Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte in ihrer Funktion als Datenschutz-Aufsichtsbehörde insgesamt 17 Videokonferenz-Dienste im Test, doch Microsoft Teams und Zoom fielen neben vielen weiteren Programmen nicht zuletzt in Sachen Datenschutz durch und lassen sich nicht DSGVO-konform nutzen.
Wenig Licht und viel Schatten
Die Berliner Datenschutz-Aufsichtsbehörde in Person von Maja Smoltczyk, ihrerseits dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) mit Sitz in Bonn unterstellt, hat insgesamt 17 Videokonferenz-Dienste, darunter bekannte Anwendungen wie Microsoft Teams und das im Zuge der COVID-19-Pandemie durch das Coronavirus immer populärere Zoom, einen Kurztest unterzogen und das mit eindeutigen Ergebnissen.
Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht.
Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit
In ihrem Bericht zu Anbietern von Videokonferenz-Diensten (PDF) hat die Berliner Datenschutz-Aufsichtsbehörde ein Ampelsystem bemüht und populäre Dienste wie Zoom, Teams und Skype sowie Google Meet, GoToMeeting, Blizz, Jitsi und Cisco Webex mit grünen, gelben und roten Ampelzeichen bewertet.
Die meisten Dienste sind rechtlich und technisch mangelhaft
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit nahm in ihrem Kurztest neben der rechtlichen Bewertung der Auftragsverarbeitung zum Teil auch technische Aspekte der Dienste unter die Lupe, wenn diese zuvor hinsichtlich der rechtlichen Umsetzung überzeugen konnten, und bewertet diese wie folgt.
| Website | Rechtlich | Technisch | |
|---|---|---|---|
| Blitz | Link | durchgefallen | – |
| Cisco WebEx | Link | durchgefallen | – |
| Cisco WebEx über die Deutsche Telekom |
Link | partiell durchgefallen | – |
| Freie Jitsi-Angebote | – | partiell durchgefallen | – |
| Google Meet | Link | durchgefallen | – |
| GoToMeeting | Link | durchgefallen | – |
| Microsoft Teams | Link | durchgefallen | – |
| Netway Web Services (Jitsi) | Link | bestanden | partiell durchgefallen |
| Sichere-Videokonferenzen.de | Link | bestanden | partiell durchgefallen |
| Skype | Link | durchgefallen | – |
| Skype for Business | – | durchgefallen | – |
| Tixeo Cloud | Link | bestanden | partiell durchgefallen |
| Big Blue Button | Link | bestanden | partiell durchgefallen |
| Wire | Link | bestanden | partiell durchgefallen |
| Zoom | Link | durchgefallen | partiell durchgefallen |
In ihrem 15-seitigen Bericht gehen die Datenschützer auch noch einmal auf jede App im einzelnen ein und erklären ihr Vorgehen im Detail. Eine Anwendung die sowohl rechtlich als auch technisch überzeugt, ist derzeit laut der Behörde am Markt nicht verfügbar.
Am besten schnitten noch die kommerziellen „Jitsi“-Instanzen, „Big Blue Button“ von Werk21 sowie die „Tixeo Cloud“ und „Wire“ ab, diese Apps seien derzeit zumindest „unter Beachtung bestimmter Rahmenbedingungen nutzbar“. Anders verhält es sich bei den durchgefallenen Diensten wie „Zoom“, „Teams“, „Skype“ sowie „Google Meet“ und „Cisco WebEx“, die schon in erster Instanz an der DSGVO-Konformität scheiterten.
Bei rot markierten Anbietern liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern.
Maja Smoltczyk, Berliner Beauftragte für Datenschutz und Informationsfreiheit
Berliner Datenschützer empfehlen freien App-Store F-Droid
Im Falle der App „Jitsi“, die zumindest den rechtlichen Anforderungen gerecht werden konnte, empfehlen die Berliner Datenschützer vom BfDI, die Anwendung aus dem freien App-Store F-Droid zu beziehen, da die Version aus dem Google Play Store Tracking-Dienste enthalte.
Microsoft bezieht offiziell Stellung zu den Vorwürfen des BfDI
Mittlerweile hat sich auch Microsoft mit einer offiziellen Stellungnahme zum Vermerk der Berliner Datenschutzbeauftragten zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen zu Wort gemeldet.
Microsoft nimmt Datenschutz sehr ernst und ist überzeugt, dass unsere Produkte im Allgemeinen und damit auch Microsoft Teams datenschutzkonform sind und im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können.
Wenig überraschend, teilt das Unternehmen aus Redmond die Auffassung und Einschätzung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nicht.
Der Einschätzung der Berliner Beauftragten für Datenschutz und Informationssicherheit können wir nicht folgen. Leider wurden die Informationen, die wir der BlnBDI zur Verfügung gestellt haben, bislang größtenteils nicht berücksichtigt.
Microsoft teilte zudem mit, weiterhin den Dialog mit Maja Smoltczyk und der Berliner Datenschutz-Aufsichtsbehörde zu suchen, um Rückfragen zu klären und noch bestehende Unklarheiten auszuräumen.
Das Unternehmen bekräftigte noch einmal, dass es „Datenschutz als Priorität“ sehe und das „gerade in Krisenzeiten“. Weitere Informationen und die vollständigen Stellungnahmen von 6. und 8. Juli hat Microsoft in seinem News Center veröffentlicht.
Die Redaktion dankt Community-Mitglied „elefant“ für den Hinweis zu diesem Update.