Druckversion - Viel Rot: Berliner Datenschutzbeauftragte aktualisiert ... https://www.heise.de/news/Viel-Rot-Berliner-Datenschutzbeauftragte-... Viel Rot: Berliner Datenschutzbeauftragte aktualisiert Videokonferenz-Liste 19.02.2021    12:19 Uhr Eva-Maria Weiß (Bild: Shutterstock/Andrey_Popov) Laut einem erneuten Test der gängigen Videokonferenzsysteme durch die Berliner Datenschutzbehörde bestehen nach wie vor zahlreiche Mängel. Rot, Rot, Rot – die Liste der Videokonferenzdienste, die sich die Berliner Datenschutzbehörde angeschaut hat, steht eher auf Stop als Go. Das Ampelsystem bescheinigt den meisten Anbietern keinen ausreichenden Datenschutz. So lautete das Ergebnis auch vor einem Jahr schon. Allerdings sagt die Datenschutzbeauftragte, Maja Smoltczyk, auch, es gäbe inzwischen ausreichend Dienste, die rechtskonform einsetzbar seien. Dazu zählt sie etwa "alfaview", den Videodienst von mailbox.org und Wire, mehrere Dienste, die auf Jitsi basieren sowie BigBlueButton. Webex verschlechtert, Zoom noch immer rot Durchgefallen sind laut Datenschutzbeauftragter [1] Zoom, TeamViewer, die Microsoft-Dienste Skype und Teams, GoToMeeting, Google Meet, Cisco Webex und auch frei verfügbare Jitsi- Angebote, ohne dass diese konkret einzeln aufgelistet werden. Rot bedeutet, so steht es in der Liste: "Es liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und 1 von 2                                                                                                                      19.02.2021, 20:01

Druckversion - Viel Rot: Berliner Datenschutzbeauftragte aktualisiert ... https://www.heise.de/news/Viel-Rot-Berliner-Datenschutzbeauftragte-... deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe erfordert." Zu diesen gehören Missstände, die bereits im Vertrag aufgeführt werden, etwa ein unzulässiger Datenexport, aber auch Dienstleister, die nicht im Vertrag auftauchen und daher nicht gestattet sind. Webex rutschte sogar von einer gelben Ampel vergangenes Jahr, die für leicht behebbare Mängel steht, zu einem roten Licht – Ciscos Webex Meetings wegen des Vertrags, Ciscos Webex Meetings über Telekom wegen Dienstleister- und Export-Problemen. Zoom etwa weise vertragliche Mängel auf, hat aber seit der letzten Überprüfung die Ende-zu-Ende-Verschlüsselung eingeführt [2]. Smoltczyk hatte sich vergangenes Jahr wegen ihrer ersten Beurteilung mit Microsoft angelegt [3]. Während sie das Schrems-II-Urteil und damit das Ende des Privacy-Shield-Abkommens dahin gehend auslegt, dass der Datenexport in die USA grundsätzlich nicht erlaubt ist, beruft sich Microsoft seither auf Standardvertragsklausen, die den Datenverkehr regeln, sollte es kein anderes Abkommen geben. Allerdings sehen sie vor, dass der Datenschutz auf demselben Niveau sein muss. (emw [4]) URL dieses Artikels: https://www.heise.de/-5060322 Links in diesem Artikel: [1] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021- BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf [2] https://www.heise.de/news/Ende-zu-Ende-Verschluesselung-fuer-Zoom-Clients-ist- da-4940311.html [3] https://www.heise.de/news/Berliner-Datenschutzbeauftragte-Schlechte-Noten-fuer-grosse- Videokonferenzdienste-4835808.html [4] mailto:emw@heise.de Copyright © 2021 Heise Medien 2 von 2                                                                                                                      19.02.2021, 20:01

Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten Die Berliner Beauftragte für Datenschutz und Informationsfreiheit als Datenschutz-Aufsichts- behörde wird vor dem Hintergrund der Corona-Pandemie verstärkt hinsichtlich des daten- schutzkonformen Einsatzes von Videokonferenzlösungen kontaktiert. Um unserer Aufsicht unterliegenden Verantwortlichen die Prüfung der Rechtmäßigkeit der Nutzung verschiedener Lösungen zu erleichtern, veröffentlichen wir folgend die Ergebnisse der durch uns durchge- führten Kurzprüfungen der Videokonferenzdienste verschiedener Anbieter, wobei wir den Schwerpunkt auf die Bewertung der Rechtskonformität der von den Anbietern angebotenen Auftragsverarbeitungsverträge gelegt haben. Sofern die Anbieter nach einer Kurzprüfung rechtskonforme Auftragsverarbeitungsverträge be- reithalten sowie uns Informationen bzw. einen Test-Zugang zur Verfügung gestellt haben, führ- ten wir zwei weitere Prüfschritte durch. Zum einen suchten wir kursorisch nach Hinweisen, ob die Anbieter Datenexporte in Drittländer vornehmen. Zum anderen prüften wir einige technische Eigenschaften der Dienste, die für die Einhaltung der Datenschutzgrundsätze von Bedeutung sind. Selbstverständlich sind diese technischen Eigenschaften nur dann von Relevanz, wenn die Auftragsverarbeitungsverträge rechtskonform ausfallen und wir keine Hinweise dafür gefun- den haben, dass die Anbieter hinsichtlich eingeschalteter Subunternehmer oder dem Ort der Datenverarbeitung von den Festlegungen der Verträge abweichen. Nur die Produkte, die diese grundlegenden Anforderungen erfüllten, wurden anschließend noch der technischen Überprü- fung unterzogen. Die Bewertung erfolgt dementsprechend in zwei Teilen: einerseits rechtlich (Teil 1), andererseits – soweit wir rechtlich zur Zulässigkeit der Nutzung durch Berliner Verantwortliche gelangt sind – technisch (Teil 2). Für die beiden Teile der Bewertung gibt es getrennte Tabellen zur Übersicht. Betrachtetes Betriebsmodell Die vorliegende Bewertung erstreckt sich ausschließlich auf Dienste, die Videokonferenzen als Software-as-a-Service (SaaS) anbieten. Aus technischer Sicht ist jedoch diesen Angebo- ten mit vorkonfigurierten Einstellungen, die in vielen Fällen auch nicht verändert werden kön- nen, der Betrieb eines Dienstes durch die Verantwortlichen selbst (ggf. auf einer durch einen Auftragsverarbeiter bereitgestellten Plattform) regelmäßig vorzuziehen, da die Verantwortli- chen dann die Umstände der Verarbeitung vollumfänglich selbst bestimmen können. In Ab- hängigkeit von den Verarbeitungsumständen und den spezifischen Risiken kann dies ggf. auch die einzig verfügbare rechtskonforme Lösung sein. Version 2.0 vom 18. Februar 2021

-2– Teil 1: Gestaltung und Umsetzung des Auftragsverarbeitungsverhältnisses Die vorliegenden Hinweise legen bei der Bewertung der einzelnen Dienste die Musterverträge zugrunde, die die Dienstleister ihren Kunden zur Erfüllung der Verpflichtung gemäß Art. 28 Abs. 3 DS-GVO anbieten. Allgemeine Empfehlungen für die Prüfung von Auftragsverarbei- tungsverträgen von Anbietern von Videokonferenz-Diensten mit Stand vom 3.7.2020 haben wir unter der Adresse https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshil- fen/2020-BlnBDI-Empfehlungen_Pruefung_Auftragsverarbeitungsvertraege_Videokonferenz- Dienste.pdf veröffentlicht. Soweit rechtliche Mängel in den geprüften Dokumenten vorhanden sind, dürfen die Dienste nur genutzt werden, wenn abweichende Vereinbarungen mit den Anbietern getroffen wur- den. Datenexporte und Zugriffsmöglichkeiten von Behörden