Berliner Datenschützerin: Schlechte Noten für große Videokonferenzdienste
Skype, Teams, Zoom: Bei der rechtlichen Prüfung durch Berlins Datenschutzbeauftragte fallen einige der großen Videokonferenzanbieter durch.
(Bild: Shunevych Serhii / Shutterstock.com)
Die führenden Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx sind bei einem Kurztest der Berliner Datenschutzbeauftragten Maja Smoltczyk alle durchgefallen. "Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht", erklärte sie.
In einem Bericht wurden diese Systeme alle mit einer "roten Ampel" versehen. "Bei rot markierten Anbietern liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern", heißt es in einer am Freitag veröffentlichten Erklärung.
Grün für kommerzielle Jitsi-Instanzen
Mit einer "grünen Ampel" wurden in dem Kurztest kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi Meet bewertet, etwa der Service von Netways oder sichere-videokonferenz.de. Ein positives Urteil erhielten auch die Tixeo Cloud, BigBlueButton-Instanzen von Werk21 sowie der Messenger Wire.
Bei den Lösungen der führenden US-Anbieter machten Smoltczyk und ihre Mitarbeiterinnen und Mitarbeiter vor allem Mängel in der Rechtskonformität der angebotenen Auftragsverarbeitungsverträge aus. Einen solchen Vertrag muss nach DSGVO jedes Unternehmen abschließen, das personenbezogene Daten im Auftrag, also von einem Dienstleister verarbeiten lässt.
Gelb für Cisco WebEx
Mit einer "gelben Ampel" versah Smoltczyk unter anderem den Service Cisco WebEx, wie er über die Deutsche Telekom bereitgestellt wird. Hier habe man ebenfalls Mängel im Auftragsverarbeitungsvertrag, unzulässige Einschränkungen des Weisungsrechts sowie unklare Regelungen zu Datenexporten vorgefunden, die eine rechtskonforme Nutzung des Dienstes ausschließen.
Im Gegensatz zur "roten Ampel" sei hier aber eine Beseitigung der Mängel "vermutlich ohne wesentliche Anpassungen der Geschäftsabläufe und der Technik möglich". Die Telekom hat bereits Änderungen im Kleingedruckten angekündigt. Mit "gelb" wurden auch freie Instanzen von Jitsi bewertet, die unter anderem von Universitäten und dem Chaos Computer Club bereitgestellt werden. Hier fehle in der Regel ein Auftragsverarbeitungsvertrag.
Microsoft mahnte ab
Weiterführende technische Analysen habe man nicht vorgenommen, heißt es in dem Bericht, lediglich eine "kursorische Untersuchung einiger technischer Aspekte". Abgesehen von Wire sei in der Standardkonfiguration auch keiner der betrachteten Dienste für den Austausch von Informationen mit hohem Schutzbedarf geeignet. Generell sei der Betrieb eines Dienstes in Eigenverantwortung auch den Software-as-a-Service-Modellen der analysierten Anbieter vorzuziehen.
Unter den Landesdatenschutzbeauftragten hat sich Maja Smoltczyk einen Namen als Kritikerin von etablierten Videokonferenzsystemen gemacht und zunächst nur Negativ-Checklisten mit Kriterien veröffentlicht, die den Einsatz der Systeme ausschließen. Dagegen setzten sich Firmen wie Microsoft zur Wehr, sogar in Form einer Abmahnung gegen Smoltczyk. Die Datenschützerin blieb allerdings bei ihrer Kritik. (Mit Material der dpa) /
[Update 09.07.2020] Microsoft hat keine Abmahnung geschickt. Es gab ein Schreiben, in dem Microsoft die Ansicht vertrat, Annahmen aus Veröffentlichungen der Datenschutzaufsichtsbehörde seien unzutreffend. (axk)
