Infolge vieler Anfragen von Mandanten zur Datenschutzkonformität von Video-Konferenzanwendungen im geschäftlichen Bereich, für deren Datenschutzkonformität deutsche Unternehmen beim Einsatz haften, veröffentliche ich nachfolgend eine kleine Übersicht hierzu.
Da eine technische und rechtliche Prüfung solcher Dienste zeitaufwendig ist, muss ich mich auf diejenigen Produkte beschränken, zu deren Prüfung ich bisher von Mandanten beauftragt wurde. Wenn in einem Bereich bereits gravierende Mängel gefunden wurden, habe ich die Prüfung meist nicht abschließend zu Ende geführt. Zusammenfassung: Einziger mir bisher bekannter, von Unternehmen rechtskonform einsetzbarer Videokonferenzdienst ist Ecosero.
Ich erinnere daran, dass unzulässige digitale Wanzen und Datenabflüsse nicht nur ein datenschutzrechtliches Problem für den Unternehmer, seine Beschäftigten und Geschäftspartner darstellen, sondern unabhängig davon Geschäftsgeheimnisse und die IT-Sicherheit der Beteiligten gefährden.
“Geschäftsgeheimnisse”, die technisch nicht ausreichend geschützt werden, können dadurch ihren rechtlichen Schutz verlieren.
Denken Sie im Homeoffice generell an ausreichende Maßnahmen zur Datensicherheit, die ich hier vorstelle.
(Stand: April 2022)
Der Berliner Anbieter Ecosero setzt auf eine Modifikation des Standards Big Blue Button. Big Blue Button deckt die üblichen Funktionen wie Screensharing, Whiteboard und optionale, transparente Videoaufzeichnungen ab. Ebenso können PDF-Präsentationen gezeigt werden, es sind offene und private Chats sowie Umfragen möglich. Im Rahmen einer Videokonferenz sind Break-out-Räume möglich, in denen etwa Gruppenarbeit erledigt werden kann. Teilnehmer können sich virtuell “melden” oder sich als “abwesend” kennzeichnen. Die Konferenzen können passwortgeschützt werden. Eine Erweiterung zur Einbindung in den Outlook-Kalender wird angeboten. Selbstverständlich können – bei allen hier untersuchten Videokonferenz-Diensten – auch externe Teilnehmer, etwa Geschäftspartner, eingeladen werden, die kein Kunde des jeweiligen Diensts sind. Ecosero ermöglicht auch Telefoneinwahlen. Oft ist eine Bildübertragung zum Informationsaustausch ohnehin unnötig und sollte möglichst aus Datenschutz-, aber auch aus Ressourcengründen unterbleiben. Ebenso sollten bei einem Redner die übrigen Teilnehmer Ton und vor allem Bild zumindest temporär deaktivieren, was jedoch für alle Videokonferenzsysteme gilt. Vielfach ist bei Kapazitätsengpässen auch nicht der Konferenzanbieter der Flaschenhals, sondern schlechte Internet- oder WLAN-Verbindungen der Teilnehmer. Die Kapazitäten Ecoseros genügen für eine dreistellige Teilnehmerzahl pro Konferenz.
Weder Veranstalter noch Teilnehmer müssen bei Big Blue Button – und damit Ecosero – eine Software installieren, beides ist browserbasiert möglich. Das gilt auch für mobile Endgeräte. Die Daten fließen bei Ecosero über deutsche Server, eine Kontrolle durch mich im November 2020 bestätigte dies. Die Konferenzen sind zwar nicht Ende-zu-Ende-, aber transportverschlüsselt (also zwischen dem Kunden und Ecosero), was derzeit dem Stand der Technik entspricht. Wer das vermeiden möchte, kann einen Videodienst auf eigenen Servern betreiben. Der Anbieter nimmt keine unzulässigen Übermittlungen von Kundendaten an Google oder ähnliche Analyseunternehmen vor. Kunden können mit dem Anbieter einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO abschließen, die nach aufsichtsbehördlicher Maßgabe jedenfalls bei nicht privater Nutzung erforderlich ist, um einen geeigneten Rechtsrahmen zu schaffen.
