Berlins Datenschutzbeauftragte Maja Smoltczyk lässt Videokonferenzsysteme wie Zoom durch die Datenschutzprüfung rasseln und handelt sich damit Kritik aus der Politik ein. Auch sonst läuft nicht alles rund.
„Bequemlichkeit kann nicht die Verletzung von Grundrechten rechtfertigen.“ Dieser Satz aus dem Munde der Berliner Datenschutzbeauftragten bringt Digitalpolitiker von SPD und Grünen auf. Smoltczyks Behörde hatte sich erneut die gängigen Videokonferenzsysteme wie Microsoft Teams, Google Meet, Cisco Webex und Zoom angesehen und war – wie schon ein Jahr zuvor – zu der Beurteilung gekommen, dass diese Systeme nicht datenschutzkonform zu betreiben sind.
Rechtssichere Alternativen oft keine Alternative
Im Ergebnis ruft Smoltczyk Anwender dringend zum Anbieterwechsel und die Anbieter ebenso dringend zur Einhaltung der Europäischen Datenschutzgrundverordnung (DSGVO) auf. Positiv bewertet Smoltczyks Behörde etwa das Tool „Big Blue Button“, das in die Lernplattform Moodle integriert ist und vor allem von Schulen, etwa den Gymnasien in NRW, genutzt wird, nachdem es mit der freien Software Jitsi zu einer Vielzahl von Problemen gekommen war.
Auch Big Blue Button zeichnet sich nicht durch höchsten Nutzerkomfort aus. Aus den Schulen ist zu hören, dass Konferenzen mit dem Tool selten störungsfrei verlaufen. Immer wieder komme es zu Problemen mit Video und Audio, häufig fielen Teilnehmer aus den Sitzungen und könnten sich nur mit einiger Mühe wieder einwählen.
Ähnliche Probleme werden über das zunächst präferierte Jitsi berichtet. Hier soll aber insbesondere die Möglichkeit, einem Meeting rein per Link beizutreten, für Unruhe gesorgt haben. In Big Blue Button gibt es einen Warteraum, aus dem heraus Lehrer ihre Schüler manuell in die Konferenz holen können. So kann man unberechtigt Teilnehmende ausschließen.
Führende Systeme sind stabil und leicht bedienbar
Solche Probleme kennen Verwender der führenden Systeme Teams, Webex, Meet oder Zoom nicht. Die anfangs teilweise bestehende Möglichkeit des Zoom-Bombings wurde inzwischen beseitigt. Die Systeme gelten als komfortabel und stabil.
Gerade bei einem solchen in der Corona-Pandemie wichtigen Dienst wollen Anwender nicht mit Problemen und Störungen konfrontiert werden, wie sie die freien Alternativen zu oft verursachen. So ist es kein Wunder, dass sich die führenden Anbieter großen Zulaufs erfreuen.
Dass die Dienste teils formalen Aspekten des Datenschutzrechts nicht genügen – etwa, wenn kein Auftragsverarbeitungsvertrag vorliegt –, scheint vielen dann zu vernachlässigen zu sein. Das sieht die Berliner Datenschutzbehörde anders und zieht mit ihrer kompromisslosen Linie den Ärger der Politik auf sich.
Digitalpolitiker kritisieren Fokus auf Datenschutz
So hatte sich etwa der digitalpolitische Sprecher der SPD-Bundestagsfraktion, Jens Zimmermann, dem Handelsblatt gegenüber über die Verwendung des Begriffs „Bequemlichkeit“ aufgeregt und ihn als „völlig unangebracht“ deklariert. Nach Zimmermanns Auffassung müsse in einer Ausnahmesituation wie der Coronakrise zugunsten des Grundrechts auf Bildung gegebenenfalls toleranter gegenüber Datenschutzverstößen reagiert werden.
Konkret schlägt er „Vereinbarungen für eine Übergangsfrist“ zur Nutzung gängiger Systeme vor. Das sei insbesondere unter dem Aspekt wichtig, dass es mit den von der Datenschutzbehörde vorgeschlagenen Alternativen zu häufig zu Problemen komme.
Auch der Grüne Digitalpolitiker Dieter Janecek stimmt in die Kritik ein. Leicht bedienbare Videokonferenzsysteme seien insbesondere im Homeschooling von entscheidender Bedeutung, ließ er das Handelsblatt wissen. Er plädiert dafür, dass die Datenschutzbehörden in einem kooperativen Prozess mit den Anbietern zu konformen Lösungen kommen, nicht durch einen Ausschluss.
Anbieter könnten Anforderungen wohl recht leicht erfüllen
Bei näherem Hinsehen scheinen die meisten Probleme tatsächlich relativ einfach in den Griff zu bekommen. Der schwerwiegendste Vorwurf der Smoltczyk-Behörde lautet auf „unzulässige Datenexporte“. Damit ist gemeint, dass die Anbieter, Nutzerdaten auch außerhalb der EU speichern könnten. So wäre nicht auszuschließen, dass sich etwa US-Geheimdienste Zugriff auf die Daten verschaffen.
