Videokonferenzen und Datenschutz - Die Probleme von Zoom und Microsoft Teams

Das Problem – Warum Videokonfernzen?

Viele Unternehmen und öffentliche Einrichtungen in Deutschland stehen im Moment vor dem Problem trotz Kontaktverboten und Einschränkungen ihren Betrieb aufrecht erhalten zu müssen. Wenn man sich in anderen Ländern umschaut, sind Videokonferenzen, Home-Office-Arbeitsplätze u.ä. schon seit Jahren feste Bestandteile in der Arbeitswelt. Hier wird dieser Fortschritt nun aufgrund der Corona-Krise erzwungen. Das Problem besteht jetzt allerdings darin, dass kurzfristig Möglichkeiten gefunden werden mussten, um weiter arbeiten zu können. Somit fehlte die Zeit, um detaillierte Konzepte auszuarbeiten, verschiedene Tools zu testen und sich in Ruhe für die passende Lösung zu entscheiden. Stattdessen wurde kurzfristig erst einmal das eingesetzt, was am schnellsten und einfachsten umzusetzen war (oft auf Kosten des Datenschutzes und der Daten-/Informationssicherheit).

Datenschutz oder Preis/Leistung

Eines der am heißest diskutierten Themen der letzten Wochen waren wohl Videokonferenz Tools wie „Zoom“ und „Microsoft Teams“ und deren Datenschutz Probleme. Es ist kein Geheimnis, dass die von vielen deutschen Datenschutzexperten bevorzugten „datenschutzkonformen“, europäischen Lösungen was das Preis-Leistungsverhältnis, die Performance oder die Bedienbarkeit angeht, oft nicht mit den „bösen“ amerikanischen Diensten mithalten können. Was priorisiert man denn nun aber als Unternehmen? Performance und Bedienbarkeit oder Datenschutz bzw. Informations- und Datensicherheit? Einerseits muss schnell eine Lösung her, mit der auch nicht-technisch-affine Mitarbeiter klar kommen und die muss dann auch noch bezahlbar sein, da teilweise auch die Umsätze vieler Unternehmen in dieser Zeit leiden. Andererseits geht man dann das Risiko ein aufgrund von Datenschutzverstößen hohe Bußgelder zahlen zu müssen.
Ich habe in den letzten Wochen viele Beiträge gelesen, die sich mit diesen Themen beschäftigen und das Ergebnis ist eigentlich wie immer: Es gibt keine einheitliche Meinung. Am Ende liegt die Entscheidung immer beim Unternehmen selbst. Weiter unten habe ich einige interessante Beiträge verlinkt, in denen die verschiedenen Probleme behandelt werden.
Ich bleibe hier bewusst neutral. Ich kann die verschiedenen Sichtweisen beim Einsatz solcher Lösungen nachvollziehen und denke, wie schon gesagt, dass jeder den Nutzen und die Risiken für sich selbst abwägen muss. Dieser Beitrag soll nur informieren. Entscheidet man sich nun dazu eines oder mehrere dieser eher als kritisch betrachteten Tools einzusetzen, sollte man allerdings darauf achten, dass man diese so sicher wie möglich verwendet. Einige Tipps und Hinweise habe ich (hier) zusammengetragen.

Zoom und Microsoft Teams und die Probleme mit dem Datenschutz

Nun möchte ich auf zwei Videokonferenz Tools eingehen, die in letzter Zeit immer wieder Thema solcher Diskussionen waren (Ich werde diesen Beitrag im Laufe der Zeit um weitere Tools ergänzen):

Zoom

Seit Monaten steht der amerikanische Videokonferenzanbieter Zoom unter Beschuss von zahlreichen „Sicherheitsexperten“, Datenschützern und Aufsichtsbehörden. Googelt man nach „Videokonferenz“ o.ä. scheint es nur ein Thema zu geben „das böse Zoom“. Vorweg sei gesagt: Zoom hat oder hatte mit Sicherheit einige große Mängel in den Bereichen Datenschutz und Datensicherheit. Was man dem Unternehmen aber lassen muss, sie reagieren verdammt schnell auf die Kritik und die Vorwürfe und scheinen großen Wert darauf zu legen, in diesen Bereichen besser zu werden. Da können sich einige ein paar Scheiben von abschneiden.
Bemängelt wurden u.a.

Mangelnde Verschlüsselung

Zoom setze zu Beginn eine veraltete Verschlüsselungstechnik (AES ECB) ein, hat allerdings mit Version 5.0 eine bessere Verschlüsselung (AES 256bit GCM) eingeführt. Anschließend gab es ein „Zwangsupdate“, so das alle Zoomnutzer auf die neue Version mit der besseren Verschlüsselung updaten mussten, um Zoom weiterhin nutzen zu können.
Ebenfalls kritisiert wurden etwas undeutliche Formulierungen in den Produktinformationen von Zoom, die (wenn man nicht genau gelesen hat) den Eindruck erweckten, dass sämtliche Kommunikation Ende-zu-Ende verschlüsselt sei. Dies ist aber nicht der Fall. Lediglich die Chat-Inhalte sind Ende-zu-Ende verschlüsselt. Hierzu gab es von Zoom ein Statement (https://blog.zoom.us/facts-around-zoom-encryption-for-meetings-webinars/)

Weitergabe von Daten an Facebook

Scheinbar wurden bei der Nutzung der Zoom iOS App durch einen Dienst (Facebook SDK) bestimmte Nutzerdaten, wie das verwendete Gerät, Stadt (Einwahlstandort), Mobilfunkanbieter u.ä. an Facebook übermittelt. Auch dieser Fehler wurde mit Hilfe eines Updates behoben.

