Services für den digitalen Arbeitsplatz zu Hause gibt es viele. Aber was macht ein gutes Tool aus Datenschutzsicht aus? Erste Orientierungshilfen für alle, die keinen heißen Draht zu Datenschutzbeauftragten haben.
Team-Meeting im Wohnzimmer, Konferenz von der Couch und Konzert aus der Küche – in der Corona-Krise verlagern auch viele Kulturschaffende ihre Arbeit ins digitale Homeoffice. Aber wann passt ein nützliches Tool auch zur DSGVO? Mit unserem Kollegen Michael Scherer – Datenschutzbeauftragter bei der Technologiestiftung Berlin – blicken wir auf datenschutzrechtliche Aspekte beim Filesharing, Videokonferenzen und Livestreams.
Michael, gibt es Faustregeln oder Leitfragen, die man bei der Wahl eines Tools im Hinterkopf haben sollte?
Datenschutz ist ein ziemlich weites aber eigentlich doch einfaches Feld. Grundsätzlich solltet ihr euch vor dem Einsatz neuer Tools oder Dienste immer fragen:
- Welche meiner persönlichen Details würde ich anderen im Austausch für ihre Leistungen zur Verfügung stellen wollen?
- Würde ich meinen echten Namen, Adresse, Email oder Kontonummer geben?
- Was bekomme ich dafür und sind wirklich alle Daten dafür notwendig?
Die Datenschutz-Grundverordnung (DSGVO) definiert „Personenbezogene Daten“ ausführlicher, als man denkt – nämlich all das, was erlaubt, Rückschlüsse auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität (Artikel 4 Ziffer 1 DSGVO) einer Person zu ziehen. Ganz offensichtlich gehören hierzu Vor- und Nachname, Adresse, Telefonnummer, Sozialversicherungsnummer, Matrikelnummer, aber auch etwas abstraktere Dinge wie Kundendaten, Grundbuch- und Fahrzeugregister, Körpermerkmale und Geburtstage. Gerade im Fall von Video-Konferenz-, Kollaborations- und anderen Online-Diensten zählen aber auch Online-Daten wie IP-Adresse, Emails und Standortdaten als personenbezogene Informationen.
Fragt euch also, wenn ein neuer Webdienst Einsatz finden soll: Was brauche ich an Daten wirklich von meinen Besucher*innen? Würde ich selbst meinen Klarnamen oder meine Postadresse angeben, wenn ich eigentlich nur einen Livestream ansehen will?
Datensparsamkeit vs. Datenhunger: Gibt man mehr, als man bekommt?
In diesen Fragen stecken zwei Kernpunkte der DSGVO: die Datensparsamkeit und die Zweckbindung. Personenbezogene Daten – und da reicht schon eine Mailadresse – dürfen nur verarbeitet werden, wenn Sie dem Zweck angemessen und relevant sind.
Nehmen wir an, ihr hostet einen Livestream über eure eigene Webseite ohne Hilfe von Dritten: Für einen kostenlosen Stream sind Angaben wie Kontonummer, Postadresse, Telefonnummer in der Regel unnötig. Selbst Klarnamen oder Emailadresse sind nicht zwingend notwendig – es sei denn, ihr habt ein berechtigtes Interesse (Art. 6 Ziffer 1 DSGVO). So könntet ihr Namen und E-Mails abfragen, wenn ihr z.B. Interaktionsmöglichkeiten in Form eines Chats zum Stream anbietet (falls jemand z.B. Hassrede oder Spam verbreitet), oder ihr den Stream z.B. nur Abo-Kunden anbietet. In diesem Fall könnt ihr natürlich auch die Abo-Nummer mit abfragen.
Privacy by Design: Datenschutz als Grundeinstellung
Was ein gutes Tool ausmacht, hängt deswegen stark vom geplanten Einsatz ab. Ganz allgemein: Egal ob Videostream, Medienplugin oder Plattform, ein guter Service sollte auf jeden Fall an eure Bedürfnisse anpassbar und auf datenschutzfreundliche Voreinstellungen gesetzt sein. Oft wird das unter „Privacy by Design“ zusammengefasst. Wichtige Kriterien hierbei sind u.a.:
- Das Tool erfasst idealerweise selbst gar keine oder nur wenige notwendige Daten (z.B. Cookies oder temporäre Dateien).
