Videokonferenzen : Gibt es wirklich keine datenschutzkonforme Alternative?

Wer sich an deutschen Schulen, Universitäten und Einrichtungen umhört, könnte meinen, es gibt weniger als eine handvoll Plattformen für Videokonferenzen. Sie alle stammen aus den USA und werden von globalen Playern betrieben. Es stellt sich die Frage: Gibt es wirklich keine europäische Alternative? Befinden sich deutsche und europäische Anbieter in Sachen Videokonferenzen sprichwörtlich noch in der technologischen Steinzeit? Können sie wirklich nicht das bieten, was „die Großen“ offerieren? Oder spielt da nicht doch auch ein Sich-darauf-Verlassen eine Rolle, nämlich, dass große Anbieter schon sicher mit den Daten umgehen?

Mitte Januar sorgte die Freie Universität Berlin bei deutschen Anbietern für aufgerissene Münder. Im Tagesspiegel traf der FU-Datenschutzbeauftragte die Aussage, dass eine Marktprüfung gezeigt habe, „dass es keine ausschließlich europäisch agierenden alternativen Anbieter für die benötigte Größenordnung gibt.“ Gemeint ist die Nutzung von Webex des US-amerikanischen Anbieters Cisco unter anderem für Online-Vorlesungen. Leider ist die FU kein Einzelfall. Auch die Technische Universität Berlin und viele Schulen nutzen die Dienste US-amerikanischer Anbieter wie Cisco oder Zoom, obwohl diese laut des Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) nicht „rechtskonform genutzt werden können“.

Was nicht passt, wird passend gemacht

Dabei ist es leicht herauszufinden, dass Anbieter von außerhalb der EU in Sachen Datenschutz keine gute Wahl sind. Bis 2015 regelte der EU-US Privacy Shield noch den Schutz personenbezogener Daten, die aus einem EU-Mitgliedstaat in die USA übertragen werden. Doch der Privacy Shield wurde vom Europäischen Gerichtshof für ungültig erklärt. Damit haben die Nutzer auch die Garantie verloren, dass ihre Daten nicht an Dritte weitergegeben oder gar verkauft werden. Warum werden also immer noch hauptsächlich die Plattformen US-amerikanischer Anbieter genutzt, sogar in Einrichtungen, die eigentlich besonders schützenswerte Daten und Nutzer haben? Ein Schelm wer Böses denkt, liegt es doch möglicherweise an der landläufigen Haltung „never change a running system“ oder einfach am blauäugigen Glauben daran, dass große Konzerne automatisch für Qualität und Sicherheit stehen.

Um Verantwortliche beim Treffen einer solchen Entscheidung zu unterstützen, hat die BlnBDI mit einem Ampelsystem ein wirklich einfaches Bewertungssystem von Videokonferenz-Anbietern bereitgestellt. Anfang 2021 hat sie einen Leitfaden veröffentlicht, der Verantwortlichen dabei hilft, Plattformen zu bewerten. Die Liste ist zwar seitdem nicht mehr aktualisiert worden und zahlreiche Anbieter, wie beispielsweise das Berliner Unternehmen reventix, fehlen noch. Aber immerhin gibt es einen Eindruck, auf welche Videokonferenz-Dienste Verantwortliche nicht zurückgreifen sollten.

Open Source statt proprietäre Anwendungen

Bereits die Liste des Berliner Datenschutzbeauftragten gibt einen Einblick in die Masse von Anbietern für Videokonferenzen. Ein Großteil der Anbieter, darunter solche wie reventix und mailbox.org, haben Videokonferenz-Plattformen die zwar eine Eigenentwicklung sind, aber auf dem Open-Source-Projekt BigBlueButton beruhen. Das hat den entscheidenden Vorteil, dass der Quellcode komplett einsehbar ist und regelmäßig von einer großen Gruppe von Entwicklern weiterentwickelt und gepflegt wird. So ist es zum Beispiel dauerhaft sicher vor Manipulationen Dritter oder Hintertüren, sogenannten Backdoors, mit denen der gesicherte Zugang umgangen werden kann. Damit gehören BigBlueButton und die darauf basierenden Plattformen zu den sichersten Webkonferenzsystemen weltweit und stellen eine sehr gute Alternative zu Zoom, Webex und ähnlichen großen Plattformen dar.

