kann dies ggf. auch die einzig verfügbare rechtskonforme Lösung sein. Bei Soft-ware-as-a-Service (SaaS) sollten Lösungen bevorzugt werden, bei denen die Verantwortli-chen möglichst viele Rechte haben, um die verwendete Lösung an ihre Anforderungen anzupassen.
Auch wenn unsere rechtliche Analyse keine Mängel aufgedeckt hat, bedeutet dies nicht, dass diese nicht vorliegen und entbindet Verantwortliche nicht von ihren gesetzlichen Pflichten. Es wird ausdrücklich darauf hingewiesen, dass keine umfassende Prüfung der Angebote erfolgte, insbesondere keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärungen. Letztere betreffen lediglich die eigenverantwortlichen Datenverarbeitungen der Videokonferenzsystem-Anbieter. Nicht von den Datenschutzerklärungen umfasst sind diejenigen Datenverarbeitungen, die verantwortliche Stellen mit Sitz in Berlin durchführen, wenn sie die Dienste in Anspruch nehmen. Wir empfehlen insbesondere ergänzend eine Prüfung der Datenschutzerklärungen und technischer Aspekte sowie der Frage, ob die Anbieter sich möglicherweise entgegen dem Auftragsverarbeitungsvertrag die Verarbeitung der Nutzungsdaten zu eigenen Zwecken oder Zwecken Dritter vorbehalten oder eine solche vornehmen. Soweit rechtliche Mängel in den geprüften Dokumenten vorhanden sind, dürfen die Dienste nur genutzt werden, wenn abweichende Vereinbarungen mit den Anbietern getroffen wurden.
Das vollständige Dokument kann bei Bedarf über den nachfolgenden Download nachgelesen werden:
Dateiname: 2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste
Copyright
© Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit