Videokonferenz praktisch datenschutzkonform – nur wie?

Eins gleich vorweg: Die Antwort auf die drängendste Frage, nämlich »Darf ich Zoom verwenden?«, ist ein deutliches »Tja, hmm …«. Zum Thema Videokonferenzen haben die kirchlichen Datenschutzaufsichten viel veröffentlicht – und vieles ist auf der strengeren Seite möglicher Spielräume, bis hin zu ganz klaren Aussagen, dass US-Dienste kategorisch unzulässig sind. Aus diesem Dilemma kommt man nicht heraus.

Eine Videokonferenz mit vielen Teilnehmenden auf einem Laptopbildschirm
Videokonferenz. (Photo by Chris Montgomery on Unsplash)

Auch dieser Artikel kann kein Patentrezept liefern. Das kann momentan niemand – oder wie es der bayerische Diözesandatenschutzbeauftragte sagt: »Wenn Sie nach dem Lesen des Aufsatzes nicht wissen, welches Programm Sie nun wählen sollen, sind Sie damit nicht allein auf der Welt.« Was aber geht: Das Datenschutzniveau pragmatisch zu heben, sich statt völlig immerhin größtmöglich rechtskonform aufzustellen – selbst wenn die Wahl auf einen US-Anbieter fällt – und das eigene Verhalten auf respektvollen Umgang mit den Daten anderer zu optimieren.

Technische und organisatorische Maßnahmen: Die richtigen Einstellungen

Schon mit ein wenig Drehen an den Standardeinstellungen lässt sich viel verbessern – und zwar ohne komplizierte juristische Erwägungen. Daher stehen diese Punkte hier auch am Anfang: Das kann wirklich jede*r machen, hier gibt es keine Ausreden, dass Datenschutz kompliziert wäre.

Einstellungen auf Veranstalterseite

Es lohnt sich, die Einstellungsdialoge durchzugehen, und alles Unnötige zu deaktivieren und da wo es geht, die datensparsamere Einstellung anzuschalten. Typische Einstellmöglichkeiten:

  • Aufzeichnungen deaktivieren. Wenn es eine Aufzeichnung geben soll, geht das nur mit Einwilligung aller Teilnehmenden. In diesem Fall sollte die Aufzeichnung lokal und nicht auf den Servern des Anbieters erfolgen. (Die beliebten Gruppenfotos sollten auch nur nach Ankündigung stattfinden mit genügend Zeit, dass Menschen ihre Kameras ausschalten können, und mit klarer Ansage, wofür die Fotos verwendet werden.)
  • Verhaltensüberwachung ausschalten. Einige Systeme ermöglichen eine Auswertung, ob das Anwendungsfenster aktiv ist oder sogar noch kleinteiligere Überwachung. Weg damit.
  • Zugangsdaten mit Passwort und nicht öffentlich ins Netz: Nur angemeldete Teilnehmende sollten die Zugangsdaten erhalten. Auch bei öffentlichen Veranstaltungen ist es besser, die Daten nicht offen googlebar zur Verfügung zu stellen, um »Zoom-Bombing« zu verhindern.
  • Zutritt regeln: Um unerwünschte Teilnehmende gar nicht erst zuzulassen, sollte jeder Zutritt über eine Warteraum-Funktion überprüft werden. Das ist besonders wichtig bei nicht-öffentlichen Veranstaltungen, hilft aber auch bei öffentlichen als zusätzlicher Troll-Schutz. Gegebenenfalls kann auch ein Deaktivieren erneuter Beitritte hilfreich sein, wenn mit Störer*innen gerechnet wird. (Eine Klarnamenpflicht für Teilnehmende erhebt aber wieder neue personenbezogene Daten – bei der digitalen Mitgliederversammlung eher kein Problem, beim offenen Angebot schon schwieriger.)
  • Default: Kamera und Mikro aus. Teilnehmende sollten sich aktiv zuschalten und selbst entscheiden können, ob sie mit Bild und Ton dabei sein wollen.
  • Nichts (lange) speichern, was nicht erforderlich ist: Protokolldateien und Profilbildung deaktivieren oder aufs Mindesten reduzieren, Speicherfristen reduzieren.
  • Teilnahme ohne Installation und Account nur per Browser oder Telefon ermöglichen

