Cisco Blog Deutschland

Webex und Datenschutz in der Welt von Hybrid Work

5 min read



Nach zwei Jahren Pandemie sind Videokonferenzen ein fester Bestandteil unseres täglichen Lebens geworden. Wir nutzen Videokonferenzen, um unsere Geschäfte fortzuführen, zu lernen und zu lehren und nah bei unseren Freunden und Familien zu bleiben. Die Technologie dahinter ist von einem nützlichen Tool zu einem unverzichtbaren Bestandteil unseres Lebens geworden.

Die Verlagerung vieler alltäglicher Aktivitäten ins Internet und der Aufbruch in eine hybride Arbeitswelt werfen jedoch auch Fragen auf: Welches Videokonferenzsystem ist am besten für die Bedürfnisse eines Unternehmens oder einer Person geeignet? Welches Maß an Datenschutz und Privatsphäre bietet ein Videokonferenzsystem und sein Betreiber? Kunden, NutzerInnen und Datenschutzbehörden in ganz Europa wollen wissen, ob persönliche Daten wirklich geschützt sind – und das zu Recht.

Um bei der Entscheidungsfindung zu helfen, widmen wir uns anlässlich des Europäischen Datenschutztages fünf wichtigen Themen in Bezug auf Webex by Cisco rund um den Datenschutz.

Cisco Webex: Compliance mit der DSGVO

Privacy by Design und Default sind im Datenschutz unsere zentrale Entwicklungsgrundlage für Webex. Webex wurde als erster Videokonferenzdienst nach dem EU Cloud Code of Conduct (EU Cloud CoC) zertifiziert. Der EU Cloud Code of Conduct konkretisieret die rechtlichen Anforderungen von Artikel 28 der Datenschutz-Grundverordnung für den Einsatz von Cloud-Produkten. Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB), dem alle Datenschutzbehörden der EU-Mitgliedstaaten angehören, hat den EU Cloud Code of Conduct geprüft und als anerkannte Verhaltensregel nach der Datenschutzgrundverordnung genehmigt. SCOPE Europe, eine unabhängige Kontrollinstanz, hat bestätigt, dass Webex alle Anforderungen des EU Cloud Code of Conduct erfüllt.

Webex kann daher von Kunden auf der ganzen Welt in Übereinstimmung mit der DSGVO und weiteren Datenschutzgesetzen eingesetzt werden.

Weitere Informationen über Webex und den EU Cloud Code of Conduct finden Sie in diesem Artikel.

Datenspeicherung in der EU: Unserem Zeitplan voraus

Eine lokale Datenverarbeitung in der EU ist ausdrücklich keine rechtliche Anforderung – die DSGVO lässt vielmehr sogar ausdrücklich internationale Datenübertragungsmechanismen, Abweichungen und Ausnahmen zu. Dennoch bieten wir unseren Kunden individuelle Wahlmöglichkeiten – und damit die Kontrolle, wo ihre Daten gespeichert und verarbeitet werden.

Im Juli 2021 haben wir ein neues Rechenzentrum in Frankfurt am Main eröffnet. Für unsere EU-Kunden bedeutet das: Alle von ihnen erstellten Inhalte (z. B. Nachrichten, Aufzeichnungen, Dateien) in Webex sowie Nutzerprofile und Betriebsdaten werden in der Europäischen Union gespeichert und verarbeitet – in unserem Rechenzentrum in Frankfurt, mit einem Backup-Rechenzentrum in Amsterdam, Niederlande. Wir werden eine vollständige Datenlokalisierung im Jahr 2022 erreichen, so dass eine Datenverarbeitung bei Webex ausschließlich in der EU erfolgt und liegen hierbei vor unserem eigenen Zeitplan.

Einzelheiten zum Datenlokalisierungsprozess finden Sie hier.

Webex: Ein 360-Grad-Ansatz für Sicherheit

Sicherheit und Datenschutz sind für Cisco von zentraler Bedeutung. Der Schutz von Kundendaten hat immer hohe Priorität und wir investieren kontinuierlich in die Einhaltung nationaler und internationaler Sicherheits- und Datenschutzstandards.

Webex verfolgt einen 360-Grad-Ansatz für die Sicherheit unserer datenverarbeitenden Systeme, einschließlich starker Verschlüsselung, Geräte- und Browserschutz sowie Aufbewahrung und Archivierung gemäß anwendbarem Recht und den Vorgaben unserer Kunden. Nur authentifizierte Benutzer können Nachrichten und Dateien in Webex-Meeting-Räumen einsehen.

Sicherheit und Datenschutz berücksichtigen wir bereits von Beginn der Entwicklung an. Technische Voraussetzungen müssen grundsätzlich vorhanden sein und nicht erst nachträglich hinzugefügt werden. Der Cisco Secure Development Lifecycle (CSDL) folgt einer Secure-by-Design-Philosophie und implementiert diese von der Produktidee über den Betrieb bis hin zum Ende der Nutzungsdauer. Datenschutz-Folgenabschätzungen sind verpflichtender Teil des CSDL-Prozesses und müssen abgeschlossen sein, bevor Produkte zur Markteinführung freigegeben werden.

Darüber hinaus verfolgt Cisco seit langem eine „No Backdoor Policy“; Produktentwicklungsvorgaben untersagen ausdrücklich das Einbringen von Produktverhalten oder -funktionen, die einen unbefugten Geräte- oder Netzwerkzugriff, die Offenlegung sensibler Gerätedaten oder die Umgehung von Sicherheitsfunktionen ermöglichen.

