Video Conferencing Tools – was dem einen Segen ist dem anderen Fluch

Während der Pandemie mit einem neuartigen Coronavirus haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt oder sogenanntes mobiles Arbeiten angeordnet. Nachdem sich nun die erst Flucht aus den Büros gelegt hat, wollen viele Unternehmen Ihren Mitarbeitern das mobile Arbeiten weiter ermöglichen. Doch welches Tool ist das richtige?

Um es direkt einmal vorweg zu nehmen – es gibt keine Software mit einem generellen Freifahrtschein, denn alle haben ihre Vor- und Nachteile. Daher muss man sich im Vorfeld Gedanken machen, wie und für was das Video Conferencing Tool eingesetzt werden soll.

Nehmen wir Messaging-Apps auf Smartphones einmal als Beispiel: im privaten Umfeld nutzt gefühlt jeder WhatsApp und ist in mindestens 3 Gruppen Mitglied. Aus eigener Erfahrung kann ich schreiben, dass der komplette Umstieg auf datenschutzkonformere Messaging-Apps wie Signal oder Threema an der Bequemlichkeit von mir und meinen Mitmenschen scheitert. Denn auf welche App soll man sich zukünftig einigen? Und warum auch, es haben doch alle WhatsApp und die Gruppe hat sich hier schon so schön eingerichtet!

Was im Privaten noch in Ordnung sein mag, ist im beruflichen Umfeld ein absolutes No-Go. Es werden hier sensible Daten verwaltet, von persönlichen Daten der Mitarbeiter, über nicht-öffentliche Konzernzahlen, bis hin zu vertraulichen Kundendaten. Alle diese Daten gehören vor jeglichem unbefugtem Zugriff geschützt. Sei es bei Messaging-Apps oder Video Conferencing Tools.

Die Datenschutz-Konformen

Bei Gesprächen/Meetings zwischen nur zwei Personen bietet Signal die Möglichkeit der Videotelefonie mit einer Ende-zu-Ende-Verschlüsselung (E2EE) an und kann somit für Absprachen zwischen zwei Kollegen oder auch mit einem Kunden dienen. Voraussetzung ist allerdings, dass beide Gesprächsteilnehmer diese App auch installiert haben. Nachteil: für Gespräche/Meetings mit mehr als zwei Teilnehmern muss man nach einer Alternative suchen, da keine Gruppen-Videotelefonie möglich ist.

Diese könnte man in der Open-Source-Plattform Jitsi finden, wenn man die Software auf eigenen Servern hostet und die virtuellen Meetingräume nur über VPN erreichbar macht. Gut umzusetzen für Meetings, an denen nur Mitarbeiter des Unternehmens teilnehmen, aber nicht umsetzbar für Gespräche mit externen Partnern oder Kunden, da diese keinen Zugang auf das Unternehmens-VPN und damit keinen Zugang zu den virtuellen Jitsi-Meetingräumen haben. Nachteil: die Voraussetzungen für den Server, auf dem Jitsi gehostet werden, sind recht hoch und somit nicht für jedes Unternehmen umsetzbar. Zudem leidet die Performance erheblich, je mehr Teilnehmer dem Meeting beitreten.

Die Bequemen

In aller Munde war lange Zeit, und ist es vielleicht immer noch, Zoom. Ein Video Conferencing Tool, welches schon länger auf dem Markt ist und während der Corona-Pandemie einen unglaublichen Zulauf hatte. Unternehmen, Hochschulen, Privatleute – aus allen Bereichen wurden Profile angelegt. Warum? Weil Zoom es wie kein anderes Tool versteht, ein Meeting einfach und schnell einzurichten und während des Meetings selbst stabil zu laufen; ohne große Einschränkungen bei der Video- und Audioqualität. Der Knackpunkt? Es wurden von IT-Sicherheitsexperten jede Menge Sicherheitslücken oder beunruhigende technische Lösungen gefunden, die dieses Tool (zu Recht?) in Ungnade haben fallen lassen. Lobend zu erwähnen ist die Tatsache, dass die Entwickler auf Seiten Zooms bei jeder neuen Meldung über solche Lücken direkt reagiert und Lösungen präsentiert haben. Zum Beispiel konnten sich bis Anfang April unberechtigte Teilnehmer in Meetings zuschalten. Dies wurde von Zoom abgestellt – bei geschützten Meetings benötigt man als Teilnehmer ein Passwort und muss vom Moderator in den Meeting-Raum eingelassen werden. Aufgrund dieser und anderer Änderungen gibt es mittlerweile auch lobende Stimmen für die Datenschutzfreundlichkeit und -konformität von Zoom, wie etwa von Datenschutz-Guru. [1]

Auch schon länger auf dem Markt ist Skype for Business (vorher Lync), welches allerdings bald in Microsoft Teams und damit in Office 365 aufgehen wird. In die Kritik geraten ist Teams, da Microsoft nur eine generische und allgemeine Datenschutzerklärung bereitstellt und nicht wie von der DSGVO gefordert eine präzise Darstellung, wie Nutzerdaten verarbeitet werden. So schreibt auch die Stiftung Warentest in einem Artikel „Die Texte (…) lassen keine ernsthafte Befassung mit der europäischen Datenschutzgrundverordnung (DSGVO) erkennen.“ So erfährt man nur durch Zufall, dass Microsoft Videodaten mittels künstlicher Intelligenz analysiert und dann für Forschungszwecke verwendet. Zudem werden User-IDs u.a. an Google Ads und in die Adobe Experience Cloud gesendet. [2] Warum? Cookies und Parameter können dort mit anderen personenbezogenen Daten angereichert werden, um so zielgerichtete Werbung anbieten zu können.

