Ist Zoom DSGVO konform? Videokonferenzen und Datenschutz

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter

Die Notwendigkeit der Telearbeit hat die Verwendung von Videokonferenz-Plattformen dramatisch erhöht. Es ist eine bequeme und schnelle Möglichkeit Meetings abzuhalten, ohne reisen zu müssen. Aber auch hier, wie jedes Mal, wenn wir Informationen auf geschäftlicher Ebene austauschen, muss sichergestellt werden, dass ein sicheres Medium verwendet und dass die DSGVO eingehalten wird. Einige der beliebtesten virtuellen Meeting-Plattformen wie Zoom wurden kürzlich aufgrund von Sicherheitsproblemen bekannt.

Datenschutz-Schwachstellen von Videokonferenz-Plattformen

Bei einer Videokonferenz ist es relativ einfach, Hackerangriffe zu erleiden. Das bedeutet, eine Person außerhalb Ihres Unternehmens kann Sie ausspionieren und Zugriff auf Ihre Besprechungen erhalten. Bitte beachten Sie, dass Audio, Video und alle während des Meetings freigegebenen Dokumente dann möglicherweise zugänglich sind.

Einige der am häufigsten verwendeten Videokonferenz-Softwares weisen bereits bestimmte Risiken auf. Einer der in den letzten Wochen umstrittensten Fälle ist das Videokonferenz-Tool Zoom. Es wurde festgestellt, dass Zoom erlaubte, eine Liste verwendeter IDs zu erstellen, diese zu überprüfen und auf Besprechungen ohne Kennwort zuzugreifen. Jeder mit einem Link konnte so ohne Erlaubnis an dem Anruf teilnehmen. Der einfache Zutritt in Videoanrufe ohne Erlaubnis sorgte dafür, dass Anrufe durch Außenstehende infiltriert wurden, um Besprechungen zu sabotieren.

Plattformen wie Cisco Webex oder Signal haben ebenfalls unter ähnlichen Datenschutz Problemen gelitten. In der Software Signal kann eine Person auf den Videoanruf einer anderen Person zugreifen, ohne dass die Person den Anruf zunächst annehmen muss. Im Fall von Cisco Webex stellt das Unternehmen sicher, dass das Sicherheitsproblem auf die freie Entscheidung des Benutzers zurückzuführen ist, kein Kennwort für das Meeting einzufordern. Es wurde nicht genau klargestellt, welche Daten gesammelt wurden, obwohl nach der Kontroverse berichtet wurde, dass einige dieser Aspekte neu konfiguriert wurden. Zoom hat seinerseits nicht nur Sicherheitsverbesserungen vorgenommen, sondern allen Benutzern auch deutlich gemacht, dass Videokonferenzen öffentlich zugänglich sein können, wenn sie den Link eines Meetings in einem Forum oder einem sozialen Netzwerk teilen.

Entspricht den Zoom nun der DSGVO?

Um diese Frage zu beantworten, beleuchten wir zunächst noch einige weitere Datenschutzverletzungen die publik geworden sind: Zoombombing, ein Begriff den Sie im Zusammenhang mit der Videokonferenz-Software Zoom vielleicht in der letzten Zeit schon einmal gehört haben: Doch was bedeutet das? Private Zoom Meetings wurden durch externe Parteien mit böswilliger Absicht infiltriert. Ohne Wartezimmer-Funktion oder Passwort war der Zugriff auf private Besprechungen relativ einfach und hat dazu geführt, dass Pornografie und antisemitisches Material in Online-Klassen geteilt wurde sowie Bilder von Alkoholkonsum bei Online-Meetings von Anonymen Alkoholiker Gruppen übertragen wurden.

Die Unfähigkeit, die private Kommunikation von Benutzern zu schützen, stellt ein offensichtliches Datenschutzrisiko dar. Externe Parteien können auf vertrauliche proprietäre Informationen zugreifen und diesen stehlen.

Auf Grund der Datenschutzdelikte, die dieses Jahr in der Zoom Software aufgetreten sind, können wir das Videokonferenz Tool nicht guten Gewissens empfehlen.