Ecosero bietet sogar an, die Konferenzsoftware optional gegen Aufpreis in einer private cloud des Kunden zu betreiben, also auf eigenen Servern des Kunden, wie von den Aufsichtsbehörden offiziell empfohlen. So kann ein höheres Maß an Datensicherheit erreicht werden, was etwa für Berufsgeheimnisträger und andere Unternehmen sein kann, die auf den Schutz ihrer Geschäftsgeheimnisse Wert legen. Ecosero nimmt eine 7-tägige Vorratsspeicherung der Nutzungsdaten (nicht: der Konferenzinhalte selbst) vor, was sich noch im aufsichtsbehördlich tolerierten Rahmen bewegt. Die Datenschutzerklärung ist etwas unspezifisch, was aber kein rechtliches Problem des Kunden darstellen sollte.
Nennenswerte rechtliche Mängel habe ich, nachdem der Anbieter einige Anregungen von mir umgesetzt hat, nicht gefunden.
Übrigens: Wer die Plattform Big Blue Button unverbindlich testen möchte, kann dies über Senfcall tun (siehe unten).
Bei zwei Konferenzteilnehmern sind die Konferenzen Ende-zu-Ende-verschlüsselt (das heißt, selbst der Konferenzanbieter kann nicht “mithören”), bei mehreren Teilnehmern wird dem Stand der Technik transportverschlüsselt. Auch Jitsi bietet die üblichen Funktionen wie einen Passwortschutz, einen Chat und eine Bildschirmfreigabe. Ein Whiteboard und PDF-Präsentationen sind meines Wissens nicht möglich, über die Bildschirmfreigabe dürfte das aber zu simulieren sein. Der Anbieter verwendet deutsche Server, was ein Test im März 2021 bestätigte. Eine Telefoneinwahl ist leider nicht möglich. Es werden keine Kundendaten an Drittdienste wie Google übermittelt. Einen Betrieb in einer private cloud, also auf unternehmenseigenen Servern, bietet der Anbieter nicht an; das führt aber, abgesehen von sehr sensiblen Einsatzbereichen, nicht per se zur Unzulässigkeit. Einige Mängel in der Vereinbarung zur Auftragsverarbeitung und in der Datenschutzerklärung hat der Anbieter auf meine Anfrage hin behoben, die restlichen (etwa zu Cookies) sind aber gering. Die beschriebenen Maßnahmen zur Datensicherheit (also zur Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme) fallen wenig spezifisch aus, mögen aber noch zulässig sein. Zumindest ist mir aus anderem Zusammenhang bekannt, dass der verwendete technische Subunternehmer, die Hetzner Online GmbH, prinzipiell über ordentliche Maßnahmen zur Datensicherheit verfügt.
Der Dienst wurde im Juli 2021 in einem Datenschutz-Test der IT-Fachzeitschrift c’t, Ausgabe 15/2021, sowie in einer Vergleichsbetrachtung der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom Februar 2021 als relativ datenschutzfreundlich empfohlen. Dabei ist der Behörde offenbar entgangen, dass der Dienst das Nutzerverhalten (nicht: die Konferenzinhalte) mit dem – wenn auch auf eigenen Servern betriebenen – Analyse-Tool “Matomo” durchleuchtet. Dies erscheint jedenfalls in der Standardkonfiguration problematisch im Hinblick auf Art. 6 Abs. 1 DS-GVO, auch wenn die IP-Adressen sofort gekürzt werden. Denn Matomo speichert dort bestimmte Werte zum Endgerät und der ungekürzten IP-Adresse unnötig über Monate auf Vorrat und ein Personenbezug kann spätestens in Verbindung mit weiteren Daten nicht ausgeschlossen werden. Ich habe den Anbieter darüber informiert. Die Problematik und das Schadpotential erscheinen aber, zumal relativ betrachtet, gering.
Horizon44 bietet auch an, dass Unternehmen Videokonferenzen unter eigenem Namen und Logo anbieten (White Label). Dafür verlangt das Unternehmen aber nach einer Auskunft vom Juli 2021 je nach Teilnehmerzahl – 50 bis 500 – einen Monatsbetrag von rund 500 bis 2.000 Euro bei einem einmaligen 4-stelligen Einrichtungsbetrag und einer 2-Jahreslaufzeit. Schulen erhalten etwas günstigere Konditionen.
