Datenspeicherung in den USA

Eines fällt sofort auf: Bei beiden Marktführern handelt es sich um US-amerikanische Unternehmen. Das stellt aus datenschutzrechtlicher Sicht einen weiteren Grund zur Vorsicht dar.

Denn der Europäische Gerichtshof (EuGH) kippte im Juli 2020 in der Sache "Schrems II" das EU-US Privacy Shield, das den USA zuvor ein angemessenes Datenschutzniveau zuschrieb. Sämtliche Übermittlungen von personenbezogenen Daten in die USA, die ausschließlich auf dem Privacy Shield basieren, wurden damit als rechtswidrig eingestuft.

Ein Privacy Shield ist nicht die einzige Möglichkeit, ein angemessenes Schutzniveau zu garantieren. Jedoch erfordert die Entscheidung des EuGHs nun zusätzliche Bemühungen, zum Beispiel die Implementierung von Standardvertragsklauseln (SCC) in Kombination mit starken technischen Maßnahmen.

Neue Microsoft-Teams-Mandanten aus Deutschland können sich mittlerweile für eine exklusive Datenspeicherung in Deutschland entscheiden, bei bestehenden Kunden verbleiben die Daten zumindest in der Region "EMEA". In beiden Fällen bleibt eine letzte Sorge über den US-amerikanischen "Cloud Act", der US-Behörden den Zugriff auf Daten von US-Firmen gewähren soll - egal, wo diese gespeichert werden. Zoom speichert auch die Daten europäischer Nutzer weiterhin in den USA und verweist auf die Standardvertragsklauseln der EU-Kommission. Ob diese noch durch entsprechende Sicherheitsmaßnahmen ergänzt werden, ist unklar.

Offizielle Stellen wie Datenschutzbehörden und das European Data Protection Supervisor (EDPS) stehen jedenfalls äußerst kritisch zu Zoom und Teams. Die Datenschutzbehörden aller Bundesländer (abgesehen von Bayern, Saarbrücken, Baden-Württemberg und Hessen) bekundeten im April 2020 die Auffassung, dass neben Zoom auch Microsoft Teams nicht datenschutzkonform eingesetzt werden könne. Der EDPS wiederum betonte einen Mangel bei der Sicherheit von Datentransfers, unzureichende Kontrolle über die Daten, Unklarheiten zu Aufbewahrungsfristen und unzulängliche Datentransparenz der Unternehmen.

Microsoft wehrte sich von Anfang an vehement gegen die Kritik der Datenschutzbehörden und baute auch wegen des Einsatzes in öffentlichen Behörden und Schulen eine robuste Infrastruktur im EWR auf. Die Datenspeicherung kann auch innerhalb Deutschlands stattfinden.

Auch Zoom reagierte auf Datenschutzbedenken. Zu Beginn des Jahres verfügte die Lösung nicht einmal über eine Ende-zu-Ende-Verschlüsselung, die aber im Oktober 2020 implementiert wurde. Außerdem räumte Zoom Firmen ein größeres Mitspracherecht darüber ein, über welche Regionen Videokonferenz geroutet werden. Nicht zu verwechseln ist dieses Routing allerdings mit der Datenspeicherung, die weiterhin immer auch in den USA geschieht.

Auch wenn der EuGH in der Schrems-II-Entscheidung explizit keinen risikobasierten Ansatz zulässt, also das Abwägen von Datenschutzrisiken und Geschäftserfolg, müssen Unternehmen in der Praxis gewisse Abwägungsentscheidungen treffen. Es gibt Alternativen zu US-Softwaretools, unter denen sichere-videokonferenz.de und Jitsi Meet hervorgehoben werden sollten. Diese kommen im Hinblick auf die Benutzerfreundlichkeit allerdings nicht an die Marktführer heran.

Der Einsatz von nicht datenschutzkonformer Software birgt immer ein erhöhtes Risiko für Datenpannen, Imageschäden und Bußgelder. Je sensibler die Daten einer Organisation einzuordnen sind, desto kritischer ist der Einsatz der hier diskutierten Lösungen. Es wäre zum Beispiel unverantwortlich, wenn ein Strafgericht seine Prozesse über Zoom organisieren würde.

Auf dem Markt mangelt es zumindest derzeit noch an ausgereiften, wettbewerbsfähigen Alternativen. Unternehmen wie sichere-videokonferenz.de und Jitsi Meet zeigen jedoch, dass Videokonferenzen auch datenschutzkonform stattfinden können. Gerade Microsoft beweist, dass auch die ganz Großen der Branche Datenschutzbedenken ernst nehmen und kontinuierlich an Verbesserungen arbeiten.