Geht das?

Datenschutz und Digitalisierung

Kein Zweifel: Die letzten Monate haben gezeigt, wie herausfordernd der Einstieg in die Digitalisierung wirklich ist. Der „Shutdown“ machte deutlich, dass die Realität zur Umsetzung der Digitalisierung gar nicht so einfach ist.

Zum einen waren sehr wenige Hausverwaltungen technisch darauf vorbereitet und zum anderen sind die Kunden oft gar nicht in der Lage neue technische Entwicklungen ohne weiteres aufzunehmen und anzuwenden. Die größte Herausforderung ist also: Wie erreicht man Kunden (Mieter/Eigentümer/Vertragspartner etc.) ohne dabei die gesetzlichen Auflagen (Kontaktverbot, Abstandsregelung etc.) außer Acht zu lassen und kann trotzdem produktiv die Erwartungen und Ansprüche der Kunden umsetzen?

Viele hatten hierbei auf Online-Konferenzsysteme gesetzt. Das Netz bot eine Fülle von Tools an, die eine schnelle und unkomplizierte Kontaktaufnahme mit dem Kunden sicherstellen. Es verwundert nicht, dass hier die meisten Anbieter aus Drittländern wie den USA kommen, gilt doch dort die Kommunikation über Videokonferenzsysteme bereits als normal und als Standardausstattung in Verwaltungsunternehmen und auch Behörden. Bedient man die Suche über Google, so gibt es eine Fülle von Anbietern, die primär ihre Server und Dienstleistungen über den Standort USA anbieten.

Zoom im Kreuzfeuer der Kritik
Ganz besonders in die Kritik geraten ist der Anbieter Zoom. Kein Wunder, denn Zoom gehört zu jenen Anbietern, die seit jeher auf eine Kommunikation via Video gesetzt haben. Waren vor der Corona-Krise die Zahlen noch bei zehn Millionen Nutzern, so sind sie derzeit bei 300 Millionen. Es ist auch nicht verwunderlich, dass dann der Fokus zum Thema Sicherheit und Datenschutz durch Kunden ganz besonders groß ist. Zoom ist derart ins Kreuzfeuer geraten, dass man kurzerhand versucht hat, den hohen datenschutzrechtlichen Ansprüchen sowie der Sicherheit gerecht zu werden. Die neue Version Zoom 5.0 verspricht zwar grundlegende Veränderungen, aber ob diese letztendlich dazu ausreichen, einen gesetzeskonformen Einsatz dieses Tools herzustellen, ist fraglich.

Dennoch muss man einen ganz wichtigen Aspekt dabei betrachten: Ist es überhaupt möglich, eine gesetzeskonforme Videokonferenz durchzuführen? Welche Voraussetzungen sind notwendig, um den hohen Ansprüchen gegenüber den Kunden gerecht zu werden?

Wenn der Einsatz eines entsprechenden Tools für Videokonferenzsysteme vorgesehen ist, dann sind im Vorfeld wichtige Überlegungen und Prüfungen anzustellen.

  1. Wer betreibt die Plattform?
    Viele Anbieter bieten eine servergestützte Version gegen monatliches Entgelt an. Das heißt das eigentliche Programm liegt auf dem Server des Anbieters (Host) und Nutzer melden sich auf der Plattform des Anbieters an. Hierbei handelt es sich um eine klassische Software as a Service (SaaS). Dort liegen i.d.R. auch sämtliche personenbezogene Daten. Betreibt man den Server selbst, ist man zwar größtenteils sicher vor fremden Zugriff, hat aber im Gegenzug einen entsprechenden Aufwand, beginnend bei Ressourcen, über Know-how, hin zu Material. Auch die Bandbreite der Internetgeschwindigkeit ist ein ganz entscheidender Faktor.
  2. Worauf muss geachtet werden?
    Standort:
    Sollte man sich entscheiden, auf ein servergestütztes System zuzugreifen, so ist der Serverstandort wohl der entscheidende Faktor. Stehen die Server in Europa oder gar in Deutschland, ist davon auszugehen, dass die Vorgaben der DSGVO durch den Betreiber umgesetzt werden. Wenn der Anbieter in den USA sitzt, hat theoretisch auch nahezu jede amerikanische Behörde per Gesetz die Möglichkeit, auf diese Daten zuzugreifen.

Sicherheit der Daten: Jeder Anbieter - ganz gleich ob SaaS-Anbieter oder eigener Server - ist verpflichtet, entsprechende technische und organisatorische Maßnahmen (TOM) zu ergreifen, um die Verarbeitung der personenbezogenen Daten sicherzustellen.