in Drittländern Diese Hinweise berücksichtigen die Anforderungen an Datenexporte in Drittländer, die der Gerichtshof der Europäischen Union (EuGH) in seinem Urteil „Schrems II“ vom 16. Juli 2020 (Rs. C-311/18) aufgestellt hat. Sie berücksichtigen dagegen nicht die möglichen rechtlichen Folgen, sollte es in datenschutzrechtlichen Fragen zu einem so genannten „harten Brexit“ kommen, sollte also das Vereinigte Königreich ab dem 1. April bzw. Juni 2021 als Drittland ohne Sonderregelungen zu behandeln sein, ohne dass ein Angemessenheitsbeschluss der EU-Kommission über das Datenschutzniveau im Vereinigten Königreich vorliegt, oder sollte sich die Vereinbarung, das Vereinigte Königreich datenschutzrechtlich vorübergehend noch wie ein EU-Mitglied zu behandeln, als nichtig erweisen. Sie berücksichtigen ebenfalls nicht die Frage, welche Auswirkungen es hat, wenn der Anbieter eines Videokonferenzdienstes zwar die anfallenden personenbezogenen Daten innerhalb des Europäischen Wirtschafts- raums verarbeitet, aber entweder selbst oder über eine Konzerngesellschaft fremdem Recht unterliegt. Dies könnte im Zusammenhang mit Videokonferenzdiensten insbesondere bei US-amerikanischen Unternehmen oder deren Tochtergesellschaften zu datenschutzrechtli- chen Problemen führen, wenn nicht durch zusätzliche Maßnahmen nach europäischem Recht unzulässige Zugriffe ausländischer Behörden verhindert werden (etwa mittels Ein- schaltung eines nicht fremdem Recht unterliegenden Datentreuhänders, durch die ein Zugriff des Anbieters selbst auf personenbezogene Daten ausgeschlossen wird). Hinweise darauf, dass insoweit nach europäischem Recht unzulässige Zugriffsbefugnisse bestehen könnten, gibt es zwischenzeitlich. So steht bei einem Anbieter einer Bewertung mit „Grün“ auf der rechtlichen Ebene neben unzulässigen Datenexporten nur entgegen, dass der Vertrag wei- sungswidrige Verarbeitungen personenbezogener Daten nicht nur aus dem Recht der Euro- päischen Union oder der Mitgliedstaaten zulässt. Insoweit teilte der Anbieter uns ausdrück- lich mit, dass man sich als US-Unternehmen in einem Konflikt zwischen Rechtssystemen mit sich widersprechenden Anforderungen befinde, der für das Unternehmen nicht lösbar sei. Berliner Verantwortliche, die Videokonferenzdienste nutzen wollen, deren Anbieter direkt oder indirekt ausländischem Recht unterliegen, müssen daher entsprechende Prüfungen selbst vornehmen und die weiteren Entwicklungen genau beobachten. Rechtsrahmen für OTT-Dienste Zum 21. Dezember 2020 hätten die EU-Mitgliedstaaten die Regelungen der EU-Richtlinie zum 1 Telekommunikations-Kodex in nationales Recht umsetzen und anwenden müssen. Dadurch wären sogenannte Over-the-top-Dienste (OTT-Dienste) wie Videokonferenzdienste über das Internet einem neuen Rechtsrahmen unterworfen worden. Da eine fristgerechte Umsetzung in Deutschland nicht erfolgte, gilt die bisherige Rechtslage fort. 1 Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäi- schen Kodex für die elektronische Kommunikation. Version 2.0 vom 18. Februar 2021

