26. April 2022
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Dr. Stefan Brink erwartet von Schulen, dass sie Schüler:innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten.
Microsoft 365 ist ein Online- bzw. Cloud-Dienst des Anbieters Microsoft. Spätestens ab dem kommenden Schuljahr sei die Nutzung von MS 365 an Schulen zu beenden. Andernfalls müssten die Schulen den datenschutzkonformen Betrieb des Cloud-Angebots eindeutig nachweisen können.
Pilotprojekt gescheitert
Die Entscheidung deutete sich schon länger an, der LfDI begleitete und beriet zuvor das Kultusministerium Baden-Württemberg über einen längeren Zeitraum in einem umfangreichen Pilotprojekt zum möglichen Einsatz von MS 365. Auch eine eigens modifizierte Version von Microsofts Programmpaket konnte Baden-Württembergs Datenschutzbeauftragten nicht überzeugen. Im Zuge dessen gab es weitere Sicherheitsfunktionen und Accounts ausschließlich für Lehrkräfte, nicht jedoch für Schüler:innen. Trotz der funktionell eingeschränkten und möglichst datenschutzkonformen Konfiguration von MS 365 sei eine datenschutzkonforme Nutzung kaum möglich. Nach dem Test kam Stefan Brink zu dem Ergebnis, dass die Schulen keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den Vereinigten Staaten hätten. Sie könnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet würden. Auch könne man nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert sei. Die Ergebnisse der Prüfung sind hier abrufbar.
Alternativen vorhanden
Man werde in Kürze auf etwa 40 Schulen zugehen, die den Cloud-Dienst Microsoft 365 oder MS Teams verwenden und sie über seine rechtliche Bewertung zur Nutzung dieses Online-Dienstes informieren. Darüber hinaus werde man die Schulen um einen verbindlichen Zeitplan für den Umstieg auf Alternativen bitten. Zusammen mit dem Kultusministerium sollen die Schulen dann bei der Implementierung neuer Systeme unterstützt werden. Der Landesbeauftragte für den Datenschutz verweist dabei auf bereits erprobte Alternativen. Dazu gehören beispielsweise Moodle, itslearning oder das Web-Konferenzsystem BigBlueButton.
Umstieg kaum zu vermeiden
Sollten die Schulen dennoch den Cloud-Dienst weiter nutzen möchten, so müssten sie begründen, wie sie den datenschutzkonformen Betrieb garantieren und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung eindeutig nachweisen könnten. Dabei würde insbesondere die Drittstaatenübermittlung in die Vereinigten Staaten die Schulen vor größere Probleme stellen.
20. Mai 2020
Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, “unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen”. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.
Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.
Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .
Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung “keine ernsthafte Befassung mit der DSGVO erkennen” ließe.
Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich “Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie“. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments “Best-Practice zum Homeoffice” der Bayerischen Datenschutzbehörde.
29. April 2020
Die amerikanische, gemeinnützige Stiftung Mozilla hat 15 der wichtigsten Videokonferenz-Apps einer Sicherheitsanalyse unterzogen und Ihre Ergebnisse in einem Leitfaden mit Datenschutz- und Sicherheitsmerkmalen sowie Datenschutz- und Sicherheitsmängeln zusammengestellt. Der Leitfaden soll Nutzern dabei helfen, die für sie richtige App auswählen zu können.
Um zu bestehen, mussten die Apps folgende fünf Mindestanforderungen erfüllen:
- Verschlüsselung von Anrufen
- Regelmäßige Sicherheitsupdates
- Forderung nach sicheren Passwörtern
- Umgang mit Schwachstellen
- Vorliegen einer Datenschutzrichtlinie
12 Apps erfüllen Mindestanforderungen
12 der 15 geprüften Apps konnten diese Mindestsicherheitsstandards erfüllen. Dazu zählen WhatsApp, Apple FaceTime, Skype, Google Duo/HangoutsMeet, Facebook Messenger, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting, Cisco WebEx und Zoom.
Insbesondere Zoom wurde in der Analyse dafür gelobt, dass es auf die vielfache Kritik (wir berichteten) schnell reagiert habe, um Sicherheitsmängel zu beseitigen, auch wenn der Grund dieses Handelns, laut Mozilla, wohl vor allem der großen Konkurrenz unter den verschiedenen Videokonferenz-App-Anbietern zu verdanken sei.
Dennoch erhebliche Unterschiede unter den Apps
Die Ausgestaltung der einzelnen Sicherheitsstandards unterscheidet sich zwischen den Anbietern jedoch deutlich.
So werden Anrufe zwar verschlüsselt, allerdings seien es nur Google Duo, FaceTime, WhatsApp, Signal, Goto-Meeting und Doxy.me, die die sicherste Variante, die Ende-zu Ende Verschlüsselung, verwendeten. Nur diese Art der Verschlüsselung gewährleistet, dass der Inhalt eines Anrufs nur für die jeweiligen Teilnehmer einsehbar ist.
Bei der Skype-App, dem Facebook-Messenger und Webex habe der Nutzer aber zumindest die Option eine Ende-zu Ende Verschlüsselung zu wählen.
Andere Apps würden hingegen eine Client-zu-Server-Verschlüsselung verwenden, welche die Daten, sobald sie auf den Servern eines Unternehmens landen, lesbar macht.
Außerdem weist Mozilla auf eine Reihe weiterer Risken hin. Unter anderem sammle Facebook über seine Apps eine Menge persönlicher Informationen wie Name, E-Mail, Standort, Geolokationen auf Fotos, die hochgeladen werden sowie Informationen über Kontakte und den Nutzer selbst, die andere Personen (möglicherweise) freigeben und sogar alle Informationen, die die App über einen sammeln kann, wenn die Kamerafunktion verwendet wird. Außerdem teile Facebook die Informationen auch mit einer großen Anzahl von Drittparteien wie Werbeagenturen, Anbietern, akademischen Forschern und Analysediensten.
WhatsApp hingegen sei sehr anfällig für Fehlinformationen. Gerade während der Pandemie werde die App zur Verbreitung von Verschwörungstheorien und gefälschten Nachrichten gebraucht.
Drei Apps fielen durch
Die Apps Houseparty, Discord und Doxy.me fielen bei der Sicherheitsanalyse hingegen durch. Sie erfüllten bereits nicht die fünf Mindest-Sicherheitsanforderungen. Laut Mozilla verlangen die genannten Dienste keine sicheren Passwörter und Houseparty und Discord sammeln zu viele persönliche Daten.
