Zoom und Microsoft Teams "Better safe than sorry"
Zoom und Microsoft Teams gehören wohl zu den derzeit beliebtesten Video-Konferenzlösungen. Aufgrund der weiterhin andauernden Corona-Krise sahen sich viele Unternehmen dazu gezwungen ihren direkten Kundenkontakt auf das nötigste zu beschränken und ihre Mitarbeiter, sofern möglich, im Home-Office arbeiten zu lassen. Da wir aber nunmal nicht einfach alle Urlaub machen können und der Betrieb am Laufen gehalten werden muss, sind Lösungen, die eine ortsunabhängige Zusammenarbeit ermöglichen stark in den Vordergrund gerückt. Leider blieb nur wenig Zeit sich angemessen auf eine solche, für viele Unternehmen in Deutschland immer noch neue, Arbeitsweise vorzubereiten. Schnell mussten Lösungen gefunden werden. Und zwar solche, die schnell und einfach zu implementieren, leicht zu bedienen und dann auch noch bezahlbar sind. Die Themen Datenschutz und Datensicherheit waren da für die meisten erst einmal nebensächlich. Die DSGVO, bis vor der Corona Pandemie ein Dauerbrenner, war plötzlich kaum noch erwähnenswert. Jedoch ist mittlerweile soviel Zeit vergangen, dass es kaum noch vernünftige Argumente dafür gibt, warum man nicht nachträglich für die eilig eingeführten Anwendungen Konzepte ausgearbeitet hat, die Datenschutz- und Datensicherheit gewährleisten. Um Sie dabei zu unterstützen habe ich ein paar Hinweise zusammengetragen und ausgearbeitet, die Ihnen dabei helfen können die Risiken für Verstöße zu minimieren.
Vorweg sei aber gesagt: Diese Hinweise dienen nur als Orientierungshilfe. Ich werde Ihnen nicht versprechen, dass Sie die beschriebenen Anwendungen datenschutzkonform einsetzen können, wenn Sie diese Anleitung befolgen. Insbesondere Zoom und Microsoft Teams werden derzeit sehr kritisch von einigen deutschen Aufsichtsbehörden betrachtet und teilweise als nicht datenschutzkonform eingestuft. Sollten Sie sich aber, aus welchen Gründen auch immer, dazu entschieden haben diese Tools einzusetzen, dann soll Ihnen dieser Beitrag helfen, dies wenigstens so sicher wie möglich zu tun. Ich gebe auch keine gewähr auf Vollständigkeit oder Korrektheit dieser Hinweise. Für Ergänzungen wäre ich sogar sehr dankbar.
Zoom
Konfiguration
Select data center regions for meetings/webinars hosted by your account –> Hier entfernen Sie alle Haken, bis auf Europe. So stellen Sie ein, dass Datenübertragungen bei Meetings, die Sie hosten, ausschließlich über Server in Europa geleitet werden. Diese Funktion steht allerdings nur bezahlten Accounts zur Verfügung.
Warteraum –> Diese Funktion einschalten / eingeschaltet lassen. Nun verbleiben alle Teilnehmer eines Meetings im Warteraum, bis der Host Ihnen den Zutritt zum eigentlichen Meeting gewährt. So stellen Sie sicher, dass keine unberechtigten Personen am Meeting teilnehmen. So wird z.B. das sog. „Zoombombing“ unterbunden.
Die Eingabe von der Meeting-ID und eines Kennworts sind mittlerweile von Zoom fest vorgegeben und müssen nicht mehr selbst eingestellt werden.
Verschlüsselung für Endpunkte von Drittanbietern erforderlich (SIP/H.323) –> Mit dieser Einstellung, dass auch bei der Meeting-Teilnahme über eine Drittanbieteranwendung eine Verschlüsselung erforderlich ist.
Chat –> Sollten Sie den Teilnehmern das Chatten während Ihres Meetings gestatten, setzen Sie den Haken bei „Verhindert, dass Teilnehmer den Chat speichern“
Chats automatisch speichern ausschalten –> Eine generelle Speicherung des Chats sollte nicht stattfinden. Sollte es im Einzelfall notwendig sein, dass Sie den Chat Ihres Meetings speichern, weisen Sie die Teilnehmer bitte darauf hin.