-3– Bewertungsschema Teil 1 (rechtliche Prüfung) Für die rechtliche Bewertung der Vertragsdokumente und der von uns beobachteten tatsäch- lichen Datenverarbeitung haben wir folgendes Bewertungsschema verwendet. Gesamtnote Es liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe erfordert, etwa wenn    nach dem Vertrag der Anbieter die im Auftrag verarbeiteten personenbezo- genen Daten auch zu eigenen Zwecken verarbeiten darf,    der Vertrag Datenlöschungen nur verspätet oder eingeschränkt vorsieht,    die vertraglichen Anforderungen an die Einbindung von Subunternehmern derzeit nicht ausreichend ausgestaltet sind und voraussichtlich Änderungen in den Verträgen zwischen Anbietern und Subunternehmern erforderlich sind,    der Vertrag unzulässige Datenexporte vorsieht, die im Rahmen der Nutzung des Dienstes auch nicht vermieden werden können. Ebenfalls mit „Rot“ bewertet haben wir Dienste, bei denen wir im Vertrag selbst zwar keine Mängel festgestellt haben, die aber nach dem Ergebnis unserer techni- schen Prüfungen Dienstleister einschalten, die nicht vertraglich als Unterauf- tragsverarbeiter genehmigt sind, und/oder bei denen Datenexporte erfolgen, die nach dem Vertrag nicht gestattet sind. Es liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes zwar aus- schließen, deren Beseitigung allerdings vermutlich ohne wesentliche Anpassungen der Geschäftsabläufe möglich ist. Hierunter fallen auch Dienste, die vertraglich un- zulässige Datenexporte vorsehen, die jedoch im Rahmen der Nutzung des Diens- tes vermieden werden können. (Diese Bewertung wurde in dieser Version nicht ver- geben.) Es wurden bei unserer Kurzprüfung keine Mängel gefunden. Arten der Mängel Bei der rechtlichen Bewertung gefundene Mängel haben wir wie folgt gekennzeichnet: (v)     (Vertrag)  Die geprüften Vertragsdokumente weisen rechtliche Mängel auf. (d)     (Dienstleister)  In die Erbringung des Videokonferenzdienstes wurden nach un- seren Prüfungen des Datenverkehrs Dienstleister einbezogen, die nicht als Unter- auftragsverarbeiter genehmigt sind. Die Prüfung auf die Einschaltung nicht gestat- teter Dienstleister erfolgt nur dann, wenn die vorgelagerte Prüfung der Vertragsdo- kumente keine Mängel ergeben hat. (e)     (Export)  Im Rahmen unserer Prüfungen des Datenverkehrs haben wir nicht ver- traglich vorgesehene Datenexporte in Drittländer festgestellt. Die Prüfung auf nicht gestattete Datenexporte erfolgt nur dann, wenn die vorgelagerte Prüfung der Ver- tragsdokumente keine Mängel ergeben hat. Eine detaillierte Beschreibung der gefundenen Mängel findet sich in den Anmerkungen zu den einzelnen Anbietern am Ende dieses Papiers. Version 2.0 vom 18. Februar 2021

-4– Ort der Datenverarbeitung/Verzicht auf Datenexporte – Spalte „EU“          Mit diesem Symbol in der Spalte „EU“ sind diejenigen Dienste gekennzeichnet, bei denen nach dem Vertrag der Ort der Verarbeitung der personenbezogenen Daten auf die Europäische Union bzw. den Europäischen Wirtschaftsraum be- schränkt ist. Ist dies nicht der Fall, ist für die damit verbundenen Datenexporte nach Art. 44 ff. DS-GVO eine zusätzliche Rechtfertigung erforderlich. Bei Nichter- füllung wird das Symbol  genutzt. Bewertung Teil 1 Die geprüften Videokonferenzdienste haben wir zur Übersichtlichkeit aus rechtlicher Sicht wie folgt zusammenfassend bewertet (zur technischen Bewertung der hier grün bewerteten Dienste siehe Bewertung Teil 2). EU       Dienst          URL                        Version der Dokumente         A-Confi         https://alstermedia.de/ videokonferenz Anlage 1 AV / Version 14.12.2020 [Deutsch]         alfaview        https://alfaview.com       Vertrag zur Auftragsverarbeitung gem. Art. 28 DS- GVO, Stand: Dezember 2020 [Deutsch] (v)           Cisco Webex Meetings https://www.webex.com/ de Cisco Master Data Protection Agreement, Version 1.0 – Germany, 1. Dezember 2020 [Englisch]; Digital River Ireland Ltd. Allgemeine