ZOOM®, TEAMS®, GoToMeeting® & WebEx® erhalten rote Ampel von Berliner Datenschutzbeautragten
DSGVO-konforme Webinarsoftware im Training

 

INHALT

DIE PRAGMATISCHE SEITE: WAS, WENN TRAINER DIE WEBINARPLATTFORM VORGESCHRIEBEN BEKOMMEN?
– Zu dir oder zu mir?
ÜBERSICHT: ANBIETER FÜR WEBINAR- / TELECONFERENCING-PLATTFORMEN, DIE IN DEUTSCHLAND SITZEN ODER EU HOSTING ZULASSEN
– Ob Teilnehmer mit Software oder Browser teilnehmen hat viele Konsequenzen
– Wie sicher ist Ende-zu-Ende Verschlüsselung wirklich?

– Die aktuelle Anbieterliste “Videokonferenz- & Webinarplattformen mit Hosting in der EU” ist hier.


Am 03.07.2020 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein brisantes Dokument veröffentlicht. Es handelt sich um Hilfestellung zur Prüfung von Videokonferenzlösungen für entsprechend Verantwortliche im Land Berlin. ZOOM®, TEAMS®, eine Variante von Cisco WebEx® sowie GoToMeeting® erhalten im Ampelsystem eine “rote Ampel”.

“Mängel, die eine rechtskonforme Nutzung des Dienstes ausschließen”


Die negative Einstufung “rot” bekamen Angebote, “bei denen Mängel vorliegen, die eine rechtskonforme Nutzung des Dienstes ausschließen und deren Beseitigung vermutlich wesentliche Anpassungen der Geschäftsabläufe und/oder der Technik erfordern”. Dies sei etwa der Fall, wenn “nach dem Vertrag die Anbieter

  • Auftragsdaten auch zu eigenen Zwecken verarbeiten,
  • der Vertrag Datenlöschungen nur verspätet oder eingeschränkt vorsieht oder
  • die Anforderungen an die Einbindung von Subunternehmern derzeit nicht ausreichend ausgestaltet sind und voraussichtlich Änderungen in den Verträgen zwischen Anbietern und Subunternehmern erforderlich sind.”

Der Fokus der Kurzprüfungen lag im Bereich der Rechtskonformität der Auftragsdatenverarbeitungsverträge der Anbieter. Unter anderem stellt die Veröffentlichung fest, dass “nach derzeitigem Entwicklungsstand alle betrachteten Dienste mit Ausnahme von Wire® (Schweiz) in der Standardkonfiguration für den Austausch von Informationen mit hohem Schutzbedarf nicht geeignet” sind.

Für Trainer*innen ist es allerdings wichtig zu verstehen, dass bei Weiterbildungsmaßnahmen oder Trainingsmaßnahmen nicht immer ein hoher Schutzbedarf vorliegen muss. Das gesamte PDF der Stelle “Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten” finden Sie genau hier. Wichtig ist der öffentlichen Stelle aus Berlin darauf hinzuweisen, dass selbst, wenn keine rechtlichen Mängel entdeckt wurden, dies nicht “bedeutet (…), dass diese nicht vorliegen”.

Weiter schreiben die Datenschützer, dass die Verantwortlichen “nicht von ihren gesetzlichen Pflichten” entbunden sind, die Konformität für den eigenen Fall zu prüfen. Das absolut lesenswerte Dokument betont, dass die Angebote nicht umfassend geprüft wurden “insbesondere erfolgte keine umfassende technische Prüfung und in der Regel auch keine Prüfung der Datenschutzerklärungen.”



DIE PRAGMATISCHE SEITE: WAS, WENN TRAINER DIE WEBINARPLATTFORM VORGESCHRIEBEN BEKOMMEN?

Die rechtliche Situation ist also komplex. Gerade weil dies so ist, bekommen wir Trainer von Kunden manchmal vorgegeben, welche Plattform wir zu nutzen haben: Viele Betriebe haben neben funktionalen viele rechtliche Abwägungen hinter sich. Wenn Tools vorgegeben werden, ist das allerdings nicht immer zum Vorteil für ein Online-Training: Was ich selbst und manche unserer Trainer*nnen in den Trainingsprojekten erleben, reicht von sehr guter Zusammenarbeit bis hin zu frustrierenden Erlebnissen.