Für Nutzer, die die Videokonferenzsysteme trotz der Warnung der Datenschutzbehörde einsetzen, können Bußgelder verhängt werden, die bis in die Millionen gehen können. Von daher ist die Beurteilung keine reine Empfehlung, über die man sich als Unternehmen oder Bildungsträger nach eigener Risikoabwägung hinwegsetzen könnte.
Deshalb sind sich die Digitalpolitiker bei aller Kritik an Smoltczyk am Ende doch wieder einig. Gefordert sind vor allem die Anbieter, lassen sie unisono verlauten. Die müssten dafür sorgen, dass ihre Software dem geltenden Recht entspreche.
Datenschutz steht in der Coronakrise immer wieder in der Kritik
Der Streit um die Videokonferenzen ist nur einer von mehreren Konflikten, die in der Coronakrise um den Datenschutz entbrannt sind. Auch die Corona-Warn-App, die per Contact-Tracing die Nachverfolgbarkeit von Infektionsketten gewährleisten soll, sieht sich immer wieder dem Vorwurf ausgesetzt, wegen eines überschießenden Datenschutzfokus nicht hinreichend effektiv zu sein.
Diesen Vorwurf, der vornehmlich auf technischer Unwissenheit der jeweiligen Behauptenden beruht, haben wir hier bei FdD ausführlich widerlegt. Contact-Tracing wird in Deutschland und anderen Ländern vornehmlich deshalb im Gegensatz zum Position-Tracking gemacht, weil es die technisch einzig sinnvolle Methode ist. Diskutiert wurde in der Vergangenheit, ob die Datenhaltung auf einem zentralen Server zu Verbesserungen im Vergleich zur dezentralen Speicherung auf den Nutzer-Smartphones führen würde.
Letztlich hatten Akzeptanzüberlegungen zur Umsetzung des dezentralen Modells geführt, das von vielen als ineffizient gegenüber dem zentralen Ansatz diskreditiert wird. Eine aktuelle Studie aus Großbritannien zeigt nun, dass dieser Vorwurf wohl ungerechtfertigt ist.
Forscher des Alan-Turing-Instituts hatten gemeinsam mit der Oxford-Universität untersucht, welchen Einfluss die britische Corona-Warn-App auf die Verbreitung von Covid-19 hat. Im Ergebnis stellten sie fest, dass durch die App von Oktober bis Dezember 2020 bis zu 900.000 Infektionen verhindert worden sein dürften.
Die Zahlen lassen sich nicht direkt auf Deutschland übertragen, obwohl die Technik ähnlich ist. Im Vereinigten Königreich hat allerdings bereits jeder Dritte die App auf seinem Smartphone. Auch Nutzungsdaten erhebt die britische Gesundheitsbehörde, sodass qualitative Aussagen mit Regionalbezug möglich sind.
Hierzulande wissen wir nicht viel mehr als die reinen Downloadzahlen, die mit 25,7 Millionen seit Monaten stagnieren. Nichts weiter wird erhoben. Insofern können wir keine tragfähigen Aussagen zum Erfolg der App treffen. Allenfalls lässt sich hoffen, dass die Effekte ähnlich denen in Großbritannien sind.
Von wegen Datenschutz: Bestehende Möglichkeiten werden nicht genutzt
Abgesehen von Fragen des Datenschutzes ergeben sich im Corona-Kontext aber auch ganz tatsächliche Probleme. So sollten etwa bis Ende Februar 2021 alle 375 Gesundheitsämter in Deutschland eine einheitliche Software für die Kontakt-Nachverfolgung nutzen.
Wie die Welt am Sonntag herausfand, nutzen wenige Tage vor Monatsende nur 84 Ämter die Software namens Sormas tatsächlich. Damit kann der Zeitplan des Bundesgesundheitsministeriums nicht eingehalten werden, was aber viele der betroffenen Ämter offenbar ohnehin nie beabsichtigt hatten.
So hatte etwa die Hamburger Sozialbehörde gegenüber der Welt geäußert, sie habe „keinen Bedarf“ an der bundeseinheitlichen Kontaktverfolgungs-Software. Andere ziehen sich auf Überlastung zurück und geben vor, keine Kapazitäten für erforderliche Schulungen zu haben.
In der Politik wird das als Verzögerungstaktik wahrgenommen und als Zeichen dafür, dass die Bundesregierung es mit der Kontaktnachverfolgung doch nicht so ernst meine, wie sie anlässlich der Lockdown-Verlängerungen nicht müde würde zu betonen. Das sagt der Fraktionsvorsitzende der Linken, Dietmar Bartsch, der die Sormas-Einführung als „große Enttäuschung“ klassifiziert.
Mit Sormas sollen die Ämter Kontakte von PCR-Positiven effizienter nachverfolgen können. Außerdem soll Sormas Austausch von Fällen und Kontaktpersonen zwischen den einzelnen Gesundheitsämtern digitalisieren. Umfassendere Informationen zu Symptomen und Quarantäne sollen helfen, regionale Ausbruchsgeschehen schneller in den Griff zu bekommen. Gerade diese Kontrolle regionaler Ausbrüche ist eine wichtige Bedingung für die Lockerung der Corona-Maßnahmen. Umso erstaunlicher, dass die Behörden dem Thema eine so geringe Priorität zuteilwerden lassen.