- Der Anbieter verwendet die Daten, die durch euch eingestellt oder generiert werden, nicht für andere Dinge wie Werbung.
Im Fall des derzeit gern genutzten Konferenztool Zoom war etwa das Problem, dass bei IOS Apps die Daten der Nutzer*innen ungefragt an Facebook weitergegeben wurden. Das wurde mittlerweile abgestellt, aber es zeigt, wie manche Firmen freizügig mit den Daten ihrer Kund*innen umgehen. Das wurde mittlerweile abgestellt, aber es zeigt, wie manche Firmen freizügig mit den Daten ihrer Kund*innen umgehen.
Serverstandort: Warum in die Ferne schweifen?
Wenn ihr die Wahl habt, dann sucht euch einen Anbieter, dessen Server sich in Deutschland oder in Europa befinden. Die DSGVO gilt für alle EU-Mitgliedstaaten und hiesige Anbieter wissen, worauf für eine DSGVO-konforme Service-Bereitstellung zu achten ist. Zwar gibt es zwischen EU und den USA mit dem Privacy Shield eine Absprache zum Datenschutz, dennoch gelten die US-Standards gemeinhin immer noch als unzureichend. Man kann, mit Einverständnis der Nutzer*innen, zwar Daten an US-Unternehmen übermitteln, aber wenn sich eine Alternative anbietet, ist es immer ratsam, diese zu nutzen.
Prinzip Transparenz: Verträge, Datenschutzerklärung, Impressum
Wenn ihr ein neues Tool nutzen wollt, überprüft, ob der Anbieter schon einen Vertrag zur Datenauftragsverarbeitung anbietet. Sobald ihr einem Dritten erlaubt, auf die Daten eurer Besucher*innen zuzugreifen, sei es nur Login oder IP-Adresse, könnte ein solcher Vertrag notwendig sein. Installiert ihr Software auf euren eigenen Servern, sodass kein Datentransfer mehr zum Anbieter besteht, ist kein Vertrag nötig. Das Gute ist: Die meisten Anbieter beraten euch in solchen Fragen – schließlich ist es auch in ihrem Interesse, abgesichert zu sein.
Alle, die derzeit kulturelle Angebote über Videostreaming oder Webkonferenzen anbieten, müssen die dabei erfassten Daten natürlich auch gegenüber den Nutzer*innen öffentlich dokumentieren. Die Datenschutzerklärung auf eurer Website sollte ergänzt werden, wenn:
- neue PlugIns oder Tools zum Einsatz kommen, vor allem, wenn eine längere Nutzung geplant ist.
- ihr Videos über externe Plattformen wie YouTube bereitstellt. Verlinkt dabei unbedingt auf Sitz und Datenschutzerklärung des Plattformanbieters.
Es gibt tatsächlich auch eine Impressumspflicht für eure Accounts auf Plattformen, die ihr länger und vor allem gewerblich nutzt – z.B. bei Facebook und YouTube. Wenn ihr euch aber nur temporär auf eine Plattform aufschaltet, vielleicht auch nur einmalig, ist meines Wissens nach kein ausführliches Impressum nötig, wohl aber ein Hinweis an die Besucher*innen, dass ihr diese Dienste einsetzt. Falls ihr nämlich etwa YouTube nutzt und die Besucher*innen sich den Film dort oder eingebettet bei euch ansehen, werden Daten zwischen der Plattform und der Zuschauer*in übermittelt.
Videokonferenzen datenschutzkonform gestalten
Viele Kulturinstitutionen greifen auf Tools und Plattformen wie Zoom, Skype oder Jitsi zurück, um im Kolleg*innenkreis Besprechungen durchzuführen oder sogar ganze Festivals mit externem Publikum zu organisieren.
Welche Art von Daten können dabei produziert oder berührt werden?