Die meisten unserer Kunden bieten ja eine für die Erwachsenenbildung sinnvolle Plattform an, die wir im Training auch gut nutzen können. Manchmal stößt man als Trainerin aber auch nur auf gefährliches Halbwissen bei den Kunden. “Wir haben keine Lizenz für die Webinarplattform, aber das ging auch immer so ganz gut. Kriegen Sie schon hin.”


“Bitte schulen Sie auf unserer ungeeigneten Plattform!”


Ein sinngemäßes Zitat einer Trainerin: „Mein Kunde zwingt mich, deren hauseigenes Webinarsystem zu nutzen. Sie hosten es auf einem eigenen Server. Es ist zu langsam. Der Ton ist immer wieder abgerissen, Break-Out-Rooms – Fehlanzeige. Besonders toll gelaufen ist das Training jetzt nicht.“ Gehört habe ich auch schon diese Aussagen, hier sinngemäß der / die IT-Leiter*in eines großen Konzerns: „Wir haben zigtausend Dollar in unser System investiert. Wenn ein Trainer jetzt irgendwelche Break-Rooms will, dann geht das eben nicht.“

Kurz gesagt: Während wir Trainer am liebsten unsere eigene Webinarsoftware zu jedem Kunden mitnehmen würden, haben die meisten Kunden schon ein eigenes Videokonferenz-System. Dieses System wurde u. a. mit Blick auf Funktionsreichtum und Konformität mit geltenden Datensicherheits und -schutzegesetzen ausgewählt. Das eingesetzte Webinarsystem ist zwar möglicherweise kaum für die Erwachsenenbildung geeignet, weil es der Hersteller dafür nie konzipiert hatte. Das allerdings ist dem Kunden oft nicht klar.

 

 

Kundenunternehmen, insbesondere Konzerne, haben in einigen Fällen schon große Summen in eine Unified Communications Lösung z.B. von Cisco oder einem anderen Hersteller investiert. Diese Lösung deckt dann meist 90% der Kommunikationsbedürfnisse des Hauses ab. Dazu gehören unter anderem IP-Telefonie, Foren für Teamarbeit und Dateiaustausch, Videokonferenzen, Funktionen für werbliche Massenveranstaltungen und Sicherheitsmerkmale wie Kommunikations-Verschlüsselung. Für Ihren Kunden ist, außer diesen Faktoren dann noch der Datenschutz und die Datensicherheit wichtig. Was bedeutet dies für Trainingsinstitute und Trainer*innen? Meiner Meinung nach ergeben sich drei Konsequenzen:


  • 1) Früh ansprechen und testen:
    Erfragen Sie bei neuen Kunden so früh wie möglich, welches System dort als Schulungsplattform, Webinarsystem oder LMS präferiert wird.

  • 2) Abwägen:
    Überlegen Sie sich bei wichtigen Neukunden zweimal, ob Sie Ihr Lieblingssystem als Gegenkandidaten aufstellen. Es zeigt sich inzwischen, dass es besser sein kann, das eigene Trainingsdesign so umzustellen, dass man auch mal ohne Break-Out-Rooms auskommt. Wenn Sie Glück haben, hat der Kunde ein Webinarsystem, das zwar keine Break-Out-Rooms bietet, das aber eine Art Nachbildung dieser zulässt, indem man z. B. mehrere zeitgleiche Konferenzen erstellt. Vielen Kunden ist einfach nicht bewusst, wie hilfreich kleine Lerngruppen gerade bei Online-Trainings sein können. Sie werden einen unwissenden HR-Verantwortlichen allerdings nicht in zwei Sätzen darüber belehren können, dass das hauseigene Webinarsystem mehr als suboptimal ist. Meistens lösen Sie nur Irritation aus.