Attention-Tracking

Das Attention-(oder Aufmerksamkeits-)Tracking war eine Zoom-Funktion, mit der der Host prüfen konnte, ob das Zoom-Fenster bei den Teilnehmern im Vordergrund steht oder ob sie das Meeting vielleicht nur gestartet und dann minimiert haben. Grundsätzlich war dies eine sinnvolle Funktion, um z.B. bei Online-Schulungen mit Teilnahme-Nachweis auch sicherstellen zu können, dass alle Teilnehmer wirklich „anwesend“ waren. Zudem musste der Host die Funktion bewusst aktivieren. Jedoch hat Zoom, vermutlich aufgrund der massiven Kritik, die Funktion entfernt.

Fehlende Transparenz in den Datenschutzhinweisen

Die ursprünglichen Datenschutzhinweise von Zoom waren teilweise ungenau, schlecht übersetzt, es fehlten Angaben und es war schwer zu differenzieren, welcher Teil der Hinweise sich auf die Software und welcher sich auf die Website bezieht (übrigens ein Problem, dass bei vielen, auch in der EU ansässigen, Dienstanbietern auftritt). Hier hat Zoom ebenfalls reagiert und die Datenschutzhinweise überarbeitet.

Zoombombing

Das sog. „Zoombombing“ war ebenfalls ein großes Thema. Hier kam es vermehrt zu Fällen, bei denen sich Fremde über zufällig generierte Meeting-IDs in Meetings einwählen konnten und dort Spam oder teilweise pornografische Inhalte gezeigt haben. Das ist natürlich unschön. Besonders, wenn so etwas bei Videokonferenzen mit Kindern (z.B. Schule) vorkommt. Dies hätte vermieden werden können, wenn die Hosts die von Zoom bereitgestellten Funktionen (Meetingpasswörter, Warteraum, Meeting schließen) von Anfang an richtig genutzt hätten. Zoom hat allerdings auch hier nachgebessert. Für die Teilnahme an Zoom-Meetings wird nun immer die Meeting-ID und das Passwort benötigt und die Warteraumfunktion ist standardmäßig eingeschaltet.

Microsoft Teams

Anfang Mai gingen diverse Meldungen über einen Beschwerdebrief von Microsoft Deutschlands Chefjuristen an die Berliner Datenschutzbehörde durch die Medien. Hier ging es darum, dass die Berliner Behörde eine „Checkliste für die Durchführung von Videokonferenzen“ veröffentlicht hat, in der vor Diensten wie Microsoft Teams, Skype und Zoom gewarnt wurde. Microsoft forderte die Aufsichtsbehörde auf unrichtige Aussagen zu entfernen und zurückzunehmen. Microsoft Teams wird von einigen Aufsichtsbehörden und Datenschützern u.a. wegen den folgenden Punkten kritisiert und als unzulässig eingestuft:

Wenig Transparente Datenschutzhinweise

Die Datenschutzhinweise zu Microsoft Teams wurden als undurchsichtig und teilweise sogar als „schlampig“ bezeichnet. Stiftung Warentest formulierte es bei einem Vergleich für Videochat-Programme so: „Die Texte (…) lassen keine ernsthafte Befassung mit der europäischen Datenschutzgrundverordnung (DSGVO) erkennen“

Weitergabe von Daten an Dritte

Bei verschiedenen Tests wurde festgestellt, dass bei der Nutzung von Microsoft Teams (zumindest bei der kostenlosen und bei der Schullizenz) User-IDs an die Marketingnetzwerke von Google und Adobe weitergegeben. Dies widerspricht der deutschen DPA von Microsoft, in welcher eine Nutzung von Userdaten zu Werbezwecken ausgeschlossen wird.

Fazit

Es gibt nicht „die eine Lösung“. Bei den einen hängt’s an der Performance, bei anderen an der Usability und bei wieder anderen (oder bei fast allen) gibt es Probleme mit dem Datenschutz und der Datensicherheit.
Wählen Sie Ihre Tools nach Ihren Maßstäben aus. Informieren Sie sich, wo die Schwachstellen liegen und wägen Sie die möglichen Risiken, die dadurch für Ihr Unternehmen entstehen, sorgfältig ab. Arbeiten Sie ein Konzept aus oder lassen Sie sich dabei beraten. Software überstürzt und ohne Konzept einzuführen führt in vielen Fällen zu Fehlentscheidungen, nicht nur bei Videokonferenztools.
Wenn Sie bei der Auswahl von Software oder der Konzepterstellung Hilfe brauchen. Kontaktieren Sie mich gerne.

Quellen:


https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/
https://www.e-recht24.de/artikel/datenschutz/12122-videokonferenzen-und-datenschutz-vergleichstest-zoom.html
https://www.handelsblatt.com/technik/it-internet/datenschutz-weitreichende-vorwuerfe-gegen-zoom/25722542-2.html?ticket=ST-10532076-SIcdhRNQBiYacxN3AThL-ap5
https://www.datenschutzexperte.de/blog/datenschutz-im-internet/zoom-datenschutz-zwei-die-sich-annaehern/
https://www.e-recht24.de/news/datenschutz/12218-datenschutz-kritik-microsoft.html#:~:text=Das%20Ampelsystem%20der%20Berliner%20Datenschutzbeh%C3%B6rde,die%20Technik%20vermutlich%20wesentlich%20anpassen.
https://www.sueddeutsche.de/digital/microsoft-teams-datenschutz-videokonferenz-berlin-1.4911940
https://www.kuketz-blog.de/kommentar-datenschutz-bei-microsoft-teams/