Welche Videokonferenz-Tools sind in Bezug auf den Datenschutz noch mangelhaft?

Maja Smoltczyk, eine Berliner Datenschutzbeauftragte, hat nun ausreichend nachgewiesen, dass nicht alle Videokonferenzsysteme kritiklos verwendet werden können.

Bereits im Frühjahr hatte die Datenschützerin auf sich aufmerksam gemacht und – inmitten der Corona-Krise, wo mehr und mehr Arbeitnehmer von zu Hause gearbeitet haben – vielen Unternehmen und Behörden davon abgeraten Skype und Microsoft Teams zu verwenden. Eine Checkliste mit den erforderlichen Kriterien untermauerte ihre Bedenken. In diesem Beitrag haben wir darüber berichtet Link zum Beitrag. Vor lauter Aufregung – weniger um Datenschutz als um Existenzängste – verschwand diese Empfehlung zwischenzeitlich wieder von der Bildfläche. Microsoft hat Smoltczyk mit einem Brief dazu aufgefordert, ihre „unrichtigen Aussagen“ zurückzunehmen. Dieser Tonfall war neu im bundesdeutschen Datenschutz. Kurz darauf prüfte die Stiftung Warentest zwölf kostenfreie Programme für Videokonferenzen und kürte die umstrittenen MS Anwendungen sogar zu Testsiegern. Dennoch: Gerade bei diesen beiden Programmen konnten die Tester „keine ernsthafte Befassung mit der DSGVO“ feststellen, was dem positiven Testergebnis insgesamt aber keinen Abbruch tat. Gerade Behörden wussten nun nicht, auf wen sie schauen sollten: auf die unbestechlichen Experten der Teststiftung oder auf die streitbare oberste Datenschützerin aus Berlin. Diese hat nun nach einem Kurztest der fraglichen Systeme mit einem neuerlichen Diktum für Klarheit gesorgt.

Der Nutzer entscheidet: Privatsphäre und Datenschutzeinstellungen individuell anpassbar

Im Juli hat die Berliner Datenschutzbehörde folgenden Videokonferenztools ebenfalls eine rote Ampel verpasst: Zoom, Google Meet, GoTo Meeting, Bliz und Cisco WebEx. Auch die Stiftung Warentext kam zu diesem Ergebnis: Zwar sind die Softwares technisch auf höchstem Niveau, allerdings leiden alle unter mangelndem Datenschutz. „Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht.“, so Smoltczyk. Die Datenschützerin empfiehlt allen Anwendern selbstständig abzuwägen, ob man statt einer Videokonferenz nicht auch eine Telefonkonferenz halten könne. Die würde datenschutztechnisch leichter zu führen sein. Die Datenschutzbeauftragte führt in ihrem Bericht aus, dass bei Videokonferenzen personenbezogene Daten im gesprochenen Wort übermittelt werden, aber auch Daten über Teilnehmer und Ort. Verschlüsselte Kanälen seien deshalb ein Muss, um nicht von Unbefugten mitgehört oder mitgeschnitten werden können. Ein brisanter Satz geht in Richtung der Nutzer: „Sie sollten wissen: Das Fernmeldegeheimnis schützt Sie bei der Nutzung von Videokonferenzsystemen nicht gegenüber dem Anbieter. Es erstreckt sich auf den Betreiber Ihres Internetanschlusses, nicht aber auf den Ihres Videokonferenzdienstes. Dies ist eine Lücke im Gesetz, die der europäische Gesetzgeber erkannt hat. Er hat die Mitgliedsstaaten verpflichtet, bis zum Ende dieses Jahres den Schutz auf interpersonelle Kommunikationsdienste, darunter auf öffentliche Web- und Videokonferenzsysteme, auszuweiten.“

Die Ampelregelung der Berliner Datenschützerin

Smoltczyk, die Berliner Datenschutzbeauftragte, hat ein sogenanntes Ampelsystem eingeführt. Rot bedeutet: Mängel der Rechtskonformität laut den Regelungen der DSGVO, welche „die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern". Laut Maja Smoltczyk stehe eine gelbe Ampel für Dienste, die die geforderten Normen ohne Anpassung erreichen können. Leichte Nachbesserungen sind hier, laut der Datenschützerin, möglich. Ein grünes Ampelsignal gab es für verschiedene Anwendungen der Open-Source-Software Jitsi Meet, zum Beispiel den Dienst Netways und sichere-videokonferenz.de, ebenso die frei verfügbaren Services Tixeo Cloud, BigBlueButton und Wire. Wenn man diese offizielle Einschätzung – zugrunde lag wie erwähnt ein Kurztest – auf einen Nenner bringt, dann wäre es dieser: Technologisch ausgereifte Systeme haben eher Datenschutzmängel als die Open-Source-Sofware und Anwendungen kleiner Anbieter. Über deren technische Qualitäten sagt die Datenschutz-Ampel freilich nichts aus. Die Produkte bekannter Marken stehen nun unvermindert in der Schusslinie. Zumindest deutsche Behörden werden auf den Smoltczyk-Bericht reagieren.