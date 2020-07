Die Berliner Datenschutzbeauftragte hat sich zahlreiche Videokonferenzsysteme näher angeschaut und stellt diesen im Hinblick auf den Datenschutz meist ein schlechtes Zeugnis in Form der "roten Ampel"aus. Zu einem ähnlich negativen Urteil kommt auch die europäische Datenschutzbehörde im Hinblick auf Microsoft-Produkte.

Die Berliner Datenschutzbeauftragte hat sich zahlreiche Videokonferenzsysteme näher angeschaut und stellt diesen im Hinblick auf den Datenschutz meist ein schlechtes Zeugnis in Form der "roten Ampel"aus. Zu einem ähnlich negativen Urteil kommt auch die europäische Datenschutzbehörde im Hinblick auf Microsoft-Produkte.

Erst kürzlich hatte sich die Berliner Datenschutzbeauftragte mit dem Softwarekonzern Microsoft angelegt, als unter anderem von Microsoft-Videokonferenzlösungen abriet, weil diese neben anderen Angeboten dieser Art die datenschutzrechtlichen Bedingungen für einen regelkonformen Einsatz nicht in vollem Umfang erfüllten.

Datenschutzkritik an vielen Videokonferenz-Lösungen

Microsoft wehrte sich zwar mit einer Abmahnung gegen diese Äußerungen, doch auch in einem jetzt veröffentlichten Bericht, in dem zahlreiche Videokonferenzlösungen bzw. Anbieter unter Datenschutzaspekten überprüft wurden, gehören auch die Microsoft-Produkte wie

Microsoft Teams

Skype bzw. Skype for Business

wieder zu den beanstandeten Lösungen.

Allerdings stehen sie bei weitem nicht allein, ähnlich schlecht schnitten auch viele weitere der populären Videokonferenz-Angebote etwa von Google, Cisco oder auch Zoom ab.

Das sind die Kritikpunkte an den Video-Lösungen

Hauptkritikpunkt sind insbesondere bei den Videokonferenz-Lösungen von US-Anbietern wie Microsoft, Cisco, Zoom oder auch Blizz schwerwiegende Mängel bei der Bewertung der rechtlichen Aspekte der Auftragsverarbeitung. Da diese Defizite eine regelkonforme Nutzung ausschlössen und es auch nicht wahrscheinlich sei, dass die notwendigen massiven Änderungen zur Behebung dieser Missstände umgesetzt werden könnten, vergaben die Berliner Datenschützer in diesen Fällen eine „rote Ampel“ als Qualitätsurteil.

Mit einer "gelben Ampel" wurde solche Angebote gekennzeichnet, die zwar ebenfalls Mängel in der Auftragsverarbeitung aufwiesen, diese Defizite aber auch ohne weitreichende Eingriffe in die Geschäftsabläufe und der Technik behoben werden könnten. In diese Kategorie fallen etwa Angebote der Telekom (auf Basis von Cisco-Technik) oder verschiedene frei verfügbare Angebote auf Basis der Open-Source-Lösung Jitsi.

Diese Angebote für Videokonferenzen fanden Gnade in den Augen des Datenschutzes

Zu den Angeboten, die mit einer grünen Ampel bewertet wurden und deren Auftragsverarbeitungsverträge keinen Anlass zu Beanstandungen gegeben haben, gehörten etwa Dienste wie Sichere-Videokonferenz.de, Tixeo Cloud, Wire, Werk21 oder Netways, das die Jitsi-Plattform verwendet.

Tiefgreifende technische Analysen der Videokonferenz-Lösungen habe man nicht vornehmen können, lediglich kursorische Untersuchungen einiger technischer Aspekte habe man durchgeführt. Generell spricht sich die Berliner Datenschutzbeauftragte in dem Bericht für die Nutzung einer Videokonferenzlösung in Eigenverantwortung aus und sieht die Software-as-a-Service-Angebote eher kritisch.

Keine Datenschutz-Begeisterung für Microsoft

Bei Microsoft wird man nicht nur über die Kritik an den Videokonferenz-Lösungen wenig begeistert sein, auch das Ergebnis der Überprüfung von Microsoft-Produkten im Allgemeinen durch die Datenschutzbehörde der EU dürfte auf wenig Gegenliebe stoßen. Die Behörde unterzog die Programme bzw. Dienste vor allem deshalb einer Kontrolle, weil in den EU-Behörden ca. 45.000 Mitarbeiter mit derartigen Microsoft-Produkten arbeiten.

Nach gut einem Jahr hat jetzt der EU-Datenschutzbeauftragte Wojciech Wiewiórowski den Abschlussbericht vorgelegt und stellt dem US-Konzern ebenfalls kein gutes Zeugnis aus. In der Untersuchung ging es primär darum zu ermitteln, wie gut oder schlecht die Privatsphäre der Anwender bei der Verwendung von Microsoft-Produkten geschützt wird.

Insbesondere beanstandeten die Prüfer, dass sich Microsoft in den mit den EU-Institutionen ausgehandelten Lizenzvereinbarungen vorbehalten habe, die Datenschutzbestimmungen einseitig zu verändern. Zudem gebe es immer noch viele Unklarheiten, etwa nachdem das Unternehmen eine Reihe von Regelungen aus den Geschäftsbedingungen für Online-Dienste in einen speziellen Vertragszusatz ausgegliedert habe. Weiterhin sei es für die Nutzer beispielsweise nicht möglich, frei zu entscheiden, wo sämtliche Daten gespeichert werden sollen.

Zwar habe sich Microsoft verpflichtet, einige Daten ausschließlich an europäischen Standorten zu speichern, dies gelte aber nicht einmal für sämtliche personenbezogene Daten der Nutzer.

Mangelnde Transparenz bei Microsoft Produkten

Generell mangele es schließlich auch an Transparenz im Hinblick darauf, welche vertraglichen Kontrollen für verschiedene von Microsoft im Rahmen der Vereinbarung verarbeitete Datenkategorien gelten.In seiner Zusammenfassung empfiehlt der Datenschutzbeauftragte daher, auf eine Zusammenarbeit mit Anbietern, die nicht dazu bereit seien, ausreichende technische und organisatorische Schutzmaßnahmen einzusetzen und geltendes EU-Datenschutzrecht zu beachten, zu verzichten.

Der EU-Datenschutzbeauftragt empfiehlt daher, dass sich die Verantwortlichen verstärkt nach Alternativen umschauen sollten, die höhere Datenschutzstandards erlaubten, auch wenn ein solches Vorgehen eine große Herausforderung bedeute.

Weitere News zum Thema:

Datenschutz in Zeiten von Corona Covid 19

Videokonferenzen datenschutzkonform abhalten

Experten sehen Datenschutzprobleme bei aktuellen Microsoft-Produkten

Hintergrund: Videokonferenzen mit Sicherheits- und Datenschutzproblemen

Datenschutzprobleme kann auch der Einsatz von Lösungen für Videokonferenzen mit sich bringen. Besonders betroffen waren etwa die Anwender der populären Software "Zoom", bei der gleich mehrere gravierende Schwachstellen nachgewiesen wurden. Bereits mit einfachen Mitteln bzw. durch Erraten einer Ziffernfolge (der Meeting-ID) konnten sich etwa Dritte in Videokonferenzen einklinken und hier auch unerwünschte Inhalte verbreiten, ein Phänomen, dem mit der Bezeichnung "Zoombombing" bereits ein eigener Begriff gewidmet wurde.