Die Landesbeauftragte für den Datenschutz in Berlin, Maja Smoltczyk, rät von der Nutzung führender Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting, Teamviewer und Cisco WebEx ab. Grund ist ein nochmaliger Test verschiedener Angebote. Nachdem im vergangenen Jahr bei einer Prüfung datenschutzrechtlicher Anforderungen bereits etliche Dienste durchgefallen waren, wurde nach erneuter Prüfung bei den großen Anbietern keine substanzielle Besserung festgestellt.
Sie freue sich zwar, „dass unsere Hinweise so viele Anbieter dazu bewegt haben, ihre Angebote in Sachen Datenschutz teilweise sehr deutlich zu verbessern“, sagte Smoltczyk. Es gebe mittlerweile ausreichend viele rechtskonform nutzbare Dienste für verschiedenste Einsatzzwecke, sodass es keinen Grund gebe, für Videokonferenzen das Datenschutzrecht zu brechen.
Wenn sich jedoch ein Anbieter mit „rechtlich mangelhaftem“ Videokonferenzdienst nicht bewege, sei es „dringend an der Zeit, zu wechseln“, betonte die Behördenchefin. „Bequemlichkeit kann nicht die Verletzung von Grundrechten rechtfertigen.“
In dem jetzt veröffentlichten Prüfbericht hat sich bei der Bewertung der führenden Videodienst-Anbieter praktisch nicht viel geändert. Sie wurden von der Behörde alle mit einer „roten Ampel“ versehen. Bei diesen Systemen „liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe erfordert“, heißt es in dem am Donnerstag veröffentlichten Papier.
Die Datenschutzproblematik wiegt schwer, denn Videokonferenzen sind in der Corona-Pandemie zum Alltag geworden. Im beruflichen Alltag ist es gang und gäbe, die gängigen Tools zur Kommunikation zu nutzen. In vielen Schulen sieht es anders aus. Der Einsatz von Videodiensten sei nicht die freie Entscheidung der einzelnen Lehrkraft, sagte Heinz-Peter Meidinger, Präsident des Deutschen Lehrerverbands. Voraussetzung sei, dass die Schule eine entsprechende Lizenz für Software habe und dass der notwendige Datenschutz gewährleistet sei. „Es ist also nicht zulässig, dass eine Lehrkraft beispielsweise von zu Hause aus die Schülerinnen und Schüler zu einer Zoom-Sitzung einlädt.“
Mit einer „grünen Ampel“ wurden in dem Test kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi Meet bewertet, etwa der Service von Netways oder Sichere-videokonferenz.de. Ein positives Urteil erhielten auch die Tixeo Cloud, BigBlueButton von Werk21 sowie Wire. Viele Schulen nutzen in der Corona-Zeit die Lernplattform „Moodle“ und das Videochat-Programm „Big Blue Button“, was aber oft nicht störungsfrei läuft.
Beim Service Cisco WebEx, wie er über die Deutsche Telekom bereitgestellt wird, stellten die Datenschützer eine Verschlechterung fest. Bei der ersten Prüfung war der Anbieter noch mit einer „gelben Ampel“ versehen worden – mit der Aussicht, dass die Beseitigung der Mängel „vermutlich ohne wesentliche Anpassungen der Geschäftsabläufe und der Technik möglich“ sei.
Dauerzwist mit Microsoft
Nunmehr steht die Ampel aber auf „Rot“. Die Behörde bemängelte etwa mit Blick auf den Datenverkehr, dass Dienstleister einbezogen seien, die nicht als sogenannte Unterauftragsverarbeiter genehmigt seien. Zudem seien im Rahmen der Prüfungen des Datenverkehrs „nicht vertraglich vorgesehene Datenexporte in Drittländer festgestellt“ worden. Konkret geht es dabei um die Übermittlung personenbezogener Daten zu Abrechnungszwecken in die USA. Im Fall eines 24/7-Supports könnten ebenfalls personenbezogene Daten in die USA übermittelt werden, wofür es jedoch keine Rechtsgrundlage gebe.
Ebenfalls mit „Rot“ (ursprünglich „Gelb“) wurden auch freie Instanzen von Jitsi bewertet, die unter anderem von Universitäten und dem Chaos Computer Club bereitgestellt werden. Hier fehle in der Regel ein Auftragsverarbeitungsvertrag.
Unter den Landesdatenschutzbeauftragten hat sich Smoltczyk einen Namen als Kritikerin von etablierten Videokonferenzsystemen gemacht und zunächst nur Negativ-Checklisten mit Kriterien veröffentlicht, die den Einsatz der Systeme ausschließen. Dagegen setzten sich Firmen wie Microsoft zur Wehr.
