Was genau machst Du bei innovaphone?
Seit 2007 bin ich mit an Bord der innovaphone AG, Mitglied im Partner Management Team Deutschland und dort verantwortlich für den norddeutschen Raum. Ich bin etliche Jahre auch in Berlin unterwegs gewesen und habe viele Kontakte zu Behörden und Organisationen mit Sicherheitsaufgaben aufgebaut.
Warum liegt Dir das Thema DSGVO besonders am Herzen?
Die, nennen wir es mal nett, Spionage unter Freunden-Vorfälle haben gezeigt, dass wir sehr offen mit unseren Daten umgehen, da wir dachten, alles sei irgendwie sicher. Ich habe mir die Frage gestellt, was man damit eigentlich so anfangen kann. Schauen wir uns die großen Tech-Konzerne an, dann verdienen diese damit Geld, zu wissen, was wir jetzt und auch in Zukunft so treiben. Ziehe ich Parallelen zu meinen Gesprächen, die ich tagtäglich führe, so darf man davon ausgehen, dass viele persönliche Inhalte irgendwo in einem Datensilo landen. Und was wird damit gemacht? Ich weiß es leider nicht. Die einzige Möglichkeit, die in meiner eigenen Verantwortung steht, ist, genau darauf zu achten, worüber, wann, mit wem und vor allem auch über welche Plattform ich kommuniziere. Es fühlt sich irgendwie gut an zu wissen, dass nicht alles von mir irgendwo auf der Welt gespeichert ist.
Wer kennt das nicht: Einladung zu einer Websession, den Link geklickt, Headset und Kamera kontrolliert, die Haare ebenso und los geht´s. Ist es nicht verrückt, wie die Pandemie dazu führte, dass wir uns so schnell an eine Websession nach der anderen gewöhnt haben? Was haben wir davor eigentlich gemacht? Kaum jemand erinnert sich so richtig daran. Oder will es nicht. Aber da war doch was? Ja, genau, langsam fällt es mir wieder ein: Kommunikation per Telefon. Oder per Email. Und wie oft erzählten wir in Terminen von Videotelefonie, ob 1:1 oder in 3er-Konferenzen oder gar größeren Sessions mit sprecherbasiertem Video – damals noch ganz basic und anspruchslos: Nur ein Videobild desjenigen zu sehen, der am lautesten war, war bis zur Pandemie o.k., seit der Pandemie nicht mehr. Aber damit ist ja mit dem innovaphone Conferencing zum Glück Schluss! Eine Multivideoplattform in der innovaphone PBX, lokal installiert oder aus der Cloud. Schon cool!
„Ja aber…“ höre ich dann oft, „Wir haben da jetzt pandemiebedingt was eingeführt“. Manchmal will ich gar nicht wissen, auf was für Abenteuer sich die IT einlassen musste, weil die Geschäftsführung oder irgendjemand in der Firma das haben will, was angeblich State-of-the-Art sei. „Die Mitarbeiter gewöhnen sich schon dran“, auch so ein Satz den es vor der Pandemie nicht gegeben hätte. Wehe dem, der nicht die besondere, extrem wichtige Taste am Telefon von Herrn oder Frau XYZ abbilden kann. „Dann wird das nix mit unserem Geschäft.“ Und jetzt? Audioverbindung bricht ab oder klingt schlecht. One Number? Nix da, immer mehr GSM-Nummern sehe ich in meinem Display, wenn das Telefon oder Softphone klingelt. Wenn ich nachfrage, warum jemand mich mit dem Mobiltelefon anruft, kommt: „Weißt ja, wir sollen XYZ nutzen. Das tut aber nicht, deswegen kurz per Handy.“ Lassen wir das mal kurz auf uns wirken…
Wenn ich dann darüber nachdenke, was für Schleifen beim Kunden gedreht wurden, wenn es um Präsenzinformationen ging. Jeder sollte alles und nichts sehen. „Auf gar keinen Fall darf der Nutzer den Kalendereintrag von Frau XYZ sehen.“ Wieder denke ich, wie gut, dass wir bei innovaphone so feinzellig die Privatsphäre einstellen können. Spoiler nebenbei: kennst Du den Blogbeitrag zum Thema Präsenz von meinem Kollegen Johannes?
