Berliner Datenschutzbeauftragte warnt vor gängigen Videokonferenzdiensten
von Redaktion,
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ihre „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten“ in einer aktualisierten und erweiterten Fassung veröffentlicht. Dabei fallen gängige Systeme wie Cisco Webex Meetings, Google Meet, GoToMeeting, Microsoft Teams oder Zoom weiterhin durch, obwohl viele Anbieter nach der ersten Prüfung letztes Jahr bereits Verbesserungen vorgenommen hatten.
(Bild: Pexels)
Anzeige
Insgesamt elf Anbieter werden nun auf der rechtlichen Ebene durch ein Ampel-System mit „Grün“ bewertet und anschließend einer technischen Prüfung unterzogen. Auf der technischen Ebene sind die Hinweise jetzt deutlich ausdifferenziert und umfassen verschiedene Anwendungsfälle. Für drei unterschiedliche Szenarien können Unternehmen, Behörden und Vereine auf den ersten Blick erkennen, welche der getesteten Videokonferenzdienste für sie in Betracht kommen: Für jeden Anwendungsfall gibt es eine eigene Ampel. Zu jedem der 23 geprüften Dienste bzw. Dienstegruppen enthält das Papier zudem teils sehr detaillierte Erläuterungen der Mängel und Hinweise zur Konfiguration.
Eine erste Version ihrer Hinweise hatte die Berliner Datenschutzbeauftragte am 3. Juli 2020 veröffentlicht. Die Aufsichtsbehörde reagiert mit der Aktualisierung auf das angesichts der Corona-Pandemie weiterhin hohe Interesse von Unternehmen, Behörden, Vereinen und freiberuflich Tätigen in Berlin, Informationen zum datenschutzkonformen Einsatz von Videokonferenzdiensten zu erhalten. Zudem hat sich eine Vielzahl von Anbietern von Videokonferenzdiensten an die Berliner Datenschutzbeauftragte gewandt und um Prüfung ihrer Angebote gebeten.
Um die Hürden für Berliner Verantwortliche für den rechtmäßigen Einsatz von Videokonferenzdiensten zu verringern, hat die Behörde insbesondere die Standard-Auftragsverarbeitungsverträge der Anbieter geprüft. Soweit bei der Prüfung der Vertragsdokumente keine Mängel festzustellen waren, erfolgte eine kursorische Prüfung einiger technischer Aspekte der Dienste.
Im engen Austausch mit den Anbietern ist es gelungen, die ursprünglich teilweise sehr zahlreichen und gravierenden datenschutzrechtlichen Mängel vieler Angebote zu beseitigen. So konnte die Behörde auch bei verschiedenen marktstarken Anbietern gegenüber der ersten Version der Hinweise deutliche, wenn auch leider in vielen Fällen nicht ausreichende Verbesserungen erreichen. Mehrere Anbieter haben der Berliner Datenschutzbeauftragten allerdings weitere Verbesserungen angekündigt, die in künftigen Versionen der Hinweise Berücksichtigung finden werden. Zudem kam eine größere Zahl Anbieter neu hinzu.
Die in der Kurzprüfung als zulässig bewerteten Angebote dienen ganz unterschiedlichen Bedürfnissen. Einige Angebote sind eher für kleinere Videokonferenzen gedacht, andere sind auch für große Zahlen an Teilnehmenden geeignet. Die meisten Angebote eignen sich nur für normalen Schutzbedarf, es gibt aber auch Angebote mit Ende-zu-Ende-Verschlüsselung, bei denen auch der Anbieter die Kommunikation nicht abhören kann. Einzelne Angebote sind sogar kostenlos nutzbar.
Die Kurzprüfung berücksichtigt die Anforderungen an Datenexporte in Drittländer außerhalb von EU und EWR, die sich aus dem EuGH-Urteil „Schrems II“ vom 16. Juli 2020 (C-311/18) ergeben. Noch nicht geklärt und daher nicht berücksichtigt sind Fragen, die sich aus einer möglichen Anwendbarkeit fremden – insbesondere US-amerikanischen – Rechts auf Datenverarbeitungen in Europa ergeben. Die gestellten Anforderungen entsprechen dabei denjenigen, auf die sich die Datenschutz-Aufsichtsbehörden des Bundes und der Länder mit der „Orientierungshilfe Videokonferenzsysteme“ der Datenschutzkonferenz (DSK) vom 23. Oktober 2020 geeinigt hatten, soweit diese aus der Anwenderperspektive prüfbar waren.
Die Aufsichtsbehörde weist darauf hin, dass sie keine umfassende Prüfung der Dienste durchgeführt, sondern sich auf zentrale Aspekte beschränkt hat. Insbesondere ist keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärungen der Anbieter erfolgt, da diese lediglich die eigenverantwortlichen Datenverarbeitungen der Videokonferenzdienste-Anbieter betreffen und nicht die der verantwortlichen Stellen in Berlin bei Inanspruchnahme der Dienste.
Soweit rechtliche Mängel in den geprüften Dokumenten vorhanden sind, dürfen die Dienste nur genutzt werden, wenn abweichende Vereinbarungen mit den Anbietern getroffen wurden.
Die Liste wird von der Berliner Beauftragten für Datenschutz und Informationsfreiheit laufend ergänzt, wenn sie im Rahmen ihrer Aufsichts- und Beratungstätigkeit weitere Angebote geprüft hat. Insbesondere Anbieter von Videokonferenzlösungen, die ihren Dienst Berliner Verantwortlichen zur Verfügung stellen und besondere Funktionen wie eine Ende-zu-EndeVerschlüsselung, eine Einbindung professioneller User-Management-Systeme oder eine hohe Zahl an Teilnehmenden ermöglichen, sind eingeladen, Vertragsdokumente und technische Informationen für eine Kurzprüfung bei der Berliner Datenschutzbeauftragen einzureichen.
Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Ich freue mich, dass unsere Hinweise so viele Anbieter dazu bewegt haben, ihre Angebote in Sachen Datenschutz teilweise sehr deutlich zu verbessern. Es gibt mittlerweile ausreichend viele rechtskonform nutzbare Dienste für verschiedenste Einsatzzwecke, sodass es keinen Grund gibt, für Videokonferenzen das Datenschutzrecht zu brechen. Wenn sich ein Anbieter mit rechtlich mangelhaftem Videokonferenzdienst nicht bewegt, ist es dringend an der Zeit zu wechseln. Bequemlichkeit kann nicht die Verletzung von Grundrechten rechtfertigen. Besonders Behörden und große Unternehmen sollten zudem überlegen, ob sie ihre Videokonferenzlösung nicht selbst betreiben können. So lassen sich unzulässige Datenabflüsse viel eher kontrollieren und unterbinden.“
>> Die Ergebnisse der Kurzprüfung können auf der Homepage der Berliner Beauftragten für Datenschutz und Informationsfreiheit unter www.datenschutz-berlin.de abgerufen werden.