Kategorien
Neueste Beiträge
Datenschutzsicherheitsmaßnahmen bei Videokonferenzen
Spätestens seit dem Taurus-Abhörfall ist die Sicherheit bei Videokonferenzen wieder in alle Munde (mehr dazu u. a. hier). Eine Reaktion des BSI (Bundesamt für Sicherheit in der Informationstechnik) ist nun ein IT-Sicherheitskennzeichen für Videokonferenzanbieter anzubieten (Pressemitteilung). Ob dies nun tatsächlich den Abhörfall bei der Bundeswehr verhindert hätte, ist allerdings fraglich. Vielmehr entsteht der Eindruck, es mangelte an der Umsetzung von insbesondere bei solchen Gesprächen notwendigen technischen und organisatorischen Maßnahmen. Nun stellt der Einsatz von Videokonferenzen nicht bei jedem Verantwortlichen ein Risiko für die nationale Sicherheit dar, dennoch helfen die folgenden Hinweise für Datenschutzsicherheitsmaßnahmen bei Videokonferenzen jedem Verantwortlichen.
– Zu diesem Thema des Datenschutzes i. Z. m. Videokonferenzen schreiben wir auch in diesem Beitrag. –
Hinweis 1 – Verschlüsselter Versand der Einwahldaten
Eine erste mögliche Maßnahme wäre, die Einwahlinformationen für die Teilnahme an einer Videokonferenz Ende-zu-Ende-verschlüsselt zu versenden. So kann ein Verantwortlicher schon bei diesem Schritt verhindern, dass unbefugte Personen erste Informationen zu einer Videokonferenz erhalten.
Hinweis 2 – Kontrolle beim Zulassen von Teilnehmern
Es besteht die Möglichkeit, mithilfe der Videokonferenz-Software zu kontrollieren, wer während der Videokonferenz zu dieser zugelassen wird. Dies funktioniert allerdings wahrscheinlich am besten, wenn auch andere Sicherheitsmaßnahmen, wie der verschlüsselte Versand der Einladung beispielsweise, umgesetzt werden. Sonst ist es durchaus möglich, dass die Person, die sich unbefugt dazuschalten möchte, vorgibt die eigentlich dazu befugte Person zu sein.
Hinweis 3 – Teilnahmepasswort
Eine weitere bzw. zusätzliche Möglichkeit, ist die Notwendigkeit der Eingabe eines Passwortes, um an einer Videokonferenz teilzunehmen. Wenn eine unbefugte Person beispielsweise KI (Künstliche Intelligenz) nutzt, um die Stimme und das Aussehen einer befugten Person zu imitieren, aber das Passwort eben nicht kennt, kann sie dennoch nicht teilnehmen.
– Mehr zum Thema „Passwort“ erfahren Sie in unserem Beitrag hier. –
Hinweis 4 – Sperren von verspäteten Teilnehmern
Möglicherweise ist auch zu betrachten, inwiefern es von Nutzen sein kann, eine verspätete Teilnahme zu sperren. Wer beispielsweise erst nach 20 Minuten zu einer Videokonferenz dazukommt, kann aufgrund der Sperre nicht teilnehmen. Dies wäre also womöglich hilfreich, zu verhindern, dass der Organisator während des Gespräches nebenbei versehentlich einer unbefugten Person die Teilnahem gewährt.
Hinweis 5 – Keine Anfertigung von Aufnahmen
Hierbei handelt es sich eher um eine organisatorische Maßnahme, um eine unrechtmäßige Verarbeitung von personenbezogenen Daten, beispielsweise aufgrund fehlender Einwilligungen, zu unterbinden.
Es gibt natürlich Situationen, in denen eine Aufnahme der Videokonferenz – beispielsweise als Form eines Webinars – gerade gewünscht ist. In solch einem Fall kann ein Verantwortlicher aber dann auf andere Weise dafür sorgen, dass keine Person ohne Einwilligung aufgezeichnet wird.
Hinweis 6 – Betrieb auf eigenem Server
Zu betrachten ist auch, inwiefern es einem Verantwortlichen möglich ist, die Videokonferenz-Software auf einem eigenen Server zu betreiben. Schließlich bietet dies eine weitere Option, dass personenbezogene Daten als Folge der Durchführung der Videokonferenz an Dritte und somit an möglicherweise unbefugte Parteien übermittelt werden.
Hinweis 7 – Möglichkeit der Erkennung des Einsatzes von KI
KI wird immer häufiger eingesetzt und in vielen Situationen ist gar nicht mehr erkennbar, was echt und was künstlich ist. Dass es diese Möglichkeit gibt, haben wir bisher noch nicht gehört, aber nützlich sein kann es möglicherweise auch. In diesem Fall wäre der Einsatz von KI tatsächlich nutzbringend und könnte unbefugte Dritte, die sich mithilfe von Deep-Fake-Angriffen eine unbefugte Teilnahme an einer Videokonferenz schaffen, entlarven.
Ist diese Liste abschließend? Nein, denn es gibt auf jeden Fall noch weitere Maßnahmen zum Datenschutz und auch zur IT-Sicherheit bei der Durchführung von Videokonferenzen.
Richtlinien zur Nutzung von Videokonferenz-Software
Die oben genannten Maßnahmen sind überwiegend solche, deren Effektivität einsetzt, wenn sie von der Person, die eine Videokonferenz organisiert, angewendet werden. Das heißt, ein Verantwortlicher muss allen Beschäftigten des Unternehmens, des Krankenhauses, des Vereins etc. kommunizieren, welche Maßnahmen bei der Nutzung von Videokonferenz-Software zu beachten sind. Wann immer eine Sensibilisierung zum Datenschutz in einer Einrichtung stattfindet, ein Mitarbeiter sein Arbeitsverhältnis beginnt, es einen Datenschutzvorfall i. Z. m. der Durchführung einer Videokonferenz gab etc. kann ein Verantwortlicher dies als Möglichkeit nutzen, auf u. a. diese Sicherheitsmaßnahmen hinzuweisen. Um dabei auch seine Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO zu erfüllen, sind diese Vorgaben in einer Richtlinie festzuhalten. Diese Richtlinie ist den Beschäftigten zur Verfügung zu stellen, sodass sie bei Bedarf jederzeit die umzusetzenden Maßnahmen nachlesen können.
Fazit
Natürlich muss jeder Verantwortliche gezielt individuell betrachten, welche personenbezogenen Daten er verarbeitet und wie hoch das Risiko für die Rechte und Freiheiten der betroffenen Personen dabei ist. Wenn wir hierbei wieder an die Bundeswehr denken, dann gehen wir davon aus, dass die Sicherheitsmaßnahmen zur Durchführung von Videokonferenzen bei dieser weitaus strenger ausfallen sollten als beispielsweise bei einem Innenausstattungsunternehmen.
Wenn Sie also möglichst datenschutzkonform mit Beschäftigten, Geschäftspartnern und sonstigen Person per Video kommunizieren wollen, kontaktieren Sie uns gern heute.