Die Verschlüsselten

Auch ein altbekannter und momentan gern genutzter Dienst ist WebEx von Cisco. Dieses Tool bietet als eines von wenigen eine E2EE an. Allerdings ist diese Funktion nur auf Anfrage verfügbar und keine generell gültige Einstellung. So sind zum Beispiel Nutzer der Cisco WebEx Meetings App und Linux-Nutzer von der Verschlüsselung generell ausgenommen. Auch das Audio-Signal von Meeting-Teilnehmern, die sich über das Telefon einwählen unterliegt nicht der E2EE, einzig der geteilte Inhalt bleibt verschlüsselt. [3]

Zudem handelt es sich bei WebEx bzw. Cisco, wie die beiden oben erwähnten Zoom und Microsoft Teams, um ein US-Amerikanischen Unternehmen und unterliegt somit nicht der DSGVO.

Deshalb empfiehlt sich ein Blick in die Datenschutzerklärung von Cisco. [4] Hierin heißt es:

„Wenn Sie unsere Websites besuchen, unsere Lösungen verwenden oder mit uns interagieren, erfassen wir möglicherweise Daten, einschließlich personenbezogener Daten. Als „personenbezogene“ Daten gelten alle Daten, mit deren Hilfe sich eine Person identifizieren lässt. Beispiele hierfür sind Name, Adresse, E-Mail-Adresse, Telefonnummer, Anmeldeinformationen (Kontonummer, Passwort, Marketingpräferenzen, Informationen zu Social-Media-Konten oder Zahlungskartennummern. (…) Wir erfassen auch personenbezogene Daten aus vertrauenswürdigen Drittanbieterquellen und beauftragen Dritte mit der Erfassung von personenbezogenen Daten zu unserer Unterstützung.“

Ein bisher eher unbeachtetes Tool ist Blizz von TeamViewer – ein Unternehmen, was bisher eher für sein Fernwartungstool bekannt war. Laut der eigenen Homepage bietet Blizz eine „256Bit Ende-zu-Ende Verschlüsselung sowie optionale Zwei-Faktor-Authentifizierung“ an. [5] Denn die Daten der Teilnehmer, die sich per Telefon in die Konferenz einwählen, können der E2EE aus technischen Gründen nicht unterliegen. Um ungebetene Gäste in der Konferenz zu vermeiden, kann für diesen Fall das Meeting mit einem Passwort versehen werden. So können sich nur Teilnehmer einwählen, die auch tatsächlich eingeladen sind.

Außerdem ist TeamViewer ein deutsches Unternehmen und unterliegt somit der DSGVO. So liegen die Rechenzentren, auf denen die Speicherung der Daten erfolgt, in Deutschland sowie in Österreich und sind nach ISO 27001 zertifiziert. Dies kommuniziert TeamViewer transparent auf der eigenen Homepage. [6]

Einzig die Tatsache, dass das Unternehmen eben auch über Möglichkeiten für Fernzugriff und Fernwartung verfügt, kann für etwas paranoide Gedanken sorgen.

Worauf sollte man also achten?

Je nachdem, ob der Dienst im beruflichen oder privaten Bereich genutzt werden soll, gelten andere Maßstäbe. Wie Eingangs schon erwähnt, gelten im beruflichen Umfeld deutlich striktere Datenschutzbestimmungen, als im privaten. Dessen muss man sich bewusst sein.

  • Möchte man ein Tool wie Jitsi selbst hosten oder muss auf eine Software-as-a-Service (SaaS)-Lösung zurückgegriffen werden?
  • Wenn SaaS: gibt es eine Business-Version des Tools? Diese hat meist noch höhere Sicherheitsstandards.
  • Wo wird die SaaS gehostet? Grundsätzlich muss man mit einem SaaS-Anbieter einen Auftragsverarbeitungsvertrag abschließen. Wird die Software und die erhobenen Daten und Deutschland und/oder der EU gehostet unterliegen diese der DSGVO. Bei einem Server in den USA muss man genauer hinschauen – unterliegen die Daten dem mittlerweile für ungültig erklärtem EU-US Privacy Shield oder wird auf Standardvertragsklauseln verwiesen?

 

[1] Stephan Hansen-Oest, RA & FA für IT-Recht, https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/ (Stand 27.07.2020)

[2] Matthias Eberl, Journalist und Dozent für Multimedia und Datenschutz, https://rufposten.de/blog/2020/05/17/datenschutz-bei-microsoft-teams/ (Stand 27.07.2020)

[3] Help-Center von Cisco WebEx https://help.webex.com/en-us/nwh2wlx/Enable-End-to-End-Encryption-Using-End-to-End-Encryption-Session-Types (Stand 27.07.2020)

[4] Cisco Online-Datenschutzrichtlinie https://www.cisco.com/c/de_de/about/legal/privacy-full.html (Stand 27.07.2020)

[5] Blizz Homepage https://www.blizz.com/de/ (stand 27.07.2020)

[6] TeamViewer Trust Center https://www.teamviewer.com/de/trust-center/compliance/ (Stand 27.07.2020)