Hinweise an Teilnehmende

  • Auf Hintergründe und Weichzeichner (»background blur«) hinweisen und zeigen, wie das eingestellt wird: So wird der Einblick in private Räume minimiert, und Flitzer in der Wohnung sieht man auch nicht gleich.
  • Überprüfen, was im Sichtfeld der Kamera ist. Bei vertraulichen Sitzungen: Tür zu, Kopfhörer auf;
  • Auf datensparsamere Zugangsmöglichkeiten hinweisen (im Browser, ggf. im Inkognito-Modus; per Telefon; Login ohne Facebook empfehlen)

Ausführliche und sehr gute Hinweise zu derartigen Einstellungen speziell bei Zoom gibt es beim Privacytutor.

Welche Verschlüsselung?

Am besten wäre immer Ende-zu-Ende-Verschlüsselung (E2EE) – das geht aber nicht immer, gerade wenn viele Menschen in der Konferenz sind oder wenn eine Einwahl per Telefon möglich sein soll. Oft ist E2EE aber gar nicht nötig – hier sollte die Schutzbedürftigkeit der Inhalte und der Teilnehmenden berücksichtigt werden: Eine öffentliche Veranstaltung geht auch ohne, bei einer vertraulichen Sitzung (zum Beispiel einer Mitarbeitervertretung) braucht es sie sicher, und bei Seelsorge und medizinischen Anwendungen braucht es sogar ein noch höheres Schutzniveau (der evangelische Datenschutzbeauftragte für Sachsen und Anhalt sieht hier eine Zertifizierung für medizinische Zwecke als nötig an; nach der katholischen Durchführungsverordnung zum KDG sind die Kriterien der höchste Schutzklasse III für z. B. Gesundheitsdaten zu erfüllen, und noch höhere Standards für Seelsorge zu wählen).

Eine kritische Diskussion zur Einschätzung des »Standes der Technik« bei Videokonferenzen ist in diesem Aufsatz von Rainer W. Gerling, Stefan Hessel et. al. zu finden, der unter anderem technische und rechtliche Argumente liefert, warum es nicht immer E2EE braucht.

Rechtliche Rahmenbedingungen

Bewusst steht dieser Abschnitt weiter hinten – vieles davon ist unbefriedigend, insbesondere, wenn die USA ins Spiel kommt.

Datenschutzinformationen

Die Teilnehmenden müssen über die Datenverarbeitung und ihre Rechte informiert werden. Für verschiedene im Erzbistum Freiburg verwendete Dienste (GoToMeeting, Jitsi, Webex, Zoom) gibt es dafür Muster (beim Datenschutz-Guru gibt es auch ein Muster auf DSGVO-Basis). Auf der Grundlage dieser Texte können auch für andere Tools Informationen erstellt werden. Diese Datenschutzinformationen sollten entweder verlinkt oder mit der Einladung zur Videokonferenz verschickt werden. (Die Muster müssen jeweils noch auf die verantwortliche Stelle hin angepasst werden und können nicht direkt verlinkt oder übernommen werden.)

Serverstandort

Datenschutzrechtlich ideal wäre eine auf eigenen, selbst kontrollierten Servern installierte Lösung (»on premise«); das geht nicht immer, auch wenn es mit JitsiMeet und BigBlueButton zwei bekannte Open-Source-Lösungen gibt – dafür braucht man aber Kompetenz und Ressourcen. Server (nicht nur) für professionelle Zwecke selbst zu betreiben und ins offene Netz zu stellen, ist keine gute Idee, wenn man nicht genau weiß, was man tut – es besteht immer die Gefahr, dass man mehr Sicherheitslücken öffnet als Probleme durch Dienstleister kompensiert.

Also nicht selber hosten. Einfach ist es bei Dienstleistern in Ländern, in denen die DSGVO gilt oder für die es einen Angemessenheitsbeschluss der EU-Kommission gibt. Das relevanteste Land, das nicht in diese Kategorie fällt, ist die USA – und dort ist es besonders schwierig: Die bisher verwendeten rechtlichen Lösungen greifen sicher (»privacy shield«) oder höchstwahrscheinlich (»Standardvertragsklauseln«) nicht mehr; die Ausnahmeregeln nach § 49 DSGVO/§ 41 KDG/§ 10 Abs. 2 DSG-EKD machen wohl in den meisten Fällen eine – nicht praktikable – Einwilligung aller Teilnehmenden nötig.

