In der derzeitige Situation der Corona Zeit werden viele Gespräche, Schulungen, Konferenzen etc. pp. in Online Meetings verlagert. Die Nutzer oder Verantwortlichen der Nutzung von Betreibern wie Zoom, MS Teams, Skype, Google Web EX etc. geben unbeachtet viele seiner Daten an die Betreiber der Online-Meetingräume weiter. Ein Umstand – der im Rahmen des Datenschutzes nicht toleriert werden darf
Zoom / MS-Teams / Skype etc. sind nicht GDPR / E-DSG / e-Privacy konform
Wer sich die Datenschutzbestimmungen von zum Beispiel von Zoom durchgelesen hat, der wird zustimmen, dass die ermittelten Daten der Zoom Nutzer ziemlich umfassend und fragwürdig erscheint, dass diese Datenmengen auch gesammelt werden, wenn Nutzer NICHT vorher darüber aufgeklärt wurden (also nicht einmal ein Zoom Konto haben) – das kann nicht GDPR / E-DSG / e-Privacy konform sein. Es wird gerade auch im Unternehmensumfeld nur schwer zur argumentieren sein, dass sich das Unternehmen dabei an die in der geltenden Datenschutz-Gesetze hält, denn Zoom dies tut es keinesfalls, wie viele Experten bereits feststellten. Dass Zoom darüber hinaus Daten mit anderen sozialen Medien und Werbepartnern teilt, irritiert zusätzlich viele.
Die Untersuchung dieser Dienste zeigt deutlich, dass nicht nur die unverschlüsselte E-Mail wie eine Postkarte ist, die überall mitgelesen werden kann, sondern nun ist es auch noch Wort, Bild und Ton, welches wir gleich mit einem Megafon auf der Strasse verlauten lassen können
Zudem wurde das Datenschutzabkommen Privacy-Shield mit den USA im Juli 2020 durch den EU Gerichtshof für ungültig erklärt. Datenschutzverantwortliche, die nun Lösungen wie Microsoft Teams, Google Meet, Zoom oder andere US basierte Online-Meetinglösungen einsetzen, können sich daher nicht darauf berufen, dass die Daten den geltenden EU Gesetzen entsprechend gehandhabt werden. Daher sind die Datenschutzverantwortlichen der Unternehmen oder Organisationen, die diese Lösungen verwenden, nun selbst und persönlich haftbar für die „Verwendung, Speicherung oder auch Löschung angefallener Daten, die sich in den USA befinden“.
Wenn Unternehmer Zugriffe auf Daten von Kunden oder User hat, sind die Vorschriften aus Art. 28 GDPR einschlägig und ein gesonderter Vertrag ist nötig: Nur so ist rechtlich gewährleistet, dass eine Weitergabe bzw. Verarbeitung der Daten datenschutzrechtlichen Anforderungen genügt. Art. 28 GDPR regelt die sogenannte Auftragsdatenverarbeitung
Die Auftragsdatenverarbeitung gem. Art. 28 GDPR ist gerade dann wichtig, wenn personenbezogenen Daten von Kunden / Benutzern weitergegeben werden und ein Zugriff durch externe Dienstleister bzw. andere Dritte möglich wird. Ein entsprechender Vertrag muss dann zwischen Verwalter und den externen Unternehmen / Kunden / Benutzern geschlossen werden. Zusätzlich ist zudem die Einwilligung der Betroffenen erforderlich: Diese ist vor der Weitergabe einzuholen und sollte entweder schriftlich oder in einem elektronischen Format vorliegen
HINWEIS: „Betroffene“ sind auch zum Beispiel alle persönlichen oder geschäftlichen Kontakte, die man auf einem Mobiltelefon gespeichert hat, während die App des Meetinganbieters diese Kontakte automatisiert vom Gerät abfragt. Also man müsste daher jeden Kontakt vorab informieren und dessen eindeutige, am besten schriftliche Zustimmung erhalten, dass man vorhat, eine App oder einen derartigen Service zu verwenden. Diese Personen müssen zustimmen, dass deren persönlichen Daten an Zoom, Skype & Co und deren Vertragspartner weiter gegeben werden – auch wenn diese selbst nie den Service nutzen
Egal zu welchen Regeln sich ein Video-Konferenz-Anbieter aus einem anderen Land verpflichtet
Die Haftung obliegt demjenigen, der den Service für andere zur Verfügung stellt
Nicht GDPR / E-DSG / e-Privacy konform durch Datenweitergabe und unzureichenden Schutz der Anwender
Viele Sicherheitslücken in der Software und den Anwendungen auch für mobile Geräte, vermutlich auch, weil der Service zu viele Funktionen ohne hinreichende Tests implementierte
Hacker spezialisieren sich durch den Ansturm auf die Service und neue auch mit KI Methoden, indem diese gezielt die Sicherheitslücken aber auch die Unerfahrenheit neuer Anwender ausnutzen. Dadurch sind beispielweise Zoom-Anwender gezielten Attacken ausgesetzt
Zudem werden die Lösungen direkt in den Unternehmen selbst betrieben und benötigen keinen Download oder sonstige Tools. Einfach Browser öffnen und Meeting beitreten. Zudem sind die Meeting Räume abhörsicher und E2EE verschlüsselt