Geschäftsbedingungen und Verbraucherinformationen Deutschland vom 24.7.2017 [Deutsch] (d), (e)    2    Cisco Webex https://konferenzen. Meetings über telekom.de/produkte- Anhang AVV zum Vertrag über Telekommunikationsleistungen mit den Annexen für Telekom         und-preise/telefon-und-    Cisco Webex – Conferencing und Collaboration web/cisco-webexr/          Konferenzlösungen, Version 3.0 vom 14.12.2020 [Deutsch]    3    Cloud1X Meet https://www.cloud1x.de/       Vertrag zur Auftragsverarbeitung für „Cloud1X Meet meet/                      powered by Jitsi“ – kurz „Cloud1X Meet“, Version 9 vom 15.12.2020 [Deutsch] 4              frei verfügbare Jitsi-Angebote (v)          Google Meet (als Teil von https://apps.google.com/ Google Workspace Terms of Service, Last modified: meet/                      December 21, 2020; Data Processing Amendment to Google Workspace unter Google Workspace and/or Complimentary Product Geltung des                                Agreement, Version 2.3 [Englisch] Google Workspace (Online) Agreement und des Data Processing Amendment to Google 2 Siehe Anmerkung. 3 Grundsätzlich beschränkt auf EU/EWR, Datenexporte mit vorheriger Zustimmung der/des Verantwortlichen aller- dings möglich. 4 In der Regel „rot“, da in der Regel kein Auftragsverarbeitungsvertrag. Einzelfallprüfung erforderlich. Version 2.0 vom 18. Februar 2021

-5– EU    Dienst              URL                       Version der Dokumente Workspace and/or Complementary Product Agreement) 5      Google Meet (kostenlos) https://apps.google.com/ Google-Nutzungsbedingungen, wirksam ab dem 31. meet/                     März 2020, Google-Datenschutzerklärung, wirksam ab dem 4. Februar 2021 [Deutsch] (v)         GoToMeeting         https://www.gotomeeting Data Processing Addendum, Revised: December 15, .com/de-de                2020 [Englisch]      mailbox.org         https://mailbox.org/video AV-Vertrag für Kunden von mailbox.org nach Artikel 28 Abs. 3 DS-GVO, Version V.39 vom 15.12.2020 [Deutsch]   6  meetzi              https://meetzi.de         meetzi – Auftragsverarbeitungs (AV)-Vertrag nach Art. 28 DS-GVO, Version 3 (14.12.2020) [Deutsch] (v)         Microsoft Teams (unter https://www.microsoft. com/de-de/microsoft- Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste Januar 2020 [Deutsch] – Geltung der         365/microsoft-            Dateiversionen (laut Metadaten) vom 3.1.2020 und Online Service Terms, etwa als teams/group-chat-         9.6.2020 (Version ist im Dokument selbst nicht Teil von Microsoft  software                  ersichtlich); Microsoft-Onlinedienste Nachtrag zum 365 oder in der                               Datenschutz, Letzte Aktualisierung: 21. Juli 2020 kostenfreien                                  [Deutsch]; Additional Safeguards Addendum to Version bei Anmeldung in                                  Standard Contractual Clauses (Reference Copy einer Arbeits- oder                           gemäß Ankündigung November 2020) [Englisch]; Organisations-                                Microsoft Online Services Data Protection Addendum, umgebung) Last updated December 9, 2020 [Englisch] 7      Microsoft Teams https://www.microsoft. com/de-de/microsoft- Microsoft-Servicevertrag gültig ab 1. Oktober 2020, Datenschutzerklärung von Microsoft Letzte (kostenlose         365/microsoft-            Aktualisierung: Januar 2021 [Deutsch] Version ohne Anwendbarkeit teams/group-chat- der Online Service  software Terms, also