Sicherheitsexperten haben auch Bedenken hinsichtlich eines “zwielichtigen” vorinstallierten Codes geäußert, der es Zoom ermöglichte, geheime Webserver automatisch auf Macs zu installieren, sobald ein Benutzer auf die Download-Schaltfläche klickt, ohne die üblichen Sicherheitsprotokolle zu durchlaufen. Diese Vorgehensweise, bei der auch eine Kennwortabfrage angezeigt wird, die sich scheinbar als Apple-Sicherheitsabfrage tarnt, wenn der Benutzer kein Administrator ist, veranlasste einen Princeton-Professor, Zoom als “Malware” zu bezeichnen. Die Installation geheimer Software weist erneut darauf hin, dass Zoom nicht DSGVO-konform ist, denn es steht in direktem Widerspruch zu Artikel 7 der DSGVO, der eine informierte Einwilligung der Datenverarbeitung voraussetzt.

Auch wenn Zoom auf Grund der laut gewordenen internationalen Kritik und verlorener Kunden mit Sicherheitsupdates reagiert hat und einige der aufgeführten Punkte inzwischen gefixt sein mögen, fordert die Vernachlässigung des Datenschutzes in der Architektur der Software weitere Sicherheitsoptimierungen. Wir raten daher aktuell dringlich von der Verwendung von Zoom für Online-Konferenzen ab.

Alternativen und Empfehlungen für sichere Videokonferenzen

Einer der wichtigsten Aspekte, den Sie bei sicheren Videokonferenzen beachten sollten, ist die Möglichkeit der Festlegung eines Kennworts. Welche Hersteller von Videokonferenz-Softwares geben Ihnen jedoch die Möglichkeit, diese auf eine sichere Weise zu verwenden? Tixeo, zum Beispiel, erlaubt keinen Zugriff ohne ein verschlüsseltes und irreversibles Passwort und ist auch die einzige Software, die von offiziellen Organisationen unterstützt wird, nachdem es verschiedene Tests durchlaufen hat, um die Sicherheit der Informationen zu gewährleisten. Dies macht es zweifellos zu einer der sichersten Optionen für Videokonferenzen.

Doch auch andere Plattformen können Ihnen datenschutzkonforme Videokonferenzen ermöglichen: Viele Anwendungen bieten Optionen zur Verbesserung der Sicherheit in ihrer Konfiguration, z. B. das Blockieren vom Zutritt zu Besprechungen ohne vorhergehende Prüfung des Organisatoren. Daher müssen Sie alle Mitarbeiter Ihres Unternehmens lediglich informieren, damit Sie sich dieser Funktionen bewusst sind und sie nutzen können. Aus diesem Grund ist wie oftmals im Datenschutz die Schulung von Mitarbeitern einer der wichtigsten Aspekte um eine erfolgreiche Informationssicherheit zu gewährleisten.

Ein weiterer Tipp ist, keine Plattformen, die für den persönlichen oder Freizeitgebrauch gedacht sind zu verwenden und sich vorzugsweise für Plattformen zu entscheiden, die speziell für den geschäftlichen Gebrauch entwickelt wurden.

Was wären denn die besten Optionen? Obwohl Signal, wie bereits erwähnt, einige Sicherheitslücken aufgewiesen hat, ist es eine gute Alternative zu WhatsApp, da es die Möglichkeit bietet, private und sichere Gespräche zu führen, die verschlüsselt sind. Auch wenn andere Funktionen fehlen.

Microsoft Teams ist eine gute Option für Unternehmen, die Office 365 verwenden. Hangouts, die von Google entwickelte Videokonferenz-Software, ist eine gute Option für schnelle und einfache Video-Gespräche, bietet jedoch keine End-to-End-Verschlüsselung an, ein wichtiger Datensicherungsmechanismus. Dieser stellt sicher, dass Informationen nur zwischen Benutzer und Empfänger geteilt werden können.

Eine weitere beliebte Option ist die Software Skype, die kostenlos genutzt werden kann und eine End-to-End-Verschlüsselung bereitstellt.

Wer schon einmal an einem unserer beliebten Datenschutz-Webinare teilgenommen hat, weiß dass wir bei Pridatect mit GoToWebinar arbeiten. Wir nutzen die Schwester-Software GoToMeeting ebenfalls für Meetings mit unseren Kunden. Alle Multicast-Sitzungsdaten sind durch End-to-End-Verschlüsselungs- und Integritätsmechanismen geschützt, die verhindern, dass Unbefugte eine Sitzung belauschen oder Daten ohne Erkennung manipulieren.