Die wichtigsten Anforderungen sind:

  • Verschlüsselung: Ist die Verbindung zwischen den Teilnehmern derart verschlüsselt, dass ein Zugriff von außen nahezu unmöglich ist?
  • Zutritt zum Meeting: Zu beachten ist, dass das Tool eine Möglichkeit bietet, dass nur registrierte Benutzer nebst einem notwendigen Passwort Zugang zum Meeting haben.
  • Aufzeichnung: Viele Tools bieten eine Videoaufzeichnung an. Da dies aber nicht immer von allen Teilnehmern gewünscht und akzeptiert wird, muss hier im Vorfeld eine entsprechende transparente Information, sowie gegebenenfalls eine Möglichkeit zur Einwilligung zur Aufzeichnung, vorhanden sein. Auch das Löschen von etwaigen Aufzeichnungen, Chat-Verläufen, Fotos etc. sollte mit einem automatisierten Mechanismus des Anbieters möglich sein.
  • Hintergrund: Oft ist der Hintergrund der Meeting-Teilnehmer während einer Videokonferenz datenschutzrechtlich ein Problem. Gute Tools bieten mittlerweile eine Möglichkeit an, den Hintergrund entweder „verschwommen“ oder „abgedunkelt“ darzustellen (Blurring).
  • Konfiguration: Wer kann was sehen, hören, herunterladen, teilen, etc.? Der Moderator (Meetingleiter) muss die Möglichkeit haben, das Tool derart zu konfigurieren, dass datenschutzrechtliche Belange stets beachtet werden. Datenschutzfreundliche Einstellungen sind ein Muss für jedes Videokonferenzsystem.
  1. Auftragsverarbeitung
    In der Regel ist ein SaaS-Anbieter für ein Videokonferenzsystem ein Auftragsverarbeiter. Dementsprechend muss auch ein Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO geschlossen werden. Nicht jeder Anbieter verfügt über die geforderten Sicherheitsstandards. Daher ist im Vorfeld gründlich zu prüfen, ob die oben genannten Anforderungen erbracht werden können. Allerdings ist nicht immer davon auszugehen, dass ein Anbieter, der in der EWR oder in Deutschland ansässig ist, automatisch die Standards erfüllt. Eine gründliche Recherche erspart am Ende Geld, Nerven und unnötige Diskussionen mit Kunden.
  2. Informationspflichten
    Die Informationspflichten (Datenschutzhinweise) seitens des Hausverwalters sollten entsprechend angepasst werden. Auch hier ist darauf zu achten, dass bei jedem Online-Meeting die Hinweise zur Datenverarbeitung als Link oder gesondertes Dokument zur Verfügung stehen.
  3. Inhalte
    Jedes Unternehmen, das ein Videokonferenzsystem einsetzt, muss grundsätzlich eruieren, was innerhalb eines Meetings über ein Videokonferenzsystem besprochen wird. Sollten z.B. die Inhalte reine Lerninhalte sein (Webinar, e-Learning, etc.) dürfte das Thema „Genereller Einsatz unter Berücksichtigung einer Hochverschlüsselung“ weniger Gewichtung haben. Sollten aber wichtige Geschäftsgeheimnisse und zahlreiche personenbezogene Daten sowie „sensible“ Daten i.S.d. Art. 9 DSGVO ausgetauscht werden, sind die oben genannten Kriterien ein wichtiger Indikator zum zulässigen Einsatz eines Videokonferenzsystems.
  4. Die Behörden
    Die Aufsichtsbehörden sehen den Einsatz von Videokonferenzsystemen besonders kritisch. Gerade Zoom, Skype, Microsoft Teams sind beispielsweise nach Ansicht der Berliner Datenschutzbehörde nicht datenschutzgerecht einsetzbar. Die Behörde empfiehlt nur Anbieter in der EU oder der EFTA zu verwenden und statt eines Videokonferenzsystems besser ein Telefonkonferenzsystem einzusetzen. Unstrittig ist hier, dass ein Telefonkonferenzsystem datenschutzkonformer einsetzbar ist. Dies zielt jedoch ein wenig am eigentlichen Zweck eines Videokonferenzsystems vorbei. Aber dies ist eine andere Frage.

Fazit
Wenn jeder Immobilienverwalter die oben genannten Vorgaben peinlichst genau beachtet und mit entsprechender Hingabe angeht, dürfte sich sowohl die Auswahl des Anbieters als auch die Erfüllung der gesetzlichen Anforderungen nur noch auf einen Bruchteil etwaiger Anbieter beschränken. Dann ist auch ein durchaus zulässiger Einsatz eines Videokonferenzsystems möglich.

Andererseits müsste man - unter strenger Berücksichtigung der oben genannten Anforderungen – dann auch WhatsApp, Microsoft, Apple, Android, Google, Amazon, etc. gänzlich aus dem System einer Immobilienverwaltung verbannen. Dann ist es aber auch schon wieder vorbei mit der Digitalisierung.

 

Reinhold Okon
www.dsb-okon.de

Einen Kommentar schreiben
Kommentieren