Webkonferenzen mit Datenschutz gemäß EU-DSGVO

Webkonferenzen mit Datenschutz gemäß EU-DSGVO

Sicherheit

Bei vielen Videokonferenz Lösungen für Computer wird ein Download gestartet, dies erfordert auf der Teilnehmer Seite und des Organisatiors eine Installation einer Brower Erweiterung oder eines Software Clients. Aber reine Web Browser basierte Kommunikation dagegen reduziert die Gefahr von Malware, da gar kein Download erfolgt.

1) Internationale Anbieter

Prüfen Sie die Verarbeitung ob sie geeignete technische und organisatorische Maßnahmen bietet, damit die Verarbeitung datenschutzkonform erfolgt.

Bitte prüfen Sie ob Ihr Anbieter nach ISO 27001:2013 und/oder ISO 27018 zertifiziert ist und alle Compliance Richtlinien einhält.

Im geschäftlichen Umfeld eignen sich nicht Tools, die für den privaten Einsatz gedacht sind. WhatsApp oder FaceTime grundsätzlich ungeeignet, selbst Anbieter die Ihre Server in der USA gehostet haben sind für deutsche Unternehmen ungeeignet, da die Zeit der Übertragung nach USA und wieder zurück schon zuviel Zeit benötigt um von Echtzeit oder Live Video Übertragung zu sprechen, und wie das Beispiel Zoom zeigt, weder sicher noch Datenschutz konform nach EU-DSGVO gestaltet ist.

Dem Grundsatz Privacy by Default und Privacy by Design kommen diese Unternehmen bisher nicht nach, obwol Sie nach dem Marktortprinzip dazu verpflichtet sind, siehe DSGVO Artikel 3 – Räumlicher Anwendungsbereich
Reale Datenschutzverletzungen: siehe externer Link: Data Breach

Latenz EU nach USA und zurück

Es macht auch keinen Sinn einen Anbieter zu wählen der seine Server in großer Entfernung hostet, denn Sie haben keinen Einfluß darauf wie Ihre Daten geroutet werden, zoom hat zugegeben dass die Daten über andere Länder wie z.B. China geroutet wurden. Jetzt möchte man dies ändern in dem zahlende Kunden wählen können welchen Server sie verwenden. Eine Sicherheit ist das jedoch nicht, wenn Sie internationale Gespräche führen.

Die Routen der Audio-/Video Daten machen sich gerade bei Echtzeit Kommunikation bemerkbar, gerade wenn es bis zu Sekunden dauert bis das Video / Audio ankommt.

• Trans-Atlantic von Washington nach Frankfurt am Main = ca. 87 ms
• USA West nach Ostküste: 215 ms Lat., 46 ms Transfer Zeit, 261 ms Total
• Route Frankfurt am Main nach Seoul/Süd Korea = ca. 298 ms
• Liste Global

2)

Prüfen Sie ob Ihr Unternehmen die DSGVO bei Videokonferenzen einhält, es gilt eine Reihe von EU Verordnungen einzuhalten:

• Artikel 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten
  https://dsgvo-gesetz.de/art-30-dsgvo/

• Artikel 13 DSGVO – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
  
• Artikel 35 DSGVO – Datenschutz-Folgenabschätzung
  https://dsgvo-gesetz.de/art-35-dsgvo/

• Artikel 4 DSGVO – Begriffsbestimmungen
  Als Kunde eines Webkonferenz-Dienstes ist man hinsichtlich der hierdurch erfolgten Datenverarbeitung datenschutzrechtlich verantwortlich gemäß Art. 4 Nr. 7 DSGVO.
  Wer ist Verantwortlicher der Datenverarbeitung?
  https://dsgvo-gesetz.de/art-4-dsgvo/
  Die Bestimmung der Verantwortlichkeit im Sinne der Datenschutz-Grundverordnung EU-DSGVO wird hier beschrieben:
  https://www.datenschutzbeauftragter-info.de/bestimmung-der-verantwortlichkeit-im-sinne-der-dsgvo/

• Artikel 28 DSGVO – Auftragsverarbeiter
  Setzt man den Webkonferenz-Anbieter als Auftragsverarbeiter ein, besteht nach Art. 28 Abs.1 DSGVO die Pflicht nur mit Unternehmen zusammenzuarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz Grundverordnung erfolgt.
  
