Datenschutz mit Zoom und anderen Anbietern?

In Corona-Zeiten wird ein grosser Teil der Besprechungen und Sitzungen im Geschäftsalltag über Audio- und Videokonferenzen abgehalten. Die Anbieter solcher Tools haben momentan Hochkonjunktur. Nicht immer werden dabei die Voraussetzungen des Datenschutzes erfüllt.
Finde im nachfolgenden Beitrag heraus, welches die wichtigsten Gefahren bezüglich Datenschutz sind und was Du beachten solltest.

Ausgangslage und Sicherheitsrisiken

Bei der Abhaltung von Audio- und Videokonferenzen im Geschäftsalltag, kommt es häufig zum Austausch von geschützten personenbezogenen Daten oder von Geschäftsgeheimnissen. Im Falle von Zoom hat sich gezeigt, dass nicht immer gewährleistet ist, dass diese Daten vor unberechtigtem Zugriff Dritter geschützt sind. Es wird unter anderem von Meetings berichtet, die gehackt worden sind. Dementsprechend wurde die Verwendung von Zoom insbesondere in den USA von Unternehmen und staatlichen Akteuren zum Teil gestoppt. Zoom ist momentan gemäss eigenen Angaben daran, die Sicherheitsprobleme zu lösen.
 
Nicht immer klar ist zudem der Umgang mit den Nutzerdaten durch die Anbieter der Technologien. Zudem ist bei vielen der Anbieter nicht klar, in welchen Ländern die Daten gehostet werden und ob diesbezüglich der Datenschutz eingehalten wird.
 
Schliesslich besteht auch die Gefahr, dass durch eine falsche Anwendung der Tools Daten ungewollt und unerlaubt weitergeben werden. So beispielsweise, wenn beim Teilen des Bildschirms aus Versehen sensible Daten offengelegt werden oder wenn durch die Kamera Dokumente erfasst werden, die nicht geteilt werden sollten.
 
 

Massnahmen zur sicheren Verwendung von Audio und Videokonferenze

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) hat kürzlich ein MERKBLATT mit den empfohlenen Massnahmen für eine sichere Nutzung von Audio- und Videokonferenzlösungen herausgegeben.
 
Zusammengefasst sind danach folgende Massnahmen zu ergreifen:
 

  • Massnahmen gegen den Zugriff unberechtigter Dritter:
    Hierzu sollten Meeting-IDS nicht öffentlich geteilt, einmalige Meeting-IDS verwendet werden und Meetings sind zu sperren. Zudem sollten möglichst immer Meeting-Passwörter verwendet werden und es ist immer ein Auge auf die Meeting-Teilnehmer zu halten.

 

  • Verhinderung der Weitergabe von Daten an unberechtigte Dritte:
    Bei der Screen-Sharing-Funktion sollen nur die für das Gespräch relevanten Informationen geteilt werden und es ist sicherzustellen, dass keine weiteren Daten geteilt werden. Verhindert werden sollte so beispielsweise, dass in der Bildschirmpräsentation ein Pop-up des E-Mail-Programmes erscheint und so Dritte sehen, was für Emails reinkommen. Weiter sollte die Kamera bei Nichtgebrauch abgedeckt werden. Zudem sind die Datenschutzrichtlinien des Anbieters zu prüfen, um feststellen zu können, ob allenfalls gewisse Daten an Dritte weitergegeben werden.

 

  • Prüfung und Evaluierung des Anbieters:
    Hierzu sollte die Reputation des Anbieters in Erfahrung gebracht werden, die Datenschutzrichtlinien überprüft werden und der Umgang des Anbieters mit Metadaten abgeklärt werden. Wichtig ist zudem die Sicherheit der Daten, also ob diese verschlüsselt werden, ob die physische Sicherheit eingehalten wird und welche Sicherheits-Steuerelemente verwendet werden. Gegebenenfalls sind die Datenschutzeinstellungen anzupassen.

 

  • Festlegen interner Regeln für die Nutzung von Audio- und Videokonferenzlösungen:
    Es empfiehlt sich ein Nutzungsreglement innerhalb der Firma zu erstellen und darin insbesondere auch die private Nutzung zu regeln. Erfolgt eine Aufzeichnung der Konferenzen, hat der Arbeitgeber die Arbeitnehmer zwingend darüber zu informieren.

 

Fazit

Tools für die Abhaltung von Audio- und Videokonferenzen haben sich in Corona-Zeiten als geeignete Lösung für die Durchführung von Meetings etabliert. Mit der Einhaltung der vom EDÖB festgelegten Massnahmen können diese in den meisten Fällen datenschutzkonform eingesetzt werden.

Mehr Informationen zum Thema Datenschutz.

IT- und Technologierecht

Rechtsstreitigkeiten in der IT: Tipps für Unternehmen zur Risikominimierung

Arbeitsrecht

Die verschiedenen Arbeitszeitmodelle im Überblick

IT- und Technologierecht

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Datenschutz

Google Consent – Kommt die Pflicht zum Cookie-Banner?

Arbeitsrecht

Homeoffice IV

optional
optional
optional