Berliner Datenschutzbeauftragte: Skype, Microsoft Teams und Zoom (angeblich) datenschutzwidrig

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk  hat eine aktuelle Bewertung zu den gängigen Video-Konferenz-Tools wie SkypeMicrosoft Teams und Zoom abgegeben. Hier gibt es die Checkliste inkl. Bewertung und hier die allgemeinen Ausführungen zum Einsatz von derartigen Video-Tools.

Das Ergebnis der Behörde: Angeblich sollen Skype, Microsoft Teams und Zoom  datenschutzwidrig sein.

Wörtlich heißt es dort:

"Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter die aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype Communications und Zoom Video Communications."

Genauere, konkretere Angaben, aus welchen Gründen diese Anbieter die datenschutzrechtlichen Anforderungen nicht erfüllen, werden nicht gemacht. Vielmehr bleibt es bei dieser allgemein gehaltenen, substanzlosen Aussage.

Kritisch beäugt das Amt auch die Konstellation, dass die Dienstleistungen von US-Konzernen erbracht werden:

"Der Anbieter muss Ihnen auch darlegen, ob er außereuropäische Dienstleister zur Erbringung der Leistung hinzuzieht. Einige Anbieter fungieren lediglich als Wiederverkäufer von Leistungen US-amerikanischer Unternehmen. Andere lassen einen wesentlichen Teil der Dienstleistung von außereuropäischen Unternehmen der gleichen Unternehmensgruppe erbringen.

In den beiden letztgenannten Fällen gewinnen Sie zwar einen europäischen vertraglichen Ansprechpartner. Die oben beschriebenen Risiken verbleiben jedoch.

Prominentes Beispiel sind die Dienstleistungen der Unternehmensgruppe von Microsoft Corporation (z. B. Microsoft Teams) einschließlich seiner Tochter Skype Communications SARL mit Sitz in Luxemburg (mit dem gleichnamigen Produkt). Im letztgenannten Fall wie auch bei der direkten Beauftragung eines der außereuropäischen Anbieter mit signifikantem Marktanteil – in der Regel mit Sitz in den USA – müssen Sie neben den Fragen, die auch bei rein europäischen Anbietern eine Rolle spielen, die zusätzlichen Risiken bedenken und die rechtlichen Garantien prüfen. Leider erfüllen auch einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht. Dies trifft derzeit (Stand 2. April 2020) z. B. auf Zoom Video Communications, Inc. zu."

Sei eine Video-Konferenz-Software nicht datenschutzgerecht, dürfe diese nicht eingesetzt werden. Es müsse dann eben auf die Möglichkeit von Telefon-Konferenzen zurückgegriffen werden.

So heißt es wörtlich in den Dokumenten:

"Prüfen Sie zunächst 1. ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen. Diese können sehr viel leichter datenschutzgerecht durchgeführt werden."

Anmerkung von RA Dr. Bahr:
Ein weiteres anschauliches Beispiel dafür wie im Datenschutzrecht gelebte Praxis und Theorie knallhart aufeinanderprallen.

Die rechtliche Bewertung der Berliner Datenschutzbeauftragten ist bereits aus einem einfachen Grund nicht nachvollziehbar: Es fehlt jede Begründung wie die Behörde zu ihrer Einschätzung gelangt. Anstatt konkret darzulegen, welche Defizite bei den Anbietern bestehen, wird nur apodiktisch die Rechtswidrigkeit verkündet.

Gerade in diesen stürmischen Zeiten wäre es jedoch wichtig gewesen, den deutschen Unternehmen, die händeringend nach praktikablen Lösungen suchen, konkrete, praxisnahe Ausführungen an die Hand zu geben. Es hilft nämlich niemandem weiter, wenn praktisch die große Mehrheit der Videokonferenz-Anbieter undifferenziert über einen Kamm geschert und für rechtswidrig erachtet wird.

Das soll ganz sicher nicht heißen, dass bei den erwähnten Anbietern alles im grünen Bereich ist. Hier besteht an der einen und anderen Stellen durchaus nicht unerheblicher Verbesserungsbedarf. 

Es zeigt sich aber auch, dass (häufig zu Unrecht) gescholtene Anbietern wie beispielsweise Zoom  ganz massiv nachbessern und fast täglich neue Updates mit Überarbeitungen herausbringen. 

Andere Anbieter hingegen, die hochgelobt werden, verharren auf ihrem Standpunkt: Ein anschauliches Beispiel hierfür ist das so häufig erwähnte Open-Source-Video-Tool Jitsi.  Hier wird in der Öffentlichkeit immer wieder behauptet, die Software sei ohne weiteres DSGVO-konform.

Dies ist aber unrichtig. So befinden sind auch weiterhin in der iOS- und Android-Version zahlreiche problematische Tracking-Tools. Jitsi  selbst lehnt es auch vehement ab, dies zu ändern wie diese anschauliche Diskussion zeigt.

Ein weiteres Problem ist: Wer Jitsi  nicht auf seinem eigenen Server betreibt, muss auf entsprechende Instanzen von Drittanbietern zurückgreifen. Es gibt hier (inzwischen) zwar eine Menge Anbieter, die kostenlos ihre Ressourcen zur Verfügung stellen: In der Praxis scheitert es aber bereits daran, dass es idR. mit diesen Dritten nicht möglich ist, eine Vereinbarung über eine Auftragsdatenverarbeitung zu schließen.

Angesichts solcher Umstände wünscht man sich gerade von Behördenseite mehr Differenziertheit und Praxisnähe.