[English]Es ist ein Paukenschlag – bei der Berliner Datenschutzbeauftragten wurden diverse Videokonferenzsysteme einem Kurztest unterzogen. Dabei fielen Microsofts Teams oder Zoom als Konferenzlösung durch. Die Produkte von US-Firmen lassen sich nicht DSGVO-konform einsetzen.
Anzeige
Kurzer Rückblick
Es dürfte keine Liebe fürs Leben mehr werden. Angesichts der steigenden Anteile von Videokonferenzen während der Coronavirus-bedingten Kontaktbeschränkungen hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit im April 2020 Checklisten zur Durchführung von Videokonferenzen veröffentlicht. In der zweiseitigen "Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen" kamen Microsoft Teams und weitere Produkte nicht so gut weg. Führte dazu, dass Microsoft zu juristischen Mitteln griff und so etwas wie eine 'Abmahnung' schickte. Ich hatte im Beitrag Microsoft 'mahnt' Berliner Datenschutzbeauftragte ab darüber berichtet.
Die Checkliste verschwand für wenige Tage aus dem Web, um dann erneut veröffentlicht zu werden. Denn das Ansinnen Microsofts ließ sich die Berliner Datenschutzbeauftragte nicht gefallen und legte kurze Zeit später mit einer neuen Checkliste und Empfehlungen nach (siehe Berlin: Datenschutzbeauftragte legt gegen Microsoft nach).
Kurztest: Zoom & Teams nicht DSGVO-konform einsetzbar
Die Berliner Datenschutzbeauftragte, Maja Smoltczyk, ließ darauf hin gängige Videokonferenzlösungen einem Kurztest unterziehen. Der Bericht Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten ist als PDF-Datei abrufbar. Im Bericht findet sich eine Liste mit Produkten und eine Ampel, die anzeigt, ob eine Lösung rechtskonform in Deutschland/Europa einsetzbar ist.
Als Kurzfassung: Lösungen wie Zoom, Teams und Skype von Microsoft sowie Google Meet, GoToMeeting, Blizz und Cisco Webex sind als Videokonferenzsoftware glatt durchgefallen. Die Produkte lassen sich nicht DSGVO-konform einsetzen. Golem hat das Ganze in diesem Artikel aufbereitet.
Auch Martin Geuß hat es bei Dr. Windows in einem Artikel erwähnt. Martin verweist dabei auf einen Artikel von Microsoft, der der Einschätzung der Datenschutzbeauftragen von Berlin widerspricht. Ich sage es mal so: Solange das juristisch nicht geklärt ist, würde ich mir die Position der Berliner Datenschutzbeauftragten zu eigen machen und wenig auf Microsofts Verlautbarungen geben.
Ähnliche Artikel:
Microsoft Teams: Schwachstelle erlaubte Kontenübernahme
Microsoft Teams und die Sicherheit …
Verursacht Windows 10 VPN-Bug-Fix Update Teams-Probleme?
MS Teams: Bug verhindert Whiteboard-Nutzung in Europa
MS-Teams: Bei Windows Server auf virtuellen Speicher achten
Einschränkungen bei MS Teams, OneNote, Office365
Microsoft Teams hat 44 Millionen DAUs – und es klemmt
Störung: Microsoft Teams rumpelt (16./17.3.2020)
MS Teams wegen Zertifikatsfehler down (3.2.2020)
Microsoft 'mahnt' Berliner Datenschutzbeauftragte ab
2015
Rein rechtlich dürfte diese Software ab sofort nicht mehr zum Einsatz kommen!
Das Problem ist halt die fehlende, gleichwertige Alternative aus deutschen Landen. Also endet das Ganze in einem Abwägungsprozess: Nutzen der Nutzung von Zoom, Teams etc. gegen Gefahr der Kontrolle durch DSB und Höhe der möglichen Ordnungsstrafe wegen Verstoß gegen DSGVO. Ergebnis ist vorhersehbar.
Freundliche Grüße P.B.
Was mir zudem beim Lesen des verlinkten Dokuments aufgefallen ist: Nicht einmal die Hälfte ist technisch oder gar inhaltlich betrachtet worden. Es geht in diesem Dokument mit der Kennzeichnung einzig und allein um die Formulierungen der Verträge. Ob ich als Admin Tod und Teufel einstellen und auf DSGVO-Konformität überwachen kann, interessiert da niemanden.
Natürlich sind die Verträge nicht unwichtig. Aber so finde ich den Vergleich mehr als nur frech!
Weiterhin möchte ich mich meinen Vorrednern anschließen: Ich kann wählen zwischen halbfertigen Produkten die vertragstechnisch einwandfrei sind (Open Source und damit auch kein Hosting, somit ist die rechtliche DSGVO-Konformität nicht Teil des Produktes, sondern des Hosters) und Produkten die gut integriert sind und funktionieren. Tut mir leid, aber dann bin ich bei letzteren. Und die sind in der Liste ausnahmeweise mit roten Ampeln gekennzeichnet.
Es gibt Firmen die sich einen Teufel scheren was die DSGVO angeht und es gibt Firmen die alles versuchen Möglich zu machen. Was mmn schwierig zu gestalten ist.
Ich habe LogMeIn bezüglich GoToMeeting heute morgen angeschrieben und folgende Antwort bekommen die ich gerne mit euch teilen möchte:
"…danke für Ihre Mail.
Unsere Rechtsabteilung sitz an einem Statement zu diesem Dokument welches uns seit dem 06/07/20 vorliegt.
Wie Sie sehen können sind alle führenden SAAS Anbieter angeblich nicht DSGVO korrekt wie auch geschrieben in einer kurzen Prüfung. Alle Grün markierten Lösungen sind alle Opensource Lösungen in welche Sie zb. nur den Bildschirm oder die Kamera teilen können und nicht beides gleichzeitig.
Im Haus LogMeIn kann nicht nur der ADV gesehen werden als Sicherheitsgrundlage, da es sich darin um einen Standartvertrag für all unsere Lösungen handelt. Bitte schauen Sie sich unserer Sicherheitsmaßnahme an wie C5 wo wir Verifiziert sind und auch unsere Socs zu GoTo.
Alles zu unserem Trust Center finden Sie hier.
https://web.archive.org/web/20191217210851/https://www.logmeininc.com/de/trust/privacy
C5 Verifizierung hier
und was es bedeutet hier
Socs für alle unsere Lösungen hier (bitte schauen Sie nach GoTo)
Sobald wir ein offizielles Statement erhalten senden wir Ihnen dies zu. "