Videokonferenz: Warum ist Zoom böse und Jitsi nicht?
Bezüglich der verschiedenen Videokonferenz-Tools gab es in den letzten Wochen viele Posts und viele, sich teilweise widersprechende, Nachrichten.
Die Berliner Datenschutzbeauftragte veröffentlichte eine Meinung (hier klicken) in der Zoom, MS-Teams und Skype als nicht datenschutzkonforme Dienste dargestellt wurden.
Im Kern der Diskussionen geht es bei den sogenannten Collaboration Tools meist um die Verschlüsselung und die Aufbewahrung der Daten. Während die Daten von MS-Teams zumindest in Verbindung mit einem Business-Plan von Microsoft in Deutschland gespeichert werden (siehe hier) werden die Daten bei Skype und Zoom in den USA gespeichert.
Alle drei Dienste stellen keine E2E (Ende zu Ende) Verschlüsselung durch die Applikation selbst bereit. Zoom stand sogar im Verdacht keine Verschlüsselung der Daten bei der Übermittlung zu ermöglichen. Teams und Skype übermitteln die Daten verschlüsselt (Zoom inzwischen auch). Während bei der Videokonferenz, also bei flüchtigen Daten, eine E2E Verschlüsselung Pflicht sein soll, werden E-Mails weiterhin unverschlüsselt übermittelt. Da die Konferenzen jederzeit mit einem neuen Link (oder Code) gestartet werden können ist die Verschlüsselung auch kein Allheilmittel: Jeder der den Link kennt, kann beitreten, wenn keine Maßnahmen ergriffen werden.
Eine Speicherung von Daten auf fremden Servern birgt immer ein Risiko. Die Datenschutzbehörden bewerten Server im nicht europäischen Ausland meist als suspekt. Zumindest müssen hier besondere Verträge mit den Dienstleistern geschlossen werden (sog. Data Processing Agreements – DPA), die dem Verantwortlichen das gleiche Datenschutzniveau zusichern, dass auch in der EU herrscht. Abgesehen von dieser Formalität können US-Behörden durch den “Cloud Act” (mehr hier) ggf. Daten der US-Unternehmen sichten. Allein diese Tatsache bedeutet aber nicht, dass die Verarbeitung nicht auch DSGVO-konform erfolgen kann. Wenn eine Risiko-Betrachtung erfolgt ist, die Verträge abgeschlossen wurden und das Verfahren korrekt dokumentiert wurde, kann auch hier problemlos eine Nutzung eines US-Dienstes erfolgen. Daher verwundert die Meinung der Berliner Datenschutzbehörden.
Wichtiger als pauschale Betrachtungen sind Maßnahmen, die der Verantwortliche treffen soll. Diese sind aus unserer Sicht:
Checkliste Collaboration Tools:
– [ ] Beteiligung BetrR und DSB
– [ ] AVV mit Collaboration-Tool zB https://zoom.us/docs/doc/Zoom_GLOBAL_DPA.pdf
– [ ] Datenschutzfreundliche Voreinstellung
– Keine Aufzeichnung möglich
– Kein Tracking der Personen
– Zutrittsschutz der Besprechungsräume
– Verwaltung (Kontrolle) durch den Organisator möglich
– [ ] Verschlüsselung der Übertragung
– [ ] Information gem. Art 13 an die Teilnehmer
– [ ] Löschung (bspw. Chat)
Wenn man diese Punkte bedenkt und umsetzt, kann auch ein Tool wie MS-Teams den selben Schutz bieten, wie eine vermeintlich sicherere Variante.
Sprechen Sie uns einfach an. Wir helfen gerne!
Weitere News
Zulässigkeit der Nutzung von Gesundheitsdaten im Prozess – VG Wiesbaden
Das Verwaltungsgerichts Wiesbaden stellte in einem Urteil (VG Wiesbaden, Urteil vom 19.1.2022 – 6...
OLG Köln: Schadensersatz bei verspäteter Datenschutz-Auskunft
Das OLG Köln hat in einer jüngst vergangenen Entscheidung (Urteil vom 14.7.2022 – 15 U 137/21 (LG...
EuGH Urteil C-184/20 – Sensible Daten schon bei indirektem Bezug
Der europäische Gerichtshof hat in einem jüngst erschienenen Urteil festgestellt, dass sensible...