Was aber passiert, wenn ich an einer Websession teilnehme? Wer sieht denn meinen Namen, meine Firma? Was gebe ich preis, um an einer Konferenz teilzunehmen? Und was passiert überhaupt in so einer Konferenz? Wird das aufgezeichnet? Jetzt werden alle sagen: „Nein, das ist doch alles datenschutzkonform.“ Oder – noch besser: „Sonst würden wir das gar nicht verwenden.“
Schon mal was vom „Privacy Shield“ gehört? Das ist sozusagen das Datenschutzgesetz in den USA. Rein theoretisch ist es ganz simpel: US-Unternehmen sollten eigentlich eine Selbstverpflichtung eingehen, wonach sie bestimmte Datenschutz-Prinzipien befolgen und Betroffenen Rechte gewährt werden.1 O.k., das ist jetzt nur ein Auszug. Aber der sagt auch schon alles aus. Aus Sicht der europäischen Datenschützer regelt das mal ganz und gar nicht das, was wir mit der DSGVO haben. Deswegen gibt es auch ein Urteil namens „Schrems II“ vom EuGH. Hier wurde geklärt, dass „Übermittlungen personenbezogener Daten in die USA auf der Grundlage des Privacy Shield unzulässig sind. Solche Übermittlungen müssen daher auf andere Rechtsgrundlagen umgestellt oder unverzüglich eingestellt werden.“2
Aber einer geht noch. Zu guter Letzt hier noch der „CLOUD Act“ , ausgeschrieben bedeutet die Abkürzung „Clarifying Lawful Overseas Use of Data Act “ und wieder die USA: „Der CLOUD Act habe klarstellen sollen, dass ein dem US-Recht unterfallendes Unternehmen einem Herausgabeverlangen bezüglich elektronischer Beweismittel in Strafverfahren nachkommen müsse, gleich wo sich die Daten befänden."3
Natürlich finde ich Verbrechensbekämpfung sinnvoll und notwendig, auch international. Die Gesetze sollten dafür sorgen, dass auf der einen Seite meine Daten sicher sind, auf der anderen Seite aber auch von anderen Institutionen genutzt werden dürfen. Im Umkehrschluss ist es jedoch so, dass, wenn ich an einer Websession teilnehme und der Dienst von einem US-Unternehmen angeboten wird, meine Daten irgendwie dann doch nicht sicher sind. Ich gehe auch davon aus, und das meine ich wirklich ernst, dass die Videosession nicht nur aufgezeichnet wird, sondern dass das gesprochene Wort transkribiert, also in Text übersetzt wird. Das ist ein normaler Dienst, den man aktivieren kann.4 Jetzt nehmen wir uns den CLOUD Act und stellen uns vor, dass eine US-Institution Zugriff haben möchte. Bekommt sie dann wirklich die Videosession oder „nur“ das Transkribierte? Und was passiert, wenn es ein Datenleck gibt? Wer hört oder liest noch mit auf der Datenleitung?
Aber was habe ich schon an Geheimnissen! O.k., wir reden per Websession über Projekte, Konditionen, das neueste Hardwaremodell als Prototyp, die neue Softwareversion mit brandneuen Features. Baupläne werden geshared, Verschlusssachen diskutiert. Wir schnacken auch nur mal rum, sinnieren über den Urlaub und wünschen uns ein tolles Wochenende. Das sind doch keine unternehmensrelevanten Dinge. Oder doch?
Wie kommen Datenschützer nun aus der Nummer raus? Es ist ganz einfach: Wenn ihr es nicht bereits macht, dann fangt an, euch mit Systemen zu beschäftigen, bei denen eure Daten sicher sind! Der Nutzer soll sich doch nicht an Sachen gewöhnen, die im Nachgang eine Gefahr für das Unternehmen darstellen, oder? Gebt ihm Werkzeuge, die Spaß am sicheren Kommunizieren machen. Ich freu mich schon auf unsere Multivideoplattform mit V13r3, die bald released wird! Die zeigen wir euch sehr gern! Garantiert datenschutzkonform!
Quellen:
[1] Vgl. https://www.datenschutz.org/privacy-shield/
[2] https://lfd.niedersachsen.de/startseite/themen/internationaler_datenverkehr/das_schrems_ii_urteil_des_eugh_und_seine_bedeutung_fur_datentransfers_in_drittlander
[3] WD-3-181-20-pdf-data.pdf (bundestag.de), S.8.
[4] Vgl. z.B. https://www.ibm.com/cloud/learn/speech-recognition