  • 3) “Jetzt sag ich endlich ‘was”:
    Ich habe schon erlebt, dass Unternehmen die kostenfreie Version eines Webinarsystems einsetzen, die gar nicht für kommerzielle Zwecke freigegeben ist. Sie werden nun aufgefordert, irgendwie damit zu arbeiten. Hierdurch verletzt Ihr Kunde nicht nur die Vertragsbedingungen mit dem Softwarehersteller. Möglicherweise wird auch gegen die DSGVO verstoßen. Das Datenschutzniveau von kostenfreien Versionen ist nämlich regelmäßig deutlich niedriger als für kommerzielle. In solch einer Situation müssen Sie erklären, warum Sie rechtliche Bedenken haben und am besten ein in Europa gehostetes Webinarsystem für die Seminardurchführung anbieten. Die Gebühr für die Nutzung trägt anteilig der Kunde.

 

Zu dir oder zu mir?

Auch wenn wir ungern das uns manchmal unbekannte Webinarsystem oder LMS eines Kunden nutzen, es gibt einige Vorteile dieser Variante. Die folgende Tabelle vergleicht die beiden Situationen am Beispiel eines Webinarsystems.

Sie nutzen das Webinarsystem des Kunden Sie nutzen Ihr eigenes Webinarsystem
Wer muss Teilnehmer und Trainer*in einladen bzw. Rechte zur Nutzung als Host vergeben?
Das Unternehmen / HR-Abteilung / Abteilungsleitung Sie selbst
Wer wird bei Pannen während der Schulung möglicherweise von den Teilnehmer*innen verantwortlich gemacht?
Es kommt darauf an, wie es an die Teilnehmer kommuniziert wurde. Ggf. steht das Unternehmen / die HR-Abteilung / die Abteilungsleitung dafür gerade. Je konstruktiver ngemeinsam an einer Lösung für die Zukunft gearbeitet wird, desto besser. Sie selbst
Kosten für die Subskiption der /der Tools …
trägt das Unternehmen (Ihr Kunde), ohne, dass Sie hierüber diskutieren müssen. Sie werden versuchen, diese Kosten anteilig in Rechnung zu stellen. Wer zahlt Ihnen jedoch die Tage im Monat, an denen Sie die Toolkosten niemand in Rechnung stellen können?
Wer benötigt einen Auftragsdatenverarbeitungsvertrag mit dem Tool-Hersteller und muss Datenschutzgesetze einhalten?
Das Unternehmen Sie selbst
Wer wird im Zweifel für tool-bedingte Pannen während des Trainings eine schlechtere Evaluation erhalten? Beispiel dazu: Ein schlecht in-house gehostetes WebEx des Kunden kann ihnen das Training zu Hölle machen.
Sie selbst. Sie können den negativen Effekt ggf. abschwächen, wenn Sie Teilnehmern schon zu Beginn eines Live-Online-Trainings klarmachen, dass die Qualität der Verbindung und die Toolwahl nicht von Ihnen beeinflusst werden konnte. Sie selbst
Wer muss das gesamte Trainingsdesign ggf. umstellen, weil Funktionen wie Break-Out-Rooms bei der vom Kunden gestellten Lösung nicht verfügbar sind?
Sie selbst. Sie können diese Frustration vermeiden, falls Sie schon vor Erstellung der Seminardramaturgie (des Ablaufplans) wissen, welches System eingesetzt wird. Kein Umstellungs-Aufwand.
Wer muss den Teilnehmern eine Datenschutzerklärung zur Verfügung stellen?
Das Unternehmen Sie selbst.
Wer muss gegen eine gefühlt „anonyme Masse“ Unterricht halten, weil der Kunde nur ein browserbasiertes Webinarsystem zur Verfügung stellt, dass so schwach gehostet ist, dass alle Teilnehmer die eigene Webcam abschalten müssen?
Sie. Das einzige, was Sie tun können, ist mit der HR-verantwortlichen und so vielen Test-Teilnehmern wie möglich das Webinarsystem zu testen. Sobald einige Webcams eingeschaltet sind, wird Ihre Auftraggeberin nur noch einen stotternden Ton hören. Ist ein solcher Vorabtest nicht möglich, bitten Sie die HR-Abteilung, zur Not unter einem Vorwand, im Training dabei zu sein. Spätestens nach einem Training wird dann vielen klar, wie ungeeignet bestimmte Systeme für Trainings sind. Niemand.

