Hinweise zum Datenschutz beim Einsatz von Videokonferenzdiensten

Bitte arbeiten Sie grundsätzlich mit den vom ITMZ angebotenen lokalen Lösungen (Stand 21.10.20: „BigBlueButton“ und „jitsi“). Auf diese Weise wird gewährleistet, dass die Universität Rostock die volle Kontrolle über den Umfang und die Empfänger der verarbeiteten personenbezogenen Daten hat. Zudem kann sichergestellt werden, dass nicht mehr Daten erhoben werden, als zur Zweckerreichung benötigt und die verarbeiteten Daten nicht an Dritte weitergegeben werden. Auch ist seitens des ITMZ ein kontinuierlicher und persönlicher Support für die Nutzer gegeben. Mitarbeiter sind „greifbar“ und können im Ernstfall auch tatsächlich angewiesen werden, bestimmte Einstellungen vorzunehmen, Daten zu löschen usw. Und zu guter Letzt: Die lokalen Systeme basieren auf Open Source-Software, so dass Fehler im Code von der Community und ggf. auch dem ITMZ selbst erkannt und ggf. geschlossen werden können. All dies trifft auf externe Dienste/Software nicht (bspw. „Zoom“) oder nur partiell (z.B. „DFNConf“) zu.

Der Einsatz externer (Cloud-)Dienste/Software sollte deshalb erst erwogen werden, wenn die genannten On-Premise-Varianten aus technischen und/oder inhaltlichen Gründen nachweislich nicht „funktionieren“. Dies ist zu dokumentieren.  

Im Hinblick auf die (theoretisch) zur Verfügung stehenden externen Lösungen empfiehlt die Stabsstelle Datenschutz und Informationssicherheit diejenigen Dienste einzusetzen, die zentral über das bzw. vom ITMZ bereitgestellt werden und deren IT-Infrastruktur sich vollständig im deutschen bzw. europäischen Raum befindet. Diese beiden Voraussetzungen erfüllt (allein) „DFNConf“. Wenn Sie sich für diesen Dienst entscheiden, steht Ihnen ein umfangreicher technischer Support seitens des ITMZ zur Verfügung. Zudem werden die europäischen Datenschutz-Standards eingehalten. Letzteres ist bei (webbasierten) (Cloud-) Diensten, die ihre IT-Infrastruktur im Wesentlichen außerhalb der EU bzw. des EWR betreiben, häufig nicht oder jedenfalls nicht im erforderlichen Umfang der Fall, weshalb die Stabsstelle Datenschutz und Informationssicherheit ausdrücklich von deren Einsatz abrät. Dies betrifft auch und vor allem das us-amerikanische Produkt „Zoom“. Dieser Dienst ist nicht datenschutzkonform einsetzbar.

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit hat unlängst eine ganze Reihe von Videokonferenzdiensten eingehend aus technischer wie auch aus rechtlicher Sicht überprüft. Sie finden die Handreichung unter folgendem Link: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf. Diese Handreichung ergänzt die obigen Empfehlungen der Stabsstelle Datenschutz und Informationssicherheit und soll Ihnen die Auswahl eines geeigneten Videokonferenzdienstes erleichtern.

1. Achten Sie darauf, dass Sie die/den Videokonferenzsoftware/-dienst nicht automatisch beim Hochfahren des Computers starten.
2. Nutzen Sie für die Registrierung/Anmeldung an der/dem Videokonferenzsoftware/-dienst unterschiedliche Passwörter und nicht das zum Nutzerkennzeichen zugehörige Passwort.
3. Tragen Sie dafür Sorge, dass das Mikrofon beim Betreten eines VC-Raums automatisch stumm geschaltet wird.
4. Überprüfen Sie vorab Ihr eigenes Videobild, ob es Objekte enthält, die nicht gesehen werden sollen (bspw. vertrauliche Informationen an einer Pinnwand).
5. Wählen Sie Ihre Meeting-ID bzw. Meeting-URL möglichst kryptisch und keinesfalls sprechend (z.B.: Ihr Name oder Ihre Telefonnummer), damit sie nicht erraten werden kann.
6.  Vergeben Sie ein Passwort zum Betreten des Meeting-Raums.
7. Geben Sie die Zugangsdaten zu dem Meeting nur an die geplanten Teilnehmer weiter.
8. Beobachten Sie als Veranstalter des Meetings die Teilnehmer. Reagieren Sie sofort, wenn ein nicht eingeladener Teilnehmer erscheint.
9. Halten Sie die/den Videokonferenzsoftware/-dienst (oder den Browser, mit dem Sie an der Videokonferenz teilnehmen) aktuell.
10. Für die Aufzeichnung einer Videokonferenz ist die Zustimmung aller Teilnehmer erforderlich.
11. Wenn Sie parallel zur Videokonferenz in der Software einen Chat-Kanal benutzen, sollten Sie sich nur so äußern, dass eine versehentliche Veröffentlichung des Chats keinen Schaden für Sie oder die Universität Rostock anrichtet.
12. Klären Sie vor der Einladung zu einem Meeting, ob die zu erwartenden Inhalte der Besprechung für das Medium geeignet sind. Insbesondere wenn Beratungen zu sensiblen Themen via Videokonferenz durchgeführt werden sollen (bspw. Gespräche im Personalbereich wie etwa Vorstellungs- und Mitarbeitergespräche sowie Gespräche in Berufungsverfahren), müssen Sie vorab klären, ob und unter welchen Voraussetzungen diese zulässig sind.