Videokonferenz: Warum ist Zoom böse und Jitsi nicht?
Bezüglich der verschiedenen Videokonferenz-Tools gab es in den letzten Wochen viele Posts und viele, sich teilweise widersprechende, Nachrichten.
Die Berliner Datenschutzbeauftragte veröffentlichte eine Meinung (hier klicken) in der Zoom, MS-Teams und Skype als nicht datenschutzkonforme Dienste dargestellt wurden.
Im Kern der Diskussionen geht es bei den sogenannten Collaboration Tools meist um die Verschlüsselung und die Aufbewahrung der Daten. Während die Daten von MS-Teams zumindest in Verbindung mit einem Business-Plan von Microsoft in Deutschland gespeichert werden (siehe hier) werden die Daten bei Skype und Zoom in den USA gespeichert.
Alle drei Dienste stellen keine E2E (Ende zu Ende) Verschlüsselung durch die Applikation selbst bereit. Zoom stand sogar im Verdacht keine Verschlüsselung der Daten bei der Übermittlung zu ermöglichen. Teams und Skype übermitteln die Daten verschlüsselt (Zoom inzwischen auch). Während bei der Videokonferenz, also bei flüchtigen Daten, eine E2E Verschlüsselung Pflicht sein soll, werden E-Mails weiterhin unverschlüsselt übermittelt. Da die Konferenzen jederzeit mit einem neuen Link (oder Code) gestartet werden können ist die Verschlüsselung auch kein Allheilmittel: Jeder der den Link kennt, kann beitreten, wenn keine Maßnahmen ergriffen werden.
Eine Speicherung von Daten auf fremden Servern birgt immer ein Risiko. Die Datenschutzbehörden bewerten Server im nicht europäischen Ausland meist als suspekt. Zumindest müssen hier besondere Verträge mit den Dienstleistern geschlossen werden (sog. Data Processing Agreements – DPA), die dem Verantwortlichen das gleiche Datenschutzniveau zusichern, dass auch in der EU herrscht. Abgesehen von dieser Formalität können US-Behörden durch den “Cloud Act” (mehr hier) ggf. Daten der US-Unternehmen sichten. Allein diese Tatsache bedeutet aber nicht, dass die Verarbeitung nicht auch DSGVO-konform erfolgen kann. Wenn eine Risiko-Betrachtung erfolgt ist, die Verträge abgeschlossen wurden und das Verfahren korrekt dokumentiert wurde, kann auch hier problemlos eine Nutzung eines US-Dienstes erfolgen. Daher verwundert die Meinung der Berliner Datenschutzbehörden.
Wichtiger als pauschale Betrachtungen sind Maßnahmen, die der Verantwortliche treffen soll. Diese sind aus unserer Sicht:
Checkliste Collaboration Tools:
– [ ] Beteiligung BetrR und DSB
– [ ] AVV mit Collaboration-Tool zB https://zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf
– [ ] Datenschutzfreundliche Voreinstellung
– Keine Aufzeichnung möglich
– Kein Tracking der Personen
– Zutrittsschutz der Besprechungsräume
– Verwaltung (Kontrolle) durch den Organisator möglich
– [ ] Verschlüsselung der Übertragung
– [ ] Information gem. Art 13 an die Teilnehmer
– [ ] Löschung (bspw. Chat)
Wenn man diese Punkte bedenkt und umsetzt, kann auch ein Tool wie MS-Teams den selben Schutz bieten, wie eine vermeintlich sicherere Variante.
Sprechen Sie uns einfach an. Wir helfen gerne!
Weitere News
Unzumutbarkeit eines Auskunftsanspruchs
Mit dem AG Pankow werden die Bedingungen für einen Schadensersatzanspruch sowie für eine Unzumutbarkeit eines Auskunftsanspruchs durchleuchtet.
Das Aus für Google Analytics?
Das Aus für Google Analytics. Was steckt hinter der Entscheidung der ÖDSB und was hat das für eine Bedeutung für Websitenbetreiber*innen?
Neue Regierung – Was soll sich in der IT-Welt ändern?
Die neue Regierung Seit 2005 ist nun das erste Mal nicht mehr die CDU in der Regierung. Von...