Wer Videokonferenzen über die zugrunde liegende Software Jitsi Meet unverbindlich probieren möchte, kann dafür die ebenfalls kosten- und anmeldefreie Umsetzung der TU Ilmenau oder – mit möglicher Telefoneinwahl – von Netzbegrünung oder Freifunk München verwenden. Ein Jitsi-Angebot des Sächsischen IT’lers Björn Händler bietet zwar keine telefonische Einwahlnummer, der Moderator kann aber Teilnehmer per Anruf telefonisch zuschalten. Ein weiteres kostenloses und anmeldefreies Angebot von Jitsi-Videokonferenzen mit Telefoneinwahl und deutschem Server bietet die Frankfurter First Telecom. Bei letzterem Angebot sind Telefon-Einwahldaten und Raum-Passwort auch zu einem künftigen Termin planbar. Leider überträgt die Raum-Generierungsseite (nicht die Konferenzseite) der First Telecom unnötig und unzulässig Daten an Google, Telefon-Einwahlnummern können nur per Rufnummernunterdrückung unkenntlich gemacht werden und der Server wird von einem Unternehmen des US-amerikanischen Konzerns Cogent betrieben, was trotz des deutschen Standorts die Gefahr unzulässiger Datenübermittlungen birgt. Auf meine Beanstandung hin hat First Telecoms Datenschutzbeauftragter angegeben, die Mängel teils behoben zu haben, was aber nicht zutrifft (28.03.2022). Leider sehen alle vier Angebote keinen Abschluss einer Vereinbarung zur Auftragsverarbeitung vor, weswegen sie sich vor allem für Privatanwender eignen.
Die Seite beinhaltet keine Tracker, die Daten unzulässig an Analysedienste Dritter oder in Drittländer übermitteln. Die Konferenzen laufen über Server des deutschen Rechenzentrums Hetzner Online GmbH. Leider wird keine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO angeboten, sodass das Produkt allenfalls für den Privatgebrauch oder zum Testen der Big Blue Button-Plattform einsetzbar ist. Von einer eingehenderen Prüfung habe ich daher abgesehen.
Entsprechendes gilt für den weiteren Big Blue Button-Dienst der Stadt Ulm, einschließlich der Hürde bei der Telefoneinwahl. Zudem wird die Telefoneinwahl manchmal nicht angeboten; wird sie dem Veranstalter nicht angeboten, gilt das auch für die anderen Teilnehmer. Abhilfe schafft offenbar ein vorheriges Probieren verschiedener Raumnamen. Die verarbeiteten Daten fließen bei diesem Dienst über Server der Universität Stuttgart.
Der Dienst setzt nicht auf die verbreiteten Standards Big Blue Button oder Jitsi Meet, sondern ist eine Eigenentwicklung. Er ist sowohl für den Moderator als auch für die Teilnehmer über den Browser nutzbar, eine Installation ist damit nicht nötig. Dasselbe gilt für mobile Endgeräte. Visavid ermöglicht auch Telefoneinwahlen, in meinem Fall erfolgte das über eine Festnetznummer aus Neumarkt/Oberpfalz. Offiziell ist das Produkt auch im größten Paket auf 100 Videoteilnehmer und weitere 100 Audioteilnehmer begrenzt. Für größere Veranstaltungen bedarf sind individuelle Vereinbarungen möglich.
Visavid verfügt über die üblichen Funktionen wie einen Chat, Screensharing und ein Whiteboard, dessen Inhalte man sich herunterladen kann. Es können auch Dateien zum Download bereitgestellt werden, auch wenn das in meinem Test nicht funktionierte. Teilnehmer können die Hand heben und es sind Umfragen möglich. Der Moderator kann Rechte erteilen und entziehen. Die Konferenzräume sind durch 9-stellige Raumnummern und 4-stellige PINs geschützt. Eine Ende-zu-Ende-Verschlüsselung wird, wie meist, nicht angeboten, d. h., der Anbieter könnte die Konferenzen sehen und hören. Das ist derzeit technisch schwer änderbar und datenschutzrechtlich akzeptabel. Eingewählte Telefonnummern werden (nur) dem Moderator ungekürzt angezeigt; immerhin wird eine Rufnummernunterdrückung beachtet. Für Lehrer mag die optionale Funktion einer Anwesenheitskontrolle interessant sein: Dabei müssen die Teilnehmer in zufälligen Zeitabständen ihre Anwesenheit aktiv bestätigen, anderenfalls gelten sie als abwesend. Konferenzaufzeichnungen sind möglich.