Unter Berücksichtigung all dieser Aspekte können verschiedene Softwarelösungen für ein sicheres Online-Meeting verwendet werden, sofern sie die Möglichkeit anbieten, das Meeting ausreichend zu schützen, und alle Personen, die daran teilnehmen, wissen, welche Maßnahmen sie vornehmen müssen. um die Daten und Informationen, die sie in diesem virtuellen Gespräch übertragen, nicht zu gefährden. Für eine erhöhte Sicherheit empfehlen wir zudem die Verwendung eines VPN-Netzwerks.

Wie Sie die DSGVO bei Videokonferenzen einhalten

Zusätzlich zum Schutz der Informationen müssen auch weitere Aspekte berücksichtigt werden, die Risiken für personenbezogene Daten darstellen können und nicht der DSGVO entsprechen.

Seien Sie vorsichtig, bei der Aufzeichnung von Meetings. Dies kann beispielsweise erforderlich sein, wenn ein Gespräch mit Dritten zu Schulungszwecken verwendet werden kann. In diesem Fall muss eine Einverständniserklärung und der Nachweis dafür vorliegen, dass die Aufzeichnung kommuniziert wurde, und Ihnen die Erlaubnis zur Aufzeichnung und Verwendung dieser Informationen erteilt wurde. So stellen Sie die Einhaltung der geltenden Datenschutzrichtlinien sicher.

Ein weiterer Punkt, der die Einhaltung der DSGVO gefährden kann, ist der Austausch von Informationen mit Drittländern. Bei dem Einsatz von U.S. basierten Anbietern greift häufig eine Zertifizierung unter dem Privacy Shield Agreement. Dies können Sie einfach in der Datenschutzrichtlinie des jeweiligen Software-Anbieters einsehen. Verlassen Sie sich bitte nicht ausschließlich auf eine Zertifizierung durch das Privacy Shield, auch Zoom hat diese. Wichtig ist, dass Sie den Einsatz der Software in Ihrem eigenen Unternehmen genau analysieren, prüfen ob notwendige Sicherheitsoptionen zur Verfügung stehen und Mitarbeiter zu Sichertheitsmaßnahmen und dem geeigneten Einsatz schulen.

Diese Aufgabe kann kompliziert sein. Wenn Sie also detailliertere Informationen zum sicheren Einsatz von Videokonferenz-Tools und anderen Softwares, die das Remote-Arbeiten erleichtern, wünschen, laden wir Sie zu unserem kostenlosen Webinar „Plötzlich Remote – Erfolgreich remote und datenschutzkonform arbeiten“ ein.

Teilen Sie diesen Artikel

Teilen

Share on linkedin
Share on email
Share on whatsapp
Share on facebook
Share on twitter
In unserem kostenlosen Webinar erklären Remote Architect Andreas Anding und Datenschutzexpertin Lisa Hofmann wie Sie erfolgreich und datenschutzkonform Remote Arbeiten in Ihrem Unternehmen implementieren. Sie zeigen auf, welche Herausforderungen das Arbeiten in Remote Teams an Unternehmen stellt und welchen DSGVO-Risiken Ihr Unternehmen ausgesetzt ist, wenn Ihr Team von Zuhause aus arbeitet. Darauf basierend werden Empfehlungen und Best Practices für das Remote Arbeiten vorgestellt, ebenso wie Empfehlungen für Sicherheits- und technischen Maßnahmen ausgesprochen. >> Jetzt teilnehmen

Dieser Artikel wurde geschrieben von:

Lisa Hofmann

TÜV lizenzierte Datenschutzbeauftragte

Lisa ist als TÜV zertifizierte Datenschutzbeauftragte bei Pridatect für die Produktentwicklung der internationalen Datenschutzplattform zuständig. Als studierte Juristin, hat sie über 6 Jahre in diversen Unternehmen Datenschutzprogramme als interne Datenschutzbeauftragte implementiert und verantwortet. Sie ist leidenschaftlich daran interessiert Datensicherheit durch innovative technische Lösungen jedem Unternehmen einfach zugänglich zu machen.

Newsletter

Möchten Sie regelmäßig Neuigkeiten zu Datenschutz und DSGVO erhalten? Abonnieren Sie unseren Newsletter und wir senden Ihnen als erstes neue Blog Artikel, Webinare und Ebooks zu.

Ähnliche Artikel