Datenschutz
Videokonferenzsysteme unter die Lupe genommen
Foto (Header): © Zerbor – stock.adobe.com
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat ihre „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten“ aktualisiert und erweitert (Stand 18.02.2021). Das Dokument enthält die Ergebnisse einer Kurzprüfung von Videokonferenztools, wie u. a. Wire Pro, Zoom, Microsoft Teams oder meetzi. Im Juli 2020 veröffentlichte Smoltczyk die Hinweise in der ersten Fassung.
Maja Smoltczyk: „Die Prüfung, ob ein Dienst datenschutzkonform nutzbar ist, ist aufwendig und bringt viele Verantwortliche an ihre Grenzen. Mit unserer Kurzprüfung wollen wir eine Hilfestellung bieten. Ich begrüße es, dass erste Anbieter bereits von sich aus auf uns zugekommen sind, damit wir ihren Dienst in unsere Prüfungen einbeziehen. Wenn unsere Prüfergebnisse dazu führen, dass bisher mangelhafte Dienste ihr Angebot nachbessern, wäre das natürlich besonders erfreulich. Die ersten Erfolge in dieser Hinsicht konnten wir bereits verzeichnen.“
Aufbau der Prüfung
Die durch die Aufsichtsbehörde durchgeführte Kurzprüfung, die den Schwerpunkt auf die Bewertung der Rechtskonformität der von den Anbietern angebotenen Auftragsverarbeitungsverträge gelegt hat, gliedert sich in zwei Teile:
- Gestaltung und Umsetzung des Auftragsverarbeitungsverhältnisses (Teil 1: rechtliche Prüfung)
- Technische und organisatorische Maßnahmen (Teil 2: technische Prüfung der Dienste, die sich nicht bereits in der rechtlichen Prüfung als unzulässig erwiesen)
In Teil 2 der Kurzprüfung wird von einigen grundsätzlichen Annahmen ausgegangen und es werden vier typische Anwendungsfälle definiert, die sich durch den Schutzbedarf der Verarbeitung unterscheiden:
-
- Anwendungsfall 1: Geringfügige Risiken
- Anwendungsfall 2: Normal schutzbedürftige Inhalte, Gastteilnahme mit geringfügigen Risiken
- Anwendungsfall 3: Normale Risiken
- Anwendungsfall 4: Hohe Risiken
In einem dritten Teil des Dokuments sind weitere Anmerkungen zu den einzelnen Anbietern enthalten. Es wird ausdrücklich darauf hingewiesen, dass keine umfassende Prüfung der Angebote erfolgte, insbesondere keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärungen.
Ergebnis
- Nun werden 11 der 23 Anbieter im rechtlichen Teil der Prüfung (Teil 1) durch ein Ampel-System mit „Grün“ bewertet. Diese elf wurden der anschließenden technischen Prüfung unterzogen.
- Auf der technischen Ebene sind die Hinweise jetzt durch die Anwendungsfälle deutlich ausdifferenziert und für die Anwendungsfälle 1–3 im Ampel-System bewertet.
Tipps für die Prüfung von Videokonferenzdiensten für Verantwortliche
Neben der Kurzprüfung enthält das Dokument auf der letzten Seite Empfehlungen für Verantwortliche, worauf sie bei der Prüfung von Videokonferenzsystemen besonders achten sollten.
(Quelle: https://www.datenschutz-berlin.de)