Videokonferenz-Apps und Datenschutz

Und es hat Zoom gemacht…

Die Corona-Krise traf viele Unternehmen wie ein Keulenschlag. Von einem Tag auf den anderen musste auf Homeoffice-Betrieb umgeschaltet werden – das betrifft die kleine Anwaltskanzlei ebenso wie Giganten à la Tesla, Google und Co. Binnen kürzester Zeit mussten Tools her, die das Abhalten von Videokonferenzen ermöglichen. Das Problem dabei: Zeit- und Kostendruck, zwei schlechte Ratgeber, wenn es um Datenschutz und -sicherheit geht.

Eine App geht durch die Decke

Als Krisengewinnler hat sich Zoom entpuppt: Die App der kalifornischen Firma hatte Zuwachsraten wie das Covid19-Virus und schraubte die Nutzerzahlen pro Tag von anfangs 10 auf 200 Millionen hoch. Allerdings gingen kostenloser Zugang und Benutzerfreundlichkeit zulasten von Sicherheit und Datenschutz: „Zoombombing“ wurde zum Schlagwort für die offensichtlichste Lücke – Fremde konnten in Videokonferenzen eindringen, wenn die Konferenz-ID oder der Einwahl-Link bekannt waren.

Zoom besserte nach und schuf Warteräume und die Passworterrichtung als Standardeinstellung. Das änderte jedoch nichts am grundsätzlichen Problem der völlig unzureichenden Datenverschlüsselung. Forscher am Citizen Lab der Universität von Toronto stellten fest, dass Zoom eine Verschlüsselungsmethode nutzt, die als unzureichend einzustufen ist. Das und andere Schwachstellen wie die Datenweitergabe an Facebook oder die Umleitung mancher Konferenzen über chinesische Server führen zum Schluss, dass Zoom aus Datenschutz-Sicht völlig ungeeignet für den Firmeneinsatz ist.

Alternativen zu Zoom

Am einfachsten haben es Unternehmen mit einer eigenen IT-Abteilung, die einen eigenen Server aufsetzen kann, auf dem dann Tools wie Jitsi, BigBlueButton oder Blizz installiert werden können. Allerdings verfügen viele kleinere Betriebe über keine IT-Abteilung und auch die Kosten müssen in Zeiten von massiven Umsatzeinbrüchen genau im Blick behalten werden. Dazu kommt, dass mittlerweile das gesamte Team zuhause sitzt und die Umsetzung somit von den AnwenderInnen selbst zu bewerkstelligen sein muss.

Die Anbieter der meisten auf dem Markt befindlichen Services sitzen in den USA und sind in aller Regel Privacy-Shield-zertifiziert. Damit ist der Datenfluss an diese Unternehmen gemäß Art. 45 DSGVO zulässig. Weitere Informationen zu Safe Harbour und Privacy Shield.

Allerdings hat es in der Vergangenheit auch bei größeren Anbietern wie Skype Verstöße gegeben, die das Vertrauen erschüttert haben, zumal Videochat-Software auf viele sensible Bereiche der Hardware zugreifen muss. Etwa auf die Kamera, das Mikrofon und auf die beteiligten Bildschirme.

Wer den Big Playern noch eine Chance geben möchte findet in Microsoft Teams eine sinnvolle Alternative, da standardmäßig ein Login per Microsoft-Konto vorgesehen ist. Zwar ist auch Microsoft Office 365 nicht zur Gänze DSGVO-konform, jedoch sind in Zeiten der Krise kleine Zugeständnisse beim Datenschutz zu machen, um das Funktionieren von Unternehmen zu gewährleisten.

Lösungen aus Europa

Not macht erfinderisch, so auch die Entwickler von Videochat-Lösungen. Es gibt aktuell zwei gute europäische Alternativen: Die kostenfreie Videokonferenzplattform Edumeet läuft über den Internetbrowser und muss nicht installiert werden. Das Programm ist derzeit aber leider nur als Betaversion verfügbar. PatriotInnen werden sich über Fairmeeting von Fairkom freuen, das in Vorarlberg betreut wird.

Sie sehen also: Alternativen gibt es genug, sogar aus Europa und Österreich. Wofür Sie sich letztlich auch entscheiden – behalten Sie neben den Kosten und der Funktionen auch den Datenschutz im Auge!

„Für die während der Telearbeit anfallenden personenbezogenen Daten wie Nutzerdaten, Meeting Metadaten, Aufzeichnungen von Videos, Audio und Präsentationen, Chatlogs und Telefondaten ist der Arbeitgeber als Verantwortlicher im Sinne der DSGVO zu betrachten. Zur Erfüllung von DSGVO-Pflichten ist vom Verantwortlichen ua ein Verzeichnis der Verarbeitungstätigkeit, ein Datenschutzhinweis (für Beschäftigte und Dritte) sowie uU eine Datenschutz-Folgenabschätzung zu erstellen.“
Quelle: Büro für Datenschutz & Datensicherheit

Ihre Ansprechpartner

Anfrage an PROTECTR

Unser Blogbeitrag hat Ihr Interesse geweckt? Senden Sie uns eine Anfrage!



Im Sinne des Datenschutzes werden Ihre Daten nur für diese Anfrage verwendet und nicht für weitere Zwecke verarbeitet.