Streit mit Zoom und Microsoft : Datenschutzbeauftragte hält Videokonferenzen für nicht sicher
Die Berliner Landesdatenschutzbeauftragte hat im Streit mit mehreren großen Videokonferenzanbietern nachgelegt. In einer am Freitag veröffentlichten „Kurzprüfung“ attestiert ihre Behörde unter anderem Zoom, Cisco Webex, Google Meet, dem Teamviewer-Produkt Blizz sowie den Microsoft-Produkten Teams und Skype Datenschutzmängel, welche „eine rechtskonforme Nutzung des Dienstes ausschließen“.
Wie es in der Mitteilung der Behörde heißt, bedeutet das, dass die Videokonferenzdienste von Unternehmen, Behörden und Vereinen mit Sitz in Berlin nur genutzt werden dürfen, wenn von den Standardbedingungen abweichende Vereinbarungen mit dem Anbieter getroffen werden. Damit geht die Auseinandersetzung zwischen der Datenschutzbeauftragten Maja Smoltczyk und den Digitalkonzernen hinter den Diensten in eine neue Runde.
Die oberste Berliner Datenschützerin hatte Anfang April, während zahlreiche Arbeitgeber ihre Angestellten wegen der Corona-Krise ins Homeoffice geschickt hatten, einen Leitfaden zu sicheren Videokonferenzen veröffentlicht, in dem unter anderem vor Zoom und Microsoft Teams und Skype gewarnt wurde.
Keine umfassende Prüfung
Auf einen Protestbrief von Microsoft hin nahm Smoltczyks Behörde den Leitfaden Mitte Mai zunächst von ihrer Website, um eine Woche später dann aber fast unverändert wieder zu publizieren. Die Überprüfung habe keinen inhaltlichen Änderungsbedarf ergeben, hieß es damals. In dem Leitfaden wurde allerdings nicht im Detail erläutert, was die Dienste in datenschutzrechtlicher Hinsicht kritisch mache.
Am Freitag veröffentlichte die Behörde nun zwar eine umfassende Übersicht über die verschiedenen Dienste, in der ihnen in rechtlicher und technischer Hinsicht jeweils eine Ampel zugewiesen ist, deklarierte dieses aber auch nur als Ergebnis einer Kurzprüfung. „Insbesondere ist keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärung erfolgt“, hieß es in der Mitteilung.
Die Prüfung konzentrierte sich stattdessen auf die Auftragsverarbeitungsverträge, welche von den Diensten standardmäßig für neue Nutzer vorgegeben werden. Diese regeln, wie der Dienstanbieter die Verarbeitung von personenbezogenen Daten umsetzt, welche er durch die Bereitstellung des Dienstes erhält. Wenn diese Prüfung ohne Beanstandung abgeschlossen wurde, folgte eine „kursorische“ technische Prüfung.
Die Unbedenklichkeitsnote von grünen Ampeln in beiden Prüfungen erhielt dabei keiner von 17 geprüften Diensten. Die Dienste von Zoom, Microsoft, Google und Cisco erhielten fast alle gleich eine rote Ampel in der rechtlichen Prüfung, sodass eine technische gar nicht mehr erfolgte. Einzige Ausnahme war der Dienst Cisco Webex in einer Version, die über die Deutsche Telekom angeboten wird. Dieser erhielt eine gelbe Ampel, was bedeutet, dass seine rechtskonforme Nutzung zwar ausgeschlossen, die Behebung der Mängel beim Unternehmen aber „vermutlich“ einfach möglich sei.
Fast alle Dienste seien „in der Standardkonfiguration für den Austausch von Informationen mit hohem Schutzbedarf nicht geeignet“, resümierte die Datenschutzbehörde. Der einzige Dienst, auf den positiv hingewiesen wurde, war der Open-Source-Dienst Wire.