Je nach Plattform können die Login Daten, IP Adresse und natürlich Interaktionen wie Chat-Nachrichten erfasst werden. Dazu wird für den Buffer der Videostream gespeichert und falls die Option besteht, das Video abzuspeichern, der ganze Stream. Auch die Geo- oder Standortdaten können abgegriffen werden, um z.B. die besten Server für eine gute Verbindung zu finden.
Manche Tools erlauben es, Filme der eigenen Videochatsession zu erstellen. Darf ich Teilnehmende (Publikum / Redner*innen) einer Live-Session einfach aufnehmen?
Nein, dafür ist immer die Einwilligung aller Beteiligten einzuholen. Bei einer Videokonferenz müsste man eigentlich auch nachfragen, ob das Bild des/der Teilnehmer*in freigeschaltet werden darf. Wie auch bei Livestreams solltet ihr solche Fragen möglichst im Vorfeld mit allen Beteiligten klären, ob sie damit Einverstanden sind. Weitere Informationen zu Datenschutz und Videokonferenzen findet ihr bei der Gesellschaft für Datenschutz und Datensicherheit. Ihren Umgang mit Konferenz-Tools beschreiben zudem die Humboldt Universität (Fall Zoom) und in einer Checkliste auch die Uni Siegen.
Livestreams: Persönlichkeitsrechte beachten
Livestreams sind für viele Kulturschaffende und Kulturinstitutionen ein wichtiges Medium, um digital in Austausch mit dem Publikum zu treten und einen Zugang zu kulturellen Angeboten zu ermöglichen. Oft reicht zum Erstellen bereits das eigene Smartphone. Tipps hierzu finden sich in unserem Leitfaden „Livestream leicht gemacht“. Die Formate reichen von einfachen, linearen Streams hin zu moderierten Live-Veranstaltungen mit Publikumsbeteiligung.
Viele Livestreams werden durch Interaktionsmöglichkeiten per Chat ergänzt. Muss ein*e Organisator*in dafür sorgen, dass keine personenbezogenen Daten kommuniziert werden?
Ja, postet zum Beispiel ein*e Teilnehmende*r die Mailadresse einer anderen Person, wäre das ein Verstoß. Livestream-Anbieter*innen haben dann die Pflicht, die Nachricht zu löschen – auch aus dem Chat-Log, sollte es einen geben. Ihr solltet sowieso im Chat Moderator*innen einsetzten, die den Inhalt der Nachrichten prüfen und ggf. freischalten oder löschen. Außerdem solltet ihr für die Zuschauer*innen eine Netzetikette überlegen und darüber informieren. Das erstreckt sich auch auf die Nutzung von Pseudonymen vis-à-vis Klarnamen: Um zum Beispiel eine Person mit echtem Namen anzusprechen, die aber Online mit Pseudonym im Nutzer-Handle auftritt, müsste eigentlich vorab ein Einverständnis eingeholt werden.
Was ist, wenn ich ein Video oder einen Livestream – z.B. im Freien, auf einer Konferenz oder in einem Barcamp – mache und andere Menschen im Hintergrund gut erkennbar durchs Bild laufen?
Das ist eine große Schwachstelle der DSGVO, hier stößt sie mit dem Kunsturheberrecht zusammen. Das Problem ist bis heute nicht zufriedenstellend geregelt. Nach der DSGVO müsste man von jeder klar erkennbaren Person eine Einwilligung einholen, das Video senden zu dürfen, das Kunsturheberrecht räumt ein paar Lösungsmöglichkeiten – vor allem im Bereich Foto und on-demand-Video – ein, wenn man im journalistischen und nicht-werblichen Umfeld unterwegs ist. Im Gegensatz zu Fotos oder On Demand Videos ist es beim Livestream eher unwahrscheinlich, dass man alle Passanten nach ihrer Einwilligung fragen kann. Trotz längerer Recherchen habe ich noch immer keine befriedigende Antwort für Livestreams gefunden.
Ich denke, dass man mit dem §23 des Kunsturheberrechts argumentieren kann, dass Leute im Hintergrund als „Beiwerk“ anzusehen sind. Als Regel vielleicht: wenn ihr jetzt im Freien unterwegs seid und etwas Filmen wollt – macht deutlich, dass ihr etwas aufnehmt, sorgt für einen ruhigen Bereich, informiert vorher Menschen, die vielleicht gerade vor Ort sind, dass ihr gleich filmt. Etwas anders sieht es bei Messen oder Veranstaltungen aus, also wenn viele Menschen im Hintergrund sind und aufgenommen werden könnten. Da regelt der §23, dass Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen keine Einwilligung erfordern. Fair und richtig ist es aber, Teilnehmende im Vorfeld der Veranstaltung zumindest darüber zu informieren, dass Foto- / Filmaufnahmen gemacht und zu welchen Zwecken sie voraussichtlich eingesetzt werden. Und wenn eine einzelne Person besonders hervorgehoben ist, zum Beispiel um Publikumsreaktion auf ein Musikstück zu illustrieren, braucht es eine Erlaubnis zur Veröffentlichung.
Weitere Informationen:
- Fotografieren und Datenschutz – Landesdatenschutzbeauftragter Baden-Württemberg
- Rechtliche Bewertung von Fotografien einer unüberschaubaren Anzahl von Menschen nach der DSGVO außerhalb des Journalismus
- Kunsturheberrecht §23
Datenschutz beim Teilen und Bearbeiten gemeinsamer Dokumente
Nicht jeder kann einen Server mit VPN-Tunnel oder eine lokale Cloud aufsetzen. Onlinedienste zum Filesharing und kollaborativen Arbeiten sind hier eine mögliche Alternative.
Auf welche Qualitätsmerkmale sollte ich achten?
Den einen, ultimativen Sharing-Dienst gibt es nicht – es schwebt immer ein gewisses Risiko mit, das Unbefugte Zugang zu euren über Webdienste verschickte Daten erhalten. Zum Beispiel sorgte ein Bug dafür, dass im Sommer 2019 von WeTransfer Downloadlinks an falsche Personen verschickt wurden. Und vor ein paar Jahren wurden 68 Millionen Dropbox Accounts geleakt.
Seid bei der Wahl daher sorgsam:
- Hat der Dienst eine End-zu-End Verschlüsselung?
- Bietet er bei mehreren Nutzer*innen ein Rechte- und Zugriffsmanagement?
- Gibt es eine Passwortsicherung der Daten?
- Hat das Unternehmen seine Server in Europa?
Da sich auf diesem Sektor sehr viel tut, neue Cloud & Sharing Anbieter auf den Markt kommen und Nutzungsbedingungen sich ändern, würde ich dazu raten vorher zu recherchieren, welcher Dienst gerade von Datenschützern empfohlen wird. Zum Beispiel hat Stiftung Warentest im April 2019 Cloudanbieter getestet.
Und auch wenn es auf den ersten Blick am einfachsten wäre: von Google Drive und allgemein von Google Diensten rate ich im Arbeitsumfeld ab – ihre Dienste sind untereinander fast unüberschaubar verzahnt. Vor der Wahl von Google-Diensten lohnt ein Blick die Seiten des Unternehmens zu seiner Daten-Policy.
Welche Nutzer*innen-Daten fließen beim Einsatz eines Filesharing-Dienstes?
Das generell zu beantworten, fällt schwer, da es wieder auf den Anbieter und die Einstellungen ankommt. Als Beispiel führen WeTransfer und Dropbox in ihren Datenschutzbestimmungen Details auf, was von den Nutzer*innen erfasst wird.
Welche Dokumente sollten besser nicht in die Cloud?
Vertrauliches, Rechnungen, Verträge, Personaldaten und ich würde auch schon sagen Teilnehmer*innenlisten oder Kontaktdaten von Dritten. Vor allem, wenn die betroffenen Personen nicht ihre Einwilligung gegeben haben.
Wo finde ich weitere Ressourcen zum Datenschutz?
Gute Anlaufstellen sind die Aufsichtsbehörden und Landesdatenschutzbeauftrage. Dort findet ihr relevante Gesetzestexte und weitere Informationen dazu, wie ihr eure und damit im Umkehrschluss die Daten eurer Besucher*Innen schützen könnt.
Daneben gibt es auch eine Reihe von guten Blogs oder Wikis, u.a.:
Text von: Michael Scherer und Silvia Faulstich