nicht bei Anmeldung in einer Arbeits- oder Organisations- umgebung)      NETWAYS             https://nws.netways.de/ Web Services de/apps/jitsi/ AVV v1.7 [Deutsch] Jitsi      OSC                 https://www.open- BigBlueButton source-company.de/ Vertrag zur Verarbeitung von personenbezogenen Daten im Auftrag, Version 1.6 (Stand 16.12.2020) bigbluebutton-hosting/    [Deutsch]      sichere-            https://sichere- videokonferen videokonferenz.de Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Datenschutz- z.de                                          Grundverordnung Stand 06/2020 [Deutsch] 5 Kein Auftragsverarbeitungsvertrag. 6 Grundsätzlich beschränkt auf EU/EWR, Datenexporte mit vorheriger Zustimmung der/des Verantwortlichen aller- dings möglich. 7 Kein Auftragsverarbeitungsvertrag. Version 2.0 vom 18. Februar 2021

-6– EU     Dienst             URL                      Version der Dokumente 8       Skype (ohne Anwendbarkeit https://www.skype.com/ de/ Microsoft-Servicevertrag gültig ab 1. Oktober 2020, Datenschutzerklärung von Microsoft November 2020 der Online Service Terms) [Deutsch] 9       Skype for Business Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste Januar 2020 [Deutsch] – Online                                      Dateiversionen (laut Metadaten) vom 3.1.2020 und (auslaufend, unter                          9.6.2020 (Version ist im Dokument selbst nicht Gültigkeit der Online Service ersichtlich); Microsoft-Onlinedienste Nachtrag zum Terms)                                      Datenschutz, Letzte Aktualisierung: 21. Juli 2020 [Deutsch]; Additional Safeguards Addendum to Standard Contractual Clauses (Reference Copy gemäß Ankündigung November 2020) [Englisch]; Microsoft Online Services Data Protection Addendum, Last updated December 9, 2020 [Englisch] (v)          TeamViewer Meeting https://www.teamviewer. TeamViewer Auftragsverarbeitungsvertrag (AVV), com/de/meeting/          Versionsstand: 1. Januar 2021; TeamViewer (ehemals                                    Endbenutzer-Lizenzvereinbarung (EULA), Blizz)                                      Versionsstand: 1. Januar 2021; TeamViewer Produkt- Datenschutzrichtlinie“ (ohne Versionsnummer, Abruf 4. Februar 2021) [Deutsch]       TixeoCloud         https://www.tixeo.com    Vertrag zur Auftragsverarbeitung Version 20200608 [Deutsch]       Werk21             https://www.werk21.de/ Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS- BigBlueButton produkte/co_working/          GVO, Version 1.2.1., 06/2020 [Deutsch] bigbluebutton/index.html   10  Wire Pro           https://wire.com/de/     Datenverarbeitungszusatz Juni 2020 [Deutsch] (v)          Zoom               https://zoom.us          Global Data Processing Addendum December 2020 [Englisch]; Zoom Privacy Statement (letzte Änderung August 2020) [Englisch] 8 Kein Auftragsverarbeitungsvertrag. 9 Siehe Anmerkungen zu Microsoft Teams (unter Geltung der Online Service Terms, etwa als Teil von Microsoft 365 oder in der kostenfreien Version bei Anmeldung in einer Arbeits- oder Organisationsumgebung). 10 Auch Schweiz. Für die Schweiz besteht ein Angemessenheitsbeschluss der EU-Kommission über das Daten- schutzniveau. Version 2.0 vom 18. Februar 2021

