© istockphoto.com/PayPau

Hört ihr mich? Wie digitale Kommunikation gelingt

Einfache und sichere Softwarelösungen, die das Homeoffice erleichtern

War die Nachfrage nach digitaler Kommunikation in Unternehmen bisher überschaubar, so hat sich das durch die Einschränkungen zur Bekämpfung der Ausbreitung des Corona-Virus schlagartig geändert: Homeoffice wurde innerhalb kürzester Zeit zum Alltag für einen großen Teil der Arbeitnehmer in Deutschland. Unternehmen, Behörden und Hochschulen standen und stehen vor der Herausforderung in großer Eile Lösungen zu finden, die den Bedürfnissen der Mitarbeitenden entsprechen, funktionieren, sicher sind und zugleich den gesetzlichen Anforderungen genügen. Steinbeis-Unternehmer Prof. Dr. Thorsten Leize und Prof. Dr. Ingo Stengel (Hochschule Karlsruhe) geben einen Überblick, welche Lösungen sich hier anbieten.

Ganz gleich, wie hoch der Zeitdruck ist, darf eines bei der Einführung neuer Tools und Verfahren nicht vernachlässigt werden: der Datenschutz. Ob Behörde oder Privatunternehmen, die Datenschutzanforderungen an die Einführung eines neuen Verfahrens sind dieselben. Zusätzlich ist oft noch die Einbeziehung des Betriebs- oder Personalrats notwendig und geboten. Denn bei Verfahren zur digitalen Kommunikation fallen immer personenbezogene Daten an: Das sind alle Daten über und von natürlichen Personen, die auf diese bezogen werden können [1]. Dazu gehören zum Beispiel auch Internet (IP)-Adressen.

Vor jeder Einführung eines Verfahrens ist es wichtig, sich zuerst über die Anforderungen Gedanken zu machen und diese zusammenzutragen. Darauf folgt die Beratung mit dem Datenschutzbeauftragten. Nach der Entscheidung für eine Umsetzung eines Verfahrens mithilfe einer bestimmten Software oder eines Dienstes sind die notwendigen Unterlagen und Verträge zu erstellen und vom Datenschutzbeauftragten zu prüfen. Allgemeine Anforderungen an die gewählte Software sind grundsätzlich:

  • Datensparsamkeit [1]: Nur die wirklich notwendigen Daten werden verarbeitet. Für jede Verarbeitung braucht es einen festgelegten und definierten Zweck und eine Rechtsgrundlage.
  • Privacy by default/Privacy by design: Die Software muss datenschutzfreund­lich gestaltet sein und beispielsweise auf Knopfdruck die relevanten Daten für die Benutzerauskunft ausgeben.

„Kostenlose“ Kommunikationssoftware aus dem Netz

Freie Kommunikationslösungen [2], die man im Internet findet und die teilweise auch sehr populär sind, kommen oft aus Ländern, die eine andere Datenschutzvorstellung haben als die EU. Viele „kostenlos“ verwendbare Lösungen verdienen ihr Geld mit der Auswertung der Nutzerdaten und deren Weiterverkauf zu Werbe-, Überwachungs- und Manipulationszwecken. Zwar kann man dazu die Einwilligung der Nutzer erbitten [1], das funktioniert bei privaten Nutzern auch recht gut. Im Unternehmensumfeld ist das aber schwierig: Ein Mitarbeiter stimmt beispielsweise nicht „freiwillig“ zu, wenn sein Vorgesetzter von ihm verlangt mit einem bestimmten Werkzeug zu arbeiten. Außerdem sind das keine Verarbeitungen zum ursprünglichen Zweck, sondern Verarbeitungen zu Zwecken der betreffenden Unternehmen, die Auftragsverarbeiter des eigenen Unternehmens sein sollten.

Die Qual der Wahl: Closed Source oder FLOSS [8]

Nutzer haben bei der Softwaresuche die Wahl zwischen geschlossenen, proprietären Systemen (Closed Source Software) eines Anbieters und der Verwendung von FLOSS-Software (Free/Libre Open Source Software). FLOSS-Software darf der Nutzer selbst installieren und verändern. Vorteile von FLOSS- gegenüber Closed Source Software sind:

  • Keine Gefahr, dass das Produkt plötzlich abgekündigt wird, der Hersteller schließt, aufgekauft wird oder in ein Nicht-EU-Land umzieht;
  • die Software darf auf die eigenen Bedürfnisse hin angepasst und geändert werden;
  • die Software kann im eigenen Firmennetz gehostet werden.

Häufig gehen Nutzer bei der Verwendung frei verfügbarer Produkte davon aus, sie selbst installieren und damit ein spezialisiertes Know-how besitzen zu müssen. Das ist aber falsch. Man findet auch für diese Produkte kommerzielle Anbieter, die Hosting und auch Supportverträge anbieten. Die Vertragslage ist also dieselbe: Bei beiden Optionen können externe Partner beauftragt werden, die den notwendigen Support (und die Zusicherungen) von außen zuliefern.

Anwendungsszenarien für Videokonferenzen

Häufig braucht man klassische Videokonferenzen für Meetings mit wenigen (2-10) Teilnehmern und der Möglichkeit, Fenster des eigenen Bildschirmes mit den anderen Teilnehmern zu teilen. Hier bietet sich die Software Jitsi Meet an [4] [7]. Sie wurde für genau diesen Zweck entwickelt und funktioniert dafür auch gut und zuverlässig. Auch in Deutschland gibt es viele frei verfügbare Installationen davon. Durch den aktuell großen Bedarf an Meetings sind allerdings viele frei verfügbare Server überlastet. Jitsi reagiert bei unzureichenden Ressourcen manchmal etwas sensibel, ist aber dennoch eine gute Wahl. Es kann durch Telefoneinwahlmöglichkeiten und Ähnliches erweitert werden.