Im Kundenbereich können Teilnehmerlisten verwaltet, optional als Excel-Dateien importiert und exportiert und Einladungen versandt werden, die individuell angepasst werden können. Für den Versand der E-Mails wurden Server des deutschen Anbieters Hetzner Online verwendet.
Visavid bindet keine Analysedienste von Google oder ähnlichen Unternehmen ein, die Nutzungsdaten an Dritte übermitteln. Die Datenschutzerklärung nennt zwar die Einbindung von Facebook- und verschiedenen Google-Diensten, tatsächlich findet eine Kontaktaufnahme aber nur statt, wenn diese Symbole aktiv angeklickt werden (2-Klick-Lösung). Bei der Veranstaltung der Videokonferenzen flossen die Daten an ein Netz des französischen Anbieters OVH SAS. Laut Anbieter werden Rechenzentren der deutschen Anbieter Hetzner Online und des französischen Anbieters OVH SAS verwendet und zwar in Deutschland, Frankreich, Polen und Finnland, also alle in der EU. Laut Vereinbarung zur Auftragsverarbeitung können noch weitere externe Rechenzentren wie Spacenet zum Einsatz kommen, die sich aber alle in der EU befinden. Ihre Betreiber sind in Deutschland ansässig und sie gehören auch keinen bekannten Unternehmen aus Drittländern (beispielsweise nützen deutsche Server in der Regel nichts, wenn sie Microsoft gehören).
Der Anbieter räumt ein, das Seitennutzungsverhalten über das Statistik-Tool AWStats auszuwerten. Bei dieser Software werden ohnehin vorhandene Logdaten ausgewertet, eine Weitergabe an Drittanbieter erfolgt nicht.
Entgegen seiner Behauptung ist Visavid nicht “DSGVO-konform”. Problematisch ist, dass Visavid Daten der Konferenzteilnehmer für 14 Tage auf Vorrat speichert; gewöhnlich tolerieren die Datenschutz-Aufsichtsbehörden Speicherfristen bis zu einer Woche. Dies verstößt gegen Art. 6 DS-GVO. Die Cookie-Einwilligung des Anbieters ist, wie häufig, irreführend gestaltet und dürfte daher unwirksam sein, was zu einem weiteren Verstoß gegen Art. 6 DS-GVO führen kann. Auch werden Cookies gespeichert und abgerufen, deren Notwendigkeit fraglich erscheint und zu deren Inhalt die Datenschutzerklärung unrichtige Angaben macht (dass die IP-Adresse das einzige in Cookies abgelegte personenbezogene Datum ist, trifft ebenso wenig zu wie die Erklärung, dass beim Ablehnen der Einwilligung keine Cookies gespeichert würden). Dies stellt einen Verstoß gegen Art. 13 DS-GVO dar. Ihren Namen und Inhalten nach scheinen die Cookies immerhin nicht zu Analysezwecken verwendet zu werden und sie verfallen teils zum Sitzungsende, teils nach 90 Tagen.
Die Vereinbarung zur Auftragsverarbeitung ist zwar vorhanden, enthält aber Mängel (z. B. Einschränkung von Kontrollrechten, keine Weitergabedokumentation; bis zu meinem Hinweis war der Datenschutzbeauftragte fälschlich als Unterverarbeiter benannt) und die technischen und organisatorischen Maßnahmen zur Datensicherheit erscheinen verbesserungsbedürftig. Auf meinen Hinweis hin wurden einige Mängel beseitigt, andere nicht. Insgesamt und im Vergleich zu anderen Diensten erscheinen die rechtlichen Risiken etwas geringer. Immerhin verzichtet Visavid auf unzulässige digitale Wanzen (Tracker) und unzulässige Cloud-Dienste aus Drittländern.
