Argumente gegen MS Teams, Zooms & Co.

Der Wechsel zu anderen Anbietern wird erschwert

Stimmt es, dass Microsoft-Teams, -Office, Zoom und dergleichen „abhängig“ machen? Ist das nicht zu drastisch formuliert? – „Marktführer” sind in der digitalen Welt oft rücksichtslose Konzerne: Sie machen Angebote, die ihnen möglichst viel Geld bringen, ignorieren dafür oft rechtliche Rahmenbedingungen oder legen sie kreativ aus, um zumindest im rechtlichen Graubereich zu agieren. Ihre Produkte werden erst durch das Sammeln und Auswerten von Nutzer.innendaten richtig attraktiv und sie gestalten sie bewusst so, dass sie eine soziale Sogwirkung entfalten: leicht bedienbar, Teil einer Produktpalette, Verzahnung und reibungslose Synchronisierungsmöglichkeiten zwischen den Produkten, usw. „Wie bequem!“ denken wir uns, nachdem wir uns dann voll und ganz in dem Konzern eingenistet haben. Ab dann fällt der Wechsel zu anderen Plattformen besonders schwer. Aber je länger und je mehr Menschen die Plattform nutzen, desto mehr Daten lassen sich sammeln.

Wenn eine einzige Plattform alle Bedürfnisse abdeckt, wird sie schnell zum zentralen Bestandteil aller Arbeitsabläufe. Wir werden abhängig und unterwerfen uns (manchmal handzahm knurrend) dem Willen eines einzigen Konzerns, der dann die Bedingungen zu seinen Gunsten diktieren kann. Gibt es die eine marktbeherrschende Plattform, können viele Menschen ausschließlich nur noch diese vertraute Plattform bedienen. Das drängt andere dazu, ihre Ausstattung mit der Plattform kompatibel zu machen (und nicht umgekehrt). Und sie landen (oh Wunder!) ebenfalls beim selben Konzern: Der sogenannte Lock-In-Effekt schlägt zu. Wechseln erscheint nun unmöglich, denn alle müssten wechseln und alles auf einmal geändert werden! Und so drängt sich das Naheliegendste auf… „das Selbe wie immer, bitte!”

Linktipps:

- Schule digital: Wie ein Lock-In an Schulen der Gesellschaft schadet: https://www.heise.de/hintergrund/Schule-digital-Wie-der-Lock-In-Effekt-unsere-Schulen-beschraenkt-6006927.html

- Private Infrastruktur für die Lehre: So viel bezahlen Hochschulen für Zoom: https://netzpolitik.org/2021/private-infrastruktur-fuer-die-lehre-so-viel-bezahlen-hochschulen-fuer-zoom/

Datenschutz heißt Verantwortung

Unterschieden wird wischen „Veranstalter.in“ und „Auftragsverarbeiter.in“. Veranstalter.in ist z.B. eine Organisation, Firma oder Behörde. Und genau diese sind bei einer Videokonferenz-Plattform verantwortlich, denn sie veranlassen die Datenübermittlung mittels Videokonferenz. Die Veranstalter.innen-Seite ist außerdem verpflichtet, angemessene und ausreichende technische oder organisatorische Maßnahmen zu ergreifen, um z.B. Prinzipien wie Datensparsamkeit und „Privacy by Default” anzuwenden, denn laut Datenschutzgrundverordnung sind diese vorgeschrieben (Art. 25. DSGVO).

Auftragsverarbeiter.in ist dagegen die Plattform, über die die Videokonferenz stattfindet. Diese Seite handelt weisungsgebunden gegenüber der jeweiligen Veranstalter.innen-Seite. Wertet ein.e Auftragsverarbeiter.in die anfallenden Daten allerdings für eigene Zwecke aus (übergibt sie z.B. an Werbe-Firmen), ist er/sie durch diese Zweckänderung  auch für diese Datenverarbeitung verantwortlich.

Nutzt also eine Firma oder Schule eine Videokonferenz-Plattform wie Microsoft Teams, Cisco WebEx oder Zoom, sind dabei u.a. Arbeitnehmer.innenrechte oder Schutzpflichten gegenüber Kindern zu beachten – insbesondere, wenn dabei Daten weiterfließen. Sie müssen daher entsprechende Verträge mit den Auftragsverarbeiter.innen schließen. – Justus/Digitalcourage

Linktipps:

- DSGVO, Artikel 35: Datenschutz-Folgenabschätzung: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1620045591776&from=DE#d1e3548-1-1

- DSGVO, Artikel 25: Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1620045591776&from=DE#d1e3078-1-1

- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: Liste von Verarbeitungsvorgängen gemäß Artikel 35 Abs. 4 DSGVO für Verarbeitungstätigkeiten öffentlicher Stellen des Bundes: https://www.datenschutz-notizen.de/wp-content/uploads/2021/04/Liste_VerarbeitungsvorgaengeArt35-3.pdf

- Datenschutz-Notizen.de: Blacklists Deutscher Aufsichtsbehörden: https://www.datenschutz-notizen.de/blacklists-deutscher-aufsichtsbehoerden-ein-update-3729719/

- Datenschutzkonferenz: Orientierungshilfe Videokonferenzsysteme: https://www.datenschutzkonferenz-online.de/media/oh/20201023_oh_videokonferenzsysteme.pdf

- Datenschutzergänzung: Microsoft setzt "EU-Datengrenze" um. Datenschützer sehen mangelnde Transparenz: https://www.heise.de/news/Datenschutzergaenzung-Microsoft-setzt-EU-Datengrenze-um-7447136.html

Besondere Problematik bei US-Software

Das Sammeln von Daten ist Teil des Geschäftsmodells großer IT-Konzerne. Sie haben demnach kein Interesse daran, die Daten der Nutzer.innen zu schützen, sondern halten sich an das Mindestmaß, um wettbewerbsfähig bleiben zu können, agieren im rechtlichen Graubereich und/oder nutzen Schlupflöcher aus.