Der zweite Standardeinsatz von Videokonferenz-Software sind Schulungen und Webinare. Dabei ist typisch, dass oft nur eine oder wenige Personen ihr Video oder den Bildschirm mit den Präsentationsfolien übertragen. Aufnahmen sind möglich. Hier ist wichtig, das Persönlichkeitsrecht zu beachten [1]! Für diesen Einsatzzweck empfehlen Thorsten Leize und Ingo Stengel die Software BigBlueButton™ [3]. Die Lösung ist sparsam im Bedarf der Bandbreite, unterstützt Chats, Umfragen und Unterräume für Gruppenaufgaben oder -diskussionen, und wenn notwendig, Aufnahmen.

Performanceanforderungen

Ein entscheidender Punkt bei allen Videoanwendungen sind die Bandbreitenanforderungen. Um diese zu limitieren ist es sinnvoll, die Auflösung der Videos sowie die Anzahl von gleichzeitigen Videoübertragungen zu begrenzen. Oft scheitert ein Teilnehmer nicht an der Software oder dem Server, sondern an der eigenen schlechten Internetanbindung und Zugangsbeschränkungen wie Firewalls und Router-Beschränkungen. Minimalanforderungen sind 1 MBit/s Download- und Upload-Geschwindigkeit für einen Präsentator oder 1 MBit/s Download und ½ Mbit/s Upload pro Teilnehmer. Zusätzlich sollte der Server sehr gut angebunden sein.

Sicherheit und Datenschutz

Die europäische Datenschutz-Grundverordnung [1] definiert die Anforderungen an eine Anwendung im Hinblick auf Sicherheit und Datenschutz. Insbesondere sollen die Nutzer auf Transparenz, Datensparsamkeit, Löschfristen, Beschränkungen der Weitergabe an Dritte und an Dritte in Staaten außerhalb der EU hingewiesen werden. Die Verarbeitung der Daten durch Dritte setzt immer einen detaillierten Vertrag zur Auftragsdatenverarbeitung voraus.

Chats und gemeinsames Arbeiten

Gerade im Homeoffice und bei räumlich verteilten Arbeitsgruppen sind sichere, direkte, schnelle Kommunikationsmöglichkeiten notwendig. Hierfür eignet sich das Matrix-Protokoll [5]. Das ist ein verteiltes Protokoll, ähnlich wie bei der E-Mail können die Nutzer frei wählen, welche „Homeserver“ sie nutzen. Damit fallen die Kommunikationsmetadaten nicht bei nur einem Anbieter an und das System ist offen für die Kommunikation auch nach außen – das Unternehmen kann auch einen eigenen Server mit kommerzieller Unterstützung betreiben. Außerdem verfügt Matrix über Bridges zu anderen Protokollen. Für das verteilte, gemeinsame Arbeiten an Dateien empfehlen Thorsten Leize und Ingo Stengel die Software CryptPad [6]. Diese kann auch ohne viel Aufwand im eigenen Unternehmensnetz betrieben werden.

Dieser kurze Überblick zeigt: Es gibt durchaus datensparsame Softwarelösungen für verschiedene Szenarien, die den Anforderungen entsprechen und unter eigener Kontrolle relativ leicht und schnell umzusetzen sind. Solange die Systeme unter der eigenen Kontrolle und Regie sind – und sei es mihilfe von Dienstleistern – ist die Gefahr der Spionage und des Abflusses von Betriebsgeheimnissen deutlich reduziert.

Kontakt

Prof. Dr. Thorsten Leize (Autor)
Steinbeis-Unternehmer
Steinbeis-Transferzentrum Sensorik und Informationssysteme – SensIn’ (Karlsruhe)
www.sensin.eu

Prof. Dr. Ingo Stengel
Professor der Fakultät Informatik und Wirtschaftsinformatik
Hochschule Karlsruhe – Technik und Wirtschaft (Karlsruhe)


Quellen:
[1] EU-DSGVO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (Text von Bedeutung für den EWR), 2016.
[2] Virtuelle Konferenzen – Empfohlene Dienste, https://www.hs-augsburg.de/Rechenzentrum/virtuelle-Konferenzen.html, RZ der Hochschule Augsburg, [zuletzt gesichtet: 27.04.2020].
[3] Webseite Big Blue Button, https://bigbluebutton.org/commercial-support/, [zuletzt gesichtet: 27.04.2020].
[4] Webseite Jitsi, https://jitsi.org, [zuletzt gesichtet: 27.04.2020].
[5] Webseite Matrix, https://matrix.org, [zuletzt gesichtet: 27.04.2020].
[6] Webseite CryptPad, https://cryptpad.fr/, [zuletzt gesichtet: 27.04.2020].
[7] LfDI Baden-Württemberg: Datenschutzfreundliche technische Möglichkeiten der Kommunikation, https://www.baden-wuerttemberg.datenschutz.de/datenschutzfreundliche-technische-moeglichkeiten-der-kommunikation/, [zuletzt gesichtet: 17. April 2020].
[8] Thapa, Basanta; Sagkal, Hüseyin Ugur: Freie Software für den öffentlichen Sektor, https://www.verwaltung-der-zukunft.org/arbeitswelt-und-transformation/freie-software-fuer-den-oeffentlichen-sektor, [zuletzt gesichtet: 02.04.2020].