Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen

Sven Bauduin 172 Kommentare
Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen
Bild: Berliner Beauftragte für Datenschutz und Informationsfreiheit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte in ihrer Funktion als Datenschutz-Aufsichtsbehörde insgesamt 17 Videokonferenz-Dienste im Test, doch Microsoft Teams und Zoom fielen neben vielen weiteren Programmen nicht zuletzt in Sachen Datenschutz durch und lassen sich nicht DSGVO-konform nutzen.

Wenig Licht und viel Schatten

Die Berliner Datenschutz-Aufsichtsbehörde in Person von Maja Smoltczyk, ihrerseits dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) mit Sitz in Bonn unterstellt, hat insgesamt 17 Videokonferenz-Dienste, darunter bekannte Anwendungen wie Microsoft Teams und das im Zuge der COVID-19-Pandemie durch das Coronavirus immer populärere Zoom, einen Kurztest unterzogen und das mit eindeutigen Ergebnissen.

Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht.

Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit

In ihrem Bericht zu Anbietern von Videokonferenz-Diensten (PDF) hat die Berliner Datenschutz-Aufsichtsbehörde ein Ampelsystem bemüht und populäre Dienste wie Zoom, Teams und Skype sowie Google Meet, GoToMeeting, Blizz, Jitsi und Cisco Webex mit grünen, gelben und roten Ampelzeichen bewertet.

Die meisten Dienste sind rechtlich und technisch mangelhaft

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit nahm in ihrem Kurztest neben der rechtlichen Bewertung der Auftragsverarbeitung zum Teil auch technische Aspekte der Dienste unter die Lupe, wenn diese zuvor hinsichtlich der rechtlichen Umsetzung überzeugen konnten, und bewertet diese wie folgt.

Kurztest der Datenschutz-Aufsichtsbehörde zu Videokonferenz-Diensten
Website Rechtlich Technisch
Blitz Link durchgefallen
Cisco WebEx Link durchgefallen
Cisco WebEx
über die Deutsche Telekom
Link partiell durchgefallen
Freie Jitsi-Angebote partiell durchgefallen
Google Meet Link durchgefallen
GoToMeeting Link durchgefallen
Microsoft Teams Link durchgefallen
Netway Web Services (Jitsi) Link bestanden partiell durchgefallen
Sichere-Videokonferenzen.de Link bestanden partiell durchgefallen
Skype Link durchgefallen
Skype for Business durchgefallen
Tixeo Cloud Link bestanden partiell durchgefallen
Big Blue Button Link bestanden partiell durchgefallen
Wire Link bestanden partiell durchgefallen
Zoom Link durchgefallen partiell durchgefallen

In ihrem 15-seitigen Bericht gehen die Datenschützer auch noch einmal auf jede App im einzelnen ein und erklären ihr Vorgehen im Detail. Eine Anwendung die sowohl rechtlich als auch technisch überzeugt, ist derzeit laut der Behörde am Markt nicht verfügbar.

Am besten schnitten noch die kommerziellen „Jitsi“-Instanzen, „Big Blue Button“ von Werk21 sowie die „Tixeo Cloud“ und „Wire“ ab, diese Apps seien derzeit zumindest „unter Beachtung bestimmter Rahmenbedingungen nutzbar“. Anders verhält es sich bei den durchgefallenen Diensten wie „Zoom“, „Teams“, „Skype“ sowie „Google Meet“ und „Cisco WebEx“, die schon in erster Instanz an der DSGVO-Konformität scheiterten.

Bei rot markierten Anbietern liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern.

Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit

Berliner Datenschützer empfehlen freien App-Store F-Droid

Im Falle der App „Jitsi“, die zumindest den rechtlichen Anforderungen gerecht werden konnte, empfehlen die Berliner Datenschützer vom BfDI, die Anwendung aus dem freien App-Store F-Droid zu beziehen, da die Version aus dem Google Play Store Tracking-Dienste enthalte.

Update 09.07.2020 11:36 Uhr

Microsoft bezieht offiziell Stellung zu den Vorwürfen des BfDI

Mittlerweile hat sich auch Microsoft mit einer offiziellen Stellungnahme zum Vermerk der Berliner Datenschutzbeauftragten zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen zu Wort gemeldet.

Microsoft nimmt Datenschutz sehr ernst und ist überzeugt, dass unsere Produkte im Allgemeinen und damit auch Microsoft Teams datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können.

Wenig überraschend, teilt das Unternehmen aus Redmond die Auffassung und Einschätzung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nicht.

Der Einschätzung der Berliner Beauftragten für Datenschutz und Informationssicherheit können wir nicht folgen. Leider wurden die Informationen, die wir der BlnBDI zur Verfügung gestellt haben, bislang größtenteils nicht berücksichtigt.

Microsoft teilte zudem mit, weiterhin den Dialog mit Maja Smoltczyk und der Berliner Datenschutz-Aufsichtsbehörde zu suchen, um Rückfragen zu klären und noch bestehende Unklarheiten auszuräumen.

Das Unternehmen bekräftigte noch einmal, dass es „Datenschutz als Priorität“ sehe und das „gerade in Krisenzeiten“. Weitere Informationen und die vollständigen Stellungnahmen von 6. und 8. Juli hat Microsoft in seinem News Center veröffentlicht.

Die Redaktion dankt Community-Mitglied „elefant“ für den Hinweis zu diesem Update.