Datenschutz und Datensicherheit sind Hauptgründe für viele Kompromisse, die wir als Trainer eingehen müssen. Für unsere Kunden sind die geltenden Gesetze in diesem Bereich teure Kopfschmerzverursacher. Egal wer nun die IT-Systeme für Ihr Training bereitstellt, je mehr Sie über Alternativen wissen, desto eher werden Sie als Partner*in auf Augenhöhe wahrgenommen.



ÜBERSICHT: ANBIETER FÜR WEBINAR- / TELECONFERENCING-PLATTFORMEN, DIE IN DEUTSCHLAND SITZEN ODER EU HOSTING ZULASSEN

Die Tabelle in unserem Artikel Anbieterliste Videokonferenz- & Webinarplattformen mit Hosting in der EU” zeigt, welche Anbieter derzeit Break-Out-Räume bieten und ob ein Hosting in einem EU Land angeboten wird. Viele sicherheitsbewusste Kunden, besonders Behörden achten u.a. auf ein Hosting in der EU oder Deutschland. Die Übersicht listet auch, ob der Anbieter auf software- und browserbasierte Endpunkte setzt. Mit softwarebasiert meinen wir, ob ein IT Anbieter für Endnutzer eine Software zur Verfügung stellt. Mit browserbasiert meinen wir, dass Endanwender die Lösung des IT-Anbieters mit einem modernen Browser nutzen kann. Einige Dienste erlauben beides, sind jedoch historisch eher einer Seite zugeneigt.

Ob Teilnehmer mit Software oder Browser teilnehmen hat viele Konsequenzen

Pauschalen Aussagen wie: “browserbasiert ist moderner” oder “nur softwarebasiert funktioniert richtig” gelten heute nicht mehr. Ob ein Dienst softwarebasiert ist oder browserbasiert hat Vor- und Nachteile:

  • Für browserbasierte Dienste ist keine Softwareinstallation nötig. Auf der anderen Seite weiß ich aus eigener Erfahrung und unzähligen Berichten von Ton- und Videoproblemen, die bei manchen browserbasierten Lösungen auftreten. Meist ist es so, dass der Ton beginnt zu stottern, wenn über drei Teilnehmer ihr Videobild einschalten. Ich habe dazu verschiedene Erklärungen von den Betreibern gehört von “das kann nicht sein” (obwohl es beim Test dann eben genau doch so war) bis hin zu “das liegt am webRTC Protokoll”. IT Experten berichten zunehmend, dass für viele browerbasierte Lösungen Bild- und Tonprobleme letztlich durch mangelnde Serverressoucen verursacht werden. Eine wirklich gute Performance erreicht man nur durch genügend Bandbreite und ggf. wird ein Load-Balancer wie z. B. Scalelite benötigt. Es wirkt allerdings derzeit, als ob einige IT-Service-Anbieter und Lösungsanbieter letztlich für eine wirklich exzellente Kommunikation nicht ausreichend Rechenleistung zur Verfügung haben oder stellen. Von einigen Herstellern wurde sogar an die Kunden kommuniziert, dass sie sich um weitere Kapazitäten bemühen.Einige deutsche Hoster setzen bei Kunden, die auf die DSGVO achten müssen, Lösungen wie BigBlueButton® ein. Das system bietet wie das schwächer vermarktete BlueJeans Meetings® Break-Out-Räume an. Hier scheint eine sinnvolle Kombination von angemessenem Datenschutz, Support und Service möglich zu sein.

    Im Gespräch mit einem IT-Verantwortlichen zeigen sich weitere Details: WebRTC ist in den Augen einiger Entwickler nach wie vor Ursache für Ärgernisse. So gab es, nur um ein Beispiel zu nennen, bei Jitsi den Effekt, dass selbst Zweierkonferenzen eine unzumutbare Qualiät haben, wenn Firefox genutzt wurde. Das Phänomen trat allerdings nicht mehr auf, als die Nutzer den Chrome-Browser einsetzten. Das wiederum ist aus Datenschutzsicht natürlich alles andere als ideal. Google Chrome ist technisch ein guter Broswer, bei Datenschützern allerdings wegen seiner Anbindung an Google-Dienste nicht beliebt. Bei den aktuellen Firefox-Versionen tritt das Phänomen angeblich nicht mehr auf.

