Der Blätterkatalog benötigt Javascript.
Bitte aktivieren Sie Javascript in Ihren Browser-Einstellungen.
The Blätterkatalog requires Javascript.
Please activate Javascript in your browser settings.
3 l 2021 Privacy by Design l 25 überhaupt anfangen? Aber Nur weil ein Anbieter etwas gegebenenfalls später nutzen kann sollte er nicht grundsätzlich Daten nur erheben weil es die Technik möglich macht In Hinblick auf Videokonferenzlösungen sind vor allem die erfassten Logs Aus diesen geht hervor wann welche IP-Adresse eine Verbindung aufgebaut hat Falls es bei diesem Prozess zu Störungen kommt lassen sie sich besser nachvollziehen so lautet vor allem das technische Argument für die Logs Hacken sich aber Cyberkriminelle ein können sie auslesen wer mit wem wie lange kommuniziert Das muss nicht in jedem Fall schwere Komplikationen nach sich ziehen Es sei denn geheime oder kartellrechtlich relevante Absprachen werden in dem virtuellen Meeting getroffen Damit jedoch über die Metadaten hinaus keine Dokumente Chatprotokolle und Aufzeichnungen aus Chats in die falschen Hände geraten lassen sich die Daten verschlüsseln Auf diese Weise schützt ein Unternehmen sein geistiges Eigentum In der Praxis liegen die Daten jedoch oftmals unverschlüsselt vor damit Anwender schnell an Informationen auch während einer Videositzung gelangen Besonders kritisch wird es daher wenn es Hackern gelingt die Identität der Nutzer anzunehmen und sich somit Zugriff auf die Informationen zu verschaffen Dieses Dilemma lässt sich jedoch kaum lösen allenfalls durch den Einsatz von Künstlicher Intelligenz KI um beispielsweise Anomalien zu erkennen Der Algorithmus schlägt in diesem Fall beispielsweise Alarm sobald zu untypischen Zeiten oder aus unerwarteten Regionen Datenzugriffe erfolgen Anbieter von Videolösungen stehen daher vor der Herausforderung eine gute Balance zwischen Funktionalität Sicherheit und DSGVO-Konformität zu finden Eine Frage die sich die Unternehmen beispielsweise stellen müssen Ist es tatsächlich im Sinne der Anwender wenn sich diese mit ihrer E-Mail-Adresse authentifizieren müssen? Denn an Privacy by Design gedacht sollte auch ein ganz konkreter Verwendungszweck für die E-Mail-Adressen vorliegen Und oftmals reicht ein pseudonymisierter Benutzername aus um sich für ein virtuelles Meeting anzumelden Und auch etwaige technische Störungen und Ausfälle die zwangsläufig vorkommen lassen sich auch ohne Logs erkennen Beispielsweise indem man die Auslastung der Server und die Anzahl der Verbindungen auswertet Dabei ist es auch nicht nötig die IP-Adresse zu verknüpfen oder sie anschließend zu speichern Das Log kommt erst zum Zuge wenn es auch tatsächlich für die Lösungsfindung sachdienlich ist Ist das Problem gelöst endet wiederum der Protokollvorgang Ein weiteres potenzielles Problem ist dass alles was während des virtuellen Meetings ausgetauscht wird theoretisch auch abgegriffen werden kann Das liegt daran dass viele Lösungen Informationen nach dem Meeting nicht explizit löschen Deutlich sicherer ist es daher komplett auf Aufnahmen oder das Speichern zu verzichten Zusätzlich könnnen die Anbieter weiteres Vertrauen in ihre Lösungen schaffen wenn sie transparent angeben wann warum und wie sie personenbezogene Daten verarbeiten Es empfiehlt sich zudem die Auftragsdatenverarbeitung vertraglich zu regeln sich nach ISO 27001 zu zertifizieren und entsprechend die Daten auf Servern in der EU oder besser in Deutschland zu speichern Dann greift EU-Recht was hingegen bei einem USamerikanischen Anbieter nur bedingt gilt Mit Nutzen und Anwenderfreundlichkeit überzeugen Eine datenschutzkonforme Videokonferenzlösung könnte jedoch Befürchtungen schüren dass ihre Funktionen massiv eingeschränkt sind Dem lässt sich aber gegebenenfalls mit der richtigen Argumentation entgegenwirken denn konsequenter Datenschutz bringt viele Vorteile mit sich So lassen sich beispielsweise auch vertrauliche Absprachen im virtuellen Raum umsetzen denn wird von Beginn an auf eine Datenerhebung verzichtet müssen sich Nutzerinnen und Nutzer auch keine Gedanken über deren Sicherheit und anschließend eine rechtskonforme Löschung dieser machen Das betrifft alle Informationen von Metadaten über Nutzungsweise Chat-Verläufe bis hin zu Gesprächsprotokollen Um darüber hinaus die nötige Performance sicherzustellen sollte jeder Nutzer eine eigene Server-Instanz mit garantierten Ressourcen erhalten die nicht geteilt wird Auf unnötige Zusatzfunktionen sollten die Anbieter verzichten Denn letztlich benötigen alle Anwenderinnen und Anwender eine Videokommunikationslösung egal für welchen Zweck die leistungsfähig sicher intuitiv zu bedienen und ortsunabhängig einsetzbar ist Volkan Yilmaz Gründer und Geschäftsführer von AnkhLabs Privacy by Design & Co ➤ Der Begriff Privacy by Design zu Deutsch Datenschutz durch Technikgestaltung bezieht sich auf den Grundgedanken dass sich der Datenschutz am besten einhalten lässt wenn bereits bei der Konzipierung und der Entwicklung von Software und Hardware Datenverarbeitung berücksichtigt wird Der Schutz personenbezogener Daten im Sinne der DSGVO erfolgt somit durch das frühzeitige Ergreifen technischer und organisatorischer Maßnahmen TOMs im Entwicklungsstadium Im Idealfall sollen durch benutzerfreundliche Voreinstellungen ausschließlich Daten erhoben werden die für den jeweiligen konkreten Verarbeitungszweck erforderlich sind Bei einem Vertrag mit einem Onlinehändler wären das beispielsweise Name Anschrift und Kontoverbindung für Versand und Bezahlung Eine Abwandlung dieses Begriffs ist in dem Zusammenhang Privacy by Default was soviel heißt wie Datenschutz durch datenschutzfreundliche Voreinstellungen Das bedeutet dass die Werkseinstellungen datenschutzfreundlich zu gestalten sind Nach dem Grundsatz sollen insbesondere die Nutzer geschützt werden die weniger technikaffin sind und somit weniger dazu neigen die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen Dieser Gedanke steht übrigens wiederum hinter dem Begriff Privacy Paradox wonach Menschen persönliche Informationen teilen obwohl sie gleichzeitig Bedenken in Bezug auf ihre Privatsphäre haben DK