Der US-Konzern trat zudem Bedenken mit dem Hinweis entgegen, dass Videokonferenzen und -telefonie über Microsoft Teams und Skype for Business Online während der Übertragung stets verschlüsselt seien und nach dem aktuellen Stand der Technik betrieben und abgesichert würden. Beide Dienste könnten „ohne Einschränkung auch für sensible Gespräche und Inhalte genutzt werden“. Auch die datenschutzrechtlich erforderlichen vertraglichen Vereinbarungen seien abgeschlossen worden.
Bußgelder von bis zu 20 Millionen Euro möglich
Die Berliner Behörde sieht weiter Mängel bei der Umsetzung der Vorgaben der Datenschutz-Grundverordnung (DSGVO). Zwar seien die meisten Änderungen in den Datenschutzbestimmungen für die Onlinedienste des Konzerns positiv zu bewerten. „Dennoch bleibt eins der wichtigsten Grundprobleme des Vertrags, dass er an vielen Stellen unklar und widersprüchlich ist, bestehen“, heißt es im Prüfbericht der Datenschützer.
So behalte sich Microsoft die Verarbeitung eigentlich im Auftrag verarbeiteter personenbezogener Daten zu eigenen Zwecken vor. Eine Rechtsgrundlage für die damit verbundene Offenlegung personenbezogener Daten durch den Verantwortlichen an Microsoft sei aber „nicht ersichtlich“. Die Datenschutzhinweise enthielten zudem „an vielen Stellen Regelungen, die den gesetzlichen Mindestanforderungen widersprechen“.
Bemängelt wird überdies, dass sich Microsoft eine Verarbeitung der Auftragsdaten an jedem Ort vorbehalte, an dem der Konzern oder seine Unterauftragsverarbeiter tätig seien, also auch in den USA. Dies ist insbesondere deshalb brisant, da die US-Geheimdienste weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben. Diese Problematik betrifft auch Zoom, die Online-Plattform GoToMeeting und Google Meet, denen die Berliner Datenschützer „unzulässige Datenexporte“ attestieren.
Spätestens seitdem der Europäische Gerichtshof (EuGH) im Juli 2020 die Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA („Privacy Shield“) wegen ungenügenden Datenschutzes kassiert hat, verstoßen viele US-Produkte gegen die DSGVO. Gegen Firmen, die die Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich. Laut der Berliner Aufsichtsbehörde hat sich Microsoft zwar zusätzlich einer Selbstzertifizierung nach dem „Privacy Shield“ unterworfen. Doch der diesbezügliche Angemessenheitsbeschluss der EU-Kommission sei durch das EuGH-Urteil für ungültig erklärt worden. Hinzu komme, dass nicht ersichtlich sei, dass „ausreichende zusätzliche Maßnahmen“ getroffen worden wären, um entsprechend der EU-Rechtsprechung das „unzureichende Datenschutzniveau der USA“ auszugleichen.
Experte: Trotz Bedenken lassen sich umstrittene Tools nutzen
Der Würzburger IT-Fachanwalt Chan-jo Jun kann die Bedenken der Datenschützer nachvollziehen, die etwa Microsoft und den amerikanischen Geheimdiensten misstrauen. „Das ist aber kein rechtliches Verbot, sondern eine Geschmacks- oder Gewissensfrage“, sagte der Jurist jüngst der „Süddeutschen Zeitung“. Schulen könnten US-Dienste trotzdem einsetzen, müssten aber technische und organisatorische Vorkehrungen treffen. „Also etwa Schülerdaten pseudonymisieren, verschlüsseln, europäische Server wählen, erledigte Hausaufgaben kurzfristig löschen und Nutzer aufklären.“
Zoom verschlüsselt Inhalte mittlerweile Ende-zu-Ende. Das Problem, dass dennoch Metadaten bei einem US-Anbieter landen können, lässt nach sich nach Einschätzung des Experten dadurch lösen, dass personenbezogene Metadaten durch Pseudonyme und Verzicht auf Accounts vermieden würden. „Schwieriger wird es, wenn man bei Plattformen wie Teams auch Funktionen nutzen will, die einen Log-in und dann auch eine freiwillige Zustimmung erfordern.“
Bei Zoom stellten die Datenschützer indes auch Mängel im Auftragsverarbeitungsvertrag fest, außerdem unzulässige Einschränkungen etwa der Löschpflicht und der Kontrollrechte. Bei Google Meet ergab die Prüfung ähnliche Mängel. Beim Videokonferenzsystem TeamViewer fiel negativ auf, dass der Anbieter sich die Verarbeitung von Auftragsdaten zu eigenen Zwecken vorbehalte.