-7– Teil 2: Technische und organisatorische Maßnahmen Im vorliegenden Abschnitt sind die Ergebnisse unserer Prüfung der Einhaltung der Vorgaben zur Datensicherheit sowie zu Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemäß Art. 25 und 32 DS-GVO hinsichtlich der Dienste wiedergegeben, die sich nicht bereits in der rechtlichen Prüfung als unzulässig erwiesen haben. Anwendungsfall und Annahmen Für die Kurzprüfung sind wir von einigen grundsätzlichen Annahmen ausgegangen. Diese beziehen sich zum einen auf das grundsätzliche Vorgehen bei der Anwendung der Dienste und zum anderen auf mehrere typische Anwendungsfälle, die sich durch den Schutzbedarf der Verarbeitung unterscheiden. Annahmen zu den Anwendungsfällen Wir haben vier typische Anwendungsfälle zu Grunde gelegt, bei denen eine Konferenz durch eine Person organisiert wird, die eine weitere Person oder Personengruppe als weitere Teil- nehmende bestimmt und durch eine Einladung zur Teilnahme an der Konferenz autorisiert. Von einer solchen Konferenz erwarten die teilnehmenden Personen, dass die Kommunikati- onsinhalte nur zwischen den autorisierten Personen geteilt und hinterher nicht gespeichert und für andere Zwecke genutzt werden, es sei denn, es gibt für Speicherung und Weiterver- arbeitung eine Rechtsgrundlage und die Teilnehmenden werden vorab informiert. Des Wei- teren erwarten sie, dass sie Ton und Bild ihrer Eingabegeräte selbst steuern können und eine Aktivierung, beispielsweise durch Moderator*innen oder Dritte aus der Ferne, ohne die Mitwirkung der Teilnehmenden selbst ausgeschlossen ist. In Bezug auf die genutzte Informationstechnik wird für die Bewertung vorausgesetzt, dass die Dienstleistung vollständig durch den Auftragsverarbeiter ohne Verknüpfung mit internen Diensten der Verantwortlichen erbracht wird und im Zusammenhang mit den Konferenzen auch keine von dem Dienst unabhängigen weiteren Auftragsverarbeiter in Anspruch genom- men werden. Insbesondere kommt kein Authentifizierungsdienst zum Einsatz, der durch die Verantwortlichen oder nicht an der Erbringung des Videokonferenzdienstes beteiligte Dritte bereitgestellt wird. In Bezug auf die Inhalte der Konferenz wird vorausgesetzt, dass eine Rechtsgrundlage für ihre Übermittlung mit den verschiedenen Funktionalitäten des Dienstes besteht, sodass eine Unterbindung dieser Funktionalitäten nicht erforderlich ist. Anwendungsfall 1: Geringfügige Risiken In diesem Anwendungsfall erwachsen den teilnehmenden Personen aus der Teilnahme an der Konferenz (einschließlich ihrer Äußerungen) nur Risiken geringfügiger Schwere. Insbesondere führt eine unbefugte Offenlegung oder Veränderung von Daten über diese Teilnahme nicht zu mehr als geringfügigen Folgen. Es werden durch den Verantwortlichen keine Aufzeichnungen von Ton oder Bild aus der Konfe- renz vorgenommen, sodass hieraus auch keine Risiken erwachsen können. Unbefugte Auf- zeichnungen durch Konferenzteilnehmer*innen, die sich durch technische Maßnahmen nicht ausschließen lassen, bleiben außer Betracht. Darüber hinaus werden in der Konferenz entweder überhaupt keine Inhalte besprochen, die personenbezogene Daten darstellen, oder unter den Inhalten sind allenfalls beiläufig personen- bezogene Daten mit geringfügiger Aussagekraft enthalten, deren unbefugtes Bekanntwerden nur geringfügige Risiken für die betroffenen Personen mit sich bringt. Version 2.0 vom 18. Februar 2021

