Dr. Jeannot Muller

Die Berliner Datenschutzbeauftragte, Maja Smoltczyk, hat mal wieder "zugeschlagen" und 17 Dienstleister für Videokonferenzen testen lassen:

"Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten"

Ihr Fazit: "Leider erfüllen einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht".

Jetzt kann man es sich einfach machen und pragmatisch denken: Gerade Microsoft Teams ist oft in der Geschäftswelt unvermeidlich, da es sich einfach und komfortabel in die bestehende Software-Architektur implementiert. Fazit aus Nutzersicht: "Wir regulieren uns zu Tode ... Was soll dieser Datenschutzquatsch?".

Dabei liegt Frau Smoltczyk und Ihr Team leider gar nicht so falsch mit Ihrem Fazit. Auch IT-Sicherheitsexperten haben gute Gründe skeptisch zu sein, und die datenschutzrechtlichen Defizite beruhen oft auch auf technischen Komponenten.
Hier ein paar Beispiele:

Kommentar: Datenschutz bei Microsoft Teams?
An die Rechtmäßigkeit von Microsoft Teams ist nicht zu denken - die Verstöße gegen die DSGVO auf einen Blick.
Trotz Fortschritten: Kunden kritisieren Sicherheit von Teams
Microsoft hat neue Sicherheitsfunktionen für Teams angekündigt, nachdem der rivalisierende Anbieter Zoom Kritik einstecken musste. Einigen Kunden gehen diese nicht weit genug.

Fakt ist, dass wir in Europa die Datenschutz- Grundverordnung (DSGVO) nun einmal haben, und solange sich das nicht ändert, müssen wir uns auch an das Gesetz halten, ob einem das nun schmeckt, oder nicht.

Dass eine DSGVO-Konformität teilweise abstruse Auswirkungen mit sich bringt (cf. Cookie-Popups, die immer größer werden, keiner liest, jeder akzeptiert und einfach wegklickt und sich darüber aufregt) und die DSGVO auch kaum überall umsetzbar ist (wer löscht schon stets, zeitnah und regelmäßig E-Mails, die er nicht mehr benötigt?) ist das eigentliche Problem.
Solange wir keine DSGVO-2 bekommen, wird es meines Erachtens, rein juristisch kaum Softwarelösungen geben, die zu 100 % DSGVO-konform sein können. Punkt. Die DSGVO mag gut gedacht sein, ist aber schlecht gemacht und eine Überarbeitung überfällig.

Das rein Juristische ist aber nur ein Aspekt von vielen. Nur weil  Werkzeuge  für Videokonferenzen relativ einfach einzurichten und zu nutzen sind, heißt es noch lange nicht, dass sie "out-of-the-box" auch sicher funktionieren. Microsoft Teams bringt aber neben einem Compliance-Dashboard von Microsoft Office 365 zahlreiche Einstellungsmöglichkeiten mit, die man sich nur sehr genau anschauen sollte und an seine betrieblichen Anforderungen und Sicherheitsanfoderungen anpassen muss:

13 Tipps, um Microsoft Teams sicher zu machen und Datenschutz zu gewährleisten.

Rein juristisch gilt es auch zu beachten, dass es nicht nur die DSGVO zu befolgen gilt, wenn man "compliant" sein will. Je nach Tätigkeitsbereich greifen auch noch andere gesetzliche Rahmen. Exemplarisch seien hier nur das Gesundheitswesen genannt oder die Bankaufsichtliche Anforderungen an die IT (BAIT).

"Umsonst ist der Tod, und der kostet das Leben." - es ist nicht verwunderlich, dass Softwareanbieter weiterhin versuchen werden Ihre (oft kostenlosen) Lösungen irgendwie zu monetarisieren, wenn der Benutzer schon nicht bereit ist dafür ist zu bezahlen. Weil dem so ist, ist es nur richtig, dass Datenschutzexperten, Sicherheitsexperten und "ethical Hacker" weiterhin unermüdlich Schwachstellen aufdecken. Daraus muss dann ein Druck auf die Industrie folgen. Es ist falsch Fakten zu ignorieren und sich einfach in Sicherheit zu wähnen, nur weil die Tools so schön bunt sind und einfach zu bedienen.

Was kann ich nun tun?