    Ein weiteres Problem kann in der Praxis den Spaß an der “softwarefreien Nutzung” verderben. Browser können gerade in Firmen einen unerwarteten Fehler aufweisen: Die Freigabe des Mikrofons und der Kamera funktioniert bei Windows-Rechnern mit eingeschränkten Benutzerrechten mitunter nicht. Ein IT-Verantwortlicher sagte uns dazu: “Ich habe dieses Phänomen nicht nur in Firmen, sondern auch in Seminarhäusern beobachtet, deren Trainingslaptops aus Sicherheitsgründen keinen Zugang mit Administrationsrechten für Seminarteilnehmerinnen zuließen.”

    All dies zeigt, dass Trainer*innen gut daran tun, vor Seminarbeginn mit Ihren Teilnehmern Tests durchzuführen. Gleichzeitig müssen Sie den Teilnehmern u. a. erklären, warum diese einen bestimmten Browser nicht einsetzen sollten. Besonders schwierig wird dies bei Nutzern, die noch nie mit etwas anderem als Internet Explorer gesurft sind.

  • Softwarebasierte Systeme erscheinen mir subjektiv derzeit in Ton- und Bildqualität den browserbasierten überlegen zu sein. Der Eindruck kann aber auch daran liegen, dass insbesondere größere IT-Anbieter softwarebasierte Clients anbieten. Möglicherweise haben genau diese Hersteller auch deutlich stärkere Rechenzentren. Auch die Steuerung von Rechten auf der Maschine des Benutzers ist für den Hersteller hier leichter zu bewerkstelligen. Dies wiederum kann die Bedienbarkeit komfortabler machen. Aus meinem subjektiven Eindruck heraus und aus der subjektiven Bewertung meiner Kunden heraus scheint ZOOM derzeit von der Audio- und Videoqualität sehr gut zu sein.Im Bereich der Systeme, die Software-Clients anbieten, scheint neben dem Schweizer Taschenmesser WebEx® und dem Puristen Zoom® insbesondere Microsoft Teams® zunehmend beliebt zu sein. Da Microsoft bereits mit Office 365 in vielen Firmen vertreten ist, fällt vielen der Schritt zu TEAMS nicht mehr schwer. Ob die Warnung des Berliner Datenschutzbeauftragten auch vor TEAMS nun diesen Trend zu ändern vermag, das steht in den Sternen. Vergessen dürfen wir auch nicht, dass ein weniger bekanntes System nicht sicherer wird, nur weil es (noch) nicht von Datenschützern oder IT-Experten öffentlich kritisiert wurde.

    Weshalb sich Hersteller für softwarebasierte Architekturen entscheiden, das kann tausend Gründe haben. Hier ein Zitat aus der Geschäftsführung von alfaview®:
    “alfaview® möchte seinen Nutzerinnen und Nutzern absoluten Datenschutz gewährleisten. Aus diesem Grund werden bei unserer DSGVO-konformen Videokonferenzlösung, Audio- und Videoströme nicht gespeichert oder weitergegeben, die Daten werden nach aktuellen Standards (TLS/AES256) verschlüsselt, und wir nutzen ausschließlich ISO 27001-zertifizierte Rechenzentren. Ob mit 50, 100, 200 oder mehr Personen gleichzeitig, alfaview® bleibt immer lippensynchron und liefert Bild und Ton in hoher Qualität und das stabil und ohne Abbrüche rund um die Uhr. Das können browserbasierte Systeme nicht. alfaview® ist eine benutzerfreundliche, leicht zu bedienende kleine App mit hoher Leistung bei maximalem Datenschutz. Würden wir alfaview® auch als Browserlösung anbieten, könnten alle genutzten US-amerikanischen Webbrowser die IP-Adresse der Nutzerinnen und Nutzer abgreifen und analysieren. Die IP-Adresse gibt Dritten Aufschluss über ihre Identität und deren Standort. Da wir das nicht wollen, benutzen wir eine App, die mit unseren Servern gekoppelt ist, welche sich ausschließlich in Deutschland und der Europäischen Union (DSGVO-Raum) befinden.” -Niko Fostiropoulos, alfatraining Bildungszentrum GmbH

 

Wie sicher ist Ende-zu-Ende Verschlüsselung wirklich?

