Drei Schritte zum datenschutzkonformen Umgang mit Videokonferenzlösungen

Die Schlagzeilen rund um die US-Videokonferenzanbieterin Zoom haben viele verunsichert: Darf ich solche Lösungen noch guten Gewissens einsetzen? Die Antwort: Bei einem bewussten Umgang mit solchen Lösungen ist der Datenschutz kein Problem. Drei Punkte sollten berücksichtigt werden.

Punkt 1 ist die richtige Bedienung. Zoom kam unter anderem in die Schlagzeilen, weil Benutzer nicht darauf achteten, ihre virtuellen Sitzungen mit einem Passwort zu schützen. Der Zutritt zu war zudem mit einem besonders einfach gestalteten Link möglich – so einfach, dass Unbefugten von einem Computer die Kombinationen von Sitzungsnummern automatisiert durchprüfen lassen konnten. In anderen Fällen haben Personen wie etwa der britische Premier Boris Johnson die Zugangscodes unvorsichtigerweise gleich selbst veröffentlicht. Schutz bietet ferner die Warteraumfunktion, weil Teilnehmer manuell zugelassen werden müssen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat hierzu und weiteren Fragen ein lesenswertes Merkblatt publiziert.

Punkt 2 ist die Verschlüsselung. Auch hier hat Zoom Mist gebaut, indem eine "End-to-End"-Verschlüsselung suggeriert wurde, die es nicht gab. Allerdings: Im geschäftlichen Umfeld haben viele Lösungen (z.B. Hangouts, Teams, Skype) keine durchgängige Verschlüsselung, das heisst, die Übertragungen werden auf dem Server des Anbieters ent- und wieder verschlüsselt ("Hop-by-Hop"-Verschlüsselung). Das wird teils dazu benutzt, um Teilnehmer via Telefon einzubinden. Dies ist kein Problem, wenn der Anbieter in Anbetracht der Gesprächsinhalte vertrauenswürdig ist. Immerhin vertrauen viele auch ihre Mails und Dokumente inzwischen Google, Microsoft oder Apple an. Das Hauptrisiko besteht dann darin, dass der Staat mindestens an den Standorten des Anbieters mithört; wie wahrscheinlich das im konkreten Fall wirklich ist, muss jeder selbst beurteilen – doch bei Telefonkonferenzen besteht das Risiko ebenso. End-to-End-Verschlüsselung bieten unter anderem Facetime, Whatsapp, Signal, Wire, Skype (nur 1:1) und Webex an, meist sind aber die Teilnehmer beschränkt. Eine Alternative ist die Open-Source-Lösung Jitsi: Hier kann ein Unternehmen den Server gleich selbst günstig betreiben. Das gibt Kontrolle. Oder man setzt auf eine bestehende Lösung, die auf Jitsi basiert, beispielsweise auf jene der Stiftung Switch.

Punkt 3 ist die benutzerseitige Sicherheit. Eine Videokonferenz-App kann die Sicherheit des Benutzergeräts durchlöchern, wenn sie schlecht programmiert worden ist (auch hier hatte Zoom Probleme). Teilweise zirkuliert auch als Videokonferenzsoftware getarnte Malware. Gewisse Unternehmen lassen solche Programme daher nicht zu. Auch hier gilt: Nur Software vertrauenswürdiger Anbieter aus vertrauenswürdiger Quelle installieren. Ferner sollten Benutzer mindestens die Kamera bei Nichtgebrauch abdecken; es gibt Malware, welche Kameras (und Mikrofone) zu "Minispionen" umfunktionieren.

Wer diese drei Punkte beachtet und zudem seinen Anbieter im Hinblick auf den Umgang mit Kundendaten (Datenschutzerklärung!) sorgfältig ausgewählt hat, dem steht der Datenschutz beim Einsatz solcher Konferenzlösungen für alltägliche Sitzungen oder im schulischen Bereich in der Regel nicht im Weg.

David Rosenthal ist Spezialist für Daten- und Technologierecht, ab Juni bei VISCHER AG. (Source: zVg)