Das Juristische:

Es ist unwahrscheinlich, dass Anwender in Zukunft pauschal abgemahnt werden. Dafür nutzen zuviele Firmen Video-Conferencing. KMUs und selbst Mittelständler haben hier schlicht und ergreifend nicht die notwendige Expertise (bzw. Ressourcen) die Verträge, AGBs, usw. bewerten zu können. Die Datenschutzanwälte dürften auch nicht die Zeit für alle Unternehmen haben ...

Auch aus diesem Grund ist es richtig und wichtig, dass Experten und vor allem auch Landesdatenschutzbeauftragte und ähnlich Institutionen sich der Sache annehmen und für alle Nutzer den notwendigen Druck bei den Herstellern aufbauen.

Das Technische:

Es ist falsch solche Werkzeuge ohne Abstimmung mit der internen IT oder durch Einschalten externer Expertise unüberlegt einzusetzen, nur weil sie so einfach einzusetzen sind. Am Anfang von Corona haben sich Installationslinks zu diesen Tools teilweise wie ein Lauffeuer verbreitet und in Unternehmen wurde regelrecht eine Schatten-IT etabliert, die noch kaum zu kontrollieren ist und oft an der schon existierenden Strategie vorbei implementiert wurde. Dieser Schiefstand sollte so schnell wie möglich gerade gezogen werden, weil oft eine "Migration" technisch (noch) nicht machbar ist, und sich das "Problem"  nicht von alleine lösen wird. Ebenso sollte ein kleines Unternehmen nicht ohne externe Expertise nur auf den intern "Geek" verlassen, der das Videoconferencing so schnell und problemlos eingeführt hat.

Das Strategische:

Wie bei jeder IT-Lösung ist man stets gut beraten eigene "Spielregeln" für sein Unternehmen aufzustellen. Wofür sollen die Tools eingesetzt werden und wofür nicht? Stichworte: "Aufzeichnungen Ja/Nein?", "Welche Inhalte sollen/dürfen nicht in einer VC besprochen werden?", "Berechtigungskonzept für Interne und vor allem Externe?", "Schulungen für Mitarbeiter und Administratoren", "Roadmap für die zu ausrollenden Funktionen", "Leitfaden für die Mitarbeiter zur Nutzung", "Dokumentation der sicherheitsrelevanten Einstellungen", usw. Klar alles nervig, Kosten- und Zeitaufwändig aber es ist nun einmal in der Regel die "condito sine qua non", damit man sich überhaupt sachgerecht mit der Thematik auseinandersetzt.

Ein besonderes Augenmerk sollte dabei auf  Schulungen gelegt werden. Oft werden die Mitarbeiter Ihrem Schicksal alleine überlassen. "Das Werkzeug funktioniert!" ist nicht genug für einen sicheren Betrieb. Hier sind die IT-Fachleute und die Geschäftsführung gefordert. Die "bottom-up"-Approach hat z.B. gerade am Beginn der SARS-CoV-2-Pandemie dazu geführt, dass diese sinnvolle Lösungen eingeführt wurden, aber es muss jetzt zeitnah ein "top-down"-Approach folgen, mit klaren Vorgaben der Geschäftsführung, welche Tools  dauerhaft genutzt werden sollen. Dafür muss ggf. die interne IT geschult werden, in jedem Fall aber die Endbenutzer. Gerade die Kombination mit anderen Tools, kann die Sicherheit solcher Systeme erweitern: z.B. in dem man sensible Daten vor einem Upload und einem Verteilen mit anderen Teams-Benutzern noch zusätzlich verschlüsselt.
Die Geschäftsführung kann nicht davon ausgehen, dass Mitarbeiter ohne Führung gesetzliche oder betriebliche Anforderungen optimal umsetzen werden. Umgekehrt muss der Geschäftsführung die rechtlichen Unsicherheiten (die es immer geben wird) bewusst sein.

"Video-Conferencing" und "Collaboration-Tools" sind nicht mehr zu stoppen und sind nun in vielen Unternehmen etabliert. Nichtsdestotrotz muss man sich als Unternehmen aber der Realität stellen und diese neue "IT-Systeme" zeitnah in einen kontrollierbaren Status überführen, um die Risiken (die es bei jedem System gibt) managen zu können. Das kann und soll zeitgleich zu den Arbeiten der Datenschutzexperten erfolgen, die Ihren Druck auf die Industrie weiter verschärfen sollten.