Generell sind Videokonferenzen dafür entwickelt worden, Meetings abzuhalten, nicht um Vorlesungen mit 150 Teilnehmern zu absolvieren. Bei einer Teilnehmerzahl dieser Größenordnung ist es schlichtweg nicht praktikabel, alle Mikrofone und Webcams zu kontrollieren. Hier sollten Lösungen eingesetzt werden, die zum Beispiel von vornherein die Teilnehmer in der Audio- und Bildübertragung einschränken. Dann sind auch Konferenzen mit bis zu 400 Teilnehmern möglich. Zudem sollten Verantwortliche überlegen, ab welcher Teilnehmermenge sie eher auf einen Stream umschwenken und die Chatfunktion für Fragen nutzen.

Nur Datenverarbeitung in Europa garantiert Sicherheit

Als Verbraucher liest man sich den Auftragsdatenverarbeitungsvertrag (AV) vermutlich genauso intensiv durch wie die allgemeinen Geschäftsbedingungen. In der Regel gibt man ab Seite drei auf und hofft auf das Beste. Aber das ist die Krux an der Sache, denn bei nahezu allen Anbietern, die von der BlnBDI die rote Karte gezeigt bekommen, gibt es erhebliche Mängel in der Auftragsdatenverarbeitung. Cisco Webex lässt demnach beispielsweise „weisungswidrige Verarbeitungen personenbezogener Daten nicht nur aus dem Recht der Europäischen Union oder der Mitgliedstaaten zu". Übersetzt heißt das, dass die Daten von Konferenzteilnehmern unkontrolliert von Drittstaaten verarbeitet werden dürfen.

Laut BlnBDI rechtfertigen die aktuellen Vertragsklauseln von Cisco damit nicht die Übermittlung von personenbezogenen Daten, sprich: die Nutzung ist nach europäischem Recht nicht zulässig. Der Anbieter Zoom treibt es noch weiter und schließt die Löschung der Daten nach Vertragsende zwar nicht aus, hält sich aber erhebliche „Schlupflöcher“ für das Nicht-Löschen der Daten offen – nämlich jedes beliebige anwendbare Recht.

Bei US-amerikanischen Anbietern bleibt letztendlich immer das Problem von Zugriffsrechten seitens der Behörden, denn hier greift ebenfalls nicht die DSGVO, sondern die Rechte des jeweiligen Landes. Der AStA der Freien Universität Berlin lässt die eingesetzten Tools nun über den BlnBDI prüfen und hofft, sofern bei der Universität kein Umdenken stattfindet, dass die Nutzung der Tools untersagt wird und die Uni so gezwungen wird, sich nach Alternativen umzusehen. Generell muss in Deutschland ein technologisches Umdenken stattfinden. Das hoffen auch viele deutsche Anbieter. Sie haben kaum eine Chance mit großen Anbietern zu konkurrieren, auch wenn ihre Plattformen dank der DSGVO bei der Sicherheit der us-amerikanischen Konkurrenz weit überlegen sind.

Im Gegensatz zu Privatpersonen, treffen Verantwortliche in öffentlichen Einrichtungen und Unternehmen solche Entscheidungen nicht nur für sich, sondern auch für ihre Studierenden, Schüler und Nutzer. Sie sollten sich maßgeblich über alternative Lösungen informieren statt den bequemen Weg zu wählen und sich auf Altbewährtes verlassen.

Silvia Tran ist Chief Marketing & Communication Officer beim Cloud-Telefonie-Anbieter Reventix.