DSGVO – TEST Videokonferenzdienste – TEAMS & ZOOM nicht DSGVO-Konform

Aufgrund er COVID-19-Pandemie wurde das Chatten über Videotelefonie immer populärer. Es ist sinnvoll während der weltweiten Pandemie durch den Corona-Virus die persönlichen Kontakte zu minimieren, um jedoch soziale Kontakte und Freundschaften zu pflegen, haben sich immer mehr und mehr Menschen dazu entschieden, sich online zu treffen, um sich in Form einer Videokonferenz auszutauschen. Durch die vielen verschiedenen Hersteller von vielen verschiedenen Diensten der Videotelefonie ist es heutzutage selbstverständlich solche Dienste zu nutzen. Jedoch könnte dadurch die Privatsphäre verletzt werden.

 

Entsprechen alle Dienste für Videokonferenzen der Datenschutzgrundverordnung (DSGVO)?

In einem Kurztest der Berliner Beauftragten für Datenschutz und Informationsfreiheit wurden 17 Videokonferenz-Dienste bezüglich der Datenschutzgrundverordnung genau unter die Lupe genommen. Leider war das Ergebnis dieses Testes nicht zufriedenstellend. „Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht.“ meinte die BfDi Berliner Beauftragte für Datenschutz und Information, Maja Smoltczyk.

Denn lediglich sechs der siebzehn getesteten Programme können im Sinne der DSGVO überzeugen. Videokonferenz-Dienste wie Teams und Skype sowie Google Meet, welche von riesigen Konzernen entwickelt wurden, konnten die Richtlinien nicht erfüllen.

Bewertungssystem

Die Bewertung der einzelnen Programme orientiert sich an einer Ampel. Dieses Ampelsystem umfasst drei Farben, von Rot über Gelb bis Grün. Grün bedeutet, dass die rechtlichen Bedingungen ordnungsgemäß eingehalten werden. Dienste die mit Gelb bewertet wurden sind bei diesem Test nur teilweise durchgefallen, da bei diesen Programmen Mängel im Auftragsverarbeitungsvertrag, unklare Regelungen zu Datenexporten sowie unzulässige Einschränkungen des Weisungsrechts festgestellt wurden. Dadurch wird auch bei gelb markierten Programmen eine rechtskonforme Nutzung des Dienstes ausgeschlossen. Bei allen Diensten, die mit Rot markiert wurden, ist auch eine rechtskonforme Nutzung ausgeschlossen, da diese Programme, ähnlich wie die Dienste, welche mit Gelb markiert wurden, einige Mängel bezüglich der Richtlinien, die für die Datenschutzgrundverordnung notwendig sind, aufweisen.

Negative Testergebnisse:

Die Ergebnisse der Datenschutz-Aufsichtsbehörde fallen vor allem für große Konzerne sehr schlecht aus. Alle der drei Dienste Microsofts wurden mit Rot bewertet. Die wohl populärsten Programme SKYPE und Zoom können anscheinend den Datenschutzrichtlinien nicht nachkommen, da bei diesen Diensten nicht zulässige Einschränkungen der Löschpflicht und weitere nicht zulässige Abweichungen festgestellt wurden. Diese Erkenntnisse steigern die Zweifel an der Zuverlässigkeit des Anbieters. Der Megakonzern bezieht Stellung zu den Anschuldigungen durch die Berliner Beauftragte für Datenschutz und Informationsfreiheit und hat folgendes zu sagen.

„Microsoft nimmt Datenschutz sehr ernst und ist überzeugt, dass unsere Produkte im Allgemeinen und damit auch Microsoft Teams datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können.
Wenig überraschend, teilt das Unternehmen aus Redmond die Auffassung und Einschätzung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nicht.
Der Einschätzung der Berliner Beauftragten für Datenschutz und Informationssicherheit können wir nicht folgen. Leider wurden die Informationen, die wir der BlnBDI zur Verfügung gestellt haben, bislang größtenteils nicht berücksichtigt.“

Der Konzern teilte außerdem auch mit, weiterhin in Kontakt mit Maja Smoltczyk und der Berliner Datenschutz-Aufsichtsbehörde zu bleiben, um noch offene Fragen zu klären.

Auch das von Google zur Verfügung gestellte Videokonferenz-Programm Google Meet war nicht in der Lage allen Anforderungen der DSGVO nachzukommen. Neben den Dienst von Google waren auch GoToMeeting, Blizz und Cisco Webex rechtlich und technisch mangelhaft, wodurch diese Programme auch mit Rot bewertet werden mussten. Bei all diesen Programmen gab es genauso Unklarheiten und Widersprüche bezüglich der Auftragsverarbeitungsverträge, außerdem mangelte es auch bei anderen rechtlichen Voraussetzungen, um der Datenschutzrichtlinie zu entsprechen. Maja Smoltczyk meint zu den Diensten, welche mit einer roten Ampel bewertet sind folgendes: „Bei rot markierten Anbietern liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern.“

Positive Testergebnisse:

Mit Grün wurden nur wenige Dienste bewertet, darunter auch die Open-Source-Software Jitsi. Dieses Programm von Netways konnte rechtlich und technisch überzeugen. Bezüglich der App zu diesem Videokonferenz-Dienstes, die zumindest den rechtlichen Anforderungen gerecht werden konnte, empfiehlt die Berliner Beauftragte für Datenschutz und Information, dass wenn man diese App nutzen sollte, diese aus dem freien App-Store F-Droid herunterladen sollte. Bei einem Download aus dem Google Play Store werden nämlich zusätzlich enthaltene Tracking-Dienste auch heruntergeladen und installiert, bei der Anwendung aus dem freiem App-Store nicht.

Auch sichere-videokonverenz.de ist rechtlich gesehen vertretbar. Tixeo Cloud, Big Blue Button von Werk21 und Wire sind auch Dienste, welche Videokonferenzen ermöglichen, ohne der Datenschutzrichtlinie zu widersprechen. Beim Verwenden dieser Dienste muss man keine Angst haben, dass die persönliche Privatsphäre verletzt wird.

Die von der Telekom betriebene Variante von Webex wurde mit einer gelben Ampel bewertet. Es wurden auch bei diesem Dienst unzulässige Datenexporte festgestellt, wodurch dieser Dienst der Telekom nicht mehr positiv bewertet werden konnte. Die Telekom hat bereits Änderungen angekündigt, da sie versuchen alle ihre Dienste datenschutzkonform und kundenfreundlich zu halten.

 

Fazit:

Abschließend lässt sich sagen, dass das Testergebnis für die meisten Anbieter von Videokonferenz-Diensten schlecht ausfiel. Nur wenig Anbieter legen Wert auf die Datenschutzrichtlinien und berücksichtigen diese in einem angemessenen Maß.

 

Weitere News zur DSGVO und Video:

DSGVO Wann ist Videoüberwachung unzulässig?

DSGVO Fotos und Videoaufnahmen in Kitas und Schulen

DSGVO Fotos Entscheidung des OLG Köln