Datenschutz bei Zoom und Microsoft Teams

Videokonferenzlösungen wie Zoom und Microsoft Teams gehören zu den großen Gewinnern der Coronakrise. Der Preis der Zoom-Aktie stieg im Jahr 2020 um über 500 Prozent, die Nutzerzahlen verdreißigfachten sich. Ähnlich erfolgreich ist auch Microsoft Teams mit 115 Millionen täglich aktiven Nutzern - 70 Millionen mehr als Anfang März 2020.

Für beide Unternehmen bedeutete das schnelle Wachstum einen rapiden Ausbau der Server- und IT-Landschaft. Aus Perspektive des Datenschutzes handelt es sich um eine interessante Situation, die eine genaue Beobachtung erfordert.

Um eine Software datenschutzrechtlich bewerten zu können, reicht es nicht aus, nur die registrierten Datenschutzverstöße (Datenpannen) anzusehen. Jedoch bieten diese einen ersten guten Einblick.

Allein in den ersten Monaten des Jahres 2020 kam es zu massiven Datenschutzproblemen bei Zoom. Anmeldedaten von mehr als 500.000 Zoom-Nutzern tauchten im Darknet auf. Zudem fanden Forscher des Cyber-Sicherheitsunternehmens Check Point heraus, dass aufgrund der Art und Weise, wie Zoom URLs für virtuelle Konferenzräume generierte, ein Abhören der Besprechungen möglich war. Durch eine Schwachstelle bei Zoom (Stichwort: "Zoom Bombings") wurde im April 2020 eine Online-Veranstaltung der israelischen Botschaft zum Gedenken an die Shoah mit Bildern von Adolf Hitler gestört.

Auch Microsoft, wenn auch nicht speziell Microsoft Teams, wurde in diesem Jahr von einer schweren Datenpanne heimgesucht. Dabei gelangten etwa 250 Millionen Datensätze des Microsoft-Kundenservices mit ihren Chatverläufen offen ins Netz und waren für alle Nutzer einsehbar.

Eines fällt sofort auf: Bei beiden Marktführern handelt es sich um US-amerikanische Unternehmen. Das stellt aus datenschutzrechtlicher Sicht einen weiteren Grund zur Vorsicht dar.

Denn der Europäische Gerichtshof (EuGH) kippte im Juli 2020 in der Sache "Schrems II" das EU-US Privacy Shield, das den USA zuvor ein angemessenes Datenschutzniveau zuschrieb. Sämtliche Übermittlungen von personenbezogenen Daten in die USA, die ausschließlich auf dem Privacy Shield basieren, wurden damit als rechtswidrig eingestuft.

Ein Privacy Shield ist nicht die einzige Möglichkeit, ein angemessenes Schutzniveau zu garantieren. Jedoch erfordert die Entscheidung des EuGHs nun zusätzliche Bemühungen, zum Beispiel die Implementierung von Standardvertragsklauseln (SCC) in Kombination mit starken technischen Maßnahmen.

Neue Microsoft-Teams-Mandanten aus Deutschland können sich mittlerweile für eine exklusive Datenspeicherung in Deutschland entscheiden, bei bestehenden Kunden verbleiben die Daten zumindest in der Region "EMEA". In beiden Fällen bleibt eine letzte Sorge über den US-amerikanischen "Cloud Act", der US-Behörden den Zugriff auf Daten von US-Firmen gewähren soll - egal, wo diese gespeichert werden. Zoom speichert auch die Daten europäischer Nutzer weiterhin in den USA und verweist auf die Standardvertragsklauseln der EU-Kommission. Ob diese noch durch entsprechende Sicherheitsmaßnahmen ergänzt werden, ist unklar.

Offizielle Stellen wie Datenschutzbehörden und das European Data Protection Supervisor (EDPS) stehen jedenfalls äußerst kritisch zu Zoom und Teams. Die Datenschutzbehörden aller Bundesländer (abgesehen von Bayern, Saarbrücken, Baden-Württemberg und Hessen) bekundeten im April 2020 die Auffassung, dass neben Zoom auch Microsoft Teams nicht datenschutzkonform eingesetzt werden könne. Der EDPS wiederum betonte einen Mangel bei der Sicherheit von Datentransfers, unzureichende Kontrolle über die Daten, Unklarheiten zu Aufbewahrungsfristen und unzulängliche Datentransparenz der Unternehmen.

Microsoft wehrte sich von Anfang an vehement gegen die Kritik der Datenschutzbehörden und baute auch wegen des Einsatzes in öffentlichen Behörden und Schulen eine robuste Infrastruktur im EWR auf. Die Datenspeicherung kann auch innerhalb Deutschlands stattfinden.

Auch Zoom reagierte auf Datenschutzbedenken. Zu Beginn des Jahres verfügte die Lösung nicht einmal über eine Ende-zu-Ende-Verschlüsselung, die aber im Oktober 2020 implementiert wurde. Außerdem räumte Zoom Firmen ein größeres Mitspracherecht darüber ein, über welche Regionen Videokonferenz geroutet werden. Nicht zu verwechseln ist dieses Routing allerdings mit der Datenspeicherung, die weiterhin immer auch in den USA geschieht.

Auch wenn der EuGH in der Schrems-II-Entscheidung explizit keinen risikobasierten Ansatz zulässt, also das Abwägen von Datenschutzrisiken und Geschäftserfolg, müssen Unternehmen in der Praxis gewisse Abwägungsentscheidungen treffen. Es gibt Alternativen zu US-Softwaretools, unter denen sichere-videokonferenz.de und Jitsi Meet hervorgehoben werden sollten. Diese kommen im Hinblick auf die Benutzerfreundlichkeit allerdings nicht an die Marktführer heran.

Der Einsatz von nicht datenschutzkonformer Software birgt immer ein erhöhtes Risiko für Datenpannen, Imageschäden und Bußgelder. Je sensibler die Daten einer Organisation einzuordnen sind, desto kritischer ist der Einsatz der hier diskutierten Lösungen. Es wäre zum Beispiel unverantwortlich, wenn ein Strafgericht seine Prozesse über Zoom organisieren würde.

Auf dem Markt mangelt es zumindest derzeit noch an ausgereiften, wettbewerbsfähigen Alternativen. Unternehmen wie sichere-videokonferenz.de und Jitsi Meet zeigen jedoch, dass Videokonferenzen auch datenschutzkonform stattfinden können. Gerade Microsoft beweist, dass auch die ganz Großen der Branche Datenschutzbedenken ernst nehmen und kontinuierlich an Verbesserungen arbeiten.