Wie wir bereits berichtet haben, ist nach Auffassung der Berliner Aufsichtsbehörde eine Datenschutzkonforme Nutzung von Videokonferenzdiensten ausgeschlossen, darunter fällt auch der Microsoft-Dienst Skype. Wir zeigen Alternativen auf.
Der Inhalt im Überblick
Ist Skype noch interessant?
Um diese Frage beantworten zu können, gilt es zunächst zwischen Skype für den Privatbereich und Skype for Business, nicht zu verwechseln mit Skype for Business Online, zu differenzieren.
Skype for Business ist als Teil von Office 365 eine Kommunikationslösung für Unternehmen und bietet vor allem für den Geschäftsbereich nützliche Funktionen namentlich Bildtelefonie, Videokonferenzen, IP-Telefonie, Instant-Massaging, Dateiübertragung und Screen-Sharing. Im Business-Bereich hat Microsoft Teams als am weitesten verbreiteter Videokonferenzdienst zwar Skype for Business bereits den Rang abgelaufen, letzteres gilt aber noch immer als attraktive Plattform für Telefonie, Onlinebesprechungen und Konferenzen. Skype für den Privatbereich wird demgegenüber von Verbrauchern und sehr kleinen Organisationen genutzt und gehört als Klassiker unter den Tools für Audio- und Video-Telefonieren seit über 15 Jahren zu den beliebtesten Video-Chat-Diensten weltweit. Der Betrieb von Skype for Business Online wurde am 31.07.2021 eingestellt, Nachfolger ist Microsoft Teams.
Ist Skype ein sicheres Kommunikationsmittel?
Skype-Nutzer können Sofortnachrichten, Sprach- und Videoaudioanrufe sowie Datenübertragungen verschlüsseln. Skype setzt für die Ende-zu-Ende-Verschlüsselung das Protokoll von Signal ein, welches als sehr sicher gilt. Aber! Die Funktion ist nur in der neusten Skype-Version verfügbar und nicht, wie es der Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellung (Privacy by Default) fordert, standartmäßig aktiviert. Zudem ist eine Verschlüsselung nicht alles. Es spielen weitere Faktoren für die Sicherheit eines Kommunikationsmittels eine Rolle, so etwa der sichere Umgang mit Benutzermetadaten wie IP-Adresse der Teilnehmer und mit Telemetriedaten wie Anrufdauer und Chat-Protokolle. Solche Daten dürfen nur im unbedingt erforderlichen Maß verarbeitet werden und sind nach Beendigung der Konferenz bestenfalls zu löschen. Denn diesen Daten lassen Rückschlüsse auf die Teilnehmer und das Kommunikationsverhalten zu. Ebenso kommt es auf den Umgang des Anbieters mit dem Thema Cloud-Sicherheit an, die den Schutz von Daten, Anwendungen und Infrastrukturen im Zusammenhang des Cloud Computing umfasst.
Kritik der Berliner Datenschutzbehörde an Skype
Das als Ampelsystem aufgebaute Bewertungsschema der Berliner Datenschutzbehörde macht unmissverständlich klar: für Skype steht die Ampel auf Rot. Rot bescheinigt, dass Mängel vorliegen,
„die eine rechtskonforme Nutzung des Dienstes ausschließlichen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe erfordert“.
Dasselbe Urteil wurde auch für weitere Videokonferenzlösungen US-amerikanischer Anbieter gefällt. Die Kritik der Berliner Aufsichtsbehörde an Microsoft Teams haben wir bereits genauer unter die Lupe genommen.
Was ist dran am Vorwurf: Microsoft scannt Skype-Chats?
Kurz: Viel! Wer über Skype chattet muss damit rechnen, dass (standartmäßig nicht verschlüsselte) private Nachrichten auf illegale Inhalte und verbotene Terrorinhalte gescannt werden. Eine befristete Ausnahme-Verordnung von der Anwendung der E-Privacy-Richtline zum Datenschutz der elektronischen Kommunikation macht die sog. Chatkontrolle bzw. Online-Massenüberwachung möglich. Alle stehen unter Generalverdacht und wer nach der Rechtsgrundlage sucht: Fehlanzeige.
Es gibt sie: rechtskonforme Videokonferenzdienste
Wir zeigen zwei Alternativen auf, die auf Grün stehen: BigBlueButton (BBB) und Jitsi Meet als Open-Source-Software. In ihrer Funktion ähneln beide Alternativen den kommerziellen Angeboten.
BBB ist insbesondere für die Lehre gestaltet und wurde bereits in mehreren Bildungseinrichtungen, etwa in Schulen, erfolgreich implementiert, es kann aber auch als Videokonferenzsystem im Business-Bereich genutzt werden. Nach Auffassung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg („Neue Handreichung zu Videokonferenzsystemen“ vom 27.10.2021) gehört BBB
„zu den sicheren Webkonferenzsystemen, weil auf den Einsatz von proprietärer Software verzichtet wurde (Open Source)“.
Bei den Diensten handelt es sich um kostenlose, quellenoffene Videokonferenzsysteme, die im Webbrowser ausgeführt werden und daher kein spezielles Programm und auch keine App benötigen.
BBB kann, im Gegensatz zu Jitsi Meet, nicht direkt genutzt werden, vielmehr handelt es sich dabei um ein Webkonferenzsystem das individuell konfiguriert werden muss. Entweder kann der Verantwortliche die Online-Dienste auf eigenen oder gemieteten Servern selbst betreiben oder aber von Dienstleister als Software-as-a-Service (SaaS) bezogen werden. Im Fall der Beauftragung eines Dienstleisters ist mit diesem ein Vertrag zur Auftragsvereinbarung nach Art. 28 DSGVO zu schließen.
Beide Videokonferenzlösungen unterscheiden sich vor allem im Erstellen und Öffnen von Videokonferenz-Räumen. Standardmäßig erfolgt bei BBB die Einladung der Teilnehmenden entweder per Anmeldung über ein Nutzerkonto oder über Einladungs-Links, in jedem Fall bedarf es eines Accounts auf dem BBB-Server. Bei Jitsi Meet hingegen ist keine Anmeldung oder Registrierung erforderlich, überdies können sich die Teilnehmenden mit Pseudonym anmelden. Die Screen-Sharing-Funktion von Jitsi Meet ermöglicht dem Gastgeber bzw. einem beliebigen Nutzer mit der entsprechenden Berechtigung seinen Bildschirm zu zeigen und andere darauf zugreifen zu lassen. Bei BBB wird eine Screen-Sharing-Funktion vom mobilen Browser nicht unterstützt und ist daher nicht möglich. Während Jitsi Meet als App auch auf mobilen Endgeräten aus dem App-Store heruntergeladen werden kann, besteht diese Möglichkeit bei BBB nicht. Sowohl bei BBB als auch bei Jitsi Meet kann der Hintergrund ausgeblendet bzw. unscharf gestellt werden. Die Dienste gleichen sich überdies darin, dass die Verbindungen zwischen den einzelnen Teilnehmenden Ende-zu-Ende-verschlüsselt sind.
Die Aussage der Datenschutzbehörden – „zu den sicheren Webkonferenzsystemen, weil auf den Einsatz von proprietärer Software verzichtet wurde (Open Source)“, ist leider wie so häufig inhaltsleer. Der Einsatz von OpenSource Software ist leider kein Hinweis zu umgesetzter IT-Sicherheit oder Datenschutzkonformität. MfG Marco Tessendorf