Videokonferenz: Warum ist Zoom böse und Jitsi nicht?
Bezüglich der verschiedenen Videokonferenz-Tools gab es in den letzten Wochen viele Posts und viele, sich teilweise widersprechende, Nachrichten.
Die Berliner Datenschutzbeauftragte veröffentlichte eine Meinung (hier klicken) in der Zoom, MS-Teams und Skype als nicht datenschutzkonforme Dienste dargestellt wurden.
Im Kern der Diskussionen geht es bei den sogenannten Collaboration Tools meist um die Verschlüsselung und die Aufbewahrung der Daten. Während die Daten von MS-Teams zumindest in Verbindung mit einem Business-Plan von Microsoft in Deutschland gespeichert werden (siehe hier) werden die Daten bei Skype und Zoom in den USA gespeichert.
Alle drei Dienste stellen keine E2E (Ende zu Ende) Verschlüsselung durch die Applikation selbst bereit. Zoom stand sogar im Verdacht keine Verschlüsselung der Daten bei der Übermittlung zu ermöglichen. Teams und Skype übermitteln die Daten verschlüsselt (Zoom inzwischen auch). Während bei der Videokonferenz, also bei flüchtigen Daten, eine E2E Verschlüsselung Pflicht sein soll, werden E-Mails weiterhin unverschlüsselt übermittelt. Da die Konferenzen jederzeit mit einem neuen Link (oder Code) gestartet werden können ist die Verschlüsselung auch kein Allheilmittel: Jeder der den Link kennt, kann beitreten, wenn keine Maßnahmen ergriffen werden.
Eine Speicherung von Daten auf fremden Servern birgt immer ein Risiko. Die Datenschutzbehörden bewerten Server im nicht europäischen Ausland meist als suspekt. Zumindest müssen hier besondere Verträge mit den Dienstleistern geschlossen werden (sog. Data Processing Agreements – DPA), die dem Verantwortlichen das gleiche Datenschutzniveau zusichern, dass auch in der EU herrscht. Abgesehen von dieser Formalität können US-Behörden durch den “Cloud Act” (mehr hier) ggf. Daten der US-Unternehmen sichten. Allein diese Tatsache bedeutet aber nicht, dass die Verarbeitung nicht auch DSGVO-konform erfolgen kann. Wenn eine Risiko-Betrachtung erfolgt ist, die Verträge abgeschlossen wurden und das Verfahren korrekt dokumentiert wurde, kann auch hier problemlos eine Nutzung eines US-Dienstes erfolgen. Daher verwundert die Meinung der Berliner Datenschutzbehörden.
Wichtiger als pauschale Betrachtungen sind Maßnahmen, die der Verantwortliche treffen soll. Diese sind aus unserer Sicht:
Checkliste Collaboration Tools:
– [ ] Beteiligung BetrR und DSB
– [ ] AVV mit Collaboration-Tool zB https://zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf
– [ ] Datenschutzfreundliche Voreinstellung
– Keine Aufzeichnung möglich
– Kein Tracking der Personen
– Zutrittsschutz der Besprechungsräume
– Verwaltung (Kontrolle) durch den Organisator möglich
– [ ] Verschlüsselung der Übertragung
– [ ] Information gem. Art 13 an die Teilnehmer
– [ ] Löschung (bspw. Chat)
Wenn man diese Punkte bedenkt und umsetzt, kann auch ein Tool wie MS-Teams den selben Schutz bieten, wie eine vermeintlich sicherere Variante.
Sprechen Sie uns einfach an. Wir helfen gerne!
Weitere News
Werden Cookie-Paywalls jetzt abgerissen?
Max Schrems geht gegen die Cookie-Paywalls deutscher Medien vor. Ein einordnender Blick hinter die juristische Debatte.
FAQ: Angemessenheitsbeschluss für UK im Datenschutz
Ein Problem weniger, so sollte man denken. Die Europäische Kommission hat am 28.06.2021 einen...
Der positive Nebeneffekt des Art. 15 DSGVO
Der Auskunftsanspruch aus Art. 15 DSGVO hat neben der Transparenz noch weitere Vorteile: Kostenlose Schufaauskunft und Kopien von Klausuren. Ein Überblick anlässlich eines Urteils des OVG NRW.