Entgegen anders lautenden Behauptungen werden einem Test zufolge nach wie vor (Stand: 10.02.2021) Nutzerdaten an US-amerikanische Server übermittelt, beispielsweise an teams.microsoft.com in Washington. Das ist nach der Schrems II-Entscheidung des Europäischen Gerichtshofs (Az. C-311/18) derzeit in der Regel unzulässig. Eine datenschutzrechtliche Vereinbarung zwischen dem Kunden und Microsoft existiert zwar, sie ist aber mangelhaft. Auch die sogenannten Standard-Datenschutzklauseln, die Datenübermittlungen in Drittländer legitimieren sollen, sind unzureichend. Schließlich behält sich Microsoft in seiner Datenschutzerklärung pauschal vor, Daten zum Marketing zweckzuentfremden, was gegen Art. 6 Abs. 1 DS-GVO verstößt. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Teams nach einer Untersuchung ebenfalls für rechtswidrig befunden. Zum selben Ergebnis kommt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, der außerdem den Abfluss umfangreicher Trackingdaten und zweckfremde Datenverarbeitung für eigene Zwecke Microsofts beanstandet.
Selbst wenn Microsoft vollständig europäische Server verwenden würde, was nach einer erneuten Vertragsprüfung im März 2022 nach wie vor nicht der Fall ist, würde dies nicht zur Rechtmäßigkeit führen. Denn als US-amerikanischer Anbieter unterliegt die Microsoft Corp. dem Cloud Act, einem US-amerikanischen Bundesgesetz, das unkontrollierte Datenübermittlungen entgegen der DS-GVO ermöglicht. Die Aufsichtsbehörden haben insoweit Bußgelder angekündigt (Handelsblatt vom 01.02.2021, Die Cloud wird zum Risiko). Den Widerspruch zwischen US-amerikanischem und europäischem Recht aufzulösen ist zwar schwer, meines Erachtens aber nicht unmöglich, man müsste es natürlich wollen. Die von Microsoft 2020 angekündigten ambitionslosen Gegenmaßnahmen genügen jedenfalls nicht als Abhilfe; sie dürften aber auch eher als PR-Maßnahme gedacht gewesen sein, die aber ausreicht, um viele Copy & Paste-Journalisten sowie unbedarfte Nutzer zumindest vorübergehend zu beruhigen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat einem Betreiber den Einsatz von Teams wegen Datenschutzverstößen verboten (c‘t 1/2021, S. 32, Digitaler Lockdown). Im April 2022 gab der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg bekannt, die Verwendung von Microsoft 365, einschließlich Teams, im öffentlichen Bereich zu ahnden.
Von einer Verwendung ist rechtlich abzuraten.
Die vor einigen Monaten medienwirksam verkündeten Nachbesserungen bei Zoom haben im Kern an der Unzulässigkeit nichts verändert. Der Anbieter übermittelt (Stand: März 2021) eine Reihe von Nutzerdaten an Google zur Bildung seitenübergreifender Personenprofile, was in dieser Form gegen Art. 6 Abs. 1 DS-GVO verstößt. Zoom räumt in der Datenschutzerklärung ein, Nutzerdaten zum Marketing zweckzuentfremden, ohne dass eine ausreichende Grundlage hierfür besteht. Konkrete Angaben zu Speicherfristen fehlen, was gegen Art. 13 Abs. 2 DS-GVO verstößt.
Auch wenn der Einladende von der Möglichkeit Gebrauch macht, angeblich deutsche Server einzusetzen und Zoom das so anzeigt, trifft das nicht zu. Ein Test ergibt, dass jedenfalls ein Teil der Daten noch immer an mehrere US-amerikanische Server von Amazon übermittelt wird, etwa us02web.zoom.us in Virginia. Damit verstößt die Verwendung gegen Art. 44 DS-GVO. Auch soweit Zoom deutsche Server einsetzt, etwa in Frankfurt am Main, sind diese Bestandteil der Amazon-Cloud, sodass das bei Teams beschriebene Problem des Cloud Acts besteht. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in ihrer Aufstellung für Zoom ebenfalls nur eine rote Ampel übrig und veweist auf weitere formale Mängel. Auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit bestätigte mir im August 2021, dass Zoom auch bei angeblich deutschen Servern nicht rechtskonform eingesetzt werden kann.
