EDÖB: Tipps zur sicheren Nutzung von Audio- und Videokonferenzlösungen

Durch die Pandemie boomen Audio- und Videokonferenzlösungen im Privat- und Geschäftsleben. Diese Verlagerung sozialer Kontakte in den virtuellen Raum birgt jedoch das Risiko, dass der Datenschutz und die Informationssicherheit verletzt werden. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte listet in seinem Merkblatt vom April 2020 diverse Massnahmen auf, wie die Sicherheit auch bei virtuellen Treffen gewährleistet werden kann. Nachfolgend werden die wichtigsten Punkte zusammengefasst.

Auswahl des Anbieters der Audio- und Videokonferenzlösung

Es sind diverse Anbieter von Audio- und Videokonferenzlösungen auf dem Markt. Diese Anbieter unterschieden sich Punkto Datenschutz massgeblich. Die folgenden Aspekte sind bei der Auswahl eines datenschutzfreundlichen Anbieters zu beachten:

1. Reputation des Anbieters

   Oft gibt eine kurze Online Recherche nicht nur Auskunft zur Dienstleistungsqualität, sondern bringt auch Sicherheitsprobleme eines Anbieters zu Tage. Im Zweifel empfiehlt es sich, auf einen etablierten Anbieter zu setzen.

2. Datenschutzrichtlinien des Anbieters

   Insbesondere wenn der Anbieter ausserhalb der Schweiz und der EU ansässig ist, empfiehlt es sich abzuklären, ob das Land über ein angemessenes Datenschutzniveau verfügt. Hier hilft beispielsweise die Staatenliste des EDÖB..

3. Umgang des Anbieters mit Metadaten

   Achten Sie darauf, dass der Anbieter keine Metadaten sammelt, zu eigenen Zwecken verarbeitet oder an Dritte Weitergibt. Dazu gehören bspw. Dauer, Standort, Teilnehmeridentifikation und Anzahl der Teilnehmer.

4. Verschlüsselung der Daten

   Hier gilt die Faustregel, mindestens der Transport sollte verschlüsselt sein, optimal wäre jedoch eine End-to-End Verschlüsselung.

5. Physische Sicherheit

   Dies betrifft die Frage, wo sich die Datenzentren des Anbieters befinden. Ein Serverstandort in der EU oder der Schweiz ist in der Regel von Vorteil.

6. Sicherheits-Steuerelemente

   Die Software sollte wiederholte Anmeldefehler erkennen, um das Risiko unerlaubten Eindringens zu reduzieren. Ausserdem sollte Ihnen die Software mitteilen, wenn neue Teilnehmer hinzukommen oder wenn Teilnehmer das virtuelle Meeting verlassen.

Der Zürcher Datenschutzbeauftragte stellt Ihnen auf seiner Webseite eine Liste von Produkten sowie ein Merkblatt mit den verschiedenen Produkten und Anbietern von Audio- Videokonferenzlösungen zur Verfügung. Darin sind die Informationen zu den Produkten und Anbietern auch bezüglich der oben genannten Punkte schnell und unkompliziert dargestellt.

Einführung der Audio- und Videokonferenzlösung

1. Notwendigkeit einer Registrierung oder Anmeldung

   Bei browserbasierten Produkten, wo keine vorherige Registrierung/Anmeldung verlangt wird, ist die Teilnehmeridentifikation in der Regel eingeschränkt. Für die unternehmensinterne Kommunikation ist deshalb ein Produkt mit vorheriger Registrierung zu bevorzugen.

2. Verhindern unerwünschter App Zugriffe

   Dies kann insbesondere über das Verwalten der App-Berechtigungen gesteuert werden.

3. Datenschutzeinstellungen anpassen

4. Erstellen eines Nutzungsreglements innerhalb des Unternehmens

   Darin kann insbesondere geregelt werden, ob und in welchem Umfang die private Nutzung durch den Arbeitnehmer akzeptiert wird.

5. Information über die Überwachung und Aufzeichnung innerhalb der Firma

   Sofern ein Arbeitgeber die Nutzung der Audio- und Videokonferenzlösung überwacht, muss er das transparent kommunizieren. In diesem Zusammenhang muss insbesondere auch mitgeteilt werden, wenn Aufzeichnungen von Meetings gemacht werden.

Massnahmen zur sicheren Verwendung einer Audio- und Videokonferenzlösung

1. Meeting-IDs nicht öffentlich teilen;

2. Einmalige Meeting-IDs verwenden und Meetings sperren;

3. Immer Meeting Passwörter verwenden;

4. Die Teilnehmer im Blick behalten und unbekannte Teilnehmer auffordern, ihre Identität offenzulegen;

5. Eine Aufzeichnung immer ankündigen;

6. Meeting Links nur von bekannten Absendern öffnen (Gefahr von Phishing Mails);

7. Kamera bei Nichtgebrauch abdecken;

8. Den Aufnahmebereich der Kamera auf heikle Informationen überprüfen oder einen Hintergrund verwenden;

9. Beim Screensharing unnötige Fenster und Tabs schliessen und nur das relevante Programm präsentieren.