Besondere Problematik mit US-Software: Bis heute behaupten Anbieter manchmal, Daten seien nach dem Datenschutz-Abkommen „Privacy Shield” sicher und geschützt. Dieses sollte für den Datenschutz von EU-Bürger.innen in den USA sorgen. Doch seit dem 16. Juli 2020 ist das Abkommen „Privacy Shield” zwischen den USA und der EU ungültig: Der Europäische Gerichtshof (EuGH) hat es mit sofortiger Wirkung für ungültig erklärt. Auf „Privacy Shield” kann sich also inzwischen niemand mehr berufen. In den USA gelten andere Rechte und es gibt viel weniger Kontrolle darüber, wie Unternehmen Daten von Nutzer.innen verwenden. Teils werden diese zu ganz anderen Zwecken als den ursprünglich genannten verwendet und an „Partner“ weitergeben oder gar an dritte Verkauft. Besonders kritisch: EU-Bürger.innen sind bei allen Anbietern zum Ausspähen durch US-Geheimdienste und Behörden freigegeben! Das gilt sogar, wenn die Daten nur zu einer Tochterfirma gehören oder die Server im Ausland (also z.B. in Deutschland) stehen. Wenn Sie Dienste von US-Unternehmen wie Microsoft, Zoom oder anderen Anbietern nutzen, müssen Sie also davon ausgehen, dass der grundlegende rechtliche Schutz persönlicher Daten nicht gewährleistet ist – sogar dann nicht, wenn die Werbung Ihnen Server in Deutschland oder der EU verspricht.

Diese folgenden drei US-amerikanischen Gesetze waren auch der Grund, wieso das „Privacy Shield“ für ungültig erklärt wurde:

- CLOUD-Act: Gesetz zum Zugriff der US-Behörden auf gespeicherte Daten im Internet, bzw. Verpflichtung US-Behörden Zugriff auf Daten zu gewährleisten, wenn US-amerikanische Programme eingesetzt werden und die Speicherung aber nicht in den USA erfolgt.

- FISA: Gesetz zur Überwachung in der Auslandsaufklärung, kurz: Einsatz von Geheim- und Nachrichtendiensten zur Spionageabwehr, ohne im Ausland besondere Genehmigungen dafür zu benötigen.

- Patriot Act: Gesetz zur Einigung und Stärkung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu verhindern, kurz: US-Geheimdienste haben viele Freiheiten, unter anderem Zugriff auf Daten von Microsoft, wie Snowden 2013 enthüllte.

Ob die Plattformen den Ansprüchen des europäischen Datenschutzrechts (DSGVO) genügen, ist heftig umstritten. Wer auf diese Systeme setzt, muss ggf. bald wieder wechseln.

Linktipps:

- Datenschutzkonferenz: „Kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich“: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

- In einigen Bundesländern liegt gar keine keine Freigabe für die Nutzung von Microsoft 365 oder Microsoft Teams vor: https://digitalcourage.de/kinder-und-jugendliche/finger-weg-von-microsoft-an-Schulen

- In einer Stellungnahme erklärt die Berliner Aufsichtsbehörde die datenschutzrechtlichen Verträge aller großen Anbieter von Videokonferenztools für nicht DSGVO-konform: https://www.heise.de/news/Viel-Rot-Berliner-Datenschutzbeauftragte-aktualisiert-Videokonferenz-Liste-5060322.html

- Urteil des EuGH zum Privacy Shield-Abkommen: https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=9799301

- Diese Liste der Berliner LBfD zeigt ziemlich klar, dass man mit Microsoft, Zoom, Cisco gar keinen gültigen AV-Vertrag schließen kann. Für MS Teams ist die Begründung geschlagene neun Seiten lang – aber schon nach der ersten Seite ist klar, dass man Microsoft nicht vertrauen kann: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

- Kommentar: „Rechtssicherer Betrieb und der Datenschutz“: https://www.kuketz-blog.de/kommentar-rechtssicherer-betrieb-und-der-datenschutz/

- „Mit dem Zoom-Boom schleichen sich Videoanbieter in unser Zuhause ein und verkaufen meistbietend unsere Daten an Marketingunternehmen, Geheimdienste, Militärs und Polizei – das alles mit unserer Zustimmung“: https://olaf.bbm.de/jutta-weber-covid-creep

- CCC-Darmstand: „Warum Zoom böse ist“: https://md.darmstadt.ccc.de/zoom-ist-boese

- IFG-Anfragen: Mit Hilfe von fragdenstaat.de können Leute anfragen, was Organisationen für ihren „datenschutzkonformen“ Zoom-Vertrag ausgegeben haben: https://kubieziel.de/blog/archives/1664-Der-IFG-Hack-des-Tages.html

- Microsoft 365: „Skandalöses Verhalten im Niedersächsischen Kultusministerium“: https://digitalcourage.video/w/ssSsigMVuj3DmRVmHANymc

- Aber Microsoft beteuert doch ständig, dass es datenschutzkonform ist, wie kann das sein? Stellungnahme von Microsoft: https://news.microsoft.com/wp-content/uploads/prod/sites/40/2022/08/Microsoft_Statement_Datenschutzkonformitaet-von-Microsoft-365-und-Microsoft-Teams.pdf, Gegenstellungnahme: https://llu.futur-iii.de/2022/08/22/sind-ms-365-und-teams-in-schulen-datenschutzkonform/