Von einer Verwendung ist rechtlich abzuraten.
Ein Test ergab, dass zwar teilweise europäische Server zum Einsatz kommen, aber weiterhin personenbezogene Daten in die USA fließen, unter anderem an den Amazon-Cloud-Server telemetry.servers.getgo.com in Virginia. Auch die deutschen Server sind Teil der Amazon-Cloud wie join.servers.getgo.com, sodass das bei Teams Geschriebene zum Cloud Act entsprechend gilt. Dies verstößt zumindest gegen Art. 44 DS-GVO. Daneben übermittelt GotoMeeting Daten entgegen Art. 6 Abs. 1 DS-GVO an Google durch Einbindung von deren Diensten. Von einer Prüfung der vertraglichen Grundlagen habe ich abgesehen, da es darauf nicht mehr ankommt. Die Berliner Beauftragten für Datenschutz und Informationsfreiheit hat sich jedoch ihrer angenommen und auch dort zahlreiche Mängel gefunden; ihre Ampel für die Datenschutzkonformität bei GotoMeeting steht auf Rot.
Ein datenschutzrechtskonformer Einsatz des Diensts ist nicht möglich.
Leider ist der Dienst nicht datenschutzrechtskonform nutzbar. Das beginnt damit, dass Google dem Veranstalter bei der Anlage eines Google-Kontos eine nicht erforderliche Mobilfunknummer abnötigt und diese verifiziert, dies verstößt gegen Art. 6 Abs. 1 DS-GVO. Google behält sich in seiner Datenschutzerklärung unter anderem vor, solche Daten werblich zu nutzen. Google übermittelt Nutzerdaten auch an andere, eigene, laut Datenschutzerklärung zumindest auch der Analyse dienende Dienste, darunter Google Fonts und Google Play, was gleichfalls gegen Art. 6 Abs. 1 DS-GVO verstößt. Laut Datenschutzerklärung ist damit zu rechnen, dass die Daten verschiedener Google-Dienste inklusive Standortdaten zu Profilen angereichert werden, was gegen dieselbe Vorschrift verstößt. Google behält sich vor, das Klickverhalten und sogar Mausbewegungen zu speichern, auch dain liegt ein Verstoß gegen Art. 6 Abs. 1 DS-GVO. Selbst wenn Ihnen dies als Veranstalter gleichgültig sein mag, können Sie davon nicht bei sämtlichen Teilnehmern ausgehen. In der Datenschutzerklärung fehlt die Angabe konkreter Speicherfristen, was im günstigsten Fall gegen Art. 13 Abs. 2 DS-GVO verstößt. Ebenso behält sich Google in seiner Datenschutzerklärung vor, Kundendaten an nicht näher genannte “vertrauenswürdige Unternehmen” zu übermitteln, wofür rechtlich dasselbe gilt.
Schließlich räumt Google auf einer etwas vesteckten Unterseite “Rechenzentren” ein, dass Daten an weltweite Rechenzentren übermittelt werden, darunter verschiedene in den USA (etwa in South Carolina und Oregon). Das verstößt gegen Art. 44 DS-GVO. Zwar konnte ich die Verwendung solcher Server im Test nicht konkret feststellen, stattdessen wurden Server in Deutschland, Frankreich oder der Schweiz verwendet, wobei die Daten dorthin merkwürdige Umwege über Kanada nahmen. Entweder liegt dann aber eine unzulässige Übermittlung in Drittländer vor (Art. 44 DS-GVO) oder eine fehlerhafte Datenschutzerklärung (Art. 13 DS-GVO).
Da Google die Daten auch zu eigenen Zwecken verwendet, wäre zudem eine Vereinbarung zur gemeinsamen Verantwortlichkeit nötig, um den Rechtsrahmen zu regeln, die Google aber nicht anbietet. Dies verstößt zusätzlich gegen Art. 26 DS-GVO. Stattdessen bietet Google eine Vereinbarung zur Auftragsverarbeitung an, hält sich aber aus vorgenanntem Grund nicht daran. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat allein in dieser Vereinbarung so viele Mängel entdeckt, dass sie von einer weiteren Prüfung abgesehen und die Ampel bei Google Meet in allen Punkten auf “Rot” gestellt hat.