“Unser System verschlüsselt alles Ende-zu-Ende” Sind Sie ganz sicher? Viele Menschen denken, dass die Sprach- und Videodaten einer Videokonferenz durchweg vom Endgerät der gerade sprechenden Person bis zu den Endgeräten der gerade zuhörenden Personen verschlüsselt sei. Dies ist oft nicht der Fall. Die Daten sind in vielen Fällen nur zwischen allen Teilnehmern und dem in der Mitte zwischen diesen Teilnehmern sitzenden Server verschlüsselt. Eine wirklich sichere Verschlüsselung von Person zu Person ist eine der herausforderndsten Aufgaben in der IT-Welt. So bietet laut Dr.-Ing. Torge Schmidt von datenschutz nord GmbH von acht näher untersuchten „Mehr-Personen Online-Konferenz-Diensten bietet nur WebEx von Cisco bei entsprechender Konferenzkonfiguration (…) nachvollziehbar eine effektive Verschlüsselung der Mediendaten zwischen den Endgeräten der Benutzer ohne Kenntnis vom verwendeten Schlüssel, also eine „echte“ Ende-zu-Ende-Verschlüsselung, wie unter Sicherheitsgesichtspunkten gewünscht und erwartet.“ Ähnlich positiv scheint der Schweizer Dienst WIRE® abzuschneiden, der von Schmidt noch nicht untersucht worden war.

Wenn es um Sicherheit geht, ist uns noch eine Lösung aufgefallen: RED connect®. Hier ein Kommentar, den wir laut des Unternehmens zitieren dürfen:
“Eine nahtlose Ende-zu-Ende-Verschlüsselung ist Voraussetzung für eine datenschutzkonforme Videosprechstunde zwischen Ärzten und Patienten in Deutschland. Diese ist bei so gut wie keiner der bestehenden Videokonferenzlösungen verfügbar, da diese originär nicht für Berufsgeheimnisträger entwickelt wurden.

RED Medical® hat mit der zertifizierten RED connect Videosprechstunde eine der wenigen Lösung im Markt etabliert, bei der auch bei mehreren Konferenzteilnehmern jede einzelne Verbindung zwischen den Teilnehmern vollständig Ende-zu-Ende verschlüsselt wird. Die meisten anderen zertifizierten Systeme können nur eine 1:1 Verbindung abbilden.

Da RED connect® ursprünglich für den medizinischen Bereich entwickelt wurde, erfüllt sie nicht nur die Bedingungen der DSGVO, sondern auch die um ein vielfach strengeren Auflagen des § 203 StGB. Damit ist auch für weitere Anwendungsbereiche, wie zum Beispiel bei schutzbedürftigen Beratungsgesprächen und Gruppensitzungen, eine absolute Vertraulichkeit gegeben.” -Jochen Brüggemann, RED Medical Systems GmbH

Die aktuelle Anbieterliste “Videokonferenz- & Webinarplattformen mit Hosting in der EU” ist hier.

About The Author

Marius Jost

Marius Jost leitet die Trainerausbildung des Instituts für systemisches Training sowie die Fachgruppe E-Learning des BDVT. Er begann seine berufliche Laufbahn als zunächst als IT-Analyst und entwickelte sich zum Lobbying- und PR-Spezialist für die IT-Branche. Er betreute u.a. als Senior-Associate für die Public Affairs Agentur Burson-Marsteller globale Kunden. Zuletzt durfte er als Kommunikationsmanager bei STADA weitere Erfahrungen sammeln. Jost ist Business Coach (DBVC) und hat sein Studium „International Business Administration” in Paris (ABS) und Frankfurt am Main (Goethe) absolviert.