Einen Link „Von Ihrem Browser teilnehmen“ zeigen einschalten –> So sind Meeting-Teilnehmer nicht dazu gezwungen die Zoom App zu installieren, sondern können über ihren Browser am Meeting teilnehmen (die Funktionen sind für den User dann jedoch etwas eingeschränkt)
Microsoft Teams
Konfiguration
Ich selbst nutze nur die kostenfreie Version von Microsoft Teams, um an Meetings teilnehmen zu können. Für eigene Meetings verwende ich es nicht. Eine, wie ich finde, gute und praktische Übersicht zu den Konfigurationsmöglichkeiten von Microsoft Teams habe ich hier gefunden.
Meeting Organisation
– Ergänzen Sie Ihre Datenschutzhinweise um eine Beschreibung für das jeweilige Konferenztool und senden Sie diese mit der Einladung zu einem Meeting an die Teilnehmer (z.B. per Link unter dem die Datenschutzhinweise zu finden sind oder per PDF)
– Versenden Sie bei Meeting Einladungen, wenn möglich, das Passwort getrennt von der Meeting-ID
– Prüfen Sie, bevor Sie einem Teilnehmer aus dem Warteraum den Zutritt zum Meeting erlauben, anhand Ihrer Teilnehmerliste o.ä., ob die Person auch wirklich berechtigt ist, am Meeting teilzunehmen
– Sperren Sie das Meeting, wenn alle geplanten Teilnehmer anwesend sind
– Da derzeit die Grundlagen für Auftragsverarbeitungsverträge mit US-Unternehmen auf sehr wackligen Beinen stehen (das Privacy-Shield Abkommen wurde vom EuGH ungültig erklärt und die EU-Standardvertragsklauseln werden ebenfalls stark kritisiert) sollten Sie vorerst mit einer Einwilligung für die Datenweitergabe arbeiten, welche bei der Verwendung von Zoom oder Microsoft Teams stattfindet.
Verhalten im Meeting
Klären Sie die Teilnehmer zu Beginn Ihres Meetings (oder vorab mit einem Infoschreiben o.ä.) darüber auf, welches Verhalten Sie in Ihrem Meeting voraussetzen.
Zum Beispiel:
– Legen Sie fest, welche Art Informationen in dem Meeting ausgetauscht werden dürfen. (Besonders sensible Daten sollten, wenn möglich, nicht in Videokonferenzen ausgetauscht werden)
– Sollten Sie den Teilnehmern das Hochladen von Dateien in Ihren Einstellungen erlaubt haben, klären Sie sie darüber auf, welche Arten von Dateien hochgeladen werden dürfen (auch hier gilt: Wenn möglich keine sensiblen Informationen)
– Weisen Sie die Teilnehmer daraufhin, dass Sie, sofern das nicht nötig ist, keine persönlichen Informationen über sich oder andere Personen in der Videokonferenz preisgeben. (Dies ist natürlich fallabhängig. Beispielsweise dürfte sich ein Vorstellungsgespräch ohne persönliche Informationen als schwierig erweisen)
– Weisen Sie die Teilnehmer auch daraufhin, dass das Mitschneiden, abfotografieren oder ähnliche Funktionen in dem Meeting untersagt sind. Erlauben Sie dies höchstens für bestimmte Inhalte, z.B. bei gemeinschaftlichen Arbeitsblättern o.ä. Besser wäre es jedoch, solche Daten vor oder nach dem Meeting gesondert zu versenden.
– Weisen Sie die Teilnehmer darauf hin, dass Informationen über andere Teilnehmer, weitere Personen, Geschäftsgeheimnisse oder sonstige sensible Informationen, die sie während des Meetings erhalten, vertraulich behandelt werden müssen.
Quellen:
https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/
https://sharepoint360.de/13-tipps-um-microsoft-teams-sicher-zu-machen-und-datenschutz-zu-gewaehrleisten/
https://www.divia.de/blog/die-13-wichtigsten-einstellungen-f%C3%BCr-eine-sichere-zoom-nutzung