Das das Teams zum Cloud Act Geschriebene gilt für Google-Dienste entsprechend.
Von einer Nutzung ist unter rechtlichen Gesichtspunkten spätestens im geschäftlichen Kontext abzuraten.
Leider ist der technisch sonst bedienerfreundliche Dienst datenschutzrechtlich mangelhaft. Zwar können vom Veranstalter deutsche Server verwendet werden, Cisco hält sich aber nicht konsequent daran. So stellte ich bei Meetings im Hintergrund Datenübermittlungen zu zahlreichen internationalen Servern fest, etwa in die USA (z. B. ed1ny-mzm.webex.com oder ed1sjcbmm10.webex.com) und nach Singapur (z. B. ed1sgcbmm10.webex.com). Dies verstößt gegen Art. 6 und Art. 44 DS-GVO, weil es für diese Datenübermittlungen an sich und erst recht in unsichere Drittländer keinen ersichtlichen Grund gibt. Daneben fällt auf, dass Cisco Server des US-amerikanischen Dienstleisters Akamai, Inc. verwendet (z. B. akamaicdn.webex.com). Dessen Server stehen zwar in eine niederländischen Rechenzentrum und an sich spricht nichts gegen die Inanspruchnahme von Subunternehmern, trotzdem setzt Cisco seine Kundendaten durch die Inanspruchnahme gerade von Akamai der Gefahr DS-GVO-widriger Zugriffe infolge des US-amerikanischen Cloud Acts aus, wie oben beschrieben.
Der Abschluss einer Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO ist zwar möglich; Ciscos Vereinbarung verstößt aber gegen Art. 28, 44 und 32 DS-GVO, weil sich Cisco auch Datenübermittlungen nach US-amerikanischem und entgegen europäischem Recht vorbehält. Ebenso verstoßen die verwendeten Standard-Datenschutzklauseln gegen Art. 44 DS-GVO, weil sie keine ausreichenden Schutzmaßnahmen gegen US-amerikanische Behördenzugriffe im Sinne der erwähnten Schrems II-Rechtsprechung des EuGH vorsehen.
Auch die Datenschutzerklärung ist mangelhaft. Sie nimmt zwar Bezug auf Webex, enthält aber im Wesentlichen Allgemeinplätze. Sie erklärt entgegen Art. 13 DS-GVO etwa nicht, welche Daten wie lange gespeichert oder unter welchen Voraussetzungen sie zwischen den internationalen Cisco-Standorten weitergegeben werden. Dafür verrät sie, dass Nutzerdaten ungefragt zu Marketing- und Umfragezwecken verwendet werden, was jedenfalls in dieser Pauschalität gegen Art. 6 DS-GVO verstößt.
Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit kommt zu dem Befund, dass Webex derzeit nicht DS-GVO-konform betrieben werden kann.
Entgegen seinen Werbeversprechen ist Edudip leider nicht DS-konform nutzbar. Zwar kommen – auch – deutsche Server zum Einsatz, darunter solche der europäischen Hosting-Unternehmen Hetzner Online GmbH und OVH. Im Test liefen die Videostream-Daten an sich in der Tat über diese Server. Edudip übermittelt aber durch eine Einbindung von Google-Diensten in seine Seite Surfprofile an Google. Dabei handelt es sich um Google-Dienste wie Google Ad Services, Google Tag Manager, Google Analytics (z. B. www.google-analytics.com, einschließlich unzulässiger Cookies) und Doubleclick (z. B. stats.g.doubleclick.net). Diese Dienste spähen Nutzerdaten aus und senden sie an Google. Dies verstößt gegen Art. 6, Art. 26 und Art. 44 DS-GVO, je nach Einsatzkontext auch gegen § 26 BDSG. Teilweise setzt sich Edudip damit auch in Widerspruch zu seiner eigenen Datenschutzerklärung; so wird der Google Tag Manager dort entgegen Art. 13 DS-GVO verschwiegen. Aus Googles Datenschutzerklärung (und übrigens auch Googles Vereinbarung zur Auftragsverarbeitung) geht hervor, dass Google Daten auch keineswegs nur in Deutschland oder der EU verarbeitet, was zumindest in dieser Form einen Verstoß gegen Art. 44 DS-GVO darstellt. Auf meinen Hinweis an den Datenschutzbeauftragten Edudips im Mai 2021 hin wurden die Verstöße etwas reduziert, bestehen aber nach wie vor.