-8– Anwendungsfall 2: Normal schutzbedürftige Inhalte, Gastteilnahme mit geringfügigen Risiken In diesem Anwendungsfall wird für die Bewertung ein normaler Schutzbedarf der Inhaltsda- ten vorausgesetzt. Dies impliziert, dass von normalen, nicht aber geringfügigen Vertraulich- keitsrisiken ausgegangen wird. Die Teilnehmenden authentifizieren sich gegenüber dem Videokonferenzdienst mit einem oder mehreren individuellen Merkmalen (typischerweise mit Nutzername und Passwort) oder nutzen als Gäste einen Link und ein zusätzliches konferenzspezifisches Passwort. Im letzteren Fall sorgt die Konferenzmoderation dafür, dass Personen, die unbefugt teilneh- 11 men, erkannt und ausgeschlossen werden. Das Risiko, das mit der Konferenzteilnahme Unbefugter bis zu ihrem Ausschluss durch die Moderation verbunden ist, ist geringfügig. Ein späteres Beitreten Unbefugter mit dem Risiko, dass Konferenzinhalte zur Kenntnis genom- men werden können, wird technisch verhindert. Eine Aufzeichnung der Videokonferenz wird nicht durchgängig für alle Videokonferenzen be- nötigt. Anwendungsfall 3: Normale Risiken Dieser Anwendungsfall unterscheidet sich von dem vorigen darin, dass sich die Risiken auch auf die Rahmendaten über die Teilnehmenden und die Umstände der Konferenz erstrecken und das Risiko, das mit der Konferenzteilnahme Unbefugter bis zu ihrem Ausschluss durch die Mo- deration verbunden ist, mehr als geringfügig ist. Dies hat als Konsequenz, dass der Kreis der Konferenzteilnehmer*innen vorab festgelegt wer- den muss und sich die Teilnehmenden mit einem oder mehreren personenindividuellen Merk- malen (typischerweise mit Nutzername und Passwort) anmelden müssen. Anwendungsfall 4: Hohe Risiken Anwendungsfälle, bei denen schwerwiegende nachteilige Folgen für die betroffenen Personen eintreten können, bedürfen einer individuellen Risikobetrachtung, sodass wir diesbezüglich hier keine pauschale Bewertung der Dienste vornehmen können. Regelmäßig ist jedoch in diesem Anwendungsfall neben der Vornahme einer Zwei-Faktor-Au- thentifizierung der Teilnehmenden die Vornahme einer Ende-zu-Ende-Verschlüsselung der In- haltsdaten zwischen den Konferenzbeteiligten erforderlich, die so ausgestaltet ist, dass der Diensteanbieter die Konferenzinhalte nicht zur Kenntnis nehmen kann, jedenfalls nicht ohne die von den Teilnehmenden eingesetzte Software zu manipulieren. Wir geben daher in der Zusammenfassung des Ergebnisses an, ob ein Dienst eine Ende-zu- Ende-Verschlüsselung anbietet, und welche Qualität sie ggf. aufweist. Hierbei unterscheiden wir zwischen einer starken und einer schwachen Variante. Der Unter- schied besteht darin, dass sich bei der starken Variante die teilnehmenden Endgeräte gegen- seitig nachprüfbar authentifizieren lassen und für jede Konferenz neue flüchtige Verschlüsse- lungsschlüssel unter Kontrolle der Konferenzteilnehmer*innen so erzeugt, ausgehandelt bzw. 12 verteilt werden, dass dem Anbieter keine Kenntnisnahme des Schlüsselmaterials möglich ist. Die schwache Variante der Ende-zu-Ende-Verschlüsselung schützt dagegen davor, dass Be- schäftigte des Diensteanbieters die Konferenzinhalte beiläufig zur Kenntnis nehmen, wenn sie durch die Systeme des Diensteanbieters geleitet werden. Sie schützt nicht gegen einen Eingriff 11 Genauere Anforderungen an die Gastteilnahme sind in Nr. 4.2.4 der „Orientierungshilfe Videokonferenzsysteme“ der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu finden. Ver- antwortliche sollten zudem darauf achten, die konferenzspezifischen Passwörter nicht wiederzuverwenden, um das Risiko unautorisiert teilnehmender Personen zu reduzieren. 12 Siehe Kapitel 4.1 der „Orientierungshilfe Videokonferenzsysteme“ der Konferenz der unabhängigen Datenschutz- aufsichtsbehörden des Bundes und der Länder (DSK). Version 2.0 vom 18. Februar 2021