Webex wurde in Übereinstimmung mit anerkannten Sicherheits- und Datenschutzanforderungen entwickelt und zertifiziert, wie:

  • EU Binding Corporate Rules – Controller
  • C5-Zertifizierung (BSI Kriterienkatalog Cloud Computing)
  • ISO 27001 (Informationssicherheitsmanagement)
  • ISO 27017 (Sicherheitsmaßnahmen für Cloud-Dienste)
  • ISO 27018 (Schutz personenbezogener Daten in Public Clouds)
  • ISO 27701 (Datenschutzmanagement)
  • SOC 2 Typ II (Maßnahmen zum Schutz von Kundendaten)
  • APEC Cross Border Privacy Rules
  • APEC Privacy Recognition for Processors

 

Ergänzende Maßnahmen nach dem Schrems-II-Urteil

Die grenzüberschreitende Verarbeitung personenbezogener Daten durch Webex entspricht den Anforderungen des Schrems-II-Urteils des Gerichtshofs der Europäischen Union (EuGH). Wir verwenden die, in der DSGVO aufgelisteten und genehmigten Übermittlungsmechanismen wie Binding Corporate Rules (BCR)-Controller und die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCCs) in Kombination mit weiteren technischen, vertraglichen und organisatorischen Maßnahmen. Diese zusätzlichen Garantien folgen den Empfehlungen des EDPB (European Data Protection Board) für internationale Datenübermittlungen gemäß dem Schrems-II-Urteil.

Mehr zu unserer Reaktion auf Schrems II und den ergänzenden Schutzmaßnahmen finden Sie hier.

Grenzüberschreitende Datenübertragungen zu untersagen ist nicht das Ziel der DSGVO. Sie unterstützt und fördert den sicheren, weltweit freien Fluss personenbezogener Daten, solange die Verarbeitung den EU-Standards folgt. Wie der EuGH in der Schrems-II-Entscheidung klarstellte, können die DSGVO Übertragungsmechanismen gemeinsam mit zusätzlichen Garantien genutzt werden, um personenbezogene Daten aus der EU legal in Länder außerhalb der EU zu übermitteln und dort zu verarbeiten.

Einbeziehung Dritter und unser „Principled Approach“

Wir verkaufen, verwerten oder teilen keine personenbezogenen Kundendaten mit Dritten zu Marketing- oder Werbezwecken.

In einigen Fällen arbeitet Cisco mit Service-Providern zusammen, welche die Bereitstellung von Diensten für Webex unterstützen. Als Unterauftragsverarbeiter sind diese Anbieter nur mit entsprechender vertraglicher Grundlage tätig und halten das gleiche Maß an Sicherheit und Datenschutz ein wie wir. Über unsere Privacy Data Sheets können unsere Kunden jederzeit in Erfahrung bringen, wie ihre Daten verarbeitet werden.

Alle Unterauftragsverarbeiter von Cisco werden einer strengen Sicherheits- und Datenschutzprüfung unterzogen, um sicherzustellen, dass sie unsere Anforderungen erfüllen. Darüber hinaus sind sie per Datenverarbeitungsvertrag an die Einhaltung anwendbarer Datenschutzvorschriften gebunden. Für die Verwendung und Verarbeitung der von Cisco oder unseren Webex-Kunden und -NutzerInnen bereitgestellten Daten müssen sie damit sehr strenge Grenzen einhalten. Unser Supplier Data Protection Agreement war Bestandteil der Compliance-Prüfung von Webex gemäß dem EU Cloud Code of Conduct sowie im Rahmen der Genehmigung als BCR-Controller. EU-Aufsichtsbehörden und unabhängige Prüfer haben uns die Einhaltung der datenschutzrechtlichen Anforderungen bestätigt.

Wenn eine Regierungsstelle Zugang zu Kundendaten anfordert, beispielsweise im Rahmen eines Strafverfolgungsverfahrens, wenden wir unseren „Principled Approach“ an. Im Falle eines behördlichen Datenzugriffsersuchens werden Daten nicht automatisch herausgegeben, sondern zunächst benachrichtigen wir unseren Kunden und leiten die Anfrage an ihn als Datenverantwortlichen weiter. Als Unterzeichner der Trusted Cloud Principles haben wir uns öffentlich zu diesen Verpflichtungen bekannt und sie in unsere Kundenverträge aufgenommen.

Zweimal im Jahr veröffentlichen wir Transparenzberichte und geben öffentlich Auskunft über die Anzahl und die Art der behördlichen Anfragen nach Kundendaten, die wir in dem betreffenden Zeitraum erhalten haben, und wie diese beantwortet wurden.

Unser Versprechen

Wir verpflichten uns, Daten zu schützen, die Privatsphäre zu respektieren und sichere Technologien und Lösungen bereitzustellen, die den Bedürfnissen unserer Kunden bei Datenschutz und IT-Sicherheit entsprechen. Wir begrüßen den Austausch über Datenschutz und Sicherheit mit Kunden, NutzerInnen und Datenschutzbehörden. Wir hoffen, dass unsere Zusammenstellung dazu beiträgt, unseren grundsätzlichen Ansatz, unseren Einsatz für Datenschutz und Sicherheit sowie unsere konkreten Maßnahmen zur Umsetzung zu verdeutlichen.

Für weitere Informationen besuchen Sie bitte das Cisco Trust Center oder nehmen Sie Kontakt mit uns auf.

Authors

Klaus Lenssen

Chief Security Officer - Head of Security & Trust Office Germany

Cisco Deutschland

Kommentar hinterlassen