Laut seiner Datenschutzerklärung versendet Edudip weiterhin Newsletter über den verbotenen Newsletterdienst MailChimp, was wegen unzulässiger Drittlandübermittlung gegen Art. 44 DS-GVO verstößt. Auf Anfrage verwies der Datenschutzbeauftragte auf eine Einwilligung, die dies aber nicht deckt. Auch räumt Edudip ein, das E-Mail-Leseverhalten der jeweiligen Empfänger durch sogenannte Tracking-Pixel auszuspähen, was günstigstenfalls gegen Art. 44 DS-GVO, je nach den Einzelheiten wahrscheinlich auch gegen Art. 6 DS-GVO verstößt.
Schließlich räumt Edudip ein, Zahlungsdaten – etwa bei Lastschriften und Kreditkartenzahlungen – seiner Kunden an den Dienstleister Stripe weiterzuleiten. Vertragspartner soll zwar nicht die US-amerikanische Stripe-Mutter, sondern eine in Irland ansässige Stripe-Tochter sein. Ein Test ergibt aber, dass Stripe beim Bezahlvorgang dennoch Nutzerdaten an US-amerikanische Amazon-Server weiterleitet (z. B. an q.stripe.com). Auch hierin liegt ein Verstoß gegen Art. 44 DS-GVO. Darauf angesprochen, teilte der Datenschutzbeauftragte mit, bei Veranstalterdaten handele es sich nicht um personenbezogene Daten. Das ist in mehrfacher Hinsicht falsch und offenbart fehlendes Grundlagenwissen (Art. 4 Abs. 1 DS-GVO: Selbstverständlich schützt die DS-GVO auch Daten einer unternehmerisch tätigen natürlichen Person; im Übrigen wird es sich bei den Buchenden häufig um Beschäftigte handeln). Edudips Datenschutzerklärung enthält bezüglich der Cookies vor allem Textbausteine mit abstrakten und daher wertlosen Allgemeinplätzen und verstößt somit gegen Art. 13 DS-GVO. Dies folgt aus dem Planet49-Urteil des EuGH (Az. C-673/17).
Kunden erhalten bei Edudip die Möglichkeit, eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DS-GVO abzuschließen, was an sich erfreulich wäre. Leider fördert diese weitere Datenschutzverstöße zu Tage. So werden Protokolldaten über Webinar-Nutzungsvorgänge offenbar ein Kalenderjahr lang auf Vorrat gespeichert, was deutlich zu lang und nicht mit Art. 6 DS-GVO vereinbar ist. Edudip übermittelt demnach außerdem Kundendaten an zahlreiche Subunternehmer, die mir teils aus anderen datenschutzrechtlichen Prüfungen bekannt sind. So werden Einladungen über den Newsletterdienst INXmail versandt, der nach eigenen Auskünften das E-Mail-Leseverhalten der Empfänger im Zuge einer sogenannten Reichweitenmessung in einer Weise ausspäht, die nicht mehr Art. 6 DS-GVO entspricht. Ähnliches gilt für den von Edudip eingebundenen Mailing-Dienst SendInBlue, der zusätzlich Daten entgegen Art. 44 DS-GVO an die Amazon-Cloud übermittelt. Gegen dasselbe Verbot verstößt auch der von Edudip eingebundene Dienstleister Zendesk. Hierzu befragt, äußerte Edudips Datenschutzbeauftragter, einige der Dienste würden faktisch nicht mehr genutzt, was aber im Widerspruch zu Edudips eigenen Verträgen und im Fall OVHs auch zu meinem wenige Tage zuvor durchgeführten Test steht.
Von einer DS-GVO-Konformität Edudips kann daher keine Rede sein. Das ist bedauerlich, weil aufgrund technischer Eigenentwicklungen ein Potenzial zu einem unabhängigen Betrieb bestünde, das Edudip aber durch die unnötige Einbindung von Google-Diensten und handwerkliche Fehler verschenkt.