Videokonferenz-Software: rote Ampel für Microsoft & Co.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat führende Videokonferenzsysteme offen in die Kritik genommen. Bereits im Frühjahr hatte sie von der Nutzung der Microsoft-Services Skype und Teams abgeraten.

Dies wurde mit einer Checkliste mit mehreren Negativkriterien untermauert, die eine Verwendung dieser Systeme nicht empfehlenswert machten. Wir haben an dieser Stelle darüber berichtet.

Diese Empfehlung verschwand zwischenzeitlich wieder. Zuvor hatte sich Smoltczyk einen Brief von Microsoft eingehandelt, in dem der Konzern die Zurücknahme einer „unrichtigen Aussage“ forderte. Dieser Tonfall war neu im bundesdeutschen Datenschutz. Kurz darauf prüfte die Stiftung Warentest zwölf kostenfreie Programme für Videokonferenzen und kürte die umstrittenen MS-Anwendungen sogar zu Testsiegern. Dennoch: Gerade bei diesen beiden Programmen konnten die Tester „keine ernsthafte Befassung mit der DSGVO“ feststellen, was dem positiven Testergebnis insgesamt aber keinen Abbruch tat. Gerade Behörden wussten nun nicht, auf wen sie schauen sollten: auf die unbestechlichen Experten der Teststiftung oder auf die streitbare oberste Datenschützerin aus Berlin. Diese hat nun nach einem Kurztest der fraglichen Systeme mit einem neuerlichen Diktum für Klarheit gesorgt.

Die Nutzer stehen in der Verantwortung

Nicht nur Teams und Skype von Microsoft, auch Zoom, Google Meet, GoTo Meeting, Bliz und Cisco WebEx bekamen jetzt im Juli aus Berlin eine rote Ampel verpasst. Smoltczyk: „Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht.“ Dies ist im Grunde das gleiche Ergebnis, zu dem auch schon die Stiftung Warentest kam: technologisch auf hohem Niveau, Datenschutz mangelhaft.

Die Datenschützerin legt Anwendern nahe zu prüfen, ob nicht auch eine Telefonkonferenz möglich sei. Die würde datenschutztechnisch leichter zu führen sein. Die Datenschutzbeauftragte führt in ihrem Bericht aus, dass bei Videokonferenzen personenbezogene Daten im gesprochenen Wort übermittelt werden, aber auch Daten über Teilnehmer und Ort. Verschlüsselte Kanäle seien deshalb ein Muss, um nicht von Unbefugten mitgehört oder mitgeschnitten werden zu können. Ein brisanter Satz geht in Richtung der Nutzer: „Sie sollten wissen: Das Fernmeldegeheimnis schützt Sie bei der Nutzung von Videokonferenzsystemen nicht gegenüber dem Anbieter. Es erstreckt sich auf den Betreiber Ihres Internetanschlusses, nicht aber auf den Ihres Videokonferenzdienstes. Dies ist eine Lücke im Gesetz, die der europäische Gesetzgeber erkannt hat. Er hat die Mitgliedsstaaten verpflichtet, bis zum Ende dieses Jahres den Schutz auf interpersonelle Kommunikationsdienste, darunter auf öffentliche Web- und Videokonferenzsysteme, auszuweiten.“

Smoltczyks Ampelregelung

Die Datenschutzbeauftragte hat ein Ampelsystem eingeführt. Wie sie selbst ausführt, bedeutet Rot: Mängel der Rechtskonformität mit den in der DSGVO geforderten Standards der Auftragsdatenverarbeitung, „die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern“. Mit einer gelben Ampel gekennzeichnete Dienste könnten die geforderten Normen nach Ansicht von Maja Smoltczyk ohne diese Anpassungen erreicht werden.

Hier scheinen also verhältnismäßig leicht zu bewerkstelligende Nachbesserungen möglich. Ein grünes Ampelsignal gab es für verschiedene Anwendungen der Open-Source-Software Jitsi, ebenso die frei verfügbaren Services Tixeo Cloud, BigBlueButton und Wire. Wenn man diese offizielle Einschätzung – zugrunde lag wie erwähnt ein Kurztest – auf einen Nenner bringt, dann wäre es dieser: Technologisch ausgereifte Systeme haben eher Datenschutzmängel als die Open-Source-Software und Anwendungen kleiner Anbieter. Über deren technische Qualitäten sagt die Datenschutz-Ampel freilich nichts aus. Die Produkte bekannter Marken stehen nun unvermindert in der Schusslinie. Zumindest deutsche Behörden werden auf den Smoltczyk-Bericht reagieren.