Risiko: Videodienste aus den USA
Was Datenschützer bemängeln und wie Wissenskonferenzen per Video sicherer werden

Wissensmanagement funktioniert nicht ohne Digitalisierung. Ein wichtiges Element der virtuellen Welt ist seit der Pandemie die Videokonferenz. Denn gerade im persönlichen Austausch entsteht oft neues Wissen. Da irritiert es, wenn wie vor kurzem in Bayern, ausgerechnet Schulen für einen Datenschlamassel sorgen. 140.000 Schüler und Lehrer sind in München in einem einzigen virtuellen Klassenzimmer vereint. Eine Art Münchner Whatsapp ist so entstanden. Cybermobbing ist somit die Tür aufgestoßen. Homeschooling wird in München über die Software Teams von Microsoft organisiert. Das Problem ist, dass alle Schüler in einer Gruppe angelegt sind.

^{Bildquelle: (C) mohamed Hassan / Pixabay}

Dazu passt der jüngste Rüffel der Berliner Datenschutzbeauftragten Maja Smoltczyk, die Mitte Februar Videosysteme wie eben Microsoft Teams, aber auch Teamviewer oder Zoom bei einer Prüfung durchfliegen lässt. Kurios: Die Videodienste sind bereits im vergangenen Jahr durch einen Datenschutztest gerasselt. Im öffentlichen Prüfbericht hat sich bei der Bewertung kaum etwas geändert. Die Behörde versieht alle mit einer roten Ampel. Bei diesen Systemen "liegen Mängel vor, die eine rechtskonforme Nutzung des Dienstes ausschließen", heißt es im Berliner Papier.

Vereinbarung gekippt

Erik Boos erstaunt das nicht. Der Geschäftsführer der Münchner Softwareschmiede Snapview gilt als Pionier der Videoberatung. Bereits seit 15 Jahren begleitet er Unternehmen auf dem Weg in die Digitalisierung. Seiner Meinung nach ist die Kritik berechtigt. Im vorigen Sommer kippt der Europäische Gerichtshof die Datenschutzvereinbarung zwischen Europa und den USA. Für das "Privacy Shield" gibt es bis dato keinen Nachfolger. Boos übersetzt, was dieser Zustand bedeutet: "Das Problem entsteht potenziell bei der Nutzung von US-amerikanischen Anbietern, die dem CLOUD-Act unterliegen. Es erlaubt amerikanischen Behörden den Zugriff auf Daten die US-Unternehmen speichern oder verarbeiten, egal wo sich diese geographisch befinden". Auch ein Serverstandort in der EU oder speziell in Deutschland ändert an dieser Situation nichts. Deshalb sei der CLOUD Act für alle europäischen Wissensunternehmen ein Problem. Denn laut DSGVO dürfen Daten nur in sehr engen Grenzen herausgegeben werden.

Eine rechtskonforme Zusammenarbeit mit US-Video-Anbietern sei somit aktuell kaum möglich, verdeutlicht Boos. Denn Apple, Microsoft oder Google sind per Gesetz gezwungen, Daten offen zu legen - und zwar egal wo diese gespeichert sind. Datenschützer haben in der Vergangenheit vor allem darauf geschaut, wo die Daten verarbeitet werden. US-Konzerne haben daraufhin Rechenzentren in Europa installiert und mancher wägt sich in Sicherheit. Ein Irrtum, denn es geht nicht nur darum wo, sondern wer die Daten verarbeitet. Ein US-Unternehmen muss Daten auch dann herausgeben, wenn sich diese in einem Rechenzentrum in Deutschland befinden. Problematisch ist zudem, wenn Subunternehmer mit in der Lieferkette hängen. Auch sie unterliegen dem US-Gesetz.

20 Millionen Euro Bußgeld

Beispiel: Ein deutscher Videokonferenz-Anbieter arbeitet mit einem US-Provider zusammen, der die IT-Infrastruktur betreibt. Da diese Unternehmen Zugriff auf die Daten haben, führt die Konstellation zu einer Unvereinbarkeit mit dem EU-Datenschutz. Folglich müssen deutsche Firmen bei einem Vertrag mit anderen Unternehmen prüfen, ob diese Daten bei einem US-Anbieter speichern. Bis eine belastbare neue Vereinbarung zwischen Europa und USA in Kraft tritt, wird wohl noch Zeit vergehen. "Ohne eine solche ist eine Zusammenarbeit mit US-Plattformen gefährlich", bilanziert Boos. Wie gefährlich, wissen die Berliner Datenschützer: Gegen Firmen, die US-Produkte einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich.