Videokonferenz: Warum ist Zoom böse und Jitsi nicht?
Bezüglich der verschiedenen Videokonferenz-Tools gab es in den letzten Wochen viele Posts und viele, sich teilweise widersprechende, Nachrichten.
Die Berliner Datenschutzbeauftragte veröffentlichte eine Meinung (hier klicken) in der Zoom, MS-Teams und Skype als nicht datenschutzkonforme Dienste dargestellt wurden.
Im Kern der Diskussionen geht es bei den sogenannten Collaboration Tools meist um die Verschlüsselung und die Aufbewahrung der Daten. Während die Daten von MS-Teams zumindest in Verbindung mit einem Business-Plan von Microsoft in Deutschland gespeichert werden (siehe hier) werden die Daten bei Skype und Zoom in den USA gespeichert.
Alle drei Dienste stellen keine E2E (Ende zu Ende) Verschlüsselung durch die Applikation selbst bereit. Zoom stand sogar im Verdacht keine Verschlüsselung der Daten bei der Übermittlung zu ermöglichen. Teams und Skype übermitteln die Daten verschlüsselt (Zoom inzwischen auch). Während bei der Videokonferenz, also bei flüchtigen Daten, eine E2E Verschlüsselung Pflicht sein soll, werden E-Mails weiterhin unverschlüsselt übermittelt. Da die Konferenzen jederzeit mit einem neuen Link (oder Code) gestartet werden können ist die Verschlüsselung auch kein Allheilmittel: Jeder der den Link kennt, kann beitreten, wenn keine Maßnahmen ergriffen werden.
Eine Speicherung von Daten auf fremden Servern birgt immer ein Risiko. Die Datenschutzbehörden bewerten Server im nicht europäischen Ausland meist als suspekt. Zumindest müssen hier besondere Verträge mit den Dienstleistern geschlossen werden (sog. Data Processing Agreements – DPA), die dem Verantwortlichen das gleiche Datenschutzniveau zusichern, dass auch in der EU herrscht. Abgesehen von dieser Formalität können US-Behörden durch den “Cloud Act” (mehr hier) ggf. Daten der US-Unternehmen sichten. Allein diese Tatsache bedeutet aber nicht, dass die Verarbeitung nicht auch DSGVO-konform erfolgen kann. Wenn eine Risiko-Betrachtung erfolgt ist, die Verträge abgeschlossen wurden und das Verfahren korrekt dokumentiert wurde, kann auch hier problemlos eine Nutzung eines US-Dienstes erfolgen. Daher verwundert die Meinung der Berliner Datenschutzbehörden.
Wichtiger als pauschale Betrachtungen sind Maßnahmen, die der Verantwortliche treffen soll. Diese sind aus unserer Sicht:
Checkliste Collaboration Tools:
– [ ] Beteiligung BetrR und DSB
– [ ] AVV mit Collaboration-Tool zB https://zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf
– [ ] Datenschutzfreundliche Voreinstellung
– Keine Aufzeichnung möglich
– Kein Tracking der Personen
– Zutrittsschutz der Besprechungsräume
– Verwaltung (Kontrolle) durch den Organisator möglich
– [ ] Verschlüsselung der Übertragung
– [ ] Information gem. Art 13 an die Teilnehmer
– [ ] Löschung (bspw. Chat)
Wenn man diese Punkte bedenkt und umsetzt, kann auch ein Tool wie MS-Teams den selben Schutz bieten, wie eine vermeintlich sicherere Variante.
Sprechen Sie uns einfach an. Wir helfen gerne!
Weitere News
Daten in die USA nun nach Transatlantic Data Privacy Framework (TADPF) möglich
Seit 2020 müssen sich alle Unternehmen, die Daten in die Vereinigten Staaten übermitteln...
10.000 EUR Schadensersatz für Arbeitnehmer bei Auskunftsanspruch im Datenschutz
Das Arbeitsgericht Oldenburg hat in seiner Entscheidung vom 9. Februar (ArbG Oldenburg, Urt. v....
EuGH Einbeziehung von AGB im B2B Bereich durch Link auf Webpage
Einem Thema, welches zunächst einmal nichts mit den Datenschutz zu tun haben scheint, hat sich der...