Die bis zu einer Lösung der USA-Problematik in der Praxis angewandte Strategie ist meist, so zu tun, als wären Standardvertragsklauseln unproblematisch – auf die beziehen sich die meisten Anwender mittlerweile; auch die Muster-Datenschutzinformationen des Erzbistums Freiburg verfolgen diese Strategie: Als Rechtsgrundlage für die USA-Übertragung Standardvertragsklauseln nennen, fertig. Pragmatisch, nicht notwendig rechtssicher, momentan aber ohne große Aussicht auf Alternativen.

Auftragsverarbeitung

In der Regel muss ein Vertrag über Auftragsverarbeitung abgeschlossen werden. Viele Anbieter machen das standardmäßig. Auch hier gibt es wieder unterschiedliche Hürden im kirchlichen Datenschutzrecht: Während die katholischen Datenschutzaufsichten einen Hinweis auf kirchliches Datenschutzrecht als ausreichend erachten, verlangt das DSG-EKD explizit eine Unterwerfung unter die kirchliche Datenschutzaufsicht (§ 30 Abs. 5 DSG-EKD) – von der Stange gibt es diese Erklärung nicht. Wo es Spielraum bei der Gestaltung des Vertrags zur Auftragsverarbeitung gibt, können allgemeine Hinweise (katholisch oder evangelisch) oder sogar spezielle Muster (wie hier aus Freiburg) eingesetzt werden.

Datenschutzfolgeabschätzung

Sowohl die katholischen wie die evangelischen Datenschutzaufsichten vertreten die Position, dass eine Datenschutzfolgenabschätzung (DSFA) notwendig ist. In der von der katholischen Datenschutzkonferenz aufgestellten Liste an Verarbeitungsvorgängen, die immer eine DSFA benötigen, tauchen Videokonferenzsysteme aber nicht auf – die dort aufgeführten Fälle sind alle weit dramatischer als eine Videokonferenz.

Eine DSFA ist immer notwendig, wenn »wahrscheinlich ein hohes Risiko« in der Verarbeitung liegt. In dieser Pauschalität trifft das (entgegen der Ansicht der Aufsichten) wohl nicht immer zu; eine Überprüfung muss immer am konkreten Fall erfolgen (Prüfkriterien nennt der europäische Datenschutzausschuss) und wird bei einer öffentlichen Kulturveranstaltung anders als bei einem Seelsorgsgespräch ausfallen. Die französische Aufsichtsbehörde CNIL führt Videokonferenzen sogar in ihrer Liste der Verarbeitungen auf, die nie eine DSFA benötigen.

Wenn es eine braucht: DSFA sind aufwendig und kompliziert; Unterstützung dafür gibt es bei den Aufsichten (katholisch, evangelisch).

Linkliste

Die Informationen in diesem Artikel basieren zu großen Teilen auf Veröffentlichungen der kirchlichen und staatlichen Aufsichten und von Datenschutzbeauftragten und -expert*innen. Direkt zu diesen und weiterführenden Quellen geht es hier.

Auswahlhilfen

Veröffentlichungen aus dem kirchlichen Datenschutz

Fazit – oder: Und darf ich jetzt Zoom verwenden?

Zoom (und andere US-Dienste) bleiben rechtlich problematisch. Es gibt aber kirchliche Einrichtungen auf oberer Ebene, die die Verwendung immer noch für möglich halten – Freiburg zeigt, wie es sich (eventuell) rechtlich hindrehen lässt, und mindestens die Datenschutzhinweise sollte man übernehmen – und für Konferenzen mit höherem Schutzbedarf (die dann wohl auch weniger Teilnehmende haben) einen zweiten, rechtlich einwandfreien Dienst in der Hinterhand haben.

Egal, welcher Dienst es wird: Man kann einiges tun, um das praktische Datenschutzniveau zu erhöhen. Und das kriegt jede*r hin.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert