Artikel Update
Der Artikel vom 06.05.2021 wurde am 08.05.2023 aufgrund eines Artikels der IT News Seite Golem.de geändert
Spätestens seit Einführung der DSGVO ist die Wichtigkeit des Datenschutzes allgemein Bekannt, insbesondere der Schutz von persönlichen Daten.
Seit Beginn von Covid-19 nutzen immer mehr Arbeitnehmer und Schüler Collaboration Tools wie Microsoft Teams, Webex oder im Land selbst gehostete Lösungen wie Moodle.
Das bedeutet, dass sich Unternehmen und Behörden verstärkt um das Thema Datenschutz in den genannten Collaboration Tools kümmern müssen.
In diesem Artikel vergleiche ich die am meisten genutzten Tools: Microsoft Teams und Cisco Webex.
Cisco Webex meint nicht das seit mehr als einem Jahrzehnt bekannte Webex Meetings, sondern das ehemalige Webex Teams, jetzt einfach nur Webex.
Webex bietet mit Microsoft Teams vergleichbare Team Chats, mit integrierter Telefonie und Meetings. Alles in einer Plattform.
Bei den Datenschutzbetrachtungen geht es darum wie und wo (persönliche) Daten verarbeitet werden.
Team Collaboration Vergleich
In diesem Artikel vergleiche ich die am am meisten genutzten Team Collaboration Plattformen
Wo werden die Daten verarbeitet?
Um die Datenflüsse zwischen der EU und den USA zu regeln, einigten sich 2016 die EU und die USA auf das EU-US Privacy Shield. Damit wurden Datenverarbeitungen in den USA legalisiert und Datenschutzverantwortliche konnten sich bei Datentransfers zu Verantwortlichen oder Auftragsverarbeitern in den USA auf den Privacy Shield berufen.
Nachdem der Europäische Gerichtshof das EU-US Privacy Shield 2020 gekippt hatte, sind seit dem Datentransfers in die USA nicht mehr zulässig.
Dazu sagt der Baden-Württembergische Landesdatenschützer Stefan Brink im Handelsblatt: handelsblatt.com/politik/deutschland/datenschuetzer-im-interview-stefan-brink-unternehmen-sind-mit-einer-massiven-bussgeldgefahr-konfrontiert/26851202.html
In „zahllosen Fällen“ verstießen Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO), etwa wenn US-Dienstleister von Unternehmen mit Sitz in der EU weiter eingesetzt würden. Auch der Einsatz von Standardvertragsklauseln ohne notwendige zusätzliche Garantien bleibe rechtswidrig.
Cisco Webex
Cisco Webex Teams, der Teams Teil der Webex Lösung wurde für europäische Kunden schon immer in Frankfurt und Amsterdam gehostet. Cisco Webex Meetings, der Meetings Teil wurde in Großbritannien gehostet. Nach dem Brexit musste auch hier gehandelt werden. Daher baut Cisco derzeit ein neues Rechenzentrum in Frankfurt für die europäischen Kunden. Ab Sommer werden alle europäischen Kunden komplett in Frankfurt und Amsterdam gehostet und Bestandskunden sukzessive umgezogen.
Analytics-Daten in Webex
Mit dem Go-live des neuen Rechenzentrums in Frankfurt werden auch die Analyticsdaten in Europa verarbeitet und gehen nicht in die USA.
Die Umstellung der Rechnungsdaten wird noch ein wenig dauern. Daten zu Abrechnungszwecken gehen noch in die USA, die benötigt werden, um die Abrechnungen der Nutzung zu erstellen. Das sind jedoch keine persönlichen Daten.
Microsoft Teams
Microsoft betreibt Rechenzentren in der EU und auch in Deutschland, Bestandskunden deren Instanzen bisher nicht in Deutschland gehostet wurden, können in das Deutsche Rechenzentrum umziehen.
Microsoft sendet Telemetriedaten in die USA.
Auch beruft sich Microsoft in den Datenschutzbedingungen auf den EU-US Privacy Shield, was nicht mehr zulässig ist.
Microsoft 365 wurde Datenschutzkonferenz des Bundes und der Länder hinsichtlich der Datenschutzbedingungen untersucht und durch Fragdenstaat veröffentlicht. https://fragdenstaat.de/dokumente/7572-beschlussentwurf/
Wie werden die Daten verarbeitet
Wichtig für eine Datenschutzrechtliche Bewertung ist auch die Frage, wie die Daten verarbeitet werden und wie die Daten gesichert werden.
Dazu sagt Stefan Brink im oben genannten Artikel im Handelsblatt:
Betroffen sind praktisch alle US-Produkte, Ausnahmen sind nur denkbar bei reinen Cloud-Speichern, die eine Verschlüsselung durch den Nutzer zulassen,…
Cisco Webex
Cisco Webex ist Ende zu Ende verschlüsselt, somit kann auch Cisco im Falle eines Auskunftsersuchens nicht auf die Daten zugreifen.
Traut man der Verschlüsselung nicht, so kann ein eigener PKI Server betrieben und mit eigenen Schlüsseln verschlüsselt werden.
Microsoft Teams
Microsoft verschlüsselt wie die meisten Lösungen nicht Ende zu Ende, daher kann auf die Daten jederzeit zugegriffen werden. Immerhin sichert Microsoft mittlerweile zu, dass jedes Auskunftsersuchen erst einmal abgewehrt wird und dass Nutzer darüber informiert werden.
Fazit
Cisco macht mit Webex vieles richtig, Rechenzentrum in Europa, kein Abfluss von Analyticsdaten ab Sommer und Abrechnungsdaten in ferner Zukunft. Dazu eine Ende-zu-Ende-Verschlüsselung, die durch eigene Schlüsselserver abgesichert werden kann.
Besser kann man es nicht machen. Zur Absicherung des Wichtigsten was eine Firma besitzt, dem Unternehmens Know-how, gehört zwingend eine Ende-zu-Ende-Verschlüsselung.
Microsoft bietet keine Ende-zu-Ende Verschlüsselung und Analytics/ Telemetriedaten fließen in die USA auf Basis der Standardvertragsklauseln.
Update vom 08.04.2023
Ein geheimgehaltenes Gutachten von Bund und Ländern kommt wahrscheinlich zu dem Ergebnis, dass die Microsoft 365 Dienste nicht datenschutzkonform sind.
Denn ein ähnliches Gutachten der Datenschutzkonferenz der Länder kommt zu folgendem Ergebnis:
Ohne grundsätzliche Änderungen auf Seiten Microsofts kann die Cloudsoftware nicht rechtskonform genutzt werden.
Quelle: Golem.de
Doch was tun? Zumindest im Bereich Echtzeitkommunikation auf andere Lösungen setzen. Denn hierbei geht es um sensibelste Daten, quasi die Kronjuwelen eines jeweiligen Unternehmens.
Die Empfehlung kann nur lauten auf Ende-zu-Ende verschlüsselte Tools zu setzen, wie Cisco Webex.
Cisco Webex bietet neben den bekannten Meetings auch Team Collaboration, Chats, Telefonie und ContactCenter an.
Titelbild: Photo by Maksym Kaharlytskyi on Unsplash