Wie steht es bei Zoom und Microsoft Teams um den Datenschutz?

Videokonferenzlösungen wie Zoom und Microsoft Teams gehören zu den grossen Gewinnern der Coronakrise. Der Preis der Zoom-Aktie stieg im Jahr 2020 um über 500 Prozent, die Nutzerzahlen verdreissigfachten sich. Ähnlich erfolgreich ist auch Microsoft Teams mit 115 Millionen täglich aktiven Nutzern - 70 Millionen mehr als Anfang März 2020.

Für beide Unternehmen bedeutete das schnelle Wachstum einen rapiden Ausbau der Server- und IT-Landschaft. Aus Perspektive des Datenschutzes handelt es sich um eine interessante Situation, die eine genaue Beobachtung erfordert.

Um eine Software datenschutzrechtlich bewerten zu können, reicht es nicht aus, nur die registrierten Datenschutzverstösse (Datenpannen) anzusehen. Jedoch bieten diese einen ersten guten Einblick.

Allein in den ersten Monaten des Jahres 2020 kam es zu massiven Datenschutzproblemen bei Zoom. Anmeldedaten von mehr als 500'000 Zoom-Nutzern tauchten im Darknet auf. Zudem fanden Forscher des Cyber-Sicherheitsunternehmens Check Point heraus, dass aufgrund der Art und Weise, wie Zoom URLs für virtuelle Konferenzräume generierte, ein Abhören der Besprechungen möglich war. Durch eine Schwachstelle bei Zoom (Stichwort: «Zoom Bombings») wurde im April 2020 eine Online-Veranstaltung der israelischen Botschaft zum Gedenken an die Shoah mit Bildern von Adolf Hitler gestört.

Auch Microsoft, wenn auch nicht speziell Microsoft Teams, wurde in diesem Jahr von einer schweren Datenpanne heimgesucht. Dabei gelangten etwa 250 Millionen Datensätze des Microsoft-Kundenservices mit ihren Chatverläufen offen ins Netz und waren für alle Nutzer einsehbar.

Eines fällt sofort auf: Bei beiden Marktführern handelt es sich um US-amerikanische Unternehmen. Das stellt aus datenschutzrechtlicher Sicht einen weiteren Grund zur Vorsicht dar.

Denn der Europäische Gerichtshof (EuGH) kippte im Juli 2020 in der Sache «Schrems II» das EU-US Privacy Shield, das den USA zuvor ein angemessenes Datenschutzniveau zuschrieb. Sämtliche Übermittlungen von personenbezogenen Daten in die USA, die ausschliesslich auf dem Privacy Shield basieren, wurden damit als rechtswidrig eingestuft.

Ein Privacy Shield ist nicht die einzige Möglichkeit, ein angemessenes Schutzniveau zu garantieren. Jedoch erfordert die Entscheidung des EuGHs nun zusätzliche Bemühungen, zum Beispiel die Implementierung von Standardvertragsklauseln (SCC) in Kombination mit starken technischen Massnahmen.

Neue Microsoft-Teams-Mandanten aus Deutschland können sich mittlerweile für eine exklusive Datenspeicherung in Deutschland entscheiden, bei bestehenden Kunden verbleiben die Daten zumindest in der Region EMEA. In beiden Fällen bleibt eine letzte Sorge über den US-amerikanischen «Cloud Act», der US-Behörden den Zugriff auf Daten von US-Firmen gewähren soll - egal, wo diese gespeichert werden. Zoom speichert auch die Daten europäischer Nutzer weiterhin in den USA und verweist auf die Standardvertragsklauseln der EU-Kommission. Ob diese noch durch entsprechende Sicherheitsmassnahmen ergänzt werden, ist unklar.

Offizielle Stellen wie Datenschutzbehörden und das European Data Protection Supervisor (EDPS) stehen jedenfalls äusserst kritisch zu Zoom und Teams. Die Datenschutzbehörden aller Bundesländer (abgesehen von Bayern, Saarbrücken, Baden-Württemberg und Hessen) bekundeten im April 2020 die Auffassung, dass neben Zoom auch Microsoft Teams nicht datenschutzkonform eingesetzt werden könne. Der EDPS wiederum betonte einen Mangel bei der Sicherheit von Datentransfers, unzureichende Kontrolle über die Daten, Unklarheiten zu Aufbewahrungsfristen und unzulängliche Datentransparenz der Unternehmen.