KontaktRufen Sie uns an +49 89 993412-0

DSGVO und Videokonferenzen – ein schwieriges Pärchen

10. Aug 2021 RST

Videokonferenzen sind seit Beginn der Coronakrise massiv im Vormarsch. Während noch vor zwei bis drei Jahren in Unternehmen hauptsächlich teure, meist hardwarebasierte Systeme eingesetzt wurden, reicht heute ein netzwerktechnisch halbwegs gut angebundenes Notebook mit eingebauter Kamera, um Videokonferenzen zu initiieren oder an solchen teilzunehmen. Auch im Bildungsbereich, in Schulen und Universitäten ist Video-Conferencing inzwischen weit verbreitet. Auf den Datenschutz scheint dabei kaum jemand zu achten.

Die vorhandene Technik sowie die inzwischen erworbene Kompetenz der Nutzer im Umgang mit ihr wird dazu führen, dass auch nach der Corona-Pandemie diese Art der Kommunikation weiter bestehen bleiben wird. Die am häufigsten verwendeten Produkte im Business- und Bildungsbereich sind Microsoft Teams, Zoom oder Webex, das beispielsweise derzeit in Münchens Schulen als Ersatz für Microsoft Teams eingesetzt wird.

Persönliche Daten schützen  

Durch die Teilnahme an Videokonferenzen werden umfängliche persönliche Daten und andere schützenswerte Informationen freigegeben. Neben Benutzernamen und/oder Klarnamen sowie der Internetadresse sind dies vor allem Bilder aus dem Videostream, die sich zur Gesichtserkennung eignen würden. Darüber hinaus können mit der Person verknüpfte Inhalte, Sprache und Meinungen mitgeschnitten werden, ganz zu schweigen von Firmengeheimnissen, etwa bei Videokonferenzen mit Screensharing.

Insofern sind Überlegungen mehr als angebracht, wie es mit dem Datenschutz der angebotenen Lösungen aussieht, der in Europa ganz klar über die DSGVO geregelt ist. Diese wurde Mitte 2018 mit großem Getöse und hehren Anforderungen eingeführt. Unternehmen wurden zum Teil mit kaum erfüllbaren Anforderungen gepiesackt. Die entstandenen Absurditäten reichten bis hin zur Realsatire, wie bei dem bayerischen Metzger, der sagte, er könne nur noch Weißwürste für Kunden reservieren, wenn er eine unterzeichnete Datenschutzerklärung vorliegen hätte, da er ja den Kundennamen notiert.

In Bezug auf Videokonferenzen kommt eine Kurzstudie der Berliner Beauftragten für Datenschutz und Informations­freiheit gerade zum richtigen Zeitpunkt. Sie adressiert exakt die hier relevanten Themen, um Berliner Behörden und Unternehmen eine fundierte Entschei­dungs­grundlage zu liefern. Die Zusammenfassung ist als PDF-Dokument online zu erhalten.

Die Untersuchung umfasst einen rechtlichen Teil (Auftragsverarbeitungsverträge und weitere rechtliche Grundlagen) sowie einen technischen Teil, der sich mit der Umsetzung der Dienstleistung befasst. Alle Aspekte werden mit einfachen Ampelsymbolen bewertet.

Rechtlicher Teil

Ohne auf die rechtlichen Details eingehen zu wollen, lässt sich im Ergebnis sagen, dass die meistgenutzten Systeme (Webex, Google Meet, GoTo Meeting, Microsoft Teams, Zoom) bereits bei der rechtlichen Beurteilung aus der Wertung fallen (rote Ampel) und deshalb im technischen Teil der Auswertung nicht mehr betrachtet werden. Die Ergebnisse für die führenden Systeme, vor allem auch von Microsoft Teams, sind so katastrophal, dass eine DSGVO-konforme Nutzung komplett illusorisch erscheint.

Neben den nicht DSGVO-konformen Vertragsgrundlagen und zum Teil undurch­sichtigen "Anlagen zu den Datenschutzbestimmungen" (DPA) wurde festgestellt, dass diese Verträge bespielsweise von Microsoft unangekündigt nachträglich geändert werden. Microsoft behauptet, dass die DPAs in den unterschiedlichen Fassungen der DSGVO entsprächen. Die Datenschützer sehen das deutlich anders (siehe Seite 20 der Studie):

"Anbieter behält sich die Verarbeitung von Auftragsdaten zu eigenen Zwecken vor. Mängel im Auftragsverarbeitungsvertrag. Viele Unklarheiten und Widersprüche im Auftragsverarbeitungsvertrag. Unzulässige Datenexporte. Anbieter hat veröffentlichten Auftragsverarbeitungsvertrag ohne Kennzeichnung umfangreich nachträglich geändert; Version (laut Metadaten) vom 3.1.2020 enthält unzulässige Einschränkungen des Weisungsrechts."

Liest man die detaillierten und rechtlich fundierten Kommentare der Berliner Datenschützer, dann wird deutlich, dass die Anforderungen der DSGVO in keiner Weise ernst genommen werden. Das Datenschutzrecht wird geradezu mit Füßen getreten, das gilt in einem weiteren Umfeld auch für MS365, das übrigens weitgehend die gleichen rechtlichen Regelungen wie Teams nutzt.

Technischer Teil

Im technischen Teil werden nur noch die Systeme geprüft, die sich nicht schon im ersten,  rechtlichen Teil disqualifiziert haben. Zur Bewertung werden vier Anwendungsfälle definiert, die unterschiedliche Risiken der Teilnahme abbilden sollen:

  1. Geringfügige Risiken
  2. Normal schutzbedürftige Inhalte, Gastteilnahme mit geringfügigen Risiken
  3. Normale Risiken
  4. Hohe Risiken

Die Lösungen, die die rechtlichen Hürden des ersten Teils genommen haben, schneiden auch im technischen Teil gut ab. Dazu gehört übrigens auch Jitsi, das wir in unserem Produkt CoreBiz Teams einsetzen. Da die Details den Rahmen dieses Artikels sprengen würden, verweisen wir Interessenten oder Betroffene auf die oben genannte Quelle.

Verantwortungsvoll handeln

Seit langem ist bekannt, dass sich viele amerikanische Unternehmen nicht an europäische Datenschutzstandards halten, deshalb wurde im Jahr 2015 vom Europäischen Gerichtshof (EuGH) entschieden, dass das sogenannte Safe-Harbour-Abkommen für den Schutz europäischer Daten nicht ausreicht.

Aus unserer Sicht hat diese Entscheidung jedoch am Verhalten der IT-Verantwortlichen in deutschen Behörden und Unternehmen nichts verändert. Daten werden nach wie vor illegal im Sinne der DSGVO abgelegt, Systeme wie Microsoft Teams werden sogar bei Behörden eingesetzt, anstatt sie zu verbieten. Die Ergebnisse dieser Untersuchung konkretisieren und detaillieren die Datenschutzverletzungen auch noch.

Trotzdem: Warum unternehmen die zuständigen Behörden nichts? Das mag auf eine erfolgreiche Lobbyarbeit der relevanten Player hindeuten oder auf den Wunsch, Konflikte mit den USA zu vermeiden. Objektiv gesehen ist es jedenfalls ein Skandal, dass die Bundesregierung nichts unternimmt, um die Rechte der Bevölkerung gegen die bekannten Datenkraken zu verteidigen. Dabei gäbe es auch europäische Hersteller sowie Open-Source-Alternativen für Videokonferenzen, die den Datenschutz ernst nehmen.