Hinweise zum Datenschutz beim Einsatz von Videokonferenzdiensten

Kontakt

Dr. Katja Fröhlich

Datenschutzbeauftragte der UR

datenschutzbeauftragteuni-rostockde

 

Martin Nehls

IT-Sicherheitsbeauftragter der UR

it-sicherheituni-rostockde

Bitte beachten Sie die folgenden Grundsätze und nehmen Sie – soweit möglich – die entsprechenden Voreinstellungen in der Videokonferenzsoftware vor.

Stand: 04.05.2020

Auswahl des Videokonferenzdienstes

Bitte arbeiten Sie grundsätzlich mit den vom ITMZ angebotenen lokalen Lösungen (Stand 30.04.20: „BigBlueButton“ und „jitsi“). Auf diese Weise wird gewährleistet, dass die Universität Rostock die volle Kontrolle über den Umfang und die Empfänger der verarbeiteten personenbezogenen Daten hat. Zudem kann sichergestellt werden, dass nicht mehr Daten erhoben werden, als zur Zweckerreichung benötigt und die verarbeiteten Daten nicht an Dritte weitergegeben werden. Auch ist seitens des ITMZ ein kontinuierlicher und persönlicher Support für die Nutzer gegeben. Mitarbeiter sind „greifbar“ und können im Ernstfall auch tatsächlich angewiesen werden, bestimmte Einstellungen vorzunehmen, Daten zu löschen usw. Und zu guter Letzt: Die lokalen Systeme basieren auf Open Source-Software, so dass Fehler im Code von der Community und ggf. auch dem ITMZ selbst erkannt und ggf. geschlossen werden können. All dies trifft auf externe Dienste/Software nicht (bspw. „Zoom“) oder nur partiell (z.B. „DFNConf“) zu.

Der Einsatz externer (Cloud-)Dienste/Software sollte deshalb erst erwogen werden, wenn die genannten On-Premise-Varianten aus technischen und/oder inhaltlichen Gründen nachweislich nicht „funktionieren“. Dies ist zu dokumentieren.

Im Hinblick auf die (theoretisch) zur Verfügung stehenden externen Lösungen empfiehlt die Stabsstelle Datenschutz und Informationssicherheit diejenigen Dienste einzusetzen, die zentral über das bzw. vom ITMZ bereitgestellt werden und deren IT-Infrastruktur sich vollständig im deutschen bzw. europäischen Raum befindet. Diese beiden Voraussetzungen erfüllt (allein) „DFNConf“. Wenn Sie sich für diesen Dienst entscheiden, steht Ihnen ein umfangreicher technischer Support seitens des ITMZ zur Verfügung. Zudem werden die europäischen Datenschutz-Standards eingehalten. Letzteres ist bei (webbasierten) (Cloud-) Diensten, die ihre IT-Infrastruktur im Wesentlichen außerhalb der EU betreiben, häufig nicht oder jedenfalls nicht im erforderlichen Umfang der Fall, weshalb die Stabsstelle Datenschutz und Informationssicherheit ausdrücklich von deren Einsatz abrät. Dies betrifft auch und vor allem das us-amerikanische Produkt „Zoom“, das nach wie vor IT-Sicherheitsmängel aufweist und darüber hinaus grundlegende Aspekte des Datenschutzrechts wie die Grundsätze der Erforderlichkeit und der Minimierung der Verarbeitung personenbezogener Daten (Art 5 Abs. 1 lit. c DSGVO) nicht hinreichend berücksichtigt. Beispielhaft hingewiesen sei auf die Vielzahl an Drittempfängern - fast alle außerhalb der EU -, an die „Zoom“ personenbezogene Daten weitergibt.

Einsatz des Videokonferenzdienstes
  1. Achten Sie darauf, dass Sie die/den Videokonferenzsoftware/-dienst nicht automatisch beim Hochfahren des Computers starten.
  2. Nutzen Sie für die Registrierung/Anmeldung an der/dem Videokonferenzsoftware/-dienst unterschiedliche Passwörter und nicht das zum Nutzerkennzeichen zugehörige Passwort.
  3. Tragen Sie dafür Sorge, dass das Mikrofon beim Betreten eines VC-Raums automatisch stumm geschaltet wird.
  4. Überprüfen Sie vorab Ihr eigenes Videobild, ob es Objekte enthält, die nicht gesehen werden sollen (bspw. vertrauliche Informationen an einer Pinnwand).
  5. Wählen Sie Ihre Meeting-ID bzw. Meeting-URL möglichst kryptisch und keinesfalls sprechend (z.B.: Ihr Name oder Ihre Telefonnummer), damit sie nicht erraten werden kann.
  6.  Vergeben Sie ein Passwort zum Betreten des Meeting-Raums.
  7. Geben Sie die Zugangsdaten zu dem Meeting nur an die geplanten Teilnehmer weiter.
  8. Beobachten Sie als Veranstalter des Meetings die Teilnehmer. Reagieren Sie sofort, wenn ein nicht eingeladener Teilnehmer erscheint.
  9. Halten Sie die/den Videokonferenzsoftware/-dienst (oder den Browser, mit dem Sie an der Videokonferenz teilnehmen) aktuell.
  10. Für die Aufzeichnung einer Videokonferenz ist die Zustimmung aller Teilnehmer erforderlich.
  11. Wenn Sie parallel zur Videokonferenz in der Software einen Chat-Kanal benutzen, sollten Sie sich nur so äußern, dass eine versehentliche Veröffentlichung des Chats keinen Schaden für Sie oder die Universität Rostock anrichtet.
  12. Klären Sie vor der Einladung zu einem Meeting, ob die zu erwartenden Inhalte der Besprechung für das Medium geeignet sind. Insbesondere wenn Beratungen zu sensiblen Themen via Videokonferenz durchgeführt werden sollen (bspw. Gespräche im Personalbereich wie etwa Vorstellungs- und Mitarbeitergespräche sowie Gespräche in Berufungsverfahren), müssen Sie vorab klären, ob und unter welchen Voraussetzungen diese zulässig sind.