• Artikel 32 DSGVO – Sicherheit der Verarbeitung
  Diese Pflicht ergibt sich für den Arbeitgeber schon aus seiner Sorgfaltspflicht gegenüber seinen Mitarbeitern, ihre persönlichen Daten vor unberechtigten Zugriffen zu schützen (Art. 32 DSGVO). So ist zu überprüfen, ob ausreichende Maßnahmen zum Schutz personenbezogener Daten getroffen werden.
  
• Artikel 25 DSGVO – Datenschutz durch Technikgestaltung

HIPAA im medizinischen Umfeld

HIPAA, auch bekannt als der U.S. Health Insurance Portability and Accountability Act, schreibt vor, dass alle Unternehmen im Gesundheitswesen strikte Regeln einhalten, diese Regeln wurden entwickelt um die Vertraulichkeit und Integrität von Patientendaten zu schützen.

Externe Links:

• Fahr und Partner: www.fahr.com
• Videokonferenzsysteme.info
• Telecom
• Webkonferenzen www.webinar365.de

Videokonferenz nach EU DSGVO

WebRTC – der Videokonferenz Standard

Als WebRTC Browser gelten aktuelle Versionen: Google Chrome, Firefox,
Safari, Opera und der neue Microsoft Edge Chromium.

secure by design

Unsere Empfehlungen der am Markt befindlichen Kommunikations- Lösungen sind von Hause aus „secure by design“ mit einer Ende zu Ende TLS 1.2 Verschlüsselung. Die Protokolle entsprechen dem aktuellen Stand der Technik – DTLS (Datagram Transport Layer Security) und SRTP (Secure Real-Time Protocol). Zudem handelt es sich um On Premise Server die in einem deutschen Rechenzentrum gehostet werden.

Mehr zur Sicherheit in Videokonferenzen: externer Link

Ergänzung vom 14.12.2021

SRTP DTLS

SRTP verwendet Datagram Transport Layer Security (DTLS) und bietet Punkt-zu-Punkt-Sicherheit (Gerät-zu-Gerät) zwischen den Endpunkten in einer Kommunikationsverbindung. Es ist ein auf TLS Kanal basierendes Sicherheits-protokoll. Die Verschlüsselungsschlüssel werden über denselben Port ausgetauscht, der dann mithilfe eines DTLS-Protokolls für RTP verwendet wird.

Bei Verwendung von DTLS-SRTP: Werden die Anwendungsdaten mit SRTP geschützt.

Wird der DTLS-Handshake verwendet, um Schlüssel, Algorithmen und Parameter für SRTP festzulegen. Wird eine DTLS-Erweiterung verwendet, um SRTP-Algorithmen zu übertragen.
Werden andere Inhaltstypen der DTLS-Datensatzschicht mit dem normalen DTLS-Datensatzformat geschützt. Mit anderen Worten: Es ist wichtig, die Sicherheit auf Punkt-zu-Punkt-Ebene (Gerät-zu-Gerät) zu gewährleisten und sich nicht auf die Sicherheit der Signalübertragung (z.B. SIP) zu verlassen.

SRTP-DTLS wird derzeit von WebRTC-fähigen Browsern unterstützt und ist der obligatorische RTP-Verschlüsselungs-modus des WebRTC-Projekts bzw. der WebRTC-Spezifikation. Es ersetzt SRTP SDES, das ursprünglich für die WebRTC-Implementierung von Chrome angedacht und implementiert war. Es erhielt deshalb den Vorzug gegenüber SRTP-SDES, weil es einen besseren Schutz bei der Punkt-zu-Punkt-Kommunikation gewährleistet.

Awareness – Mitarbeiter schulen

Ohne die Mitarbeiter zu schulen, können sie nicht wissen auf was geachtet werden muss damit die Verarbeitung Datenschutz konform erfolgt. So dürfen z.B. nicht einfach Aufzeichnungen erfolgen ohne dass eine Einwilligung der Teilnehmer nachweislich vorliegt.

COMREON®- die Technologie Experten